Pasos previos a la implementación de servidores DPM
Importante
Esta versión de Data Protection Manager (DPM) ha alcanzado el final del soporte técnico, le recomendamos que realice la actualización a DPM 2019.
Hay una serie de pasos que se deben planear antes de comenzar la implementación de los servidores System Center Data Protection Manager (DPM):
Planear la implementación de los servidores DPM: determine cuántos servidores DPM necesita y dónde va a colocarlos.
Planear la configuración de firewall: obtenga información sobre cómo debe configurar el firewall, los puertos y los protocolos en el servidor DPM, en las máquinas protegidas y en la instancia remota de SQL Server (si va a configurar una).
Conceder permisos de usuario: especifique quién puede interactuar con DPM.
Plan de implementación de servidor DPM
En primer lugar, determine cuántos servidores necesitará:
DPM puede proteger hasta 600 volúmenes. Para proteger este tamaño máximo, DPM necesita 120 TB por servidor DPM.
Un solo servidor DPM puede proteger hasta 2000 bases de datos (80 TB de tamaño de disco recomendado).
Un solo servidor DPM puede proteger hasta 3000 equipos cliente y 100 servidores.
-
- Para la planificación de la capacidad de servidor DPM puede usar las calculadoras de almacenamiento de DPM. Estas calculadoras son hojas de Excel y son específicas de cada carga de trabajo. Proporcionan recomendaciones sobre el número de servidores DPM necesarios, el núcleo de procesador, la RAM y la memoria virtual y la capacidad de almacenamiento necesaria. Dado que estos cálculos son específicos de la carga de trabajo, deberá combinar la configuración recomendada y tenerlos en cuenta junto con los requisitos del sistema y su topología empresarial específica y sus necesidades, incluidos el origen de datos y las ubicaciones de almacenamiento, el cumplimiento de normas y los requisitos del SLA, así como las necesidades de recuperación ante desastres. Tenga en cuenta que las calculadoras se lanzaron para DPM 2010, pero continúan siendo relevantes para versiones posteriores de DPM.
Después, determine la ubicación de los servidores:
DPM debe implementarse en un dominio de Active Directory (Windows Server 2008 y versiones posteriores).
A la hora de decidir dónde ubicar el servidor DPM, tenga en cuenta el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si protege datos a través de una red de área extensa (WAN), hay un requisito mínimo de ancho de banda de red de 512 kilobits por segundo (Kbps).
DPM admite adaptadores de red asociados (NIC). Las NIC asociadas son varios adaptadores físicos que están configuradas para ser tratados como un solo adaptador por el sistema operativo. Las NIC asociadas proporcionan mayor ancho de banda al combinar el ancho de banda disponible utilizando cada adaptador y la conmutación por error con los adaptadores restantes cuando se produce un error en un adaptador. DPM puede usar el mayor ancho de banda obtenido por el uso del adaptador en equipo en el servidor DPM.
Otro aspecto que se debe tener en cuenta al ubicar los servidores DPM es la necesidad de administrar manualmente las cintas y las bibliotecas de cintas (por ejemplo, para agregar nuevas cintas a la biblioteca o quitar cintas para su archivado externo).
Un servidor DPM puede proteger recursos en un dominio o entre dominios de un bosque que tenga una relación de confianza bidireccional con el dominio en el que se encuentra el servidor DPM. Si no hay una confianza bidireccional entre los dominios, necesitará un servidor DPM independiente para cada dominio. Un servidor DPM puede proteger los datos a través de bosques si existe una confianza bidireccional de nivel de bosque entre los bosques.
Tenga en cuenta el ancho de banda de red entre el servidor DPM y los equipos protegidos. Si protege datos a través de una WAN, existe un requisito de ancho de banda de red mínimo de 512 Kbps. Tenga en cuenta que DPM admite NIC asociadas que proporcionan mayor ancho de banda mediante la combinación del ancho de banda disponible para cada adaptador de red y conmutación por error si se produce un error en un adaptador.
Planear la configuración de firewall y los permisos de usuario
Configuración del firewall
Al implementar DPM, es necesario configurar el firewall en el servidor DPM, en las máquinas que se quieren proteger y en el servidor SQL Server que se usa para la base de datos DPM, si se ejecuta de forma remota. Si el Firewall de Windows está habilitado en el momento de instalar DPM, el programa de instalación de DPM establece automáticamente la configuración del firewall en el servidor DPM. La configuración de firewall se resume en la tabla siguiente.
| Ubicación | Regla | Detalles | Protocolo | Puerto |
|---|---|---|---|---|
| Servidor DPM | Configuración DCOM de System Center Data Protection Manager | Se usa para las comunicaciones DCOM entre el servidor DPM y las máquinas protegidas. | DCOM | 135/TCP dinámico |
| Servidor DPM | System Center Data Protection Manager | Excepción de Msdpm.exe (servicio DPM). Se ejecuta en el servidor DPM. | Todos los protocolos | Todos los puertos |
| Servidor DPM Máquinas protegidas |
Agente de replicación de System Center Data Protection Management | Excepción de Dpmra.exe (servicio de agente de protección usado para la copia de seguridad y la restauración de datos). Se ejecuta en el servidor DPM y las máquinas protegidas. | Todos los protocolos | Todos los puertos |
| Máquinas protegidas | Configurar una excepción entrante para sqserv.exe. | |||
| Máquinas protegidas | DPM emite comandos para el agente de protección con llamadas DCOM al agente. Debe abrir los puertos superiores (1024-65535) para que DPM pueda comunicarse. | DCOM | 135/TCP dinámico | |
| Máquinas protegidas | El canal de datos DPM es TCP. El servidor DPM y las máquinas protegidas inician conexiones. DPM se comunica con el coordinador de agentes en el puerto 5718 y con el agente de protección en el puerto 5719. | TCP | 5718/TCP 5719/TCP |
|
| Máquinas protegidas | Se usa para la resolución del nombre de host entre DPM/máquina protegida y el controlador de dominio. | DNS | 53/UDP | |
| Máquinas protegidas | Se usa para la resolución del punto de conexión entre DPM/máquina protegida y el controlador de dominio. | Kerberos | 88/UDP 88/TCP |
|
| Máquinas protegidas | Se usa para las consultas entre el servidor DPM y el controlador de dominio. | LDAP | 389/TCP 389/TCP |
|
| Máquinas protegidas | Se usa para operaciones varias entre (1) DPM y las máquinas protegidas, (2) DPM y el controlador de dominio, y (3) máquinas protegidas y el controlador de dominio. Se usa también para SMB hospedados directamente en TCP/IP para las funciones de DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Habilite TCP/IP para la instancia DPM de SQL Server con lo siguiente: auditoría de errores predeterminada; habilitar la comprobación de la directiva de contraseñas. | |||
| SQL Server remoto | Habilite una excepción entrante para sqservr.exe de la instancia DPM de SQL Server, de modo que TCP se permita en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80. | |||
| SQL Server remoto | La instancia predeterminada del motor de base de datos escucha en el puerto TCP 1443. Se puede modificar. Para usar el servicio SQL Server Browser para conectar en el puerto no predeterminado, establezca UDP en el puerto 1434. |
|||
| SQL Server remoto | Una instancia con nombre de SQL Server usa puertos dinámicos de forma predeterminada. Se puede modificar. | |||
| SQL Server remoto | Habilitar RPC |
Conceder permisos de usuario
Antes de iniciar una implementación de DPM, cerciórese de que haya usuarios adecuados a quienes se les hayan otorgado privilegios para realizar las diferentes tareas. Se resumen en la tabla siguiente.
| Tarea de DPM | Permisos necesarios |
|---|---|
| Agregar el servidor DPM a un dominio | Cuenta de administrador de dominio o derecho de usuario para agregar una estación de trabajo a un dominio |
| Instalación de DPM | Cuenta de administrador en el servidor DPM |
| Instalar el agente de protección DPM en la máquina que se quiere proteger | Cuenta de dominio que es miembro del grupo de administradores local en la máquina |
| Ampliar el esquema de AD para habilitar la recuperación por el usuario final | Privilegios de administrador de esquema para el dominio |
| Crear contenedor de AD para habilitar la recuperación por el usuario final | Privilegios de administrador de dominio |
| Conceder permiso al servidor DPM para cambiar el contenido del contenedor | Privilegios de administrador de dominio |
| Habilitar la recuperación por el usuario final en el servidor DPM | Cuenta de administrador en el servidor DPM |
| Instalar el software de cliente de punto de recuperación en una máquina protegida | Cuenta de administrador en el equipo |
| Acceso a versiones anteriores de datos protegidos desde una máquina protegida | Cuenta de usuario con acceso a un recurso compartido protegido |
| Recuperar datos de SharePoint | Administrador tanto en la granja de servidores de SharePoint como en el servidor web front-end en el que está instalado el agente de protección. |
Nota
El servidor DPM y el equipo protegido se comunican mediante DCOM. Durante la instalación de DPMRA, se agrega la cuenta del servidor DPM al grupo de seguridad Usuarios COM distribuidos en el equipo protegido.
Para la protección de los controladores de dominio, se crearán grupos de seguridad de Active Directory para cada uno de los controladores de dominio protegidos, con los nombres DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME y DPMRATRUSTEDDPMRAS$DCNAME.