Главная > DPM 2012 > Установка агента Data Protection Manager 2012 SP1 на контроллере домена только для чтения

Установка агента Data Protection Manager 2012 SP1 на контроллере домена только для чтения

Сегодня мы рассмотрим вопрос установки агента DPM 2012 SP1 на RODC. Продвинутый в DPM читатель спросит — а что его рассматривать? Берем документ Installing Protection Agents on a Read-Only Domain Controller, выполняем все пункты и готово! Тем более, вопрос уже с десяток раз поднимался на форумах TechNet. И как всегда тут есть одно «но» — указанный документ является для меня лидером по количеству ошибок и неточностей на раздел справочного материала.

facepalm

Кроме того, этот раздел справки не обновлялся для версии агента 2012 SP1, хотя «шапка» свидетельствует об обратном, а в форумах ответом является либо ссылка на TechNet со всеми его ошибками, либо разрозненные комментарии администраторов, вынужденных открывать support case в Microsoft.

Убедил? :) Хорошо, давайте же посмотрим — как агент устанавливается на самом деле.

Исходные данные

Сервер System Center Data Protection Manager 2012 SP1

Защищаемый сервер — Windows 2012 с ролью Read only Domain Controller (далее RODC). Для Windows 2008 ситуация аналогична.

Подготовка к установке

Необходимо сразу отметить, что привычная администраторам утилита SetDpmServer.exe полностью неприменима для RODC. Таким образом, нам необходимо выполнять ее работу вручную. И, если на защищаемом сервере включен брандмауэр, нужно подкорректировать его настройки для работы агента DPM.

Настраиваем Брандмауэр Windowsfirewall

Если вы применили в своей сети групповые политики для настройки брандмауэра из статьи Компоненты и сетевые соединения DPM (часть 2), то можно сразу переходить к следующему шагу — созданию групп безопасности.

На RODC выполняем команды (цитата из TechNet):

netsh advfirewall firewall set rule group=»@FirewallAPI.dll,-29502″ new enable=yes

netsh advfirewall firewall set rule group=»@FirewallAPI.dll,-34251″ new enable=yes

netsh advfirewall firewall add rule name=dpmra dir=in program=»%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe» profile=Any action=allow

netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

На дворе 2013-ый год и указанные команды, скажем так, несколько устарели. Но все еще работают.

«Непонятные штуки» из первых двух строчек, такие как rule group=»@FirewallAPI.dll,-29502″ и rule group=»@FirewallAPI.dll,-34251″ отвечают за предопределенные в системе группы правил. -29502 соответствует правилам Remote Service Management, а -34251 — Windows Management Instrumentation.

Создаем группы безопасности

На любом контроллере домена не для чтения (примечание — в документации сказано On the primary domain controller) создаем следующие группы в организационной единице Users, заменяя PSNAME на имя защищаемого сервера RODC:

  • Локальная доменная группа DPMRADCOMTrustedMachines$PSNAME
  • Локальная доменная группа DPMRADmTrustedMachines$PSNAME
  • Локальная доменная группа DPMRATrustedDPMRAs$PSNAME

Т.е., для примера, серверу nsk-rdc1 будет соответствовать группа DPMRADCOMTrustedMachines$nsk-rdc1

Добавляем DPM сервер, который планируется использовать для защиты RODC, в каждую группу (примечание — в документации указано создавать только первые две группы, а группа DPMRATrustedDPMRAs$PSNAME, необходимая для DPM 2012 Service Pack 1 и выше, забыта).

Проверяем, является ли этот DPM сервер членом группы Пользователи DCOM (Distributed COM Users). Если нет — все пропало добавляем.

Обеспечиваем репликацию информации о созданных и исправленных группах на RODC.

Установка и настройка агента

Устанавливаем агента на RODC

Разворачиваем агента, путем запуска на стороне RODC последней версии установщика (DPMAgentInstaller_x64.exe) из папки на сервере DPM

%DPMInstallDir%\DPM\DPM\ProtectionAgents\RA\номер-версии\amd64

для версии ниже DPM 2012 SP1 UR2. Или папки

%DPMInstallDir%\DPM\DPM\agents\RA\номер-версии\amd64

для версии DPM 2012 SP1 UR2 и выше.

Настройка разрешений DCOM

Вот тут начинаются существенные расхождения с документацией. На стороне сервера RODC (примечание — в документации сказано On the DPM server) предоставим DPM серверу права на службу DPMRA.

Если у вас RODC не в режиме ядра — вам повезло. Запускаем на нем консоль dcomcnfg.exe, открываем ветку Службы компонентов\Компьютеры\мой компьютер\Настройка DCOM (Component Services\Computers\My Computer\DCOM Config) (примечание — в документации ветка Component Services\Computers\My Computer).

DCOM config

Ищем узел DPMRA, лезем в его свойства.

DCOM config - DPMRA

Убеждаемся, что на закладке Общие параметр Уровень проверки подлинности выставлен в значение По умолчанию.

DPMRA properties 1

Далее, на закладке Размещение проверяем — должен быть отмечен только пункт Запустить приложение на данном компьютере.

DPMRA properties 2

На закладке Безопасность для категории Разрешения на запуск и активацию выбираем Настроить и жмем кнопку Изменить…

DPMRA properties 3

Добавляем в список сервер DPM и даем ему права на все виды запусков и активаций.

DPMRA permissions

Это были мероприятия с разрешениями DCOM для тех, у кого есть графическая оболочка на сервере RODC.

Для режима Server Core консоли dcomcnfg нет, удаленно она, насколько я знаю, с версии Windows Server 2008 R2 не работает. Будем использовать консольные инструменты. А именно утилиту dcomperm.exe. Скачать ее можно со скайдрайва Michael Jacquet.

Для изменения разрешений с помощью dcomperm нам нужно знать DCOM Application ID службы DPMRA. Воспользуемся командой консоли:

wmic dcomapp |findstr /i dpm

На выходе мы получим что-то такое:

{2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}  DPM RA Service
                                  DPM RA Service
                                  DPM RA Service

В фигурных скобках наш искомый ID (примечание — я еще не встречал других ID для DPMRA, они всегда одинаковые, но мало ли).

Теперь используем dcomperm.exe, подставив вместо domain\dpmserver соответствующие вашей среде значения:

dcomperm -al {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3} set domain\dpmserver$ permit level:ll,rl,la,ra

На выходе утилита сообщит, что все и всем успешно назначено.

Настройка агента

Теперь нужно настроить агента DPM на стороне RODC утилитой setagentcfg.exe. Занятно, но ее тоже нет в «комплекте поставки агента».

Возьмем ее с сервера DPM из папки

%DPMInstallDir%\DPM\DPM\setup 

и скопируем на RODC в папку

%DPMInstallDir%\DPM\bin\

(примечание — в документации конечной папкой указана несуществующая на защищаемых серверах папка <drive letter>:\Program Files\Microsoft DPM\DPM\setup, так же указана необходимость копирования еще двух файлов traceprovider.dll и LKRhDPM.dll, но нам они не нужны, т.к. в папке bin они уже есть).

Из консоли, запущенной с повышенными правами на RODC (не забудьте перейти в папку, содержащую скопированный файл setagentcfg.exe), выполняем команду, подставив вместо domain\dpmserver соответствующие вашей среде значения:

setagentcfg.exe a DPMRA domain\dpmserver

Подготовка агента и среды на стороне RODC закончена.

Подключение агента на сервере DPM

Самый быстрый и легкий этап. Подключаем свеженастроенного агента к серверу DPM через графическую консоль или скриптом Attach-ProductionServer.ps1, кому как больше нравится.

Теперь можно создавать свежую группу защиты с участием RODC.


Реклама
Рубрики:DPM 2012 Метки: ,
  1. Никита
    04.09.2013 в 08:25

    Спасибо!. Буду сейчас пробовать, по результатам отпишусь.

  2. Никита
    05.09.2013 в 09:43

    Прогресс такой. Клиент на сервер RODC установился. Служба DPMRA находится в состоянии «остановлена». Тип запуска «вручную». При попытке запустить ее выдается ошибка 1168.
    Пытаюсь привязать сервер RODC к серверу DPM. setdpmserver -dpmservername
    Выдается ошибка 0x80070032.
    При запуске команды setagentcfg.exe a DPRMA domain\dpmserver выдается ошибка 0x4f83f0
    Можете подсказать направление куда копать?

    • 05.09.2013 в 09:58

      Честно говоря — нет. Сложно подсказать что-то в дополнение к статье. Указанные команды были многократно использованы в различных доменах и точно работают.
      Судя по указанной попытке использования setdpmserver, сделаю предположение, что вы невнимательно прочитали материал или упустили(изменили) какой-то шаг.

  3. Никита
    05.09.2013 в 10:05

    ну -dpmservername я использовал от безысходности :-) вопрос по ошибке которую выдает setagentcfg.exe. По шагам все сделал по статье.

  4. Никита
    05.09.2013 в 10:18

    С ошибкой разобрался. setagentcfg отработал. служба запустилась. Но при присоединении сервера выдается ошибка 270 :-(

  5. Никита
    05.09.2013 в 10:57

    Ура. Все заработало. Вы были правы. Не было выставлено разрешение DCOM, (хотя в упор помню что ставил, видно не нажал «применить».) Спасибо вам огромное!
    И еще вопрос. Вот у меня есть группа защиты, допустим «сервера». Я не нашел как добавить новый сервер в эту группу. Хотя я сто процентов уверен что оно должно быть. Может подскажете?

    • 05.09.2013 в 11:38

      Через мастер изменения группы — вторая иконка слева (modify protection group…).

  6. Valentin
    30.04.2014 в 15:48

    Егор, а есть мысли по поводу как установить агента на контроллер домена из другого домена. Домены не дружат, доступ от DPM сервера до контроллера по Site-to-Site полный трафик.

    Проблема в том , что у DC мапинг пользователей идет на контейнер отличный от контейнеров в стандалон серверах.
    Т.е. вылетает ошибка:
    Failed! SetDpmServer failed with errorcode =0x80070534, error says: No mapping between account names and security IDs was done.

    Спасибо.

  7. Александр
    23.12.2015 в 12:55

    Егор, спасибо за статью!
    Получилось поставить и присоединить агент DPM 2012R на RODC
    Далее создал группу защиты, включил в нее этот контроллер домена на чтение и выбрал bare metal + system state, задание начинает выполняться, но спустя длительное время завершается ошибкой (клиент не отвечает), в управлении на вкладке агенты состояние агента этого компьютера нормальное, связь с ним есть.
    Что это может быть?

    • 23.12.2015 в 13:23

      Александр, без дополнительных данных из журналов угадать невозможно.

      • Александр
        23.12.2015 в 13:37

        Выложил лог с RODC c:\Program Files\Microsoft Data Protection Manager\DPM\Temp
        вот сюда http://1drv.ms/1RFItcJ

  8. Александр
    23.12.2015 в 17:05

    Добавил туда же на onedrive скрин с ошибкой в результате попытки выполнения задания.
    Идентификатор 3122, 316, код внутренней ошибки 0x8099090E

    • 24.12.2015 в 13:34

      А если на RODC руками запустить такое %SystemRoot%\system32\wbadmin.exe start backup -allcritical -quiet -backuptarget:\\srv-scdpm1.mubint.ru\94f4db1eba564a50855f9a63c74f9002
      что будет?

      • Александр
        25.12.2015 в 11:10

        Добавил скрин ошибки, отказано в доступе, причем в том месте, которое затер был указан пароль от учетки, от имени которой на сервере DPM выполняются три службы — SQL Server, Агент SQL Server и SQL Server Reporting Services

      • Александр
        25.12.2015 в 11:18

        И в логах RODC еще вот это «Не удалось установить связь DCOM с компьютером srv-scdpm1.mubint.ru через какой-либо из настроенных протоколов; запрос от PID a84 (C:\Program Files\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe).»

    • Александр
      25.12.2015 в 11:22

      C RODC WBEMTEST подключается к серверу DPM, а с сервера DPM на RODC этот тест дает ошибку 0x80070005 Оборудование: Win32 Описание: Отказано в доступе

    • Александр
      25.12.2015 в 11:25

      Оп, а от имени администратора домена тест пройден

      • 25.12.2015 в 11:37

        Добавлю, что единственная существенная зацепка в журнале на данный момент — ошибка 0x800706ba. Предположу, что не все пункты из статьи выполнены полностью.

  9. Александр
    29.12.2015 в 13:18

    Попробовал создать группу защиты другую, включил в нее RODC и выбрал просто папку какую-то не системную с него в качестве объекта защиты, все отработало нормально.

    • 29.12.2015 в 18:15

      Еще раз уточню — что будет при ручном запуске wbadmin с параметрами указанными выше?

      • Александр
        30.12.2015 в 09:47

        Получение сведений о томе…
        Будет выполнена архивация… на …
        Отказано в доступе

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: