Condividi tramite

Preparare i computer in gruppi di lavoro e domini non attendibili per il backup

  • Articolo

System Center Data Protection Manager (DPM) può proteggere i computer che si trovano in domini o gruppi di lavoro non attendibili. È possibile autenticare questi computer usando un account utente locale (autenticazione NTLM) o usando i certificati. Per entrambi i tipi di autenticazione, è necessario preparare l'infrastruttura prima di poter configurare un gruppo protezione dati contenente le origini di cui si vuole eseguire il backup.

  1. Installare un certificato: se si vuole usare l'autenticazione del certificato , installare un certificato nel server DPM e nel computer da proteggere.

  2. Installare l'agente : installare l'agente nel computer da proteggere.

  3. Riconoscere il server DPM: configurare il computer per riconoscere il server DPM per l'esecuzione dei backup. A tale scopo, si eseguirà il comando SetDPMServer.

  4. Collegare il computer . Infine, è necessario collegare il computer protetto al server DPM.

Prima di iniziare

Prima di iniziare, controllare gli scenari di protezione supportati e le impostazioni di rete necessarie.

Scenari supportati

Tipo di carico di lavoro Stato e supporto del server protetto
File Gruppo di lavoro: Supportato

Dominio non attendibile: supportato

Autenticazione NTLM e del certificato per un singolo server. Autenticazione del certificato solo per il cluster.
Stato del sistema Gruppo di lavoro: Supportato

Dominio non attendibile: supportato

Solo autenticazione NTLM
SQL Server Gruppo di lavoro: Supportato

Dominio non attendibile: supportato

Mirroring non supportato.

Autenticazione NTLM e del certificato per un singolo server. Autenticazione del certificato solo per il cluster.
Server Hyper-V Gruppo di lavoro: Supportato

Dominio non attendibile: supportato

Autenticazione NTLM e certificati
Cluster Hyper-V Gruppo di lavoro: Non supportato

Dominio non attendibile: supportato (solo autenticazione del certificato)
Exchange Server Gruppo di lavoro: Non applicabile

Dominio non attendibile: supportato solo per server singolo. Cluster non supportato. CCR, SCR, DAG non supportati. LCR supportato

Solo autenticazione NTLM
Server DPM secondario (per il backup del server DPM primario)

Si noti che i server DPM primari e secondari si trovano nello stesso dominio attendibile transitivo della foresta bidirezionale o in una foresta.		 Gruppo di lavoro: Supportato

Dominio non attendibile: supportato

Solo autenticazione del certificato
SharePoint Gruppo di lavoro: Non supportato

Dominio non attendibile: non supportato
Computer client Gruppo di lavoro: Non supportato

Dominio non attendibile: non supportato
Ripristino bare metal (BMR) Gruppo di lavoro: Non supportato

Dominio non attendibile: non supportato
End-user recovery Gruppo di lavoro: Non supportato

Dominio non attendibile: non supportato

Impostazioni di rete

Impostazione Computer in un gruppo di lavoro o in un dominio non attendibile
Dati di controllo Protocollo: DCOM

Porta predefinita: 135

Autenticazione: NTLM/certificato
Trasferimento di file Protocollo: Winsock

Porta predefinita: 5718 e 5719

Autenticazione: NTLM/certificato
Requisiti dell'account DPM Account locale senza diritti di amministratore nel server DPM. Usa la comunicazione NTLM v2
Requisiti del certificato
Installazione dell'agente Agente installato nel computer protetto
Rete perimetrale Protezione della rete perimetrale non supportata.
IPSEC Assicurarsi che IPSEC non blocchi le comunicazioni.

Eseguire il backup con l'autenticazione NTLM

Di seguito sono riportate le operazioni da eseguire:

  1. Installare l'agente: installare l'agente nel computer da proteggere.

  2. Configurare l'agente: configurare il computer per riconoscere il server DPM per l'esecuzione dei backup. A tale scopo, si eseguirà il comando SetDPMServer.

  3. Collegare il computer: infine, è necessario collegare il computer protetto al server DPM.

Installare e configurare l'agente

  1. Nel computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

  2. Configura l'agente eseguendo SetDpmServer come indicato di seguito:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Specifica i parametri come segue:

    • -DpmServerName : specificare il nome del server DPM. Usare un FQDN se il server e il computer sono accessibili tra loro usando FQDN o un nome NETBIOS.

    • -IsNonDomainServer : usare per indicare che il server si trova in un gruppo di lavoro o in un dominio non attendibile in relazione al computer da proteggere. Vengono create le eccezioni del firewall per le porte necessarie.

    • -UserName : specificare il nome dell'account da usare per l'autenticazione NTLM. Per usare questa opzione, è necessario specificare il flag -isNonDomainServer. Verrà creato un account utente locale e l'agente protezione DPM verrà configurato per l'uso di questo account per l'autenticazione.

    • -ProductionServerDnsSuffix : usare questa opzione se nel server sono configurati più suffissi DNS. Questa opzione rappresenta il suffisso DNS usato dal server per connettersi al computer protetto.

  4. Al termine del comando, aprire la console DPM.

Aggiornare la password

Se in qualsiasi momento vuoi aggiornare la password per le credenziali NTLM, esegui il comando seguente nel computer protetto:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

È necessario usare la stessa convenzione di denominazione (FQDN o NETBIOS) usata durante la configurazione della protezione. Nel server DPM è necessario eseguire il cmdlet di PowerShell Update -NonDomainServerInfo. Sarà quindi necessario aggiornare le informazioni dell'agente per il computer protetto.

Esempio NetBIOS: Computer protetto: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Esempio di FQDN: Computer protetto: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. Nella console di DPM esegui l'Installazione guidata agenti protezione.

  2. In Selezionare metodo di distribuzione agentiseleziona Collega agenti.

  3. Immettere il nome computer, il nome utente e la password per il computer a cui si desidera connettersi. Queste devono essere le credenziali che hai specificato durante l'installazione dell'agente.

  4. Esaminare la pagina Riepilogo e selezionare Connetti.

Facoltativamente, puoi eseguire il comando di Windows PowerShell Attach-NonDomainServer.ps1 invece di eseguire la procedura guidata. A tale scopo, esaminare l'esempio nella sezione successiva.

Esempi

Esempio 1

Esempio per configurare un computer di un gruppo di lavoro dopo l'installazione dell'agente:

  1. Nel computer esegui SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Poiché i computer del gruppo di lavoro in genere sono accessibili solo tramite il nome NetBIOS, il valore per DPMServerName deve essere il nome NetBIOS.

Esempio 2

Esempio per configurare un computer di un gruppo di lavoro con nomi NetBIOS in conflitto dopo l'installazione dell'agente.

  1. Nel computer del gruppo di lavoro esegui SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Eseguire il backup con l'autenticazione del certificato

Ecco come configurare la protezione con l'autenticazione del certificato.

  • In ogni computer che vuoi proteggere deve essere installato almeno .NET Framework 3.5 con SP1.

  • Il certificato usato per l'autenticazione deve essere conforme ai seguenti requisiti:

    • Certificato X.509 V3.

    • L'Utilizzo chiavi avanzato (EKU) deve disporre dell'autenticazione client e dell'autenticazione server.

    • La lunghezza della chiave deve essere di almeno 1024 bit.

    • Il tipo di chiave deve essere di scambio.

    • Il nome soggetto del certificato e il certificato radice non devono essere vuoti.

    • I server di revoca delle autorità di certificazione associate sono online e accessibili sia dal server protetto che dal server DPM

    • Il certificato deve avere associato una chiave privata.

    • DPM non supporta i certificati con chiavi CNG.

    • DPM non supporta i certificati autofirmato.

  • Ogni computer che vuoi proteggere (incluse le macchine virtuali) deve disporre del proprio certificato.

Configurare la protezione

  1. Creare un modello di certificato DPM

  2. Configurare un certificato nel server DPM

  3. Installare l'agente

  4. Configurare un certificato nel computer protetto

  5. Collegare il computer

Creare un modello di certificato DPM

Puoi impostare facoltativamente un modello DPM per la registrazione Web. Se vuoi eseguire questa operazione, seleziona un modello con l'autenticazione client e l'autenticazione server come scopo previsto. Ad esempio:

  1. Nello snap-in MMC Modelli di certificato è possibile selezionare il modello server RAS e IAS. Fai clic su di esso con il pulsante destro del mouse e seleziona Duplica modello.

  2. In Duplica modellomantieni l'impostazione predefinita Windows Server 2003 Enterprise.

  3. Nella scheda Generale modifica il nome visualizzato del modello in modo da renderlo riconoscibile. Ad esempio, Autenticazione DPM. Assicurarsi che l'impostazione Pubblica certificato in Active Directory sia abilitata.

  4. Nella scheda Gestione richieste verificare che l'opzione Consenti l'esportazione della chiave privata sia abilitata.

  5. Dopo aver creato il modello, renderlo disponibile per l'uso. Aprire lo snap-Autorità di certificazione. Fare clic con il pulsante destro del mouse su Modelli di certificato, selezionare Nuovo, quindi scegliere Modello di certificato da rilasciare. In Abilita modello di certificato selezionare il modello e selezionare OK. A questo punto il modello sarà disponibile quando ottieni un certificato.

Abilitare la registrazione o la registrazione automatica

Se si vuole configurare facoltativamente il modello per la registrazione o la registrazione automatica, selezionare la scheda Nome soggetto nelle proprietà del modello. Quando si configura la registrazione, il modello può essere selezionato in MMC. Se si configura la registrazione automatica, il certificato viene assegnato automaticamente a tutti i computer nel dominio.

  • Per la registrazione, nella scheda Nome soggetto delle proprietà del modello abilita Crea in base alle informazioni di Active Directory. In Formato nome soggetto selezionare Nome comune e abilitare il nome DNS. Passa quindi alla scheda Sicurezza e assegna l'autorizzazione Registrazione agli utenti autenticati.

  • Per la registrazione automatica, passa alla scheda Sicurezza e assegna l'autorizzazione Registrazione automatica agli utenti autenticati. Con questa impostazione abilitata, il certificato verrà assegnato automaticamente a tutti i computer nel dominio.

  • Se è stata configurata la registrazione, sarà possibile richiedere un nuovo certificato in MMC in base al modello. A tale scopo, nel computer protetto, in Certificati (computer locale)>Personale, fai doppio clic su Certificati. Select Tutte le attività>Richiedi nuovo certificato. Nella pagina Seleziona criteri di registrazione certificati della procedura guidata selezionare Criteri di registrazione Active Directory. In Richiedi certificati verrà visualizzato il modello. Espandere Dettagli e selezionare Proprietà. Seleziona la scheda Generale e specifica un nome descrittivo. Dopo aver applicato le impostazioni, dovrebbe essere visualizzato un messaggio che informa che il certificato è stato installato correttamente.

Configurare un certificato nel server DPM

  1. Generare un certificato da una CA per il server DPM tramite la registrazione Web o un altro metodo. Nella registrazione Web selezionare certificato avanzato obbligatorio e Creare e inviare una richiesta a questa CA. Verificare che la dimensione della chiave sia 1024 o superiore e che sia selezionata l'opzione Contrassegna chiave come esportabile .

  2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio computer locale.

  3. A tale scopo, esportare il certificato dall'archivio utenti. Assicurarsi di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

  4. In Computer locale\Personale\Certificato eseguire l'Importazione guidata certificati per importare il file esportato dal percorso salvato. Specificare la password usata per esportarla e assicurarsi che sia selezionata l'opzione Contrassegna questa chiave come esportabile . Nella pagina Archivio certificati lasciare l'impostazione predefinita Inserire tutti i certificati nell'archivio seguente e assicurarsi che sia visualizzato Personal .

  5. Dopo l'importazione, impostare le credenziali DPM per usare il certificato come indicato di seguito:

    1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fare doppio clic sul certificato. Selezionare la scheda Dettagli e scorrere verso il basso fino all'identificazione personale. Selezionarlo e quindi evidenziarlo e copiarlo. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

    2. Eseguire Set-DPMCredentials per configurare il server DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type : indica il tipo di autenticazione. Valore: certificate.

    • -Azione : specificare se si vuole eseguire il comando per la prima volta o rigenerare le credenziali. Valori possibili: regenerate o configure.

    • -OutputFilePath : percorso del file di output usato in Set-DPMServer nel computer protetto.

    • -Identificazione personale : copiare dal file del Blocco note.

    • -AuthCAThumbprint : identificazione personale della CA nella catena di attendibilità del certificato. Facoltativo. Se non specificato, viene usato Root.

  6. Verrà generato un file di metadati (.bin), che è richiesto al momento dell'installazione di ogni agente in un dominio non trusted. Assicurarsi che la cartella C:\Temp esista prima di eseguire il comando.

    Nota

    Se il file viene perso o eliminato, è possibile ricrearlo eseguendo lo script con l'opzione -action regenerate .

  7. Recupera il file con estensione bin e copialo nella cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin nel computer che vuoi proteggere. Non è necessario eseguire questa operazione, ma se non è necessario specificare il percorso completo del file per il parametro -DPMcredential quando si

  8. Ripetere questi passaggi in ogni server DPM che proteggerà un computer in un gruppo di lavoro o in un dominio non attendibile.

Installare l'agente

  1. In ogni computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

Configurare un certificato nel computer protetto

  1. Genera un certificato da un'autorità di certificazione per il computer protetto, tramite la registrazione Web o un altro metodo. Nella registrazione Web selezionare certificato avanzato obbligatorio e Creare e inviare una richiesta a questa CA. Assicurarsi che la dimensione della chiave sia 1024 o successiva e che sia selezionata l'opzione Contrassegna chiave come esportabile .

  2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio computer locale.

  3. A tale scopo, esportare il certificato dall'archivio utenti. Assicurarsi di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

  4. In Computer locale\Personale\Certificato eseguire l'Importazione guidata certificati per importare il file esportato dal percorso salvato. Specificare la password usata per esportarla e assicurarsi che sia selezionata l'opzione Contrassegna questa chiave come esportabile . Nella pagina Archivio certificati lasciare l'impostazione predefinita Inserire tutti i certificati nell'archivio seguente e assicurarsi che sia visualizzato Personal .

  5. Dopo l'importazione, configurare il computer per riconoscere il server DPM come autorizzato a eseguire i backup come indicato di seguito:

    1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fare doppio clic sul certificato. Selezionare la scheda Dettagli e scorrere verso il basso fino all'identificazione personale. Selezionarlo ed evidenziarlo e copiarlo. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

    2. Passare alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin ed eseguire setdpmserver come indicato di seguito:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Dove ClientThumbprintWithNoSpaces è copiato dal file di Blocco note.

    3. Dovrebbe essere visualizzato l'output per verificare che la configurazione sia stata completata correttamente.

  6. Recupera il file con estensione bin e copialo nel server DPM. È consigliabile copiarlo nel percorso predefinito in cui il processo Attach verificherà la presenza del file (Windows\System32) in modo da poter specificare semplicemente il nome del file anziché il percorso completo quando si esegue il comando Attach.

Attach the computer

Puoi collegare il computer al server DPM usando lo script di PowerShell Attach-ProductionServerWithCertificate.ps1 con la seguente sintassi.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name del server DPM

  • PSCredential-Name del file .bin. Se l'hai inserita nella cartella Windows\System32, puoi specificare solo il nome del file. Assicurarsi di specificare il file .bin creato nel server protetto. Se si specifica il file .bin creato nel server DPM, verranno rimossi tutti i computer protetti configurati per l'autenticazione basata su certificati.

Al termine del processo di collegamento, il computer protetto verrà visualizzato nella console DPM.

Esempi

Esempio 1

Genera un file in c:\\CertMetaData\\ con nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Dove dpmserver.contoso.com è il nome del server DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" è l'identificazione personale del certificato del server DPM.

Esempio 2

Rigenera un file di configurazione perso nella cartella c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Passare dall'autenticazione NTLM a quella del certificato

Nota

  • I carichi di lavoro cluster seguenti supportano solo l'autenticazione del certificato quando vengono distribuiti in un dominio non attendibile:
    • File server in cluster
    • Sql Server in cluster
    • Cluster Hyper-V
  • Se l'agente DPM è attualmente configurato per l'uso di NTLM in un cluster o è stato originariamente configurato per l'uso di NTLM, ma successivamente è passato all'autenticazione del certificato senza prima rimuovere l'agente DPM, l'enumerazione del cluster non mostrerà alcuna risorsa da proteggere.

Per passare dall'autenticazione NTLM all'autenticazione del certificato, seguire questa procedura per riconfigurare l'agente DPM:

  1. Nel server DPM rimuovere tutti i nodi del cluster usando lo script PowerShell Remove-ProductionServer.ps1 .
  2. Disinstallare l'agente DPM in tutti i nodi ed eliminare la cartella dell'agente da C:\Programmi\Microsoft Data Protection Manager.
  3. Seguire la procedura descritta in Eseguire il backup usando l'autenticazione del certificato.
  4. Dopo aver distribuito e configurato gli agenti per l'autenticazione del certificato, verificare che l'aggiornamento dell'agente funzioni e che venga visualizzato correttamente (non attendibile - Certificati) per ognuno dei nodi.
  5. Aggiornare i nodi/cluster per ottenere un elenco di origini dati da proteggere; riprovare a proteggere le risorse in cluster.
  6. Aggiungere il carico di lavoro per proteggere e completare la Procedura guidata gruppo protezione dati.