Preparar computadores em grupos de trabalho e domínios não fidedignos para cópia de segurança

  • Artigo

Importante

Esta versão do Data Protection Manager (DPM) chegou ao fim do suporte. Recomendamos que atualize para o DPM 2022.

O System Center Data Protection Manager (DPM) pode proteger computadores que estejam em domínios ou grupos de trabalho não fidedignos. Pode autenticar estes computadores com uma conta de utilizador local (autenticação NTLM) ou com certificados. Para ambos os tipos de autenticação, terá de preparar a infraestrutura antes de poder configurar um grupo de proteção que contenha as origens que pretende criar uma cópia de segurança.

  1. Instalar um certificado – se quiser utilizar a autenticação de certificados, instale um certificado no servidor DPM e no computador que pretende proteger.

  2. Instalar o agente – instale o agente no computador que pretende proteger.

  3. Reconhecer o servidor DPM – configure o computador para reconhecer o servidor DPM para efetuar cópias de segurança. Para tal, irá executar o comando SetDPMServer.

  4. Anexe o computador - Por último, terá de anexar o computador protegido ao servidor DPM.

Antes de começar

Antes de começar, verifique os cenários de proteção suportados e as definições de rede necessárias.

Cenários suportados

Tipo de Carga de Trabalho Estado e Suporte do Servidor Protegido
Ficheiros Grupo de Trabalho: Suportado

Domínio Não Fidedigno: Suportado

Autenticação NTLM e de certificados para um único servidor. Autenticação de certificados apenas para cluster.
Estado do Sistema Grupo de Trabalho: Suportado

Domínio Não Fidedigno: Suportado

Apenas autenticação NTLM
SQL Server Grupo de Trabalho: Suportado

Domínio Não Fidedigno: Suportado

Espelhamento não suportado.

Autenticação NTLM e de certificados para um único servidor. Autenticação de certificados apenas para cluster.
Servidor Hyper-V Grupo de Trabalho: Suportado

Domínio Não Fidedigno: Suportado

Autenticação NTLM e de certificados
Cluster Hyper-V Grupo de Trabalho: Não suportado

Domínio Não Fidedigno: suportado (apenas autenticação de certificados)
Exchange Server Grupo de Trabalho: Não aplicável

Domínio Não Fidedigno: suportado apenas para servidor único. Cluster não suportado. CCR, SCR, DAG não suportados. LCR suportada.

Apenas autenticação NTLM
Servidor DPM secundário (para cópia de segurança do servidor DPM primário)

Tenha em atenção que os Servidores DPM Primários e Secundários estão no mesmo domínio fidedigno de floresta bidirecional ou bidirecional.		 Grupo de Trabalho: Suportado

Domínio Não Fidedigno: Suportado

Apenas autenticação de certificados
SharePoint Grupo de Trabalho: Não suportado

Domínio Não Fidedigno: Não suportado
Computadores cliente Grupo de Trabalho: Não suportado

Domínio Não Fidedigno: Não suportado
Recuperação bare-metal (BMR) Grupo de Trabalho: Não suportado

Domínio Não Fidedigno: Não suportado
Recuperação pelo utilizador final Grupo de Trabalho: Não suportado

Domínio Não Fidedigno: Não suportado

Definições de rede

Definições Computador em grupo de trabalho ou domínio não fidedigno
Dados de controlo Protocolo: DCOM

Porta predefinida: 135

Autenticação: NTLM/certificados
Transferência de ficheiros Protocolo: Winsock

Porta predefinida: 5718 e 5719

Autenticação: NTLM/certificados
Requisitos da conta do DPM Conta local sem direitos de administrador no servidor do DPM. Utiliza a comunicação por NTLM v2
Requisitos de certificados
Instalação do agente Agente instalado em computador protegido
Rede de perímetro Proteção de rede de perímetro não suportada.
IPSEC Certifique-se de que o IPSEC não bloqueia comunicações.

Fazer uma cópia de segurança com a autenticação NTLM

Eis o que precisa de fazer:

  1. Instale o agente – instale o agente no computador que pretende proteger.

  2. Configure o agente – configure o computador para reconhecer o servidor DPM para a criação de cópias de segurança. Para tal, irá executar o comando SetDPMServer.

  3. Anexe o computador - Por último, terá de anexar o computador protegido ao servidor DPM.

Instalar e configurar o agente

  1. No computador que pretende proteger, execute o DPMAgentInstaller_X64.exe a partir do CD de instalação do DPM para instalar o agente.

  2. Configure o agente executando o SetDpmServer do seguinte modo:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Especifique os parâmetros do seguinte modo:

    • -DpmServerName - Especifique o nome do servidor DPM. Utilize um FQDN se o servidor e o computador estiverem acessíveis entre si com FQDNs ou um nome NETBIOS.

    • -IsNonDomainServer – utilize para indicar que o servidor está num grupo de trabalho ou num domínio não fidedigno em relação ao computador que pretende proteger. As exceções de firewall são criadas para as portas necessárias.

    • -UserName - Especifique o nome da conta que pretende utilizar para autenticação NTLM. Para utilizar esta opção, deve ter o sinalizador -isNonDomainServer especificado. É criada uma conta de utilizador local e o agente de proteção do DPM será configurado para utilizar esta conta para autenticação.

    • -ProductionServerDnsSuffix - utilize este comutador se o servidor tiver vários sufixos DNS configurados. Este parâmetro representa o sufixo DNS que o servidor utiliza para se ligar ao computador que está a proteger.

  4. Quando o comando for concluído com êxito, abra a consola do DPM.

Atualizar a palavra-passe.

Se, a qualquer momento, quiser atualizar a palavra-passe para as credenciais NTLM, faça o seguinte no computador protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Terá de utilizar a mesma convenção de nomenclatura (FQDN ou NETBIOS) que utilizou quando configurou a proteção. No servidor DPM, terá de executar o cmdlet Update -NonDomainServerInfo do PowerShell. De seguida, precisa de atualizar as informações do agente para o computador protegido.

Exemplo de NetBIOS: computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemplo de FQDN: computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Ligar o computador

  1. Na consola do DPM, execute o Assistente de Instalação do Agente de Proteção.

  2. Em Selecionar o método de implementação de agentes, selecione Anexar agentes.

  3. Introduza o nome do computador, o nome de utilizador e a palavra-passe do computador ao qual pretende anexar. Estas devem ser as credenciais que especificou quando instalou o agente.

  4. Reveja a página Resumo e selecione Anexar.

Pode executar de forma opcional o comando Windows PowerShell Attach-NonDomainServer.ps1 em vez de executar o assistente. Para tal, veja o exemplo na secção seguinte.

Exemplos

Exemplo 1

Exemplo para configurar um computador de grupo de trabalho depois do agente ser instalado:

  1. No computador, execute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Como os computadores do grupo de trabalho geralmente são acessíveis apenas com a utilização do nome NetBIOS, o valor para DPMServerName tem de ser o nome NetBIOS.

Exemplo 2

Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS em conflito depois do agente ser instalado.

  1. No computador de grupo de trabalho, execute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Criar uma cópia de segurança utilizando a autenticação de certificados

Eis como configurar proteção com autenticação de certificados.

  • Os computadores que pretende proteger deverão ter, pelo menos, o .NET Framework 3.5 com SP1 instalado.

  • O certificado que utilizar para autenticação tem de estar em conformidade com o seguinte:

    • Certificado X.509 V3.

    • A Utilização de Chave Avançada (EKU) deverá ter uma autenticação de cliente e uma autenticação de servidor.

    • A chave deverá ter um comprimento de, pelo menos, 1024 bits.

    • O tipo de chave deverá ser exchange.

    • O nome do requerente do certificado e o certificado de raiz não devem estar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão disponíveis online e é possível acedê-los através do servidor protegido e do servidor DPM.

    • O certificado deve ter a chave privada associada.

    • O DPM não suporta certificados com Chaves CNG.

    • O DPM não suporta certificados autoassinados.

  • Os computadores que pretende proteger (incluindo as máquinas virtuais) têm de ter o seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM

  3. Instalar o agente

  4. Configurar um certificado num computador protegido

  5. Ligar o computador

Criar um modelo de certificado do DPM

Pode configurar, opcionalmente, um modelo do DPM para inscrição via Web. Se assim o pretender, selecione um modelo que tenha uma Autenticação de Cliente e uma Autenticação de Servidor, conforme o objetivo a que se destina. Por exemplo:

  1. No snap-in MMC dos Modelos de Certificado , pode selecionar o modelo RAS e IAS Server . Clique com o botão direito do rato e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, mantenha a predefinição Windows Server 2003 Enterprise.

  3. No separador Geral, altere o nome a apresentar do modelo para um nome reconhecível. Por exemplo, Autenticação do DPM. Certifique-se de que a definição Publicar certificado no Active Directory está ativada.

  4. No separador Processamento de Pedidos , certifique-se de que a opção Permitir a exportação da chave privada está ativada.

  5. Depois de criar o modelo, disponibilize-o para utilização. Abra o snap-in Autoridade de certificação. Clique com o botão direito do rato em Modelos de Certificados, selecione Novo e selecione Modelo de Certificado a Emitir. Em Ativar Modelo de Certificado, selecione o modelo e selecione OK. Agora, o modelo estará disponível quando obtiver um certificado.

Ativar inscrição ou inscrição automática

Se pretender configurar opcionalmente o modelo para inscrição ou inscrição automática, selecione o separador Nome do Requerente nas propriedades do modelo. Quando configurar a inscrição, o modelo pode ser selecionado no MMC. Se configurar a inscrição automática, o certificado é automaticamente atribuído a todos os computadores no domínio.

  • Para inscrição, no separador Nome do Requerente das propriedades do modelo, ative a opção Selecionar Compilação a partir destas informações do Active Directory. No formato Nome do requerente, selecione Nome Comum e ative o nome DNS. Em seguida, aceda ao separador Segurança e atribua a permissão de Inscrição aos utilizadores autenticados.

  • Para a inscrição automática, aceda ao separador Segurança e atribua a permissão de Inscrição Automática aos utilizadores autenticados. Com esta definição ativada, o certificado será automaticamente atribuído a todos os computadores no domínio.

  • Se tiver configurado a inscrição, poderá pedir um novo certificado na MMC com base no modelo. Para tal, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com o botão direito do rato em Certificados. Selecione Todas as Tarefas>Pedir Novo Certificado. Na página Selecionar Política de Inscrição de Certificados do assistente, selecione Política de Inscrição do Active Directory. Em Pedir Certificados, verá o modelo. Expanda Detalhes e selecione Propriedades. Selecione o separador Geral e dê um nome amigável. Depois de aplicar as definições, deverá receber uma mensagem a informar que o certificado foi instalado com êxito.

Configurar um certificado no servidor DPM

  1. Gerar um certificado a partir de uma AC para o servidor DPM através da inscrição Na Web ou de outro método. Na inscrição na Web, selecione certificado avançado necessário e Criar e Submeter um pedido para esta AC. Certifique-se de que o tamanho da chave é 1024 ou superior e que a opção Marcar chave como exportável está selecionada.

  2. O certificado é colocado no arquivo de Utilizadores. Tem de movê-lo para o arquivo de Computadores Locais.

  3. Para tal, exporte o certificado do Arquivo de utilizadores. Certifique-se de que o exporta com a chave privada. Pode exportá-lo no formato .pfx predefinido. Especifique uma palavra-passe para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificados para importar o ficheiro exportado da localização guardada. Especifique a palavra-passe que utilizou para exportá-la e certifique-se de que a opção Marcar esta chave como exportável está selecionada. Na página Arquivo de Certificados, deixe a predefinição Colocar todos os certificados no seguinte arquivo e certifique-se de que Pessoal é apresentado.

  5. Após a importação, defina as credenciais do DPM para utilizar o certificado da seguinte forma:

    1. Obtenha o thumbprint do certificado. No arquivo Certificados , faça duplo clique no certificado. Selecione o separador Detalhes e desloque-se para baixo até ao thumbprint. Selecione-o e, em seguida, realce e copie-o. Cole o thumbprint no Bloco de Notas e remova todos os espaços.

    2. Execute o Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - Indica o tipo de autenticação. Valor: certificado.

    • -Action - Especifique se pretende executar o comando pela primeira vez ou regenerar as credenciais. Possíveis valores: regenerar ou configurar.

    • -OutputFilePath – localização do ficheiro de saída utilizado no Set-DPMServer no computador protegido.

    • -Thumbprint - Copie a partir do ficheiro do Bloco de Notas.

    • -AuthCAThumbprint - Thumbprint da AC na cadeia de fidedignidade do certificado. Opcional. Se não for especificado, será utilizada a Raiz.

  6. Isto gera um ficheiro de metadados (.bin) que é necessário no momento de instalação dos agentes no domínio não fidedigno. Certifique-se de que a pasta C:\Temp existe antes de executar o comando.

    Nota

    Se o ficheiro for perdido ou eliminado, pode recriá-lo ao executar o script com a opção -action regenerate .

  7. Obtenha o ficheiro .bin e copie-o para a pasta C:\Program Files\Microsoft Data Protection Manager\DPM\bin no computador que pretende proteger. Não é necessário fazer isto, mas se não o fizer terá de especificar o caminho completo do ficheiro para o parâmetro -DPMcredential quando...

  8. Repetir estes passos em todos os servidores DPM que irão proteger um computador num grupo de trabalho ou domínio não fidedigno.

Instalar o agente

  1. Nos computadores que pretende proteger, execute o DPMAgentInstaller_X64.exe a partir do CD de instalação do DPM para instalar o agente.

Configurar um certificado num computador protegido

  1. Gere um certificado a partir de uma AC para o computador protegido, através de inscrição via Web ou de outro método. Na inscrição na Web, selecione certificado avançado necessário e Criar e Submeter um pedido para esta AC. Certifique-se de que o tamanho da chave é 1024 ou superior e de que a opção Marcar chave como exportável está selecionada.

  2. O certificado é colocado no arquivo de Utilizadores. Tem de movê-lo para o arquivo do Computador Local.

  3. Para tal, exporte o certificado do Arquivo de utilizadores. Certifique-se de que o exporta com a chave privada. Pode exportá-lo no formato .pfx predefinido. Especifique uma palavra-passe para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificados para importar o ficheiro exportado a partir da localização guardada. Especifique a palavra-passe que utilizou para exportá-la e certifique-se de que a opção Marcar esta chave como exportável está selecionada. Na página Arquivo de Certificados, deixe a predefinição Colocar todos os certificados no seguinte arquivo e certifique-se de que Pessoal é apresentado.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizado a efetuar cópias de segurança da seguinte forma:

    1. Obtenha o thumbprint do certificado. No arquivo Certificados , faça duplo clique no certificado. Selecione o separador Detalhes e desloque-se para baixo até ao thumbprint. Selecione-o e realce-o e copie-o. Cole o thumbprint no Bloco de Notas e remova todos os espaços.

    2. Navegue para a pasta C:\Program files\Microsoft Data Protection Manager\DPM\bin e execute setdpmserver da seguinte forma:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Em que ClientThumbprintWithNoSpaces é copiado a partir do ficheiro do Bloco de Notas.

    3. Deverá obter o resultado para confirmar que a configuração foi concluída com êxito.

  6. Obtenha o ficheiro .bin e copie-o para o servidor DPM. Sugerimos que o copie para a localização predefinida na qual o processo Anexar verificará o ficheiro (Windows\System32) para que possa especificar apenas o nome do ficheiro em vez do caminho completo quando executar o comando Anexar.

Ligar o computador

Ligue o computador ao servidor DPM utilizando o script Attach-ProductionServerWithCertificate.ps1 do PowerShell, com a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – Nome do servidor DPM

  • PSCredential – Nome do ficheiro .bin. Se o colocou na pasta Windows\System32, pode especificar apenas o nome do ficheiro. Certifique-se de que especifica o ficheiro .bin criado no servidor protegido. Se especificar o ficheiro .bin criado no servidor DPM, removerá todos os computadores protegidos que estão configurados para autenticação baseada em certificados.

Após a conclusão do processo de anexação, o computador protegido deverá aparecer na consola do DPM.

Exemplos

Exemplo 1

Gera um ficheiro em c:\\CertMetaData\\ com nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Em que dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é o thumbprint do certificado do servidor DPM.

Exemplo 2

Volta a gerar um ficheiro de configuração perdido na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Alternar entre NTLM e Autenticação de certificados

Nota

  • As seguintes cargas de trabalho em cluster só suportam a autenticação de Certificados quando implementadas num domínio não fidedigno:
    • Servidor de Ficheiros Em Cluster
    • Servidor SQL em cluster
    • Cluster Hyper-V
  • Se o agente do DPM estiver atualmente configurado para utilizar o NTLM num cluster ou tiver sido originalmente configurado para utilizar o NTLM, mas posteriormente mudar para Autenticação de certificados sem primeiro remover o agente do DPM, a enumeração do cluster não mostrará quaisquer recursos a proteger.

Para mudar da autenticação NTLM para a autenticação de certificados, utilize os seguintes passos para reconfigurar o agente do DPM:

  1. No servidor DPM, remova todos os nós do cluster com o scriptRemove-ProductionServer.ps1 PowerShell.
  2. Desinstale o agente do DPM em todos os nós e elimine a pasta do agente de C:\Programas\Microsoft Data Protection Manager.
  3. Siga os passos na cópia de segurança com a autenticação de certificados.
  4. Depois de os agentes serem implementados e configurados para autenticação de certificados, verifique se a atualização do agente funciona e se mostra corretamente (não fidedignos - Certificados) para cada um dos nós.
  5. Atualize os nós/cluster para obter uma lista de origens de dados a proteger; volte a proteger os recursos em cluster.
  6. Adicione a carga de trabalho para proteger e concluir o Assistente do Grupo de proteção.