Munkacsoportokban és nem megbízható tartományokban működő gépek biztonsági mentésének és visszaállításának előkészítése
Fontos
A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.
A System Center Data Protection Manager (DPM) képes megvédeni a nem megbízható tartományokban vagy munkacsoportokban lévő számítógépeket. Ezeket a számítógépeket helyi felhasználói fiókkal (NTLM-hitelesítés) vagy tanúsítványokkal hitelesítheti. Mindkét típusú hitelesítéshez elő kell készítenie az infrastruktúrát, mielőtt beállíthat egy védelmi csoportot, amely tartalmazza a biztonsági mentéshez használni kívánt forrásokat.
Tanúsítvány telepítése – Ha tanúsítványhitelesítést szeretne használni, telepítsen egy tanúsítványt a DPM-kiszolgálóra és a védeni kívánt számítógépre.
Az ügynök telepítése – Telepítse az ügynököt a védeni kívánt számítógépre.
A DPM-kiszolgáló felismerése – Konfigurálja úgy a számítógépet, hogy felismerje a DPM-kiszolgálót a biztonsági mentések végrehajtásához. Ehhez futtassa a SetDPMServer parancsot.
Számítógép csatolása – Végül csatlakoztatnia kell a védett számítógépet a DPM-kiszolgálóhoz.
Előkészületek
A kezdés előtt ellenőrizze a támogatott védelmi forgatókönyveket és a szükséges hálózati beállításokat.
Támogatott esetek
Számítási feladat típusa | Védett kiszolgáló állapota és támogatása |
---|---|
Fájlok | Munkacsoport: Támogatott Nem megbízható tartomány: támogatott Önálló kiszolgáló NTLM- és tanúsítványalapú hitelesítése. Csak a fürt tanúsítványalapú hitelesítése. |
Rendszerállapot | Munkacsoport: Támogatott Nem megbízható tartomány: támogatott Csak NTLM-hitelesítés. |
SQL Server | Munkacsoport: Támogatott Nem megbízható tartomány: támogatott A tükrözés nem támogatott. Önálló kiszolgáló NTLM- és tanúsítványalapú hitelesítése. Csak a fürt tanúsítványalapú hitelesítése. |
Hyper-V-kiszolgáló | Munkacsoport: Támogatott Nem megbízható tartomány: támogatott NTLM- és tanúsítványalapú hitelesítés |
Hyper-V fürt | Munkacsoport: Nem támogatott Nem megbízható tartomány: Támogatott (csak tanúsítványhitelesítés) |
Exchange Server | Munkacsoport: Nem alkalmazható Nem megbízható tartomány: Csak egyetlen kiszolgáló esetén támogatott. A fürt nem támogatott. A CCR, SCR, DAG nem támogatott. Az LCR támogatott. Csak NTLM-hitelesítés. |
Másodlagos DPM-kiszolgáló (az elsődleges DPM-kiszolgáló biztonsági mentéséhez) Vegye figyelembe, hogy az elsődleges és a másodlagos DPM-kiszolgálók is azonos vagy kétirányú erdőátjáró megbízható tartományban vannak. |
Munkacsoport: Támogatott Nem megbízható tartomány: támogatott Csak tanúsítványalapú hitelesítés |
SharePoint | Munkacsoport: Nem támogatott Nem megbízható tartomány: Nem támogatott |
Ügyfélszámítógépek | Munkacsoport: Nem támogatott Nem megbízható tartomány: Nem támogatott |
Operációs rendszer nélküli helyreállítás (BMR) | Munkacsoport: Nem támogatott Nem megbízható tartomány: Nem támogatott |
Végfelhasználói helyreállítás | Munkacsoport: Nem támogatott Nem megbízható tartomány: Nem támogatott |
Hálózati beállítások
Beállítások | Munkacsoportban vagy nem megbízható tartományban található számítógép |
---|---|
Vezérlési adatok | Protokoll: DCOM Alapértelmezett port: 135 Hitelesítés: NTLM/tanúsítványalapú |
Fájlátvitel | Protokoll: Winsock Alapértelmezett port: 5718-as és 5719-es Hitelesítés: NTLM/tanúsítványalapú |
DPM-fiókra vonatkozó követelmények | Helyi fiók a DPM-kiszolgálón rendszergazdai jogosultságok nélkül. NTLM v2-alapú kommunikációt használ |
Tanúsítványkövetelmények | |
Ügynök telepítése | Védett számítógépen telepített ügynök |
Szegélyhálózat | A szegélyhálózat védelme nem támogatott. |
IPSEC | Győződjön meg arról, hogy az IPSEC nem tiltja a kommunikációt. |
Biztonsági mentés NTLM-hitelesítéssel
A következőket kell tennie:
Az ügynök telepítése – telepítse az ügynököt a védeni kívánt számítógépen.
Az ügynök beállítása – állítsa be a számítógépet, hogy engedélyezze a DPM-kiszolgálónak a biztonsági mentéseket. Ehhez futtassa a SetDPMServer parancsot.
Számítógép csatolása – Végül a védett számítógépet a DPM-kiszolgálóhoz kell csatlakoztatnia.
Telepítse és állítsa be az ügynököt
Az ügynök telepítéséhez futtassa a DPM telepítő CD-n található DPMAgentInstaller_X64.exe futtatható fájlt a védeni kívánt számítógépen.
Az ügynököt a SetDpmServer futtatásával állíthatja be, a következőképpen:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
Adja meg a paramétereket az alábbiak szerint:
-DpmServerName – Adja meg a DPM-kiszolgáló nevét. FQDN-t akkor használjon, ha a kiszolgáló és a számítógép FQDN-ekkel vagy NETBIOS-névvel érhető el.
-IsNonDomainServer – Azt jelzi, hogy a kiszolgáló munkacsoportban vagy nem megbízható tartományban van a védeni kívánt számítógéphez képest. A szükséges portok számára tűzfalkivételek jönnek létre.
-UserName – Adja meg az NTLM-hitelesítéshez használni kívánt fiók nevét. A beállítás használatához meg kell adnia az -isNonDomainServer jelölőt. A rendszer létrehoz egy helyi felhasználói fiókot, és úgy állítja be a DPM védelmi ügynököt, hogy ezt a fiókot használja a hitelesítéshez.
-ProductionServerDnsSuffix – Ezt a kapcsolót akkor használja, ha a kiszolgáló több DNS-utótagot is konfigurált. A kapcsoló azt a DNS-utótagot jelöli, amelyet a kiszolgáló a védett számítógéphez való kapcsolódáshoz használ.
Ha a parancs sikeresen befejeződött, nyissa meg a DPM-konzolt.
Jelszó cseréje
Ha bármikor frissíteni kívánja az NTLM hitelesítő adatainak jelszavát, futtassa a következőt a védett számítógépen:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
A védelem konfigurálásakor használt elnevezési konvenciót (FQDN vagy NETBIOS) kell használnia. A DPM-kiszolgálón futtatnia kell az Update -NonDomainServerInfo PowerShell parancsmagot. Ezután frissítse a védett számítógép ügynökinformációit.
NetBIOS-példa: Védett számítógép: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
DPM-kiszolgáló: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
FQDN-példa: Védett számítógép: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
DPM-kiszolgáló: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Számítógép csatlakoztatása
Futtassa a Védelmi ügynökök telepítővarázslóját a DPM-konzolon.
Az Ügynöktelepítési módszer kiválasztása felületen válassza az Ügynökök csatolása elemet.
Adja meg annak a számítógépnek a nevét, felhasználónevét és jelszavát, amelyhez csatolni szeretné a számítógépet. Ugyanazokat a hitelesítő adatokat adja meg, mint az ügynök telepítésekor.
Tekintse át az Összefoglalás lapot, és válassza a Csatolás lehetőséget.
A telepítővarázsló futtatása helyett az Attach-NonDomainServer.ps1 Windows PowerShell-parancsot is használhatja. Ehhez tekintse meg a következő szakaszban található példát.
Példák
1\. példa
Példa arra az esetre, amikor egy munkacsoporthoz tartozó számítógépet az ügynök telepítése után kíván konfigurálni:
Futtassa a következőt a számítógépen:
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
.Futtassa a következőt a DPM-kiszolgálón:
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
.
Mivel a munkacsoportokhoz tartozó számítógépek általában csak a NetBIOS-név használatával érhetők el, a DPMServerName értékének a NetBIOS-névnek kell lennie.
2\. példa
Példa arra az esetre, amikor egy ütköző NetBIOS-nevű, munkacsoporthoz tartozó számítógépet az ügynök telepítése után kíván konfigurálni:
Futtassa a következőt a munkacsoporthoz tartozó számítógépen:
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
.Futtassa a következőt a DPM-kiszolgálón:
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
.
Biztonsági mentés készítése tanúsítványhitelesítés használatával
Így állíthat be tanúsítványalapú hitelesítéssel ellátott védelmet.
Minden védeni kívánt számítógépre a .NET Framework 3.5 SP1-et vagy újabb verziót kell telepíteni.
A hitelesítéshez használt tanúsítványnak meg kell felelnie a következőknek:
X.509 V3-tanúsítvány.
A kibővített kulcshasználatnak (Enhanced Key Usage, EKU) ügyfél- és kiszolgálóhitelesítéssel kell rendelkeznie.
A kulcs hosszának legalább 1024 bitesnek kell lennie.
A kulcsnak exchange típusúnak kell lennie.
A tanúsítvány tulajdonosának és a főtanúsítványnak nem szabad üresnek lennie.
A társított hitelesítésszolgáltatók visszavonási kiszolgálóinak online állapotúnak és elérhetőnek kell lenniük a védett kiszolgáló és a DPM-kiszolgáló számára is.
A tanúsítványnak társított titkos kulccsal kell rendelkeznie.
A DPM nem támogatja a CNG-kulcsokkal rendelkező tanúsítványokat.
A DPM nem támogatja az önaláírt tanúsítványokat.
A védeni kívánt számítógépeknek (a virtuális gépeket is beleértve) saját tanúsítvánnyal kell rendelkezniük.
Védelem beállítása
DPM-tanúsítványsablon létrehozása
Egy DPM-sablont is beállíthat a webes igényléshez. Ehhez olyan sablont válasszon, amelynek a célja az ügyfél- és a kiszolgálóhitelesítés. Például:
A Tanúsítványsablonok MMC beépülő modulban kiválaszthatja az RAS és az IAS Server sablont. Kattintson rá a jobb gombbal, és válassza a Sablon megkettőzése elemet.
A Sablon megkettőzése elemnél ne módosítsa az alapértelmezett Windows Server 2003 Enterprise értéket.
Az Általános lapon módosítsa a sablon megjelenítési nevét egy könnyen felismerhető névre. Például DPM-hitelesítés. Győződjön meg arról, hogy a Tanúsítvány közzététele az Active Directoryban beállítás engedélyezve van.
A Kéréskezelés lapon győződjön meg arról, hogy engedélyezve van a titkos kulcs exportálásának engedélyezése .
Miután létrehozta a sablont, tegye elérhetővé használatra. Nyissa meg a hitelesítésszolgáltató beépülő modult. Kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza az Új, majd a Kiállítandó tanúsítványsablon elemet. A Tanúsítványsablon engedélyezése területen válassza ki a sablont, és válassza az OK gombot. Így a sablon elérhető lesz, amikor beszerez egy tanúsítványt.
Igénylés vagy automatikus igénylés engedélyezése
Ha szeretné konfigurálni a sablont a regisztrációhoz vagy az automatikus regisztrációhoz, válassza a Tulajdonos neve lapot a sablon tulajdonságai között. A regisztráció konfigurálásakor a sablon kiválasztható az MMC-ben. Ha konfigurálja az automatikus regisztrációt, a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.
Az igényléshez a sablon tulajdonságainak Tulajdonos neve eleménél engedélyezze a Build kiválasztása ezen Active Directory-adatokból beállítást. A Tulajdonosnév formátumban válassza a Common Name (Közös név ) lehetőséget, és engedélyezze a DNS-nevet. Ezután váltson a Biztonság lapra, és rendeljen Igénylés jogosultságot a hitelesített felhasználókhoz.
Automatikus igénylés esetén váltson a Biztonság lapra, és rendeljen Automatikus igénylés jogosultságot a hitelesített felhasználókhoz. Ha ez a beállítás engedélyezve van, a rendszer automatikusan hozzárendeli a tanúsítványt a tartomány összes számítógépéhez.
Ha konfigurálta a regisztrációt, a sablon alapján új tanúsítványt kérhet az MMC-ben. Ehhez a védett számítógépen a Tanúsítványok (helyi számítógép)>Személyes területen kattintson a jobb gombbal a Tanúsítványok elemre. Válassza a Minden feladat>új tanúsítvány kérése lehetőséget. A varázsló Tanúsítványregisztrációs szabályzat kiválasztása lapján válassza az Active Directory-regisztrációs szabályzat lehetőséget. A Tanúsítvány kérése területen megjelenik a sablon. Bontsa ki a Részletek elemet , és válassza a Tulajdonságok lehetőséget. Kattintson az Általános fülre, és adjon meg egy kifejező nevet. A beállítások alkalmazása után üzenetet kell kapnia arról, hogy a tanúsítvány telepítése sikeresen megtörtént.
Tanúsítvány konfigurálása DPM-kiszolgálón
Hozzon létre egy tanúsítványt egy hitelesítésszolgáltatótól a DPM-kiszolgálóhoz webes regisztrációval vagy más módszerrel. A webes regisztrációban válassza ki a szükséges speciális tanúsítványt , és hozzon létre és küldjön egy kérést a hitelesítésszolgáltatónak. Győződjön meg arról, hogy a kulcs mérete 1024 vagy nagyobb, és hogy a Mark billentyű exportálhatóként van kiválasztva.
A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Át kell helyeznie a helyi számítógép-tárolóba.
Ehhez exportálja a tanúsítványt a Felhasználói tárolóból. Győződjön meg arról, hogy a titkos kulccsal exportálja. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.
A Helyi számítógép\Személyes\Tanúsítvány területen futtassa a Tanúsítványimportálás varázslót az exportált fájl mentési helyről való importálásához. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy a Kulcs megjelölése exportálhatóként jelölőnégyzet be van jelölve. A Tanúsítványtároló lapon hagyja meg az alapértelmezett beállítást : Helyezze az összes tanúsítványt az alábbi tárolóba , és győződjön meg arról, hogy a Személyes érték megjelenik.
Az importálás után állítsa be a DPM hitelesítő adatait a tanúsítvány használatára az alábbiak szerint:
Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolóban kattintson duplán a tanúsítványra. Válassza a Részletek lapot, és görgessen le az ujjlenyomathoz. Jelölje ki, majd jelölje ki és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.
Futtassa a Set-DPMCredentials parancsot a DPM-kiszolgáló beállításához:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type – A hitelesítés típusát jelzi. Érték: certificate (tanúsítvány ).
-Action – Adja meg, hogy először szeretné-e végrehajtani a parancsot, vagy újra létre szeretné hozni a hitelesítő adatokat. Lehetséges értékek: regenerate ( újra létrehoz) vagy configure (beállít ).
- OutputFilePath – A védett számítógépen Set-DPMServer használt kimeneti fájl helye.
-Thumbprint – Másolás a Jegyzettömb fájlból.
-AuthCAThumbprint – A hitelesítésszolgáltató ujjlenyomata a tanúsítvány megbízhatósági láncában. Választható. Ha nincs meghatározva, a legfelső szintű lesz használatban.
Ez létrehoz egy metaadat-fájlt (.bin), amelyre az egyes ügynökök nem megbízható tartományokban való telepítése során van szükség. A parancs futtatása előtt győződjön meg arról, hogy a C:\Temp mappa létezik.
Megjegyzés
Ha a fájl elveszett vagy törölve lett, újra létrehozhatja a szkript futtatásával a -action regenerate beállítással.
Kérje le a .bin fájlt, és másolja a védeni kívánt számítógép C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappájába. Ez nem feltétlenül szükséges, de ha elmulasztja, akkor a fájl teljes elérési útját meg kell adnia a –DPMcredential paraméterhez, amikor
Ismételje meg ezeket a lépéseket minden DPM-kiszolgálón, amely egy munkacsoportban vagy nem megbízható tartományban található számítógépet fog védeni.
Az ügynök telepítése
- Az ügynök telepítéséhez futtassa a DPM telepítő CD-n található DPMAgentInstaller_X64.exe futtatható fájlt minden egyes védeni kívánt számítógépen.
Tanúsítvány konfigurálása a védett számítógépen
Hozzon létre tanúsítványt egy hitelesítésszolgáltatóból a védett számítógép számára webes igényléssel vagy valamilyen más módszerrel. A webes regisztrációban válassza a Speciális tanúsítvány szükséges lehetőséget, majd hozzon létre és küldjön egy kérést ennek a hitelesítésszolgáltatónak. Győződjön meg arról, hogy a kulcs mérete 1024 vagy nagyobb, és hogy a Mark key as exportable (Kulcs megjelölése exportálhatóként ) beállítás van kiválasztva.
A rendszer a felhasználói tárolóba helyezi a tanúsítványt. Át kell helyeznie a helyi számítógép-tárolóba.
Ehhez exportálja a tanúsítványt a Felhasználói tárolóból. Győződjön meg arról, hogy a titkos kulccsal exportálja. A tanúsítványt exportálhatja az alapértelmezett .pfx formátumban. Adjon meg egy jelszót az exportáláshoz.
A Helyi számítógép\Személyes\Tanúsítvány területen futtassa a Tanúsítványimportáló varázslót az exportált fájl mentési helyről való importálásához. Adja meg az exportáláshoz használt jelszót, és győződjön meg arról, hogy a Kulcs megjelölése exportálhatóként lehetőség be van jelölve. A Tanúsítványtároló lapon hagyja meg az Összes tanúsítvány elhelyezése az alábbi tárolóban beállítást, és győződjön meg arról, hogy a Személyes érték megjelenik.
Az importálás után konfigurálja úgy a számítógépet, hogy a DPM-kiszolgálót a következőképpen ismerje fel a biztonsági mentések végrehajtására jogosultként:
Szerezze be a tanúsítvány ujjlenyomatát. A Tanúsítványok tárolóban kattintson duplán a tanúsítványra. Válassza a Részletek lapot, és görgessen le az ujjlenyomathoz. Jelölje ki, majd jelölje ki és másolja ki. Illessze be a Jegyzettömbbe, és távolítsa el a szóközöket.
Lépjen a C:\Program files\Microsoft Data Protection Manager\DPM\bin mappába, és futtassa a setdpmserver parancsot az alábbiak szerint:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
A ClientThumbprintWithNoSpaces elemet másolja be egy Jegyzettömb-fájlból.
A kimenetnek meg kell győződnie arról, hogy a konfiguráció sikeresen befejeződött.
Kérje le a .bin fájlt, és másolja a DPM-kiszolgálóra. Javasoljuk, hogy másolja az alapértelmezett helyre, ahol a csatolási folyamat ellenőrzi a fájlt (Windows\System32), hogy a Csatolás parancs futtatásakor csak a fájlnevet adja meg a teljes elérési út helyett.
Számítógép csatlakoztatása
A számítógépet az Attach-ProductionServerWithCertificate.ps1 PowerShell-parancsfájl és a következő szintaxis használatával csatlakoztathatja a DPM-kiszolgálóhoz.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DpmServerName – a DPM-kiszolgáló neve
PSCredential – a .bin fájl neve. Ha a Windows\System32 mappába helyezte, csak a fájlnevet adhatja meg. Győződjön meg arról, hogy a védett kiszolgálón létrehozott .bin fájlt adja meg. Ha megadja a DPM-kiszolgálón létrehozott .bin fájlt, eltávolítja a tanúsítványalapú hitelesítésre konfigurált összes védett számítógépet.
A csatolási folyamat befejezése után a védett számítógépnek meg kell jelennie a DPM-konzolon.
Példák
1\. példa
Létrehoz egy CertificateConfiguration\_<DPM SERVER FQDN>.bin
nevű fájlt a c:\\CertMetaData\\
helyen
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
Ahol dpmserver.contoso.com a DPM-kiszolgáló neve, a "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" pedig a DPM-kiszolgálótanúsítvány ujjlenyomata.
2\. példa
Újra létrehoz egy elveszett konfigurációs fájlt a c:\CertMetaData\ mappában.
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
Váltás az NTLM és a tanúsítványhitelesítés között
Megjegyzés
- A következő fürtözött számítási feladatok csak akkor támogatják a tanúsítványhitelesítést, ha nem megbízható tartományban helyezik üzembe:
- Fürtözött fájlkiszolgáló
- Fürtözött SQL Server
- Hyper-V fürt
- Ha a DPM-ügynök jelenleg úgy van konfigurálva, hogy az NTLM-et használja egy fürtön, vagy eredetileg az NTLM használatára lett konfigurálva, de később tanúsítványhitelesítésre váltott a DPM-ügynök eltávolítása nélkül, akkor a fürt számbavétele nem jelenít meg védelmet biztosító erőforrásokat.
Az NTLM-hitelesítésről a tanúsítványhitelesítésre való váltáshoz kövesse az alábbi lépéseket a DPM-ügynök újrakonfigurálásához:
- A DPM-kiszolgálón távolítsa el a fürt összes csomópontját a Remove-ProductionServer.ps1 PowerShell-szkripttel.
- Távolítsa el a DPM-ügynököt az összes csomóponton, és törölje az ügynökmappát a C:\Program Files\Microsoft Data Protection Manager mappából.
- Kövesse a tanúsítványhitelesítés használatával történő biztonsági mentés lépéseit.
- Miután üzembe helyezte és konfigurálta az ügynököket a tanúsítványhitelesítéshez, ellenőrizze, hogy az ügynök frissítése működik-e, és helyesen jeleníti meg (nem megbízható – Tanúsítványok) az egyes csomópontok esetében.
- Frissítse a csomópontokat/fürtöket a védeni kívánt adatforrások listájának lekéréséhez; próbálkozzon újra a fürtözött erőforrás(ok) védelmének megkísérlésével.
- Adja hozzá a számítási feladatot a Védelem csoport varázslójának védelméhez és befejezéséhez.