Udostępnij za pośrednictwem

Przygotowywanie maszyn w grupach roboczych i domenach niezaufanych do tworzenia kopii zapasowych

  • Artykuł

Program System Center Data Protection Manager (DPM) może chronić komputery, które znajdują się w niezaufanych domenach lub grupach roboczych. Te komputery można uwierzytelniać przy użyciu konta użytkownika lokalnego (uwierzytelnianie NTLM) lub certyfikatów. W przypadku obu typów uwierzytelniania należy przygotować infrastrukturę, zanim będzie można skonfigurować grupę ochrony zawierającą źródła, których kopię zapasową chcesz utworzyć.

  1. Zainstaluj certyfikat — jeśli chcesz użyć uwierzytelniania certyfikatu, zainstaluj certyfikat na serwerze programu DPM i na komputerze, który chcesz chronić.

  2. Zainstaluj agenta — zainstaluj agenta na komputerze, który chcesz chronić.

  3. Rozpoznawanie serwera programu DPM — skonfiguruj komputer do rozpoznawania serwera DPM na potrzeby wykonywania kopii zapasowych. W tym celu uruchomisz polecenie SetDPMServer.

  4. Dołącz komputer — na koniec należy dołączyć komputer chroniony do serwera programu DPM.

Przed rozpoczęciem

Przed rozpoczęciem sprawdź obsługiwane scenariusze ochrony i wymagane ustawienia sieciowe.

Obsługiwane scenariusze

Typ obciążenia Stan i obsługa chronionego serwera
Pliki Grupa robocza: Obsługiwane

Domena niezaufana: obsługiwana

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu na jednym serwerze. Uwierzytelnianie certyfikatu tylko dla klastra.
Stan systemu Grupa robocza: Obsługiwane

Domena niezaufana: obsługiwana

Tylko uwierzytelnianie NTLM
SQL Server Grupa robocza: Obsługiwane

Domena niezaufana: obsługiwana

Dublowanie nie jest obsługiwane.

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu na jednym serwerze. Uwierzytelnianie certyfikatu tylko dla klastra.
Serwer funkcji Hyper-V Grupa robocza: Obsługiwane

Domena niezaufana: obsługiwana

Uwierzytelnianie NTLM i uwierzytelnianie certyfikatu
Klaster Hyper-V Grupa robocza: Nieobsługiwane

Domena niezaufana: obsługiwana (tylko uwierzytelnianie certyfikatów)
Exchange Server Grupa robocza: Nie dotyczy

Domena niezaufana: obsługiwana tylko dla pojedynczego serwera. Klaster nie jest obsługiwany. Formaty CCR, SCR i DAG nie są obsługiwane. Usługa LCR jest obsługiwana.

Tylko uwierzytelnianie NTLM
Pomocniczy serwer PROGRAMU DPM (na potrzeby tworzenia kopii zapasowej podstawowego serwera DPM)

Należy pamiętać, że zarówno podstawowe, jak i pomocnicze serwery DPM znajdują się w tej samej lub dwukierunkowej domenie zaufanej lasu przechodniego.		 Grupa robocza: Obsługiwane

Domena niezaufana: obsługiwana

Tylko uwierzytelnianie certyfikatu
SharePoint Grupa robocza: Nieobsługiwane

Domena niezaufana: nieobsługiwana
Komputery klienckie Grupa robocza: Nieobsługiwane

Domena niezaufana: nieobsługiwana
Odzyskiwanie systemu od zera (BMR) Grupa robocza: Nieobsługiwane

Domena niezaufana: nieobsługiwana
Odzyskiwanie przez użytkownika końcowego Grupa robocza: Nieobsługiwane

Domena niezaufana: nieobsługiwana

Ustawienia sieciowe

Ustawienia Komputer w grupie roboczej lub w niezaufanej domenie
dane kontrolne Protokół: DCOM

Port domyślny: 135

Uwierzytelnianie: NTLM/certyfikat
Transfer plików Protokół: Winsock

Port domyślny: 5718 i 5719

Uwierzytelnianie: NTLM/certyfikat
Wymagania konta programu DPM Konto lokalne bez uprawnień administratora na serwerze DPM. Wykorzystuje komunikację NTLM v2
Wymagania dotyczące certyfikatu
Instalacja agenta Agent zainstalowany na komputerze chronionym
Sieć obwodowa Ochrona sieci obwodowej nie jest obsługiwana.
IPSEC Upewnij się, że protokół IPSEC nie blokuje komunikacji.

Tworzenie kopii zapasowej przy użyciu uwierzytelniania NTLM

Oto, co należy zrobić:

  1. Zainstaluj agenta — zainstaluj agenta na komputerze, który chcesz chronić.

  2. Skonfiguruj agenta — skonfiguruj komputer do rozpoznawania serwera PROGRAMU DPM na potrzeby wykonywania kopii zapasowych. W tym celu uruchomisz polecenie SetDPMServer.

  3. Dołącz komputer — na koniec należy dołączyć komputer chroniony do serwera programu DPM.

Instalowanie i konfigurowanie agenta

  1. Na komputerze, który chcesz chronić, uruchom DPMAgentInstaller_X64.exe z dysku CD instalacji programu DPM, aby zainstalować agenta.

  2. Skonfiguruj agenta, uruchamiając polecenie SetDpmServer w następujący sposób:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Określ parametry w następujący sposób:

    • -DpmServerName — określ nazwę serwera DPM. Użyj nazwy FQDN, jeśli serwer i komputer są dostępne dla siebie przy użyciu nazw FQDN lub nazwy NETBIOS.

    • -IsNonDomainServer — służy do wskazywania, że serwer znajduje się w grupie roboczej lub niezaufanej domenie w odniesieniu do komputera, który chcesz chronić. Wyjątki zapory są tworzone dla wymaganych portów.

    • -UserName — określ nazwę konta, którego chcesz użyć do uwierzytelniania NTLM. Aby użyć tej opcji, należy określić flagę -isNonDomainServer. Zostanie utworzone konto użytkownika lokalnego, a agent ochrony programu DPM zostanie skonfigurowany do używania tego konta do uwierzytelniania.

    • -ProductionServerDnsSuffix — użyj tego przełącznika, jeśli na serwerze skonfigurowano wiele sufiksów DNS. Ten przełącznik reprezentuje sufiks DNS używany przez serwer do nawiązywania połączenia z chronionym komputerem.

  4. Po pomyślnym zakończeniu polecenia otwórz konsolę programu DPM.

Aktualizowanie hasła

Jeśli w dowolnym momencie chcesz zaktualizować hasło dla poświadczeń NTLM, uruchom następujące polecenie na komputerze chronionym:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Podczas konfigurowania ochrony należy użyć tej samej konwencji nazewnictwa (FQDN lub NETBIOS). Na serwerze PROGRAMU DPM należy uruchomić polecenie cmdlet Programu PowerShell Update -NonDomainServerInfo. Następnie należy odświeżyć informacje o agencie dla komputera chronionego.

Przykład NetBIOS: Komputer chroniony: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword serwer DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Przykład nazwy FQDN: Komputer chroniony: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword serwer DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Dołączanie komputera

  1. W konsoli programu DPM uruchom Kreatora instalacji agenta ochrony.

  2. W obszarze Wybierz metodę wdrażania agenta wybierz pozycję Dołącz agentów.

  3. Wprowadź nazwę komputera, nazwę użytkownika i hasło komputera, do którego chcesz dołączyć. Powinny to być poświadczenia określone podczas instalowania agenta.

  4. Przejrzyj stronę Podsumowanie i wybierz pozycję Dołącz.

Opcjonalnie możesz uruchomić polecenie Attach-NonDomainServer.ps1 programu Windows PowerShell zamiast uruchamiać kreatora. W tym celu przyjrzyj się przykładowi w następnej sekcji.

Przykłady

Przykład 1

Przykład konfigurowania komputera grupy roboczej po zainstalowaniu agenta:

  1. Na komputerze uruchom polecenie SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Na serwerze programu DPM uruchom polecenie Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Ponieważ komputery grupy roboczej są zwykle dostępne tylko przy użyciu nazwy NetBIOS, wartość dpMServerName musi być nazwą NetBIOS.

Przykład 2

Przykład konfigurowania komputera grupy roboczej z powodu konfliktu nazw NetBIOS po zainstalowaniu agenta.

  1. Na komputerze grupy roboczej uruchom polecenie SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Na serwerze programu DPM uruchom polecenie Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Tworzenie kopii zapasowej przy użyciu uwierzytelniania certyfikatu

Poniżej przedstawiono sposób konfigurowania ochrony przy użyciu uwierzytelniania certyfikatu.

  • Każdy komputer, który chcesz chronić, powinien mieć zainstalowany co najmniej program .NET Framework 3.5 z dodatkiem SP1.

  • Certyfikat używany do uwierzytelniania musi być zgodny z następującymi elementami:

    • Certyfikat X.509 V3.

    • Rozszerzone użycie klucza (EKU) powinno mieć uwierzytelnianie klienta i uwierzytelnianie serwera.

    • Długość klucza powinna wynosić co najmniej 1024 bity.

    • Typ klucza powinien być wymieniany.

    • Nazwa podmiotu certyfikatu i certyfikat główny nie powinny być puste.

    • Serwery odwołania skojarzonych urzędów certyfikacji są w trybie online i dostępne zarówno przez chroniony serwer, jak i serwer PROGRAMU DPM

    • Certyfikat powinien mieć skojarzony klucz prywatny.

    • Program DPM nie obsługuje certyfikatów z kluczami CNG.

    • Program DPM nie obsługuje certyfikatów z podpisem własnym.

  • Każdy komputer, który ma być chroniony (w tym maszyny wirtualne), musi mieć własny certyfikat.

Konfigurowanie ochrony

  1. Tworzenie szablonu certyfikatu programu DPM

  2. Konfigurowanie certyfikatu na serwerze programu DPM

  3. Instalowanie agenta

  4. Konfigurowanie certyfikatu na komputerze chronionym

  5. Dołączanie komputera

Tworzenie szablonu certyfikatu programu DPM

Opcjonalnie możesz skonfigurować szablon programu DPM na potrzeby rejestracji w Internecie. Jeśli chcesz to zrobić, wybierz szablon z uwierzytelnianiem klienta i uwierzytelnianiem serwera jako zamierzonym celem. Na przykład:

  1. W przystawce MMC Szablony certyfikatów można wybrać szablon RAS i IAS Server . Kliknij go prawym przyciskiem myszy i wybierz polecenie Duplikuj szablon.

  2. W polu Duplikuj szablon pozostaw ustawienie domyślne Windows Server 2003 Enterprise.

  3. Na karcie Ogólne zmień nazwę wyświetlaną szablonu na coś rozpoznawalnego. Na przykład uwierzytelnianie programu DPM. Upewnij się, że ustawienie Publikuj certyfikat w usłudze Active Directory jest włączone.

  4. Na karcie Obsługa żądań upewnij się, że włączono opcję Zezwalaj na eksportowanie klucza prywatnego.

  5. Po utworzeniu szablonu udostępnij go do użycia. Otwórz przystawkę Urząd certyfikacji. Kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, wybierz pozycję Nowy, a następnie wybierz pozycję Szablon certyfikatu do wystawienia. W obszarze Włącz szablon certyfikatu wybierz szablon i wybierz przycisk OK. Teraz szablon będzie dostępny podczas uzyskiwania certyfikatu.

Włączanie rejestracji lub automatycznej rejestracji

Jeśli chcesz opcjonalnie skonfigurować szablon na potrzeby rejestracji lub automatycznej rejestracji, wybierz kartę Nazwa podmiotu we właściwościach szablonu. Podczas konfigurowania rejestracji można wybrać szablon w programie MMC. Jeśli skonfigurujesz automatyczną rejestrację, certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • W przypadku rejestracji na karcie Nazwa podmiotu właściwości szablonu włącz opcję Wybierz kompilację z tych informacji usługi Active Directory. W obszarze Format nazwy podmiotu wybierz pozycję Nazwa pospolita i włącz nazwę DNS. Następnie przejdź do karty Zabezpieczenia i przypisz uprawnienie Rejestracja do uwierzytelnionych użytkowników.

  • W przypadku autorejestrowania przejdź do karty Zabezpieczenia i przypisz uprawnienie Autorejestrowanie do uwierzytelnionych użytkowników. Po włączeniu tego ustawienia certyfikat zostanie automatycznie przypisany do wszystkich komputerów w domenie.

  • Jeśli skonfigurowano rejestrację, będzie można zażądać nowego certyfikatu w programie MMC na podstawie szablonu. W tym celu na komputerze chronionym w obszarze Certyfikaty (komputer lokalny)>Osobiste kliknij prawym przyciskiem myszy pozycję Certyfikaty. Wybierz pozycję Wszystkie zadania>żądają nowego certyfikatu. Na stronie Wybieranie zasad rejestracji certyfikatów kreatora wybierz pozycję Zasady rejestracji usługi Active Directory. W obszarze Żądanie certyfikatów zobaczysz szablon. Rozwiń węzeł Szczegóły i wybierz pozycję Właściwości. Wybierz kartę Ogólne i podaj przyjazną nazwę. Po zastosowaniu ustawień powinien zostać wyświetlony komunikat o pomyślnym zainstalowaniu certyfikatu.

Konfigurowanie certyfikatu na serwerze programu DPM

  1. Wygeneruj certyfikat z urzędu certyfikacji dla serwera programu DPM za pośrednictwem rejestracji internetowej lub innej metody. W rejestracji internetowej wybierz wymagany zaawansowany certyfikat i Utwórz i Prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza ma wartość 1024 lub wyższą i że wybrano opcję Oznacz klucz jako możliwy do wyeksportowania .

  2. Certyfikat jest umieszczany w magazynie użytkownika. Należy przenieść go do magazynu komputerów lokalnych.

  3. W tym celu wyeksportuj certyfikat z magazynu użytkownika. Upewnij się, że eksportujesz go przy użyciu klucza prywatnego. Można go wyeksportować w domyślnym formacie pfx. Określ hasło do eksportu.

  4. W folderze Komputer lokalny\Osobisty\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z zapisanej lokalizacji. Określ hasło użyte do wyeksportowania i upewnij się, że wybrano opcję Oznacz ten klucz jako możliwy do wyeksportowania . Na stronie Magazyn certyfikatów pozostaw ustawienie domyślne Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że zostanie wyświetlone ustawienie Osobiste .

  5. Po zaimportowaniu ustaw poświadczenia programu DPM tak, aby używały certyfikatu w następujący sposób:

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Wybierz go, a następnie wyróżnij i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Uruchom polecenie Set-DPMCredentials , aby skonfigurować serwer programu DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type — wskazuje typ uwierzytelniania. Wartość: certyfikat.

    • -Action — określ, czy chcesz wykonać polecenie po raz pierwszy, czy ponownie wygenerować poświadczenia. Możliwe wartości: ponowne generowanie lub konfigurowanie.

    • -OutputFilePath — lokalizacja pliku wyjściowego używanego na serwerze Set-DPMServer na komputerze chronionym.

    • -Thumbprint — skopiuj z pliku Notatnika.

    • -AuthCAThumbprint — odcisk palca urzędu certyfikacji w łańcuchu zaufania certyfikatu. Opcjonalny. Jeśli nie zostanie określony, zostanie użyty katalog główny.

  6. Spowoduje to wygenerowanie pliku metadanych (.bin), który jest wymagany w momencie instalacji każdego agenta w niezaufanej domenie. Przed uruchomieniem polecenia upewnij się, że folder C:\Temp istnieje.

    Uwaga

    Jeśli plik zostanie utracony lub usunięty, możesz go ponownie utworzyć, uruchamiając skrypt z opcją -action regenerate .

  7. Pobierz plik .bin i skopiuj go do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin na komputerze, który chcesz chronić. Nie musisz tego robić, ale jeśli nie musisz określać pełnej ścieżki pliku dla parametru -DPMcredential, gdy

  8. Powtórz te kroki na każdym serwerze PROGRAMU DPM, który będzie chronić komputer w grupie roboczej lub w niezaufanej domenie.

Instalowanie agenta

  1. Na każdym komputerze, który chcesz chronić, uruchom DPMAgentInstaller_X64.exe z dysku CD instalacji programu DPM, aby zainstalować agenta.

Konfigurowanie certyfikatu na komputerze chronionym

  1. Wygeneruj certyfikat z urzędu certyfikacji dla chronionego komputera za pośrednictwem rejestracji internetowej lub innej metody. W rejestracji internetowej wybierz wymagany zaawansowany certyfikat i Utwórz i Prześlij żądanie do tego urzędu certyfikacji. Upewnij się, że rozmiar klucza ma wartość 1024 lub wyższą i że wybrano opcję Oznacz klucz jako możliwy do wyeksportowania .

  2. Certyfikat jest umieszczany w magazynie użytkownika. Należy przenieść go do magazynu komputerów lokalnych.

  3. W tym celu wyeksportuj certyfikat z magazynu użytkownika. Upewnij się, że eksportujesz go przy użyciu klucza prywatnego. Można go wyeksportować w domyślnym formacie pfx. Określ hasło do eksportu.

  4. W folderze Komputer lokalny\Osobisty\Certyfikat uruchom Kreatora importu certyfikatów, aby zaimportować wyeksportowany plik z zapisanej lokalizacji. Określ hasło użyte do wyeksportowania i upewnij się, że wybrano opcję Oznacz ten klucz jako możliwy do wyeksportowania . Na stronie Magazyn certyfikatów pozostaw ustawienie domyślne Umieść wszystkie certyfikaty w następującym magazynie i upewnij się, że zostanie wyświetlone ustawienie Osobiste .

  5. Po zaimportowaniu skonfiguruj komputer do rozpoznawania serwera PROGRAMU DPM jako autoryzowanego do wykonywania kopii zapasowych w następujący sposób:

    1. Uzyskaj odcisk palca certyfikatu. W magazynie Certyfikaty kliknij dwukrotnie certyfikat. Wybierz kartę Szczegóły i przewiń w dół do odcisku palca. Zaznacz ją i wyróżnij i skopiuj. Wklej odcisk palca do Notatnika i usuń wszystkie spacje.

    2. Przejdź do folderu C:\Program files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver w następujący sposób:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Gdzie clientThumbprintWithNoSpaces jest kopiowany z pliku Notatnika.

    3. Powinny zostać wyświetlone dane wyjściowe, aby potwierdzić, że konfiguracja została ukończona pomyślnie.

  6. Pobierz plik .bin i skopiuj go na serwer programu DPM. Zalecamy skopiowanie go do domyślnej lokalizacji, w której proces dołączania sprawdzi plik (Windows\System32), aby po prostu określić nazwę pliku zamiast pełnej ścieżki po uruchomieniu polecenia Dołącz.

Dołączanie komputera

Komputer jest dołączany do serwera programu DPM przy użyciu skryptu Attach-ProductionServerWithCertificate.ps1 programu PowerShell przy użyciu składni .

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Nazwa serwera DPM

  • PSCredential-Name pliku .bin. Jeśli umieścisz go w folderze Windows\System32, możesz określić tylko nazwę pliku. Upewnij się, że określono plik .bin utworzony na serwerze chronionym. Jeśli określisz plik .bin utworzony na serwerze programu DPM, usuniesz wszystkie chronione komputery skonfigurowane do uwierzytelniania opartego na certyfikatach.

Po zakończeniu procesu dołączania komputer chroniony powinien pojawić się w konsoli programu DPM.

Przykłady

Przykład 1

Generuje plik z c:\\CertMetaData\\ nazwą CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Gdzie dpmserver.contoso.com jest nazwą serwera DPM, a "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" to odcisk palca certyfikatu serwera programu DPM.

Przykład 2

Ponowne generowanie utraconego pliku konfiguracji w folderze c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Przełączanie między uwierzytelnianiem NTLM i certyfikatem

Uwaga

  • Następujące obciążenia klastrowane obsługują uwierzytelnianie certyfikatów tylko w przypadku wdrożenia w niezaufanej domenie:
    • Klastrowany serwer plików
    • Klasterowany serwer SQL
    • Klaster Hyper-V
  • Jeśli agent programu DPM jest obecnie skonfigurowany do używania protokołu NTLM w klastrze lub został pierwotnie skonfigurowany do używania protokołu NTLM, ale później przełączony do uwierzytelniania certyfikatu bez uprzedniego usunięcia agenta programu DPM, wyliczenie klastra nie pokaże żadnych zasobów do ochrony.

Aby przełączyć się z uwierzytelniania NTLM na uwierzytelnianie certyfikatu, wykonaj następujące kroki, aby ponownie skonfigurować agenta programu DPM:

  1. Na serwerze programu DPM usuń wszystkie węzły klastra przy użyciu skryptu Remove-ProductionServer.ps1 programu PowerShell.
  2. Odinstaluj agenta programu DPM na wszystkich węzłach i usuń folder agenta z katalogu C:\Program Files\Microsoft Data Protection Manager.
  3. Wykonaj kroki opisane w artykule Tworzenie kopii zapasowej przy użyciu uwierzytelniania certyfikatu.
  4. Po wdrożeniu i skonfigurowaniu agentów na potrzeby uwierzytelniania certyfikatów sprawdź, czy odświeżanie agenta działa, i prawidłowo wyświetla (niezaufane — certyfikaty) dla każdego węzła.
  5. Odśwież węzły/klaster, aby uzyskać listę źródeł danych do ochrony; ponów próbę ochrony zasobów klastrowanych.
  6. Dodaj obciążenie, aby chronić i zakończyć pracę Kreatora grupy ochrony.