Preparar computadores em grupos de trabalho e domínios não confiáveis para backup

Importante

Esta versão do DPM (Data Protection Manager) chegou ao fim do suporte, recomendamos que você atualize para o DPM 2022.

O System Center Data Protection Manager (DPM) pode proteger os computadores que estão em grupos de trabalho ou domínios não confiáveis. Você pode autenticar esses computadores usando uma conta de usuário local (autenticação NTLM) ou certificados. Em ambos os tipos de autenticação, você precisará preparar a infraestrutura antes de configurar um grupo de proteção que contenha as fontes das quais você deseja fazer backup.

  1. Instalar um certificado – Se você quiser usar a autenticação de certificado, instale um certificado no servidor DPM e no computador que deseja proteger.

  2. Instalar o agente – Instale o agente no computador que deseja proteger.

  3. Reconhecer o servidor DPM – Configure o computador para reconhecer o servidor DPM para fazer backups. Para fazer isso, você executará o comando SetDPMServer.

  4. Anexar o computador – Por fim, você precisará anexar o computador protegido ao servidor DPM.

Antes de começar

Antes de iniciar, verifique os cenários de proteção com suporte e as configurações de rede necessárias.

Cenários com suporte

Tipo de carga de trabalho Estado e suporte do servidor protegido
Arquivos Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Estado do Sistema Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação NTLM
SQL Server Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

O espelhamento não é suportado.

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Servidor Hyper-V Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

NTLM e autenticação do certificado
Cluster Hyper-V Grupo de trabalho: Sem suporte

Domínio não confiável: com suporte (apenas autenticação de certificado)
Exchange Server Grupo de trabalho: Não aplicável

Domínio não confiável: com suporte apenas para um único servidor. O cluster não tem suporte. DAG CCR, SCR não têm suporte. LCR com suporte.

Somente autenticação NTLM
Servidor DPM secundário (para backup do servidor DPM primário)

Observação: os servidores DPM primário e secundário devem estar no mesmo domínio confiável transitivo de floresta ou em dois sentidos.
Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação de certificado
SharePoint Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Computadores cliente Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Recuperação bare-metal (BMR) Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Recuperação do usuário final Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte

Configurações de rede

Configurações Computador em um grupo de trabalho ou domínio não confiável
Dados de controle Protocolo: DCOM

Porta padrão: 135

Autenticação: NTLM/certificado
Transferência de arquivos Protocolo: Winsock

Porta padrão: 5718 e 5719

Autenticação: NTLM/certificado
Requisitos de conta do DPM Conta local sem direitos de administrador no servidor DPM. Usa comunicação NTLM v2
Requisitos de certificado
Instalação do agente Agente instalado no computador protegido
Rede de perímetro A proteção de rede de perímetro não tem suporte.
IPSEC Verifique se o IPsec não bloqueia as comunicações.

Fazer backup usando a autenticação NTLM

Veja o que será necessário fazer:

  1. Instalar o agente – Instale o agente no computador que deseja proteger.

  2. Configurar o agente – Configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  3. Anexar o computador – Por fim, você precisará anexar o computador protegido ao servidor DPM.

Instalar e configurar o agente

  1. No computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

  2. Configure o agente executando SetDpmServer da seguinte maneira:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Especifique os parâmetros da seguinte forma:

    • -DpmServerName – Especifique o nome do servidor DPM. Use um FQDN se o servidor e o computador estiverem acessíveis entre si usando FQDNs ou um nome NETBIOS.

    • -IsNonDomainServer – Use para indicar que o servidor está em um grupo de trabalho ou domínio não confiável em relação ao computador que você deseja proteger. As exceções de firewall são criadas para as portas necessárias.

    • -UserName – Especifique o nome da conta que deseja usar para a autenticação NTLM. Para usar esta opção, você deve especificar o sinalizador -isNonDomainServer. Uma conta de usuário local será criada e o agente de proteção do DPM será configurado para usar esta conta para autenticação.

    • -ProductionServerDnsSuffix – Use esta opção se o servidor tiver vários sufixos DNS configurados. Essa opção representa o sufixo DNS que o servidor usa para se conectar ao computador que você está protegendo.

  4. Quando o comando for concluído com êxito, abra o console do DPM.

Atualizar a senha

Se a qualquer momento você desejar atualizar a senha das credenciais do NTLM, execute o seguinte no computador protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Você precisará usar a mesma convenção de nomenclatura (FQDN ou NETBIOS) que utilizou ao configurar a proteção. No servidor DPM, você precisará executar o cmdlet Update -NonDomainServerInfo do PowerShell. Em seguida, será necessário atualizar as informações do agente no computador protegido.

Exemplo de NetBIOS: computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemplo de FQDN: Computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar o computador

  1. No console do DPM, execute o Assistente de Instalação do Agente de Proteção.

  2. Em Selecionar método de implantação do agente, selecione Anexar agentes.

  3. Digite o nome do computador, o nome de usuário e a senha para o computador que deseja anexar. Eles devem ser as credenciais especificadas quando você instalou o agente.

  4. Na página Resumo , clique em Conectar.

Opcionalmente, você pode executar o comando Attach-NonDomainServer.ps1 do Windows PowerShell em vez de executar o assistente. Para fazer isso, veja o exemplo na próxima seção.

Exemplos

Exemplo 1

Exemplo para configurar um computador de grupo de trabalho após a instalação do agente:

  1. No computador, execute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Como os computadores do grupo de trabalho são geralmente acessíveis apenas usando o nome NetBIOS, o valor de DPMServerName deve ser o nome NetBIOS.

Exemplo 2

Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS conflitantes após a instalação do agente.

  1. No computador do grupo de trabalho, execute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Fazer backup usando a autenticação de certificado

Veja como configurar a proteção com autenticação de certificado.

  • Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.

  • O certificado usado para autenticação deve estar de acordo com o seguinte:

    • Certificado X.509 V3

    • O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.

    • O comprimento da chave deve ser de, pelo menos, 1024 bits.

    • O tipo de chave deve ser exchange.

    • O nome da entidade do certificado e o certificado raiz não devem ficar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM

    • O certificado deve ter associado a chave privada

    • O DPM não dá suporte a certificados com chaves CNG

    • O DPM não dá suporte a certificados autoassinados.

  • Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM.

  3. Instalar o agente

  4. Configurar um certificado no computador protegido

  5. Conectar o computador

Criar um modelo de certificado do DPM

Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:

  1. No snap-in Modelos de Certificados do MMC, é possível selecionar o modelo Servidores RAS e IAS . Clique com botão direito e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.

  3. Na guia geral , altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação DPM. Verifique se a configuração Publicar o certificado no Active Directory está habilitada.

  4. Na guia Tratamento de Solicitação , verifique se a opção Permitir que a chave privada seja exportada está habilitada.

  5. Após criar o modelo, torne-o disponível para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novoe Modelo de Certificado a Ser Emitido. Em Habilitar Modelos de Certificados , selecione o modelo e clique em OK. Agora o modelo estará disponível quando você obtiver um certificado.

Habilitar o registro ou registro automático

Se desejar configurar opcionalmente o modelo para registro ou registro automático, clique na guia Nome da Entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se configurar o registro automático, o certificado é automaticamente atribuído a todos os computadores no domínio.

  • Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome de requerente , selecione Nome Comum e habilite Nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.

  • Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores no domínio.

  • Se tiver configurado o registro, você poderá solicitar um novo certificado no MMC com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com botão direito do mouse em Certificados. Select Todas as Tarefas>Solicitar Novo Certificado. Na página Selecionar Diretiva de Registro de Certificado do assistente, selecione Diretiva de Registro do Active Directory. Em Solicitar Certificados, você verá o modelo. Expanda Detalhes e clique em Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deve receber uma mensagem informando que o certificado foi instalado com êxito.

Configure a certificate on the DPM server

  1. Gere um certificado de uma AC para o servidor DPM por meio de registro na Web ou de qualquer outro método. No registro na Web, selecione Certificado avançado necessárioe Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.

  2. O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguire certifique-se de Pessoal é exibido.

  5. Após a importação, defina as credenciais do DPM para usar o certificado, da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório de Certificados , clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Execute o Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type – Indica o tipo de autenticação. Valor: certificado.

    • -Action – Especifique se deseja executar o comando pela primeira vez ou gerar as credenciais novamente. Valores possíveis: regenerar ou configurar.

    • -OutputFilePath – localização do arquivo de saída usado em Set-DPMServer no computador protegido.

    • -Thumbprint – Cópia do arquivo do Bloco de notas.

    • -AuthCAThumbprint – Impressão digital da AC na cadeia confiável do certificado. Opcional. Se não for especificado, será usado Raiz.

  6. Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Verifique se há uma pasta C:\Temp antes de executar o comando. Observe que, se o arquivo for perdido ou excluído, você poderá recriá-lo executando o script com a opção -action regenerate.

  7. Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se não o fizer, precisará especificar o caminho completo do arquivo para o parâmetro -DPMcredential quando você

  8. Repetir essas etapas em cada servidor DPM que protegerá um computador em um grupo de trabalho ou em um domínio não confiável.

Instalar o agente

  1. Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

Configurar um certificado no computador protegido

  1. Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione Certificado avançado necessárioe Criar e enviar uma solicitação para a autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e que Marcar chaves como exportáveis está selecionado.

  2. O certificado é colocado no repositório de usuários. Precisamos movê-lo para o repositório do computador local.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Verifique se é exportado com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado do local salvo. Especifique a senha usada para exportá-lo e verifique se a opção Marcar esta chave como exportável está selecionada. Na página Repositório de Certificados, deixe a configuração padrão Colocar todos os certificados no repositório a seguire certifique-se de Pessoal é exibido.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizados a executar backups, da seguinte maneira

    1. Obtenha a impressão digital do certificado. No repositório de Certificados , clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Clique nela, realce e copie-a. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Navegue até a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin. E execute o setdpmserver da seguinte maneira:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.

    3. Você deve obter a saída para confirmar que a configuração foi concluída com êxito.

  6. Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você copie o arquivo para o local padrão, onde o processo de conexão procurará o arquivo (Windows\System32) para que você pode especificar apenas o nome do arquivo em vez do caminho completo quando você executar o comando Attach.

Conectar o computador

Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName – Nome do servidor DPM

  • PSCredential – Nome do arquivo .bin. Se você colocou na pasta Windows\System32, você pode especificar apenas o nome do arquivo. Tenha cuidado para especificar o arquivo .bin criado no servidor protegido. Se especificar o arquivo .bin criado no servidor DPM, você removerá todos os computadores protegidos que estão configurados para autenticação baseada em certificado.

Após concluir o processo de conexão, o computador protegido deve aparecer no console do DPM.

Exemplos

Exemplo 1

Gera um arquivo em c:\\CertMetaData\\ com o nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Em que dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é a impressão digital do certificado do servidor DPM.

Exemplo 2

Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Alternar entre o NTLM e a autenticação de certificado

Observação

  • As seguintes cargas de trabalho clusterizadas só têm suporte na autenticação de certificado quando implantadas em um domínio não falso:
    • Servidor de arquivos clusterizado
    • SQL Server clusterizado
    • Cluster Hyper-V
  • Se o agente do DPM estiver configurado para usar o NTLM em um cluster ou tiver sido originalmente configurado para usar o NTLM, mas posteriormente alternado para autenticação de certificado sem primeiro remover o agente do DPM, a enumeração do cluster não mostrará nenhum recurso a ser protegido.

Para alternar da autenticação NTLM para a autenticação de certificado, use as seguintes etapas para reconfigurar o agente do DPM:

  1. No servidor DPM, remova todos os nós do cluster usando o script Remove-ProductionServer.ps1 do PowerShell.
  2. Desinstale o agente do DPM em todos os nós e exclua a pasta do agente de C:\Arquivos de Programas\Microsoft Data Protection Manager.
  3. Siga as etapas em fazer o back-up usando a autenticação de certificado.
  4. Depois que os agentes são implantados e configurados para autenticação de certificado, verifique se a atualização do agente funciona e se ela mostra corretamente (certificados não confirmados) para cada um dos nós.
  5. Atualize os nós/cluster para obter uma lista de fontes de dados a proteger e tente proteger novamente os recursos clusterizados.
  6. Adicione a carga de trabalho para proteger e concluir o assistente de grupo de proteção.