通过

在工作组和不受信任的域中准备计算机进行备份

  • 项目

System Center Data Protection Manager (DPM) 可以保护不受信任的域或工作组中的计算机。 可以使用本地用户帐户(NTLM 身份验证)或使用证书对这些计算机进行身份验证。 对于这两种类型的身份验证,需要先准备基础结构,然后才能设置包含要备份的源的保护组。

  1. 安装证书 - 如果要使用证书 身份验证,请在 DPM 服务器上和要保护的计算机上安装证书。

  2. 安装代理 - 在要保护的计算机上安装代理。

  3. 识别 DPM 服务器 - 将计算机配置为识别 DPM 服务器以执行备份。 为此,你将运行 SetDPMServer 命令。

  4. 附加计算机 - 最后,需要将受保护的计算机附加到 DPM 服务器。

准备工作

在开始之前,请检查支持的保护方案和所需的网络设置。

支持的方案

工作负载类型 受保护的服务器状态和支持
文件 工作组:支持

不受信任的域:支持

单个服务器的 NTLM 和证书身份验证。 仅针对群集的证书身份验证。
系统状态 工作组:支持

不受信任的域:支持

仅 NTLM 身份验证
SQL Server 工作组:支持

不受信任的域:支持

不支持镜像。

单个服务器的 NTLM 和证书身份验证。 仅针对群集的证书身份验证。
Hyper-V Server 工作组:支持

不受信任的域:支持

NTLM 和证书身份验证
Hyper-V 群集 工作组:不支持

不受信任的域:支持(仅限证书身份验证)
Exchange Server 工作组:不适用

不受信任的域:仅支持单个服务器。 不支持群集。 不支持 CCR、SCR、DAG。 支持 LCR。

仅 NTLM 身份验证
辅助 DPM 服务器(用于备份主 DPM 服务器)

请注意,主 DPM 服务器和辅助 DPM 服务器位于相同或双向林传递受信任域。		 工作组:支持

不受信任的域:支持

仅证书身份验证
SharePoint 工作组:不支持

不受信任的域:不支持
客户端计算机 工作组:不支持

不受信任的域:不支持
裸机恢复 (BMR) 工作组:不支持

不受信任的域:不支持
End-user recovery 工作组:不支持

不受信任的域:不支持

网络设置

设置 工作组或不受信任的域中的计算机
控制数据 协议:DCOM

默认端口:135

身份验证:NTLM/证书
文件传输 协议:Winsock

默认端口:5718 和 5719

身份验证:NTLM/证书
DPM 帐户要求 本地帐户,无需 DPM 服务器上的管理员权限。 使用 NTLM v2 通信
证书要求
代理安装 已在受保护的计算机上安装代理
外围网络 不支持外围网络保护。
IPSEC 确保 IPSEC 不会阻止通信。

使用 NTLM 身份验证进行备份

下面是需要执行的操作:

  1. 安装代理 - 在要保护的计算机上安装代理。

  2. 配置代理 - 将计算机配置为识别 DPM 服务器以执行备份。 为此,你将运行 SetDPMServer 命令。

  3. 附加计算机 - 最后,需要将受保护的计算机附加到 DPM 服务器。

安装和配置代理

  1. 在要保护的计算机上,从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。

  2. 通过运行 SetDpmServer 来配置代理,如下所示:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. 指定参数,如下所示:

    • -DpmServerName - 指定 DPM 服务器的名称。 如果服务器和计算机可以使用 FQDN 或 NETBIOS 名称相互访问,请使用 FQDN。

    • -IsNonDomainServer - 用于指示服务器位于与要保护的计算机相关的工作组或不受信任的域中。 为所需的端口创建防火墙例外。

    • -UserName - 指定要用于 NTLM 身份验证的帐户的名称。 若要使用此选项,应指定 -isNonDomainServer 标志。 将创建本地用户帐户,并将 DPM 保护代理配置为使用此帐户进行身份验证。

    • -ProductionServerDnsSuffix - 如果服务器配置了多个 DNS 后缀,请使用此开关。 此开关表示服务器用来连接到要保护的计算机的 DNS 后缀。

  4. 命令成功完成后,打开 DPM 控制台。

更新密码

若要更新 NTLM 凭据的密码,请在受保护的计算机上运行以下命令:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

你需要使用配置保护时所用的同一命名约定(FQDN 或 NETBIOS)。 在 DPM 服务器上,需要运行 Update -NonDomainServerInfo PowerShell cmdlet。 然后,需要刷新受保护计算机的代理信息。

NetBIOS 示例:受保护的计算机: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM 服务器: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN 示例:受保护的计算机: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM 服务器: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. 在 DPM 控制台中,运行保护代理安装向导。

  2. 在“选择代理部署方法” 中,选择“附加代理”

  3. 输入要附加到的计算机的计算机名、用户名和密码。 这些信息应是您安装代理时指定的凭据。

  4. 查看“摘要”页,然后选择“附加”。

可以视情况运行 Windows PowerShell Attach-NonDomainServer.ps1 命令而不是运行向导。 为此,请查看下一节中的示例。

示例

示例 1

安装代理后配置工作组计算机的示例:

  1. 在计算机上,运行 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark

  2. 在 DPM 服务器上,运行 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark

由于工作组计算机通常仅可通过使用 NetBIOS 名称进行访问,因此 DPMServerName 的值必须为 NetBIOS 名称。

示例 2

安装代理后配置 NetBIOS 名称发生冲突的工作组计算机的示例。

  1. 在工作组计算机上,运行 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com

  2. 在 DPM 服务器上,运行 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark

使用证书身份验证进行备份

下面介绍如何使用证书身份验证设置保护。

  • 要保护的每台计算机都应至少安装 .NET Framework 3.5 SP1。

  • 用于身份验证的证书必须符合以下要求:

    • X.509 V3 证书。

    • 增强型密钥使用 (EKU) 应具有客户端身份验证和服务器身份验证。

    • 密钥长度应至少为 1024 位。

    • 密钥类型应为 exchange

    • 证书的使用者名称和根证书不应为空。

    • 相关联证书颁发机构的吊销服务器处于联机状态,受保护的服务器与 DPM 服务器都可访问

    • 证书应具有关联的私钥。

    • DPM 不支持使用 CNG 密钥的证书。

    • DPM 不支持自签名证书。

  • 要保护的每台计算机(包括虚拟机)必须具有其自己的证书。

设置保护

  1. 创建 DPM 证书模板

  2. 在 DPM 服务器上配置证书

  3. 安装代理

  4. 在受保护的计算机上配置证书

  5. 附加计算机

创建 DPM 证书模板

您可以视情况设置一个 DPM 模板以用于 Web 注册。 如果要执行此操作,请根据其用途选择具有客户端身份验证和服务器身份验证的模板。 例如:

  1. 证书模板 MMC 管理单元中,可以选择 RAS 和 IAS 服务器 模板。 右键单击该模板并选择“复制模板”。

  2. 在“复制模板” 中,保留默认设置“Windows Server 2003 Enterprise”

  3. 在“常规” 选项卡上,将该模板显示名称更改为可识别的内容。 例如, DPM 身份验证。 确保已启用 Active Directory 中的“发布证书”设置

  4. 在“请求处理”选项卡中,确保启用“允许导出私钥”。

  5. 创建模板后,使其可供使用。 打开“证书颁发机构”管理单元。 右键单击“证书模板” ,选择“新建” ,然后选择“要颁发的证书模板” 。 在 “启用证书模板”中,选择该模板,然后选择“ 确定”。 现在,该模板将在您获得证书时可用。

启用注册或自动注册

如果要选择为注册或自动注册配置模板,请在模板属性中选择“使用者名称”选项卡。 配置注册时,可以在 MMC 中选择模板。 如果配置自动注册,则会自动将证书分配给域中的所有计算机。

  • 对于注册,在模板属性的“使用者名称” 选项卡中,启用“选择用 Active Directory 中的信息生成” 。 在“使用者名称”格式中,选择“公用名并启用 DNS 名称。 然后转到“安全性”选项卡,并将“注册” 权限分配给已身份验证的用户。

  • 对于自动注册,请转到“安全性” 选项卡,并将“自动注册” 权限分配给已身份验证的用户。 启用此设置后,证书将自动分配给域中的所有计算机。

  • 如果已配置注册,则可以根据模板在 MMC 中请求新证书。 为此,请在受保护的计算机上,在“证书(本地计算机)个人>,右键单击“证书”。 选择“所有任务>请求新证书”。向导的“选择证书注册策略 ”页中,选择 “Active Directory 注册策略”。 在 请求证书中,你将看到模板。 展开 “详细信息 ”并选择“ 属性”。 选择“常规” 选项卡并提供一个好记的名称。 应用设置后,应会收到一条消息,指出证书已成功安装。

Configure a certificate on the DPM server

  1. 通过 Web 注册或其他方法从 DPM 服务器的 CA 生成证书。 在 Web 注册中,选择 所需的 高级证书,然后 创建并提交到此 CA 的请求。 确保密钥大小为 1024 或更高版本,并选择 “将密钥标记为可 导出”。

  2. 证书将放在用户存储中。 需要将其移动到本地计算机存储。

  3. 为此,请从用户存储导出证书。 确保使用私钥导出它。 可采用默认 .pfx 格式将其导出。 指定导出密码。

  4. 在本地计算机\个人\证书中,运行证书导入向导,从其保存的位置导入导出的文件。 指定用于导出它的密码,并确保 将此密钥标记为可 导出。 在“证书存储”页上,保留默认设置 ,将所有证书放在以下存储 中,并确保 显示“个人 ”。

  5. 导入后,将 DPM 凭据设置为使用证书,如下所示:

    1. 获取证书指纹。 在“证书存储”中,双击证书。 选择“ 详细信息 ”选项卡,然后向下滚动到指纹。 选择它,然后突出显示并复制它。 将指纹粘贴到记事本,并删除任何空格。

    2. 运行 Set-DPMCredentials 以配置 DPM 服务器:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - 指示身份验证的类型。 值:“证书”

    • -Action - 指定是首次执行命令还是重新生成凭据。 可能值: 重新生成配置

    • -OutputFilePath - 受保护计算机上的 Set-DPMServer 中使用的输出文件的位置。

    • -Thumbprint - 从记事本文件复制。

    • -AuthCAThumbprint - 证书信任链中 CA 的指纹。 可选。 如果未指定,将使用根证书。

  6. 将生成在不受信任的域中安装每个代理时所需的元数据文件 (.bin)。 在运行命令之前,请确保 C:\Temp 文件夹存在。

    注意

    如果文件丢失或删除,可以通过使用 -action 重新生成 选项运行脚本来重新创建它。

  7. 检索 .bin 文件,并将其复制到要保护的计算机上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹。 无需执行此操作,但如果不需要为 -DPMcredential 参数指定文件的完整路径,则需要指定文件的完整路径

  8. 在保护工作组或不受信任的域中的计算机的每个 DPM 服务器上重复这些步骤。

安装代理

  1. 在要保护的每台计算机上,从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。

在受保护的计算机上配置证书

  1. 通过 Web 注册或其他方法,从 CA 为受保护的计算机生成证书。 在 Web 注册中,选择 所需的 高级证书,然后 创建并提交到此 CA 的请求。 确保密钥大小为 1024 或更高版本, 并将密钥标记为可 导出。

  2. 证书将放在用户存储中。 需要将其移动到本地计算机存储。

  3. 为此,请从用户存储导出证书。 确保使用私钥导出它。 可采用默认 .pfx 格式将其导出。 指定导出密码。

  4. 在本地计算机\个人\证书中,运行证书导入向导,从其保存的位置导入导出的文件。 指定用于导出它的密码,并确保 将此密钥标记为可 导出。 在“证书存储”页上,保留默认设置 ,将所有证书放在以下存储 中,并确保 显示“个人 ”。

  5. 导入后,将计算机配置为将 DPM 服务器识别为有权执行备份,如下所示:

    1. 获取证书指纹。 在“证书存储”中,双击证书。 选择“ 详细信息 ”选项卡,然后向下滚动到指纹。 选择它,并突出显示并复制它。 将指纹粘贴到记事本,并删除任何空格。

    2. 导航到 C:\Program files\Microsoft Data Protection Manager\DPM\bin 文件夹,并运行 setdpmserver ,如下所示:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      其中,ClientThumbprintWithNoSpaces 是从记事本文件复制的。

    3. 应获得输出以确认配置已成功完成。

  6. 检索 .bin 文件,并将其复制到 DPM 服务器。 建议将其复制到附加进程将检查文件(Windows\System32)的默认位置,以便在运行 Attach 命令时指定文件名而不是完整路径。

Attach the computer

您可以使用语法,通过 Attach-ProductionServerWithCertificate.ps1 PowerShell 脚本将计算机附加到 DPM 服务器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-DPM 服务器的名称

  • .bin文件的 PSCredential-Name。 如果将它放置在 Windows\System32 文件夹中,则只能指定文件名。 确保指定在受保护服务器上创建的.bin文件。 如果指定在 DPM 服务器上创建的.bin文件,则将删除配置为基于证书的身份验证的所有受保护计算机。

附加过程完成后,受保护的计算机应显示在 DPM 控制台中。

示例

示例 1

使用名称生成文件c:\\CertMetaData\\CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

其中 dpmserver.contoso.com 是 DPM 服务器的名称,“cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”是 DPM 服务器证书的指纹。

示例 2

在文件夹 c:\CertMetaData\ 中重新生成丢失的配置文件

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

在 NTLM 和证书身份验证之间切换

注意

  • 在不受信任的域中部署时,以下群集工作负荷仅支持证书身份验证:
    • 群集文件服务器
    • 群集 SQL Server
    • Hyper-V 群集
  • 如果 DPM 代理当前配置为在群集上使用 NTLM 或最初配置为使用 NTLM,但后来切换到证书身份验证,而无需先删除 DPM 代理,则群集的枚举不会显示要保护的任何资源。

若要从 NTLM 身份验证切换到证书身份验证,请使用以下步骤重新配置 DPM 代理:

  1. 在 DPM 服务器上,使用 Remove-ProductionServer.ps1 PowerShell 脚本删除群集的所有节点。
  2. 在所有节点上卸载 DPM 代理,然后从 C:\Program Files\Microsoft Data Protection Manager 删除代理文件夹。
  3. 按照使用证书身份验证进行备份中的步骤操作。
  4. 为证书身份验证部署和配置代理后,请验证代理刷新是否正常工作,并且它为每个节点正确显示(不受信任的 - 证书)。
  5. 刷新节点/群集以获取要保护的数据源列表;重试保护群集资源(s)。
  6. 添加要保护的工作负荷并完成“保护组”向导。