DPM 2010 - Installazione del Protection Agent

Un protection agent è un software che viene installato sui computer che intendiamo proteggere con Data Protection Manager.

E’ costituito da un servizio più un file system filter driver, che consentono di identificare (con l’aiuto dei writer presenti sulla macchina) le risorse che possiamo proteggere, tenere traccia dei cambiamenti dei dati che stiamo proteggento e trasferire questi cambiamenti dal server protetto al server DPM.

Il protection agent ricopre, dunque, un roulo fondamentale ed è indispensabile affinche possa essere configurata la protezione di un determinato server.

Occorrerò, per questo motive, installarlo su tutti i server della nostra rete che intendiamo proteggere con Data Protection Manager.

La procedura di installazione del protection agend sarà differente a seconda del fatto che la macchina sia protetta da firewall o meno.

In entrambi i casi, comunque, la gestione degli agenti avviene dal seguente tab nella console di DPM:

clip_image001

In questo caso, non ci sono ancora agenti collegati a questo server DPM. Un volta installato l’agente, verrà riportato nella scheda sopra come unprotected, fino a che non includeremo uno dei datasources del relativo server all’interrno di un protection group.

Vediamo, ora, gli step per installare l’agente nelle diverse situazioni che possono presentarsi.

Installazione dell’agente su un computer non protetto da firewall o con le opportune esclusioni già impostate

In questa particolare circostanza è possibile installare l’agente direttamente dal server DPM, attraverso la seguente procedura:

  1. Dalla scheda riportata sopra, possiano fare click su Install...Verrà avviato ilProtection Agent Installation Wizard.
  2. Nella pagina Select Agent Deployment Method, selezionare Install agents, e premere su Next.
  3. Nella pagina Select Computers, DPM visualizza unaa lista di computer disponibili nello stesso dominio in cui è presente il server DPM. Se è la prima volta che si apre lo wizard, DPM interrogherà active directory per recuperare la lista dei server disponibili, che verranno succesivamente memorizzati nel database. Questa lista viene aggiornata una volta al giorno attraverso il processo di auto-discovery
    Anzichè utilizzare la lista è anche possibile digitare direttamente il nome del server sul quale si vuole installare l’agente. Quest’ultimo step risulta necessatio se stiamo aggiungendo un computer che risiede in un’altro dominio (con una relazione di trust two-way con il dominio in cui risiede il server DPM) per il quale dovremmo specificare il nome FQDN.
  4. Nella pagina successiva occorrerà inserire le credenziali in account che abbia diritti amministrativi sulla macchina su cui vogliamo installare l’agente
  5. Se è stato selezionato un nodo di un cluster, verra visualizzata un’ulteriore pagina che consente di selezionare i restanti nodi ed utilizzare le stesse credenziali per l’installazione
  6. Nella pagina Choose Restart Method, selezionare il metodo di restart che si vuole utilizzare. Con DPM 2010 non è richiesto un restart della macchina, essendo stato sostituito il volume filter driver utilizzato in DPM 2007 con un file system filter driver. Tuttvavia può essere necessario un reboot in caso di update dell’agente da 2007 a 2010.
  7. Alla fine verrà presentata la pagina Summary, dalla quale potremmo avviare l’installazione e e monitorare l’esito dell’operazione.

Installazione dell’agente su un computer protetto da firewall

E’ possibile eseguire anche l’installazione manualmente, o attraverso un qualsiasi metodo di ditribuzione.

Durante questo paragrafo vedremo gli step da seguire per l’installazione manuale. Questa tipologia di installazione risulta obbligatoria quando il computer che vogliamo proteggere è dietroun firewall, in un workgroup o in un dominio che non ha una relazione di trust two-way con quello in cui risiede il server DPM.

In seguito all’installazione manuale dell’agente su un server, dovremmo farne l’attach del computer dalla console di dpm, partendo dalla schermata riportata sopra.

Occorrerà seguire i seguenti steps:

  1. Dalla scheda riportata sopra, possiano fare click su Install...Verrà avviato ilProtection Agent Installation Wizard.
  2. Nella pagina Select Agent Deployment Method, selezionare attach agents, e premere su Next
  3. Da qui in poi seguire le stesse istruzioni indicate nel paragrafo precedente per l’installazione da console dell’agente

E’ possibile anche fare l’attach di un computer ed effettuare l’installazione dell’agente in un secondo istante. In questo caso nell’eleno degli agenti nella console di DPM, l’agente verrà visualizzato in uno stato d’errore fino a quando non verrà effettivamente installato sul computer da proteggere.

Per l’installazione manuale dell’agente, possiamo seguire la seguente procedura:

  1. Copiare il pacchetto di installazione dell’agente dal server DPM. I files sono contenuti nel folder:
    C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build number>.0\amd64 (Versione x64)
    C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build number>.0\i386 (Versione x86)

    In alternativa,  è possibile mappare questa cartella direttamente sul server che vogliamo proteggere. In questo caso possiamo aprire un command prompt con diritti amministrativi ed eseguire il seguente comando:
    net use Z: \c$">\\<DPMServerName>\c$

    Da qui potremo poi raggiungere i path indicati in precedenza.

  2. Posizionarsi nella cartella (Locale o connessa al server dpm) dove sono contenuti i file di installazione dell’agente, da un command prompt con diritti amministrativi. Eseguire il seguente comando:
    Computers 64 bit: DpmAgentInstaller_x64.exe <DPMServerName>
    Computers 32 bit: DpmAgentInstaller_x86.exe <DPMServerName>

  3. In entrambi I casi <DPMServerName> rappresenta il nome FQDN del server DPM, esempio mydpmsrv.microsoft.com.

  4. E’ anche possibile effettuare l’installazione senza specificare il nome del server DPM, che però andrà impostato in un secondo momento.

Occorrerà aprire un promp con diritti amministrativi e posizionarsi sulla seguente cartella: <system drive>:\Program Files\Microsoft Data Protection Manager\DPM\bin.

Eseguire il comando:

SetDpmServer.exe –dpmServerName <DPMServerName>

Per effettuare l’installazione silent dell’agente, basterà utilizzare lo switch /q, esempio:

DpmAgentInstaller_x64.exe /q <DPMServerName>

Installazione dell’agente su un computer appartenente ad un workgroup o un dominio che non ha una relazione di trust con il dominio del server DPM

L’installazione dell’agente nei computer appartenenti a questa categoria, richiede qualche step ulteriore rispetto alle procedure viste in precedenza.

Occorrerà installare manualmente l’agente sulla macchina e successivamente effettuare l’attach dalla console del server DPM.

Per l’installazione manuale, potremmo seguire i seguenti steps:

  1. Copiare il pacchetto di installazione dell’agente dal server DPM. I files sono contenuti nel folder:
    C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build number>.0\amd64 (Versione x64)
    C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build number>.0\i386 (Versione x86)

  2. Installare l’agente attraverso l’eseguibile DpmAgentInstaller_x64.exe,o DpmAgentInstaller_x86.exe a seconda dell’architettura del sistema

  3. Specificare l’utente locale che verra utilizzato per l’autenticazione, attrvaerso il seguente comando:
    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix> ]

    Il significato dei parametri è il seguente:

  • IsNonDomainServer = Specifica che il server appartiene ad un workgroup o a un dominio che non ha una relazione di trust
  • UserName = Crea un account che verra utilizzato per la comunicazione tra il server proteccto ed il server DPM
  • ProductionServerDnsSuffix = Permette di specificare il suffisso dns che il server DPM dovrà utilizzare per comunicare con il server protetto
  • DpmServerName = Nome FQDN del server DPM

Durante l’esecuzione del comando, verrà richiesto di specificare la password per il nome dell’account indicato in precedenza.

In seguito all’installazione manuale, occorrerà fare l’attachment dal server DPM seguendo i seguent steps:

  1. 1. Dalla scheda riportata sopra, possiano fare click su Install...Verrà avviato ilProtection Agent Installation Wizard.
  2. 2. Nella pagina Select Agent Deployment Method, selezionare attach agents, e premere su Next
  3. 3. Nella pagina successiva occorrerà inserire le credenziali in account creato durante l’installazione manuale
  4. 4. Da qui in poi seguire le stesse istruzioni indicate nel paragrafo precedente per l’installazione da console dell’agente

Installazione dell’agente in un Read-Only Domain Controller

Se un firewall è abilitato sul RODC, occorrera disabibilitarlo o eseguire i seguenti comandi prima di procedere con l’installazione dell’agente:

netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  1. Creare e popolare I seguenti security groups:
  • Creare DPMRADCOMTRUSTEDMACHINES$PSNAME ed inserirci all’interno l’account del server DP
  • Creare DPMRADMTRUSTEDMACHINES$PSNAME ed inserirci all’interno l’account del server DPM
  • Aggiungere l’account del server DPM al gruppo Builtin\Distributed Com Users
  • Verificare che i security groups vengano replicati nel RODC
  • Installare il protection agent nel RODC
  • Eseguire is seguenti steps sul server RODC:
  1. Eseguire il comando dcomcnfg.exe da un command prompt
  2. Nella finestra Component Services, espandere Computers, My Computer, DCOM Config,  tasto destro su DPM RA service, e cliccare su Properties.
  3. Dalla scheda General, impostare l’Authentication Level a Default.
  4. Dalla scheda Location, verificare che esclusivamente Run application on this computer sia selezionato.
  5. Sotto Launch and Activation Permissions, selezionare Customize, click su Edit ed aprire il dialog box Launch Permission.
  6. Assegnare le permissions per Local Launch, Remote Launch, Local Activation, e Remote Activation per l’account macchina del server DPM.
  • Dal path <drive letter>:\Program Files\Microsoft DPM\DPM\setup sul server DPM, copiare I seguenti file nella cartella <drive letter>:\Program Files\Microsoft DPM\DPM\setup del server RODC:
    setagentcfg.exe
    traceprovider.dll
    LKRhDPM.dll
  • Dalla cartella (<drive letter>:\Program Files\Microsoft DPM\DPM\setup sul server RODC, eseguire il comando setagentcfg.exe a DPMRA domain\DPMserver da un prompt dei comandi con diritti amministrativi
  • Fare l’attach del protection agent della console del server DPM.

Questo è tutto per l’installazione del protection agent in DPM 2010. Smile

Spero che questo articolo possa aiurarvi durante il deployment degli agenti nella vostra infrastruttura.

Mattia Tocco
Support Escalation Engineer
Microsoft Enterprise Platform Support