ワークグループまたは信頼されていないドメインにあるコンピューターのバックアップを準備する

重要

このバージョンの Data Protection Manager (DPM) がサポート終了に達しました。 DPM 2022 にアップグレードすることをお勧めします。

System Center Data Protection Manager (DPM) では信頼されていないドメインまたはワークグループにあるコンピューターを保護できます。 これらのコンピューターは、ローカル ユーザー アカウント (NTLM 認証) または証明書を使用して認証できます。 どちらの認証方法でも、バックアップするソースが含まれる保護グループを設定する前にインフラストラクチャを準備する必要があります。

  1. 証明書のインストール - 証明書 認証を使用する場合は、DPM サーバーと保護するコンピューターに証明書をインストールします。

  2. エージェントをインストールする - 保護するコンピューターにエージェントをインストールします。

  3. DPM サーバーを認識する - バックアップを実行する DPM サーバーを認識するようにコンピューターを構成します。 これを行うには、SetDPMServer コマンドを実行します。

  4. コンピューターを接続する - 最後に、保護されたコンピューターを DPM サーバーに接続する必要があります。

開始する前に

開始する前に、サポートされている保護のシナリオと必要なネットワーク設定を確認してください。

サポートされるシナリオ

ワークロードの種類 保護されるサーバーの状態とサポート
ファイル ワークグループ:サポートされています

信頼されないドメイン: サポートされています

1 台のサーバーの NTLM と証明書の認証。 クラスターに対してのみ証明書を認証。
システム状態 ワークグループ:サポートされています

信頼されないドメイン: サポートされています

NTLM 認証のみ
SQL Server ワークグループ:サポートされています

信頼されないドメイン: サポートされています

ミラーリングはサポートされていません。

1 台のサーバーの NTLM と証明書の認証。 クラスターに対してのみ証明書を認証。
Hyper-V サーバー ワークグループ:サポートされています

信頼されないドメイン: サポートされています

NTLM および証明書認証
Hyper-V クラスター ワークグループ:サポートされていません

信頼されていないドメイン: サポートされています (証明書認証のみ)
Exchange Server ワークグループ:該当なし

信頼されないドメイン: 1 台のサーバーでのみサポートされます。 クラスターはサポートされていません。 CCR、SCR、DAG はサポートされていません。 LCR はサポートされます。

NTLM 認証のみ
セカンダリ DPM サーバー (プライマリ DPM サーバーのバックアップ用)

プライマリ DPM サーバーとセカンダリ DPM サーバーの両方が、同じまたは双方向のフォレスト推移的信頼ドメイン内にあることに注意してください。
ワークグループ:サポートされています

信頼されないドメイン: サポートされています

証明書の認証のみ
SharePoint ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
クライアント コンピューター ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
ベア メタル回復 (BMR) ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
End-user recovery ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません

ネットワーク設定

設定 ワークグループまたは信頼されていないドメイン内のコンピューター
制御データ プロトコル:DCOM

既定のポート:135

認証:NTLM または証明書
ファイル転送 プロトコル:Winsock

既定のポート:5718 および 5719

認証:NTLM または証明書
DPM のアカウントに関する要件 DPM サーバー上の管理者権限を持たないローカル アカウント。 NTLM v2 の通信を使用します。
証明書の要件
エージェントのインストール 保護されるコンピューターにインストールされているエージェント
境界ネットワーク 境界ネットワークの保護がサポートされていません。
IPSEC IPSEC が通信をブロックしないことを確認します。

NTLM 認証を使ったバックアップ

以下の操作を実行してください。

  1. エージェントをインストールする - 保護するコンピューターにエージェントをインストールします。

  2. エージェントを構成する - バックアップを実行するために DPM サーバーを認識するようにコンピューターを構成します。 これを行うには、SetDPMServer コマンドを実行します。

  3. コンピューターを接続する - 最後に、保護されたコンピューターを DPM サーバーに接続する必要があります。

エージェントをインストールして構成する

  1. 保護対象のコンピューターで、DPM インストール CD の DPMAgentInstaller_X64.exe を実行してエージェントをインストールします。

  2. 次のように SetDpmServer を実行して、エージェントを構成します。

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. 次のように、パラメーターを指定します。

    • -DpmServerName - DPM サーバーの名前を指定します。 FQDN または NETBIOS 名を使用してサーバーとコンピューターが相互にアクセスできる場合は、FQDN を使用します。

    • -IsNonDomainServer - サーバーが、保護するコンピューターに関連してワークグループまたは信頼されていないドメインにあることを示すために使用します。 必要なポートにファイアウォール例外が作成されます。

    • -UserName - NTLM 認証に使用するアカウントの名前を指定します。 このオプションを使用するには、-isNonDomainServer フラグを指定する必要があります。 ローカル ユーザー アカウントが作成され、このアカウントを認証に使用するように DPM 保護エージェントが構成されます。

    • -ProductionServerDnsSuffix - サーバーに複数の DNS サフィックスが構成されている場合は、このスイッチを使用します。 このスイッチは、サーバーが保護対象のコンピューターに接続するために使用する DNS サフィックスを表します。

  4. コマンドが正常に完了したら、DPM コンソールを開きます。

パスワードを更新する

NTLM 資格情報のパスワードを更新する場合は、保護対象のコンピューターで次を実行します。

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

保護を構成したときに使用したのと同じ名前付け規則 (FQDN または NETBIOS) を使用する必要があります。 DPM サーバーで、Update -NonDomainServerInfo PowerShell コマンドレットを実行する必要があります。 次に、保護対象のコンピューターのエージェント情報を更新する必要があります。

NetBIOS の例: 保護されたコンピューター: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM サーバー: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN の例: 保護されたコンピューター: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM サーバー: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

コンピューターを接続する

  1. DPM コンソールで、保護エージェントのインストール ウィザードを実行します。

  2. [ エージェントの展開方法の選択] で、[ エージェントの接続] を選択します。

  3. アタッチするコンピューターのコンピューター名、ユーザー名、パスワードを入力します。 エージェントをインストールするときに指定したものと同じ資格情報を使用する必要があります。

  4. [概要] ページを確認し、[アタッチ] を選択します

必要に応じて、ウィザードを実行する代わりに、Windows PowerShell の Attach-NonDomainServer.ps1 コマンドを実行してもかまいません。 方法については、次のセクションの例を参照してください。

例 1

エージェントをインストールした後でワークグループ コンピューターを構成する例:

  1. コンピューターで、 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markを実行します。

  2. DPM サーバーでは、Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark を実行します。

通常、ワークグループ コンピューターには NetBIOS 名を使用してのみアクセスできるので、DPMServerName の値は NetBIOS 名にする必要があります。

例 2

エージェントをインストールした後、競合する NetBIOS 名を持つワークグループ コンピューターを構成する例。

  1. ワークグループ コンピューターで、 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.comを実行します。

  2. DPM サーバーでは、Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark を実行します。

証明書の認証を利用してバックアップする

証明書認証による保護を次の方法で設定します。

  • 保護するそれぞれのコンピューターには、.NET Framework 3.5 SP1 以降がインストールされている必要があります。

  • 認証で使用する証明書は、以下の条件に適合している必要があります。

    • X.509 V3 証明書。

    • 拡張キー使用法 (EKU) にクライアント認証とサーバー認証が含まれている。

    • キーの長さは 1024 ビット以上とする。

    • キーの種類は exchangeとする。

    • 証明書とルート証明書のサブジェクト名を空にしないでください。

    • 関連付けられた証明機関の失効サーバーは、オンラインになっており、保護されたサーバーと DPM サーバーの両方でアクセス可能である。

    • 証明書には秘密キーが関連付けられている必要があります。

    • DPM では、CNG キーを使用した証明書はサポートされていません。

    • DPM は自己署名証明書をサポートしていない。

  • 保護対象の各コンピューター (仮想マシンを含む) は独自の証明書を備えている必要があります。

保護のセットアップ

  1. DPM 証明書テンプレートを作成する

  2. DPM サーバーで証明書を構成する

  3. エージェントをインストールする

  4. 保護されたコンピューターで証明書を構成する

  5. コンピューターを接続する

DPM 証明書テンプレートを作成する

必要に応じて Web 登録のための DPM テンプレートをセットアップすることができます。 これを実行する場合は、使用目的に応じてクライアント認証およびサーバー認証を持つテンプレートを選択します。 次に例を示します。

  1. 証明書テンプレート MMC スナップインでは、RAS および IAS サーバー テンプレートを選択できます。 それを選択して保持し、[ テンプレートの複製] を選択します。

  2. [ テンプレートの複製] では、既定の設定 [ Windows Server 2003 Enterprise] をそのまま使用します。

  3. [ 全般 ] タブで、テンプレートの表示名を認識できる名前に変更します。 たとえば、 DPM 認証です。 [Active Directory で証明書を発行する] 設定が有効になっていることを確認します。

  4. [ 要求処理 ] タブで、[ 秘密キーのエクスポートを許可する] が有効になっていることを確認します。

  5. テンプレートを作成したら、それを使用できるようにします。 証明機関スナップインを開きます。 [ 証明書テンプレート] を選択して保持し、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。 [ 証明書テンプレートを有効にする] で、テンプレートを選択し、[ OK] を選択します。 これで、証明書を取得すると、テンプレートが使用できるようになります。

登録または自動登録を有効にする

必要に応じて、登録または自動登録用にテンプレートを構成する場合は、テンプレートのプロパティの [サブジェクト名] タブを選択します。 登録を構成するときに、MMC でテンプレートを選択できます。 自動登録を構成すると、証明書はドメイン内のすべてのコンピューターに自動的に割り当てられます。

  • 登録の場合は、テンプレート プロパティの [ サブジェクト名 ] タブで [ この Active Directory 情報からビルドを選択する] を有効にします。 [ サブジェクト名の形式] で、[ 共通名] を選択し、 DNS 名を有効にします。 [セキュリティ] タブに移動し、[ 登録 ] アクセス許可を認証されたユーザーに割り当てます。

  • 自動登録の場合は、[ セキュリティ ] タブに移動し、[ 自動登録 ] アクセス許可を認証されたユーザーに割り当てます。 この設定を有効にすると、ドメイン内のすべてのコンピューターに証明書が自動的に割り当てられます。

  • 登録を構成した場合は、テンプレートに基づいて MMC で新しい証明書を要求できます。 これを行うには、保護されたコンピューターの [証明書 (ローカル コンピューター)]>[個人用] で、[証明書] を選択して保持 します。 Select すべてのタスク>新しい証明書を要求。 ウィザードの [証明書登録ポリシーの選択 ] ページで、[ Active Directory 登録ポリシー] を選択します。 [ 証明書の要求] にテンプレートが表示されます。 [ 詳細] を展開し、[プロパティ] を選択 します。 [ 全般 ] タブを選択し、わかりやすい名前を指定します。 設定を適用すると、証明書が正常にインストールされたことを示すメッセージが表示されます。

DPM サーバーで証明書を構成する

  1. Web 登録またはその他の方法を使用して、DPM サーバーの CA から証明書を生成します。 [Web 登録] で、[ 必要な高度な証明書 ] と [ この CA に要求を作成して送信する] を選択します。 キー サイズが 1024 以上で、[ キーをエクスポート可能としてマーク する] が選択されていることを確認します。

  2. 証明書はユーザー ストアに格納されます。 ローカル コンピューター ストアに移動する必要があります。

  3. そのためには、ユーザー ストアから証明書をエクスポートします。 秘密キーを使用してエクスポートすることを確認します。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。

  4. ローカル コンピューター\Personal\Certificate で、証明書のインポート ウィザードを実行して、保存した場所からエクスポートされたファイルをインポートします。 エクスポートに使用したパスワードを指定し、[ このキーをエクスポート可能としてマーク する] が選択されていることを確認します。 [証明書ストア] ページで、既定の設定のままにして、 すべての証明書を次のストアに配置 し、[ 個人用 ] が表示されていることを確認します。

  5. インポート後、次のように証明書を使用するように DPM 資格情報を設定します。

    1. 証明書のサムプリントを取得します。 [証明書] ストアで、証明書をダブルクリックします。 [ 詳細 ] タブを選択し、拇印まで下にスクロールします。 それを選択し、強調表示してコピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。

    2. Set-DPMCredentials を実行し、DPM サーバーを構成します。

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type - 認証の種類を示します。 値: certificat

    • -Action - コマンドを初めて実行するか、資格情報を再生成するかを指定します。 使用可能な値: regenerate または configure

    • -OutputFilePath - 保護されたコンピューター上のSet-DPMServerで使用される出力ファイルの場所。

    • -Thumbprint - メモ帳ファイルからコピーします。

    • -AuthCAThumbprint - 証明書の信頼チェーン内の CA の拇印。 省略可能。 指定されていない場合は、ルートが使用されます。

  6. これにより、信頼されていないドメインでエージェントをインストールするたびに必要になるメタデータ ファイル (.bin) が生成されます。 コマンドを実行する前に、C:\Temp フォルダーが存在することを確認します。

    Note

    ファイルが失われたり削除されたりした場合は、 -action regenerate オプションを使用してスクリプトを実行して、ファイルを再作成できます。

  7. .bin ファイルを取得し、保護するコンピューター上の C:\Program Files\Microsoft Data Protection Manager\DPM\bin フォルダーにコピーします。 これは行わなくてもかまいません。しかし、これを行わないと、-DPMcredential パラメーターを使用する場合にファイルの完全パスを指定する必要があります。

  8. ワークグループまたは信頼されていないドメインに属するコンピューターを保護するすべての DPM サーバーでこれらの手順を繰り返します。

エージェントをインストールする

  1. 保護する各コンピューターで、DPM インストール CD に入っている DPMAgentInstaller_X64.exe を実行してエージェントをインストールします。

保護されたコンピューターで証明書を構成する

  1. Web 登録またはその他の方法を使用して、保護されたコンピューターで CA から証明書を生成します。 [Web 登録] で、[ 必要な高度な証明書 ] と [ この CA に要求を作成して送信する] を選択します。 キー サイズが 1024 以上で、[ キーをエクスポート可能としてマーク する] が選択されていることを確認します。

  2. 証明書はユーザー ストアに格納されます。 ローカル コンピューター ストアに移動する必要があります。

  3. そのためには、ユーザー ストアから証明書をエクスポートします。 秘密キーを使用してエクスポートすることを確認します。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。

  4. ローカル コンピューター\Personal\Certificate で、証明書のインポート ウィザードを実行して、保存した場所からエクスポートされたファイルをインポートします。 エクスポートに使用したパスワードを指定し、[ このキーをエクスポート可能としてマーク する] が選択されていることを確認します。 [証明書ストア] ページで、既定の設定のままにして、 すべての証明書を次のストアに配置 し、[ 個人用 ] が表示されていることを確認します。

  5. インポート後、次のようにバックアップを実行する権限が DPM サーバーとして認識されるようにコンピューターを構成します。

    1. 証明書のサムプリントを取得します。 [証明書] ストアで、証明書をダブルクリックします。 [ 詳細 ] タブを選択し、拇印まで下にスクロールします。 それを選択し、強調表示してコピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。

    2. C:\Program files\Microsoft Data Protection Manager\DPM\bin フォルダーに移動し、次のように setdpmserver を実行します。

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      ここで、ClientThumbprintWithNoSpaces がメモ帳ファイルからコピーされます。

    3. 構成が正常に完了したことを確認する出力が表示されます。

  6. .bin ファイルを取得し、DPM サーバーにコピーします。 Attach コマンドの実行時に完全パスではなくファイル名を指定できるように、添付プロセスによってファイルがチェックされる既定の場所 (Windows\System32) にコピーすることをお勧めします。

コンピューターを接続する

Attach-ProductionServerWithCertificate.ps1 という PowerShell スクリプトを使用して、コンピューターを DPM サーバーにアタッチします。構文は次のとおりです。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName - DPM サーバーの名前です。

  • PSCredential - .bin ファイルの名前です。 Windows\System32 フォルダーに配置した場合は、ファイル名のみを指定できます。 保護されたサーバーに作成された .bin ファイルを指定してください。 DPM サーバーで作成された .bin ファイルを指定した場合は、証明書ベースの認証用に構成されているすべての保護されたコンピューターを削除します。

アタッチ プロセスが完了すると、保護されたコンピューターが DPM コンソールに表示されます。

例 1

c:\\CertMetaData\\ でファイルを生成します。名前は CertificateConfiguration\_<DPM SERVER FQDN>.bin となります。

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

ここで、dpmserver.contoso.com は DPM サーバーの名前で、"cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" は DPM サーバー証明書の拇印です。

例 2

失われた構成ファイルをフォルダー c:\CertMetaData\ に再生成します。

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

NTLM と証明書認証を切り替える

Note

  • 次のクラスター化されたワークロードでは、信頼されないドメインにデプロイされている場合、証明書認証のみがサポートされます。
    • クラスター化されたファイル サーバー
    • クラスター化された SQL サーバー
    • Hyper-V クラスター
  • DPM エージェントが現在、クラスターで NTLM を使用するように構成されているか、最初に NTLM を使用するように構成されていたが、後で DPM エージェントを削除せずに証明書認証に切り替えられた場合、クラスターの列挙には保護するリソースは表示されません。

NTLM 認証から証明書認証に切り替えるには、次の手順に従って DPM エージェントを再構成します。

  1. DPM サーバーで、 Remove-ProductionServer.ps1 PowerShell スクリプトを使用してクラスターのすべてのノードを削除します。
  2. すべてのノードで DPM エージェントをアンインストールし、C:\Program Files\Microsoft Data Protection Manager からエージェント フォルダーを削除します。
  3. 証明書の認証を利用してバックアップする」の手順に従います。
  4. エージェントがデプロイされ、証明書認証用に構成されたら、エージェントの更新が機能し、各ノードの (信頼されていない証明書) が正しく表示されることを確認します。
  5. ノード/クラスターを更新して、保護するデータ ソースの一覧を取得します。クラスター化されたリソースの保護を再試行してください。
  6. 保護するワークロードを追加し、保護グループのウィザードを終了します。