Подготовка компьютеров в рабочих группах и ненадежных доменах для резервного копирования
System Center Data Protection Manager (DPM) может защитить компьютеры, которые находятся в ненадежных доменах или рабочих группах. Эти компьютеры можно пройти проверку подлинности с помощью учетной записи локального пользователя (проверка подлинности NTLM) или с помощью сертификатов. Для обоих типов проверки подлинности необходимо подготовить инфраструктуру, прежде чем можно настроить группу защиты, содержащую источники, которые требуется создать резервную копию.
Установите сертификат. Если вы хотите использовать проверку подлинности сертификата, установите сертификат на сервере DPM и на компьютере, который требуется защитить.
Установите агент— установите агент на компьютере, который требуется защитить.
Распознайте сервер DPM. Настройте компьютер для распознавания сервера DPM для выполнения резервных копий. Для этого выполните команду SetDPMServer.
Подключите компьютер . В последнее время необходимо подключить защищенный компьютер к серверу DPM.
Перед началом работы
Перед началом работы проверьте поддерживаемые сценарии защиты и необходимые параметры сети.
Поддерживаемые сценарии
Тип рабочей нагрузки | Состояние и поддержка защищенного сервера |
---|---|
Файлы | Рабочая группа: Поддерживается Ненадежный домен: поддерживается Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера. |
Состояние системы | Рабочая группа: Поддерживается Ненадежный домен: поддерживается Только проверка подлинности NTLM |
SQL Server | Рабочая группа: Поддерживается Ненадежный домен: поддерживается Зеркальное отображение не поддерживается. Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера. |
Сервер Hyper-V | Рабочая группа: Поддерживается Ненадежный домен: поддерживается NTLM и проверка подлинности на основе сертификата |
Кластер Hyper-V | Рабочая группа: Не поддерживается Недоверенный домен: поддерживается (только проверка подлинности сертификата) |
Exchange Server | Рабочая группа: Неприменимо Ненадежный домен: поддерживается только для одного сервера. Кластер не поддерживается. CCR, SCR, DAG не поддерживаются. LCR поддерживается. Только проверка подлинности NTLM |
Вторичный сервер DPM (для резервного копирования основного сервера DPM) Обратите внимание, что первичные и вторичные серверы DPM находятся в одном или двухсторонном транзитивном домене доверенного домена леса. |
Рабочая группа: Поддерживается Ненадежный домен: поддерживается Только проверка подлинности на основе сертификата |
SharePoint | Рабочая группа: Не поддерживается Ненадежный домен: не поддерживается |
Клиентские компьютеры | Рабочая группа: Не поддерживается Ненадежный домен: не поддерживается |
Восстановление исходного состояния системы (BMR) | Рабочая группа: Не поддерживается Ненадежный домен: не поддерживается |
End-user recovery | Рабочая группа: Не поддерживается Ненадежный домен: не поддерживается |
Параметры сети
Настройки | Компьютер в рабочей группе или в недоверенном домене |
---|---|
Управляющие данные | Протокол: DCOM Порт по умолчанию: 135 Проверка подлинности: NTLM или сертификат |
Передача файлов | Протокол: Winsock Порт по умолчанию: 5718 и 5719 Проверка подлинности: NTLM или сертификат |
Требования к учетной записи DPM | Локальная учетная запись без прав администратора на сервере DPM. Использует подключение NTLM v2 |
Требования к сертификатам | |
Установка агента | Агент, установленный на защищенном компьютере |
Сеть периметра | Защита сети периметра не поддерживается. |
IPSEC | Убедитесь, что IPSEC не блокирует обмен данными. |
Резервное копирование с помощью аутентификации NTLM
Вот что вам нужно сделать:
Установите агент— установите агент на компьютере, который требуется защитить.
Настройка агента — настройка компьютера для распознавания сервера DPM для выполнения резервных копий. Для этого выполните команду SetDPMServer.
Подключите компьютер . Наконец, необходимо подключить защищенный компьютер к серверу DPM.
Установка и настройка агента
На компьютере, который требуется защитить, запустите DPMAgentInstaller_X64.exe с компакт-диска установки DPM для установки агента.
Настройте агент, выполнив команду SetDpmServer следующим образом:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
Задайте следующие параметры:
-DpmServerName — укажите имя сервера DPM. Используйте полное доменное имя, если сервер и компьютер доступны друг другу с помощью полных доменных имен или имени NETBIOS.
-IsNonDomainServer — используется для указания того, что сервер находится в рабочей группе или ненадежном домене в отношении компьютера, который требуется защитить. Для требуемых портов создаются исключения брандмауэра.
-UserName — укажите имя учетной записи, которую вы хотите использовать для проверки подлинности NTLM. Чтобы использовать этот параметр, необходимо указать флаг -isNonDomainServer. Будет создана учетная запись локального пользователя, а агент защиты DPM будет настроен для использования этой учетной записи для проверки подлинности.
-ProductionServerDnsSuffix — используйте этот параметр, если на сервере настроено несколько DNS-суффиксов. Этот параметр представляет DNS-суффикс, который сервер использует для подключения к защищенному компьютеру.
После успешного завершения команды откройте консоль DPM.
Обновление пароля
Если в любой момент времени понадобится обновить пароль для учетных данных NTLM, выполните следующую команду на защищенном компьютере:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
Вам потребуется использовать то же соглашение об именовании (FQDN или NETBIOS), которое использовалось при настройке защиты. На сервере DPM необходимо запустить командлет Update -NonDomainServerInfo PowerShell. Затем необходимо обновить сведения об агенте для защищенного компьютера.
Пример NetBIOS: защищенный компьютер: сервер DPM: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
Пример FQDN: защищенный компьютер: сервер DPM: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Attach the computer
В консоли DPM запустите мастер установки агента защиты.
В Выбор метода развертывания агентавыберите Присоединение агентов.
Введите имя компьютера, имя пользователя и пароль для компьютера, к которому требуется подключиться. Это должны быть учетные данные, указанные при установке агента.
Просмотрите страницу "Сводка " и нажмите кнопку "Присоединить".
При необходимости можно выполнить команду Windows PowerShell Attach-NonDomainServer.ps1 вместо запуска мастера. Для этого ознакомьтесь с примером в следующем разделе.
Примеры
Пример 1
Пример настройки компьютера рабочей группы после установки агента.
На компьютере запустите
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
.На сервере DPM выполните команду
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
.
Так как компьютеры рабочей группы обычно доступны только при использовании имени NetBIOS, значение для DPMServerName должно быть имя NetBIOS.
Пример 2
Пример настройки компьютера рабочей группы с конфликтующими именами NetBIOS после установки агента.
На компьютере рабочей группы запустите
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
.На сервере DPM выполните команду
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
.
Резервное копирование с помощью проверки подлинности сертификата
Вот как настроить защиту с помощью проверки подлинности сертификата.
На каждом компьютере, который нужно защитить, необходимо установить .NET Framework 3.5 с пакетом обновления 1 (SP1) или более позднюю версию.
Сертификат, используемый для проверки подлинности, должен соответствовать следующим условиям.
Сертификат X.509 версии 3.
В свойство расширенного использования ключа (EKU) должна входить проверка подлинности клиента и сервера.
Длина ключа должна составлять как минимум 1024 бит.
Тип ключа должен быть exchange.
Имя субъекта сертификата и корневого сертификата не должно быть пустым.
Серверы отзыва связанных центров сертификации должны быть доступны как для защищенного сервера, так и для сервера DPM.
Сертификат должен иметь связанный закрытый ключ.
DPM не поддерживает сертификаты с ключами CNG.
DPM не поддерживает самозаверяющий сертификат.
Каждый компьютер, который требуется защитить (включая виртуальные машины), должен иметь свой собственный сертификат.
Настройка защиты
Создание шаблона сертификата DPM
При необходимости можно настроить шаблон DPM для веб-регистрации. Для этого выберите шаблон, предназначенный для проверки подлинности клиента и сервера. Например:
В оснастке MMC "Шаблоны сертификатов " можно выбрать шаблон СЕРВЕРА RAS и IAS . Щелкните его правой кнопкой мыши и выберите Скопировать шаблон.
В окне Копирование шаблонаоставьте параметр по умолчанию Windows Server 2003 Enterprise.
На вкладке Общие измените отображаемое имя шаблона на распознаваемое. Например, проверка подлинности DPM. Убедитесь, что параметр "Опубликовать сертификат" в Active Directory включен.
На вкладке "Обработка запросов" убедитесь, что разрешен экспорт закрытого ключа.
После создания шаблона сделайте его доступным для использования. Откройте оснастку «Центр сертификации». Щелкните правой кнопкой мыши элемент Шаблоны сертификатов, выберите пункты Создатьи Выдаваемый шаблон сертификата. В разделе "Включить шаблон сертификата" выберите шаблон и нажмите кнопку "ОК". Теперь шаблон будет доступен при получении сертификата.
Включение ручной и автоматической регистрации
Если вы хотите дополнительно настроить шаблон для регистрации или автоматической регистрации, выберите вкладку "Имя субъекта" в свойствах шаблона. При настройке регистрации шаблон можно выбрать в MMC. При настройке автоматической регистрации сертификат автоматически назначается всем компьютерам в домене.
Для регистрации на вкладке Имя субъекта свойств шаблона установите флажок Выбрать сборку на основе данных Active Directory. В формате имени субъекта выберите общее имя и включите DNS-имя. Перейдите на вкладку "Безопасность" и назначьте разрешение Регистрация пользователям, прошедшим проверку подлинности.
Для автоматической регистрации перейдите на вкладку Безопасность и назначьте разрешение Автоматическая регистрация пользователям, прошедшим проверку подлинности. Если этот параметр включен, сертификат автоматически назначается всем компьютерам в домене.
Если вы настроили регистрацию, вы сможете запросить новый сертификат в MMC на основе шаблона. Для этого на защищенном компьютере, в разделе Сертификаты (локальный компьютер)>Личное, щелкните правой кнопкой мыши Сертификаты. Select Все задачи>Запросить новый сертификат. На странице "Выбор политики регистрации сертификатов" мастера выберите политику регистрации Active Directory. В запросе сертификатов вы увидите шаблон. Разверните сведения и выберите "Свойства". Откройте вкладку Общие и введите понятное имя. После применения параметров необходимо получить сообщение о том, что сертификат был успешно установлен.
Configure a certificate on the DPM server
Создайте сертификат из ЦС сервера DPM с помощью веб-регистрации или другого метода. В веб-регистрации выберите дополнительный сертификат и создайте и отправьте запрос в этот ЦС. Убедитесь, что размер ключа равен 1024 или выше, и этот ключ Помечается как экспортируемый .
Сертификат помещается в хранилище пользователя. Необходимо переместить его в хранилище локальных компьютеров.
Для этого экспортируйте сертификат из хранилища пользователей. Убедитесь, что экспортируйте его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.
На локальном компьютере\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортируемый файл из сохраненного расположения. Укажите пароль, используемый для экспорта, и убедитесь, что выбран этот ключ как экспортируемый . На странице хранилища сертификатов оставьте значение по умолчанию, поместите все сертификаты в следующее хранилище и убедитесь, что отображается личное .
После импорта задайте учетные данные DPM для использования сертификата следующим образом:
Получите отпечаток сертификата. В хранилище сертификатов дважды щелкните сертификат. Перейдите на вкладку "Сведения" и прокрутите вниз до отпечатка. Выберите его, а затем выделите и скопируйте его. Вставьте отпечаток в Блокнот и удалите все пробелы.
Запустите set-DPMCredentials , чтобы настроить сервер DPM:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type — указывает тип проверки подлинности. Значение: сертификат.
-Action — укажите, нужно ли выполнять команду в первый раз или повторно создавать учетные данные. Возможные значения: regenerate или configure.
-OutputFilePath — расположение выходного файла, используемого в Set-DPMServer на защищенном компьютере.
-Отпечаток — копирование из файла Блокнота.
-AuthCAThumbprint — отпечаток ЦС в цепочке доверия сертификата. Необязательно. Если не указан, будет использован корень.
Будет создан файл метаданных (BIN-файл), необходимый во время установки агента в недоверенном домене. Перед выполнением команды убедитесь, что папка C:\Temp существует.
Примечание.
Если файл потерян или удален, его можно повторно создать, выполнив скрипт с параметром повторного создания -action.
Верните BIN-файл и скопируйте его в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin на компьютере, который требуется защитить. Это не нужно сделать, но если вам не потребуется указать полный путь к файлу для параметра -DPMcredential, если вы не будете
Повторите эти действия на каждом сервере DPM, который будет защищать компьютер в рабочей группе или в недоверенном домене.
Установка агента
- На каждом компьютере, который требуется защитить, запустите файл DPMAgentInstaller_X64.exe с компакт-диска установки DPM, чтобы установить агент.
Настройка сертификата на защищенном компьютере
Создайте сертификат из ЦС для защищенного компьютера с помощью веб-регистрации или другого метода. В веб-регистрации выберите дополнительный сертификат и создайте и отправьте запрос в этот ЦС. Убедитесь, что размер ключа равен 1024 или выше и выбран ключ Mark как экспортируемый .
Сертификат помещается в хранилище пользователя. Необходимо переместить его в хранилище локальных компьютеров.
Для этого экспортируйте сертификат из хранилища пользователей. Убедитесь, что экспортируйте его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.
На локальном компьютере\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортируемый файл из сохраненного расположения. Укажите пароль, используемый для экспорта, и убедитесь, что выбран этот ключ как экспортируемый . На странице хранилища сертификатов оставьте значение по умолчанию, поместите все сертификаты в следующее хранилище и убедитесь, что отображается личное .
После импорта настройте компьютер для распознавания сервера DPM как авторизованного для выполнения резервных копий следующим образом:
Получите отпечаток сертификата. В хранилище сертификатов дважды щелкните сертификат. Перейдите на вкладку "Сведения" и прокрутите вниз до отпечатка. Выделите его и выделите и скопируйте его. Вставьте отпечаток в Блокнот и удалите все пробелы.
Перейдите в папку C:\Program files\Microsoft Data Protection Manager\DPM\bin и запустите setdpmserver следующим образом:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
Где ClientThumbprintWithNoSpaces копируется из файла Блокнота.
Чтобы убедиться, что конфигурация выполнена успешно, вы получите выходные данные.
Верните BIN-файл и скопируйте его на сервер DPM. Мы рекомендуем скопировать его в расположение по умолчанию, в котором процесс присоединения будет проверять наличие файла (Windows\System32), чтобы можно было просто указать имя файла вместо полного пути при выполнении команды присоединения.
Attach the computer
Подключение компьютера к серверу DPM производится с помощью скрипта Attach-ProductionServerWithCertificate.ps1 PowerShell с использованием синтаксиса.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName-Name сервера DPM
PSCredential-Name файла .bin. Если поместить его в папку Windows\System32, можно указать только имя файла. Убедитесь, что вы указали файл .bin, созданный на защищенном сервере. Если указать файл .bin, созданный на сервере DPM, вы удалите все защищенные компьютеры, настроенные для проверки подлинности на основе сертификатов.
После завершения процесса подключения защищенный компьютер должен появиться в консоли DPM.
Примеры
Пример 1
Создает файл с c:\\CertMetaData\\
именем CertificateConfiguration\_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
Где dpmserver.contoso.com является именем сервера DPM, а "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" — отпечаток сертификата сервера DPM.
Пример 2
Повторное создание файла конфигурации в папке c:\CertMetaData\
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
Переключение между проверкой подлинности NTLM и проверкой подлинности на основе сертификата
Примечание.
- Следующие кластеризованные рабочие нагрузки поддерживают проверку подлинности сертификатов только при развертывании в недоверенном домене:
- кластерный файловый сервер;
- кластерный сервер SQL;
- Кластер Hyper-V
- Если агент DPM в настоящее время настроен на использование NTLM в кластере или изначально настроен для использования NTLM, но позже переключился на проверку подлинности сертификата без первого удаления агента DPM, перечисление кластера не будет отображать какие-либо ресурсы для защиты.
Чтобы переключиться с проверки подлинности NTLM на проверку подлинности на основе сертификата, выполните следующие действия для перенастройки агента DPM:
- На сервере DPM удалите все узлы кластера с помощью скрипта Remove-ProductionServer.ps1 PowerShell.
- Удалите агент DPM на всех узлах и удалите папку агента: C:\Program Files\Microsoft Data Protection Manager.
- Выполните действия, описанные в разделе Резервное копирование с помощью проверки подлинности на основе сертификата.
- После развертывания и настройки агентов для проверки подлинности сертификата убедитесь, что обновление агента работает и правильно отображает (ненадежные сертификаты) для каждого узла.
- Обновите узлы или кластеры, чтобы получить список источников данных для защиты; Повторите попытку защиты кластеризованных ресурсов.
- Добавьте рабочую нагрузку для защиты и завершите работу мастера групп защиты.