Partilhar via


Implantar o agente de proteção do DPM

O agente de proteção do System Center Data Protection Manager (DPM) é o software que você instala em cada computador que contém os dados dos quais você deseja fazer backup com o DPM. Consiste em dois componentes: o próprio agente de proteção e um coordenador de agentes. Aqui está o que ele faz:

  • Identifica os dados que o DPM pode proteger e recuperar.

  • Permite que o servidor DPM navegue pelos compartilhamentos, volumes e pastas no computador protegido.

  • Cria um diário de alterações para cada volume protegido e armazena o diário em um arquivo oculto nesse volume. Ele registra todas as alterações nos dados protegidos no diário de alterações e transfere o diário do computador protegido para o servidor DPM para que o DPM possa sincronizar os dados primários com a réplica.

Você configurará o agente da seguinte maneira:

  • Se o computador que contém os dados dos quais você deseja fazer backup estiver protegido por um firewall, você precisará configurar exceções de firewall.

  • Se o computador não estiver protegido por um firewall ou se você tiver configurado exceções de firewall para permitir o acesso, poderá instalar o agente do console do DPM.

  • Se você não tiver acesso por meio do firewall, o computador que deseja proteger estiver em um grupo de trabalho ou domínio não confiável ou se precisar usar um método de instalação diferente, poderá Instalar o agente manualmente e Anexar o agente.

Configurar exceções de firewall

Para que um agente de proteção se comunique com o servidor DPM por meio de um firewall, são necessárias exceções de firewall.

Configure uma exceção de entrada para sqlservr.exe para a instância do DPM do SQL Server para permitir o TCP na porta 80. O servidor de relatório escuta as solicitações HTTP na porta 80. A tabela a seguir lista as portas e os protocolos necessários para a comunicação entre o servidor DPM e os servidores protegidos e os clientes.

Protocolo Porta Detalhes
DCOM 135/TCP
Dinâmico
O protocolo de controle do DPM usa o DCOM. O DPM emite comandos para o agente de proteção invocando as chamadas do DCOM no agente. O agente de proteção responde fazendo as chamadas DCOM no servidor DPM.

A porta TCP 135 é o ponto de resolução do ponto de extremidade do DCE usado pelo DCOM.

Por padrão, o DCOM atribui portas dinamicamente do intervalo de portas TCP de 49152 a 65535. No entanto, você pode configurar esse intervalo usando os Serviços de Componente.

Para comunicação do agente DPM, você deve abrir as portas superiores 49152-65535. Para abrir as portas, execute as seguintes etapas:

1. No Gerenciador do IIS 7.0, no painel Conexões , selecione o nó no nível do servidor na árvore.
2. Clique duas vezes no ícone Suporte ao Firewall FTP na lista de recursos.
3. Digite um intervalo de valores para o Intervalo de Porta de Canal de Dados.
4. Depois de inserir o intervalo de portas do serviço FTP, no painel Ações, selecione Aplicar para salvar as definições de configuração.
TCP 5718/TCP
5719/TCP
O canal de dados do DPM é baseado no TCP. O DPM e o computador protegido iniciam conexões para habilitar operações do DPM, como sincronização e recuperação.

O DPM comunica-se com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719.
DNS 53/UDP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para resolução de nomes de host.
Kerberos 88/UDP 88/TCP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para autenticação do ponto de extremidade de conexão.
LDAP 389/TCP
389/UDP
Usado entre o DPM e o controlador de domínio para consultas.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Usado entre o DPM e o computador protegido, entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para operações diversas. Usado para SMB hospedado diretamente no TCP/IP para funções do DPM.

Instalar o agente a partir da consola do DPM

  1. No Console do Administrador do DPM, selecione Agentes de Gerenciamento>. Selecione Instalar na faixa de opções da ferramenta para abrir o Assistente de Instalação do Agente de Proteção.

  2. Na página Selecionar Método de Implantação do Agente, selecione Instalar agentes>Avançar.

  3. Na página Selecionar Computadores, o DPM exibe uma lista de computadores disponíveis que estão no mesmo domínio que o servidor DPM. Adicione o computador necessário.

    • Na primeira vez que você usa o assistente, o DPM consulta o Active Directory para obter uma lista de computadores disponíveis. Após a primeira instalação, o DPM armazena a lista de computadores em seu banco de dados, que é atualizada uma vez por dia pelo processo de descoberta automática.

    • Para localizar um computador em outro domínio que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado, você deve digitar o FQDN (nome de domínio totalmente qualificado) do computador que deseja proteger. Por exemplo, <Computador1.Domain1.contoso.com>, em que Computador1 é o nome do computador que você deseja proteger e Domain1.contoso.com é o domínio ao qual o computador de destino pertence.

    • A página do botão Avançado é habilitada somente quando há mais de uma versão de um agente de proteção disponível para instalação nos computadores. Você pode usar essa opção para instalar uma versão anterior do agente de proteção que foi instalada antes de atualizar o servidor DPM para uma versão mais recente.

  4. Na página Inserir Credenciais , digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo Administradores local em todos os computadores selecionados.

    • Na caixa Domínio, aceite ou digite o nome de domínio da conta de usuário que você está usando para instalar o agente de proteção no computador de destino. Essa conta pode pertencer ao domínio em que o servidor DPM está localizado ou a um domínio que tem uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado.

    • Se você estiver instalando um agente de proteção em um computador em um domínio confiável, insira suas credenciais de usuário de domínio atuais. Você pode ser membro de qualquer domínio que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado e deve ser membro do grupo Administradores local em todos os computadores selecionados nos quais deseja instalar um agente.

    • Se você selecionar um nó em um cluster, o DPM detectará todos os nós adicionais no cluster e exibirá a página Selecionar Nós do Cluster .

  5. Na página Selecionar Nós de Cluster , selecione uma opção que você deseja que o DPM use para instalar agentes em nós adicionais no cluster e selecione Avançar.

  6. Na página Escolher Método de Reinicialização , selecione o método a ser usado para reiniciar os computadores selecionados após a instalação do agente de proteção. O computador deve ser reiniciado para que você possa iniciar a proteção dos dados. Uma reinicialização é necessária para carregar o filtro de volume que o DPM usa para rastrear e transferir alterações no nível do bloco entre o servidor DPM e os computadores protegidos.

    • Se você optar por reiniciar os computadores mais tarde, o status de instalação do agente de proteção não será atualizado automaticamente na guia Agentes na área de tarefas Gerenciamento após a reinicialização do computador e você precisará selecionar Atualizar Informações.

    • Você não precisará reiniciar o computador se estiver instalando um agente de proteção em outro servidor DPM.

    • Se qualquer um dos computadores selecionados for nós em um cluster, uma página adicional Escolher Método de Reinicialização será exibida, que você poderá usar para selecionar o método para reiniciar os computadores clusterizados. Você precisará instalar um agente de proteção em todos os nós em um cluster para proteger com êxito os dados clusterizados. Os computadores devem ser reiniciados para que você possa iniciar a proteção dos dados. Como o tempo é necessário para iniciar os serviços, pode levar alguns minutos após uma reinicialização antes que o DPM possa entrar em contato com o agente no cluster.

    • O DPM não reiniciará automaticamente um computador que pertença a um cluster do Microsoft Cluster Server (MSCS). Você deve reiniciar manualmente os computadores em um cluster do MSCS.

  7. Na página Resumo, selecione Instalar para iniciar a instalação. Se o EULA aparecer, aceite-o para que a instalação seja iniciada. Na guia Tarefa da página de instalação, você pode ver se a instalação foi bem-sucedida. Você pode selecionar Fechar antes que o assistente seja concluído e monitorar o progresso da instalação na guia Agentes na área de tarefas Gerenciamento . Se a instalação não for bem-sucedida, você poderá exibir os alertas na área de tarefa Monitoramento da guia Alertas .

Observação

Depois de instalar um agente de proteção em um computador que faz parte de um farm do Windows SharePoint Services, cada um dos computadores do farm não aparecerá como computadores protegidos na guia Agentes na área de tarefas Gerenciamento , apenas o computador selecionado. No entanto, se o farm do Windows SharePoint Services tiver dados no computador selecionado, o DPM protegerá os dados em todos os computadores do farm, desde que todos eles tenham o agente de proteção instalado.

Instalar o agente manualmente

  1. Se você instalar o agente em um computador atrás de um firewall, precisará garantir que o agente possa ser enviado pelo firewall.

    Por exemplo, você pode executar o seguinte comando no computador para configurar o Firewall do Windows: netsh advfirewall firewall add rule name="Permitir envio do Agente Remoto do DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, em que IPAddress é o endereço do servidor DPM.

    Para configurar a exceção de portas no firewall, consulte Configurar as exceções de firewall do agente.

  2. No computador que você deseja proteger, abra uma janela do Prompt de Comando com privilégios elevados e execute os seguintes comandos:

    Para atribuir uma letra da unidade, digite: net use Z: \<DPMServerName>\c$; em que Z é a letra da unidade local que você deseja atribuir e <DPMServerName> é o nome do servidor DPM que protegerá o computador.

    Para alterar o diretório, faça o seguinte:

    • Para um computador de 64 bits, digite: cd /d <letra> de unidade atribuída:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número> da compilação.0\amd64 em <que a letra> da unidade atribuída é a letra da unidade que você atribuiu na etapa anterior e< o número> da compilação é o número de compilação mais recente do DPM. Por exemplo: cd /d X:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Para um computador de 32 bits, digite: cd /d <letra> de unidade atribuída:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número da compilação>l;. 0\i386 em <que a letra> da unidade atribuída é a unidade que você mapeou na etapa anterior e< o número> de build é o número de build mais recente do DPM.

  3. Para instalar o agente de proteção, abra uma janela elevada do Prompt de Comando e execute um dos seguintes comandos:

    • Para um computador de 64 bits, digite: DpmAgentInstaller_x64.exe <DPMServerName> em que <DPMServerName> é o FQDN (nome de domínio totalmente qualificado) do servidor DPM. Por exemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Para um computador de 32 bits, digite: DpmAgentInstaller_x86.exe <DPMServerName> em que <DPMServerName> é o FQDN (nome de domínio totalmente qualificado) do servidor DPM.

    Observação

    • Para executar uma instalação silenciosa, você pode usar a opção /q após o comando DpmAgentInstaller_x64.exe . Por exemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Para aceitar o EULA manualmente em uma instalação silenciosa, use DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Se você especificar um nome de servidor DPM na linha de comando, ele instalará o agente de proteção e configurará automaticamente as contas de segurança, as permissões e as exceções de firewall necessárias para que o agente se comunique com o servidor DPM especificado. Se você não especificou um nome de servidor, abra um Prompt de Comando com privilégios elevados no computador de destino e faça o seguinte:
      1. Para alterar o tipo de diretório: cd /d <unidade> do sistema:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin
      2. Digite: SetDpmServer.exe -dpmServerName <DPMServerName>. Isso configura as contas de segurança, permissões e exceções de firewall para que o agente se comunique com o servidor.
  4. Se você tiver adicionado o computador ao servidor DPM antes de instalar o agente, o servidor começará a criar backups do computador protegido. Se você instalou o agente antes de adicionar o computador ao servidor DPM, deverá anexar o computador antes que o servidor DPM comece a criar backups.

Instalar o agente de proteção em um RODC

Use estas etapas:

  1. Desative o firewall no RODC ou execute os seguintes comandos no RODC antes de instalar o agente:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. No controlador de domínio primário, crie e preencha os seguintes grupos de segurança (em que o nome do servidor protegido é o nome do RODC no qual você planeja instalar o agente de proteção):

    • Crie um grupo de segurança chamado DPMRADCOMTRUSTEDMACHINES$PSNAME™ e, em seguida, adicione a conta do computador do servidor DPM como membro.

    • Crie um grupo de segurança chamado DPMRADMTRUSTEDMACHINES$PSNAME™ e, em seguida, adicione a conta do computador do servidor DPM como membro.

    • Crie um grupo de segurança chamado DPMRATRUSTEDDPMRAS$PSNAME™ e, em seguida, adicione a conta do computador do servidor DPM como membro.

    • Adicione a conta do computador servidor de DPM como membro do grupo de segurança Usuários COM Integrados/Distribuídos.

  3. Verifique se os grupos de segurança criados anteriormente foram replicados no RODC. Instale manualmente o agente de proteção no RODC.

  4. No servidor RODC, execute as etapas a seguir para conceder permissões de inicialização e ativação do serviço DPMRA:

    1. Abra o Shell de Gerenciamento do DPM e execute o comando dcomcnfg.exe.

      A janela Serviços de Componentes é aberta.

    2. Na janela Serviços de Componentes, expanda Computadores, expanda Meu Computador, expanda Configuração DCOM, clique com o botão direito do mouse noserviço DPM RA e selecione Propriedades.

    3. Selecione Geral e defina o Nível de Autenticação como Padrão.

    4. Selecione Local e verifique se apenas Executar aplicativo neste computador está selecionado.

    5. Selecione Segurança, selecione Personalizar em Permissões de Inicialização e Ativação, selecione Personalizar e, em seguida, selecione Editar para abrir a caixa de diálogo Permissão de Inicialização.

    6. Na caixa de diálogo Permissão de Inicialização , atribua permissões para Inicialização Local, Inicialização Remota, Ativação Local e Ativação Remota para a conta do computador do servidor DPM.

    7. Selecione OK para fechar a caixa de diálogo.

    8. Navegue até Arquivos de Programas\Microsoft System Center\DPM\DPM\setup no servidor DP e, copie os seguintes arquivos para uma pasta no servidor RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. No RODC, de um prompt de comandos com privilégios elevados, execute o comando setagentcfg.exe a DPMRA domain\DPMserver do local especificado na etapa anterior.

  6. No servidor RODC, navegue até a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin e execute o comando setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Anexe o agente de proteção ao servidor DPM, conforme detalhado na seção a seguir.

Anexar o agente

Depois de instalar o agente do DPM manualmente, você precisará anexar o agente ao servidor do DPM.

  1. No Console do Administrador do DPM, na barra de navegação, selecione Agentes de Gerenciamento>. No painel Ações, selecione Instalar.

  2. Na página Selecionar Método de Implantação de Agentes , selecione Anexar agentes>Computador em um domínio confiável>Avançar. O Assistente de Instalação de Agentes de Proteção é aberto.

  3. Na página Selecionar Computadores, o DPM exibe uma lista de computadores disponíveis no mesmo domínio que o servidor DPM. Selecione um ou mais computadores (máximo de 50) na lista de nomes do computador Adicionar>Próximo.>

    • Se esta for a primeira vez que você usa o assistente, o DPM consulta o Active Directory para obter uma lista de computadores em potencial. Depois da primeira instalação, o DPM exibirá a lista de computadores no respectivo banco de dados, que é atualizado uma vez por dia pelo processo de descoberta automática.

    • Para adicionar vários computadores usando um arquivo de texto, selecione o botão Adicionar do Arquivo e, na caixa de diálogo Adicionar do Arquivo , digite o local do arquivo de texto ou selecione Procurar para navegar até seu local.

  4. Na página Inserir Credenciais , digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo Administradores local em todos os computadores selecionados. Na caixa Domínio, aceite ou digite o nome de domínio da conta de usuário que você está usando para instalar o agente de proteção no computador de destino. Essa conta pode pertencer ao domínio no qual o servidor DPM está localizado ou a um domínio confiável. Se você estiver instalando um agente de proteção em um computador em um domínio confiável, insira suas credenciais de usuário de domínio atuais. Você pode ser membro de qualquer domínio confiável e deve ser membro do grupo local de administradores em todos os computadores selecionados que deseja proteger.

  5. Na página Resumo , selecione Anexar.