Preparar computadores em grupos de trabalho e domínios não confiáveis para backup

  • Artigo

Importante

Esta versão do DPM (Data Protection Manager) chegou ao fim do suporte. Recomendamos que você atualize para o DPM 2022.

O System Center Data Protection Manager (DPM) pode proteger os computadores que estão em grupos de trabalho ou domínios não confiáveis. Você pode autenticar esses computadores usando uma conta de usuário local (autenticação NTLM) ou usando certificados. Em ambos os tipos de autenticação, você precisará preparar a infraestrutura antes de configurar um grupo de proteção que contenha as fontes das quais você deseja fazer backup.

  1. Instalar um certificado – se você quiser usar a autenticação de certificado, instale um certificado no servidor DPM e no computador que deseja proteger.

  2. Instalar o agente – instale o agente no computador que você deseja proteger.

  3. Reconhecer o servidor DPM – configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  4. Anexar o computador – por fim, você precisará anexar o computador protegido ao servidor DPM.

Antes de começar

Antes de iniciar, verifique os cenários de proteção com suporte e as configurações de rede necessárias.

Cenários com suporte

Tipo de carga de trabalho Estado e suporte do servidor protegido
Arquivos Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Estado do Sistema Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação NTLM
SQL Server Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

O espelhamento não é suportado.

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Servidor Hyper-V Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

NTLM e autenticação do certificado
Cluster Hyper-V Grupo de trabalho: Sem suporte

Domínio não confiável: com suporte (somente autenticação de certificado)
Exchange Server Grupo de trabalho: Não aplicável

Domínio não confiável: com suporte apenas para um único servidor. O cluster não tem suporte. DAG CCR, SCR não têm suporte. LCR com suporte.

Somente autenticação NTLM
Servidor DPM secundário (para backup do servidor DPM primário)

Observe que os servidores DPM primários e secundários estão no mesmo domínio confiável transitivo de floresta bidirecional.		 Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação de certificado
SharePoint Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Computadores cliente Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Recuperação bare-metal (BMR) Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Recuperação do usuário final Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte

Configurações de rede

Configurações Computador em um grupo de trabalho ou domínio não confiável
Dados de controle Protocolo: DCOM

Porta padrão: 135

Autenticação: NTLM/certificado
Transferência de arquivos Protocolo: Winsock

Porta padrão: 5718 e 5719

Autenticação: NTLM/certificado
Requisitos de conta do DPM Conta local sem direitos de administrador no servidor DPM. Usa comunicação NTLM v2
Requisitos de certificado
Instalação do agente Agente instalado no computador protegido
Rede de perímetro A proteção de rede de perímetro não tem suporte.
IPSEC Verifique se o IPsec não bloqueia as comunicações.

Fazer backup usando a autenticação NTLM

Veja o que será necessário fazer:

  1. Instalar o agente – Instale o agente no computador que deseja proteger.

  2. Configurar o agente – Configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  3. Anexar o computador – Por fim, você precisará anexar o computador protegido ao servidor DPM.

Instalar e configurar o agente

  1. No computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

  2. Configure o agente executando SetDpmServer da seguinte maneira:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Especifique os parâmetros da seguinte forma:

    • -DpmServerName - Especifique o nome do servidor DPM. Use um FQDN se o servidor e o computador estiverem acessíveis uns aos outros usando FQDNs ou um nome NETBIOS.

    • -IsNonDomainServer - Use para indicar que o servidor está em um grupo de trabalho ou domínio não confiável em relação ao computador que você deseja proteger. As exceções de firewall são criadas para as portas necessárias.

    • -UserName - Especifique o nome da conta que você deseja usar para autenticação NTLM. Para usar essa opção, você deve ter o sinalizador -isNonDomainServer especificado. Uma conta de usuário local será criada e o agente de proteção do DPM será configurado para usar esta conta para autenticação.

    • -ProductionServerDnsSuffix - Use essa opção se o servidor tiver vários sufixos DNS configurados. Essa opção representa o sufixo DNS que o servidor usa para se conectar ao computador que você está protegendo.

  4. Quando o comando for concluído com êxito, abra o console do DPM.

Atualizar a senha

Se a qualquer momento você desejar atualizar a senha das credenciais do NTLM, execute o seguinte no computador protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Você precisará usar a mesma convenção de nomenclatura (FQDN ou NETBIOS) usada quando configurou a proteção. No servidor DPM, você precisará executar o cmdlet Update -NonDomainServerInfo do PowerShell. Em seguida, será necessário atualizar as informações do agente no computador protegido.

Exemplo de NetBIOS: computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemplo de FQDN: Computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar o computador

  1. No console do DPM, execute o Assistente de Instalação do Agente de Proteção.

  2. Em Selecionar método de implantação do agente, selecione Anexar agentes.

  3. Insira o nome do computador, o nome de usuário e a senha do computador ao qual você deseja anexar. Eles devem ser as credenciais especificadas quando você instalou o agente.

  4. Examine a página Resumo e selecione Anexar.

Opcionalmente, você pode executar o comando Attach-NonDomainServer.ps1 do Windows PowerShell em vez de executar o assistente. Para fazer isso, veja o exemplo na próxima seção.

Exemplos

Exemplo 1

Exemplo para configurar um computador de grupo de trabalho após a instalação do agente:

  1. No computador, execute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Como os computadores do grupo de trabalho são geralmente acessíveis apenas usando o nome NetBIOS, o valor de DPMServerName deve ser o nome NetBIOS.

Exemplo 2

Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS conflitantes após a instalação do agente.

  1. No computador do grupo de trabalho, execute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Fazer backup usando a autenticação de certificado

Veja como configurar a proteção com autenticação de certificado.

  • Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.

  • O certificado usado para autenticação deve estar de acordo com o seguinte:

    • Certificado X.509 V3.

    • O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.

    • O comprimento da chave deve ser de, pelo menos, 1024 bits.

    • O tipo de chave deve ser exchange.

    • O nome da entidade do certificado e o certificado raiz não devem estar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM

    • O certificado deve ter uma chave privada associada.

    • O DPM não dá suporte a certificados com chaves CNG.

    • O DPM não dá suporte a certificados autoassinados.

  • Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM

  3. Instalar o agente

  4. Configurar um certificado no computador protegido

  5. Conectar o computador

Criar um modelo de certificado do DPM

Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:

  1. No snap-in MMC modelos de certificado , você pode selecionar o modelo RAS e Servidor IAS . Clique com botão direito e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.

  3. Na guia geral , altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação do DPM. Verifique se a configuração Publicar certificado no Active Directory está habilitada.

  4. Na guia Tratamento de Solicitações , verifique se Permitir que a chave privada seja exportada está habilitada.

  5. Depois de criar o modelo, disponibilize-o para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novoe Modelo de Certificado a Ser Emitido. Em Habilitar Modelo de Certificado, selecione o modelo e selecione OK. Agora o modelo estará disponível quando você obtiver um certificado.

Habilitar o registro ou registro automático

Se você quiser, opcionalmente, configurar o modelo para registro ou registro automático, selecione a guia Nome da Entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se você configurar o registro automático, o certificado será atribuído automaticamente a todos os computadores no domínio.

  • Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome da entidade, selecione Nome Comum e habilite o nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.

  • Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores no domínio.

  • Se você tiver configurado o registro, poderá solicitar um novo certificado no MMC com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com botão direito do mouse em Certificados. Select Todas as Tarefas>Solicitar Novo Certificado. Na página Selecionar Política de Registro de Certificado do assistente, selecione Política de Registro do Active Directory. Em Solicitar Certificados, você verá o modelo. Expanda Detalhes e selecione Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deverá receber uma mensagem informando que o certificado foi instalado com êxito.

Configure a certificate on the DPM server

  1. Gere um certificado de uma AC para o servidor DPM por meio do registro da Web ou de algum outro método. No registro na Web, selecione certificado avançado necessário e Criar e Enviar uma solicitação para essa AC. Verifique se o tamanho da chave é 1024 ou superior e se Marcar chave como exportável está selecionado.

  2. O certificado é colocado no repositório de usuários. Você precisa movê-lo para o repositório do Computador Local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificados para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e verifique se Marcar essa chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e verifique se Pessoal é exibido.

  5. Após a importação, defina as credenciais do DPM para usar o certificado da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório certificados , clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o e, em seguida, realce-o e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Execute o Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - Indica o tipo de autenticação. Valor: certificado.

    • -Action - Especifique se deseja executar o comando pela primeira vez ou regenerar as credenciais. Valores possíveis: regenerar ou configurar.

    • -OutputFilePath – local do arquivo de saída usado em Set-DPMServer no computador protegido.

    • -Thumbprint - Copiar do arquivo do Bloco de Notas.

    • -AuthCAThumbprint - Impressão digital da AC na cadeia de confiança do certificado. Opcional. Se não for especificado, será usado Raiz.

  6. Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Verifique se a pasta C:\Temp existe antes de executar o comando.

    Observação

    Se o arquivo for perdido ou excluído, você poderá recriá-lo executando o script com a opção -action regenerar .

  7. Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se não o fizer, precisará especificar o caminho completo do arquivo para o parâmetro -DPMcredential quando você

  8. Repetir essas etapas em cada servidor DPM que protegerá um computador em um grupo de trabalho ou em um domínio não confiável.

Instalar o agente

  1. Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

Configurar um certificado no computador protegido

  1. Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione certificado avançado necessário e Criar e Enviar uma solicitação para essa AC. Verifique se o tamanho da chave é 1024 ou superior e se Marcar chave como exportável está selecionado.

  2. O certificado é colocado no repositório de usuários. Você precisa movê-lo para o repositório do Computador Local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificados para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e verifique se Marcar essa chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguir e verifique se Pessoal é exibido.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizado a executar backups da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório certificados , clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o e realce-o e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Navegue até a pasta C:\Program files\Microsoft Data Protection Manager\DPM\bin e execute setdpmserver da seguinte maneira:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.

    3. Você deve obter a saída para confirmar se a configuração foi concluída com êxito.

  6. Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você o copie para o local padrão no qual o processo de anexação marcar para o arquivo (Windows\System32) para que você possa apenas especificar o nome do arquivo em vez do caminho completo ao executar o comando Anexar.

Conectar o computador

Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – Nome do servidor DPM

  • PSCredential – Nome do arquivo .bin. Se você o colocou na pasta Windows\System32, poderá especificar apenas o nome do arquivo. Especifique o arquivo .bin criado no servidor protegido. Se você especificar o arquivo .bin criado no servidor DPM, removerá todos os computadores protegidos configurados para autenticação baseada em certificado.

Depois que o processo de anexação for concluído, o computador protegido deverá aparecer no console do DPM.

Exemplos

Exemplo 1

Gera um arquivo em c:\\CertMetaData\\ com o nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Onde dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é a impressão digital do certificado do servidor DPM.

Exemplo 2

Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Alternar entre o NTLM e a autenticação de certificado

Observação

  • As seguintes cargas de trabalho clusterizadas só têm suporte na autenticação de certificado quando implantadas em um domínio não falso:
    • Servidor de arquivos clusterizado
    • SQL Server clusterizado
    • Cluster Hyper-V
  • Se o agente do DPM estiver atualmente configurado para usar o NTLM em um cluster ou tiver sido originalmente configurado para usar o NTLM, mas posteriormente alternado para Autenticação de certificado sem primeiro remover o agente DPM, a enumeração do cluster não mostrará nenhum recurso a ser protegido.

Para alternar da autenticação NTLM para a autenticação de certificado, use as seguintes etapas para reconfigurar o agente do DPM:

  1. No servidor DPM, remova todos os nós do cluster usando o Remove-ProductionServer.ps1 script do PowerShell.
  2. Desinstale o agente do DPM em todos os nós e exclua a pasta do agente de C:\Arquivos de Programas\Microsoft Data Protection Manager.
  3. Siga as etapas em fazer o back-up usando a autenticação de certificado.
  4. Depois que os agentes forem implantados e configurados para autenticação de certificado, verifique se a atualização do agente funciona e se ela mostra corretamente (não confiável – Certificados) para cada um dos nós.
  5. Atualize os nós/cluster para obter uma lista de fontes de dados a serem protegidas; tente proteger novamente os recursos clusterizados.
  6. Adicione a carga de trabalho para proteger e concluir o assistente de grupo de proteção.