none
DPM 2010 - DPM Agent Kommunikationsfehler RRS feed

  • Frage

  • Hallo zusammen,

    wir haben ein Problem mit einem DPM Server 2010. Der DPM läuft unter Windows Server 2008 SP2 und soll einen SBS 2008 Standard und einen Server 2008 R2 SP1 sichern.

    Die Agenten wurden manuell "fehlerfrei" installiert. Jedoch melden die beiden zu Agenten softwar nachdem starten:

    Protokollname: Application
    Quelle:        DPMRA
    Datum:         15.12.2011 18:20:30
    Ereignis-ID:   84
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      SYSTEM
    Computer:      SERVER01
    Beschreibung:
    A DPM agent failed to communicate with the DPM service on Server02 because access is denied. Make sure that Server02 has DCOM launch and access permissions for the computer running the DPM agent (Error code: 0x80070005, full name: Server02).

    Der DPM Server meldet:

    Protokollname: DPM Alerts
    Quelle:        DPM-EM
    Datum:         15.12.2011 18:26:00
    Ereignis-ID:   3115
    Aufgabenkategorie:Keine
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      Server02
    Beschreibung:

    Synchronization jobs for D:\ on Server01 have failed. (ID: 3115)
    DPM failed to communicate with the protection agent on Server01 because the agent is not responding. (ID: 43)

    Protokollname: DPM Alerts
    Quelle:        DPM-EM
    Datum:         15.12.2011 18:26:00
    Ereignis-ID:   3114
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      Server02
    Beschreibung:

    Creation of recovery points for D:\ on Server01  have failed. The last recovery point creation failed for the following reason: (ID: 3114)

    Kann hier jemand weiterhelfen? Firewalls hatte ich schon deaktiviert zum Test, hat nichts gebracht.

    Ein nochmaliges setDPMServer.exe wurde zwar erfolgrecih quittiert, aber brachte ebenfalls nichts...

    Vielen Dank

    Fabian

    Donnerstag, 15. Dezember 2011 17:48

Alle Antworten

  • Hallo,

    sind die zu sichernden Server Mitglied in der gleichen Domäne wie der DPM-Serve selbst?

    Gruss Rudi

    Freitag, 16. Dezember 2011 12:01
  • Hi,

    der DCOM Fehler ist hier interessant. Ich habe den schon ein par mal gesehen. Es gibt jetzt mehrere Möglichkeiten, die wir immer verfolgt haben:

    Wir hatten den DCOM Fehler ein par mal und dabei wurden die Accounts von DPM auf den Zielservern manchmal nicht richtig installiert (auch wenn in der DPM Konsole alles auf OK war). Ich hatte probiert das zu korrigieren, aber das war einfach nur total zeitraubend. Ausnahme: Domain Controller (hier hat Möglichkeit 1 bei uns geholfen). Daher hatte ich bei Ausschluss von Punkt 2/4 einfach neu installiert (siehe Punkt 3).

    1. Falls ein Zielserver ein AD ist, dann bitte den DPM server account der admin domain gruppe hinzufügen. Das hat bei uns geholfen.

    2. Bitte überprüfen, dass wirklich keine FW/Porteinschränkungen zwischen DPM und Zielserver aktiv sind. Ich hatte den DCOM Fehler einmal bekommen und per Telnet alle Agentenports versucht anzusteuern. Dabei habe ich dann gemerkt, dass 1 Port, welche von DPM Agent benutzt wurde, nicht offen war.

    3. Eine weitere Möglichkeit ist auf dem Ziel Server zu prüfen, ob die Accounts, die für die Agentenkommunikation benötigt werden, wirklich sauber installiert wurden:

    wurde DPMRADCOMTrustedMachines als lokale Gruppe mit DPM Server machine account als Mitglied erstellt.

    wurde DPMRADmTrustedMachines als lokale Gruppe mit DPM Server machine account als Mitglied erstellt

    wurde DPM Server machine account zur Distributed COM Users Gruppe hinzugefügt?

    Ist der ADMIN$ Share auf dem Zielserver von DPM Server aus für den Benutzer mit dem der DPM Agent installiert wird zugreifbar?

    Ist die Local Policy "Access this computer from the network" mit dem DPM Server machine Account und/order Authenticated Users konfiguriert?

    Meine Erfahrung hat gezeigt, dass die einfachste Lösung für das Problem eine Neuinstallation des Agenten ist, wobei dieser unbedingt manuell installiert werden muss und dann einfach per "attach" in den DPM Server gefahren muss. Dafür muss natürlich der DPM Agent zuerst sauber auf den Zielserver deinstalliert werden und wichtig auch ein Neustart erfolgen.

    4. Überprüfen der Agentenkommunikation generell:

     

    Basic connectivity is tested by using ping. If ICMP traffic is blocked ping commands will fail but that is OK.

      ping <protected server name>

     

    Next test SMB (file sharing).

      net view \\<protected server name>

     

    Now test RPC and connectivity to Service Control Manager (SCM). This displays a list of services on the remote server when successful.

      Sc \\<protected server name> query

     

    Lastly test WMI/DCOM. When successful this command lists some basic information about the remote server.

      Wmic /node:"<protected server name>" OS list brief

    Freitag, 16. Dezember 2011 13:25
  • Ja, alle Server sind in der gleichen Domäne wie der DPM Server.
    Mittwoch, 21. Dezember 2011 12:59
  • Hallo Raul,

    ich bin erst heute wieder im Büro und arbeite die Tipps jetzt ab. Gebe Bescheid mit welchem Erfolg.

    Danke ersteinmal und Grüße

    Fabian

    Mittwoch, 21. Dezember 2011 13:01
  • Hallo nochmal,

    ich bin alle Punkte durchgegangen und habe dabei folgende Punkte angepasst:

    Ist die Local Policy "Access this computer from the network" mit dem DPM Server machine Account und/order Authenticated Users konfiguriert
    -> nachträglich hinzugefügt

    Da beide Server DC sind, habe ich auch das gemacht:
    1. Falls ein Zielserver ein AD ist, dann bitte den DPM server account der admin domain gruppe hinzufügen. Das hat bei uns geholfen.

    die restlichen Punkte waren richtig.  Da das alles nichts gebracht hat, habe dann doch die Agenten direkt auf den Maschinen deinstalliert und danach auf dem DPM entfernt. Danach Neustart von allen Server und Neuinstallation der Agenten (ohne Neustart).

    Leider bleibt es bei den Fehlern. Auch mit deaktivierter Firewall auf allen Servern. Nun bin ich ratlos was man noch testen könnte um das Backup wieder zum laufen zu bekommen. Hat hier jemand noch einen Tipp?

    Danke und Grüße

    Fabian

    Mittwoch, 21. Dezember 2011 17:37
  • Habe noch weiter recherchiert und nochmal die DCOM Rechte auf dem zu sichernden Server kontrolliert:

     Verify COM permissions on the server.
    Verify that the DCOM configuration settings are set as follows:

    COM Security Default Access Permissions
    Local Access and Remote Access permitted to Self
    Local Access permitted to System

    COM Security Machine Access Restriction (Security Limits)
    Local and Remote Access permitted to NT AUTHORITY\ANONYMOUS LOGON
    Local and Remote Access permitted to BUILTIN\Distributed COM Users
    Local and Remote Access permitted to \Everyone

    COM Security Default Launch Permissions
    Launch permitted to NT AUTHORITY\SYSTEM
    Launch permitted to NT AUTHORITY\INTERACTIVE
    Launch permitted to BUILTIN\Administrators

    COM Security Machine Launch Restriction (Security Limits)
    Local Launch and Activate permitted to \Everyone
    Local and Remote Launch, Local and Remote Activate permitted to BUILTIN\Administrators
    Local and Remote Launch, Local and Remote Activate permitted to BUILTIN\Distributed COM Users

    Quelle: http://technet.microsoft.com/en-us/library/bb808878.aspx

    Außerdem die ACL Rechte wie hier beschrieben:
    http://robertanddpm.blogspot.com/2010/08/dpm-ra-rights.html

    Soweit alles ok. Sind das die vollständigen Rechte, oder wurde dabei etwas vergessen?

    Wenn ich testweise auf einem Client PC (mitglied der Domäne) den Agenten installiere, gibt es genau den gleichen Fehler auf dem Client. Der FEhler ist also unabhängig davon ob es ein Domänencontroller ist oder nicht. Irgendetwas muss also generell verbockt sein, nur was?

    Vielleicht hat ja jemand noch ein Hinweis, wäre ein schönes Weihnachtsgeschenk :)

    Vielen Dank und vorweihnachtliche Grüße

    Fabian

    Donnerstag, 22. Dezember 2011 15:10