Förbereda datorer i arbetsgrupper och ej betrodda domäner för säkerhetskopiering
Viktigt
Den här versionen av Data Protection Manager (DPM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till DPM 2022.
System Center Data Protection Manager (DPM) kan skydda datorer som finns i obetrodda domäner eller arbetsgrupper. Du kan autentisera dessa datorer med ett lokalt användarkonto (NTLM-autentisering) eller med certifikat. För båda typerna av autentisering måste du förbereda infrastrukturen innan du kan konfigurera en skyddsgrupp som innehåller de källor som du vill säkerhetskopiera.
Installera ett certifikat – Om du vill använda certifikatautentisering installerar du ett certifikat på DPM-servern och på den dator som du vill skydda.
Installera agenten – Installera agenten på den dator som du vill skydda.
Identifiera DPM-servern – Konfigurera datorn så att den känner igen DPM-servern för säkerhetskopiering. Det gör du genom att köra kommandot SetDPMServer.
Anslut datorn – Slutligen måste du ansluta den skyddade datorn till DPM-servern.
Innan du börjar
Innan du börjar bör du kontrollera skyddsscenarier som stöds och nödvändiga nätverksinställningar.
Scenarier som stöds
Typ av arbetsbelastning | Skyddat servertillstånd och -stöd |
---|---|
Filer | Arbetsgrupp: Stöds Obetrodd domän: Stöds NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster. |
Systemtillstånd | Arbetsgrupp: Stöds Obetrodd domän: Stöds Endast NTLM-autentisering |
SQL Server | Arbetsgrupp: Stöds Obetrodd domän: Stöds Spegling stöds inte. NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster. |
Hyper-V-server | Arbetsgrupp: Stöds Obetrodd domän: Stöds NTLM och certifikatautentisering |
Hyper-V kluster | Arbetsgrupp: Stöds inte Ej betrodd domän: Stöds (endast certifikatautentisering) |
Exchange Server | Arbetsgrupp: Inte tillämpligt Ej betrodd domän: Stöds endast för enskild server. Kluster stöds inte. CCR, SCR, DAG stöds inte. LCR stöds. Endast NTLM-autentisering |
Sekundär DPM-server (för säkerhetskopiering av den primära DPM-servern) Observera att både primära och sekundära DPM-servrar finns i samma eller tvåvägs skogtransiterande betrodd domän. |
Arbetsgrupp: Stöds Obetrodd domän: Stöds Endast certifikatautentisering |
SharePoint | Arbetsgrupp: Stöds inte Ej betrodd domän: Stöds inte |
Klientdatorer: | Arbetsgrupp: Stöds inte Ej betrodd domän: Stöds inte |
BMR (Bare Metal Recovery) | Arbetsgrupp: Stöds inte Ej betrodd domän: Stöds inte |
Slutanvändaråterställning | Arbetsgrupp: Stöds inte Ej betrodd domän: Stöds inte |
Nätverksinställningar
Inställningar | Dator i arbetsgrupp eller ej betrodd domän |
---|---|
Kontrolldata | Protokoll: DCOM Standardport: 135 Autentisering: NTLM/certifikat |
Filöverföring | Protokoll: Winsock Standardport: 5718 och 5719 Autentisering: NTLM/certifikat |
DPM-kontokrav | Lokalt konto utan administratörsrättigheter på DPM-servern. Använder NTLM v2-kommunikation |
Certifikatkrav | |
Agentinstallation | Agent installeras på skyddad dator |
Perimeternätverk | Perimeternätverksskydd stöds inte. |
IPSEC | Kontrollera att IPSEC inte blockerar kommunikation. |
Säkerhetskopiera med NTLM-autentisering
Det här behöver du göra:
Installera agenten – Installera agenten på den dator som du vill skydda.
Konfigurera agenten – Konfigurera datorn så att den identifierar DPM-servern för att utföra säkerhetskopieringar. Det gör du genom att köra kommandot SetDPMServer.
Anslut datorn – Slutligen måste du ansluta den skyddade datorn till DPM-servern.
Installera och konfigurera agenten
Kör DPMAgentInstaller_X64.exe från DPM-installationsskivan för att installera agenten på den dator som du vill skydda.
Konfigurera agenten genom att köra SetDpmServer på följande sätt:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
Ange följande parametrar:
-DpmServerName – Ange namnet på DPM-servern. Använd antingen ett FQDN om servern och datorn är tillgängliga för varandra med hjälp av FQDN eller ett NETBIOS-namn.
-IsNonDomainServer – Används för att ange att servern finns i en arbetsgrupp eller en obetrodd domän i förhållande till den dator som du vill skydda. Brandväggsundantag skapas för portar som krävs.
-UserName – Ange namnet på det konto som du vill använda för NTLM-autentisering. Om du vill använda det här alternativet bör du ha flaggan -isNonDomainServer angiven. Ett lokalt användarkonto skapas och DPM-skyddsagenten konfigureras för att använda det här kontot för autentisering.
-ProductionServerDnsSuffix – Använd den här växeln om servern har flera konfigurerade DNS-suffix. Den här växeln representerar det DNS-suffix som servern använder för att ansluta till datorn som du skyddar.
När kommandot har slutförts öppnar du DPM-konsolen.
Uppdatera lösenordet
Om du vill uppdatera lösenordet för NTLM-autentiseringsuppgifter kör du följande på den skyddade datorn:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
Du måste använda samma namngivningskonvention (FQDN eller NETBIOS) som du använde när du konfigurerade skyddet. På DPM-servern måste du köra PowerShell-cmdleten Update -NonDomainServerInfo. Sedan måste du uppdatera agentinformationen för den skyddade datorn.
NetBIOS-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
DPM-server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
FQDN-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
DPM-server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Bifoga datorn
Kör installationsguiden för skyddsagent i DPM-konsolen.
I Välj agentdistributionsmetod väljer du Bifoga agenter.
Ange datornamn, användarnamn och lösenord för den dator som du vill koppla till. Dessa ska vara de autentiseringsuppgifter du angav när du installerade agenten.
Granska sidan Sammanfattning och välj Bifoga.
Du kan välja att köra kommandot Windows PowerShell Attach-NonDomainServer.ps1 i stället för att köra guiden. Det gör du genom att ta en titt på exemplet i nästa avsnitt.
Exempel
Exempel 1
Exempel för att konfigurera en arbetsgruppsdator efter att agenten har installerats:
Kör
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
på datorn.På DPM-servern kör du
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
.
Eftersom arbetsgruppsdatorer normalt endast är tillgängliga via NetBIOS-namn måste värdet för DPMServerName vara NetBIOS-namnet.
Exempel 2
Exempel för att konfigurera en arbetsgruppsdator med motstridiga NetBIOS-namn efter att agenten har installerats.
Kör
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
på arbetsgruppsdatorn.På DPM-servern kör du
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
.
Säkerhetskopiera med certifikatautentisering
Så här konfigurerar du skydd med certifikatautentisering.
Varje dator som du vill skydda måste ha minst .NET Framework 3.5 med SP1 installerat.
Certifikatet som du använder för autentisering måste uppfylla följande:
X.509 V3-certifikat.
Förbättrad nyckelanvändning (EKU) ska ha klientautentisering och serverautentisering.
Nyckellängden ska vara minst 1024 bitar.
Nyckeltypen ska vara exchange.
Certifikatets och rotcertifikatets ämnesnamn får inte vara tomt.
Återkallningsservrarna för de associerade certifikatutfärdarna ska vara online och tillgängliga för både den skyddade servern och DPM-servern
Certifikatet ska ha en associerad privat nyckel.
DPM stöder inte certifikat med CNG-nycklar.
DPM har inte stöd för självsignerade certifikat.
Varje dator som du vill skydda (inklusive virtuella datorer) måste ha ett eget certifikat.
Konfigurera skydd
Skapa en DPM-certifikatmall
Om du vill kan du konfigurera en DPM-mall för webbregistrering. Det gör du genom att välja en mall som har klientautentisering och serverautentisering som avsett syfte. Exempel:
I MMC-snapin-modulen Certifikatmallar kan du välja mallen RAS och IAS Server . Högerklicka på mallen och välj Duplicera mall.
I Duplicera mall lämnar du standardinställningen Windows Server 2003 Enterprise.
På fliken Allmänt ändrar du visningsnamnet för mallen till något som är lätt att känna igen. Till exempel DPM-autentisering. Kontrollera att inställningen Publicera certifikat i Active Directory är aktiverad.
På fliken Hantering av begäranden kontrollerar du att Tillåt att privat nyckel exporteras är aktiverat.
När du har skapat mallen gör du den tillgänglig för användning. Öppna snapin-modulen Certifikatutfärdare. Högerklicka på Certifikatmallar, välj Ny och sedan Certifikatmall som ska utfärdas. I Aktivera certifikatmall väljer du mallen och väljer OK. Nu blir mallen tillgänglig när du har fått ett certifikat.
Aktivera registrering eller automatisk registrering
Om du vill konfigurera mallen för registrering eller automatisk registrering väljer du fliken Ämnesnamn i mallegenskaperna. När du konfigurerar registreringen kan du välja mallen i MMC. Om du konfigurerar automatisk registrering tilldelas certifikatet automatiskt till alla datorer i domänen.
För registrering aktiverar du Skapa utifrån följande Active Directory-information på fliken Ämnesnamn i mallens egenskaper. I Format för ämnesnamn väljer du Eget namn och aktiverar DNS-namn. Gå till fliken Säkerhet och tilldela autentiserade användare behörigheten Registrera.
För automatisk registrering går du fliken Säkerhet och tilldelar autentiserade användare behörigheten Registrera automatiskt. När den här inställningen är aktiverad tilldelas certifikatet automatiskt till alla datorer i domänen.
Om du har konfigurerat registreringen kan du begära ett nytt certifikat i MMC baserat på mallen. Det gör du genom att högerklicka på Certifikati Certifikat (lokal dator)>Personligt på den skyddade datorn. Välj Alla aktiviteter>Begär nytt certifikat. På sidan Välj princip för certifikatregistrering i guiden väljer du Active Directory-registreringsprincip. I Begär certifikat visas mallen. Expandera Information och välj Egenskaper. Välj fliken Allmänt och ange ett eget namn. När du har tillämpat inställningarna bör du få ett meddelande om att certifikatet har installerats.
Konfigurera ett certifikat på DPM-servern
Generera ett certifikat från en certifikatutfärdare för DPM-servern via webbregistrering eller någon annan metod. I webbregistrering väljer du avancerat certifikat som krävs och Skapa och skicka en begäran till den här certifikatutfärdare. Kontrollera att nyckelstorleken är 1 024 eller högre och att Markera nyckeln som exporterbar är markerad.
Certifikatet placeras i användararkivet. Du måste flytta den till det lokala datorarkivet.
Det gör du genom att exportera certifikatet från användararkivet. Se till att du exporterar den med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.
I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från dess sparade plats. Ange lösenordet som du använde för att exportera den och se till att Markera den här nyckeln som exporterbar har valts. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i följande arkiv och se till att Personligt visas.
Efter importen anger du DPM-autentiseringsuppgifterna så att certifikatet används på följande sätt:
Hämta tumavtrycket för certifikatet. Dubbelklicka på certifikatet i certifikatarkivet . Välj fliken Information och rulla ned till tumavtrycket. Markera den och markera och kopiera den. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.
Kör Set DPMCredentials för att konfigurera DPM-servern:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type – anger typ av autentisering. Värde: certificate.
-Action – Ange om du vill utföra kommandot för första gången eller återskapa autentiseringsuppgifterna. Möjliga värden: regenerate eller configure.
- OutputFilePath – platsen för utdatafilen som används i Set-DPMServer på den skyddade datorn.
-Tumavtryck – Kopiera från anteckningar-filen.
-AuthCAThumbprint – Tumavtryck för certifikatutfärdare i certifikatets förtroendekedja. Valfritt. Om detta inte anges kommer Root att användas.
Detta genererar en metadatafil (.bin) som krävs vid tidpunkten för varje agentinstallation i en obetrodd domän. Kontrollera att mappen C:\Temp finns innan du kör kommandot .
Anteckning
Om filen tappas bort eller tas bort kan du återskapa den genom att köra skriptet med alternativet -action regenerate .
Hämta .bin-filen och kopiera den till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin på datorn som du vill skydda. Du behöver inte göra detta, men om du inte gör det måste du ange den fullständiga sökvägen till filen för parametern -DPMcredential när du
Upprepa stegen på varje DPM-server som skyddar en dator i en arbetsgrupp eller en ej betrodd domän.
Installera agenten
- Kör DPMAgentInstaller_X64.exe från installations-CD:n för DPM och installera agenten på varje dator som du vill skydda.
Konfigurera ett certifikat på den skyddade datorn
Generera ett certifikat från en certifikatutfärdare för den skyddade datorn, antingen via webbregistrering eller någon annan metod. I webbregistrering väljer du avancerat certifikat som krävs och Skapa och skicka en begäran till den här certifikatutfärdare. Kontrollera att nyckelstorleken är 1 024 eller högre och att Markera nyckeln som exporterbar är markerad.
Certifikatet placeras i användararkivet. Du måste flytta den till det lokala datorarkivet.
Det gör du genom att exportera certifikatet från användararkivet. Se till att du exporterar den med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.
I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från dess sparade plats. Ange lösenordet som du använde för att exportera den och se till att Markera den här nyckeln som exporterbar har valts. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i följande arkiv och se till att Personligt visas.
Efter importen konfigurerar du datorn så att den känner igen DPM-servern som auktoriserad att utföra säkerhetskopior på följande sätt:
Hämta tumavtrycket för certifikatet. Dubbelklicka på certifikatet i certifikatarkivet . Välj fliken Information och rulla ned till tumavtrycket. Markera den och markera och kopiera den. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.
Gå till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin och kör setdpmserver på följande sätt:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
Där ClientThumbprintWithNoSpaces kopieras från anteckningsfilen.
Du bör hämta utdata för att bekräfta att konfigurationen har slutförts.
Hämta .bin-filen och kopiera den till DPM-servern. Vi föreslår att du kopierar den till standardplatsen där bifoga-processen söker efter filen (Windows\System32) så att du bara kan ange filnamnet i stället för den fullständiga sökvägen när du kör kommandot Bifoga.
Bifoga datorn
Du ansluter datorn till DPM-servern genom att använda PowerShell-skriptet Attach-ProductionServerWithCertificate.ps1 med följande syntax.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName – Namnet på DPM-servern
PSCredential – Namnet på .bin-filen. Om du har placerat den i mappen Windows\System32 kan du endast ange filnamnet. Kontrollera att du anger den .bin fil som skapats på den skyddade servern. Om du anger .bin fil som skapats på DPM-servern tar du bort alla skyddade datorer som har konfigurerats för certifikatbaserad autentisering.
När anslutningen har slutförts bör den skyddade datorn visas i DPM-konsolen.
Exempel
Exempel 1
Genererar en fil i c:\\CertMetaData\\
med namnet CertificateConfiguration\_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
Där dpmserver.contoso.com är namnet på DPM-servern och "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" är tumavtrycket för DPM-servercertifikatet.
Exempel 2
Genererar en förlorad konfigurationsfil på nytt i mappen c:\CertMetaData\
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
Växla mellan NTLM- och certifikatautentisering
Anteckning
- Följande klustrade arbetsbelastningar stöder endast certifikatautentisering när de distribueras i en ej betrodd domän:
- Klustrad filserver
- Klustrad SQL-server
- Hyper-V kluster
- Om DPM-agenten för närvarande är konfigurerad för att använda NTLM på ett kluster eller ursprungligen konfigurerades att använda NTLM men senare bytte till certifikatautentisering utan att först ta bort DPM-agenten, visar uppräkning av klustret inga resurser att skydda.
Om du vill växla från NTLM-autentisering till certifikatautentisering använder du följande steg för att konfigurera om DPM-agenten:
- På DPM-servern tar du bort alla noder i klustret med hjälp av Remove-ProductionServer.ps1 PowerShell-skript.
- Avinstallera DPM-agenten på alla noder och ta bort agentmappen från C:\Program Files\Microsoft Data Protection Manager.
- Följ stegen i säkerhetskopieringen med certifikatautentisering.
- När agenterna har distribuerats och konfigurerats för certifikatautentisering kontrollerar du att agentuppdateringen fungerar och att den visas korrekt (ej betrodda – certifikat) för var och en av noderna.
- Uppdatera noderna/klustret för att hämta en lista över datakällor som ska skyddas. försök att skydda klustrade resurser igen.
- Lägg till arbetsbelastningen för att skydda och slutför guiden Skyddsgrupp.