Partilhar via

Implantar o agente de proteção do DPM

  • Artigo

O agente de proteção do System Center Data Protection Manager (DPM) é o software instalado em cada computador que contém dados dos quais deseja fazer backup com o DPM. É composto por duas componentes: o próprio agente de proteção e um coordenador do agente. Veja o que ele faz:

  • Identifica os dados que o DPM pode proteger e recuperar.

  • Permite que o servidor DPM procure os compartilhamentos, volumes e pastas no computador protegido.

  • Cria um diário de alterações para cada volume protegido e armazena o diário em um arquivo oculto nesse volume. Ele registra todas as alterações nos dados protegidos no diário de alterações e transfere o diário do computador protegido para o servidor DPM para que o DPM possa sincronizar os dados primários com a réplica.

Você configurará o agente da seguinte maneira:

Configurar exceções de firewall

Para que um agente de proteção se comunique com o servidor DPM por meio de um firewall, são necessárias exceções de firewall.

Configure uma exceção de entrada para sqlservr.exe na instância do SQL Server DPM para permitir o TCP na porta 80. O servidor de relatório escuta solicitações HTTP na porta 80. A tabela a seguir lista os protocolos e portas necessários para a comunicação entre o servidor DPM e servidores e clientes protegidos.

Protocolo Porto Detalhes
DCOM 135/TCP
Dinâmica		 O protocolo de controle do DPM usa DCOM. O DPM emite comandos para o agente de proteção invocando chamadas DCOM no agente. O agente de proteção responde invocando chamadas DCOM no servidor DPM.

A porta TCP 135 é o ponto de resolução de endpoints DCE utilizado pelo DCOM.

Por padrão, o DCOM atribui portas dinamicamente do intervalo de portas TCP de 49152 a 65535. No entanto, você pode configurar esse intervalo usando os Serviços de Componentes.

Para comunicação do agente do DPM, você deve abrir as portas superiores 49152-65535. Para abrir as portas, execute as seguintes etapas:

1. No Gestor do IIS 7.0, no painel Ligações, selecione o nó no nível do servidor na árvore.
2. Clique duas vezes no ícone FTP Firewall Support na lista de recursos.
3. Insira um intervalo de valores para o Data Channel Port Range.
4. Depois de inserir o intervalo de portas para o seu serviço FTP, no painel Ações, selecione Aplicar para salvar suas definições de configuração.
TCP 5718/TCP
5719/TCP		 O canal de dados do DPM é baseado em TCP. Tanto o DPM quanto o computador protegido iniciam conexões para habilitar operações do DPM, como sincronização e recuperação.

O DPM se comunica com o coordenador do agente na porta 5718 e com o agente de proteção na porta 5719.
DNS 53/UDP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para resolução de nomes de host.
Kerberos 88/UDP 88/TCP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para autenticação do ponto de extremidade de conexão.
LDAP 389/TCP
389/UDP		 Usado entre o DPM e o controlador de domínio para consultas.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Usado entre o DPM e o computador protegido, entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para operações diversas. Usado para SMB hospedado diretamente no TCP/IP para funções do DPM.

Instalar o agente a partir do console do DPM

  1. No Console do Administrador do DPM, selecione Management>Agents. Selecione Instalar na faixa de opções para abrir o Assistente de Instalação do Agente de Proteção.

  2. Na página Selecionar Método de Implementação do Agente, selecione Instalar agentes e depois clique em>Próximo.

  3. Na página Selecionar Computadores, o DPM exibe uma lista de computadores disponíveis que estão no mesmo domínio que o servidor DPM. Adicione o computador necessário.

    • Na primeira vez que você usa o assistente, o DPM consulta o Ative Directory para obter uma lista de computadores disponíveis. Após a primeira instalação, o DPM armazena a lista de computadores em seu banco de dados, que é atualizada uma vez por dia pelo processo de descoberta automática.

    • Para localizar um computador noutro domínio que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado, tem de escrever o nome de domínio totalmente qualificado (FQDN) do computador que pretende proteger. Por exemplo, <Computer1>.Domain1.contoso.com, em que Computer1 é o nome do computador que você deseja proteger e Domain1.contoso.com é o domínio ao qual o computador de destino pertence.

    • A página do botão Avançado é ativada apenas quando há mais de uma versão de um agente de proteção disponível para instalação nos dispositivos. Você pode usar essa opção para instalar uma versão anterior do agente de proteção que foi instalada antes de atualizar o servidor DPM para uma versão mais recente.

  4. Na página Inserir Credenciais, digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo Administradores local em todos os computadores selecionados.

    • Na caixa de Domínio , digite ou aceite o nome de domínio da conta de utilizador que está a usar para instalar o agente de proteção no computador de destino. Essa conta pode pertencer ao domínio em que o servidor DPM está localizado ou a um domínio que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado.

    • Se estiver a instalar um agente de proteção num computador num domínio fidedigno, introduza as suas credenciais de utilizador de domínio atuais. Você pode ser membro de qualquer domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado e deve ser membro do grupo Administradores local em todos os computadores selecionados nos quais deseja instalar um agente.

    • Se você selecionar um nó em um cluster, o DPM detectará todos os nós adicionais no cluster e exibirá a página Selecionar Nós de Cluster.

  5. Na página Selecionar Nós de Cluster, selecione uma opção que você deseja que o DPM use para instalar agentes em nós adicionais no cluster e selecione Avançar.

  6. Na página Escolher Método de Reinício, selecione o método a ser usado para reiniciar os computadores selecionados após a instalação do agente de proteção. O computador tem de ser reiniciado antes de poder começar a proteger os dados. Uma reinicialização é necessária para carregar o filtro de volume que o DPM usa para rastrear e transferir alterações no nível de bloco entre o servidor DPM e os computadores protegidos.

    • Se optar por reiniciar os computadores mais tarde, o estado da instalação do agente de proteção não será atualizado automaticamente no separador Agentes na área de tarefas Gestão após o reinício do computador, e será necessário selecionar Atualizar Informação.

    • Não é necessário reiniciar o computador se estiver instalando um agente de proteção em outro servidor DPM.

    • Se qualquer um dos computadores que selecionou for um nó num cluster, aparecerá uma página adicional Escolher Método de Reinicialização, que pode usar para selecionar o método para reiniciar os computadores do cluster. Você precisará instalar um agente de proteção em todos os nós de um cluster para proteger com êxito os dados clusterizados. Os computadores devem ser reiniciados antes que você possa começar a proteger os dados. Como é necessário tempo para iniciar os serviços, pode levar alguns minutos após uma reinicialização até que o DPM possa entrar em contato com o agente no cluster.

    • O DPM não reiniciará automaticamente um computador que pertença a um cluster do Microsoft Cluster Server (MSCS). Você deve reiniciar manualmente os computadores em um cluster MSCS.

  7. Na página Resumo, selecione Instalar para iniciar a instalação. Se o EULA aparecer, aceite-o para que a instalação seja iniciada. Na aba Tarefa da página de instalação, pode ver se a instalação foi bem-sucedida. Você pode selecionar Fechar antes de o assistente ser concluído e monitorizar o progresso da instalação na aba Agentes na área de tarefas Gerenciamento. Se a instalação não for bem-sucedida, é possível visualizar os alertas na área de tarefas Monitoramento na aba Alertas.

Observação

Depois de instalar um agente de proteção num computador que faz parte de uma farm do Windows SharePoint Services, os restantes computadores da farm não aparecerão como computadores protegidos na guia Agentes na área de tarefas Gerenciamento, apenas o computador que foi selecionado. No entanto, se o farm do Windows SharePoint Services tiver dados no computador selecionado, o DPM protegerá os dados em todos os computadores do farm, desde que todos tenham o agente de proteção instalado.

Instalar o agente manualmente

  1. Se você instalar o agente em um computador protegido por um firewall, precisará garantir que o agente possa ser empurrado para fora através do firewall.

    Por exemplo, você pode executar o seguinte comando no computador para configurar o Firewall do Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, onde IPAddress é o endereço do servidor DPM.

    Para configurar a exceção de portas no firewall, consulte Configurar exceções de firewall para o agente.

  2. No computador que pretende proteger, abra uma janela elevada da Linha de Comandos e, em seguida, execute os seguintes comandos:

    Para atribuir uma letra de unidade, digite: net use Z: \<DPMServerName>\c$ onde Z é a letra da unidade local que você deseja atribuir e <DPMServerName> é o nome do servidor DPM que protegerá o computador.

    Para alterar o diretório, faça o seguinte:

    • Para um computador de 64 bits, digite: cd /d <letra de unidade atribuída>:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilação>.0\amd64 em que <letra de unidade atribuída> é a letra de unidade que você atribuiu na etapa anterior e <número de compilação> é o número de compilação mais recente do DPM. Por exemplo: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Para um computador de 32 bits, digite: cd /d <letra de unidade atribuída>:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de compilação>l;.0\i386 em que <letra de unidade atribuída> é a unidade que você mapeou na etapa anterior e <número de compilação> é o número de compilação mais recente do DPM.

  3. Para instalar o agente de proteção, abra uma janela de Prompt de Comando elevada e execute um dos seguintes comandos.

    • Para um computador de 64 bits, digite: DpmAgentInstaller_x64.exe <DPMServerName> onde <> DPMServerName é o FQDN (nome de domínio totalmente qualificado) do servidor DPM. Por exemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Para um computador de 32 bits, digite: DpmAgentInstaller_x86.exe <DPMServerName> onde <> DPMServerName é o nome de domínio totalmente qualificado (FQDN) do servidor DPM.

    Observação

    • Para executar uma instalação silenciosa, você pode usar a opção /q após o comando DpmAgentInstaller_x64.exe. Por exemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Para aceitar o EULA manualmente em uma instalação silenciosa, use DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Se você especificar um nome de servidor DPM na linha de comando, ele instalará o agente de proteção e configurará automaticamente as contas de segurança, permissões e exceções de firewall necessárias para que o agente se comunique com o servidor DPM especificado. Se você não especificou um nome de servidor, abra um prompt de comando elevado no computador de destino e faça o seguinte:
      1. Para alterar o tipo de diretório: cd /d <unidade do sistema>:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin
      2. Digite: SetDpmServer.exe -dpmServerName <DPMServerName>. Isso configura as contas de segurança, permissões e exceções de firewall para o agente se comunicar com o servidor.

  4. Se você adicionou o computador ao servidor DPM antes de instalar o agente, o servidor começará a criar backups para o computador protegido. Se você instalou o agente antes de adicionar o computador ao servidor DPM, deverá anexá-lo antes que o servidor DPM comece a criar backups.

Instalar o agente de proteção em um RODC

Use estas etapas:

  1. Desligue o firewall no RODC ou execute os seguintes comandos no RODC antes de instalar o agente:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. No controlador de domínio primário, crie e preencha os seguintes grupos de segurança (em que o nome do servidor protegido é o nome do RODC no qual você planeja instalar o agente de proteção):

    • Crie um grupo de segurança chamado DPMRADCOMTRUSTEDMACHINES$PSNAMEe adicione a conta da máquina do servidor DPM como membro.

    • Crie um grupo de segurança chamado DPMRADMTRUSTEDMACHINES$PSNAMEe adicione a conta da máquina do servidor DPM como membro.

    • Crie um grupo de segurança chamado DPMRATRUSTEDDPMRAS$PSNAMEe adicione a conta da máquina do servidor DPM como membro.

    • Adicione a conta da máquina do servidor DPM como membro do grupo de segurança Builtin\Distributed Com Users.

  3. Verifique se os grupos de segurança criados anteriormente foram replicados no RODC. Em seguida, instale manualmente o agente de proteção no RODC.

  4. No servidor RODC, execute as seguintes etapas para conceder permissões de inicialização e ativação para o serviço DPMRA:

    1. Abra o Shell de Gerenciamento do DPM e execute o comando dcomcnfg.exe.

      A janela Component Services abre-se.

    2. Na janela Serviços de Componentes, expanda Computadores, expanda Meu Computador, expanda Configuração DCOM, clique com o botão direito do mouse no serviço DPM RA e selecione Propriedades.

    3. Selecione Gerale, em seguida, defina o Nível de Autenticação como Predefinida.

    4. Selecione Localizaçãoe, em seguida, certifique-se de que apenas Executar aplicação neste computador está selecionado.

    5. Selecione Segurança, selecione Personalizar em Permissões de Inicialização e Ativação, selecione Personalizare, em seguida, selecione Editar para abrir a caixa de diálogo de Permissões de Inicialização .

    6. Na caixa de diálogo de Permissão de Inicialização, atribua permissões para de Início Local, de Início Remoto, de Ativação Local e de Ativação Remota para a conta da máquina do servidor DPM.

    7. Selecione OK para fechar a caixa de diálogo.

    8. Navegue até Arquivos de Programas\Microsoft System Center\DPM\DPM\setup no servidor DPM, copie os seguintes arquivos para uma pasta no servidor RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. No RODC, a partir de um prompt de comando elevado, execute o comando setagentcfg.exe um domínio DPMRA\DPMserver do local especificado na etapa anterior.

  6. No servidor RODC, navegue até a pasta C:\Program Files\Microsoft Data Protection Manager\DPM\bin e execute o comando setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Anexe o agente de proteção ao servidor DPM, conforme detalhado na seção a seguir.

Anexar o agente

Depois de instalar o agente do DPM manualmente, você precisará anexá-lo ao servidor DPM.

  1. No Console do Administrador do DPM, na barra de navegação, selecione Management>Agents. No painel Ações, selecione Instalar.

  2. Na página Selecionar Método de Implantação de Agente, selecione Anexar agentes>computador em um domínio confiável>Avançar. O Assistente de Instalação do Agente de Proteção abre.

  3. Na página Selecionar Computadores, o DPM exibe uma lista de computadores disponíveis no mesmo domínio que o servidor DPM. Selecione um ou mais computadores (50 no máximo) na lista Nome do computador>Adicionar>Seguinte.

    • Se esta for a primeira vez que você usa o assistente, o DPM consulta o Ative Directory para obter uma lista de computadores potenciais. Após a primeira instalação, o DPM exibe a lista de computadores em seu banco de dados, que é atualizada uma vez por dia pelo processo de descoberta automática.

    • Para adicionar vários computadores usando um arquivo de texto, selecione o botão Adicionar do arquivo e, na caixa de diálogo Adicionar do arquivo, digite o local do arquivo de texto ou selecione Procurar para navegar até seu local.

  4. Na página Inserir Credenciais, digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo Administradores local em todos os computadores selecionados. Na caixa de domínio , aceite ou introduza o nome de domínio da conta do utilizador que está a usar para instalar o agente de proteção no computador de destino. Essa conta pode pertencer ao domínio em que o servidor DPM está localizado ou a um domínio confiável. Se estiver a instalar um agente de proteção num computador num domínio fidedigno, introduza as suas credenciais de utilizador de domínio atuais. Pode tornar-se membro de qualquer domínio de confiança, devendo também ser membro do grupo de Administradores locais em todos os computadores selecionados que pretende proteger.

  5. Na página Resumo, selecione Anexar.