Pasos previos a la implementación de servidores DPM
Importante
Esta versión de Data Protection Manager (DPM) ha llegado al final del soporte técnico. Se recomienda actualizar a DPM 2022.
Hay una serie de pasos que se deben planear antes de comenzar la implementación de los servidores System Center Data Protection Manager (DPM):
Planear la implementación de los servidores DPM: determine cuántos servidores DPM necesita y dónde va a colocarlos.
Planear la configuración del firewall: obtenga información sobre el firewall, el puerto y la configuración del protocolo en el servidor DPM, las máquinas protegidas y un SQL Server remoto si está configurando uno.
Conceder permisos de usuario: especifique quién puede interactuar con DPM.
Plan de implementación de servidor DPM
En primer lugar, determine cuántos servidores necesitará:
DPM puede proteger hasta 600 volúmenes. Para proteger este tamaño máximo, DPM necesita 120 TB por servidor DPM.
Un solo servidor DPM puede proteger hasta 2000 bases de datos (80 TB de tamaño de disco recomendado).
Un solo servidor DPM puede proteger hasta 3000 equipos cliente y 100 servidores.
- Para el planeamiento de la capacidad del servidor DPM, puede usar las calculadoras de almacenamiento DPM. Estas calculadoras son hojas de Excel y son específicas de la carga de trabajo. Guían sobre el número de servidores DPM necesarios, núcleo de procesador, RAM, recomendaciones de memoria virtual y capacidad de almacenamiento necesaria. Dado que estas calculadoras son específicas de la carga de trabajo, deberá combinar la configuración recomendada y considerarlas junto con los requisitos del sistema y la topología empresarial y los requisitos específicos, incluidas las ubicaciones de origen de datos y almacenamiento, los requisitos de cumplimiento y SLA y las necesidades de recuperación ante desastres. Tenga en cuenta que las calculadoras se lanzaron para DPM 2010, pero continúan siendo relevantes para versiones posteriores de DPM.
Después, determine la ubicación de los servidores:
DPM debe implementarse en un dominio de Active Directory (Windows Server 2008 y versiones posteriores).
A la hora de decidir dónde ubicar el servidor DPM, tenga en cuenta el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si protege datos a través de una red de área extensa (WAN), hay un requisito mínimo de ancho de banda de red de 512 kilobits por segundo (Kbps).
DPM admite adaptadores de red asociados (NIC). Las NIC asociadas son varios adaptadores físicos que están configuradas para ser tratados como un solo adaptador por el sistema operativo. Las NIC agrupadas proporcionan un mayor ancho de banda combinando el ancho de banda disponible, usando cada adaptador y conmutación por error al adaptador restante cuando se produce un error en un adaptador. DPM puede usar el mayor ancho de banda logrado mediante un adaptador agrupado en el servidor DPM.
Otra consideración para la ubicación de los servidores DPM es la necesidad de administrar las cintas y bibliotecas de cintas manualmente, como agregar nuevas cintas a la biblioteca o quitar cintas para un archivo fuera del sitio.
Un servidor DPM puede proteger los recursos dentro de un dominio o entre dominios dentro de un bosque que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM. Si no hay una confianza bidireccional entre los dominios, necesitará un servidor DPM independiente para cada dominio. Un servidor DPM puede proteger los datos a través de bosques si existe una confianza bidireccional de nivel de bosque entre los bosques.
Tenga en cuenta el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si va a proteger los datos a través de una WAN, hay un requisito mínimo de ancho de banda de red de 512 Kbps. Tenga en cuenta que DPM admite NIC agrupadas que proporcionan un mayor ancho de banda combinando el ancho de banda disponible para cada adaptador de red y conmutación por error si se produce un error en un adaptador.
Planear la configuración de firewall y los permisos de usuario
Configuración del firewall
Al implementar DPM, es necesario configurar el firewall en el servidor DPM, en las máquinas que se quieren proteger y en el servidor SQL Server que se usa para la base de datos DPM, si se ejecuta de forma remota. Si Firewall de Windows está habilitado al instalar DPM, el programa de instalación de DPM configura automáticamente la configuración del firewall en el servidor DPM. La configuración de firewall se resume en la tabla siguiente.
| Ubicación | Regla | Detalles | Protocolo | Puerto |
|---|---|---|---|---|
| Servidor DPM | System Center <versión> Data Protection Manager DCOM Setting | Se usa para la comunicación DCOM entre el servidor DPM y las máquinas protegidas. | DCOM | 135/TCP dinámico |
| Servidor DPM | System Center <versión> Data Protection Manager | Excepción de Msdpm.exe (servicio DPM). Se ejecuta en el servidor DPM. | Todos los protocolos | Todos los puertos |
| Servidor DPM Máquinas protegidas |
System Center <versión> Data Protection Management Replication Agent | Excepción de Dpmra.exe (servicio de agente de protección usado para la copia de seguridad y la restauración de datos). Se ejecuta en el servidor DPM y en las máquinas protegidas. | Todos los protocolos | Todos los puertos |
| Máquinas protegidas | Configuración de una excepción entrante para sqserv.exe | |||
| Máquinas protegidas | DPM emite el comando al agente de protección con llamadas DCOM al agente. Deberá abrir los puertos superiores (1024-65535) para que DPM se comunique. | DCOM | 135/TCP dinámico | |
| Máquinas protegidas | El canal de datos DPM es TCP. El servidor DPM y las máquinas protegidas inician conexiones. DPM se comunica con el coordinador de agentes en el puerto 5718 y con el agente de protección en el puerto 5719. | TCP | 5718/TCP 5719/TCP |
|
| Máquinas protegidas | Se usa para la resolución de nombres de host entre DPM/máquina protegida y el controlador de dominio. | DNS | 53/UDP | |
| Máquinas protegidas | Se usa para la autenticación del punto de conexión, entre DPM/máquina protegida y el controlador de dominio. | Kerberos | 88/UDP 88/TCP |
|
| Máquinas protegidas | Se usa para las consultas entre el servidor DPM y el controlador de dominio. | LDAP | 389/TCP 389/TCP |
|
| Máquinas protegidas | Se usa para operaciones varias entre (1) DPM y las máquinas protegidas, (2) DPM y el controlador de dominio, y (3) máquinas protegidas y el controlador de dominio. También se usa para SMB hospedado directamente en TCP/IP para funciones DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Habilite TCP/IP para la instancia de DPM de SQL Server con lo siguiente: auditoría de errores predeterminada; habilite la comprobación de directivas de contraseñas. | |||
| SQL Server remoto | Habilite una excepción entrante para sqservr.exe de la instancia DPM de SQL Server, de modo que TCP se permita en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. | |||
| SQL Server remoto | La instancia predeterminada del motor de base de datos escucha en el puerto TCP 1443. Se puede modificar. Para usar el servicio SQL Server Browser para conectarse en un puerto no predeterminado establecido en el puerto UDP 1434. |
|||
| SQL Server remoto | Una instancia con nombre de SQL Server usa puertos dinámicos de forma predeterminada. Se puede modificar. | |||
| SQL Server remoto | Habilitar RPC |
Grant user permissions
Antes de comenzar una implementación de DPM, compruebe que a los usuarios adecuados se les han concedido los privilegios necesarios para realizar las diversas tareas. Se resumen en la tabla siguiente.
| Tarea de DPM | Permisos necesarios |
|---|---|
| Agregar el servidor DPM a un dominio | Cuenta de administrador de dominio o derecho de usuario para agregar una estación de trabajo al dominio |
| Instalación de DPM | Cuenta de administrador en el servidor DPM |
| Instalación de un agente de protección DPM en un equipo que desea proteger | Cuenta de dominio que se encuentra en el grupo de administradores locales en el equipo |
| Extensión del esquema de AD para habilitar la recuperación del usuario final | Privilegios de administrador de esquema para el dominio |
| Creación de un contenedor de AD para habilitar la recuperación del usuario final | Privilegios de administrador de dominio |
| Conceder permiso al servidor DPM para cambiar el contenido del contenedor | Privilegios de administrador de dominio |
| Habilitación de la recuperación del usuario final en el servidor DPM | Cuenta de administrador en el servidor DPM |
| Instalación del software cliente de punto de recuperación en la máquina protegida | Administración cuenta en el equipo |
| Acceso a versiones anteriores de datos protegidos desde una máquina protegida | Cuenta de usuario con acceso a un recurso compartido protegido |
| Recuperar datos de SharePoint | Administrador tanto en la granja de servidores de SharePoint como en el servidor web front-end en el que está instalado el agente de protección. |
Nota
El servidor DPM y el equipo protegido se comunican mediante DCOM. Durante la instalación de DPMRA, la cuenta del servidor DPM se agrega al grupo de seguridad Usuarios COM distribuidos en el equipo protegido.
Para la protección del controlador de dominio, se crearán grupos de seguridad de Active Directory para cada uno de los controladores de dominio protegidos, con los nombres DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME y DPMRATRUSTEDDPMRAS$DCNAME.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de