Implementar el agente de protección DPM

Importante

Esta versión de Data Protection Manager (DPM) ha llegado al final del soporte técnico. Se recomienda actualizar a DPM 2022.

El agente de protección de System Center Data Protection Manager (DPM) es el software que instala en cada equipo que contiene los datos de los que desea realizar una copia de seguridad con DPM. Consta de dos componentes: el propio agente de protección y un coordinador de agentes. Esto es lo que hace:

• Identifica los datos que DPM puede proteger y recuperar.

• Permite al servidor DPM examinar los recursos compartidos, los volúmenes y las carpetas del equipo protegido.

• Crea un diario de cambios para cada volumen protegido y lo almacena en un archivo oculto en ese volumen. Registra los cambios realizados en los datos protegidos del diario de cambios y transfiere el diario del equipo protegido al servidor DPM para que DPM pueda sincronizar los datos principales con la réplica.

El agente se configura de la siguiente manera:

• Si el equipo que contiene los datos de los que desea realizar una copia de seguridad está detrás de un firewall, deberá configurar excepciones de firewall.

• Si el equipo no está detrás de un firewall o ha configurado excepciones de firewall para permitir el acceso, puede instalar el agente desde la consola DPM.

• Si no tiene acceso a través del firewall, el equipo que desea proteger se encuentra en un grupo de trabajo o en un dominio que no es de confianza, o bien necesita usar otro método de instalación, puede instalar el agente manualmente y, a continuación, adjuntar el agente.

Configurar excepciones de firewall

Para que un agente de protección se comunique con el servidor DPM a través de un firewall, se necesitan excepciones de firewall.

Configure una excepción entrante para sqlservr.exe para la instancia DPM del SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. En la tabla siguiente se enumeran los protocolos y puertos necesarios para la comunicación entre el servidor DPM y los servidores protegidos y los clientes.

Protocolo	Puerto	Detalles
DCOM	135/TCP Dinámico	El protocolo de control de DPM usa DCOM. DPM emite comandos para el agente de protección, para lo cual invoca llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM. El puerto TCP 135 es el punto de resolución de extremo DCE utilizado por DCOM. De manera predeterminada, DCOM asigna puertos de manera dinámica desde el intervalo de puertos TCP de 49152 a 65535, inclusive. No obstante, puede configurar este intervalo empleando los servicios de componentes. Para la comunicación del agente DPM, debe abrir los puertos superiores 49152-65535. Para abrir los puertos, siga estos pasos: 1. En el Administrador de IIS 7.0, en el panel Connections, seleccione el nodo de nivel de servidor en el árbol. 2. Haga doble clic en el icono Compatibilidad con el firewall de FTP en la lista de características. 3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos. 4. Después de entrar en el intervalo de puertos para el servicio FTP, en el panel Acciones , seleccione Aplicar para guardar las opciones de configuración.
TCP	5718/TCP 5719/TCP	El canal de datos CPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación. DPM se comunica con el coordinador de agentes en el puerto 5718 y con el agente de protección en el puerto 5719.
DNS	53/UDP	Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la resolución de nombres de host.
Kerberos	88/UDP 88/TCP	Se usa entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio para la autenticación del punto de conexión.
LDAP	389/TCP 389/TCP	Se usa entre DPM y el controlador de dominio para las consultas.
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	Se usa entre DPM y el equipo protegido, entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio para operaciones diversas. Se usa para SMB hospedados directamente en TCP/IP para las funciones de DPM.

Instalar al agente desde la consola de DPM

1. En la Consola de administrador de DPM, seleccione Agentes de administración>. Seleccione Instalar en la cinta de herramientas para abrir el Asistente para la instalación del Agente de protección.

2. En la página Seleccionar método de implementación del agente , seleccione Instalar agentes>Siguiente.

3. En la página Seleccionar equipos, DPM muestra una lista de los equipos disponibles que se encuentran en el mismo dominio que el servidor DPM. Agregue el equipo necesario.

   • La primera vez que use el asistente, DPM consulta Active Directory para obtener una lista de los equipos disponibles. Después de la primera instalación, DPM almacena la lista de equipos en su base de datos, que el proceso de detección automática actualiza una vez al día.

   • Para buscar un equipo en otro dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM, debe escribir el nombre de dominio completo (FQDN) del equipo que desea proteger. Por ejemplo, <Computer1.Domain1.contoso.com>, donde Computer1 es el nombre del equipo que desea proteger y Domain1.contoso.com es el dominio al que pertenece el equipo de destino.

   • La página del botón Opciones avanzadas solo está habilitada cuando hay más de una versión de un agente de protección disponible para la instalación en los equipos. Puede usar esta opción para instalar una versión anterior del agente de protección que se instaló antes de actualizar el servidor DPM a una versión más reciente.

4. En la página Escribir credenciales , escriba el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo Administradores local en todos los equipos seleccionados.

   • En el cuadro Dominio , acepte o escriba el nombre de dominio de la cuenta de usuario que está usando para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que está ubicado el servidor DPM o al dominio que posee una relación de confianza bidireccional con el dominio en el que está ubicado el servidor DPM.

   • Si está instalando un agente de protección en un equipo a través de un dominio de confianza, escriba sus credenciales de usuario del dominio actuales. Puede ser miembro de cualquier dominio que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM y debe ser miembro del grupo administradores local en todos los equipos seleccionados en los que desea instalar un agente.

   • Si selecciona un nodo en un clúster, DPM detecta todos los nodos adicionales del clúster y abre la página Seleccionar nodos de clústeres.

5. En la página Seleccionar nodos de clúster , seleccione una opción que desea que DPM use para instalar agentes en nodos adicionales del clúster y, a continuación, seleccione Siguiente.

6. En la página Elegir método de reinicio, seleccione el método que va a usar para reiniciar los equipos seleccionados una vez instalado el agente de protección. El equipo debe reiniciarse para que pueda empezar a proteger datos. Es necesario reiniciar el equipo para cargar el filtro del volumen que DPM usa para transferir y hacer un seguimiento de los cambios a nivel de bloque entre el servidor DPM y los equipos protegidos.

   • Si selecciona reiniciar los equipos más adelante, el estado de instalación del agente de protección no se actualiza automáticamente en la pestaña Agentes del área de tareas Administración después de reiniciar el equipo y tendrá que seleccionar Actualizar información.

   • No es necesario reiniciar el equipo si va a instalar un agente de protección en otro servidor DPM.

   • Si alguno de los equipos seleccionados son nodos de un clúster, aparece una página adicional Elegir método de reinicio , que puede usar para seleccionar el método para reiniciar los equipos en clúster. Deberá instalar un agente de protección en todos los nodos de un clúster para proteger correctamente los datos agrupados. Los equipos deben reiniciarse para que se puedan proteger los datos. Como se requiere tiempo para iniciar los servicios, puede tardar unos minutos después de un reinicio antes de que DPM pueda ponerse en contacto con el agente en el clúster.

   • DPM no reiniciará automáticamente un equipo que pertenezca a un clúster de Microsoft Cluster Server (MSCS). Debe reiniciar manualmente los equipos en un clúster MSCS.

7. En la página Resumen , seleccione Instalar para comenzar la instalación. Si aparece el CLUF, ácételo para que se inicie la instalación. En la pestaña Tarea de la página de instalación, puede ver si la instalación se ha realizado correctamente. Puede seleccionar Cerrar antes de que finalice el asistente y supervisar el progreso de la instalación en la pestaña Agentes del área de tareas Administración . Si la instalación no se completa correctamente, puede ver las alertas en el área de tareas Supervisión en la pestaña Alertas.

Nota

Después de instalar un agente de protección en un equipo que forma parte de una granja de servidores de Windows SharePoint Services, cada uno de los equipos de la granja de servidores no aparecerá como equipos protegidos en la pestaña Agentes del área de tareas Administración, solo el equipo seleccionado. Pero si la granja de servidores de Windows SharePoint Services tiene datos en el equipo seleccionado, DPM protege los datos de todos los equipos de la granja de servidores, siempre que todos ellos tengan instalado el agente de protección.

Instalación manual del agente

1. Si instala el agente en un equipo detrás de un firewall, debe asegurarse de que el agente se puede insertar a través del firewall.

   Por ejemplo, puede ejecutar el comando siguiente en el equipo para configurar Firewall de Windows: netsh advfirewall firewall add rule name="Permitir pasar al agente remoto de DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<DirecciónIP> , donde DirecciónIP es la dirección del servidor DPM.

   Para configurar la excepción de puertos en el firewall, consulte Configuración de excepciones de firewall para el agente.

2. En el equipo que desea proteger, abra una ventana del símbolo del sistema con privilegios elevados y, a continuación, ejecute los siguientes comandos:

   Para asignar una letra de unidad, escriba: net use Z: \<DPMServerName>\c$, donde Z es la letra de la unidad de disco local que quiere asignar y <NombreServidorDPM> es el nombre del servidor DPM que protegerá el equipo.

   Para cambiar el directorio, haga lo siguiente:

   • Para un equipo de 64 bits, escriba: cd /d <assigned drive letter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número> de compilación.0\amd64 donde <la letra> de unidad asignada es la letra de unidad que asignó en el paso anterior y <el número de compilación es el número> de compilación DPM más reciente. Por ejemplo: cd /d X:\Archivos de programa\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • Para un equipo de 32 bits, escriba: cd /d <letra> de unidad asignada:\Archivos de programa\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilación>l;. 0\i386, donde <la letra> de unidad asignada es la unidad asignada en el paso anterior y <el número de compilación es el número> de compilación DPM más reciente.

3. Para instalar el agente de protección, abra una ventana del símbolo del sistema con privilegios elevados y ejecute uno de los siguientes comandos:

   • Para un equipo de 64 bits, escriba: DpmAgentInstaller_x64.exe <DPMServerName> , donde <DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM. Por ejemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • Para un equipo de 32 bits, escriba: DpmAgentInstaller_x86.exe <DPMServerName> , donde <DPMServerName> es el nombre de dominio completo (FQDN) del servidor DPM.

   Nota

   • Para realizar una instalación silenciosa, puede utilizar la opción /q después del comando DpmAgentInstaller_x64.exe. Por ejemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
   • Para aceptar el CLUF manualmente en una instalación silenciosa, use DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
   • Si especifica un nombre de servidor DPM en la línea de comandos, instala el agente de protección y configura automáticamente las cuentas de seguridad, los permisos y las excepciones de firewall necesarias para que el agente se comunique con el servidor DPM especificado. Si no especifica un nombre de servidor, abra un símbolo del sistema con privilegios elevados en el equipo de destino y haga lo siguiente:

   1. Para cambiar el tipo de directorio: cd /d <unidad del sistema> :\Archivos de programa\Microsoft Data Protection Manager\DPM\bin
   2. Tipo: SetDpmServer.exe -dpmServerName <DPMServerName> . Esto configura las cuentas de seguridad, los permisos y las excepciones de firewall para que el agente se comunique con el servidor.

4. Si agregó el equipo al servidor DPM antes de instalar el agente, el servidor comienza a crear copias de seguridad del equipo protegido. Si instaló el agente antes de agregar el equipo al servidor DPM, asocie el equipo antes de que el servidor DPM comience a crear copias de seguridad.

Instale el agente de protección en el RODC.

Siga estos pasos:

1. Desactive el firewall en el RODC o ejecute los siguientes comandos en el RODC antes de instalar el agente:

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. En el controlador de dominio principal, cree y rellene los siguientes grupos de seguridad (donde el nombre del servidor protegido es el nombre del RODC en el que planea instalar el agente de protección):

   • Cree un grupo de seguridad con el nombre DPMRADCOMTRUSTEDMACHINES$PSNAME y agregue la cuenta del equipo servidor DPM como miembro.

   • Cree un grupo de seguridad con el nombre DPMRADMTRUSTEDMACHINES$PSNAME y agregue la cuenta del equipo servidor DPM como miembro.

   • Cree un grupo de seguridad denominado DPMRATRUSTEDDPMRAS$PSNAME y agregue la cuenta de máquina del servidor DPM como miembro.

   • Agregue la cuenta del equipo servidor de DPM como miembro del grupo de seguridad \Builtin\Usuarios Com distribuidos.

3. Asegúrese de que los grupos de seguridad que creó anteriormente se han replicado en el RODC. Después, instale manualmente el agente de protección en el RODC.

4. En el servidor RODC, realice los pasos siguientes para conceder los permisos de inicio y activación para el servicio DPMRA:

   1. Abra el shell de administración de DPM y, a continuación, ejecute el comando dcomcnfg.exe.

      Se abre la ventana Servicios de componentes.

   2. En la ventana Servicios de componentes , expanda Equipos, Mi equipo, Configuración de DCOM, haga clic con el botón derecho en el servicioDPM RA y, a continuación, seleccione Propiedades.

   3. Seleccione General y, a continuación, establezca el nivel de autenticación en Predeterminado.

   4. Seleccione Ubicación y, a continuación, asegúrese de que solo esté seleccionada la opción Ejecutar aplicación en este equipo .

   5. Seleccione Seguridad, seleccione Personalizar en Permisos de inicio y activación, seleccione Personalizar y, a continuación, seleccione Editar para abrir el cuadro de diálogo Permiso de inicio .

   6. En el cuadro de diálogo Permiso de inicio, asigne permisos para Inicio local, Inicio remoto, Activación local y Activación remota para la cuenta del equipo servidor DPM.

   7. Seleccione Aceptar para cerrar el cuadro de diálogo.

   8. Vaya a programfiles\Microsoft System Center 2012 R2\DPM\DPM\setup en el servidor DPM y copie los siguientes archivos a una carpeta del servidor RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. En el RODC, en un símbolo del sistema con privilegios elevados, ejecute el comando setagentcfg.exe a DPMRA domain\DPMserver desde la ubicación que especificó en el paso anterior.

6. En el servidor RODC, vaya a la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecute el comando setdpmserver:

   Setdpmserver -dpmservername DPMSERVER

7. Adjunte el agente de protección al servidor DPM como se detalla en la sección siguiente.

Conexión del agente

Después de instalar manualmente el agente DPM, deberá adjuntar el agente al servidor DPM.

1. En la consola de administrador de DPM, en la barra de navegación, seleccioneAgentesde administración>. En el panel Acciones , seleccione Instalar.

2. En la página Seleccionar el método de implementación del agente , seleccione Adjuntar agentes>Equipo en un dominio de confianza>Siguiente. Se abre el Asistente para la instalación de agentes de protección.

3. En la página Seleccionar equipos , DPM muestra una lista de equipos disponibles en el mismo dominio que el servidor DPM. Seleccione uno o varios equipos (50 máximos) en la lista >Nombre del equipoAgregar>siguiente.

   • Si es la primera vez que ha usado el asistente, DPM consulta Active Directory para obtener una lista de equipos potenciales. Tras la primera instalación, DPM muestra una lista de equipos de su base de datos, la cual se actualiza diariamente mediante el proceso de detección automática.

   • Para agregar varios equipos mediante un archivo de texto, seleccione el botón Agregar desde archivo y, en el cuadro de diálogo Agregar desde archivo , escriba la ubicación del archivo de texto o seleccione Examinar para navegar a su ubicación.

4. En la página Escribir credenciales , escriba el nombre de usuario y la contraseña de una cuenta de dominio que sea miembro del grupo administradores local en todos los equipos seleccionados. En el cuadro Dominio , acepte o escriba el nombre de dominio de la cuenta de usuario que está usando para instalar el agente de protección en el equipo de destino. Esta cuenta puede pertenecer al dominio en el que se encuentra el servidor DPM o a un dominio de confianza. Si está instalando un agente de protección en un equipo a través de un dominio de confianza, escriba sus credenciales de usuario del dominio actuales. Puede ser un miembro de cualquier dominio de confianza y debe ser un miembro del grupo de administradores locales en todos los equipos seleccionados que desea proteger.

5. En la página Resumen , seleccione Adjuntar.