Подготовка компьютеров в рабочих группах и недоверенных доменах для резервного копирования

Важно!

Поддержка этой версии Data Protection Manager (DPM) прекращена. Рекомендуем перейти на DPM 2022.

System Center Data Protection Manager (DPM) может обеспечить защиту компьютеров, находящихся в недоверенных доменах или рабочих группах. Для проверки подлинности этих компьютеров можно использовать учетную запись локального пользователя (проверка подлинности NTLM) или сертификаты. Для обоих типов проверки подлинности потребуется подготовить инфраструктуру перед настройкой группы защиты, содержащей источники, которые предназначены для резервного копирования.

  1. Установка сертификата. Если нужно использовать проверку подлинности на основе сертификата, установите сертификат на сервере DPM и на компьютере, который необходимо защитить.

  2. Установка агента. Установите агент на компьютере, который необходимо защитить.

  3. Распознавание сервера DPM. Настройте компьютер для определения сервера DPM для выполнения резервного копирования. Для этого необходимо выполнить команду SetDPMServer.

  4. Присоединение компьютера. И наконец, необходимо присоединить защищенный компьютер к серверу DPM.

Перед началом работы

Перед началом проверьте поддерживаемые сценарии защиты и необходимые сетевые параметры.

Поддерживаемые сценарии

Тип рабочей нагрузки Состояние защищенного сервера и поддержка
Файлы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера.
Состояние системы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только проверка подлинности NTLM
SQL Server Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Зеркальное отображение не поддерживается.

Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Проверка подлинности на основе сертификата только для кластера.
Сервер Hyper-V Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

NTLM и проверка подлинности на основе сертификата
Кластер Hyper-V Рабочая группа: Не поддерживается

Ненадежный домен: поддерживается (только аутентификация на основе сертификата)
Exchange Server Рабочая группа: Неприменимо

Ненадежный домен: поддерживается только для одного сервера. Кластер не поддерживается. CCR, SCR, DAG не поддерживаются. LCR поддерживается.

Только проверка подлинности NTLM
Сервер-получатель DPM (для резервной копии сервера-источника DPM)

Примечание. Сервер-источник и сервер-получатель DPM должны размещаться в одном доверенном домене с двусторонним транзитивным доверием в лесу.
Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только проверка подлинности на основе сертификата
SharePoint Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Клиентские компьютеры Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Восстановление исходного состояния системы (BMR) Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
End-user recovery Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается

Параметры сети

Параметры Компьютер в рабочей группе или в недоверенном домене
Управляющие данные Протокол: DCOM

Порт по умолчанию: 135

Проверка подлинности: NTLM или сертификат
Передача файлов Протокол: Winsock

Порт по умолчанию: 5718 и 5719

Проверка подлинности: NTLM или сертификат
Требования к учетной записи DPM Локальная учетная запись без прав администратора на сервере DPM. Использует подключение NTLM v2
Требования к сертификатам
Установка агента Агент, установленный на защищенном компьютере
Сеть периметра Защита сети периметра не поддерживается.
IPSEC Убедитесь, что протокол IPSEC не блокирует подключения.

Резервное копирование с помощью аутентификации NTLM

Вам потребуется сделать следующее.

  1. Установка агента — установите агент на компьютере, который необходимо защитить.

  2. Настройка агента — настройте компьютер для распознавания сервера DPM с целью создания резервных копий. Для этого необходимо выполнить команду SetDPMServer.

  3. Присоединение компьютера — и наконец, необходимо присоединить защищенный компьютер к серверу DPM.

Установка и настройка агента

  1. На компьютере, который требуется защитить, запустите DPMAgentInstaller_X64.exe с компакт-диска установки DPM для установки агента.

  2. Настройте агент, выполнив команду SetDpmServer следующим образом:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Задайте следующие параметры:

    • -DpmServerName — укажите имя сервера DPM. Используйте имя FQDN, если сервер и компьютер доступны друг для друга с использованием FQDN, или имя NetBIOS.

    • -IsNonDomainServer — используйте этот параметр, чтобы указать, что сервер находится в рабочей группе или недоверенном домене по отношению к компьютеру, который необходимо защитить. Для требуемых портов создаются исключения брандмауэра.

    • -UserName — укажите имя учетной записи, которую необходимо использовать для проверки подлинности NTLM. Чтобы использовать этот параметр, необходимо установить флаг -isNonDomainServer. Будет создана учетная запись локального пользователя, и агент защиты DPM будет настроен для использования этой учетной записи при проверке подлинности.

    • -ProductionServerDnsSuffix — используйте этот параметр, если сервер имеет несколько настроенных суффиксов DNS. Этот параметр представляет DNS-суффикс, который используется сервером для подключения к защищаемому компьютеру.

  4. После успешного завершения команды откройте консоль DPM.

Обновление пароля

Если в любой момент времени понадобится обновить пароль для учетных данных NTLM, выполните следующую команду на защищенном компьютере:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Необходимо использовать то же соглашение об именовании (FQDN или NETBIOS), которое было применено при настройке защиты. На сервере DPM необходимо выполнить командлет PowerShell Update -NonDomainServerInfo. Далее потребуется обновить сведения об агенте для защищенного компьютера.

Пример NetBIOS. Защищенный компьютер: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-сервер: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Пример FQDN. Защищенный компьютер: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-сервер: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Присоединение компьютера

  1. В консоли DPM запустите мастер установки агента защиты.

  2. В Выбор метода развертывания агентавыберите Присоединение агентов.

  3. Введите имя компьютера, имя пользователя и пароль для компьютера, который необходимо присоединить. Это должны быть учетные данные, указанные при установке агента.

  4. На странице Сводка нажмите кнопку Присоединить.

При необходимости можно выполнить команду Windows PowerShell Attach-NonDomainServer.ps1 вместо запуска мастера. Чтобы сделать это, обратитесь к примеру в следующем разделе.

Примеры

Пример 1

Пример настройки компьютера рабочей группы после установки агента.

  1. На компьютере запустите SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. На сервере DPM запустите Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Так как компьютеры рабочей группы обычно доступны только при использовании имени NetBIOS, значение для DPMServerName должно быть имя NetBIOS.

Пример 2

Пример настройки компьютера рабочей группы с конфликтующими именами NetBIOS после установки агента.

  1. На компьютере рабочей группы запустите SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. На сервере DPM запустите Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Резервное копирование с помощью проверки подлинности на основе сертификата

Настройте защиту с помощью проверки подлинности на основе сертификата следующим образом.

  • На каждом компьютере, который нужно защитить, необходимо установить .NET Framework 3.5 с пакетом обновления 1 (SP1) или более позднюю версию.

  • Сертификат, используемый для проверки подлинности, должен соответствовать следующим условиям.

    • Сертификат X.509 V3

    • В свойство расширенного использования ключа (EKU) должна входить проверка подлинности клиента и сервера.

    • Длина ключа должна составлять как минимум 1024 бит.

    • Тип ключа должен быть exchange.

    • Имя субъекта обычного и корневого сертификатов не должно быть пустым.

    • Серверы отзыва связанных центров сертификации должны быть доступны как для защищенного сервера, так и для сервера DPM.

    • Сертификаты должны иметь связанный закрытый ключ.

    • DPM не поддерживает сертификаты с ключами CNG.

    • DPM не поддерживает самозаверяющие сертификаты.

  • Каждый компьютер, который требуется защитить (включая виртуальные машины), должен иметь свой собственный сертификат.

Настройка защиты

  1. Создание шаблона сертификата DPM

  2. Настройка сертификата на сервере DPM.

  3. Установка агента

  4. Настройка сертификата на защищенном компьютере

  5. Присоединение компьютера

Создание шаблона сертификата DPM

При необходимости можно настроить шаблон DPM для веб-регистрации. Для этого выберите шаблон, предназначенный для проверки подлинности клиента и сервера. Например:

  1. В оснастке MMC Шаблоны сертификатов можно выбрать шаблон RAS- и IAS-сервер . Щелкните его правой кнопкой мыши и выберите Скопировать шаблон.

  2. В окне Копирование шаблонаоставьте параметр по умолчанию Windows Server 2003 Enterprise.

  3. На вкладке Общие измените отображаемое имя шаблона на распознаваемое. Например, Проверка подлинности DPM. Убедитесь, что параметр Опубликовать сертификат в Active Directory включен.

  4. Убедитесь, что на вкладке Обработка запроса что установлен флажок Разрешить экспортировать закрытый ключ .

  5. После создания шаблона предоставьте его для использования. Откройте оснастку «Центр сертификации». Щелкните правой кнопкой мыши элемент Шаблоны сертификатов, выберите пункты Создатьи Выдаваемый шаблон сертификата. В окне Включение шаблона сертификата выберите шаблон и нажмите кнопку ОК. Теперь шаблон будет доступен при получении сертификата.

Включение ручной и автоматической регистрации

Если вы хотите дополнительно настроить шаблон для ручной или автоматической регистрации, перейдите на вкладку "Имя субъекта" в свойствах шаблона. При настройке регистрации шаблон можно выбрать в MMC. При настройке автоматической регистрации сертификат автоматически назначается для всех компьютеров в домене.

  • Для регистрации на вкладке Имя субъекта свойств шаблона установите флажок Выбрать сборку на основе данных Active Directory. В окне Формат имени субъекта выберите Общее имя и установите флажок DNS-имя. Перейдите на вкладку "Безопасность" и назначьте разрешение Регистрация пользователям, прошедшим проверку подлинности.

  • Для автоматической регистрации перейдите на вкладку Безопасность и назначьте разрешение Автоматическая регистрация пользователям, прошедшим проверку подлинности. Если этот параметр включен, сертификат будет автоматически назначен всем компьютерам в домене.

  • Если регистрация настроена, вы сможете запросить новый сертификат в MMC на основе шаблона. Для этого на защищенном компьютере, в разделе Сертификаты (локальный компьютер)Личное, щелкните правой кнопкой мыши Сертификаты. Select Все задачиЗапросить новый сертификат. На странице Выбор политики регистрации сертификатов мастера щелкните Политика регистрации Active Directory. В окне Запрос сертификатов появится шаблон. Разверните Сведения и нажмите кнопку Свойства. Откройте вкладку Общие и введите понятное имя. После применения параметров должно появиться сообщение, что сертификат успешно установлен.

Configure a certificate on the DPM server

  1. Создайте сертификат из ЦС для сервера DPM с помощью веб-регистрации или другого метода. При веб-регистрации щелкните требуется расширенный сертификати Создать и отправить запрос в ЦС. Убедитесь, что размер ключа — 1024 или выше и что установлен флажок Пометить ключ как экспортируемый .

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локального компьютера.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что экспорт производится с помощью закрытого ключа. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В папке Computer\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из расположения, в котором он сохранен. Укажите пароль, который используется для экспорта, и убедитесь, что установлен флажок Пометить ключ как экспортируемый . На странице "Хранилище сертификатов" оставьте параметр по умолчанию Разместить все сертификаты в следующем хранилищеи убедитесь, что отображается раздел Личное .

  5. После импорта установите учетные данные DPM для использования сертификата следующим образом.

    1. Получите отпечаток сертификата. В хранилище Сертификаты дважды щелкните сертификат. Откройте вкладку Сведения и прокрутите страницу вниз, к сертификату. Щелкните его, выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Выполните командлет Set-DPMCredentials на сервере DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type — тип проверки подлинности. Значение: сертификат.

    • -Action — значение, указывающее, следует ли выполнять команду в первый раз или нужно повторно создать учетные данные. Возможные значения: regenerate или configure.

    • -- — расположение выходного файла, который используется в Set-DPMServer на защищенном компьютере.

    • -Thumbprint — копия отпечатка из файла Блокнота.

    • -AuthCAThumbprint — отпечаток ЦС в цепочке доверия сертификата. Необязательный элемент. Если не указан, будет использован корень.

  6. Будет создан файл метаданных (BIN-файл), необходимый во время установки агента в недоверенном домене. Перед тем как выполнять команду, убедитесь, что папка C:\Temp существует. Обратите внимание, что если файл потерян или удален, можно повторно создать его, запустив сценарий с параметром -action regenerate.

  7. Верните BIN-файл и скопируйте его в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin на компьютере, который требуется защитить. Это необязательно, но если этого не сделать, потребуется указать полный путь к файлу для параметра -DPMcredential во время

  8. Повторите эти действия на каждом сервере DPM, который будет защищать компьютер в рабочей группе или недоверенном домене.

Установка агента.

  1. На каждом компьютере, который требуется защитить, запустите файл DPMAgentInstaller_X64.exe с компакт-диска установки DPM, чтобы установить агент.

Настройка сертификата на защищенном компьютере

  1. Создайте сертификат из ЦС для защищенного компьютера с помощью веб-регистрации или другого метода. При веб-регистрации щелкните требуется расширенный сертификати Создать и отправить запрос в ЦС. Убедитесь, что размер ключа — 1024 или выше и что установлен флажок Пометить ключ как экспортируемый .

  2. Сертификат помещается в хранилище пользователя. Его необходимо переместить в хранилище локального компьютера.

  3. Для этого экспортируйте сертификат из хранилища пользователя. Убедитесь, что экспорт производится с помощью закрытого ключа. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. В папке Computer\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортированный файл из расположения, в котором он сохранен. Укажите пароль, который используется для экспорта, и убедитесь, что установлен флажок Пометить ключ как экспортируемый . На странице "Хранилище сертификатов" оставьте параметр по умолчанию Разместить все сертификаты в следующем хранилищеи убедитесь, что отображается раздел Личное .

  5. После импорта настройте компьютер для распознавания сервера DPM как авторизованного выполнять архивацию, как показано далее.

    1. Получите отпечаток сертификата. В хранилище Сертификаты дважды щелкните сертификат. Откройте вкладку Сведения и прокрутите страницу вниз, к сертификату. Щелкните его, выделите и скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Перейдите в папку C:\Program files\Microsoft Data Protection anager\DPM\bin. Запустите setdpmserver следующим образом:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Где ClientThumbprintWithNoSpaces копируется из файла Блокнота.

    3. Чтобы убедиться, что настройка успешно выполнена, необходимо получить выходные данные.

  6. Верните BIN-файл и скопируйте его на сервер DPM. Рекомендуется скопировать его в расположение по умолчанию, в котором процесс Attach будет искать этот файл (Windows\System32), чтобы при запуске команды Attach можно было указать только имя файла вместо полного пути.

Присоединение компьютера

Подключение компьютера к серверу DPM производится с помощью скрипта Attach-ProductionServerWithCertificate.ps1 PowerShell с использованием синтаксиса.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName — имя сервера DPM

  • PSCredential — имя BIN-файла. Если он помещен в папку Windows\System32, можно указать только имя файла. Укажите BIN-файл, созданный на защищенном сервере. Если указать BIN-файл, созданный на сервере DPM, то все защищенные компьютеры, настроенные для проверки подлинности на основе сертификата, будут удалены.

После завершения процесса подключения компьютер должен появиться на консоли DPM.

Примеры

Пример 1

Создает файл в c:\\CertMetaData\\ с именем CertificateConfiguration\_<DPM SERVER FQDN>.bin.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Где dpmserver.contoso.com — имя сервера DPM, а cf822d9ba1c801ef40d4b31de0cfcb200a8a2496 — отпечаток сертификата сервера DPM.

Пример 2

Повторное создание файла конфигурации в папке c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Переключение между проверкой подлинности NTLM и проверкой подлинности на основе сертификата

Примечание

  • Следующие кластерные рабочие нагрузки поддерживают только проверку подлинности на основе сертификата, если они развернуты в недоверенном домене:
    • кластерный файловый сервер;
    • кластерный сервер SQL;
    • кластер Hyper-V.
  • Если агент DPM в настоящее время настроен на использование NTLM в кластере или изначально был настроен на использование NTLM, но затем был переключен на проверку подлинности на основе сертификата без предварительного удаления этого агента, то операция перечисления с кластером не выдаст ресурсы для защиты.

Чтобы переключиться с проверки подлинности NTLM на проверку подлинности на основе сертификата, выполните следующие действия для перенастройки агента DPM:

  1. На сервере DPM удалите все узлы кластера с помощью скрипта Remove-ProductionServer.ps1 в PowerShell.
  2. Удалите агент DPM на всех узлах и удалите папку агента: C:\Program Files\Microsoft Data Protection Manager.
  3. Выполните действия, описанные в разделе Резервное копирование с помощью проверки подлинности на основе сертификата.
  4. Когда агенты будут развернуты и настроены для проверки подлинности на основе сертификата, убедитесь, что обновление агентов дало нужный результат и правильно отображаются данные (недоверенный домены — сертификаты) для каждого из узлов.
  5. Обновите узлы или кластер, чтобы получить список защищаемых источников данных и повторно попытайтесь защитить кластеризованные ресурсы.
  6. Добавьте рабочую нагрузку для защиты и завершите работу мастера групп защиты.