DPM 2010、2007のエージェントの展開方法について
こんにちは、System Center サポート部の石井です。
DPM 2010 を検討、ご利用いただいているお客様が増加しており、DPM エージェントのインストール方法についてのお問い合せを多くいただいております。
今回のブログでは、DPM エージェントのプッシュ インストールに失敗する場合のトラブルシュートや、手動インストール方法についてご紹介いたします。
- DPM エージェント プッシュ インストールに失敗する場合のトラブルシュート
サポート部門に寄せられるお問い合せにおきましての多くは、以下の 3 つのケースにてプッシュ インストールに成功しておりました。
1. Windows Firewall を無効化する
Windows Server 2008 以降の Windows では、既定で Windows Firewall が有効になっていますが、プッシュ インストールには Windows Firewall を無効化する必要がございます。(無効化が難しい環境の場合、後述いたしますとおり、手動インストールを行う必要がございます。)
参考: Installing Protection Agents Manually (DPM 2010)
https://technet.microsoft.com/en-us/library/ff399459.aspx
DPM エージェントのインストール時に、自動的に DPM の通信用の Windows Firewall の例外を登録しますので、エージェントのインストール完了後は Windows Firewall を有効化しても DPM 用に通信が可能となります。
ドメイン ポリシーにて Windows Firewall がオフに出来ない環境の場合は、エージェントは手動インストールする必要があります。
また、Windows Firewall 以外の Firewall が存在する環境の場合、エージェントの手動インストールを行った上で以下の例外を登録して下さい。
参考: Configuring Firewalls
https://technet.microsoft.com/en-us/library/ff399341.aspx
2. Windows Firewall サービスを無効化する
保護対象側にて [管理ツール] – [サービス] コンソールより、Windows Firewall サービスを無効化することでプッシュインストールに成功するという事例が複数ございました。(本手順は本来必須ではございませんが、プッシュ インストールに失敗する際の回避策としてお試し下さい。)
また、Windows Firewall サービスを停止してのプッシュインストール時には自動的に Windows Firewall の例外登録は行われませんので、以下手順にございます保護対象上のマシンにて SetDPMServer コマンドを実行する必要があります。(SetDPMServer コマンド実行時にはサーバーの再起動は必要ありません。)
手順:
1. 保護対象のサーバにて、管理者権限にてコマンド プロンプトを開き、以下のフォルダに移動します。
“C:\Program Files\Microsoft Data Protection Manager\DPM\bin"
コマンド例:
>cd “C:\Program Files\Microsoft Data Protection Manager\DPM\bin"
2. SetDpmServer.exe コマンド を実行してください。
>SetDpmServer.exe -dpmservername <DPM サーバーのコンピュータ名>
コマンドの実行後、 Configuration completed successfully!!! と表示されることをご確認ください。
3. Distributed COM Users グループに DPM サーバーのコンピュータアカウントを追加する
保護対象上の Distributed COM Users グループに DPM サーバーのコンピュータアカウントを追加することでプッシュ インストールに成功する事例がございました。
手順:
1. 保護対象サーバーにローカル管理者権限でログインします。
2. [スタート] メニューを開き、[コンピューター]上で右クリックし、[管理] を選択します。
3. [サーバーマネージャー] 配下の [構成] のノードを展開し、[ローカルユーザーとグループ] を選択し、ノードを展開します。
4. [グループ] を選択し右画面から [Distributed COM Users] を見つけます。
5. [Distributed COM Users] 上で右クリックし [プロパティ] を選択します。
6. [追加] ボタンをクリックし、[オブジェクトの種類]ボタンを押して、「コンピュータ」にチェックを入れ [OK] を押します。
7. DPM サーバーのコンピューターアカウントを追加します。
※ ユーザーのグループメンバシップに対する変更は、そのユーザーが次にログオンするまでは有効になりません。
4 .上記以外のケースについて
上記以外のケースでプッシュインストールに失敗するパターンとして、保護対象個々のアプリケーションと DPM エージェントのリモート インストールを担当する DPMAC (DPM エージェント コーディネーター) サービスとの TCP/IP ポートの競合や、環境個別のセキュリティ設定の影響など様々な理由が考えられます。
失敗の原因がエージェントのインストーラログに残る可能性が少ない為、調査を行うにあたっては、こういった個々の状況を詳細に解析してゆく他無く、非常にお客様の負担の大きいものとなります。(サポート対応としては、お客様の環境をお借りしてライブ デバッグによる調査を行う必要がございます。)
また、環境固有の要因にて失敗している場合には、単一のマシンへの調査結果が他のマシンへの同事象への応用がきくものでは無い為、毎回、環境別にトラブルシュートや切り分けを行っていく必要がございます。
こういった背景から、上記 1 ~ 3 のトラブルシュートを行ってもプッシュインストールに成功しない場合には、手動インストールを行う回避策を実施いただくことをお奨めいたします。
- DPM エージェントを手動インストールにて展開する方法
手動インストールのメリットとして、上記のようなプッシュ インストール時の通信やセキュリティ等の問題が無く、失敗事例がきわめて少ないことが挙げられます。プッシュ インストール失敗時の個別のトラブル シュートが面倒な場合には、こちらをお奨めいたします。
また、”手動” という言葉のニュアンスから、面倒な感じはいたしますが、実際はプッシュインストールにおいても Windows Firewall を個別に設定する、という保護対象ごとの作業が必要な為、手間はさほど変わりません。
DPM のエージェントを複数の保護対象に展開することを前提とした、最も効率の良い方法は以下の KB 968964 に示されている方法となります。
参考情報: System Center Data Protection Manager 2007 で [DPM 2007 管理者コンソール] からの保護エージェントのリモート インストール、またはアップデートに失敗する
https://support.microsoft.com/kb/968964/ja
上記 KB については、DPM 2007 用のものとなりますが、DPM 2010 でも同様です。以下の相異点にのみ、ご注意下さい。
※ DPM 2010 での KB 968964 からの相違点 1
回避策 手順 1 でのエージェントのパスですが、DPM 2010 では DPM サーバーの以下パスにございます。
C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64\DPMAgentInstaller_x64.exe (64 ビット版)
C:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\i386\DPMAgentInstaller_x86.exe (32 ビット版)
また、DPM 2010 の更新プログラム (例えば、2010/11/10 のロールアップである KB 2205444) を適用した DPM 2010 の場合には、以下のパスにある最新版のエージェントを使用します。
パス: Program Files\Microsoft DPM\DPM\agents\RA\3.0.7706.0\1033
ファイル名: DPMAgentInstaller_KB2250444_AMD64.exe
※ より新しい更新プログラムを適用している場合、上記パスの "3.0.<4桁の数字>.0" がより大きな値のものが作成されますので、そちらを辿って、最新のエージェント インストーラーを使用して下さい。
※ DPM 2010 での KB 968964 からの相違点 2
回避策 手順 5 では、AttachProductionServer.ps1 スクリプトの実行ではなく、DPM サーバーの UI 上から以下を実行します。
1. [DPM 2010 管理者コンソール] を開き、[管理] タブ – [エージェント] タブを開き、画面右の操作ペインより ”インストール” を選択します。
2. “保護エージェントのインストールウィザード” の最初の画面にて、”エージェントの接続” を選択します。
3. “コンピューターの選択” 画面にて、エージェントを手動インストールした保護対象マシンを選択し、保護対象の管理者権限を持つユーザー名、パスワード、ドメインを入力してウィザードを完了させます。
※ 注意点
回避策 手順 1 にて、保護対象上からファイル共有にアクセスする必要があるため、事前に DPM サーバーと保護対象のマシンにて ”Windows Firewall” の設定にて、” ファイルとプリンタの共有(SMB受信)” (もしくは TCP 445) の例外登録を行う必要がございます。(ファイル共有へのアクセスを行わない方法を取る場合には、インストーラーファイルを DVD メディアや外付けストレージ等で保護対象のローカル ドライブにコピーする必要があります。)
その他、DPM 2010 展開時の条件や手順などがシナリオごとに記載された資料がございます。エラー発生時の対応方法も記載されておりますので、是非ご一読ください
参考情報: Deploying System Center Data Protection Manager 2010
https://www.microsoft.com/downloads/en/details.aspx?FamilyID=4EA389EF-7626-48AC-BAC2-66EF4173F167
また、弊社開発部門のブログにて、DPM エージェントの展開方法をブログにて紹介しておりますので、こちらもご参考下さい。
参考情報: Scripting the DPM agent installation...
https://blogs.technet.com/b/dpm/archive/2007/07/02/scripting-the-dpm-agent-installation.aspx