Implementar o agente de proteção do DPM
Importante
Esta versão do Data Protection Manager (DPM) chegou ao fim do suporte. Recomendamos que atualize para o DPM 2022.
O agente de proteção do System Center Data Protection Manager (DPM) é o software que instala em cada computador que contém dados que pretende criar uma cópia de segurança com o DPM. Consiste em dois componentes: o próprio agente de proteção e um coordenador de agente. Eis o que faz:
Identifica os dados que o DPM pode proteger e recuperar.
Permite ao servidor DPM procurar as partilhas, os volumes e as pastas no computador protegido.
Cria um diário de alterações separado para cada volume protegido e armazena o diário num ficheiro oculto desse volume. Regista quaisquer alterações aos dados protegidos no diário de alterações e transfere o diário do computador protegido para o servidor DPM para que o DPM possa sincronizar os dados primários com a réplica.
Configure o agente da seguinte forma:
Se o computador que contém os dados que pretende criar uma cópia de segurança estiver protegido por uma firewall, terá de configurar exceções de firewall.
Se o computador não estiver protegido por uma firewall ou tiver configurado exceções de firewall para permitir o acesso, pode instalar o agente a partir da consola do DPM.
Se não tiver acesso através da firewall, o computador que pretende proteger estiver num grupo de trabalho ou domínio não fidedigno ou precisar de utilizar um método de instalação diferente, pode Instalar o agente manualmente e, em seguida , Anexar o agente.
Configurar exceções da firewall
Para um agente de proteção comunicar com o servidor DPM através de uma firewall, são necessárias exceções de firewall.
Configure uma exceção de entrada para sqlservr.exe para a instância do DPM do SQL Server para permitir o TCP na porta 80. O servidor de relatórios escuta pedidos de HTTP na porta 80. A tabela seguinte indica as portas e os protocolos necessários para comunicar entre o servidor DPM e os clientes e servidores protegidos.
Protocolo | Porta | Detalhes |
---|---|---|
DCOM | 135/TCP Dinâmica |
O protocolo de controlo do DPM utiliza DCOM. O DPM emite comandos para o agente de proteção ao invocar chamadas ao DCOM no agente. O agente de proteção responde ao invocar chamadas ao DCOM no servidor DPM. A porta TCP 135 é o ponto de resolução de pontos finais DCE utilizado pelo DCOM. Por predefinição, o DCOM atribui portas dinamicamente a partir do intervalo de portas TCP de 49152 a 65535. No entanto, pode configurar este intervalo com os Serviços de Componentes. Para a comunicação do agente do DPM, tem de abrir as portas superiores 49152-65535. Para abrir as portas, execute os seguintes passos: 1. No Gestor do IIS 7.0, no painel Connections, selecione o nó ao nível do servidor na árvore. 2. Faça duplo clique no ícone de Suporte da Firewall de FTP na lista de funcionalidades. 3. Introduza um intervalo de valores para o Intervalo de Portas do Canal de Dados. 4. Depois de introduzir o intervalo de portas do serviço FTP, no painel Ações , selecione Aplicar para guardar as definições de configuração. |
TCP | 5718/TCP 5719/TCP |
O canal de dados do DPM baseia-se em TCP. Tanto o DPM como o computador protegido iniciam ligações para ativar operações do DPM, como a sincronização e a recuperação. O DPM comunica com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719. |
DNS | 53/UDP | Utilizado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para resolução de nomes de anfitrião. |
Kerberos | 88/UDP 88/TCP | Utilizado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para autenticação do ponto final de ligação. |
LDAP | 389/TCP 389/UDP |
Utilizado entre o DPM e o controlador de domínio para consultas. |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Utilizado entre o DPM e o computador protegido, entre o DPM e o controlador de domínio, e entre o computador protegido e o controlador de domínio para operações diversas. Utilizado para SMB alojado diretamente no TCP/IP para funções do DPM. |
Instalar o agente a partir da consola do DPM
Na Consola do Administrador do DPM, selecioneAgentesde Gestão>. Selecione Instalar no friso da ferramenta para abrir o Assistente de Instalação do Agente de Proteção.
Na página Selecionar Método de Implementação do Agente , selecione Instalar agentes>Seguinte.
Na página Selecionar Computadores, o DPM apresenta uma lista de computadores que estão disponíveis no mesmo domínio do servidor DPM. Adicione o computador necessário.
Quando utiliza o assistente pela primeira vez, o DPM consulta o Active Directory para obter uma lista de computadores disponíveis. Após a primeira instalação, o DPM armazena a lista de computadores na respetiva base de dados, que é atualizada diariamente pelo processo de deteção automática.
Para localizar um computador noutro domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado, tem de escrever o nome de domínio completamente qualificado (FQDN) do computador que pretende proteger. Por exemplo, <Computer1.Domain1.contoso.com>, em que Computer1 é o nome do computador que pretende proteger e Domain1.contoso.com é o domínio ao qual o computador de destino pertence.
A página de botão Avançadas só está ativada quando existe mais do que uma versão de um agente de proteção disponível para instalação nos computadores. Pode utilizar esta opção para instalar uma versão anterior do agente de proteção que estava instalado antes de ter atualizado o servidor DPM para uma versão mais recente.
Na página Introduzir Credenciais , escreva o nome de utilizador e a palavra-passe de uma conta de domínio que seja membro do grupo administradores local em todos os computadores selecionados.
Na caixa Domínio , aceite ou escreva o nome de domínio da conta de utilizador que está a utilizar para instalar o agente de proteção no computador de destino. Esta conta pode pertencer ao domínio onde o servidor DPM está localizado ou a um domínio que tenha uma relação de confiança bilateral com o domínio onde o servidor DPM está localizado.
Se estiver a instalar um agente de proteção num computador num domínio fidedigno, introduza as suas credenciais atuais de utilizador do domínio. Pode ser membro de qualquer domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado e tem de ser membro do grupo administradores local em todos os computadores selecionados nos quais pretende instalar um agente.
Se selecionar um nó de um cluster, o DPM deteta todos os outros nós do cluster e apresenta a página Selecionar Nós do Cluster.
Na página Selecionar Nós de Cluster , selecione uma opção que pretende que o DPM utilize para instalar agentes em nós adicionais no cluster e, em seguida, selecione Seguinte.
Na página Escolher Método de Reinício , selecione o método a utilizar para reiniciar os computadores selecionados após a instalação do agente de proteção. O computador tem de ser reiniciado para começar a proteger dados. O reinício é necessário para carregar o filtro de volume que o DPM utiliza para controlar e transferir alterações a nível de bloco entre o servidor DPM e os computadores protegidos.
Se optar por reiniciar os computadores mais tarde, o estado de instalação do agente de proteção não é atualizado automaticamente no separador Agentes na área de tarefas Gestão após o reinício do computador e terá de selecionar Atualizar Informações.
Não precisa de reiniciar o computador se estiver a instalar um agente de proteção noutro servidor DPM.
Se algum dos computadores que selecionou forem nós num cluster, é apresentada uma página Escolher Método de Reinício adicional, que pode utilizar para selecionar o método para reiniciar os computadores em cluster. Terá de instalar um agente de proteção em todos os nós de um cluster para proteger com êxito os dados em cluster. Os computadores têm de ser reiniciados para poder começar a proteger dados. À medida que o tempo é necessário para iniciar os serviços, poderá demorar alguns minutos após um reinício antes de o DPM poder contactar o agente no cluster.
O DPM não reinicia automaticamente um computador que pertença a um cluster do Microsoft Cluster Server (MSCS). Tem de reiniciar manualmente os computadores num cluster do MSCS.
Na página Resumo , selecione Instalar para iniciar a instalação. Se o EULA for apresentado, aceite-o para que a instalação seja iniciada. No separador Tarefa da página de instalação, pode ver se a instalação foi concluída com êxito. Pode selecionar Fechar antes de o assistente ser concluído e monitorizar o progresso da instalação no separador Agentes na área de tarefas Gestão . Se a instalação não for bem-sucedida, pode ver os alertas no separador Alertas da área de tarefas Monitorização .
Nota
Depois de instalar um agente de proteção num computador que faça parte de um farm de Windows SharePoint Services, cada um dos computadores no farm não será apresentado como computadores protegidos no separador Agentes na área de tarefas Gestão, apenas o computador que selecionou. No entanto, se o farm do Windows SharePoint Services tiver dados no computador selecionado, o DPM protege os dados em todos os computadores no farm, desde que todos tenham o agente de proteção instalado.
Instalar o agente manualmente
Se instalar o agente num computador atrás de uma firewall, tem de garantir que o agente pode ser emitido através da firewall.
Por exemplo, pode executar o seguinte comando no computador para configurar a Firewall do Windows: netsh advfirewall firewall add rule name="Permitir Emissão de Agente Remoto do DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<EndereçoIP>, em que EndereçoIP é o endereço do servidor DPM.
Para configurar a exceção ao nível das portas na firewall, consulte o artigo Configurar exceções de firewall para o agente.
No computador que pretende proteger, abra uma janela de Linha de Comandos elevada e, em seguida, execute os seguintes comandos:
Para atribuir uma letra de unidade, escreva: net use Z: \<DPMServerName>\c$ em que Z é a letra de unidade local que pretende atribuir e <DPMServerName> é o nome do servidor DPM que irá proteger o computador.
Para alterar o diretório, efetue o seguinte:
Para um computador de 64 bits, escreva: cd /d <letra> de unidade atribuída:\Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número> de compilação.0\amd64 em <que a letra> de unidade atribuída é a letra de unidade que atribuiu no passo anterior e <o número> de compilação é o número de compilação mais recente do DPM. Por exemplo: cd /d X:\Programas\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
Para um computador de 32 bits, escreva: cd /d <letra> de unidade atribuída:\Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilação>l;. 0\i386 em <que a letra> de unidade atribuída é a unidade que mapeou no passo anterior e <o número> de compilação é o número de compilação mais recente do DPM.
Para instalar o agente de proteção, abra uma janela de Linha de Comandos elevada e, em seguida, execute um dos seguintes comandos:
Para um computador de 64 bits, escreva: DpmAgentInstaller_x64.exe <DPMServerName> , em que <DPMServerName> é o nome de domínio completamente qualificado (FQDN) do servidor DPM. Por exemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
Para um computador de 32 bits, escreva: DpmAgentInstaller_x86.exe <DPMServerName> em que <DPMServerName> é o nome de domínio completamente qualificado (FQDN) do servidor DPM.
Nota
- Para efetuar uma instalação silenciosa, pode utilizar a opção /q após o comando DpmAgentInstaller_x64.exe . Por exemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
- Para aceitar o EULA manualmente numa instalação silenciosa, utilize DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- Se especificar um nome de servidor do DPM na linha de comandos, este instala o agente de proteção e configura automaticamente as contas de segurança, permissões e exceções de firewall necessárias para que o agente comunique com o servidor DPM especificado. Se não especificou um nome de servidor, abra uma Linha de Comandos elevada no computador de destino e faça o seguinte:
- Para alterar o tipo de diretório: cd /d <unidade> do sistema:\Programas\Microsoft Data Protection Manager\DPM\bin
- Tipo: SetDpmServer.exe -dpmServerName <DPMServerName>. Esta ação configura as contas de segurança, permissões e exceções de firewall para o agente comunicar com o servidor.
Se adicionou o computador ao servidor DPM antes de instalar o agente, o servidor começa a criar cópias de segurança para o computador protegido. Se instalou o agente antes de adicionar o computador ao servidor DPM, terá de ligar o computador antes que o servidor DPM comece a criar cópias de segurança.
Instalar o Agente de Proteção num RODC
Siga estes passos:
Desative a firewall no RODC ou execute os seguintes comandos no RODC antes de instalar o agente:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
No controlador de domínio principal, crie e preencha os seguintes grupos de segurança (em que o nome do servidor protegido é o nome do RODC no qual planeia instalar o agente de proteção):
Crie um grupo de segurança com o nome DPMRADCOMTRUSTEDMACHINES$PSNAME e, em seguida, adicione a conta de computador do servidor DPM como membro.
Crie um grupo de segurança com o nome DPMRADMTRUSTEDMACHINES$PSNAME e, em seguida, adicione a conta de computador do servidor DPM como membro.
Crie um grupo de segurança com o nome DPMRATRUSTEDDPMRAS$PSNAME e, em seguida, adicione a conta de computador do servidor DPM como membro.
Adicione a conta de computador do servidor DPM como membro do grupo de segurança Utilizadores Com Incorporados\Distribuídos .
Certifique-se de que os grupos de segurança que criou anteriormente foram replicados no RODC. Em seguida, instale manualmente o agente de proteção no RODC.
No servidor RODC, efetue os seguintes passos para conceder permissões de início e ativação ao serviço DPMRA:
Abra a Shell de Gestão do DPM e, em seguida, execute o comando dcomcnfg.exe.
A janela Serviços do Componente abre.
Na janela Serviços de Componentes , expanda Computadores, expanda O Meu Computador, expanda Configuração do DCOM, clique com o botão direito do rato no serviçoRA do DPM e, em seguida, selecione Propriedades.
Selecione Geral e, em seguida, defina o Nível de Autenticaçãocomo Predefinido.
Selecione Localização e, em seguida, certifique-se de que apenas a opção Executar aplicação neste computador está selecionada.
Selecione Segurança, selecione Personalizar em Permissões de Iniciação e Ativação, selecione Personalizar e, em seguida, selecione Editar para abrir a caixa de diálogo Iniciar Permissão .
Na caixa de diálogo Permissão de Iniciação , atribua permissões para Iniciação Local, Iniciação Remota, Ativação Local e Ativação Remota para a conta do computador do servidor DPM.
Selecione OK para fechar a caixa de diálogo.
Navegue para Programas\Microsoft System Center\DPM\DPM\setup no servidor DPM e copie os seguintes ficheiros para uma pasta no servidor RODC.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
No RODC, a partir de uma linha de comandos elevada, execute o comando setagentcfg.exe a DPMRA domain\DPMserver a partir da localização que especificou no passo anterior.
No servidor RODC, navegue para a pasta C:\Program Files\Microsoft Data Protection Manager\DPM\bin e execute o comando setdpmserver:
Setdpmserver -dpmservername DPMSERVER
Anexe o agente de proteção ao servidor DPM conforme detalhado na secção seguinte.
Ligar o agente
Depois de instalar manualmente o agente do DPM, terá de anexar o agente ao servidor DPM.
Na Consola do Administrador do DPM, na barra de navegação, selecioneAgentes de Gestão>. No painel Ações , selecione Instalar.
Na página Selecionar o Método de Implementação de Agentes, selecione Anexar agentes>Computador num domínio fidedigno>Seguinte. É apresentado o Assistente de Instalação de Agentes de Proteção.
Na página Selecionar Computadores , o DPM apresenta uma lista de computadores disponíveis no mesmo domínio que o servidor DPM. Selecione um ou mais computadores (50 no máximo) na lista >Nome do computadorAdicionar>Seguinte.
Se esta for a primeira vez que utiliza o assistente, o DPM consulta o Active Directory para obter uma lista de potenciais computadores. Após a primeira instalação, o DPM apresenta a lista de computadores existentes na sua base de dados, que é atualizada diariamente através do processo de deteção automática.
Para adicionar vários computadores utilizando um ficheiro de texto, selecione o botão Adicionar de Ficheiro e, na caixa de diálogo Adicionar a Partir de Ficheiro , escreva a localização do ficheiro de texto ou selecione Procurar para navegar para a respetiva localização.
Na página Introduzir Credenciais , escreva o nome de utilizador e a palavra-passe de uma conta de domínio que seja membro do grupo administradores local em todos os computadores selecionados. Na caixa Domínio , aceite ou escreva o nome de domínio da conta de utilizador que está a utilizar para instalar o agente de proteção no computador de destino. Esta conta poderá pertencer ao domínio onde o servidor DPM está localizado ou a um domínio fidedigno. Se estiver a instalar um agente de proteção num computador num domínio fidedigno, introduza as suas credenciais atuais de utilizador do domínio. Pode ser membro de qualquer domínio fidedigno e tem de ser membro do grupo de Administradores local em todos os computadores selecionados que pretende proteger.
Na página Resumo , selecione Anexar.