準備工作群組和不受信任網域的電腦進行備份

  • 發行項

重要

此版本的 Data Protection Manager (DPM) 已終止支援。 建議您 升級至 DPM 2022

System Center Data Protection Manager (DPM) 可保護位於不受信任之網域或工作群組的電腦。 您可以使用本機用戶帳戶 (NTLM 驗證) 或使用憑證來驗證這些計算機。 針對這兩種類型的驗證,您必須先準備基礎結構,才能設定包含您要備份之來源的保護群組。

  1. 安裝憑證 - 如果您想要使用憑證驗證,請在 DPM 伺服器和您想要保護的電腦上安裝憑證。

  2. 安裝代理程式 - 在您要保護的電腦上安裝代理程式。

  3. 辨識 DPM 伺服器 - 設定電腦以辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。

  4. 附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。

開始之前

在開始之前,請先查看受支援的保護案例與必要的網路設定。

支援的案例

工作負載類型 受保護的伺服器狀態與支援
檔案 工作群組:支援

不受信任的網域:支援

單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。
系統狀態 工作群組:支援

不受信任的網域:支援

只限 NTLM 驗證
SQL Server 工作群組:支援

不受信任的網域:支援

不支援鏡像。

單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。
Hyper-V 伺服器 工作群組:支援

不受信任的網域:支援

NTLM 和憑證驗證
Hyper-V 叢集 工作群組:不支援

不受信任的網域:僅支援 (憑證驗證)
Exchange Server 工作群組:不適用

不受信任的網域:僅支援單一伺服器。 不支援叢集。 不支援 CCR、SCR、DAG。 支援 LCR。

只限 NTLM 驗證
次要 DPM 伺服器 (針對主要 DPM 伺服器的備份)

請注意,主要和次要 DPM 伺服器都位於相同或雙向樹系可轉移的受信任網域。		 工作群組:支援

不受信任的網域:支援

僅限憑證驗證
SharePoint 工作群組:不支援

不受信任的網域:不支援
用戶端電腦 工作群組:不支援

不受信任的網域:不支援
裸機復原 (BMR) 工作群組:不支援

不受信任的網域:不支援
使用者復原 工作群組:不支援

不受信任的網域:不支援

網路設定

設定 工作群組或不受信任之網域中的電腦
控制資料 通訊協定:DCOM

預設連接埠:135

驗證:NTLM/憑證
檔案傳輸 通訊協定:Winsock

預設連接埠:5718 和 5719

驗證:NTLM/憑證
DPM 帳戶需求 DPM 伺服器上沒有系統管理權限的本機帳戶。 使用 NTLM v2 通訊
憑證需求
代理程式安裝 受保護的電腦上安裝的代理程式
周邊網路 不支援周邊網路保護。
IPSEC 請確定 IPSEC 不會封鎖通訊。

使用 NTLM 驗證進行備份

必要的步驟列舉如下:

  1. 安裝代理程式:在您想要保護的電腦上安裝代理程式。

  2. 設定代理程式:設定電腦辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。

  3. 附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。

安裝與設定代理程式

  1. 在您想要保護的電腦上,執行 DPM 安裝光碟片上的 DPMAgentInstaller_X64.exe 來安裝代理程式。

  2. 執行 SetDpmServer 來設定代理程式,如下所示:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. 指定如下的參數:

    • -DpmServerName - 指定 DPM 伺服器的名稱。 如果使用 FQDN 或 NETBIOS 名稱彼此存取伺服器和電腦,請使用 FQDN。

    • -IsNonDomainServer - 用來指出伺服器位於與您要保護的計算機相關的工作組或未受信任的網域中。 會建立必要連接埠的防火牆例外。

    • -UserName - 指定您要用於 NTLM 驗證的帳戶名稱。 若要使用此選項,您應該已指定 -isNonDomainServer 旗標。 隨即便會建立本機使用者帳戶,並設定 DPM 保護代理程式使用此帳戶來進行驗證。

    • -ProductionServerDnsSuffix - 如果伺服器已設定多個 DNS 後綴,請使用此參數。 這個參數代表伺服器用來連接到您要保護之電腦的 DNS 尾碼。

  4. 當命令成功完成時,請開啟 DPM 控制台。

更新密碼

如果您想在任何時候更新 NTLM 認證的密碼,請在受保護的電腦上執行下列命令:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

您必須在設定保護時所使用的相同命名慣例 (FQDN 或 NETBIOS) 。 在 DPM 伺服器上,您必須執行 Update -NonDomainServerInfo PowerShell Cmdlet。 然後您必須重新整理受保護電腦的代理程式資訊。

NetBIOS 範例:受保護的電腦:SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePasswordDPM 伺服器:Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN 範例:受保護的電腦:SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM 伺服器:Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

連接電腦

  1. 在 DPM 主控台中,執行 [保護代理程式安裝] 精靈。

  2. 在 [選擇代理程式部署方法] 中選取 [連接代理程式]

  3. 輸入您要附加之電腦的電腦名稱、使用者名稱和密碼。 這些應該是您安裝代理程式時所指定的認證。

  4. 檢閱 [ 摘要 ] 頁面,然後選取 [ 附加]。

您可以選擇性地執行 Windows PowerShell Attach-NonDomainServer.ps1 命令,而不要執行精靈。 若要這樣做,請參閱下一節中的範例。

範例

範例 1

安裝代理程式之後設定工作群組電腦的範例:

  1. 在電腦上,執行 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark

  2. 在 DPM 伺服器上執行 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark

因為工作群組電腦通常只能使用 NetBIOS 名稱進行存取,因此 DPMServerName 的值必須是 NetBIOS 名稱。

範例 2

在安裝代理程式之後,設定 NetBIOS 名稱發生衝突的工作群組電腦範例。

  1. 在工作群組電腦上,執行 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com

  2. 在 DPM 伺服器上執行 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark

使用憑證驗證備份

以下為使用憑證驗證設定保護的方法。

  • 您要保護的每一部電腦至少應該已安裝 .NET Framework 3.5 (含 SP1)。

  • 您用於驗證的憑證必須符合下列各項:

    • X.509 V3 憑證。

    • 增強金鑰使用方法 (EKU) 應該具有用戶端驗證和伺服器驗證。

    • 金鑰長度至少應為 1024 位元。

    • 金鑰類型應該是 exchange

    • 憑證和跟證書的主體名稱不應該是空的。

    • 相關憑證授權單位的撤銷伺服器會上線並可由受保護的伺服器和 DPM 伺服器存取

    • 憑證應該具有相關聯的私鑰。

    • DPM 不支援具有 CNG 金鑰的憑證。

    • DPM 不支援自我簽署的憑證。

  • 您要保護的每部電腦 (包括虛擬機器) 都必須有自己的憑證。

設定保護

  1. 建立 DPM 憑證範本

  2. Configure a certificate on the DPM server

  3. 安裝代理程式

  4. 在受保護的電腦上設定憑證

  5. 連接電腦

建立 DPM 憑證範本

您可以選擇性地設定網頁註冊的 DPM 範本。 如果想要執行這項操作,請選取以用戶端驗證和伺服器驗證做為其預定用途的範本。 例如:

  1. [證書範本 ] MMC 嵌入式管理單元中,您可以選取 RAS 和 IAS 伺服器 範本。 以滑鼠右鍵按一下它,然後選取 [複製範本]

  2. [複製範本]中,保留預設設定 [Windows Server 2003 Enterprise]

  3. [一般] 索引標籤中,將範本顯示名稱變更為可辨識的項目。 例如 ,DPM 驗證。 確定已啟用 Active Directory 中的 [發佈憑證 ] 設定。

  4. 在 [ 要求處理 ] 索引標籤中,確定已啟用 [允許匯出私鑰 ]。

  5. 建立範本之後,請讓它可供使用。 開啟 [憑證授權單位] 嵌入式管理單元。 以滑鼠右鍵按一下 [憑證範本] ,選取 [新增] ,然後選擇 [要發出的憑證範本] 。 在 [啟用證書範本] 中,選取範本,然後選取 [ 確定]。 範本現在將可在您取得憑證時使用。

啟用註冊或自動註冊

如果您想要選擇性地設定註冊或自動註冊的範本,請選取範本屬性中的 [主體名稱] 索引標籤。 當您設定註冊時,可以在 MMC 中選取範本。 如果您設定自動註冊,憑證會自動指派給網域中的所有計算機。

  • 針對註冊,在範本屬性的 [主體名稱] ] 索引標籤中,啟用 [從此 Active Directory 資訊中選取組建]。 在 [主體名稱格式] 中,選取 [一般名稱 ] 並啟用 DNS 名稱。 然後移至 [安全性] 索引標籤,並指派 [註冊] 權限給經過驗證的使用者。

  • 對於自動註冊,請移至 [安全性] 索引標籤,並指派 [自動註冊] 權限給經過驗證的使用者。 啟用此設定后,憑證會自動指派給網域中的所有計算機。

  • 如果您已設定註冊,您將能夠根據範本在 MMC 中要求新的憑證。 若要這樣做,請在受保護的計算機上,在 [憑證] ([本機計算機]) >[個人] 中,以滑鼠右鍵按兩下 [ 憑證]。 選取 [所有工作>要求新憑證]。 在精靈的 [ 選取憑證註冊原則 ] 頁面中,選取 [Active Directory 註冊原則]。 在 [要求憑證] 中,您會看到範本。 展開 [詳細數據 ],然後選取 [ 屬性]。 選取 [一般] 索引標籤並提供好記的名稱。 套用設定之後,您應該會收到已成功安裝憑證的訊息。

Configure a certificate on the DPM server

  1. 透過 Web 註冊或其他方法,從 DPM 伺服器的 CA 產生憑證。 在 Web 註冊中,選取所需的進階憑證,然後建立並提交要求給此 CA。 確定金鑰大小為 1024 或更新版本,且已選取 [ 將索引鍵標示為可匯出 ]。

  2. 憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。

  3. 若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈] 從其儲存位置匯入導出的檔案。 指定您用來匯出的密碼,並確定已選取 [將此金鑰標示為可匯出 ]。 在 [證書存儲] 頁面上,保留預設設定 [將所有憑證放在下列存放區] ,並確定 [ 個人 ] 隨即顯示。

  5. 匯入之後,將 DPM 認證設定為使用憑證,如下所示:

    1. 取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引 卷標,然後向下捲動至指紋。 選取它,然後反白顯示並複製它。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 執行 Set-DPMCredentials 設定 DPM 伺服器︰

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - 指出驗證的類型。 值: 憑證

    • -Action - 指定您是否要第一次執行命令,或重新產生認證。 可能值: regenerateconfigure

    • -OutputFilePath - 受保護計算機上 Set-DPMServer 所使用的輸出檔位置。

    • -Thumbprint - 從記事本檔案複製。

    • -AuthCAThumbprint - 憑證信任鏈結中 CA 的指紋。 選擇性。 若未指定,將會使用 Root。

  6. 這會產生中繼資料檔案 (.bin),而每次在不受信任的網域中安裝每個代理程式時都需要此檔案。 執行命令之前,請確定 C:\Temp 資料夾存在。

    注意

    如果檔案遺失或刪除,您可以使用 -action regenerate 選項執行腳本來重新建立檔案。

  7. 擷取 .bin 檔案,並將它複製到您要保護之電腦上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾。 您不一定要這麼做,但若未這麼做,您需要指定 -DPMcredential 參數的檔案完整路徑。

  8. 在將要保護工作群組中或不受信任網域中之電腦的每部 DPM 伺服器上重複這些步驟。

安裝代理程式

  1. 在您要保護的每部電腦上,執行 DPM 安裝光碟片中的 DPMAgentInstaller_X64.exe 以安裝代理程式。

在受保護的電腦上設定憑證

  1. 透過網頁註冊或透過其他方法,從 CA 產生受保護伺服器的憑證。 在 Web 註冊中,選取 所需的進階憑證然後建立並提交此 CA 的要求。 確定金鑰大小為 1024 或更新版本,且已選取 [將密鑰標示為可匯出 ]。

  2. 憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。

  3. 若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈],從其儲存的位置匯入導出的檔案。 指定您用來匯出的密碼,並確定已選取 [將此金鑰標示為可匯出 ]。 在 [證書存儲] 頁面上,保留預設設定 [ 將所有憑證放在下列存放區] ,並確定 [ 個人 ] 已顯示。

  5. 匯入之後,將計算機設定為將 DPM 伺服器辨識為已獲授權執行備份,如下所示:

    1. 取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引 卷標,然後向下捲動至指紋。 選取它,並反白顯示並加以複製。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 流覽至 C:\Program files\Microsoft Data Protection Manager\DPM\bin 資料夾,然後執行 setdpmserver ,如下所示:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      其中 ClientThumbprintWithNoSpaces 是從 [記事本] 檔案複製而來 。

    3. 您應該取得輸出,以確認設定已順利完成。

  6. 擷取 .bin 檔案並將它複製到 DPM 伺服器。 建議您將它複製到附加程式將檢查 Windows\System32 () 檔案的預設位置,以便您執行 Attach 命令時只指定檔名,而不是完整路徑。

連接電腦

您可使用 Attach-ProductionServerWithCertificate.ps1 PowerShell 指令碼 (語法如下),將電腦連接到 DPM 伺服器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName:DPM 伺服器的名稱

  • PSCredential:.bin 檔案的名稱。 如果您將它放在 Windows\System32 資料夾中,則只能指定檔名。 請確定您指定在受保護伺服器上建立的.bin檔案。 如果您指定在 DPM 伺服器上建立的.bin檔案,您將移除針對憑證式驗證設定的所有受保護計算機。

附加程式完成之後,受保護的計算機應該會出現在 DPM 控制台中。

範例

範例 1

c:\\CertMetaData\\ 中產生名為 CertificateConfiguration\_<DPM SERVER FQDN>.bin 的檔案

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

其中 dpmserver.contoso.com 是 DPM 伺服器的名稱,而 「cf822d9ba1c801ef40d4b31de0cfcb200a8a2496」 是 DPM 伺服器證書的指紋。

範例 2

在 c:\CertMetaData\ 資料夾中重新產生遺失的組態檔

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

在 NTLM 與憑證驗證之間切換

注意

  • 下列叢集工作負載只有在部署於不受信任的網域時,才支援憑證驗證:
    • 叢集檔伺服器
    • 叢集 SQL Server
    • Hyper-V 叢集
  • 如果 DPM 代理程式目前已設定為在叢集上使用 NTLM,或原本設定為使用 NTLM,但稍後切換至憑證驗證,而不需要先移除 DPM 代理程式,則叢集的列舉將不會顯示任何要保護的資源。

若要從 NTLM 驗證切換到憑證驗證,請使用下列步驟重新設定 DPM 代理程式:

  1. 在 DPM 伺服器上,使用 Remove-ProductionServer.ps1 PowerShell 腳本移除叢集的所有節點。
  2. 將所有節點上的 DPM 代理程式卸載,並從 C:\Program Files\Microsoft Data Protection Manager 刪除代理程序資料夾。
  3. 請遵循 使用憑證驗證進行備份中的步驟。
  4. 部署並設定代理程式以進行憑證驗證后,請確認代理程式重新整理可運作,並正確地顯示 (不受信任的 - 每個節點的憑證) 。
  5. 重新整理節點/叢集以取得要保護的數據源清單;重試保護叢集資源 () 。
  6. 新增工作負載以保護並完成保護群組精靈。