Menyiapkan komputer dalam grup kerja dan domain yang tidak tepercaya untuk pencadangan

  • Artikel

Penting

Versi Data Protection Manager (DPM) ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke DPM 2022.

System Center Data Protection Manager (DPM) dapat melindungi komputer yang berada di domain atau grup kerja yang tidak tepercaya. Anda dapat mengautentikasi komputer ini menggunakan akun pengguna lokal (autentikasi NTLM) atau menggunakan sertifikat. Untuk kedua jenis autentikasi, Anda harus menyiapkan infrastruktur sebelum dapat menyiapkan grup perlindungan yang berisi sumber yang ingin Anda cadangkan.

  1. Instal sertifikat - Jika Anda ingin menggunakan autentikasi sertifikat, instal sertifikat di server DPM dan di komputer yang ingin Anda lindungi.

  2. Instal agen - Instal agen di komputer yang ingin Anda lindungi.

  3. Kenali server DPM - Konfigurasikan komputer untuk mengenali server DPM untuk melakukan pencadangan. Untuk melakukan ini, Anda akan menjalankan perintah SetDPMServer.

  4. Lampirkan komputer - Terakhir Anda harus melampirkan komputer yang dilindungi ke server DPM.

Sebelum memulai

Sebelum memulai, periksa skenario perlindungan yang didukung dan pengaturan jaringan yang diperlukan.

Skenario yang didukung

Jenis Beban Kerja Status dan Dukungan Server yang Dilindungi
File Grup kerja: Didukung

Domain Tidak Tepercaya: Didukung

NTLM dan autentikasi sertifikat untuk server tunggal. Autentikasi sertifikat hanya untuk kluster.
Status Sistem Grup kerja: Didukung

Domain Tidak Tepercaya: Didukung

Hanya autentikasi NTLM
SQL Server Grup kerja: Didukung

Domain Tidak Tepercaya: Didukung

Pencerminan tidak didukung.

NTLM dan autentikasi sertifikat untuk server tunggal. Autentikasi sertifikat hanya untuk kluster.
Server Hyper-V Grup kerja: Didukung

Domain Tidak Tepercaya: Didukung

NTLM dan autentikasi sertifikat
Kluster Hyper-V Grup kerja: Tidak didukung

Domain Tidak Tepercaya: Didukung (hanya autentikasi sertifikat)
Exchange Server Grup kerja: Tidak berlaku

Domain Tidak Tepercaya: Hanya didukung untuk server tunggal. Kluster tidak didukung. CCR, SCR, DAG tidak didukung. LCR didukung.

Hanya autentikasi NTLM
Server DPM sekunder (Untuk pencadangan server DPM utama)

Perhatikan bahwa Server DPM Primer dan Sekunder berada di domain tepercaya transitif hutan yang sama atau dua arah.		 Grup kerja: Didukung

Domain Tidak Tepercaya: Didukung

Autentikasi sertifikat saja
SharePoint Grup kerja: Tidak didukung

Domain Tidak Tepercaya: Tidak didukung
Komputer klien Grup kerja: Tidak didukung

Domain Tidak Tepercaya: Tidak didukung
Pemulihan bare metal (BMR) Grup kerja: Tidak didukung

Domain Tidak Tepercaya: Tidak didukung
Pemulihan pengguna akhir Grup kerja: Tidak didukung

Domain Tidak Tepercaya: Tidak didukung

Pengaturan jaringan

Pengaturan Komputer dalam grup kerja atau domain yang tidak tepercaya
Mengontrol data Protokol: DCOM

Port default: 135

Autentikasi: NTLM/sertifikat
Transfer file Protokol: Winsock

Port default: 5718 dan 5719

Autentikasi: NTLM/sertifikat
Persyaratan akun DPM Akun lokal tanpa hak admin di server DPM. Menggunakan komunikasi NTLM v2
Persyaratan sertifikat
Penginstalan agen Agen terinstal pada komputer yang dilindungi
Jaringan sekitar Perlindungan jaringan perimeter tidak didukung.
IPSEC Pastikan IPSEC tidak memblokir komunikasi.

Mencadangkan menggunakan autentikasi NTLM

Inilah yang perlu Anda lakukan:

  1. Instal agen - Instal agen di komputer yang ingin Anda lindungi.

  2. Konfigurasikan agen - Konfigurasikan komputer untuk mengenali server DPM untuk melakukan pencadangan. Untuk melakukan ini, Anda akan menjalankan perintah SetDPMServer.

  3. Pasang komputer - Terakhir, Anda harus melampirkan komputer yang dilindungi ke server DPM.

Menginstal dan mengonfigurasi agen

  1. Di komputer yang ingin Anda lindungi, jalankan DPMAgentInstaller_X64.exe dari CD penginstalan DPM untuk menginstal agen.

  2. Konfigurasikan agen dengan menjalankan SetDpmServer sebagai berikut:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Tentukan parameter sebagai berikut:

    • -DpmServerName - Tentukan nama server DPM. Gunakan FQDN jika server dan komputer dapat diakses satu sama lain menggunakan FQDN atau nama NETBIOS.

    • -IsNonDomainServer - Gunakan untuk menunjukkan bahwa server berada dalam grup kerja atau domain yang tidak tepercaya sehubungan dengan komputer yang ingin Anda lindungi. Pengecualian firewall dibuat untuk port yang diperlukan.

    • -UserName - Tentukan nama akun yang ingin Anda gunakan untuk autentikasi NTLM. Untuk menggunakan opsi ini, Anda harus menentukan bendera -isNonDomainServer. Akun pengguna lokal akan dibuat dan agen perlindungan DPM akan dikonfigurasi untuk menggunakan akun ini untuk autentikasi.

    • -ProductionServerDnsSuffix - Gunakan sakelar ini jika server memiliki beberapa akhiran DNS yang dikonfigurasi. Sakelar ini mewakili akhiran DNS yang digunakan server untuk menyambungkan ke komputer yang Anda lindungi.

  4. Setelah perintah berhasil diselesaikan, buka konsol DPM.

Memperbarui kata sandi

Jika pada titik mana pun Anda ingin memperbarui kata sandi untuk kredensial NTLM, jalankan hal berikut ini di komputer yang dilindungi:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Anda harus menggunakan konvensi penamaan yang sama (FQDN atau NETBIOS) yang Anda gunakan saat mengonfigurasi perlindungan. Di server DPM, Anda harus menjalankan cmdlet PowerShell Update -NonDomainServerInfo. Kemudian Anda harus menyegarkan informasi agen untuk komputer yang dilindungi.

Contoh NetBIOS: Komputer terlindungi: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Contoh FQDN: Komputer terproteksi: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Melampirkan komputer

  1. Di konsol DPM, jalankan wizard Penginstalan Agen Perlindungan.

  2. Di Pilih metode penyebaran agen, pilih Lampirkan agen.

  3. Masukkan nama komputer, nama pengguna, dan kata sandi untuk komputer yang ingin Anda lampirkan. Ini harus menjadi kredensial yang Anda tentukan ketika Anda menginstal agen.

  4. Tinjau halaman Ringkasan , dan pilih Lampirkan.

Anda dapat menjalankan perintah Windows PowerShell Attach-NonDomainServer.ps1 secara opsional alih-alih menjalankan wizard. Untuk melakukan ini, lihat contoh di bagian berikutnya.

Contoh

Contoh 1

Contoh untuk mengonfigurasi komputer grup kerja setelah agen diinstal:

  1. Di komputer, jalankan SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Di server DPM, jalankan Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Karena komputer grup kerja biasanya hanya dapat diakses dengan menggunakan nama NetBIOS, nilai untuk DPMServerName harus berupa nama NetBIOS.

Contoh 2

Contoh untuk mengonfigurasi komputer grup kerja dengan nama NetBIOS yang berkonflik setelah agen diinstal.

  1. Pada komputer grup kerja, jalankan SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Di server DPM, jalankan Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Mencadangkan menggunakan autentikasi sertifikat

Berikut cara menyiapkan perlindungan dengan autentikasi sertifikat.

  • Setiap komputer yang ingin Anda lindungi harus memiliki setidaknya .NET Framework 3.5 dengan SP1 terinstal.

  • Sertifikat yang Anda gunakan untuk autentikasi harus mematuhi hal berikut:

    • Sertifikat X.509 V3.

    • Enhanced Key Usage (EKU) harus memiliki autentikasi klien dan autentikasi server.

    • Panjang kunci harus setidaknya 1024 bit.

    • Jenis kunci harus ditukar.

    • Nama subjek sertifikat dan sertifikat akar tidak boleh kosong.

    • Server pencabutan Otoritas Sertifikat terkait online dan dapat diakses oleh server yang dilindungi dan server DPM

    • Sertifikat harus memiliki kunci privat terkait.

    • DPM tidak mendukung sertifikat dengan Kunci CNG.

    • DPM tidak mendukung sertifikat yang ditandatangani sendiri.

  • Setiap komputer yang ingin Anda lindungi (termasuk komputer virtual) harus memiliki sertifikatnya sendiri.

Menyiapkan perlindungan

  1. Membuat templat sertifikat DPM

  2. Mengonfigurasi sertifikat di server DPM

  3. Instal agen

  4. Mengonfigurasi sertifikat pada komputer yang dilindungi

  5. Melampirkan komputer

Membuat templat sertifikat DPM

Anda dapat secara opsional menyiapkan templat DPM untuk pendaftaran web. Jika Anda ingin melakukan ini, pilih templat yang memiliki Autentikasi Klien dan Autentikasi Server sebagai tujuan yang dimaksudkan. Contohnya:

  1. Dalam snap-in MMC Templat Sertifikat , Anda dapat memilih templat RAS dan IAS Server . Klik kanan dan pilih Templat Duplikat.

  2. Di Templat Duplikat, biarkan pengaturan default Windows Server 2003 Enterprise.

  3. Di tab Umum , ubah nama tampilan templat menjadi sesuatu yang dapat dikenali. Misalnya, Autentikasi DPM. Pastikan pengaturan Terbitkan sertifikat di Direktori Aktif diaktifkan.

  4. Di tab Penanganan Permintaan , pastikan bahwa Izinkan kunci privat untuk diekspor diaktifkan.

  5. Setelah Anda membuat templat, buat templat tersebut tersedia untuk digunakan. Buka snap-in Otoritas Sertifikat. Klik kanan Templat Sertifikat, pilih Baru, dan pilih Templat Sertifikat untuk Diterbitkan. Di Aktifkan Templat Sertifikat, pilih templat dan pilih OK. Sekarang templat akan tersedia saat Anda mendapatkan sertifikat.

Mengaktifkan pendaftaran atau pendaftaran otomatis

Jika Anda ingin mengonfigurasi templat secara opsional untuk pendaftaran atau pendaftaran otomatis, pilih tab Nama Subjek di properti templat. Saat Anda mengonfigurasi pendaftaran, templat dapat dipilih di MMC. Jika Anda mengonfigurasi pendaftaran otomatis, sertifikat secara otomatis ditetapkan ke semua komputer di domain.

  • Untuk pendaftaran, di tab Nama Subjek properti templat, aktifkan Pilih Build dari informasi Direktori Aktif ini. Dalam Format nama subjek, pilih Nama Umum dan aktifkan nama DNS. Lalu buka tab Keamanan dan tetapkan izin Daftar ke pengguna yang diautentikasi.

  • Untuk pendaftaran otomatis, buka tab Keamanan dan tetapkan izin Autoenroll kepada pengguna yang diautentikasi. Dengan mengaktifkan pengaturan ini, sertifikat akan secara otomatis ditetapkan ke semua komputer di domain.

  • Jika Anda telah mengonfigurasi pendaftaran, Anda akan dapat meminta sertifikat baru di MMC berdasarkan templat. Untuk melakukan ini, pada komputer terproteksi, di Sertifikat (Komputer Lokal)>Pribadi, klik kanan Sertifikat. Pilih Semua Tugas>Minta Sertifikat Baru. Di halaman Pilih Kebijakan Pendaftaran Sertifikat wizard, pilih Kebijakan Pendaftaran Direktori Aktif. Di Sertifikat Permintaan, Anda akan melihat templat. Perluas Detail dan pilih Properti. Pilih tab Umum dan berikan nama yang mudah diingat. Setelah menerapkan pengaturan, Anda akan menerima pesan bahwa sertifikat berhasil diinstal.

Mengonfigurasi sertifikat di server DPM

  1. Buat sertifikat dari CA untuk server DPM melalui pendaftaran web atau beberapa metode lainnya. Dalam pendaftaran web, pilih sertifikat tingkat lanjut yang diperlukan dan Buat dan Kirim permintaan ke CA ini. Pastikan bahwa ukuran kunci adalah 1024 atau lebih tinggi, dan bahwa Tandai kunci sebagai dapat diekspor dipilih.

  2. Sertifikat ditempatkan di penyimpanan Pengguna. Anda perlu memindahkannya ke penyimpanan Komputer Lokal.

  3. Untuk melakukan ini, ekspor sertifikat dari penyimpanan Pengguna. Pastikan Anda mengekspornya dengan kunci privat. Anda dapat mengekspornya dalam format .pfx default. Tentukan kata sandi untuk ekspor.

  4. Di Komputer Lokal\Pribadi\Sertifikat, jalankan Wizard Impor Sertifikat untuk mengimpor file yang diekspor dari lokasi tersimpannya. Tentukan kata sandi yang Anda gunakan untuk mengekspornya dan pastikan bahwa Tandai kunci ini sebagai dapat diekspor dipilih. Pada halaman Penyimpanan Sertifikat, biarkan pengaturan default Tempatkan semua sertifikat di penyimpanan berikut dan pastikan bahwa Pribadi ditampilkan.

  5. Setelah impor, atur kredensial DPM untuk menggunakan sertifikat sebagai berikut:

    1. Dapatkan thumbprint untuk sertifikat. Di penyimpanan Sertifikat , klik dua kali pada sertifikat. Pilih tab Detail , dan gulir ke bawah ke thumbprint. Pilih, lalu sorot dan salin. Tempelkan thumbprint ke Notepad dan hapus spasi apa pun.

    2. Jalankan Set-DPMCredentials untuk mengonfigurasi server DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - Menunjukkan jenis autentikasi. Nilai: sertifikat.

    • -Action - Tentukan apakah Anda ingin melakukan perintah untuk pertama kalinya atau meregenerasi kredensial. Nilai yang mungkin: meregenerasi atau mengonfigurasi.

    • -OutputFilePath - Lokasi file output yang digunakan dalam Set-DPMServer pada komputer yang dilindungi.

    • -Thumbprint - Salin dari file Notepad.

    • -AuthCAThumbprint - Thumbprint CA dalam rantai kepercayaan sertifikat. Pilihan. Jika tidak ditentukan, Root akan digunakan.

  6. Ini menghasilkan file metadata (.bin) yang diperlukan pada saat setiap agen menginstal di domain yang tidak tepercaya. Pastikan folder C:\Temp ada sebelum Anda menjalankan perintah.

    Catatan

    Jika file hilang atau dihapus, Anda dapat membuatnya kembali dengan menjalankan skrip dengan opsi -action regenerate .

  7. Ambil file .bin dan salin ke folder C:\Program Files\Microsoft Data Protection Manager\DPM\bin di komputer yang ingin Anda lindungi. Anda tidak perlu melakukan ini, tetapi jika Anda tidak perlu menentukan jalur lengkap file untuk parameter -DPMcredential saat Anda

  8. Ulangi langkah-langkah ini di setiap server DPM yang akan melindungi komputer dalam grup kerja atau di domain yang tidak tepercaya.

Memasang agen

  1. Di setiap komputer yang ingin Anda lindungi, jalankan DPMAgentInstaller_X64.exe dari CD penginstalan DPM untuk menginstal agen.

Mengonfigurasi sertifikat pada komputer yang dilindungi

  1. Buat sertifikat dari CA untuk komputer yang dilindungi, melalui pendaftaran web atau beberapa metode lainnya. Dalam pendaftaran web, pilih sertifikat tingkat lanjut yang diperlukan dan Buat dan Kirim permintaan ke CA ini. Pastikan ukuran kunci adalah 1024 atau lebih tinggi dan kunci Tandai sebagai dapat diekspor dipilih.

  2. Sertifikat ditempatkan di penyimpanan Pengguna. Anda perlu memindahkannya ke penyimpanan Komputer Lokal.

  3. Untuk melakukan ini, ekspor sertifikat dari penyimpanan Pengguna. Pastikan Anda mengekspornya dengan kunci privat. Anda dapat mengekspornya dalam format .pfx default. Tentukan kata sandi untuk ekspor.

  4. Di Komputer Lokal\Pribadi\Sertifikat, jalankan Wizard Impor Sertifikat untuk mengimpor file yang diekspor dari lokasi tersimpannya. Tentukan kata sandi yang Anda gunakan untuk mengekspornya dan pastikan bahwa Tandai kunci ini sebagai dapat diekspor dipilih. Pada halaman Penyimpanan Sertifikat, biarkan pengaturan default Tempatkan semua sertifikat di penyimpanan berikut dan pastikan bahwa Pribadi ditampilkan.

  5. Setelah impor, konfigurasikan komputer untuk mengenali server DPM sebagaimana diizinkan untuk melakukan pencadangan sebagai berikut:

    1. Dapatkan thumbprint untuk sertifikat. Di penyimpanan Sertifikat , klik dua kali pada sertifikat. Pilih tab Detail , dan gulir ke bawah ke thumbprint. Pilih, dan sorot dan salin. Tempelkan thumbprint ke Notepad dan hapus spasi apa pun.

    2. Navigasi ke folder C:\Program files\Microsoft Data Protection Manager\DPM\bin, dan jalankan setdpmserver sebagai berikut:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Di mana ClientThumbprintWithNoSpaces disalin dari file Notepad.

    3. Anda harus mendapatkan output untuk mengonfirmasi bahwa konfigurasi berhasil diselesaikan.

  6. Ambil file .bin dan salin ke server DPM. Kami sarankan Anda menyalinnya ke lokasi default di mana proses Lampirkan akan memeriksa file (Windows\System32) sehingga Anda cukup menentukan nama file alih-alih jalur lengkap saat Anda menjalankan perintah Lampirkan.

Melampirkan komputer

Anda melampirkan komputer ke server DPM menggunakan skrip PowerShell Attach-ProductionServerWithCertificate.ps1, menggunakan sintaks.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name server DPM

  • PSCredential-Name file .bin. Jika Anda menempatkannya di folder Windows\System32, Anda hanya dapat menentukan nama file. Pastikan Anda menentukan file .bin yang dibuat pada server yang dilindungi. Jika Anda menentukan file .bin yang dibuat di server DPM, Anda akan menghapus semua komputer terproteksi yang dikonfigurasi untuk autentikasi berbasis sertifikat.

Setelah proses lampirkan selesai, komputer yang dilindungi akan muncul di konsol DPM.

Contoh

Contoh 1

Menghasilkan file dengan c:\\CertMetaData\\ nama CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Di mana dpmserver.contoso.com adalah nama server DPM, dan "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" adalah thumbprint sertifikat server DPM.

Contoh 2

Meregenerasi file konfigurasi yang hilang di folder c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Beralih antara NTLM dan autentikasi Sertifikat

Catatan

  • Beban kerja terkluster berikut ini hanya mendukung autentikasi Sertifikat saat disebarkan di domain yang tidak tepercaya:
    • Server File Terkluster
    • Server SQL terkluster
    • Kluster Hyper-V
  • Jika agen DPM saat ini dikonfigurasi untuk menggunakan NTLM pada kluster atau awalnya dikonfigurasi untuk menggunakan NTLM tetapi kemudian dialihkan ke autentikasi Sertifikat tanpa terlebih dahulu menghapus agen DPM, maka enumerasi kluster tidak akan menunjukkan sumber daya apa pun untuk dilindungi.

Untuk beralih dari autentikasi NTLM ke autentikasi sertifikat, gunakan langkah-langkah berikut untuk mengonfigurasi ulang agen DPM:

  1. Di server DPM, hapus semua node kluster menggunakan skrip Remove-ProductionServer.ps1 PowerShell.
  2. Hapus instalan agen DPM pada semua simpul, dan hapus folder agen dari C:\Program Files\Microsoft Data Protection Manager.
  3. Ikuti langkah-langkah dalam mencadangkan menggunakan autentikasi sertifikat.
  4. Setelah agen disebarkan dan dikonfigurasi untuk autentikasi sertifikat, verifikasi bahwa refresh agen berfungsi, dan itu menunjukkan dengan benar (tidak tepercaya - Sertifikat) untuk setiap simpul.
  5. Refresh node/kluster untuk mendapatkan daftar sumber data yang akan dilindungi; coba lagi melindungi sumber daya terkluster.
  6. Tambahkan beban kerja untuk melindungi dan menyelesaikan Wizard grup Perlindungan.