Implementar el agente de protección DPM
El agente de protección del Administrador de protección de datos (DPM) de System Center es el software que instalas en cada equipo y que contiene datos de los que deseas realizar una copia de seguridad con DPM. Consta de dos componentes: el propio agente de protección y un coordinador de agentes. Así es cómo funciona:
Identifica los datos que DPM puede proteger y recuperar.
Permite al servidor DPM examinar los recursos compartidos, volúmenes y carpetas del equipo protegido.
Crea un diario de cambios para cada volumen protegido y almacena el diario en un archivo oculto en ese volumen. Registra los cambios en los datos protegidos del diario de cambios y transfiere el diario del equipo protegido al servidor DPM para que DPM pueda sincronizar los datos principales con la réplica.
Configurarás el agente de la siguiente manera:
Si el equipo que contiene los datos de los que desea realizar una copia de seguridad está detrás de un firewall, deberás configurar excepciones de firewall.
Si el equipo no está detrás de un firewall o has configurado excepciones de firewall para permitir el acceso, puedes instalar el agente desde la consola DPM.
Si no tienes acceso a través del firewall, el equipo que deseas proteger se encuentra en un grupo de trabajo o en un dominio que no es de confianza, o bien necesitas usar otro método de instalación, puedes instalar el agente manualmente y, a continuación, Adjuntar el agente.
Configurar excepciones del firewall
Para que un agente de protección se comunique con el servidor DPM a través de un firewall, se requieren excepciones de firewall.
Configura una excepción entrante para sqlservr.exe para la instancia DPM de SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. En la tabla siguiente se enumeran los protocolos y puertos necesarios para la comunicación entre el servidor DPM y los servidores y clientes protegidos.
Protocolo | Puerto | Detalles |
---|---|---|
DCOM | 135/TCP Dinámica |
El protocolo de control DPM usa DCOM. DPM emite comandos al agente de protección invocando llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM. El puerto TCP 135 es el punto de resolución del punto de conexión DCE utilizado por DCOM. De forma predeterminada, DCOM asigna puertos dinámicamente desde el intervalo de puertos TCP de 49152 a 65535. Sin embargo, puedes configurar este intervalo con los Servicios de componentes. Para la comunicación del agente DPM, debes abrir los puertos superiores 49152-65535. Para establecer la directiva, realiza los pasos siguientes: 1. En el Administrador de IIS 7.0, en el panel Conexiones, haz clic en el nodo de nivel de servidor en el árbol. 2. Haga doble clic en el icono Compatibilidad con el firewall de FTP en la lista de características. 3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos. 4. Después de introducir el intervalo de puerto para el servicio FTP, ve al panel Acciones y haz clic en Aplicar para guardar los ajustes de configuración. |
TCP | 5718/TCP 5719/TCP |
El canal de datos DPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación. DPM se comunica con el coordinador del agente en el puerto 5718 y con el agente de protección en el puerto 5719. |
DNS | 53/UDP | Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la resolución de nombres de host. |
Kerberos | 88/UDP 88/TCP | Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la autenticación del punto de conexión. |
LDAP | 389/TCP 389/UDP |
Se usa entre DPM y el controlador de dominio para las consultas. |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Se usa entre DPM y el equipo protegido, entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio para varias operaciones. Se usa para un SMB hospedado directamente en TCP/IP para funciones DPM. |
Instalar el agente desde la consola de DPM
En la consola de administrador de DPM, seleccionaManagement>Agents. Selecciona Instalar en la cinta de herramientas para abrir el Asistente para la instalación del Agente de protección.
En la página Seleccionar método de implementación del agente, selecciona Instalar agentes>Siguiente.
En la página Seleccionar equipos, DPM muestra una lista de equipos disponibles que están en el mismo dominio que el servidor DPM. Agregar el equipo necesario.
La primera vez que uses el asistente, DPM consulta Active Directory para obtener una lista de los equipos disponibles. Después de la primera instalación, DPM almacena la lista de equipos de su base de datos, que se actualiza una vez al día mediante el proceso de detección automática.
Para buscar un equipo en otro dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM, debes escribir el nombre de dominio completo (FQDN) del equipo que deseas proteger. Por ejemplo, <Computer1>.Domain1.contoso.com, donde Computer1 es el nombre del equipo que deseas proteger y Domain1.contoso.com es el dominio al que pertenece el equipo de destino.
La página del botón Avanzado solo está habilitada cuando hay más de una versión de un agente de protección disponible para la instalación en los equipos. Puedes usar esta opción para instalar una versión anterior del agente de protección que se instaló antes de actualizar el servidor DPM a una versión más reciente.
En la página Escribir credenciales , escribe el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo administradores local en todos los equipos seleccionados.
En el cuadro Dominio, acepta o escribe el nombre de dominio de la cuenta de usuario que usas para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que se encuentra el servidor DPM o a un dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM.
Si vas a instalar un agente de protección en un equipo en un dominio de confianza, escribe las credenciales de usuario del dominio actual. Puedes ser miembro de cualquier dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM y debes ser miembro del grupo administradores local en todos los equipos seleccionados en los que deseas instalar un agente.
Si seleccionas un nodo en un clúster, DPM detecta todos los nodos adicionales del clúster y muestra la página Seleccionar nodos del clúster.
En la página Seleccionar nodos de clústeres, selecciona una opción que quieras que DPM use para instalar agentes en otros nodos del clúster y, después, haz clic en Siguiente.
En la página Elegir método de reinicio, selecciona el método que se va a usar para reiniciar los equipos seleccionados después de instalar el agente de protección. El equipo debe reiniciarse para poder empezar a proteger los datos. Es necesario reiniciar para cargar el filtro de volumen que DPM usa para realizar un seguimiento y transferir los cambios de nivel de bloque entre el servidor DPM y los equipos protegidos.
Si seleccionas reiniciar los equipos más adelante, el estado de instalación del agente de protección no se actualiza automáticamente en la pestaña Agentes del área de tareas Administración después de reiniciar el equipo y tendrás que seleccionar Actualizar información.
Ten en cuenta que no es necesario reiniciar el equipo si estás instalando un agente de protección en otro servidor DPM.
Si alguno de los equipos seleccionados son nodos de un clúster, aparece la página Elegir método de reinicio adicional, que puedes usar para seleccionar el método para reiniciar los equipos en clúster. Deberás instalar un agente de protección en todos los nodos de un clúster para proteger correctamente los datos agrupados. Los equipos deben reiniciarse para poder empezar a proteger los datos. Dado el tiempo que se necesita para iniciar los servicios, es posible que tarde algunos minutos después del reinicio hasta que DPM pueda establecer contacto con el agente del clúster.
DPM no reiniciará automáticamente un equipo que pertenezca a un clúster de Microsoft Cluster Server (MSCS). Debes reiniciar manualmente los equipos en un clúster de MSCS.
En la página Resumen, selecciona Instalar para empezar la instalación. Si aparece el EULA , acepta la instalación para que se inicie. En la pestaña Tarea de la página de instalación, puedes ver si la instalación se ha realizado correctamente. Puedes seleccionar Cerrar antes de que finalice el asistente y supervisar el progreso de la instalación en la pestaña Agentes del área de tareas Administración. Si la instalación no se realiza correctamente, puedes ver las alertas en el área de tareas Supervisión de la pestaña Alertas .
Nota:
Después de instalar un agente de protección en un equipo que forma parte de una granja de Servidores de Windows SharePoint Services, cada uno de los equipos de la granja de servidores no aparecerá como equipos protegidos en la pestaña Agentes del área de tareas Administración, solo aparecerá el equipo seleccionado. Sin embargo, si la granja de servidores de Windows SharePoint Services tiene datos del equipo seleccionado, DPM protege los datos de todos los equipos de la granja de servidores, siempre que todos tengan instalado el agente de protección.
Instalación manual del agente
Si instala el agente en un equipo detrás de un firewall, debes asegurarte de que el agente se puede insertar a través del firewall.
Por ejemplo, puedes ejecutar el siguiente comando en el equipo para configurar un firewall de Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, donde IPAddress es la dirección del servidor DPM.
Para configurar la excepción de puertos en el firewall, consulta la sección Configurar excepciones de firewall para el agente.
En el equipo que quieres proteger, abre una ventana del símbolo del sistema con privilegios elevados y ejecuta los siguientes comandos:
Para asignar una letra de unidad, escriba: net use Z: \<DPMServerName>\c$, donde Z es la letra de la unidad de disco local que quiere asignar y <NombreServidorDPM> es el nombre del servidor DPM que protegerá el equipo.
Para cambiar el directorio, sigue los siguientes pasos:
Para un equipo de 64 bits, escribe: cd /d <letra de unidad asignada>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilación>.0\amd64 donde <letra de unidad asignada> es la letra de unidad que has asignado en el paso anterior y <número de compilación> es el número de compilación más reciente de DPM. Por ejemplo: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
Para un equipo de 32 bits, escribe: cd /d <letra de unidad asignada>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilación>l;.0\i386 donde <letra de unidad asignada> es la unidad que has asignado en el paso anterior y <número de compilación> es el número de compilación más reciente.
Para instalar el agente de protección, abre una ventana del símbolo del sistema con privilegios elevados y ejecuta uno de los siguientes comandos:
Para un equipo de 64 bits: DpmAgentInstaller_x64.exe <DPMServerName> donde <DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM. Por ejemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
Para un equipo de 32 bits: DpmAgentInstaller_x86.exe <DPMServerName> donde <DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM.
Nota:
- Para realizar una instalación silenciosa, puedes usar la opción /q después del comando DpmAgentInstaller_x64.exe. Por ejemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
- Para aceptar el EULA manualmente en una instalación silenciosa, usa DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- Si especificas el nombre del servidor DPM en la línea de comandos, se instala el agente de protección y configura automáticamente las cuentas de seguridad, los permisos y las excepciones de firewall necesarias para que el agente se comunique con el servidor DPM especificado. Si no has especificcado el nombre del servidor, abre un símbolo del sistema con privilegios elevados en el equipo de destino y haz lo siguiente:
- Para cambiar el tipo de directorio: cd /d <unidad del sistema>:\Program Files\Microsoft Data Protection Manager\DPM\bin
- Tipo: SetDpmServer.exe -dpmServerName <DPMServerName>. Esto configura las cuentas de seguridad, los permisos y las excepciones de firewall para que el agente se comunique con el servidor.
Si agregó el equipo al servidor DPM antes de instalar el agente, el servidor comienza a crear copias de seguridad del equipo protegido. Si has instalado el agente antes de agregar el equipo al servidor DPM, debes adjuntart el equipo antes de que el servidor DPM comience a crear copias de seguridad.
Instalar el Agente de protección en un RODC
Siga estos pasos:
Desactiva el firewall en el RODC o ejecuta los siguientes comandos en el RODC antes de instalar el agente:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
En el controlador de dominio principal, crea y rellena los siguientes grupos de seguridad (donde el nombre del servidor protegido es el nombre del RODC en el que planeas instalar el agente de protección):
Crea un grupo de seguridad denominado DPMRADCOMTRUSTEDMACHINES$PSNAME y agrega la cuenta de equipo del servidor DPM como miembro.
Crea un grupo de seguridad denominado DPMRADMTRUSTEDMACHINES$PSNAME y agrega la cuenta de equipo del servidor DPM como miembro.
Crea un grupo de seguridad denominado DPMRATRUSTEDDPMRAS$PSNAME y agrega la cuenta de equipo del servidor DPM como miembro.
Agregue la cuenta del equipo servidor de DPM como miembro del grupo de seguridad \Builtin\Usuarios Com distribuidos.
Asegúrate de que los grupos de seguridad que has creado anteriormente se han replicado en el RODC. A continuación, instala manualmente el agente de protección en el RODC.
En el servidor RODC, realiza los pasos siguientes para conceder permisos de inicio y activación para el servicio DPMRA:
Abre el Shell de administración de DPM y ejecuta el comando dcomcnfg.exe.
Se abre la ventana Servicios de componentes.
En la ventana Servicios de componentes, expande Equipos, expande Mi equipo, expande Configuración de DCOM, haz clic con el botón derecho en el servicio DPM RA y, a continuación, selecciona Propiedades.
Selecciona General y, a continuación, establece el nivel de autenticación en Predeterminado.
Selecciona Ubicación y asegúrate de que solo esté seleccionada la opción Ejecutar aplicación en este equipo.
Selecciona Seguridad, selecciona Personalizar en Permisos de inicio y activación, selecciona Personalizar y, a continuación, Editar para abrir el cuadro de diálogo Permiso de inicio.
En el cuadro de diálogo Permiso de inicio, asigna permisos para inicio local, inicio en remoto, activación local y activación en remoto para la cuenta de la máquina del servidor DPM.
Haga clic en Aceptar para cerrar el cuadro de diálogo.
Vaya a programfiles\Microsoft System Center 2012 R2\DPM\DPM\setup en el servidor DPM y copie los siguientes archivos a una carpeta del servidor RODC.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
En el RODC, desde un símbolo del sistema con privilegios elevados, ejecuta el comando setagentcfg.exe a DPMRA domain\DPMserver desde la ubicación que hayas especificado en el paso anterior.
En el servidor RODC, vaya a la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecute el comando setdpmserver:
Setdpmserver -dpmservername DPMSERVER
Adjunta el agente de protección al servidor DPM como se detalla en la sección siguiente.
Adjuntar el agente
Después de instalar el agente DPM manualmente, deberás adjuntar el agente al servidor DPM.
En la barra de navegación de la Consola de administrador DPM, haz clic en Administración>Agentes. En el panel Acciones, selecciona Instalar.
En la página Seleccionar método de implementación del agente, selecciona Adjuntar agentes>Equipo de un dominio de confianza>Siguiente. Se abre el Asistente para instalar el Agente de protección.
En la página Seleccionar equipos, DPM muestra una lista de equipos disponibles en el mismo dominio que el servidor DPM. Selecciona uno o varios equipos (máximo 50) de la lista Nombre de equipo >Agregar>Siguiente.
Si es la primera vez que usas el asistente, DPM consulta Active Directory para obtener una lista de equipos potenciales. Después de la primera instalación, DPM muestra la lista de equipos de su base de datos, que se actualiza una vez al día mediante el proceso de detección automática.
Para agregar varios equipos mediante un archivo de texto, selecciona el botón Agregar desde archivo y, en el cuadro de diálogo Agregar desde archivo, escribe la ubicación del archivo de texto o selecciona Examinar para navegar hasta la ubicación.
En la página Escribir credenciales , escribe el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo administradores local en todos los equipos seleccionados. En el cuadro Dominio, acepta o escribe el nombre de dominio de la cuenta de usuario que usas para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que se encuentra el servidor DPM o a un dominio de confianza. Si vas a instalar un agente de protección en un equipo en un dominio de confianza, escribe las credenciales de usuario del dominio actual. Puedes ser miembro de cualquier dominio de confianza y debes ser miembro del grupo administradores local en todos los equipos seleccionados que quieras proteger.
En la página Resumen, selecciona Adjuntar.