大家好,我是 Mike Jacquet。今天,我想探讨一下在安装 Data Protection Manager (DPM) 代理过程中需要在 Windows Server 2008 R2 核心服务器上执行的一些其他配置步骤。
在将 DPM 代理从 DPM 控制台推送到 Windows Server 2008 R2 核心服务器时,可能会失败。手动安装代理可能成功,但 DPM 服务器无法与核心服务器上的代理进行通信。这是因为,在 Windows 2008 R2 核心服务器上没有正确地配置 DCOM 应用程序的激活和启动权限。
DPM 控制台中可能记录以下错误:
Data Protection Manager Error ID: 270
The agent operation failed on <protected server FQDN> because DPM could not communicate with the DPM protection agent. The computer may be protected by another DPM server, or the protection agent may have been uninstalled on the protected computer.
Windows Server 2008 核心服务器上可能记录以下错误事件:
Log Name: System
Source: Microsoft-Windows-DistributedCOM
Date:
Event ID: 10016
Task Category: None
Level: Error
Keywords: Classic
User:
Computer:
Description:
The machine-default permission settings do not grant Remote Activation permission for the COM Server application with CLSID
{DA6AA17A-D61C-4E9C-8CEA-DB25DEA52A95}
and APPID
{2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}
to the user FOURTHCOFFEE\SLIGHT-DPM01$ SID (S-1-5-21-xxxxxxxxxx-xxxxxxxx-xxxxxxxxxx-xxxx) from address 192.168.1.21. This security permission can be modified using the Component Services administrative tool.
在配置 Windows Server 2008 核心 DCOM 应用程序设置之前,需要执行一些步骤。
配置组成员资格。 我们需要检查的组有三个。DPM 服务器*必须*是下列组的成员。
- 分布式 COM 用户
- DPMRADCOMTrustedMachines
- DPMRADmTrustedMachines
在核心服务器上手动安装代理。 遵循 TechNet 的 DPM 2010 步骤并作出以下更改:
a. 务必使用 DPM 服务器中最新版本的 RA
DPM 2007 +qfe 置于 \Program Files\Microsoft DPM\DPM\Agents\RA\2.0.xxxx.0\AMD or i386。
DPM 2010 +qfe 置于 \Program Files\Microsoft DPM\DPM\agents\RA\3.0.xxxx.0\AMD or i386。
DPM 2012 RTM 置于 \Program Files\Microsoft System Center 2012\DPM\DPM\ProtectionAgents\RA...
b. 不必担心安装过程中传递 DPM 服务器名称。
c. 请勿在安装结束后重启(如系统提示)。
使用以下命令在受保护的核心服务器上运行 setdpmserver.exe:
setdpmserver -dpmservername <DPM server netBIOS name>
注意可执行文件位于 C:\Program Files\Microsoft Data Protection Manager\DPM\bin\ 中
如果在运行以上命令时出现错误,此时可以忽略。
重新启动 Windows 2008 R2 核心服务器。
在 DPM 服务器上运行 Attach-ProductionServer。在 DPM 命令行管理程序中,运行 Attach-ProductionServer.ps1,如下所示:
Attach-ProductionServer.ps1 <DPM server name> <production server name> <user name> <password> <domain>
完成上面的步骤之后,您可能在上面的“症状”部分中收到错误。
要配置 DCOM 权限,您可以构建 SDK 样本的 DCOMPERM,或者可以从此处下载可执行文件。
通常,管理核心服务器的 DCOM 设置的方法是从远程服务器运行针对 Windows Server 核心服务器的 DCOMCNFG。但是,在 Windows Server 2008 R2 中,DCOMCNFG.exe 不能通过远程连接来管理这些设置。
获取 DCOMPERM.exe 之后,使用以下步骤查找 DPM RA 服务的应用程序 ID、查看现有权限并根据需要编辑设置。
列出 DPM RA 服务的 DCOM 应用程序 ID:
wmic dcomapp |findstr /i dpm
{2DF31D97-33CC-4966-8FF9-F47C90F7D0F3} DPM RA Service DPM RA Service DPM RA Service
查看应用程序访问权限:
dcomperm -aa {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3} list
Access permission list for AppID {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}:
<使用默认权限>
查看应用程序启动权限:
dcomperm -al {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3} list
Launch permission list for AppID {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3}:
<使用默认权限>
设置 DPMRA 应用的应用程序启动权限:
dcomperm -al {2DF31D97-33CC-4966-8FF9-F47C90F7D0F3} set fourthcoffee\slight-dpm01$ permit level:ll,rl,la,ra
成功设置应用程序启动 ACL。
允许在远程和本地启动 NT AUTHORITY\SYSTEM。
允许在远程和本地激活 NT AUTHORITY\SYSTEM。
允许在远程和本地启动 BUILTIN\Administrators。
允许在远程和本地激活 BUILTIN\Administrators。
允许在远程和本地启动 NT AUTHORITY\INTERACTIVE。
允许在远程和本地激活 NT AUTHORITY\INTERACTIVE。
允许在远程和本地启动 FOURTHCOFFEE\SLIGHT-DPM01$。
允许在远程和本地激活 FOURTHCOFFEE\SLIGHT-DPM01$。
现在,查看代理通信是否正常工作。如果否,还需要执行以下步骤。
- 将 DPM 服务器上的 C:\Program Files\Microsoft DPM\DPM\Setup\SetAgentCfg.exe 实用程序复制到受保护的服务器。
- 运行以下命令:
SetAgentCfg.exe a DPMRA <DPMservername> DPMRADCOMTrustedMachines DPMRADmTrustedMachines
Mike Jacquet | 高级支持升级工程师
App-V 团队博客:http://blogs.technet.com/appv/
ConfigMgr 支持团队博客:http://blogs.technet.com/configurationmgr/
DPM 团队博客:http://blogs.technet.com/dpm/
MED-V 团队博客:http://blogs.technet.com/medv/
Orchestrator 支持团队博客:http://blogs.technet.com/b/orchestrator/
Operations Manager 团队博客:http://blogs.technet.com/momteam/
SCVMM 团队博客:http://blogs.technet.com/scvmm
Server App-V 团队博客:http://blogs.technet.com/b/serverappv
Service Manager 团队博客:http://blogs.technet.com/b/servicemanager
System Center Essentials 团队博客:http://blogs.technet.com/b/systemcenteressentials
WSUS 支持团队博客:http://blogs.technet.com/sus/
Forefront Server Protection 博客:http://blogs.technet.com/b/fss/
Forefront Endpoint Security 博客:http://blogs.technet.com/b/clientsecurity/
Forefront Identity Manager 博客:http://blogs.msdn.com/b/ms-identity-support/
Forefront TMG 博客:http://blogs.technet.com/b/isablog/
Forefront UAG 博客:http://blogs.technet.com/b/edgeaccessblog/