Prepárate para implementar servidores DPM
Hay algunos pasos de planificación que se deben tener en cuenta antes de empezar a implementar los servidores de System Center Data Protection Manager (DPM):
Planificar la implementación del servidor DPM: averigua cuántos servidores DPM necesitarás y dónde colocarlos.
Planificar la configuración del firewall: obtén información sobre la configuración del firewall, el puerto y el protocolo en el servidor DPM, las máquinas protegidas y un servidor SQL Server remoto si está configurando uno.
Conceder permisos de usuario: especifica quién puede interactuar con DPM.
Planificar la implementación del servidor DPM
En primer lugar, determinarás cuántos servidores necesitarás.
DPM puede proteger hasta 600 volúmenes. Para proteger este tamaño máximo, DPM necesita 120 TB por servidor DPM.
Un único servidor DPM puede proteger hasta 2000 bases de datos (tamaño de disco recomendado de 80 TB).
Un único servidor DPM puede proteger hasta 3000 equipos cliente y 100 servidores.
- En el caso de la planificación de la capacidad del servidor DPM, puedes usar las calculadoras de almacenamiento DPM. Estas calculadoras son hojas de Excel y son específicas de la carga de trabajo. Guían sobre el número de servidores DPM necesarios, núcleo de procesador, RAM, recomendaciones de memoria virtual y capacidad de almacenamiento necesaria. Dado que estas calculadoras son específicas de la carga de trabajo, deberás combinar la configuración recomendada y considerarlas junto con los requisitos del sistema y sus requisitos, y su topología empresarial y requisitos específicos, incluidas las ubicaciones de origen de datos y almacenamiento, los requisitos de cumplimiento y de acuerdo de nivel de servicio y las necesidades de recuperación ante desastres. Ten en cuenta que las calculadoras se publicaron para DPM 2010, pero siguen siendo relevantes para versiones posteriores de DPM.
A continuación, descubre cómo localizar los servidores:
DPM debe implementarse en un dominio de Active Directory (Windows Server 2008 en adelante).
Al decidir dónde ubicar el servidor DPM, considera el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si vas a proteger los datos a través de una red de área extensa (WAN), hay un requisito de ancho de banda de red mínimo de 512 kilobits por segundo (Kbps).
DPM admite adaptadores de red (NIC) en equipo. Las NIC agrupadas son varios adaptadores físicos que están configurados para ser tratados como un único adaptador por el sistema operativo. Las NIC agrupadas proporcionan un mayor ancho de banda combinando el ancho de banda disponible, usando cada adaptador y conmutación por error al adaptador restante cuando se produce un error en un adaptador. DPM puede usar el mayor ancho de banda logrado mediante un adaptador agrupado en el servidor DPM.
Otra consideración para la ubicación de los servidores DPM es la necesidad de administrar las cintas y bibliotecas de cinta manualmente, como agregar nuevas cintas a la biblioteca o quitar cintas para un archivo fuera del sitio.
Un servidor DPM puede proteger los recursos dentro de un dominio o entre dominios dentro de un bosque que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM. Si no hay una confianza bidireccional entre dominios, se necesita un servidor DPM independiente para cada dominio. Un servidor DPM puede proteger los datos entre bosques si hay una confianza bidireccional de nivel de bosque entre los bosques.
Considera el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si vas a proteger los datos a través de una WAN, hay un requisito de ancho de banda de red mínimo de 512 Kbps. Ten en cuenta que DPM admite NIC agrupadas que proporcionan un mayor ancho de banda combinando el ancho de banda disponible para cada adaptador de red y conmutación por error si se produce un error en un adaptador.
Planificación de la configuración del firewall y los permisos de usuario
Configuración de firewall
La configuración de firewall para la implementación de DPM es necesaria en el servidor DPM, en las máquinas que deseas proteger y en SQL Server que se usa para la base de datos DPM si la ejecutas de forma remota. Si Firewall de Windows está habilitado al instalar DPM, el programa de instalación de DPM configura automáticamente la configuración del firewall en el servidor DPM. La configuración del firewall se resume en la siguiente tabla.
| Location | Regla | Detalles | Protocolo | Puerto |
|---|---|---|---|---|
| Servidor DPM | System Center <versión> Data Protection Manager DCOM Setting | Se usa para la comunicación DCOM entre el servidor DPM y las máquinas protegidas. | DCOM | 135/TCP Dinámico |
| Servidor DPM | System Center <versión> Data Protection Manager | Excepción para Msdpm.exe (el servicio DPM). Se ejecuta en el servidor DPM. | Todos los protocolos | Todos los puertos |
| Servidor DPM Máquinas protegidas |
System Center <versión> Data Protection Management Replication Agent | Excepción para Dpmra.exe (servicio de agente de protección usado para realizar copias de seguridad y restaurar datos). Se ejecuta en el servidor DPM y en las máquinas protegidas. | Todos los protocolos | Todos los puertos |
| Máquinas protegidas | Configuración de una excepción entrante para sqserv.exe | |||
| Máquinas protegidas | DPM emite el comando al agente de protección con llamadas DCOM al agente. Deberás abrir los puertos superiores (1024-65535) para que DPM se comunique. | DCOM | 135/TCP Dinámico | |
| Máquinas protegidas | El canal de datos DPM es TCP. Tanto el servidor DPM como las máquinas protegidas inician conexiones. DPM se comunica con el coordinador del agente en el puerto 5718 y con el agente de protección en el puerto 5719. | TCP | 5718/TCP 5719/TCP |
|
| Máquinas protegidas | Se usa para la resolución de nombres de host entre DPM/máquina protegida y el controlador de dominio. | DNS | 53/UDP | |
| Máquinas protegidas | Se usa para la autenticación del punto de conexión, entre DPM/máquina protegida y el controlador de dominio. | Kerberos | 88/UDP 88/TCP |
|
| Máquinas protegidas | Se usa para las consultas entre el servidor DPM y el controlador de dominio. | LDAP | 389/TCP 389/UDP |
|
| Máquinas protegidas | Se usa para varias operaciones entre 1) DPM y máquinas protegidas, 2) DPM y el controlador de dominio 3) Máquinas protegidas y el controlador de dominio. También se usa para SMB hospedado directamente en TCP/IP para funciones DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Habilita TCP/IP para la instancia DPM de SQL Server con lo siguiente: auditoría de errores predeterminada; habilita la comprobación de directivas de contraseñas. | |||
| SQL Server remoto | Habilita la excepción entrante para sqservr.exe para la instancia DPM de SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. | |||
| SQL Server remoto | De manera predeterminada, la instancia predeterminada de Motor de base de datos escucha en el puerto TCP 1433. Se puede modificar. Para usar el servicio SQL Server Browser para conectarse en un puerto no predeterminado establecido en el puerto UDP 1434. |
|||
| SQL Server remoto | De forma predeterminada, las instancias con nombre de SQL Server usan puertos dinámicos. Se puede modificar. | |||
| SQL Server remoto | Habilitación de RPC |
Conceder permisos de usuario
Antes de comenzar una implementación de DPM, comprueba que se han concedido a los usuarios adecuados los privilegios necesarios para realizar las distintas tareas. Estos se resumen en la siguiente tabla.
| Tarea DPM | Permisos necesarios |
|---|---|
| Agrega el servidor DPM al dominio | Cuenta de administrador de dominio o derecho de usuario para agregar una estación de trabajo al dominio |
| Instalación de DPM | Cuenta de administrador del servidor DPM |
| Instala el agente de protección de DPM o en las máquinas que quieras proteger. | Cuenta de dominio que se encuentra en el grupo de administradores locales en el equipo |
| Extensión del esquema de AD para habilitar la recuperación del usuario final | Privilegios de administrador de esquema para el dominio |
| Creación de un contenedor de AD para habilitar la recuperación de usuario final | Privilegios de administrador de dominio |
| Concesión de permiso al servidor DPM para cambiar el contenido del contenedor | Privilegios de administrador de dominio |
| Habilitación de la recuperación de usuario final en el servidor DPM | Cuenta de administrador del servidor DPM |
| Instalación del software cliente de punto de recuperación en la máquina protegida | Cuenta de administrador en la máquina. |
| Acceso a versiones anteriores de datos protegidos desde una máquina protegida | Cuenta de usuario con acceso al recurso compartido protegido |
| Recuperar datos de SharePoint | Administrador de la granja de servidores de SharePoint que también es un administrador en el servidor web front-end en el que está instalado el agente de protección. |
Nota:
El servidor DPM y el equipo protegido se comunican mediante DCOM. Durante la instalación de DPMRA, se agrega la cuenta del servidor DPM al grupo de seguridad Usuarios COM distribuidos en el equipo protegido.
Para la protección del controlador de dominio se crearán grupos de seguridad de Active Directory para cada uno de los controladores de dominio protegidos, con los nombres DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME y DPMRATRUSTEDDPMRAS$DCNAME.