Главная > DPM 2010, DPM в сети > Компоненты и сетевые соединения DPM (часть 1)

Компоненты и сетевые соединения DPM (часть 1)

В данной статье будут рассмотрены основные компоненты DPM 2010 и сетевые соединения, необходимые для их корректной установки, функционирования и взаимодействия. А так же показано на небольшом примере — как с помощью групповых политик настроить сервер Windows 2008 R2 на беспрепятственную работу, так называемой, push установки агентов DPM.

Если вы имеете хоть какое-то отношение к администрированию DPM, вам должна быть знакома такая картинка:

RPC error

Ее можно увидеть при попытке установить агента DPM на Windows Server,  с включенным брандмауэром. Существует множество публикаций на английском языке, описывающих комплекс обходных маневров при возникновении указанной и схожих ошибок (например — DPM agent install and Windows 2008 server Harding). У таких способов установки есть один существенный минус — необходимо заходить на каждый сервер и выполнять кучу однотипных действий.

При условии, что ваш сервер не подвергся воздействию жестких настроек мастера настройки безопасности и не обложен политиками, существенно изменяющими правила брандмауэра, вы сможете использовать метод, предложенный в этой статье для создания среды беспрепятственной установки агента DPM на сервера 2008 и 2008 R2 из серверной консоли DPM. Тем самым вы сэкономите много времени и сил, избежав необходимости прикручивать агент на каждом сервере вручную. Забегая вперед, скажу, что в этом посте я не преследовал цели научить кого-либо использовать групповые политики и сопутствующие инструменты. Скорее, это просто развернутый ответ на вопрос, заданный Александром Ващуковым в русскоязычном форуме TechNet.

Для начала посмотрим, что нам говорит официальная документация DPM касательно его сетевых соединений. Существует документ Configuring Firewalls, перевод которого я приведу ниже:

Протокол Порт Описание
DCOM 135/Динамические порты RPC Протокол управления DPM использует DCOM. DPM выдает команды агенту защиты путем создания вызовов DCOM. Агент защиты отвечает создавая вызовы на стороне DPM сервера.TCP порт 135 используется для конечных точек распределенной вычислительной среды DCOM.По умолчанию, DCOM динамически назначает порты из диапазона TCP 1024-65535. Вы можете изменить этот диапазаон используя Службы компонентов. Для получения подробной информации смотрите Using Distributed COM with Firewalls*Обратите внимание, что для агента DPM необходимо открыть верхние порты и диапазона 1024-65535. Чтобы сделать это, выполните следующие шаги:

  1. В Диспетчере служб IIS в окне Подключения кликните на узел-сервер в древовидной структуре.
  2. Двойным кликом откройте Поддержка брандмауэра FTP среди возможностей в окне Начальная страница.
  3. Введите требуемые значения в окно Диапазон портов канала данных.
  4. После ввода данных, кликните Применить в панели Действия.**
TCP 5718/TCP
5719/TCP
Канал передачи данных DPM. Сервер и агент DPM инициируют соединения для выполнения операций DPM, таких как синхронизация и восстановление. DPM связывается с координатором агента используя порт 5718 и с агентом защиты — порт 5719***.
DNS 53/UDP Используется между DPM и контроллером домена, между защищенным компьютером и контроллером домена для разрешения имен хостов.
Kerberos 88/UDP 88/TCP Используется между DPM и контроллером домена, между защищенным компьютером и контроллером домена для аутентификации конечной точки.
LDAP 389/TCP
389/UDP
Используется для запросов между DPM и контроллером домена.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Используется между DPM и защищенным компьютером, между DPM и контроллером домена, между защищенным компьютером и контроллером домена для различных операций. Используется для SMB непосредственно размещенного на TCP/IP для функций DPM.

DPM agent install and Windows 2008 server Harding

* — по ссылке указано Content Removed (содержимое удалено). Судя по всему — это давно и надолго. Из наиболее схожего по тематике материала, что мне удалось найти — Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

** — опыт подсказывает мне, что может потребоваться Перезапустить службы IIS для применения настроек через панель Действия на уровне сервера.

*** — явная ошибка, давно известная группе DPM. Правильный вариант — DPM связывается с координатором агента используя порт 5719 и с агентом защиты — порт 5718.

Для полноты картины необходимо пояснить — что же это за агент и координатор, «сидящие» на соседних портах и обеспечивающие все процессы DPM. В контексте DPM присутствует пара агентов, как различных понятий, но обо всем по порядку:

Агент защиты DPM (DPM protection agent) — приложение, устанавливаемое на каждый компьютер, защищаемый с помощью DPM. Выполняет следующие функции:

  • При защите файловых ресурсов: Записывает изменения защищенных данных в журнал изменений. Создает отдельный журнал для каждого защищенного тома. Журналы хранит в скрытых разреженных файлах на тех же защищенных томах. Передает журнал изменений с защищенного компьютера на сервер DPM, что позволяет DPM синхронизировать реплику (принимает журнал и синхронизирует данные другой агент на стороне сервера DPM).
  • При защите различных приложений и баз данных: Передает журналы транзакций соответствующих приложений с защищенного компьютера на сервер DPM. При выполнении быстрой полной архивации действует аналогично защите файловых ресурсов через журнал изменений.
  • Позволяет серверу DPM просматривать общие папки, тома и папки на защищенном компьютере.
  • Формирует список ресурсов, которые возможно включить в группу защиты, на защищаемом компьютере.
  • Участвует в процессе восстановления данных.

Агент защиты контролируется сервером DPM, с которого был установлен, либо на который был настроен выполнением команды SetDpmServer. Приложение Агент защиты состоит из самого агента и Координатора агента.

Координатор агента — программа, временно устанавливаемая на защищаемый компьютер в процессе установки, обновления или удаления Агента защиты. Как явно следует из определения, Координатор агента выполняет функции управления процессом установки, обновления и удаления агента.

Помимо этих понятий, при работе с DPM, отдельно необходимо выделить службу Агент защиты (он же DPM Replication agent, DPMRA, DPM Protection agent service) и службу Координатор агента.

Служба агента защиты является основным компонентом приложения Агент защиты. Выполняет функции:

  • Синхронизация реплик DPM с источниками данных, путем получения журналов изменений (для файлов) или журналов транзакций (для приложений) и применения их к репликам.
  • Восстановление данных на основе выданных сервером DPM реплик.

Исполняемый файл службы расположен по пути %ProgramFiles%\Microsoft Data Protection Manager\DPM\Bin\DPMRA.exe

Зарегистрирована в системе и работает на стороне сервера DPM и защищаемого компьютера под именем DPMRA.

Про службу Координатор агента сложно сказать что-то особенного, кроме перечисленных для одноименного приложения функций. Единственный интересный момент — данная служба существует на защищаемом компьютере только в процессе установки, удаления или обновления Агента защиты. На самом же сервере DPM присутствует постоянно с отображаемым именем службы Координатор агента DPM.

Исполняемый файл службы расположен по пути %SystemRoot%\Microsoft Data Protection Manager\DPM\Protection Agent\AC\<версия агента>\DPMAC.exe.

В случае обновления уже установленного агента по каким-то собственным соображениям служба устанавливается из папки  %ProgramFiles%\Microsoft Data Protection Manager\DPMAC\bin\dpmac.exe

Координатор агента зарегистрирован в системе и работает под именем DPMAC.

Безусловно, это не все компоненты DPM, но в контексте сетевых соединений с агентом DPM нам интересны только пречисленные. Хотя, для порядка назову остальные:

  • На стороне сервера DPM существуют центральная служба DPM. Исполняемый файл %ProgramFiles%\Microsoft DPM\DPM\bin\msdpm.exe. Работает в системе под простым и лаконичным именем — DPM. Выполняет функцию управления операциями DPM.
  • На сервере DPM присутствует так же служба агента библиотеки DPM. Исполняемый файл  %ProgramFiles%\Microsoft DPM\DPM\bin\DPMLA.exe. Зарегистрирована в системе под именем DPMLA. Из названия очевидно, что служба отвечает за работу с ленточными библиотеками. Присутствует на сервере, даже никогда не видевшем ленту.
  • На сервере DPM функционирует служба модуль записи DPM (DPM Writer service). Исполняемый файл %ProgramFiles%\Microsoft DPM\DPM\bin\DpmWriter.exe. В системе значится под именем DpmWriter. Дословно цитируя описание «Управляет теневыми копиями для резервного копирования реплик Data Protection Manager и резервными копиями баз данных DPM и DPM Report в целях архивации данных.»
  • Автоматическое разрешение проблем на основании выданных предупреждений обеспечивает служба DPM AccessManager на сервере DPM. Исполняемый файл %ProgramFiles%\Microsoft DPM\DPM\bin\DPMAMService.exe. Зарегистрирована с именем DPMAMService.
  • В анналах Microsoft я нашел еще одного агента DPM. Судя по всему, очень глубоко законспирированного. Речь идет о MsDpmSnAgent.exe, в пояснении к которому сказано The storage node agent service. Т.к. я не нашел никаких упомнинаний этого агента ни на своих серверах, ни за пределами справки DPM, какие-либо пояснения по его работе дать сложно.

«Такая куча компонентов и неинтересна с точки зрения сетевых соединений!» — подумаете вы. Поясню. Дело в том, что все дополнительно названные агенты и службы работают на стороне сервера DPM и получают необходимые права и сетевые правила при установке сервера. Смысла не доверять серверным компонентам DPM с автоматически созданными правилами брандмауэра в обычной инфраструктуре я не вижу. В необычной? Тогда человеку, ей управляющей, данный материал неинтересен.

Таким образом мы подходим к сетевым правилам для взаимодействия сервера и агента. Как вы уже поняли, сервер сам себе все прописал, и осталось озаботиться стороной защищаемых компьютеров. Нам необходимы следующие правила:

Агент защиты DPMRA:

  • путь %ProgramFiles%\Microsoft Data Protection Manager\DPM\Bin\DPMRA.exe
  • протокол TCP
  • порты 135, 5718, динамические порты RPC

Координатор DPMAC:

  • путь %SystemRoot%\Microsoft Data Protection Manager\DPM\ProtectionAgents\AC\3.0.7696.0\DPMAC.exe
  • протокол TCP
  • порты 5719, динамические порты RPC

Для наглядности добавлю скриншот с оснастки Редактор управления групповыми политиками на котором видны правила для сервера DPM с IP-адресом 192.168.100.2:

Правила в примере настроены с максимальным ограничением — заданы профиль и IP-адрес сервера DPM. Примените к своим защищаемым компьютерам аналогичные или «помягче» и push установка агентов всегда будет проходить успешно.

Обратите свое внимание на один момент. Как и серверная часть, агент DPM при установке прописывает себе правила брандмауэра для беспрепятственного соединения с сервером. Делает он это весьма небрежно, элементарно указывая себе права на любые соединения с любыми хостами. Так выглядит эта «добавка» к правилам после завершения установки (выделены правила созданные агентом):

Нет особых причин удалять автоматически создаваемые правила. Но если вы ставите перед собой задачу обеспечения максимальной безопасности, при наличии действующей политики, которую вы создали для правил агента, вы можете смело удалять его собственные правила.

Это все, о чем я хотел рассказать в первой части статьи. Изначально я не планировал разделять материал. Но из-за того, что типовая процедура создания, изменения и применения групповой политики, о которой я хотел подробно рассказать, может показаться многим скучной, я решил вынести пошаговый how-to во вторую часть.

Компоненты и сетевые соединения DPM (часть 2)

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: