安裝 Azure 備份 MARS 代理程式
本文說明如何安裝 Microsoft Azure 復原服務 (MARS) 代理程式。 MARS 也稱為 Azure 備份代理程式。
關於 MARS 代理程式
Azure 備份使用 MARS 代理程式從內部部署機器和 Azure VM 備份檔案、資料夾和系統狀態。 這些備份會儲存在 Azure 的復原服務保存庫中。 您可以執行代理程式:
- 直接在內部部署的 Windows 機器上。 這些機器會直接備份到 Azure 中的復原服務保存庫。
- 在運行 Windows 的 Azure VM 上,配合 Azure VM 備份擴充功能使用。 代理程式會備份 VM 上的特定檔案和資料夾。
- 在 Microsoft Azure 備份伺服器 (MABS) 執行個體,或 System Center Data Protection Manager (DPM) 伺服器上。 在此案例中,機器和工作負載會備份至 MABS 或 Data Protection Manager。 接著 MABS 或 Data Protection Manager 會使用 MARS 代理程式來備份至 Azure 中的保存庫。
可用於備份的資料取決於代理程式的安裝位置。
注意
一般而言會使用 VM 上的 Azure 備份擴充功能來備份 Azure VM。 此方法會完整備份整個 VM。 如果您想要備份 VM 上的特定檔案和資料夾,請安裝並使用 MARS 代理程式與擴充功能。 如需詳細資訊,請參閱 Azure VM 內建備份的架構。
在您開始使用 Intune 之前
安裝 MARS 代理程式之前,請確定您已執行下列動作:
- 了解 Azure 備份如何使用 MARS 代理程式來備份 Windows 機器。
- 了解在次要 MABS 或 Data Protection Manager 伺服器上執行 MARS 代理程式的備份架構。
- 複習 MARS 代理程式 支援的內容,以及可以備份的內容。
- 如果需要將伺服器或用戶端備份至 Azure,請確定您擁有 Azure 帳戶。 如果您沒有帳戶,只需要幾分鐘的時間就可以建立免費帳戶。
- 確認您要備份的機器上的網際網路存取。
- 請確定安裝和設定 MARS 代理程式的使用者,具有欲保護伺服器上的本機系統管理員權限。
- 確定您的伺服器正在 TLS 1.2 上執行。
- 若要避免在保存庫註冊期間發生錯誤,請確定使用最新的 MARS 代理程式版本。 如果沒有,建議您從這裡或從本節所述的 Azure 入口網站進行下載。
建立復原服務保存庫
復原服務保存庫是一個管理實體,可儲存一段時間內所建立的復原點,並提供介面以供執行備份相關作業。 這些作業包括製作隨選備份、執行還原,以及建立備份原則。
若要建立復原服務保存庫:
登入 Azure 入口網站。
搜尋 商務持續性中心,然後移至 商務持續性中心 儀錶板。
在 [ 保存庫 ] 窗格中,選取 [+保存庫]。
選取 [復原服務保存庫]>[繼續]。
在 [復原服務保存庫] 窗格中,輸入下列值:
訂用帳戶:選取要使用的訂用帳戶。 如果您是唯一一個訂用帳戶的成員,就會看到該名稱。 如果您不確定要使用哪個訂用帳戶,請使用預設的訂用帳戶。 只有在您的公司或學校帳戶與多個 Azure 訂用帳戶相關聯時,才會有多個選擇。
資源群組:使用現有資源群組,或建立新的群組。 若要檢視訂用帳戶中可用的資源群組清單,請選取 [使用現有項目],然後在下拉式清單中選取資源。 若要建立新的資源群組,請選取 [新建],然後輸入名稱。 如需有關資源群組的詳細資訊,請參閱 Azure Resource Manager 概觀。
保存庫名稱:輸入自訂名稱以識別保存庫。 這個名稱對 Azure 訂用帳戶必須是唯一的。 指定的名稱至少要有 2 個字元,但不能超過 50 個字元。 名稱開頭必須是字母,且只能包含字母、數字和連字號。
區域:選取保存庫的地理區域。 若要建立保存庫來協助保護任何資料來源,保存庫必須與資料來源位於相同區域。
重要
如果不確定資料來源的位置,請關閉視窗。 在入口網站中,移至您的資源清單。 如果您在多個區域中有資料來源,請為每個區域建立一個復原服務保存庫。 先在第一個位置建立保存庫,然後再於另一個位置建立保存庫。 不需要指定用來儲存備份資料的儲存體帳戶。 復原服務保存庫和 Azure 備份會自動處理該事宜。
提供值之後,選取 [檢閱 + 建立]。
若要完成建立復原服務保存庫,請選取 [建立]。
建立復原服務保存庫可能需要一點時間。 監視右上角 [通知] 區域中的狀態通知。 保存庫建立之後,就會出現在復原服務保存庫的清單中。 如果保存庫未出現,請選取 [重新整理]。
注意
Azure 備份現在支援不可變保存庫,可協助您確保復原點建立後,一直到其備份原則中設定的到期日前無法刪除。 您可以讓此不變性無法逆轉,以最大程度防止備份資料受到各種威脅,包括勒索軟體攻擊和惡意執行者。 深入了解。
修改儲存體複寫
根據預設,保存庫會使用異地備援儲存體 (GRS)。
- 如果保存庫是您的主要備份機制,則建議使用 GRS。
- 您可以使用本機備援儲存體 (LRS) 來降低 Azure 儲存體的成本。
若要修改記憶體復寫類型,請遵循下列步驟:
在新的保存庫中,選取 [設定] 區段下的 [屬性]。
在 [屬性] 頁面上的 [備份設定] 下,選取 [更新]。
選取儲存體複寫類型,然後選取 [儲存]。
注意
當保存庫設定完成且包含備份項目之後,您就無法修改儲存體複寫類型。 如果想要執行此操作,則必須重新建立保存庫。
設定復原服務保存庫以將複雜密碼儲存至復原服務保存庫
使用復原服務代理程式 (MARS) 的 Azure 備份可讓您將檔案或資料夾和系統狀態資料備份至 Azure 復原服務保存庫。 此資料會使用 MARS 代理程式安裝和註冊期間所提供的複雜密碼來加密。 需要此複雜密碼才能擷取和還原備份資料,而且必須儲存在安全的外部位置,例如 Azure Key Vault。
建議您建立 Key Vault,並為復原服務保存庫提供權限,以將複雜密碼儲存至 Key Vault。 深入了解。
確認網際網路存取
MARS 代理程式需要存取 Microsoft Entra ID、Azure 儲存體,以及 Azure 備份服務端點。 若要取得公用 IP 範圍,請參閱此 JSON 檔案。 允許存取對應至 Azure 備份 (AzureBackup
)、Azure 儲存體 (Storage
) 和 Microsoft Entra ID 的 IP (AzureActiveDirectory
)。 此外,根據您的 Windows 版本,作業系統的網路連線能力檢查將需要存取 www.msftconnecttest.com
,或是 www.msftncsi.com
。
如果您機器的網際網路存取能力受到限制,請確定防火牆、Proxy 和網路設定允許存取下列 FQDN 和公用 IP 位址。
URL 和 IP 存取
FQDN
*.microsoft.com
*.windowsazure.com
*.microsoftonline.com
*.windows.net
*.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net
如果您是美國政府客戶,請確定您可以存取下列 URL:
www.msftncsi.com
*.microsoft.com
*.windowsazure.us
*.microsoftonline.us
*.windows.net
*.usgovcloudapi.net
*.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net
存取上述所有的 URL 和 IP 位址時,都會在連接埠 443 上使用 HTTPS 通訊協定。
使用 MARS 代理程式從 Azure VM 備份檔案和資料夾時,您也需要設定 Azure 虛擬網路以允許存取。 如果您使用網路安全性群組 (NSG),請使用 AzureBackup 服務標籤,以允許對 Azure 備份進行輸出存取。 除了 Azure 備份 標籤之外,您還需要建立類似的 NSG 規則來建立Microsoft Entra ID () 和 Azure 儲存體 的AzureActiveDirectory
Storage
類似 NSG 規則,以允許驗證和數據傳輸。
若要建立 Azure 備份標記的規則,請遵循下列步驟:
- 在 [所有服務] 中,移至 [網路安全性群組],然後選取網路安全性群組。
- 選取 [設定] 底下的 [輸出安全性規則]。
- 選取 [新增]。
- 請提供建立新規則的所有必要詳細資料,如安全性規則設定中所述。
請確定選項設定如下:- 設定 [目的地] 為 [服務標籤]。
- 設定 [目的地服務標籤] 為 [AzureBackup]。
- 選取 [新增] 以儲存新建立的輸出安全性規則。
同樣地,您也可以建立 Azure 儲存體和 Microsoft Entra ID 的 NSG 輸出安全性規則。 若要深入了解服務標籤,請參閱虛擬網路服務標籤。
Azure ExpressRoute 支援
您可以使用公用對等互連 (可用於舊線路),並透過 Azure ExpressRoute 備份您的資料。 我們並不支援透過私人對等互連的 Microsoft 對等互連。
若要使用公用對等互連,請確定下列網域和位址在連接埠 443 上具有 HTTPS 存取權:
*.microsoft.com
*.windowsazure.com
*.microsoftonline.com
*.windows.net
*.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net
若要使用 Microsoft 對等互連,請選取下列服務、區域和相關的社群值:
- Microsoft Entra ID (12076:5060)
- 根據復原服務保存庫位置決定的 Azure 區域
- 根據復原服務保存庫位置決定的 Azure 儲存體
深入了解 ExpressRoute 路由要求。
注意
公用對等互連已遭取代,不適用於新線路。
私人端點支援
您現在可以使用私人端點,將資料從伺服器安全地備份到您的復原服務保存庫。 由於無法透過私人端點存取 Microsoft Entra ID,您必須允許 Microsoft Entra ID 所需的 IP 和 FQDN,才能夠執行個別的輸出存取。
當您使用 MARS 代理程式備份內部部署資源時,請確定您的內部部署網路 (包含要備份的資源) 與包含保存庫私人端點的 Azure VNet 為對等互連狀態。 接著您便能繼續安裝 MARS 代理程式,並設定備份。 然而,請務必確保所有進行備份的通訊只會透過對等互連網路執行。
若是在註冊 MARS 代理程式之後移除保存庫的私人端點,將必須使用保存庫重新註冊容器。 您不需要停止對其的保護。 如需詳細資訊,請參閱 Azure 備份的私人端點。
節流支援
功能 | 詳細資料 |
---|---|
頻寬控制 | 支援。 使用 MARS 代理程式中的變更屬性來調整頻寬。 |
網路節流 | 不適用於執行 Windows Server 2008 R2、Windows Server 2008 SP2 或 Windows 7 的備份機器。 |
下載 MARS 代理程式
下載 MARS 代理程式,讓您可以將其安裝在您想要備份的機器上。
如果您已經在機器上安裝了代理程式,請確定您執行的是最新的代理程式版本。 在入口網站中尋找最新版本,或從這裡下載。
在保存庫的 [使用者入門] 中,選取 [備份]。
在 [工作負載的執行位置?] 底下,選取 [內部部署]。 即使您想要在 Azure VM 上安裝 MARS 代理程式,也請選取此選項。
在 [您要備份什麼項目?] 底下,選取 [檔案和資料夾]。 您也可以選取 [系統狀態]。 還有許多其他選項可供使用,但是只有在您執行的是次要備份伺服器時,才支援這些選項。 選取 [準備基礎結構]。
若要準備基礎結構,請在 [安裝復原服務代理程式] 底下,下載 MARS 代理程式。
在下載功能表中,選取 [儲存]。 根據預設,會將 MARSagentinstaller.exe 檔案儲存至 [下載] 資料夾。
選取 [已下載或使用最新的復原服務代理程式],然後下載保存庫認證。
選取儲存。 檔案將會下載至您的 [下載] 資料夾。 您無法開啟保存庫認證檔案。
安裝與註冊代理程式
若要安裝和註冊 MARRS 代理程式,請遵循下列步驟:
在您要備份的機器上執行 MARSagentinstaller.exe 檔案。
在 [MARS 代理程式安裝精靈] 中,選取 [安裝設定]。 在該處選擇要安裝代理程式的位置,並選擇快取的位置。 然後選取下一步。
- Azure 備份會使用快取來儲存資料快照集,然後再將其傳送至 Azure。
- 快取位置的可用空間應該等於您要備份資料大小的至少 5%。
針對 [Proxy 設定],指定在 Windows 電腦上執行的代理程式將如何連線至網際網路。 然後選取下一步。
- 如果您使用自訂 proxy,請指定任何必要的 Proxy 設定和認證。
- 請記住,代理程式需要存取特定的 URL。
若要安裝,請檢查必要條件,然後選取 [安裝]。
在安裝代理程式之後,請選取 [繼續註冊]。
在 [伺服器註冊精靈] > [保存庫識別] 中,瀏覽並選取您下載的認證檔案。 然後選取下一步。
在 [加密設定] 頁面上,指定用來加密和解密電腦備份的複雜密碼。 深入了解允許的複雜密碼字元。
- 將複雜密碼儲存在安全的位置。 您需要用它來還原備份。
- 如果遺失或忘記複雜密碼,Microsoft 無法協助您復原備份資料。
MARS 代理程式可以安全地將複雜密碼安全地儲存至 Azure Key Vault。 因此,建議您在將第一個 MARS 代理程式註冊至保存庫之前,建立 Key Vault,並將權限授與復原服務保存庫,以便將複雜密碼儲存至 Key Vault。 深入了解。
授與必要權限之後,您可以從 Azure 入口網站和註冊伺服器精靈複製 Key Vault URI,將複雜密碼儲存至 Key Vault。
選取 [完成]。 現已安裝代理程式,且已向保存庫註冊您的電腦。 您已準備好可以設定及排程備份。
如果您在保存庫註冊期間發生問題,請參閱疑難排解指南。
注意
建議您將複雜密碼儲存在替代的安全位置,例如 Azure 金鑰保存庫。 Microsoft 無法在沒有複雜密碼的情況下復原資料。 了解如何將祕密儲存在金鑰保存庫中。