Подготовка компьютеров в рабочих группах и недоверенных доменах для резервного копирования

  • Статья

Важно!

Поддержка этой версии Data Protection Manager (DPM) завершена. Рекомендуется выполнить обновление до DPM 2022.

System Center Data Protection Manager (DPM) может обеспечить защиту компьютеров, находящихся в недоверенных доменах или рабочих группах. Эти компьютеры можно проверить с помощью локальной учетной записи пользователя (проверка подлинности NTLM) или с помощью сертификатов. Для обоих типов проверки подлинности потребуется подготовить инфраструктуру перед настройкой группы защиты, содержащей источники, которые предназначены для резервного копирования.

  1. Установка сертификата . Если вы хотите использовать проверку подлинности на основе сертификата, установите сертификат на сервере DPM и на компьютере, который требуется защитить.

  2. Установка агента . Установите агент на компьютере, который требуется защитить.

  3. Распознавание сервера DPM . Настройте компьютер для распознавания сервера DPM для выполнения резервного копирования. Для этого необходимо выполнить команду SetDPMServer.

  4. Подключение компьютера . Наконец, необходимо подключить защищенный компьютер к серверу DPM.

Перед началом работы

Перед началом проверьте поддерживаемые сценарии защиты и необходимые сетевые параметры.

Поддерживаемые сценарии

Тип рабочей нагрузки Состояние защищенного сервера и поддержка
Файлы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера.
Состояние системы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только проверка подлинности NTLM
SQL Server Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Зеркальное отображение не поддерживается.

Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера.
Сервер Hyper-V Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

NTLM и проверка подлинности на основе сертификата
Кластер Hyper-V Рабочая группа: Не поддерживается

Недоверенный домен: поддерживается (только проверка подлинности на основе сертификата)
Exchange Server Рабочая группа: Неприменимо

Ненадежный домен: поддерживается только для одного сервера. Кластер не поддерживается. CCR, SCR, DAG не поддерживаются. LCR поддерживается.

Только проверка подлинности NTLM
Сервер-получатель DPM (для резервной копии сервера-источника DPM)

Обратите внимание, что основной и вторичный серверЫ DPM находятся в одном или двустороннем транзитивном доверенном домене леса.		 Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только проверка подлинности на основе сертификата
SharePoint Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Клиентские компьютеры Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Восстановление исходного состояния системы (BMR) Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
End-user recovery Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается

Параметры сети

Параметры Компьютер в рабочей группе или в недоверенном домене
Управляющие данные Протокол: DCOM

Порт по умолчанию: 135

Проверка подлинности: NTLM или сертификат
Передача файлов Протокол: Winsock

Порт по умолчанию: 5718 и 5719

Проверка подлинности: NTLM или сертификат
Требования к учетной записи DPM Локальная учетная запись без прав администратора на сервере DPM. Использует подключение NTLM v2
Требования к сертификатам
Установка агента Агент, установленный на защищенном компьютере
Сеть периметра Защита сети периметра не поддерживается.
IPSEC Убедитесь, что протокол IPSEC не блокирует подключения.

Резервное копирование с помощью аутентификации NTLM

Вам потребуется сделать следующее.

  1. Установка агента — установите агент на компьютере, который необходимо защитить.

  2. Настройка агента — настройте компьютер для распознавания сервера DPM с целью создания резервных копий. Для этого необходимо выполнить команду SetDPMServer.

  3. Подключение компьютера. Наконец, необходимо подключить защищенный компьютер к серверу DPM.

Установка и настройка агента

  1. На компьютере, который требуется защитить, запустите DPMAgentInstaller_X64.exe с компакт-диска установки DPM для установки агента.

  2. Настройте агент, выполнив команду SetDpmServer следующим образом:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Задайте следующие параметры:

    • -DpmServerName — укажите имя сервера DPM. Используйте полное доменное имя, если сервер и компьютер доступны друг другу с помощью полных доменных имен или NETBIOS-имени.

    • -IsNonDomainServer — используется, чтобы указать, что сервер находится в рабочей группе или недоверенном домене по отношению к компьютеру, который требуется защитить. Для требуемых портов создаются исключения брандмауэра.

    • -UserName — укажите имя учетной записи, которую вы хотите использовать для проверки подлинности NTLM. Чтобы использовать этот параметр, необходимо указать флаг -isNonDomainServer. Будет создана учетная запись локального пользователя, и агент защиты DPM будет настроен для использования этой учетной записи при проверке подлинности.

    • -ProductionServerDnsSuffix — используйте этот параметр, если на сервере настроено несколько DNS-суффиксов. Этот параметр представляет DNS-суффикс, который используется сервером для подключения к защищаемому компьютеру.

  4. После успешного выполнения команды откройте консоль DPM.

Обновление пароля

Если в любой момент времени понадобится обновить пароль для учетных данных NTLM, выполните следующую команду на защищенном компьютере:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Вам потребуется использовать то же соглашение об именовании (FQDN или NETBIOS), которое использовалось при настройке защиты. На сервере DPM необходимо выполнить командлет PowerShell Update -NonDomainServerInfo. Далее потребуется обновить сведения об агенте для защищенного компьютера.

Пример NetBIOS. Защищенный компьютер: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-сервер: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Пример FQDN. Защищенный компьютер: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-сервер: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Присоединение компьютера

  1. В консоли DPM запустите мастер установки агента защиты.

  2. В Выбор метода развертывания агентавыберите Присоединение агентов.

  3. Введите имя компьютера, имя пользователя и пароль для компьютера, к которому вы хотите подключиться. Это должны быть учетные данные, указанные при установке агента.

  4. Просмотрите страницу Сводка и выберите Вложить.

При необходимости можно выполнить команду Windows PowerShell Attach-NonDomainServer.ps1 вместо запуска мастера. Чтобы сделать это, обратитесь к примеру в следующем разделе.

Примеры

Пример 1

Пример настройки компьютера рабочей группы после установки агента.

  1. На компьютере запустите SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. На сервере DPM запустите Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Так как компьютеры рабочей группы обычно доступны только при использовании имени NetBIOS, значение для DPMServerName должно быть имя NetBIOS.

Пример 2

Пример настройки компьютера рабочей группы с конфликтующими именами NetBIOS после установки агента.

  1. На компьютере рабочей группы запустите SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. На сервере DPM запустите Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Резервное копирование с помощью проверки подлинности на основе сертификата

Настройте защиту с помощью проверки подлинности на основе сертификата следующим образом.

  • На каждом компьютере, который нужно защитить, необходимо установить .NET Framework 3.5 с пакетом обновления 1 (SP1) или более позднюю версию.

  • Сертификат, используемый для проверки подлинности, должен соответствовать следующим условиям.

    • Сертификат X.509 V3.

    • В свойство расширенного использования ключа (EKU) должна входить проверка подлинности клиента и сервера.

    • Длина ключа должна составлять как минимум 1024 бит.

    • Тип ключа должен быть exchange.

    • Имя субъекта сертификата и корневого сертификата не должно быть пустым.

    • Серверы отзыва связанных центров сертификации должны быть доступны как для защищенного сервера, так и для сервера DPM.

    • Сертификат должен иметь связанный закрытый ключ.

    • DPM не поддерживает сертификаты с ключами CNG.

    • DPM не поддерживает самозаверяющие сертификаты.

  • Каждый компьютер, который требуется защитить (включая виртуальные машины), должен иметь свой собственный сертификат.

Настройка защиты

  1. Создание шаблона сертификата DPM

  2. Настройка сертификата на сервере DPM

  3. Установка агента

  4. Настройка сертификата на защищенном компьютере

  5. Присоединение компьютера

Создание шаблона сертификата DPM

При необходимости можно настроить шаблон DPM для веб-регистрации. Для этого выберите шаблон, предназначенный для проверки подлинности клиента и сервера. Например:

  1. В оснастке MMC " Шаблоны сертификатов " можно выбрать шаблон сервера RAS и IAS . Щелкните его правой кнопкой мыши и выберите Скопировать шаблон.

  2. В окне Копирование шаблонаоставьте параметр по умолчанию Windows Server 2003 Enterprise.

  3. На вкладке Общие измените отображаемое имя шаблона на распознаваемое. Например, проверка подлинности DPM. Убедитесь, что параметр Опубликовать сертификат в Active Directory включен.

  4. На вкладке Обработка запросов убедитесь, что включен параметр Разрешить экспорт закрытого ключа .

  5. Создав шаблон, сделайте его доступным для использования. Откройте оснастку «Центр сертификации». Щелкните правой кнопкой мыши элемент Шаблоны сертификатов, выберите пункты Создатьи Выдаваемый шаблон сертификата. В разделе Включить шаблон сертификата выберите шаблон и нажмите кнопку ОК. Теперь шаблон будет доступен при получении сертификата.

Включение ручной и автоматической регистрации

Если вы хотите дополнительно настроить шаблон для регистрации или автоматической регистрации, выберите вкладку Имя субъекта в свойствах шаблона. При настройке регистрации шаблон можно выбрать в MMC. При настройке автоматической регистрации сертификат автоматически назначается всем компьютерам в домене.

  • Для регистрации на вкладке Имя субъекта свойств шаблона установите флажок Выбрать сборку на основе данных Active Directory. В поле Формат имени субъекта выберите Общее имя и включите DNS-имя. Перейдите на вкладку "Безопасность" и назначьте разрешение Регистрация пользователям, прошедшим проверку подлинности.

  • Для автоматической регистрации перейдите на вкладку Безопасность и назначьте разрешение Автоматическая регистрация пользователям, прошедшим проверку подлинности. Если этот параметр включен, сертификат будет автоматически назначен всем компьютерам в домене.

  • Если вы настроили регистрацию, вы сможете запросить новый сертификат в MMC на основе шаблона. Для этого на защищенном компьютере, в разделе Сертификаты (локальный компьютер)Личное, щелкните правой кнопкой мыши Сертификаты. Select Все задачиЗапросить новый сертификат. На странице Мастера Выбор политики регистрации сертификатов выберите Политика регистрации Active Directory. В разделе Запрос сертификатов вы увидите шаблон. Разверните узел Сведения и выберите Свойства. Откройте вкладку Общие и введите понятное имя. После применения параметров должно появиться сообщение о том, что сертификат успешно установлен.

Configure a certificate on the DPM server

  1. Создайте сертификат из ЦС для сервера DPM с помощью веб-регистрации или другого метода. В веб-регистрации выберите необходимый дополнительный сертификат и Создать и отправить запрос в этот ЦС. Убедитесь, что размер ключа равен 1024 или выше и что выбран параметр Пометить ключ как экспортируемый .

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локальных компьютеров.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что вы экспортируете его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В разделе Локальный компьютер\Персональный\Сертификат запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из сохраненного расположения. Укажите пароль, который использовался для его экспорта, и убедитесь, что выбран параметр Пометить этот ключ как экспортируемый . На странице Хранилище сертификатов оставьте значение по умолчанию Поместить все сертификаты в следующее хранилище и убедитесь, что отображается личное .

  5. После импорта задайте учетные данные DPM для использования сертификата следующим образом:

    1. Получите отпечаток сертификата. В хранилище Сертификатов дважды щелкните сертификат. Перейдите на вкладку Сведения и прокрутите вниз до отпечатка. Выберите его, а затем выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Выполните командлет Set-DPMCredentials на сервере DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type — указывает тип проверки подлинности. Значение: сертификат.

    • -Action — укажите, следует ли выполнить команду в первый раз или повторно создать учетные данные. Возможные значения: regenerate или configure.

    • -OutputFilePath — расположение выходного файла, используемого в Set-DPMServer на защищенном компьютере.

    • -Thumbprint — копирование из файла Блокнота.

    • -AuthCAThumbprint — отпечаток ЦС в цепочке доверия сертификата. Необязательный элемент. Если не указан, будет использован корень.

  6. Будет создан файл метаданных (BIN-файл), необходимый во время установки агента в недоверенном домене. Перед выполнением команды убедитесь, что папка C:\Temp существует.

    Примечание

    Если файл потерян или удален, его можно создать заново, запустив скрипт с параметром -action regenerate .

  7. Верните BIN-файл и скопируйте его в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin на компьютере, который требуется защитить. Это необязательно, но если этого не сделать, потребуется указать полный путь к файлу для параметра -DPMcredential во время

  8. Повторите эти действия на каждом сервере DPM, который будет защищать компьютер в рабочей группе или недоверенном домене.

Установка агента.

  1. На каждом компьютере, который требуется защитить, запустите файл DPMAgentInstaller_X64.exe с компакт-диска установки DPM, чтобы установить агент.

Настройка сертификата на защищенном компьютере

  1. Создайте сертификат из ЦС для защищенного компьютера с помощью веб-регистрации или другого метода. В веб-регистрации выберите необходимый дополнительный сертификат и Создать и отправить запрос в этот ЦС. Убедитесь, что размер ключа равен 1024 или выше и выбран параметр Пометить ключ как экспортируемый .

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локальных компьютеров.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что вы экспортируете его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В разделе Локальный компьютер\Персональный\Сертификат запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из сохраненного расположения. Укажите пароль, который использовался для его экспорта, и убедитесь, что выбран параметр Пометить этот ключ как экспортируемый . На странице Хранилище сертификатов оставьте значение по умолчанию Поместить все сертификаты в следующее хранилище и убедитесь, что отображается личное .

  5. После импорта настройте компьютер на распознавание сервера DPM как авторизованного для выполнения резервного копирования следующим образом:

    1. Получите отпечаток сертификата. В хранилище Сертификатов дважды щелкните сертификат. Перейдите на вкладку Сведения и прокрутите вниз до отпечатка. Выделите его, выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Перейдите в папку C:\Program files\Microsoft Data Protection Manager\DPM\bin и запустите setdpmserver следующим образом:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Где ClientThumbprintWithNoSpaces копируется из файла Блокнота.

    3. Вы должны получить выходные данные, чтобы убедиться, что настройка была успешно завершена.

  6. Верните BIN-файл и скопируйте его на сервер DPM. Мы рекомендуем скопировать его в расположение по умолчанию, в котором процесс присоединения будет проверка для файла (Windows\System32), чтобы при выполнении команды Attach можно было просто указать имя файла вместо полного пути.

Присоединение компьютера

Подключение компьютера к серверу DPM производится с помощью скрипта Attach-ProductionServerWithCertificate.ps1 PowerShell с использованием синтаксиса.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName — имя сервера DPM

  • PSCredential — имя BIN-файла. Если вы поместили его в папку Windows\System32, можно указать только имя файла. Убедитесь, что указан файл .bin, созданный на защищенном сервере. Если указать файл .bin, созданный на сервере DPM, вы удалите все защищенные компьютеры, настроенные для проверки подлинности на основе сертификатов.

После завершения процесса присоединения защищенный компьютер должен появиться в консоли DPM.

Примеры

Пример 1

Создает файл в c:\\CertMetaData\\ с именем CertificateConfiguration\_<DPM SERVER FQDN>.bin.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Где dpmserver.contoso.com — имя сервера DPM, а cf822d9ba1c801ef40d4b31de0cfcb200a8a2496 — отпечаток сертификата сервера DPM.

Пример 2

Повторное создание файла конфигурации в папке c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Переключение между проверкой подлинности NTLM и проверкой подлинности на основе сертификата

Примечание

  • Следующие кластерные рабочие нагрузки поддерживают только проверку подлинности на основе сертификата, если они развернуты в недоверенном домене:
    • кластерный файловый сервер;
    • кластерный сервер SQL;
    • кластер Hyper-V.
  • Если агент DPM в настоящее время настроен для использования NTLM в кластере или изначально настроен для использования NTLM, но позже переключился на проверку подлинности на основе сертификата без предварительного удаления агента DPM, то в перечислении кластера не будут отображаться ресурсы для защиты.

Чтобы переключиться с проверки подлинности NTLM на проверку подлинности на основе сертификата, выполните следующие действия для перенастройки агента DPM:

  1. На сервере DPM удалите все узлы кластера с помощью скрипта PowerShellRemove-ProductionServer.ps1 .
  2. Удалите агент DPM на всех узлах и удалите папку агента: C:\Program Files\Microsoft Data Protection Manager.
  3. Выполните действия, описанные в разделе Резервное копирование с помощью проверки подлинности на основе сертификата.
  4. После развертывания и настройки агентов для проверки подлинности на основе сертификата убедитесь, что обновление агента работает и отображается правильно (недоверенные — сертификаты) для каждого из узлов.
  5. Обновите узлы или кластер, чтобы получить список источников данных для защиты; повторите попытку защиты кластеризованных ресурсов.
  6. Добавьте рабочую нагрузку для защиты и завершите работу мастера групп защиты.