Computers in werkgroepen en niet-vertrouwde domeinen voorbereiden voor back-up

  • Artikel

Belangrijk

Deze versie van Data Protection Manager (DPM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar DPM 2022.

System Center Data Protection Manager (DPM) kan computers beveiligen die zich in niet-vertrouwde domeinen of werkgroepen bevinden. U kunt deze computers verifiëren met een lokaal gebruikersaccount (NTLM-verificatie) of met behulp van certificaten. Voor beide typen verificatie moet u de infrastructuur voorbereiden voordat u een beveiligingsgroep kunt instellen die de bronnen bevat waarvan u een back-up wilt maken.

  1. Een certificaat installeren : als u certificaatverificatie wilt gebruiken, installeert u een certificaat op de DPM-server en op de computer die u wilt beveiligen.

  2. De agent installeren : installeer de agent op de computer die u wilt beveiligen.

  3. De DPM-server herkennen : configureer de computer om de DPM-server te herkennen voor het uitvoeren van back-ups. Hiervoor voert u de opdracht SetDPMServer uit.

  4. De computer koppelen : tot slot moet u de beveiligde computer koppelen aan de DPM-server.

Voordat u begint

Controleer voordat u begint de ondersteunde beveiligingsscenario's en vereiste netwerkinstellingen.

Ondersteunde scenario's

Type werkbelasting Status en ondersteuning van beveiligde server
Bestanden Werkgroep: Ondersteund

Niet-vertrouwd domein: ondersteund

NTLM-verificatie en verificatie via certificaat voor één server. Verificatie via certificaat alleen voor cluster.
Systeemstatus Werkgroep: Ondersteund

Niet-vertrouwd domein: ondersteund

Alleen NTLM-verificatie
SQL Server Werkgroep: Ondersteund

Niet-vertrouwd domein: ondersteund

Spiegelen niet ondersteund.

NTLM-verificatie en verificatie via certificaat voor één server. Verificatie via certificaat alleen voor cluster.
Hyper-V-server Werkgroep: Ondersteund

Niet-vertrouwd domein: ondersteund

NTLM en verificatie via certificaat
Hyper-V-cluster Werkgroep: Niet ondersteund

Niet-vertrouwd domein: ondersteund (alleen certificaatverificatie)
Exchange Server Werkgroep: Niet van toepassing

Niet-vertrouwd domein: wordt alleen ondersteund voor één server. Cluster niet ondersteund. CCR, SCR, DAG niet ondersteund. LCR ondersteund.

Alleen NTLM-verificatie
Secundaire DPM-server (voor back-up van primaire DPM-server)

Houd er rekening mee dat zowel primaire als secundaire DPM-servers zich in hetzelfde of tweerichtings forestovergangsdomein bevinden.		 Werkgroep: Ondersteund

Niet-vertrouwd domein: ondersteund

Alleen verificatie via certificaat
SharePoint Werkgroep: Niet ondersteund

Niet-vertrouwd domein: niet ondersteund
Client computers (Clientcomputers) Werkgroep: Niet ondersteund

Niet-vertrouwd domein: niet ondersteund
BMR (bare metal recovery) Werkgroep: Niet ondersteund

Niet-vertrouwd domein: niet ondersteund
Herstel door eindgebruikers Werkgroep: Niet ondersteund

Niet-vertrouwd domein: niet ondersteund

Netwerkinstellingen

Instellingen Computer in werkgroep of niet-vertrouwd domein
Controlegegevens Protocol: DCOM

Standaardpoort: 135

Verificatie: NTLM/certificaat
Bestandsoverdracht Protocol: Winsock

Standaardpoort: 5718 en 5719

Verificatie: NTLM/certificaat
Vereisten voor DPM-account Lokale account zonder beheerdersrechten op DPM-server. Maakt gebruik van NTLM v2-communicatie
Certificaatvereisten
Agentinstallatie Agent geïnstalleerd op de beveiligde computer
Perimeternetwerk Perimeternetwerkbeveiliging niet ondersteund.
IPSEC Zorg ervoor dat IPSEC de communicatie niet blokkeert.

Een back-up maken met behulp van NTLM-verificatie

Voer de volgende handelingen uit:

  1. De agent installeren: installeer de agent op de computer die u wilt beveiligen.

  2. De agent configureren: configureer de computer zo dat de DPM-server wordt herkend voor het uitvoeren van back-ups. Hiervoor voert u de opdracht SetDPMServer uit.

  3. De computer koppelen: ten slotte moet u de beveiligde computer koppelen aan de DPM-server.

De agent installeren en configureren

  1. Voer op de computer die u wilt beveiligen DPMAgentInstaller_X64.exe vanaf de DPM-installatie-cd uit om de agent te installeren.

  2. Configureer de agent door SetDpmServer als volgt uit te voeren:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Geef de parameters als volgt op:

    • -DpmServerName : geef de naam van de DPM-server op. Gebruik een FQDN als de server en de computer voor elkaar toegankelijk zijn met FQDN's of een NETBIOS-naam.

    • -IsNonDomainServer - Gebruik om aan te geven dat de server zich in een werkgroep of een niet-vertrouwd domein bevindt ten opzichte van de computer die u wilt beveiligen. Firewalluitzonderingen worden gemaakt voor de vereiste poorten.

    • -Gebruikersnaam: geef de naam op van het account dat u wilt gebruiken voor NTLM-verificatie. Als u deze optie wilt gebruiken, moet u de vlag -isNonDomainServer hebben opgegeven. Er wordt een lokaal gebruikersaccount gemaakt en de DPM-beveiligingsagent wordt geconfigureerd om dit account te gebruiken voor verificatie.

    • -ProductionServerDnsSuffix : gebruik deze schakeloptie als op de server meerdere DNS-achtervoegsels zijn geconfigureerd. Met deze switch wordt het DNS-achtervoegsel aangegeven dat de server gebruikt om verbinding te maken met de computer die u wilt beveiligen.

  4. Wanneer de opdracht is voltooid, opent u de DPM-console.

Het wachtwoord bijwerken

Als u op enig moment het wachtwoord voor de NTLM-referenties wilt bijwerken, voert u het volgende uit op de beveiligde computer:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

U moet dezelfde naamconventie (FQDN of NETBIOS) gebruiken die u hebt gebruikt bij het configureren van de beveiliging. Op de DPM-server moet u de PowerShell-cmdlet Update -NonDomainServerInfo uitvoeren. Vervolgens moet u de agentgegevens voor de beveiligde computer vernieuwen.

NetBIOS-voorbeeld: beveiligde computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-voorbeeld: beveiligde computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

De computer koppelen

  1. Voer in de DPM-console de wizard Beveiligingsagent installeren uit.

  2. Bij Implementatiemethode voor agent selecteren selecteert u Agents koppelen.

  3. Voer de computernaam, gebruikersnaam en wachtwoord in voor de computer waaraan u wilt koppelen. Dit moeten de referenties zijn die u hebt opgegeven tijdens de installatie van de agent.

  4. Controleer de pagina Samenvatting en selecteer Bijvoegen.

U kunt eventueel de opdracht Windows PowerShell Attach-NonDomainServer.ps1 in plaats van de wizard uitvoeren. Bekijk hiervoor het voorbeeld in de volgende sectie.

Voorbeelden

Voorbeeld 1

Voorbeeld van hoe u een werkgroepcomputer configureert nadat de agent is geïnstalleerd:

  1. Voer op de computer SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark uit.

  2. Voer op de DPM-server Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark uit.

Omdat de werkgroepcomputers normaal gesproken alleen toegankelijk zijn met de NetBIOS-naam, moet de waarde voor DPMServerName de NetBIOS-naam zijn.

Voorbeeld 2

Voorbeeld van hoe u een werkgroepcomputer configureert met conflicterende NetBIOS-namen nadat de agent is geïnstalleerd.

  1. Voer op de werkgroepcomputer SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com uit.

  2. Voer op de DPM-server Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark uit.

Een back-up maken met verificatie via certificaat

U kunt als volgt beveiliging met verificatie via certificaat instellen.

  • Op elke computer die u wilt beveiligen, moet ten minste .NET Framework 3.5 met SP1 zijn geïnstalleerd.

  • Het certificaat dat u voor de verificatie gebruikt, moet voldoen aan het volgende:

    • X.509 V3-certificaat.

    • Uitgebreide-sleutelgebruik (EKU) moet clientverificatie en serververificatie hebben.

    • De lengte van de sleutel moet minstens 1024 bits bedragen.

    • Het type sleutel moet exchange zijn.

    • De onderwerpnaam van het certificaat en het basiscertificaat mogen niet leeg zijn.

    • De intrekkingen op de servers van de gekoppelde certificeringsinstanties zijn online en zijn toegankelijk via de beveiligde server en de DPM-server

    • Aan het certificaat moet een persoonlijke sleutel zijn gekoppeld.

    • DPM biedt geen ondersteuning voor certificaten met CNG-sleutels.

    • DPM biedt geen ondersteuning voor zelfondertekende certificaten.

  • Elke computer die u wilt beveiligen (inclusief virtuele machines) moet een eigen certificaat hebben.

Beveiliging instellen

  1. Een DPM-certificaatsjabloon maken

  2. Een certificaat configureren op de DPM-server

  3. De agent installeren

  4. Een certificaat op de beveiligde computer configureren

  5. De computer koppelen

Een sjabloon voor DPM-certificaat maken

U kunt eventueel een DPM-sjabloon voor internetregistratie instellen. Als u dat wel wilt doen, selecteert u een sjabloon met clientverificatie en serververificatie als het beoogde doeleinde. Bijvoorbeeld:

  1. In de MMC-module Certificaatsjablonen kunt u de sjabloon RAS en IAS Server selecteren. Klik erop met de rechtermuisknop en selecteer Sjabloon dupliceren.

  2. Laat in Sjabloon dupliceren de standaardinstelling Windows Server 2003 Enterprise staan.

  3. Op het tabblad Algemeen geeft u de sjabloon een herkenbare weergavenaam. Bijvoorbeeld DPM-verificatie. Zorg ervoor dat de instelling Certificaat publiceren in Active Directory is ingeschakeld.

  4. Controleer op het tabblad Afhandeling van aanvragen of Toestaan dat persoonlijke sleutel wordt geëxporteerd is ingeschakeld.

  5. Nadat u de sjabloon hebt gemaakt, maakt u deze beschikbaar voor gebruik. Open de module Certificeringsinstantie. Klik met de rechtermuisknop op Certificaatsjablonen, selecteer Nieuw en kies Te verlenen certificaatsjablonen. Selecteer in Certificaatsjabloon inschakelen de sjabloon en selecteer OK. De sjabloon wordt nu beschikbaar wanneer u een certificaat aanvraagt.

Inschrijven of automatisch inschrijven inschakelen

Als u de sjabloon eventueel wilt configureren voor inschrijving of automatische inschrijving, selecteert u het tabblad Onderwerpnaam in de sjablooneigenschappen. Wanneer u de inschrijving configureert, kan de sjabloon worden geselecteerd in de MMC. Als u automatische inschrijving configureert, wordt het certificaat automatisch toegewezen aan alle computers in het domein.

  • Voor inschrijving schakelt u op het tabblad Onderwerpnaam van de sjablooneigenschappen de optie Op basis van Active Directory-informatie samenstellen selecteren in. Selecteer algemene naam in de indeling van de onderwerpnaam en schakel DNS-naam in. Ga vervolgens naar het tabblad Beveiliging en wijs de machtiging Inschrijven toe aan geverifieerde gebruikers.

  • Voor automatische inschrijving gaat u naar het tabblad Beveiliging en wijst u de machtiging Automatisch inschrijven toe aan geverifieerde gebruikers. Als deze instelling is ingeschakeld, wordt het certificaat automatisch toegewezen aan alle computers in het domein.

  • Als u de inschrijving hebt geconfigureerd, kunt u een nieuw certificaat aanvragen in de MMC op basis van de sjabloon. Klik hiervoor op de beveiligde computer in Certificaten (lokale computer)>Persoonlijk met de rechtermuisknop op Certificaten. Selecteer Alle taken>Nieuw certificaat aanvragen. Selecteer op de pagina Certificaatinschrijvingsbeleid selecteren van de wizard de optie Active Directory-inschrijvingsbeleid. In Certificaten aanvragen ziet u de sjabloon. Vouw Details uit en selecteer Eigenschappen. Selecteer het tabblad Algemeen en geef een beschrijvende naam op. Nadat u de instellingen hebt toegepast, ontvangt u een bericht dat het certificaat is geïnstalleerd.

Een certificaat op de DPM-server configureren

  1. Genereer een certificaat van een CA voor de DPM-server via webinschrijving of een andere methode. Selecteer bij webinschrijving geavanceerd certificaat vereist en Een aanvraag maken en indienen bij deze CA. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel markeren als exporteerbaar is geselecteerd.

  2. Het certificaat wordt in het archief van de gebruiker geplaatst. U moet deze verplaatsen naar het archief van de lokale computer.

  3. Hiervoor exporteert u het certificaat uit het gebruikersarchief. Zorg ervoor dat u deze exporteert met de persoonlijke sleutel. U kunt het in de standaardindeling .pfx exporteren. Geef een wachtwoord op voor het exporteren.

  4. Voer in Lokale computer\Persoonlijk\Certificaat de wizard Certificaat importeren uit om het geëxporteerde bestand te importeren vanaf de opgeslagen locatie. Geef het wachtwoord op dat u hebt gebruikt om het te exporteren en zorg ervoor dat Deze sleutel markeren als exporteerbaar is geselecteerd. Laat op de pagina Certificaatarchief de standaardinstelling Alle certificaten in het volgende archief plaatsen staan en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Stel na het importeren de DPM-referenties als volgt in om het certificaat te gebruiken:

    1. Haal de vingerafdruk van het certificaat op. Dubbelklik in het certificaatarchief op het certificaat. Selecteer het tabblad Details en schuif omlaag naar de vingerafdruk. Selecteer deze, markeer en kopieer het. Plak de vingerafdruk in Kladblok en verwijder eventuele spaties.

    2. Voer Set-DPMCredentials uit om de DPM-server te configureren:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type : geeft het type verificatie aan. Waarde: certificaat.

    • -Actie : geef op of u de opdracht voor het eerst wilt uitvoeren of de referenties opnieuw wilt genereren. Mogelijke waarden: opnieuw genereren of configureren.

    • -OutputFilePath - Locatie van het uitvoerbestand dat wordt gebruikt in Set-DPMServer op de beveiligde computer.

    • -Vingerafdruk : kopieer uit het Kladblok-bestand.

    • -AuthCAThumbprint : vingerafdruk van de CA in de vertrouwensketen van het certificaat. Optioneel. Indien niet opgegeven, wordt Root gebruikt.

  6. Hiermee wordt een metagegevensbestand (.bin) gegenereerd dat nodig is op het moment van de installatie van elke agent in niet-vertrouwd domein. Zorg ervoor dat de map C:\Temp bestaat voordat u de opdracht uitvoert.

    Notitie

    Als het bestand verloren is gegaan of verwijderd, kunt u het opnieuw maken door het script uit te voeren met de optie -actie opnieuw genereren .

  7. Haal het .bin-bestand op en kopieer het naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin op de computer die u wilt beveiligen. U hoeft dit niet te doen, maar als u dit niet doet, moet u het volledige pad van het bestand voor de parameter -DPMcredential opgeven wanneer u

  8. Herhaal deze stappen op elke DPM-server waarmee een computer in een werkgroep of in een niet-vertrouwd domein wordt beveiligd.

De agent installeren

  1. Voer op elke computer die u wilt beveiligen DPMAgentInstaller_X64.exe uit vanaf de DPM-installatie-cd om de agent te installeren.

Een certificaat op de beveiligde computer configureren

  1. Genereer een certificaat via een certificeringsinstantie voor de beveiligde computer, via internetregistratie of met een andere methode. Selecteer bij webinschrijving geavanceerd certificaat vereist en Een aanvraag maken en indienen bij deze CA. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel markeren als exporteerbaar is geselecteerd.

  2. Het certificaat wordt in het archief van de gebruiker geplaatst. U moet deze verplaatsen naar het archief van de lokale computer.

  3. Hiervoor exporteert u het certificaat uit het gebruikersarchief. Zorg ervoor dat u deze exporteert met de persoonlijke sleutel. U kunt het in de standaardindeling .pfx exporteren. Geef een wachtwoord op voor het exporteren.

  4. Voer in Lokale computer\Persoonlijk\Certificaat de wizard Certificaat importeren uit om het geëxporteerde bestand te importeren vanaf de opgeslagen locatie. Geef het wachtwoord op dat u hebt gebruikt om het te exporteren en zorg ervoor dat Deze sleutel markeren als exporteerbaar is geselecteerd. Laat op de pagina Certificaatarchief de standaardinstelling Alle certificaten in het volgende archief plaatsen staan en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Na het importeren configureert u de computer om de DPM-server als volgt te herkennen als gemachtigd om back-ups uit te voeren:

    1. Haal de vingerafdruk van het certificaat op. Dubbelklik in het certificaatarchief op het certificaat. Selecteer het tabblad Details en schuif omlaag naar de vingerafdruk. Selecteer deze en markeer en kopieer het. Plak de vingerafdruk in Kladblok en verwijder eventuele spaties.

    2. Navigeer naar de map C:\Program files\Microsoft Data Protection Manager\DPM\bin en voer setdpmserver als volgt uit:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Waarbij ClientThumbprintWithNoSpaces uit het Kladblok-bestand wordt gekopieerd.

    3. Als het goed is, krijgt u de uitvoer om te bevestigen dat de configuratie is voltooid.

  6. Haal het .bin-bestand op en kopieer het naar de DPM-server. We raden u aan het bestand te kopiëren naar de standaardlocatie waar het bijvoegproces wordt gecontroleerd op het bestand (Windows\System32), zodat u alleen de bestandsnaam kunt opgeven in plaats van het volledige pad wanneer u de opdracht Bijvoegen uitvoert.

De computer koppelen

U koppelt de computer aan de DPM-server met het PowerShell-script Attach-ProductionServerWithCertificate.ps1 met de volgende syntaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName: de naam van de DPM-server

  • PSCredential: de naam van het BIN-bestand. Als u deze in de map Windows\System32 hebt geplaatst, kunt u alleen de bestandsnaam opgeven. Zorg ervoor dat u het .bin bestand opgeeft dat op de beveiligde server is gemaakt. Als u het .bin bestand opgeeft dat op de DPM-server is gemaakt, verwijdert u alle beveiligde computers die zijn geconfigureerd voor verificatie op basis van certificaten.

Nadat het koppelen is voltooid, moet de beveiligde computer worden weergegeven in de DPM-console.

Voorbeelden

Voorbeeld 1

Hiermee wordt een bestand gegenereerd in c:\\CertMetaData\\ met de naam CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Waarbij dpmserver.contoso.com de naam van de DPM-server is en 'cf822d9ba1c801ef40d4b31de0cfcb200a8a2496' de vingerafdruk van het DPM-servercertificaat is.

Voorbeeld 2

Genereert opnieuw een verloren configuratiebestand in de map c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Schakelen tussen NTLM- en certificaatverificatie

Notitie

  • De volgende geclusterde workloads ondersteunen alleen certificaatverificatie wanneer deze wordt geïmplementeerd in een niet-vertrouwd domein:
    • Geclusterde bestandsserver
    • Geclusterde SQL-server
    • Hyper-V-cluster
  • Als de DPM-agent momenteel is geconfigureerd voor het gebruik van NTLM in een cluster of oorspronkelijk is geconfigureerd voor het gebruik van NTLM, maar later is overgeschakeld naar certificaatverificatie zonder eerst de DPM-agent te verwijderen, worden in de opsomming van het cluster geen resources weergegeven die moeten worden beveiligd.

Als u wilt overschakelen van NTLM-verificatie naar certificaatverificatie, gebruikt u de volgende stappen om de DPM-agent opnieuw te configureren:

  1. Verwijder op de DPM-server alle knooppunten van het cluster met behulp van het Remove-ProductionServer.ps1 PowerShell-script.
  2. Verwijder de DPM-agent op alle knooppunten en verwijder de agentmap uit C:\Program Files\Microsoft Data Protection Manager.
  3. Volg de stappen in Back-up maken met behulp van certificaatverificatie.
  4. Zodra de agents zijn geïmplementeerd en geconfigureerd voor certificaatverificatie, controleert u of het vernieuwen van de agent werkt en of (niet-vertrouwd- certificaten) voor elk van de knooppunten correct wordt weergegeven.
  5. Vernieuw de knooppunten/het cluster om een lijst met te beveiligen gegevensbronnen op te halen; probeer de geclusterde resource(s) opnieuw te beveiligen.
  6. Voeg de workload toe om te beveiligen en voltooi de wizard Beveiligingsgroep.