Implantar o agente de proteção do DPM

  • Artigo

Importante

Esta versão do DPM (Data Protection Manager) chegou ao fim do suporte. Recomendamos que você atualize para o DPM 2022.

O agente de proteção do DPM (System Center Data Protection Manager) é o software que você instala em cada computador que contém dados que você deseja fazer backup com o DPM. Ele consiste em dois componentes: o próprio agente de proteção e um coordenador de agente. Veja o que ele faz:

  • Identifica os dados que o DPM pode proteger e recuperar.

  • Permite que o servidor DPM procure os compartilhamentos, os volumes e as pastas no computador protegido.

  • Cria um diário de alterações para cada volume protegido e armazena o diário em um arquivo oculto nesse volume. Ele registra todas as alterações nos dados protegidos no diário de alterações e transfere o diário do computador protegido para o servidor DPM para que o DPM possa sincronizar os dados primários com o réplica.

Você configurará o agente da seguinte maneira:

  • Se o computador que contém os dados que você deseja fazer backup estiver atrás de um firewall, você precisará configurar exceções de firewall.

  • Se o computador não estiver atrás de um firewall ou se você tiver configurado exceções de firewall para permitir o acesso, instale o agente no console do DPM.

  • Se você não tiver acesso por meio do firewall, o computador que você deseja proteger estiver em um grupo de trabalho ou domínio não confiável ou precisar usar um método de instalação diferente, poderá Instalar o agente manualmente e, em seguida, Anexar o agente.

Configurar exceções do firewall

Para um agente de proteção se comunicar com o servidor DPM por meio de um firewall, as exceções de firewall são necessárias.

Configure uma exceção de entrada para sqlservr.exe para a instância do DPM do SQL Server para permitir o TCP na porta 80. O servidor de relatório escuta as solicitações HTTP na porta 80. A tabela a seguir lista as portas e os protocolos necessários para a comunicação entre o servidor DPM e os servidores protegidos e os clientes.

Protocolo Porta Detalhes
DCOM 135/TCP
Dinâmico		 O controle do DPM usa o protocolo DCOM. O DPM emite comandos para o agente de proteção invocando as chamadas do DCOM no agente. O agente de proteção responde fazendo as chamadas DCOM no servidor DPM.

A porta TCP 135 é o ponto de resolução do ponto de extremidade do DCE usado pelo DCOM.

Por padrão, o DCOM atribui portas dinamicamente do intervalo de portas TCP de 49152 a 65535. No entanto, você pode configurar esse intervalo usando os Serviços de Componente.

Para comunicação do agente do DPM, você deve abrir as portas superiores 49152-65535. Para abrir as portas, execute as seguintes etapas:

1. No Gerenciador do IIS 7.0, no painel Connections, selecione o nó no nível do servidor na árvore.
2. Clique duas vezes no ícone Suporte ao Firewall FTP na lista de recursos.
3. Digite um intervalo de valores para o Intervalo de Porta de Canal de Dados.
4. Depois de inserir o intervalo de portas para o serviço FTP, no painel Ações , selecione Aplicar para salvar as definições de configuração.
TCP 5718/TCP
5719/TCP		 O canal de dados do DPM é baseado no TCP. O DPM e o computador protegido iniciam conexões para habilitar operações do DPM, como sincronização e recuperação.

O DPM comunica-se com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719.
DNS 53/UDP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para resolução de nomes de host.
Kerberos 88/UDP 88/TCP Usado entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para autenticação do ponto de extremidade de conexão.
LDAP 389/TCP
389/UDP		 Usado entre o DPM e o controlador de domínio para as consultas.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Usado entre o DPM e o computador protegido, entre o DPM e o controlador de domínio e entre o computador protegido e o controlador de domínio para operações diversas. Usado para o SMB hospedado diretamente no TCP/IP para as funções do DPM.

Instalar o agente do console do DPM

  1. No Console do Administrador do DPM, selecioneAgentesde Gerenciamento>. Selecione Instalar na faixa de opções da ferramenta para abrir o Assistente de Instalação do Agente de Proteção.

  2. Na página Selecionar Método de Implantação do Agente , selecione Instalar agentes>Avançar.

  3. Na página Selecionar Computadores, o DPM exibe uma lista dos computadores disponíveis no mesmo domínio do servidor DPM. Adicione o computador necessário.

    • Na primeira vez que você usar o assistente, o DPM consultará o Active Directory para obter uma lista de computadores disponíveis. Após a primeira instalação, o DPM armazena a lista de computadores em seu banco de dados, que é atualizada uma vez por dia pelo processo de descoberta automática.

    • Para localizar um computador em outro domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado, digite o FQDN (nome de domínio totalmente qualificado) do computador que você deseja proteger. Por exemplo, <Computer1.Domain1.contoso.com>, em que Computer1 é o nome do computador que você deseja proteger e Domain1.contoso.com é o domínio ao qual o computador de destino pertence.

    • A página de botão Avançado é habilitada somente quando há mais de uma versão de um agente de proteção disponível para instalação nos computadores. Você pode usar esta opção para instalar uma versão anterior do agente de proteção que foi instalada antes de você atualizar o servidor DPM para uma versão mais recente.

  4. Na página Inserir Credenciais , digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo local Administradores em todos os computadores selecionados.

    • Na caixa Domínio , aceite ou digite o nome de domínio da conta de usuário que você está usando para instalar o agente de proteção no computador de destino. Esta conta pode pertencer ao domínio no qual o servidor DPM está localizado ou a um domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado.

    • Se estiver instalando um agente de proteção em um computador de um domínio confiável, digite suas credenciais de usuário do domínio atual. Você pode ser um membro de qualquer domínio que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado e você deve ser membro do grupo administradores local em todos os computadores selecionados nos quais você deseja instalar um agente.

    • Se você selecionar um nó em um cluster, o DPM detectará todos os nós adicionais do cluster e exibirá a página Selecionar Nós do Cluster.

  5. Na página Selecionar Nós de Cluster , selecione uma opção que você deseja que o DPM use para instalar agentes em nós adicionais no cluster e selecione Avançar.

  6. Na página Escolher Método de Reinicialização , selecione o método a ser usado para reiniciar os computadores selecionados após a instalação do agente de proteção. O computador deve ser reiniciado para que você possa iniciar a proteção dos dados. É necessário reiniciar para carregar o filtro de volume que o DPM usa para acompanhar e transferir as alterações no nível do bloco entre o servidor DPM e os computadores protegidos.

    • Se você optar por reiniciar os computadores mais tarde, a instalação do agente de proteção status não será atualizada automaticamente na guia Agentes na área de tarefa Gerenciamento depois que o computador for reiniciado e você precisará selecionar Atualizar Informações.

    • Você não precisará reiniciar o computador se estiver instalando um agente de proteção em outro servidor DPM.

    • Se qualquer um dos computadores que você selecionou for nós em um cluster, será exibida uma página Escolher Método de Reinicialização adicional, que você pode usar para selecionar o método para reiniciar os computadores clusterizados. Você precisará instalar um agente de proteção em todos os nós em um cluster para proteger com êxito os dados clusterizados. Os computadores devem ser reiniciados para que você possa iniciar a proteção dos dados. Como o tempo é necessário para iniciar os serviços, pode levar alguns minutos após uma reinicialização antes que o DPM possa entrar em contato com o agente no cluster.

    • O DPM não reiniciará automaticamente um computador que pertence a um cluster do MSCS (Microsoft Cluster Server). Você deve reiniciar manualmente os computadores em um cluster do MSCS.

  7. Na página Resumo , selecione Instalar para iniciar a instalação. Se o EULA for exibido, aceite-o para que a instalação seja iniciada. Na guia Tarefa da página de instalação, você pode ver se a instalação foi bem-sucedida. Você pode selecionar Fechar antes que o assistente seja concluído e monitorar o progresso da instalação na guia Agentes na área de tarefa Gerenciamento . Se a instalação não for bem-sucedida, você poderá exibir os alertas na área de tarefa Monitoramento da guia Alertas .

Observação

Depois de instalar um agente de proteção em um computador que faz parte de um farm de Windows SharePoint Services, cada um dos computadores no farm não aparecerá como computadores protegidos na guia Agentes na área de tarefa Gerenciamento, somente o computador selecionado. No entanto, se o farm do Windows SharePoint Services tiver dados no computador selecionado, o DPM protegerá os dados em todos os computadores do farm, desde que todos tenham o agente de proteção instalado.

Instalar o agente manualmente

  1. Se você instalar o agente em um computador atrás de um firewall, precisará garantir que o agente possa ser enviado por push pelo firewall.

    Por exemplo, você pode executar o seguinte comando no computador para configurar o Firewall do Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress> , em que IPAddress é o endereço do servidor DPM.

    Para configurar a exceção de portas no firewall, consulte Configurar as exceções de firewall do agente.

  2. No computador que você deseja proteger, abra uma janela do Prompt de Comando com privilégios elevados e execute os seguintes comandos:

    Para atribuir uma letra da unidade, digite: net use Z: \<DPMServerName>\c$; em que Z é a letra da unidade local que você deseja atribuir e <DPMServerName> é o nome do servidor DPM que protegerá o computador.

    Para alterar o diretório, faça o seguinte:

    • Para um computador de 64 bits, digite: cd /d <letra da unidade> atribuída:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número> de build.0\amd64 em <que letra da unidade> atribuída é a letra da unidade que você atribuiu na etapa anterior e <o número> de build é o número de build mais recente do DPM. Por exemplo: cd /d X:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Para um computador de 32 bits, digite: cd /d <letra da unidade> atribuída:\Arquivos de Programas\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<número de build>l;. 0\i386<em que a letra> da unidade atribuída é a unidade que você mapeou na etapa anterior e <o número> de build é o número de build mais recente do DPM.

  3. Para instalar o agente de proteção, abra uma janela do Prompt de Comando com privilégios elevados e execute um dos seguintes comandos:

    • Para um computador de 64 bits, digite: DpmAgentInstaller_x64.exe <DPMServerName><em que DPMServerName> é o FQDN (nome de domínio totalmente qualificado) do servidor DPM. Por exemplo: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Para um computador de 32 bits, digite: DpmAgentInstaller_x86.exe <DPMServerName> em <que DPMServerName> é o FQDN (nome de domínio totalmente qualificado) do servidor DPM.

    Observação

    • Para executar uma instalação silenciosa, você pode usar a opção /q após o comando DpmAgentInstaller_x64.exe. Por exemplo: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Para aceitar o EULA manualmente em uma instalação silenciosa, use DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Se você especificar um nome de servidor DPM na linha de comando, ele instalará o agente de proteção e configurará automaticamente as contas de segurança, as permissões e as exceções de firewall necessárias para que o agente se comunique com o servidor DPM especificado. Se você não especificar um nome do servidor, abra um prompt de comandos com privilégios elevados no computador de destino e faça o seguinte:
    1. Para alterar o tipo de diretório: cd /d <unidade do sistema> :\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Tipo: SetDpmServer.exe -dpmServerName <DPMServerName> . Isso configura as contas de segurança, as permissões e as exceções de firewall para que o agente se comunique com o servidor.

  4. Se você tiver adicionado o computador ao servidor DPM antes de instalar o agente, o servidor começará a criar backups do computador protegido. Se tiver instalado o agente antes de adicionar o computador ao servidor DPM, você deverá anexar o computador antes que o servidor DPM comece a criar os backups.

Instalar o agente de proteção em um RODC

Siga estas etapas:

  1. Desative o firewall no RODC ou execute os seguintes comandos no RODC antes de instalar o agente:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. No controlador de domínio primário, crie e preencha os seguintes grupos de segurança (em que o nome do servidor protegido é o nome do RODC no qual você planeja instalar o agente de proteção):

    • Crie um grupo de segurança chamado DPMRADCOMTRUSTEDMACHINES$PSNAME e adicione a conta da máquina do servidor DPM como um membro.

    • Crie um grupo de segurança chamado DPMRADMTRUSTEDMACHINES$PSNAME e adicione a conta da máquina do servidor DPM como um membro.

    • Crie um grupo de segurança chamado DPMRATRUSTEDDPMRAS$PSNAME e adicione a conta do computador do servidor DPM como membro.

    • Adicione a conta do computador servidor de DPM como membro do grupo de segurança Usuários COM Integrados/Distribuídos.

  3. Verifique se os grupos de segurança criados anteriormente foram replicados no RODC. Instale manualmente o agente de proteção no RODC.

  4. No servidor RODC, execute as etapas a seguir para conceder permissões de inicialização e ativação do serviço DPMRA:

    1. Abra o Shell de Gerenciamento do DPM e execute o comando dcomcnfg.exe.

      A janela Serviços de Componentes é aberta.

    2. Na janela Serviços de Componentes , expanda Computadores, expanda Meu Computador, expanda Configuração do DCOM, clique com o botão direito do mouse no serviçode RA do DPM e selecione Propriedades.

    3. Selecione Geral e, em seguida, defina o Nível de Autenticação como Padrão.

    4. Selecione Local e, em seguida, verifique se somente Executar aplicativo neste computador está selecionado.

    5. Selecione Segurança, selecione Personalizar em Permissões de Inicialização e Ativação, selecione Personalizar e, em seguida, selecione Editar para abrir a caixa de diálogo Permissão de Inicialização.

    6. Na caixa de diálogo Permissão de Início, atribua permissões de Início local, Início Remoto, Ativação Locale Ativação Remota para a conta da máquina do servidor DPM.

    7. Selecione OK para fechar a caixa de diálogo.

    8. Navegue até Arquivos de Programas\Microsoft System Center\DPM\DPM\setup no servidor DP e, copie os seguintes arquivos para uma pasta no servidor RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. No RODC, de um prompt de comandos com privilégios elevados, execute o comando setagentcfg.exe a DPMRA domain\DPMserver do local especificado na etapa anterior.

  6. No servidor RODC, navegue até a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin e execute o comando setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Anexe o agente de proteção ao servidor DPM, conforme detalhado na seção a seguir.

Anexar o agente

Depois de instalar o agente do DPM manualmente, você precisará anexar o agente ao servidor DPM.

  1. No Console do Administrador do DPM, na barra de navegação, selecioneAgentes de Gerenciamento>. No painel Ações , selecione Instalar.

  2. Na página Selecionar Método de Implantação de Agentes , selecione Anexar agentes>Computador em um domínio confiável>Avançar. O Assistente de Instalação de Agentes de Proteção é aberto.

  3. Na página Selecionar Computadores , o DPM exibe uma lista de computadores disponíveis no mesmo domínio que o servidor DPM. Selecione um ou mais computadores (no máximo 50) na lista >Nome do computadorAdicionar>Próximo.

    • Se esta for a primeira vez que você usou o assistente, o DPM consultará o Active Directory para obter uma lista de computadores em potencial. Depois da primeira instalação, o DPM exibirá a lista de computadores no respectivo banco de dados, que é atualizado uma vez por dia pelo processo de descoberta automática.

    • Para adicionar vários computadores usando um arquivo de texto, selecione o botão Adicionar do Arquivo e, na caixa de diálogo Adicionar do Arquivo , digite o local do arquivo de texto ou selecione Procurar para navegar até seu local.

  4. Na página Inserir Credenciais , digite o nome de usuário e a senha de uma conta de domínio que seja membro do grupo local Administradores em todos os computadores selecionados. Na caixa Domínio , aceite ou digite o nome de domínio da conta de usuário que você está usando para instalar o agente de proteção no computador de destino. Essa conta pode pertencer ao domínio no qual o servidor DPM está localizado ou a um domínio confiável. Se estiver instalando um agente de proteção em um computador de um domínio confiável, digite suas credenciais de usuário do domínio atual. Você pode ser membro de qualquer domínio confiável e deve ser membro do grupo local de administradores em todos os computadores selecionados que deseja proteger.

  5. Na página Resumo , selecione Anexar.