Delen via

De DPM-beveiligingsagent implementeren

De DPM-beveiligingsagent (System Center Data Protection Manager) is de software die u installeert op elke computer met gegevens die u wilt back-ups maken met DPM. Het bestaat uit twee onderdelen: de beveiligingsagent zelf en een agentcoördinator. Dit is wat het doet:

  • Identificeert de gegevens die DPM kan beveiligen en herstellen.

  • Hiermee kan de DPM-server door de shares, volumes en mappen op de beveiligde computer bladeren.

  • Hiermee maakt u een wijzigingslogboek voor elk beveiligd volume en slaat u het logboek op in een verborgen bestand op dat volume. Er worden wijzigingen in de beveiligde gegevens in het wijzigingslogboek vastgelegd en het logboek overgedragen van de beveiligde computer naar de DPM-server, zodat DPM de primaire gegevens kan synchroniseren met de replica.

U stelt de agent als volgt in:

  • Als de computer met de gegevens die u wilt back-uppen zich achter een firewall bevindt, moet u firewall-uitzonderingen instellen.

  • Als de computer zich niet achter een firewall bevindt of als u firewalluitzondering hebt geconfigureerd om toegang toe te staan, kunt u de agent installeren vanuit de DPM-console.

  • Als u geen toegang hebt via de firewall, bevindt de computer die u wilt beveiligen zich in een werkgroep of niet-vertrouwd domein of moet u een andere installatiemethode gebruiken, kunt u de agent handmatig installeren en vervolgens de agent koppelen.

Firewall-uitzonderingen instellen

Als een beveiligingsagent via een firewall met de DPM-server kan communiceren, zijn firewall-uitzonderingen vereist.

Configureer een binnenkomende uitzondering voor sqlservr.exe voor het DPM-exemplaar van de SQL Server om TCP toe te staan op poort 80. De rapportserver luistert naar HTTP-aanvragen op poort 80. De volgende tabel bevat de protocollen en poorten die vereist zijn voor communicatie tussen de DPM-server en beveiligde servers en clients.

protocol Haven Bijzonderheden
DCOM 135/TCP
Dynamisch		 Het DPM-besturingsprotocol maakt gebruik van DCOM. DPM geeft opdrachten aan de beveiligingsagent door DCOM-aanroepen van de agent aan te roepen. De beveiligingsagent reageert door DCOM-aanroepen op de DPM-server aan te roepen.

TCP-poort 135 is het DCE-eindpuntomzettingspunt dat door DCOM wordt gebruikt.

Standaard wijst DCOM dynamisch poorten toe vanuit het TCP-poortbereik van 49152 tot en met 65535. U kunt dit bereik echter configureren met behulp van Component Services.

Voor communicatie met DPM-agents moet u de bovenste poorten 49152-65535 openen. Voer de volgende stappen uit om de poorten te openen:

1. Selecteer in IIS 7.0-beheer in het deelvenster Verbindingen het knooppunt op serverniveau in de structuur.
2. Dubbelklik op het FTP-firewallondersteuningspictogram in de lijst met functies.
3. Voer een reeks waarden in voor het poortbereik van het gegevenskanaal.
4. Nadat u het poortbereik voor uw FTP-service hebt ingevoerd, selecteert u in het deelvenster ActiesToepassen om uw configuratie-instellingen op te slaan.
TCP 5718/TCP
5719/TCP		 Het DPM-gegevenskanaal is gebaseerd op TCP. Zowel DPM als de beveiligde computer initieert verbindingen om DPM-bewerkingen in te schakelen, zoals synchronisatie en herstel.

DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719.
DNS (Domeinnaamsysteem) 53/UDP Wordt gebruikt tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller voor hostnaamresolutie.
Kerberos 88/UDP 88/TCP Wordt gebruikt tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller voor verificatie van het verbindingseindpunt.
LDAP 389/TCP
389/UDP		 Wordt gebruikt tussen DPM en de domeincontroller voor query's.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Wordt gebruikt tussen DPM en de beveiligde computer, tussen DPM en de domeincontroller, en tussen de beveiligde computer en de domeincontroller voor diverse bewerkingen. Wordt gebruikt voor SMB die rechtstreeks wordt gehost op TCP/IP voor DPM-functies.

De agent installeren vanuit de DPM-console

  1. Selecteer in de DPM Administrator-console Beheer>Agents. Selecteer op het lint van het hulpprogramma Installeren om de Installatiewizard voor de beveiligingsagent te openen.

  2. Op de pagina Agentimplementatiemethode selecteren, selecteer Agents installeren>Volgende.

  3. Op de pagina Computers selecteren geeft DPM een lijst weer met beschikbare computers die in hetzelfde domein als de DPM-server staan. Voeg de vereiste computer toe.

    • De eerste keer dat u de wizard gebruikt, vraagt DPM Active Directory om een lijst met beschikbare computers op te halen. Na de eerste installatie slaat DPM de lijst met computers op in de database, die eenmaal per dag wordt bijgewerkt door het proces voor automatische detectie.

    • Als u een computer in een ander domein wilt zoeken met een tweerichtingsvertrouwensrelatie met het domein waarin de DPM-server zich bevindt, moet u de FQDN (Fully Qualified Domain Name) typen van de computer die u wilt beveiligen. Bijvoorbeeld <Computer1>.Domain1.contoso.com, waarbij Computer1 de naam is van de computer die u wilt beveiligen en Domain1.contoso.com het domein is waartoe de doelcomputer behoort.

    • De knoppagina Advanced is alleen ingeschakeld wanneer er meer dan één versie van een beveiligingsagent beschikbaar is voor installatie op de computers. U kunt deze optie gebruiken om een eerdere versie van de beveiligingsagent te installeren die is geïnstalleerd voordat u de DPM-server hebt bijgewerkt naar een recentere versie.

  4. Typ op de pagina Referenties invoeren de gebruikersnaam en het wachtwoord voor een domeinaccount dat lid is van de lokale groep Administrators op alle geselecteerde computers.

    • Accepteer of typ in het vak Domein de domeinnaam van het gebruikersaccount dat u gebruikt om de beveiligingsagent op de doelcomputer te installeren. Dit account kan deel uitmaken van het domein waarin de DPM-server zich bevindt of aan een domein met een tweerichtingsvertrouwensrelatie met het domein waarin de DPM-server zich bevindt.

    • Als u een beveiligingsagent installeert op een computer in een vertrouwd domein, voert u uw huidige domeingebruikersreferenties in. U kunt lid zijn van elk domein met een tweerichtingsvertrouwensrelatie met het domein waarin de DPM-server zich bevindt en u moet lid zijn van de lokale groep Administrators op alle geselecteerde computers waarop u een agent wilt installeren.

    • Als u een knooppunt in een cluster selecteert, detecteert DPM alle extra knooppunten in het cluster en wordt de pagina Clusterknooppunten selecteren weergegeven.

  5. Selecteer op de pagina Clusterknooppunten selecteren een optie die DPM moet gebruiken voor het installeren van agents op extra knooppunten in het cluster en selecteer vervolgens Volgende.

  6. Selecteer op de pagina Methode Opnieuw opstarten kiezen de methode die u wilt gebruiken voor het herstarten van de geselecteerde computers nadat de beveiligingsagent is geïnstalleerd. De computer moet opnieuw worden opgestart voordat u gegevens kunt beveiligen. Opnieuw opstarten is nodig om het volumefilter te laden dat DPM gebruikt voor het bijhouden en overdragen van wijzigingen op blokniveau tussen de DPM-server en de beveiligde computers.

    • Als u ervoor kiest om de computers later opnieuw op te starten, wordt de installatiestatus van de beveiligingsagent niet automatisch vernieuwd op het tabblad Agents in het taakgebied Beheer nadat de computer opnieuw is opgestart en moet u Gegevens vernieuwenselecteren.

    • U hoeft de computer niet opnieuw op te starten als u een beveiligingsagent op een andere DPM-server installeert.

    • Als een van de computers die u hebt geselecteerd knooppunten in een cluster zijn, wordt een extra Methode opnieuw opstarten kiezen pagina weergegeven, die u kunt gebruiken om de methode te selecteren om de geclusterde computers opnieuw op te starten. U moet een beveiligingsagent installeren op alle knooppunten in een cluster om de geclusterde gegevens te beveiligen. De computers moeten opnieuw worden opgestart voordat u gegevens kunt beveiligen. Omdat er tijd nodig is om services te starten, kan het enkele minuten duren voordat DPM contact kan opnemen met de agent in het cluster.

    • DPM start een computer die deel uitmaakt van een MICROSOFT Cluster Server-cluster (MSCS) niet automatisch opnieuw op. U moet computers handmatig opnieuw opstarten in een MSCS-cluster.

  7. Selecteer de optie Installeren op de pagina Samenvatting om de installatie te starten. Als de gebruiksrechtovereenkomst wordt weergegeven, accepteert u deze voordat de installatie wordt gestart. Op het tabblad Taak van de installatiepagina kunt u zien of de installatie is geslaagd. U kunt Close selecteren voordat de wizard is voltooid en de voortgang van de installatie controleren in het tabblad Agents in het taakgebied Beheer. Als de installatie mislukt, kunt u de waarschuwingen bekijken in het taakgebied Bewaking op het tabblad Waarschuwingen.

Notitie

Nadat u een beveiligingsagent hebt geïnstalleerd op een computer die deel uitmaakt van een Windows SharePoint Services-farm, worden alle computers in de farm niet weergegeven als beveiligde computers op het tabblad Agents in het taakgebied Beheer, alleen de computer die u hebt geselecteerd. Als de Windows SharePoint Services-farm echter gegevens bevat op de geselecteerde computer, beveiligt DPM de gegevens op alle computers in de farm, mits de beveiligingsagent voor alle computers in de farm is geïnstalleerd.

De agent handmatig installeren

  1. Als u de agent installeert op een computer achter een firewall, moet u ervoor zorgen dat de agent door de firewall heen kan worden gestuurd.

    U kunt bijvoorbeeld de volgende opdracht op de computer uitvoeren om de Windows Firewall in te stellen: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, waarbij IPAddress het adres van de DPM-server aangeeft.

    Zie Firewall-uitzonderingen configureren voor de agentals u de poort-uitzondering op de firewall wilt configureren.

  2. Open op de computer die u wilt beveiligen een opdrachtpromptvenster met verhoogde bevoegdheid en voer vervolgens de volgende opdrachten uit:

    Als u een stationsletter wilt toewijzen, typt u: net use Z: \<DPMServerName>\c$ waarbij Z de lokale stationsletter is die u wilt toewijzen en <DPMServerName> de naam is van de DPM-server die de computer beveiligt.

    Ga als volgt te werk om de map te wijzigen:

    • Voor een 64-bits computer typt u: cd /d de toegewezen stationsletter<>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<het buildnummer>.0\amd64, waarbij de toegewezen stationsletter <> de stationsletter is die u in de vorige stap hebt toegewezen en het buildnummer <> het meest recente DPM-buildnummer is. Bijvoorbeeld: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Voor een 32-bits computer typt u: cd /d <toegewezen stationsletter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildnummer>.0\i386 waar <toegewezen stationsletter> het station is dat u in de vorige stap hebt toegewezen en <buildnummer> het meest recente DPM-buildnummer is.

  3. Als u de beveiligingsagent wilt installeren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u een van de volgende opdrachten uit:

    • Voor een 64-bits computer typt u: DpmAgentInstaller_x64.exe <DPMServerName> waarbij <DPMServerName> de FQDN (Fully Qualified Domain Name) van de DPM-server is. Bijvoorbeeld: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Voor een 32-bits computer typt u: DpmAgentInstaller_x86.exe <DPMServerName> waarbij <DPMServerName> de FQDN (Fully Qualified Domain Name) van de DPM-server is.

    Notitie

    • Als u een stille installatie wilt uitvoeren, kunt u de optie /q gebruiken na de opdracht DpmAgentInstaller_x64.exe. Bijvoorbeeld: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Als u de gebruiksrechtovereenkomst handmatig wilt accepteren in een installatie op de achtergrond, gebruikt u DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Als u een DPM-servernaam opgeeft in de opdrachtregel, wordt de beveiligingsagent geïnstalleerd en worden automatisch de beveiligingsaccounts, machtigingen en firewall-uitzonderingen geconfigureerd die nodig zijn om de agent te laten communiceren met de opgegeven DPM-server. Als u geen servernaam hebt opgegeven, opent u een opdrachtprompt met verhoogde bevoegdheid op de doelcomputer en doet u het volgende:
      1. Het maptype wijzigen: cd /d <systeemstation>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. Type: SetDpmServer.exe -dpmServerName <DPMServerName>. Hiermee configureert u de beveiligingsaccounts, machtigingen en firewall-uitzonderingen voor de agent om met de server te communiceren.

  4. Als u de computer hebt toegevoegd aan de DPM-server voordat u de agent hebt geïnstalleerd, begint de server back-ups te maken voor de beveiligde computer. Als u de agent hebt geïnstalleerd voordat u de computer aan de DPM-server hebt toegevoegd, moet u de computer koppelen voordat de DPM-server begint met het maken van back-ups.

De beveiligingsagent installeren op een RODC

Gebruik deze stappen:

  1. Schakel de firewall uit op de RODC of voer de volgende opdrachten uit op de RODC voordat u de agent installeert:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Maak en vul op de primaire domeincontroller de volgende beveiligingsgroepen in (waarbij de naam van de beveiligde server de naam is van de RODC waarop u de beveiligingsagent wilt installeren):

    • Maak een beveiligingsgroep met de naam DPMRADCOMTRUSTEDMACHINES$PSNAMEen voeg vervolgens het DPM-servercomputeraccount toe als lid.

    • Maak een beveiligingsgroep met de naam DPMRADMTRUSTEDMACHINES$PSNAMEen voeg vervolgens het DPM-servercomputeraccount toe als lid.

    • Maak een beveiligingsgroep met de naam DPMRATRUSTEDDPMRAS$PSNAMEen voeg vervolgens het DPM-servercomputeraccount toe als lid.

    • Voeg het DPM-servercomputeraccount toe als lid van de Builtin\Distributed Com Users beveiligingsgroep.

  3. Zorg ervoor dat de beveiligingsgroepen die u eerder hebt gemaakt, zijn gerepliceerd op de RODC. Installeer vervolgens de beveiligingsagent handmatig op de RODC.

  4. Voer op de RODC-server de volgende stappen uit om start- en activeringsmachtigingen te verlenen voor de DPMRA-service:

    1. Open DPM Management Shell en voer de opdracht dcomcnfg.exeuit.

      Het venster Component Services wordt geopend.

    2. Vouw in het venster Component ServicesComputersuit, vouw Mijn computeruit, vouw DCOM-configuratie uit, klik met de rechtermuisknop op deDPM RA--service en selecteer Eigenschappen.

    3. Selecteer Algemeenen stel vervolgens het verificatieniveau in op Standaard.

    4. Selecteer Locatieen zorg ervoor dat alleen Toepassing uitvoeren op deze computer is geselecteerd.

    5. Selecteer Security, selecteer Aanpassen onder Start- en activeringsmachtigingen, selecteer aanpassen en selecteer vervolgens Bewerken om het dialoogvenster Machtiging starten te openen.

    6. Wijs in het dialoogvenster Machtiging starten machtigingen toe voor lokale start, extern starten, lokale activeringen externe activering voor het DPM-servercomputeraccount.

    7. Selecteer OK- om het dialoogvenster te sluiten.

    8. Navigeer naar Program Files\Microsoft System Center\DPM\DPM\setup op de DPM-server. Kopieer de volgende bestanden naar een map op de RODC-server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Voer op de RODC vanaf een verhoogde opdrachtprompt de opdracht uit setagentcfg.exe DPMRA-domein\DPMserver vanaf de locatie die u in de vorige stap hebt opgegeven.

  6. Blader op de RODC-server naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin en voer de opdracht setdpmserver uit:

    Setdpmserver -dpmservername DPMSERVER

  7. koppel de beveiligingsagent aan de DPM-server, zoals beschreven in de volgende sectie.

De agent koppelen

Nadat u de DPM-agent handmatig hebt geïnstalleerd, moet u de agent koppelen aan de DPM-server.

  1. Selecteer in de DPM Administrator-console op de navigatiebalk de optie Productieservers voor beheer>. Selecteer Toevoegen in het deelvenster Acties.

  2. Selecteer op de pagina Selectiemethode voor agentimplementatie de optie Agents koppelen>Computers in een vertrouwd domein>Volgende. De installatiewizard van de beveiligingsagent wordt geopend.

  3. Op de pagina Selecteer computers geeft DPM een lijst weer met beschikbare computers in hetzelfde domein als de DPM-server. Selecteer een of meer computers (maximaal 50) uit de lijst Computernaam>Toevoegen>Volgende.

    • Als dit de eerste keer is dat u de wizard hebt gebruikt, vraagt DPM Active Directory om een lijst met mogelijke computers op te halen. Na de eerste installatie geeft DPM de lijst weer van computers in de database, die eenmaal per dag wordt bijgewerkt door het proces voor automatische detectie.

    • Als u meerdere computers wilt toevoegen met behulp van een tekstbestand, selecteert u de knop Toevoegen uit bestand en typt u in het dialoogvenster Bestand toevoegen de locatie van het tekstbestand of selecteert u Bladeren om naar de locatie te navigeren.

  4. Typ op de pagina Referenties invoeren de gebruikersnaam en het wachtwoord voor een domeinaccount dat lid is van de lokale groep Administrators op alle geselecteerde computers. Accepteer of typ in het vak Domein de domeinnaam van het gebruikersaccount dat u gebruikt om de beveiligingsagent op de doelcomputer te installeren. Dit account kan deel uitmaken van het domein waarin de DPM-server zich bevindt of aan een vertrouwd domein. Als u een beveiligingsagent installeert op een computer in een vertrouwd domein, voert u uw huidige domeingebruikersreferenties in. U kunt lid zijn van elk vertrouwd domein en u moet lid zijn van de lokale groep Administrators op alle geselecteerde computers die u wilt beveiligen.

  5. Selecteer op de pagina Samenvatting de optie Bijvoegen.

  • Last updated on