Przygotowywanie komputerów w grupach roboczych i domenach niezaufanych na potrzeby tworzenia kopii zapasowych

  • Artykuł

Ważne

Ta wersja programu Data Protection Manager (DPM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu DPM 2022.

Program System Center Data Protection Manager (DPM) może chronić komputery, które znajdują się w niezaufanych domenach lub grupach roboczych. Te komputery można uwierzytelniać przy użyciu konta użytkownika lokalnego (uwierzytelniania NTLM) lub certyfikatów. W przypadku obu typów uwierzytelniania należy przygotować infrastrukturę, zanim będzie można skonfigurować grupę ochrony zawierającą źródła, których kopię zapasową chcesz utworzyć.

  1. Zainstaluj certyfikat — jeśli chcesz użyć uwierzytelniania certyfikatu, zainstaluj certyfikat na serwerze DPM i na komputerze, który chcesz chronić.

  2. Zainstaluj agenta — zainstaluj agenta na komputerze, który chcesz chronić.

  3. Rozpoznawanie serwera programu DPM — skonfiguruj komputer, aby rozpoznawał serwer PROGRAMU DPM pod kątem wykonywania kopii zapasowych. W tym celu uruchomisz polecenie SetDPMServer.

  4. Dołącz komputer — na koniec należy dołączyć komputer chroniony do serwera programu DPM.

Przed rozpoczęciem

Przed rozpoczęciem sprawdź obsługiwane scenariusze ochrony i wymagane ustawienia sieciowe.

Obsługiwane scenariusze

Typ obciążenia Stan i obsługa chronionego serwera
Pliki Grupa robocza: Obsługiwane

Niezaufana domena: obsługiwana

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu na jednym serwerze. Uwierzytelnianie certyfikatu tylko dla klastra.
Stan systemu Grupa robocza: Obsługiwane

Niezaufana domena: obsługiwana

Tylko uwierzytelnianie NTLM
SQL Server Grupa robocza: Obsługiwane

Niezaufana domena: obsługiwana

Dublowanie nie jest obsługiwane.

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu na jednym serwerze. Uwierzytelnianie certyfikatu tylko dla klastra.
Serwer funkcji Hyper-V Grupa robocza: Obsługiwane

Niezaufana domena: obsługiwana

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu
Klaster Hyper-V Grupa robocza: Nieobsługiwane

Niezaufana domena: obsługiwana (tylko uwierzytelnianie certyfikatów)
Exchange Server Grupa robocza: Nie dotyczy

Domena niezaufana: obsługiwana tylko dla pojedynczego serwera. Klaster nie jest obsługiwany. Formaty CCR, SCR i DAG nie są obsługiwane. Usługa LCR jest obsługiwana.

Tylko uwierzytelnianie NTLM
Pomocniczy serwer DPM (do tworzenia kopii zapasowej podstawowego serwera DPM)

Należy pamiętać, że zarówno podstawowe, jak i pomocnicze serwery DPM znajdują się w tej samej lub dwukierunkowej domenie zaufanej lasu przechodniego.		 Grupa robocza: Obsługiwane

Niezaufana domena: obsługiwana

Tylko uwierzytelnianie certyfikatu
SharePoint Grupa robocza: Nieobsługiwane

Niezaufana domena: nieobsługiwana
Komputery klienckie Grupa robocza: Nieobsługiwane

Niezaufana domena: nieobsługiwana
Odzyskiwanie systemu od zera (BMR) Grupa robocza: Nieobsługiwane

Niezaufana domena: nieobsługiwana
Odzyskiwanie przez użytkownika końcowego Grupa robocza: Nieobsługiwane

Niezaufana domena: nieobsługiwana

Ustawienia sieciowe

Ustawienia Komputer w grupie roboczej lub w niezaufanej domenie
dane kontrolne Protokół: DCOM

Port domyślny: 135

Uwierzytelnianie: NTLM/certyfikat
Transfer plików Protokół: Winsock

Port domyślny: 5718 i 5719

Uwierzytelnianie: NTLM/certyfikat
Wymagania konta programu DPM Konto lokalne bez uprawnień administratora na serwerze DPM. Wykorzystuje komunikację NTLM v2
Wymagania certyfikatu
Instalacja agenta Agent zainstalowany na komputerze chronionym
Sieć obwodowa Ochrona sieci obwodowej nie jest obsługiwana.
IPSEC Upewnij się, że protokół IPSEC nie blokuje komunikacji.

Tworzenie kopii zapasowej przy użyciu uwierzytelniania NTLM

Oto czynności, jakie należy wykonać:

  1. Zainstaluj agenta — zainstaluj agenta ochrony na komputerze, który chcesz chronić.

  2. Skonfiguruj agenta — skonfiguruj komputer tak, aby rozpoznawał serwer DPM podczas tworzenia kopii zapasowych. W tym celu uruchomisz polecenie SetDPMServer.

  3. Dołącz komputer — na koniec należy dołączyć komputer chroniony do serwera programu DPM.

Instalowanie i konfigurowanie agenta

  1. Na komputerze, który ma być chroniony, uruchom program DPMAgentInstaller_X64.exe z instalacyjnego dysku CD programu DPM, aby zainstalować agenta.

  2. Skonfiguruj agenta, uruchamiając następujące polecenie SetDpmServer:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Określ wartości następujących parametrów:

    • -DpmServerName — określ nazwę serwera DPM. Użyj nazwy FQDN, jeśli serwer i komputer są dostępne dla siebie przy użyciu nazw FQDN lub nazwy NETBIOS.

    • -IsNonDomainServer — służy do wskazywania, że serwer znajduje się w grupie roboczej lub niezaufanej domenie w odniesieniu do komputera, który chcesz chronić. Dla wymaganych portów tworzone są wyjątki zapory.

    • -UserName — określ nazwę konta, którego chcesz użyć do uwierzytelniania NTLM. Aby użyć tej opcji, należy określić flagę -isNonDomainServer. Zostanie utworzone konto użytkownika lokalnego, a agent ochrony programu DPM zostanie skonfigurowany do korzystania z tego konta w ramach uwierzytelniania.

    • -ProductionServerDnsSuffix — użyj tego przełącznika, jeśli serwer ma skonfigurowane wiele sufiksów DNS. Ten przełącznik reprezentuje sufiks DNS używany na serwerze do nawiązywania połączenia z komputerem chronionym.

  4. Po pomyślnym zakończeniu polecenia otwórz konsolę programu DPM.

Aktualizowanie hasła

Aby w dowolnym momencie zaktualizować hasło dla poświadczeń NTLM, uruchom następujące polecenie na komputerze chronionym:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Podczas konfigurowania ochrony należy użyć tej samej konwencji nazewnictwa (FQDN lub NETBIOS). Na serwerze PROGRAMU DPM należy uruchomić polecenie cmdlet Update -NonDomainServerInfo programu PowerShell. Następnie odśwież informacje agenta dla komputera chronionego.

Przykład nazwy NetBIOS: Komputer chroniony: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Serwer DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Przykład nazwy FQDN: Komputer chroniony: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Serwer DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Dołączanie komputera

  1. W konsoli programu DPM uruchom kreatora instalacji agenta ochrony.

  2. W oknie Wybierz metodę wdrożenia agenta wybierz opcję Przyłącz agentów.

  3. Wprowadź nazwę komputera, nazwę użytkownika i hasło komputera, do którego chcesz dołączyć. Powinny być to poświadczenia określone podczas instalacji agenta.

  4. Przejrzyj stronę Podsumowanie i wybierz pozycję Dołącz.

Opcjonalnie — zamiast uruchamiania kreatora — możesz uruchomić polecenie programu Windows PowerShell Attach-NonDomainServer.ps1. W tym celu przyjrzyj się przykładowi w następnej sekcji.

Przykłady

Przykład 1

Przykład konfigurowania komputera grupy roboczej po zainstalowaniu agenta.

  1. Na komputerze uruchom polecenie SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Na serwerze DPM uruchom polecenie Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Ze względu na to, że komputery grupy roboczej są zazwyczaj dostępne tylko przy użyciu nazwy NetBIOS, wartość parametru DPMServerName musi być nazwą NetBIOS.

Przykład 2

Przykład konfigurowania komputera grupy roboczej z nazwami NetBIOS powodującymi konflikt po zainstalowaniu agenta.

  1. Na komputerze grupy roboczej uruchom polecenie SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Na serwerze DPM uruchom polecenie Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Tworzenie kopii zapasowej przy użyciu uwierzytelniania za pomocą certyfikatu

Oto instrukcje konfigurowania ochrony z uwierzytelnianiem za pomocą certyfikatu.

  • Na każdym komputerze, który ma być chroniony, musi być zainstalowane oprogramowanie .NET Framework w wersji co najmniej 3.5 z dodatkiem SP1.

  • Certyfikat używany do uwierzytelniania musi spełniać następujące warunki:

    • Certyfikat X.509 V3.

    • Rozszerzone użycie klucza (EKU) powinno obejmować uwierzytelnianie klienta i serwera.

    • Długość klucza powinna wynosić co najmniej 1024 bity.

    • Typem klucza musi być exchange.

    • Nazwa podmiotu certyfikatu i certyfikatu głównego nie powinna być pusta.

    • Serwery odwołań powiązanych urzędów certyfikacji muszą być online i dostępne zarówno dla chronionego serwera, jak i serwera DPM.

    • Certyfikat powinien mieć skojarzony klucz prywatny.

    • Program DPM nie obsługuje certyfikatów z kluczami CNG.

    • Program DPM nie obsługuje certyfikatów z podpisem własnym.

  • Każdy komputer, który ma być chroniony (w tym maszyny wirtualne), musi mieć własny certyfikat.

Konfigurowanie ochrony

  1. Tworzenie szablonu certyfikatu programu DPM

  2. Konfigurowanie certyfikatu na serwerze programu DPM

  3. Instalowanie agenta

  4. Konfigurowanie certyfikatu na chronionym komputerze

  5. Dołączanie komputera

Tworzenie szablonu certyfikatu programu DPM

Opcjonalnie możesz skonfigurować szablon programu DPM na potrzeby rejestracji w sieci Web. Jeśli chcesz to zrobić, wybierz szablon, którego zamierzony cel to Uwierzytelnianie klienta i Uwierzytelnianie serwera. Na przykład:

  1. W przystawce MMC Szablony certyfikatów można wybrać szablon RAS i IAS Server . Kliknij go prawym przyciskiem myszy i wybierz polecenie Duplikuj szablon.

  2. W oknie Duplikowanie szablonu pozostaw domyślne ustawienie Windows Server 2003 Enterprise.

  3. Na karcie Ogólne zmień nazwę wyświetlaną szablonu na mówiącą coś o nim. Na przykład uwierzytelnianie programu DPM. Upewnij się, że ustawienie Publikuj certyfikat w usłudze Active Directory jest włączone.

  4. Na karcie Obsługa żądań upewnij się, że włączono opcję Zezwalaj na eksportowanie klucza prywatnego .

  5. Po utworzeniu szablonu należy udostępnić go do użycia. Otwórz przystawkę Urząd certyfikacji. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz polecenie Nowy, a następnie Szablon certyfikatu do wystawienia. W obszarze Włącz szablon certyfikatu wybierz szablon i wybierz przycisk OK. Teraz szablon będzie dostępny podczas uzyskiwania certyfikatu.

Włączanie rejestrowania lub autorejestrowania

Jeśli chcesz opcjonalnie skonfigurować szablon na potrzeby rejestracji lub automatycznej rejestracji, wybierz kartę Nazwa podmiotu we właściwościach szablonu. Podczas konfigurowania rejestracji szablon można wybrać w konsoli MMC. W przypadku skonfigurowania automatycznego rejestrowania certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • Na czas rejestrowania na karcie Nazwa podmiotu we właściwościach szablonu włącz ustawienie Konstruuj z tej informacji usługi Active Directory. W obszarze Format nazwy podmiotu wybierz pozycję Nazwa pospolita i włącz nazwę DNS. Następnie przejdź na kartę Zabezpieczenia i przyznaj uprawnienie Rejestrowanie użytkownikom uwierzytelnionym.

  • W przypadku autorejestrowania przejdź na kartę Zabezpieczenia i przyznaj uprawnienie Autorejestrowanie użytkownikom uwierzytelnionym. Po włączeniu tego ustawienia certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • Jeśli skonfigurowano rejestrację, będzie można zażądać nowego certyfikatu w programie MMC na podstawie szablonu. W tym celu na komputerze chronionym w obszarze Certyfikaty (komputer lokalny)>Osobiste kliknij prawym przyciskiem myszy pozycję Certyfikaty. Wybierz pozycję Wszystkie zadania>żądaj nowego certyfikatu. Na stronie Wybieranie zasad rejestracji certyfikatów kreatora wybierz pozycję Zasady rejestracji usługi Active Directory. W obszarze Zażądaj certyfikatów zobaczysz szablon. Rozwiń węzeł Szczegóły i wybierz pozycję Właściwości. Wybierz kartę Ogólne i podaj przyjazną nazwę. Po zastosowaniu ustawień powinien zostać wyświetlony komunikat o pomyślnym zainstalowaniu certyfikatu.

Konfigurowanie certyfikatu na serwerze DPM

  1. Wygeneruj certyfikat z urzędu certyfikacji dla serwera DPM za pośrednictwem rejestracji internetowej lub innej metody. W rejestracji internetowej wybierz wymagany certyfikat zaawansowany i Utwórz i Prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza ma wartość 1024 lub nowszą i że wybrano opcję Oznacz klucz jako możliwy do wyeksportowania .

  2. Certyfikat zostanie umieszczony w magazynie Użytkownik. Musisz przenieść go do magazynu komputerów lokalnych.

  3. W tym celu wyeksportuj certyfikat z magazynu użytkownika. Upewnij się, że eksportujesz go przy użyciu klucza prywatnego. Możesz wyeksportować go w domyślnym formacie pfx. Podaj hasło do eksportowanego pliku.

  4. W folderze Komputer lokalny\Osobisty\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z zapisanej lokalizacji. Określ hasło użyte do wyeksportowania i upewnij się, że wybrano opcję Oznacz ten klucz jako możliwy do wyeksportowania . Na stronie Magazyn certyfikatów pozostaw ustawienie domyślne Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że zostanie wyświetlone ustawienie Osobiste .

  5. Po zaimportowaniu ustaw poświadczenia programu DPM na użycie certyfikatu w następujący sposób:

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Zaznacz go, a następnie wyróżnij i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Uruchom polecenie Set-DPMCredentials, aby skonfigurować serwer DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type — wskazuje typ uwierzytelniania. Wartość: certificate.

    • -Action — określ, czy chcesz wykonać polecenie po raz pierwszy, czy ponownie wygenerować poświadczenia. Dopuszczalne wartości: regenerate (generuj ponownie) lub configure (konfiguruj).

    • -OutputFilePath — lokalizacja pliku wyjściowego używanego w Set-DPMServer na komputerze chronionym.

    • -Thumbprint — skopiuj z pliku Notatnika.

    • -AuthCAThumbprint — odcisk palca urzędu certyfikacji w łańcuchu zaufania certyfikatu. Opcjonalny. Jeśli nie jest podany, zostanie użyty urząd główny.

  6. Uruchomienie tego polecenia spowoduje wygenerowanie pliku metadanych (bin) wymaganego podczas każdego instalowania agenta w niezaufanej domenie. Przed uruchomieniem polecenia upewnij się, że folder C:\Temp istnieje.

    Uwaga

    Jeśli plik zostanie utracony lub usunięty, możesz go ponownie utworzyć, uruchamiając skrypt z opcją -action regenerate .

  7. Skopiuj plik bin do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin na komputerze, który ma być chroniony. Nie jest to konieczne, ale jeśli tego nie zrobisz, musisz podać pełną ścieżkę do tego pliku w parametrze –DPMcredential podczas

  8. Powtórz te czynności na każdym serwerze DPM chroniącym komputery w grupie roboczej lub niezaufanej domenie.

Instalowanie agenta

  1. Na każdym komputerze, który ma być chroniony, uruchom program DPMAgentInstaller_X64.exe z instalacyjnej płyty CD programu DPM, aby zainstalować agenta.

Konfigurowanie certyfikatu na chronionym komputerze

  1. Wygeneruj certyfikat z urzędu certyfikacji dla chronionego komputera za pomocą rejestrowania w sieci Web lub innej metody. W rejestracji internetowej wybierz pozycję Wymagany zaawansowany certyfikat i Utwórz i Prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza ma wartość 1024 lub wyższą i że wybrano opcję Oznacz klucz jako możliwy do wyeksportowania .

  2. Certyfikat zostanie umieszczony w magazynie Użytkownik. Należy przenieść go do magazynu Komputer lokalny.

  3. W tym celu wyeksportuj certyfikat z magazynu użytkownika. Upewnij się, że eksportujesz go przy użyciu klucza prywatnego. Możesz wyeksportować go w domyślnym formacie pfx. Podaj hasło do eksportowanego pliku.

  4. W folderze Komputer lokalny\Osobisty\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z zapisanej lokalizacji. Określ hasło użyte do wyeksportowania i upewnij się, że wybrano opcję Oznacz ten klucz jako możliwy do wyeksportowania . Na stronie Magazyn certyfikatów pozostaw ustawienie domyślne Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że opcja Osobiste jest wyświetlana.

  5. Po zaimportowaniu skonfiguruj komputer do rozpoznawania serwera programu DPM jako autoryzowanego do wykonywania kopii zapasowych w następujący sposób:

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Zaznacz go i wyróżnij i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Przejdź do folderu C:\Program files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver w następujący sposób:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Gdzie odcisk palca ClientThumbprintWithNoSpaces jest skopiowany z pliku w Notatniku.

    3. Powinny zostać wyświetlone dane wyjściowe, aby potwierdzić, że konfiguracja została ukończona pomyślnie.

  6. Skopiuj plik bin na serwer DPM. Zalecamy skopiowanie go do domyślnej lokalizacji, w której proces dołączania sprawdzi plik (Windows\System32), aby po prostu określić nazwę pliku zamiast pełnej ścieżki po uruchomieniu polecenia Attach.

Dołączanie komputera

Aby dołączyć komputer do serwera DPM, użyj skryptu PowerShell Attach-ProductionServerWithCertificate.ps1 z poniższymi parametrami.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName — nazwa serwera DPM,

  • PSCredential — nazwa pliku bin. Jeśli umieścisz go w folderze Windows\System32, możesz określić tylko nazwę pliku. Upewnij się, że określono plik .bin utworzony na chronionym serwerze. Jeśli określisz plik .bin utworzony na serwerze programu DPM, usuniesz wszystkie chronione komputery skonfigurowane do uwierzytelniania opartego na certyfikatach.

Po zakończeniu procesu dołączania komputer chroniony powinien pojawić się w konsoli programu DPM.

Przykłady

Przykład 1

Wygenerowanie w folderze c:\\CertMetaData\\ pliku o nazwie CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Gdzie dpmserver.contoso.com jest nazwą serwera DPM, a "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" to odcisk palca certyfikatu serwera DPM.

Przykład 2

Ponowne wygenerowanie utraconego pliku konfiguracji w folderze c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Przełączanie między uwierzytelnianiem NTLM i certyfikatem

Uwaga

  • Następujące obciążenia klastrowane obsługują uwierzytelnianie certyfikatów tylko w przypadku wdrożenia w niezaufanej domenie:
    • Klastrowany serwer plików
    • Klasterowany serwer SQL
    • Klaster Hyper-V
  • Jeśli agent programu DPM jest obecnie skonfigurowany do używania protokołu NTLM w klastrze lub został pierwotnie skonfigurowany do używania protokołu NTLM, ale później przełączył się do uwierzytelniania certyfikatu bez uprzedniego usunięcia agenta programu DPM, wyliczenie klastra nie będzie pokazywać żadnych zasobów do ochrony.

Aby przełączyć się z uwierzytelniania NTLM na uwierzytelnianie certyfikatu, wykonaj następujące kroki, aby ponownie skonfigurować agenta programu DPM:

  1. Na serwerze programu DPM usuń wszystkie węzły klastra przy użyciu skryptu programuRemove-ProductionServer.ps1 PowerShell.
  2. Odinstaluj agenta programu DPM na wszystkich węzłach i usuń folder agenta z katalogu C:\Program Files\Microsoft Data Protection Manager.
  3. Wykonaj kroki opisane w artykule Tworzenie kopii zapasowej przy użyciu uwierzytelniania certyfikatu.
  4. Po wdrożeniu i skonfigurowaniu agentów na potrzeby uwierzytelniania certyfikatów sprawdź, czy odświeżanie agenta działa, i poprawnie pokazuje (niezaufane — certyfikaty) dla każdego z węzłów.
  5. Odśwież węzły/klaster, aby uzyskać listę źródeł danych do ochrony; ponów próbę ochrony zasobów klastrowanych.
  6. Dodaj obciążenie, aby chronić i zakończyć pracę Kreatora grupy ochrony.