Préparer des ordinateurs inclus dans des groupes de travail et des domaines non approuvés à la sauvegarde

  • Article

Important

Cette version de Data Protection Manager (DPM) a atteint la fin du support. Nous vous recommandons de mettre à niveau vers DPM 2022.

System Center Data Protection Manager (DPM) peut protéger des ordinateurs faisant partie de domaines non approuvés ou de groupes de travail. Vous pouvez authentifier ces ordinateurs à l’aide d’un compte d’utilisateur local (authentification NTLM) ou de certificats. Pour les deux types d’authentification, vous devez d’abord préparer l’infrastructure pour pouvoir configurer un groupe de protection qui contient les sources à sauvegarder.

  1. Installer un certificat : si vous souhaitez utiliser l’authentification par certificat, installez un certificat sur le serveur DPM et sur l’ordinateur que vous souhaitez protéger.

  2. Installer l’agent : installez l’agent sur l’ordinateur que vous souhaitez protéger.

  3. Reconnaître le serveur DPM : configurez l’ordinateur pour qu’il reconnaisse le serveur DPM pour effectuer des sauvegardes. Pour cela, vous allez exécuter la commande SetDPMServer.

  4. Attacher l’ordinateur : enfin, vous devez attacher l’ordinateur protégé au serveur DPM.

Avant de commencer

Avant de commencer, vérifiez les scénarios de protection pris en charge et les paramètres réseau requis.

Scénarios pris en charge

Type de charge de travail État et prise en charge du serveur protégé
Fichiers Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM et par certificat pour serveur unique. Authentification par certificat uniquement pour cluster.
État du système Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM uniquement
SQL Server Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Mise en miroir non prise en charge.

Authentification NTLM et par certificat pour serveur unique. Authentification par certificat uniquement pour cluster.
Serveur Hyper-V Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM et par certificat
Cluster Hyper-V Groupe de travail : Non pris en charge

Domaine non approuvé : pris en charge (authentification par certificat uniquement)
Exchange Server Groupe de travail : Non applicable

Domaine non approuvé : pris en charge uniquement pour un seul serveur. Cluster non pris en charge. CCR, SCR, DAG non pris en charge. LCR prise en charge.

Authentification NTLM uniquement
Serveur DPM secondaire (pour la sauvegarde du serveur DPM principal)

Notez que les serveurs DPM principaux et secondaires sont dans le même domaine de confiance transitif de forêt ou bidirectionnel.		 Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification par certificat uniquement
SharePoint Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
Ordinateurs clients Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
Récupération complète (BMR) Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
Récupération par l'utilisateur Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge

Paramètres réseau

Paramètres Ordinateur situé dans un groupe de travail ou un domaine non approuvé
données de contrôle Protocole : DCOM

Port par défaut : 135

Authentification : NTLM/certificat
Transfert de fichiers Protocole : Winsock

Port par défaut : 5718 et 5719

Authentification : NTLM/certificat
Conditions requises par le compte DPM Compte local sans droits d'administrateur sur le serveur DPM. Utilise une communication NTLM v2
Configuration requise des certificats
Installation de l’agent Agent installé sur un ordinateur protégé
Réseau de périmètre Protection de réseau de périmètre non prise en charge.
IPSEC Assurez-vous que le protocole IPSEC ne bloque pas les communications.

Sauvegarder en utilisant l’authentification NTLM

Voici ce que vous devez faire :

  1. Installer l’agent - Installez l’agent sur l’ordinateur à protéger.

  2. Configurer l’agent - Configurez l’ordinateur afin qu’il reconnaisse le serveur DPM pour effectuer des sauvegardes. Pour cela, vous allez exécuter la commande SetDPMServer.

  3. Attacher l’ordinateur : enfin, vous devez attacher l’ordinateur protégé au serveur DPM.

Installer et configurer l’agent

  1. Sur l'ordinateur à protéger, exécutez DPMAgentInstaller_X64.exe à partir du CD d'installation de DPM pour installer l'agent.

  2. Configurez l'agent en exécutant SetDpmServer comme suit :

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Spécifiez les paramètres comme suit :

    • -DpmServerName : spécifiez le nom du serveur DPM. Utilisez un nom de domaine complet si le serveur et l’ordinateur sont accessibles les uns aux autres à l’aide de noms de domaine complets ou d’un nom NETBIOS.

    • -IsNonDomainServer : permet d’indiquer que le serveur se trouve dans un groupe de travail ou un domaine non approuvé par rapport à l’ordinateur que vous souhaitez protéger. Des exceptions de pare-feu sont créées pour les ports requis.

    • -UserName : spécifiez le nom du compte que vous souhaitez utiliser pour l’authentification NTLM. Pour utiliser cette option, vous devez avoir l’indicateur -isNonDomainServer spécifié. Un compte d’utilisateur local est créé et l’agent de protection DPM est configuré pour utiliser ce compte à des fins d’authentification.

    • -ProductionServerDnsSuffix : utilisez ce commutateur si le serveur a plusieurs suffixes DNS configurés. Ce commutateur représente le suffixe DNS que le serveur utilise pour se connecter à l’ordinateur que vous protégez.

  4. Une fois la commande terminée, ouvrez la console DPM.

Mise à jour du mot de passe

Si vous voulez mettre à jour le mot de passe pour les informations d'identification NTLM, procédez comme suit sur l'ordinateur protégé :

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Vous devez utiliser la même convention d’affectation de noms (FQDN ou NETBIOS) que celle utilisée lors de la configuration de la protection. Sur le serveur DPM, vous devez exécuter l’applet de commande PowerShell Update -NonDomainServerInfo. Ensuite, vous devez actualiser les informations de l’agent pour l’ordinateur protégé.

Exemple NetBIOS : Ordinateur protégé : SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Serveur DPM : Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemple FQDN : Ordinateur protégé : SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Serveur DPM : Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attachement de l'ordinateur

  1. Dans la console DPM, exécutez l'Assistant Installation de l’agent de protection.

  2. Dans Sélectionnez la méthode de déploiement de l'agent, choisissez Attacher les agents.

  3. Entrez le nom d’ordinateur, le nom d’utilisateur et le mot de passe de l’ordinateur auquel vous souhaitez joindre. Il doit s'agir des informations d'identification que vous avez spécifiées lors de l'installation de l'agent.

  4. Passez en revue la page Résumé , puis sélectionnez Attacher.

Vous pouvez également exécuter la commande Windows PowerShell Attach-NonDomainServer.ps1 au lieu d'exécuter l'Assistant. Pour ce faire, consultez l’exemple de la section suivante.

Exemples

Exemple 1

Exemple de configuration d'un ordinateur de groupe de travail une fois l'agent installé :

  1. Sur l'ordinateur, exécutez SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Sur le serveur DPM, exécutez Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Les ordinateurs du groupe de travail étant généralement accessibles uniquement à l'aide du nom NetBIOS, la valeur de DPMServerName doit être le nom NetBIOS.

Exemple 2

Exemple de configuration d'un ordinateur de groupe de travail avec des noms NetBIOS contradictoires une fois l'agent installé :

  1. Sur l'ordinateur de groupe de travail, exécutez SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Sur le serveur DPM, exécutez Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Sauvegarder en utilisant l’authentification par certificat

Voici comment configurer une protection avec l’authentification par certificat.

  • Chaque ordinateur à protéger doit disposer au moins de .NET Framework 3.5 avec SP1.

  • Le certificat utilisé pour l'authentification doit être conforme aux spécifications suivantes :

    • Certificat X.509 V3.

    • L'utilisation avancée de la clé (EKU, Enhanced Key Usage) doit associer une authentification du client et une authentification du serveur.

    • La longueur de la clé doit être d'au moins 1 024 bits.

    • La clé doit être de type Exchange.

    • Le nom du sujet du certificat et le certificat racine ne doivent pas être vides.

    • Les serveurs de révocation des autorités de certification associées sont en ligne et accessibles tant par le serveur protégé que par le serveur DPM.

    • Le certificat doit avoir une clé privée associée.

    • DPM ne prend pas en charge les certificats avec les clés CNG.

    • DPM ne prend pas en charge les certificats auto-signés.

  • Chaque ordinateur que vous souhaitez protéger (y compris les ordinateurs virtuels) doit avoir son propre certificat.

Configuration de la protection

  1. Création d'un modèle de certificat DPM

  2. Configurer un certificat sur le serveur DPM

  3. Installer l’agent

  4. Configuration d'un certificat sur l'ordinateur protégé

  5. Attachement de l'ordinateur

Création d'un modèle de certificat DPM

Vous pouvez éventuellement configurer un modèle DPM pour l'inscription via le web. Si vous ne le souhaitez pas, sélectionnez un modèle associé à une authentification du client et du serveur. Par exemple :

  1. Dans le composant logiciel enfichable MMC Modèles de certificats, vous pouvez sélectionner le modèle RAS et serveur IAS . Cliquez avec le bouton droit, puis sélectionnez Modèle dupliqué.

  2. Dans Modèle dupliqué, laissez le paramètre par défaut Windows Server 2003 Enterprise Edition.

  3. Sous l'onglet Général , modifiez le nom d'affichage du modèle en nom reconnaissable. Par exemple, l’authentification DPM. Vérifiez que le paramètre Publier le certificat dans Active Directory est activé.

  4. Sous l’onglet Gestion des demandes, vérifiez que l’option Autoriser l’exportation de la clé privée est activée.

  5. Une fois que vous avez créé le modèle, rendez-le disponible pour utilisation. Ouvrez le composant logiciel enfichable Autorité de certification. Cliquez avec le bouton droit sur Modèles de certificats, sélectionnez Nouveau, puis choisissez Modèle de certificat à délivrer. Dans Activer le modèle de certificat, sélectionnez le modèle, puis sélectionnez OK. À présent, le modèle est disponible lorsque vous obtenez un certificat.

Activation de l'inscription ou de l'inscription automatique

Si vous souhaitez éventuellement configurer le modèle pour l’inscription ou l’inscription automatique, sélectionnez l’onglet Nom de l’objet dans les propriétés du modèle. Lorsque vous configurez l’inscription, le modèle peut être sélectionné dans la console MMC. Si vous configurez l’inscription automatique, le certificat est automatiquement attribué à tous les ordinateurs du domaine.

  • Pour l'inscription, sous l'onglet Nom du sujet des propriétés du modèle, activez l'option Construire à partir de ces informations Active Directory. Dans Format du nom de l’objet, sélectionnez Nom commun et activez nom DNS. Accédez ensuite à l'onglet Sécurité, puis attribuez l'autorisation Inscription aux utilisateurs authentifiés.

  • Pour l'inscription automatique, accédez à l'onglet Sécurité , puis attribuez l'autorisation Inscription automatique aux utilisateurs authentifiés. Une fois ce paramètre activé, le certificat est automatiquement affecté à tous les ordinateurs du domaine.

  • Si vous avez configuré l’inscription, vous pouvez demander un nouveau certificat dans la console MMC en fonction du modèle. Pour ce faire, sur l'ordinateur protégé, dans Certificats (ordinateur Local)>Personnel, cliquez avec le bouton droit sur Certificats. Select Toutes les tâches>Demander un nouveau certificat. Dans la page Sélectionner une stratégie d’inscription de certificat de l’Assistant, sélectionnez Stratégie d’inscription Active Directory. Dans Demander des certificats, vous verrez le modèle. Développez Détails , puis sélectionnez Propriétés. Sélectionnez l'onglet Général , puis entrez un nom convivial. Après avoir appliqué les paramètres, vous devez recevoir un message indiquant que le certificat a été correctement installé.

Configure a certificate on the DPM server

  1. Générez un certificat à partir d’une autorité de certification pour le serveur DPM via l’inscription web ou une autre méthode. Dans Inscription web, sélectionnez Certificat avancé requis et Créer et envoyer une demande à cette autorité de certification. Vérifiez que la taille de clé est 1024 ou supérieure et que l’option Marquer la clé comme exportable est sélectionnée.

  2. Le certificat est placé dans le magasin d'utilisateurs. Vous devez le déplacer vers le magasin Ordinateur local.

  3. Pour ce faire, exportez le certificat à partir du magasin d’utilisateurs. Veillez à l’exporter avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

  4. Dans Ordinateur local\Personnel\Certificat, exécutez l’Assistant Importation de certificat pour importer le fichier exporté à partir de son emplacement enregistré. Spécifiez le mot de passe que vous avez utilisé pour l’exporter et assurez-vous que l’option Marquer cette clé comme exportable est sélectionnée. Dans la page Magasin de certificats, conservez le paramètre par défaut Placez tous les certificats dans le magasin suivant et vérifiez que Personnel est affiché.

  5. Après l’importation, définissez les informations d’identification DPM pour utiliser le certificat comme suit :

    1. Obtenez l'empreinte numérique du certificat. Dans le magasin Certificats , double-cliquez sur le certificat. Sélectionnez l’onglet Détails , puis faites défiler jusqu’à l’empreinte numérique. Sélectionnez-le, puis mettez-le en surbrillance et copiez-le. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

    2. Exécutez Set-DPMCredentials pour configurer le serveur DPM :

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type : indique le type d’authentification. Valeur : certificat.

    • -Action : spécifiez si vous souhaitez exécuter la commande pour la première fois ou régénérer les informations d’identification. Valeurs possibles : régénérer ou configurer.

    • -OutputFilePath : emplacement du fichier de sortie utilisé dans Set-DPMServer sur l’ordinateur protégé.

    • -Empreinte numérique - Copie à partir du fichier Bloc-notes.

    • -AuthCAThumbprint : empreinte de l’autorité de certification dans la chaîne de confiance du certificat. Optionnel. À défaut de spécification, la racine est utilisée.

  6. Cela génère un fichier de métadonnées (.bin) requis au moment de chaque installation de l'agent dans un domaine non approuvé. Vérifiez que le dossier C :\Temp existe avant d’exécuter la commande.

    Notes

    Si le fichier est perdu ou supprimé, vous pouvez le recréer en exécutant le script avec l’option -action régénérer .

  7. Récupérez le fichier .bin et copiez-le dans le dossier C:\Program Files\Microsoft Data Protection Manager\DPM\bin sur l'ordinateur que vous voulez protéger. Vous n’êtes pas obligé d’effectuer cette opération, mais si vous ne le faites pas, vous devez spécifier le chemin complet du fichier pour le paramètre -DPMcredential quand vous

  8. Répétez ces étapes sur chaque serveur DPM qui protège un ordinateur dans un groupe de travail ou dans un domaine non approuvé.

Installer l’agent

  1. Sur chaque ordinateur que vous souhaitez protéger, exécutez DPMAgentInstaller_X64.exe à partir du CD d'installation de DPM pour installer l'agent.

Configuration d'un certificat sur l'ordinateur protégé

  1. Générez un certificat d'une autorité de certification pour le serveur protégé, à l'aide d'une inscription via le web ou d'une autre méthode. Dans Inscription web, sélectionnez Certificat avancé requis , puis Créer et envoyer une demande à cette autorité de certification. Vérifiez que la taille de clé est 1024 ou plus et que l’option Marquer la clé comme exportable est sélectionnée.

  2. Le certificat est placé dans le magasin d'utilisateurs. Vous devez le déplacer vers le magasin Ordinateur local.

  3. Pour ce faire, exportez le certificat à partir du magasin d’utilisateurs. Assurez-vous de l’exporter avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

  4. Dans Ordinateur local\Personnel\Certificat, exécutez l’Assistant Importation de certificat pour importer le fichier exporté à partir de son emplacement enregistré. Spécifiez le mot de passe que vous avez utilisé pour l’exporter et assurez-vous que l’option Marquer cette clé comme exportable est sélectionnée. Dans la page Magasin de certificats, conservez le paramètre par défaut Placez tous les certificats dans le magasin suivant et vérifiez que Personnel est affiché.

  5. Après l’importation, configurez l’ordinateur pour qu’il reconnaisse le serveur DPM comme autorisé à effectuer des sauvegardes comme suit :

    1. Obtenez l'empreinte numérique du certificat. Dans le magasin Certificats , double-cliquez sur le certificat. Sélectionnez l’onglet Détails , puis faites défiler jusqu’à l’empreinte numérique. Sélectionnez-le, mettez-le en surbrillance et copiez-le. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

    2. Accédez au dossier C :\Program files\Microsoft Data Protection Manager\DPM\bin, puis exécutez setdpmserver comme suit :

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Où ClientThumbprintWithNoSpaces est copié à partir du fichier du Bloc-notes.

    3. Vous devez obtenir la sortie pour confirmer que la configuration a été effectuée avec succès.

  6. Récupérez le fichier .bin et copiez-le sur le serveur DPM. Nous vous suggérons de le copier à l’emplacement par défaut dans lequel le processus d’attachement case activée pour le fichier (Windows\System32) afin de pouvoir simplement spécifier le nom du fichier au lieu du chemin d’accès complet lorsque vous exécutez la commande Attacher.

Attachement de l'ordinateur

Pour attacher l'ordinateur au serveur DPM à l'aide du script PowerShell Attach-ProductionServerWithCertificate.ps1, utilisez la syntaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName : nom du serveur DPM.

  • PSCredential : nom du fichier .bin. Si vous l’avez placé dans le dossier Windows\System32, vous pouvez spécifier le nom de fichier uniquement. Veillez à spécifier le fichier .bin créé sur le serveur protégé. Si vous spécifiez le fichier .bin créé sur le serveur DPM, vous supprimez tous les ordinateurs protégés configurés pour l’authentification basée sur les certificats.

Une fois le processus d’attachement terminé, l’ordinateur protégé doit apparaître dans la console DPM.

Exemples

Exemple 1

Génère un fichier dans c:\\CertMetaData\\ avec le nom CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Où dpmserver.contoso.com est le nom du serveur DPM et « cf822d9ba1c801ef40d4b31de0cfcb200a8a2496 » est l’empreinte numérique du certificat de serveur DPM.

Exemple 2

Régénère un fichier de configuration perdue dans le dossier c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Basculer entre l’authentification NTLM et l’authentification par certificat

Notes

  • Les charges de travail en cluster suivantes prennent uniquement en charge l’authentification par certificat lorsqu’elles sont déployées dans un domaine non approuvé :
    • Serveur de fichiers en cluster
    • SQL Server en cluster
    • Cluster Hyper-V
  • Si l’agent DPM est actuellement configuré pour utiliser NTLM sur un cluster ou qu’il a été configuré à l’origine pour utiliser NTLM, mais qu’il est passé ultérieurement à l’authentification par certificat sans supprimer d’abord l’agent DPM, l’énumération du cluster n’affiche aucune ressource à protéger.

Pour passer de l’authentification NTLM à l’authentification par certificat, procédez comme suit pour reconfigurer l’agent DPM :

  1. Sur le serveur DPM, supprimez tous les nœuds du cluster à l’aide du script PowerShell Remove-ProductionServer.ps1 .
  2. Désinstallez l’agent DPM sur tous les nœuds, puis supprimez le dossier de l’agent sous C:\Program Files\Microsoft Data Protection Manager.
  3. Suivez les étapes de la section Sauvegarde à l’aide de l’authentification par certificat.
  4. Une fois les agents déployés et configurés pour l’authentification par certificat, vérifiez que l’actualisation de l’agent fonctionne et qu’elle s’affiche correctement (certificats non approuvés) pour chacun des nœuds.
  5. Actualisez les nœuds/cluster pour obtenir la liste des sources de données à protéger ; réessayez de protéger la ou les ressources en cluster.
  6. Ajoutez la charge de travail à protéger et terminez l’Assistant Groupe de protection.