Compartir a través de

Implementación del agente de protección DPM

  • Artículo

El agente de protección de System Center Administrador de protección de datos (DPM) es el software que instala en cada equipo que contiene datos de los que desea realizar una copia de seguridad con DPM. Consta de dos componentes: el propio agente de protección y un coordinador de agentes. Así es cómo funciona:

  • Identifica los datos que DPM puede proteger y recuperar.

  • Permite al servidor DPM examinar los recursos compartidos, volúmenes y carpetas del equipo protegido.

  • Crea un diario de cambios para cada volumen protegido y almacena el diario en un archivo oculto en ese volumen. Registra los cambios en los datos protegidos del diario de cambios y transfiere el diario del equipo protegido al servidor DPM para que DPM pueda sincronizar los datos principales con la réplica.

Configurará el agente de la siguiente manera:

  • Si el equipo que contiene los datos de los que desea realizar una copia de seguridad está detrás de un firewall, deberá configurar excepciones de firewall.

  • Si el equipo no está detrás de un firewall o ha configurado excepciones de firewall para permitir el acceso, puede instalar el agente desde la consola DPM.

  • Si no tiene acceso a través del firewall, el equipo que desea proteger se encuentra en un grupo de trabajo o en un dominio que no es de confianza, o bien necesita usar otro método de instalación, puede instalar el agente manualmente y, a continuación , adjuntar el agente.

Configuración de excepciones de firewall

Para que un agente de protección se comunique con el servidor DPM a través de un firewall, se requieren excepciones de firewall.

Configure una excepción entrante para sqlservr.exe para la instancia DPM de SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. En la tabla siguiente se enumeran los protocolos y puertos necesarios para la comunicación entre el servidor DPM y los servidores y clientes protegidos.

Protocolo Puerto Detalles
DCOM 135/TCP
Dinámica		 El protocolo de control DPM usa DCOM. DPM emite comandos al agente de protección invocando llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM.

El puerto TCP 135 es el punto de resolución de punto de conexión DCE utilizado por DCOM.

De forma predeterminada, DCOM asigna puertos dinámicamente desde el intervalo de puertos TCP de 49152 a 65535. Sin embargo, puede configurar este intervalo mediante Servicios de componentes.

Para la comunicación del agente DPM, debe abrir los puertos superiores 49152-65535. Para abrir los puertos, realice los pasos siguientes:

1. En el Administrador de IIS 7.0, en el panel Conexiones , seleccione el nodo de nivel de servidor en el árbol.
2. Haga doble clic en el icono Compatibilidad con el firewall de FTP en la lista de características.
3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos.
4. Después de escribir el intervalo de puertos para el servicio FTP, en el panel Acciones , seleccione Aplicar para guardar las opciones de configuración.
TCP 5718/TCP
5719/TCP		 El canal de datos DPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación.

DPM se comunica con el coordinador del agente en el puerto 5718 y con el agente de protección en el puerto 5719.
DNS 53/UDP Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la resolución de nombres de host.
Kerberos 88/UDP 88/TCP Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la autenticación del punto de conexión.
LDAP 389/TCP
389/UDP		 Se usa entre DPM y el controlador de dominio para las consultas.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Se usa entre DPM y el equipo protegido, entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio para varias operaciones. Se usa para SMB hospedado directamente en TCP/IP para funciones DPM.

Instalación del agente desde la consola de DPM

  1. En la Consola de administrador de DPM, seleccione Agentes de administración>. Seleccione Instalar en la cinta de herramientas para abrir el Asistente para la instalación del Agente de protección.

  2. En la página Seleccionar método de implementación del agente, seleccione Instalar agentes>a continuación.

  3. En la página Seleccionar equipos , DPM muestra una lista de equipos disponibles que están en el mismo dominio que el servidor DPM. Agregue el equipo necesario.

    • La primera vez que use el asistente, DPM consulta Active Directory para obtener una lista de los equipos disponibles. Después de la primera instalación, DPM almacena la lista de equipos de su base de datos, que se actualiza una vez al día mediante el proceso de detección automática.

    • Para buscar un equipo en otro dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM, debe escribir el nombre de dominio completo (FQDN) del equipo que desea proteger. Por ejemplo, <Computer1.Domain1.contoso.com>, donde Computer1 es el nombre del equipo que desea proteger y Domain1.contoso.com es el dominio al que pertenece el equipo de destino.

    • La página del botón Avanzado solo está habilitada cuando hay más de una versión de un agente de protección disponible para la instalación en los equipos. Puede usar esta opción para instalar una versión anterior del agente de protección que se instaló antes de actualizar el servidor DPM a una versión más reciente.

  4. En la página Escribir credenciales , escriba el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo administradores local en todos los equipos seleccionados.

    • En el cuadro Dominio , acepte o escriba el nombre de dominio de la cuenta de usuario que usa para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que se encuentra el servidor DPM o a un dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM.

    • Si va a instalar un agente de protección en un equipo en un dominio de confianza, escriba las credenciales de usuario del dominio actual. Puede ser miembro de cualquier dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM y debe ser miembro del grupo administradores local en todos los equipos seleccionados en los que desea instalar un agente.

    • Si selecciona un nodo en un clúster, DPM detecta todos los nodos adicionales del clúster y muestra la página Seleccionar nodos de clúster.

  5. En la página Seleccionar nodos de clúster, seleccione una opción que desea que DPM use para instalar agentes en nodos adicionales del clúster y, a continuación, seleccione Siguiente.

  6. En la página Elegir método de reinicio, seleccione el método que se va a usar para reiniciar los equipos seleccionados después de instalar el agente de protección. El equipo debe reiniciarse para poder empezar a proteger los datos. Es necesario reiniciar para cargar el filtro de volumen que DPM usa para realizar un seguimiento y transferir los cambios de nivel de bloque entre el servidor DPM y los equipos protegidos.

    • Si selecciona reiniciar los equipos más adelante, el estado de instalación del agente de protección no se actualiza automáticamente en la pestaña Agentes del área de tareas Administración después de reiniciar el equipo y tendrá que seleccionar Actualizar información.

    • No es necesario reiniciar el equipo si va a instalar un agente de protección en otro servidor DPM.

    • Si alguno de los equipos seleccionados son nodos de un clúster, aparece una página Elegir método de reinicio adicional, que puede usar para seleccionar el método para reiniciar los equipos en clúster. Deberá instalar un agente de protección en todos los nodos de un clúster para proteger correctamente los datos agrupados. Los equipos deben reiniciarse para poder empezar a proteger los datos. Dado que se requiere tiempo para iniciar los servicios, puede tardar unos minutos después de un reinicio antes de que DPM pueda ponerse en contacto con el agente en el clúster.

    • DPM no reiniciará automáticamente un equipo que pertenezca a un clúster de Microsoft Cluster Server (MSCS). Debe reiniciar manualmente los equipos en un clúster de MSCS.

  7. En la página Resumen , seleccione Instalar para comenzar la instalación. Si aparece el CLUF, acepte la instalación para que se inicie. En la pestaña Tarea de la página de instalación, puede ver si la instalación se ha realizado correctamente. Puede seleccionar Cerrar antes de que finalice el asistente y supervisar el progreso de la instalación en la pestaña Agentes del área de tareas Administración. Si la instalación no se realiza correctamente, puede ver las alertas en el área de tareas Supervisión de la pestaña Alertas .

Nota:

Después de instalar un agente de protección en un equipo que forma parte de una granja de Servidores de Windows SharePoint Services, cada uno de los equipos de la granja de servidores no aparecerá como equipos protegidos en la pestaña Agentes del área de tareas Administración , solo el equipo seleccionado. Sin embargo, si la granja de servidores de Windows SharePoint Services tiene datos en el equipo seleccionado, DPM protege los datos de todos los equipos de la granja de servidores, siempre que todos tengan instalado el agente de protección.

Instalación manual del agente

  1. Si instala el agente en un equipo detrás de un firewall, debe asegurarse de que el agente se puede insertar a través del firewall.

    Por ejemplo, puede ejecutar el siguiente comando en el equipo para configurar firewall de Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress, donde IPAddress> es la dirección del servidor DPM.

    Para configurar la excepción de puertos en el firewall, consulte Configuración de excepciones de firewall para el agente.

  2. En el equipo que desea proteger, abra una ventana del símbolo del sistema con privilegios elevados y ejecute los siguientes comandos:

    Para asignar una letra de unidad, escriba: net use Z: \<DPMServerName>\c$, donde Z es la letra de la unidad de disco local que quiere asignar y <NombreServidorDPM> es el nombre del servidor DPM que protegerá el equipo.

    Para cambiar el directorio, haga lo siguiente:

    • Para un equipo de 64 bits, escriba: cd /d <letra de unidad> asignada:\Archivos de programa\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número> de compilación.0\amd64 donde <la letra> de unidad asignada es la letra de unidad que asignó en el paso anterior y< el número de compilación es el número> de compilación DPM más reciente. Por ejemplo: cd /d X:\Archivos de programa\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Para un equipo de 32 bits, escriba: cd /d <letra de unidad> asignada:\Archivos de programa\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilación>l;. 0\i386 , donde <la letra> de unidad asignada es la unidad que asignó en el paso anterior y <el número de compilación es el número> de compilación DPM más reciente.

  3. Para instalar el agente de protección, abra una ventana del símbolo del sistema con privilegios elevados y ejecute uno de los siguientes comandos:

    • Para un equipo de 64 bits, escriba: DpmAgentInstaller_x64.exe< DPMServerName>, donde< DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM. Por ejemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Para un equipo de 32 bits, escriba: DpmAgentInstaller_x86.exe< DPMServerName>, donde< DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM.

    Nota:

    • Para realizar una instalación silenciosa, puede usar la opción /q después del comando DpmAgentInstaller_x64.exe . Por ejemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Para aceptar el CLUF manualmente en una instalación silenciosa, use DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Si especifica un nombre de servidor DPM en la línea de comandos, instala el agente de protección y configura automáticamente las cuentas de seguridad, los permisos y las excepciones de firewall necesarias para que el agente se comunique con el servidor DPM especificado. Si no especificó un nombre de servidor, abra un símbolo del sistema con privilegios elevados en el equipo de destino y haga lo siguiente:
      1. Para cambiar el tipo de directorio: cd /d <unidad> del sistema:\Archivos de programa\Microsoft Administrador de protección de datos\DPM\bin
      2. Tipo: SetDpmServer.exe -dpmServerName< DPMServerName>. Esto configura las cuentas de seguridad, los permisos y las excepciones de firewall para que el agente se comunique con el servidor.

  4. Si agregó el equipo al servidor DPM antes de instalar el agente, el servidor comienza a crear copias de seguridad del equipo protegido. Si instaló el agente antes de agregar el equipo al servidor DPM, debe adjuntar el equipo antes de que el servidor DPM comience a crear copias de seguridad.

Instalación del Agente de protección en un RODC

Siga estos pasos:

  1. Desactive el firewall en el RODC o ejecute los siguientes comandos en el RODC antes de instalar el agente:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. En el controlador de dominio principal, cree y rellene los siguientes grupos de seguridad (donde el nombre del servidor protegido es el nombre del RODC en el que planea instalar el agente de protección):

    • Cree un grupo de seguridad denominado DPMRADCOMTRUSTEDMACHINES$PSNAME y agregue la cuenta de equipo del servidor DPM como miembro.

    • Cree un grupo de seguridad denominado DPMRADMTRUSTEDMACHINES$PSNAME y agregue la cuenta de equipo del servidor DPM como miembro.

    • Cree un grupo de seguridad denominado DPMRATRUSTEDDPMRAS$PSNAME y agregue la cuenta de equipo del servidor DPM como miembro.

    • Agregue la cuenta del equipo servidor de DPM como miembro del grupo de seguridad \Builtin\Usuarios Com distribuidos.

  3. Asegúrese de que los grupos de seguridad que creó anteriormente se han replicado en el RODC. A continuación, instale manualmente el agente de protección en el RODC.

  4. En el servidor RODC, realice los pasos siguientes para conceder permisos de inicio y activación para el servicio DPMRA:

    1. Abra el Shell de administración de DPM y ejecute el comando dcomcnfg.exe.

      Se abre la ventana Servicios de componentes.

    2. En la ventana Servicios de componentes, expanda Equipos, Mi equipo, Configuración de DCOM, haga clic con el botón derecho en elservicio ra de DPM y, a continuación, seleccione Propiedades.

    3. Seleccione General y, a continuación, establezca el nivel de autenticación en Predeterminado.

    4. Seleccione Ubicación y asegúrese de que solo esté seleccionada la opción Ejecutar aplicación en este equipo .

    5. Seleccione Seguridad, seleccione Personalizar en Permisos de inicio y activación, Seleccione Personalizar y, después, Editar para abrir el cuadro de diálogo Permiso de inicio.

    6. En el cuadro de diálogo Permiso de inicio, asigne permisos para inicio local, inicio remoto, activación local y activación remota para la cuenta del equipo del servidor DPM.

    7. Haga clic en Aceptar para cerrar el cuadro de diálogo.

    8. Vaya a programfiles\Microsoft System Center 2012 R2\DPM\DPM\setup en el servidor DPM y copie los siguientes archivos a una carpeta del servidor RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. En el RODC, desde un símbolo del sistema con privilegios elevados, ejecute el comando setagentcfg.exe un dominio DPMRA\DPMserver desde la ubicación especificada en el paso anterior.

  6. En el servidor RODC, vaya a la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecute el comando setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Adjunte el agente de protección al servidor DPM como se detalla en la sección siguiente.

Asociación del agente

Después de instalar el agente DPM manualmente, deberá adjuntar el agente al servidor DPM.

  1. En la Consola de administrador DPM, en la barra de navegación, seleccione Agentes de administración>. En el panel Acciones , seleccione Instalar.

  2. En la página Seleccionar método de implementación del agente, seleccione Adjuntar agentes>Equipo en un dominio>de confianza Siguiente. Se abre el Asistente para la instalación del Agente de protección.

  3. En la página Seleccionar equipos , DPM muestra una lista de equipos disponibles en el mismo dominio que el servidor DPM. Seleccione uno o varios equipos (50 como máximo) en la lista >Nombre del equipo Agregar>siguiente.

    • Si es la primera vez que ha usado el asistente, DPM consulta Active Directory para obtener una lista de equipos potenciales. Después de la primera instalación, DPM muestra la lista de equipos de su base de datos, que se actualiza una vez al día mediante el proceso de detección automática.

    • Para agregar varios equipos mediante un archivo de texto, seleccione el botón Agregar desde archivo y, en el cuadro de diálogo Agregar desde archivo, escriba la ubicación del archivo de texto o seleccione Examinar para navegar a su ubicación.

  4. En la página Escribir credenciales , escriba el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo administradores local en todos los equipos seleccionados. En el cuadro Dominio , acepte o escriba el nombre de dominio de la cuenta de usuario que usa para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que se encuentra el servidor DPM o en un dominio de confianza. Si va a instalar un agente de protección en un equipo en un dominio de confianza, escriba las credenciales de usuario del dominio actual. Puede ser miembro de cualquier dominio de confianza y debe ser miembro del grupo administradores local en todos los equipos seleccionados que quiera proteger.

  5. En la página Resumen , seleccione Adjuntar.