Sdílet prostřednictvím

Příprava počítačů v pracovních skupinách a nedůvěryhodných doménách pro zálohování

  • Článek

System Center Data Protection Manager (DPM) může chránit počítače, které jsou v nedůvěryhodných doménách nebo pracovních skupinách. Tyto počítače můžete ověřit pomocí místního uživatelského účtu (ověřování NTLM) nebo pomocí certifikátů. Pro oba typy ověřování budete muset před nastavením skupiny ochrany obsahující zdroje, které chcete zálohovat, připravit infrastrukturu.

  1. Nainstalujte certifikát – Pokud chcete použít ověřování pomocí certifikátu, nainstalujte certifikát na server DPM a na počítač, který chcete chránit.

  2. Nainstalujte agenta – Nainstalujte agenta do počítače, který chcete chránit.

  3. Rozpoznání serveru DPM – Nakonfigurujte počítač tak, aby rozpoznal server DPM pro provádění záloh. Uděláte to tak, že spustíte příkaz SetDPMServer.

  4. Připojte počítač – nakonec budete muset připojit chráněný počítač k serveru DPM.

Než začnete

Než začnete, zkontrolujte podporované scénáře ochrany a požadovaná nastavení sítě.

Podporované scénáře

Typ úlohy Stav a podpora chráněného serveru
Soubory Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporováno

NtLM a ověřování certifikátů pro jeden server. Ověřování certifikátů pouze pro cluster.
Stav systému Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporováno

Pouze ověřování NTLM
SQL Server Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporováno

Zrcadlení není podporováno.

NtLM a ověřování certifikátů pro jeden server. Ověřování certifikátů pouze pro cluster.
Hyper-V server Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporováno

NtLM a ověřování certifikátů
Cluster Hyper-V Pracovní skupina: Nepodporuje se

Nedůvěryhodná doména: Podporovaná (pouze ověřování certifikátů)
Exchange Server Pracovní skupina: Nepoužije se

Nedůvěryhodná doména: Podporuje se pouze pro jeden server. Cluster není podporovaný. CCR, SCR, DAG nejsou podporovány. LCR je podporováno.

Pouze ověřování NTLM
Sekundární server DPM (pro zálohování primárního serveru DPM)

Všimněte si, že primární i sekundární servery DPM jsou ve stejné nebo obousměrně důvěryhodné doméně v rámci doménové struktury lesa.		 Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporováno

Pouze ověřování certifikátů
SharePoint Pracovní skupina: Nepodporuje se

Nedůvěryhodná doména: Nepodporuje se
Klientské počítače Pracovní skupina: Nepodporuje se

Nedůvěryhodná doména: Nepodporuje se
Obnova na holý kov (BMR) Pracovní skupina: Nepodporuje se

Nedůvěryhodná doména: Nepodporuje se
Obnovení koncového uživatele Pracovní skupina: Nepodporuje se

Nedůvěryhodná doména: Nepodporuje se

Nastavení sítě

Nastavení Počítač v pracovní skupině nebo nedůvěryhodné doméně
Řízení dat Protokol: DCOM

Výchozí port: 135

Ověřování: NTLM nebo certifikát
Přenos souborů Protokol: Winsock

Výchozí port: 5718 a 5719

Ověřování: NTLM nebo certifikát
Požadavky na účet DPM Místní účet bez oprávnění správce na serveru DPM. Používá komunikaci ntLM v2.
Požadavky na certifikáty
Instalace agenta Agent nainstalovaný na chráněném počítači
Hraniční síť Ochrana hraniční sítě není podporována.
IPSEC Ujistěte se, že protokol IPSEC neblokuje komunikaci.

Zazálohujte pomocí ověřování NTLM

Tady je postup, který budete potřebovat:

  1. Nainstalujte agenta – Nainstalujte agenta do počítače, který chcete chránit.

  2. Nakonfigurujte agenta – Nakonfigurujte počítač tak, aby rozpoznal server DPM pro provádění záloh. Uděláte to tak, že spustíte příkaz SetDPMServer.

  3. Připojte počítač – nakonec budete muset připojit chráněný počítač k serveru DPM.

Instalace a konfigurace agenta

  1. Na počítači, který chcete chránit, spusťte DPMAgentInstaller_X64.exe z instalačního disku CD aplikace DPM a nainstalujte agenta.

  2. Nakonfigurujte agenta spuštěním rutiny SetDpmServer následujícím způsobem:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Parametry zadejte následujícím způsobem:

    • -DpmServerName – Zadejte název serveru DPM. Použijte buď plně kvalifikovaný název domény, pokud jsou server a počítač vzájemně přístupné pomocí plně kvalifikovaných názvů domén, nebo název NETBIOS.

    • -IsNonDomainServer – Slouží k označení, že server je v pracovní skupině nebo nedůvěryhodné doméně ve vztahu k počítači, který chcete chránit. Pro požadované porty se vytvoří výjimky brány firewall.

    • -UserName – Zadejte název účtu, který chcete použít pro ověřování NTLM. Pokud chcete tuto možnost použít, měli byste mít zadaný příznak -isNonDomainServer. Vytvoří se místní uživatelský účet a agent ochrany DPM bude nakonfigurovaný tak, aby tento účet používal k ověřování.

    • -ProductionServerDnsSuffix – Tento přepínač použijte, pokud má server nakonfigurovaných více přípon DNS. Tento přepínač představuje příponu DNS, kterou server používá pro připojení k počítači, který chráníte.

  4. Po úspěšném dokončení příkazu otevřete konzolu DPM.

Aktualizace hesla

Pokud v libovolném okamžiku chcete aktualizovat heslo pro přihlašovací údaje NTLM, spusťte na chráněném počítači následující příkaz:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Budete muset použít stejné zásady vytváření názvů (FQDN nebo NETBIOS), které jste použili při konfiguraci ochrany. Na serveru DPM budete muset spustit rutinu PowerShellu Update -NonDomainServerInfo. Potom budete muset aktualizovat informace o agentovi chráněného počítače.

Příklad rozhraní NetBIOS: Chráněný počítač: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Příklad úplného názvu domény (FQDN): Chráněný počítač: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Připojení počítače

  1. V konzole DPM spusťte průvodce instalací agenta ochrany.

  2. V části Vybrat metodu nasazení agenta vyberte Připojit agenty.

  3. Zadejte název počítače, uživatelské jméno a heslo počítače, ke které se chcete připojit. Měly by se jednat o přihlašovací údaje, které jste zadali při instalaci agenta.

  4. Zkontrolujte stránku Souhrn a vyberte Připojit.

Volitelně můžete místo spuštění průvodce spustit příkaz Attach-NonDomainServer.ps1 prostředí Windows PowerShell. Uděláte to tak, že se podíváte na příklad v další části.

Příklady

Příklad 1

Příklad konfigurace počítače pracovní skupiny po instalaci agenta:

  1. Na počítači spusťte SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markpříkaz .

  2. Na serveru DPM spusťte Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username markpříkaz .

Vzhledem k tomu, že počítače pracovní skupiny jsou obvykle přístupné pouze pomocí názvu NetBIOS, musí být hodnota dpmServerName názvem NetBIOS.

Příklad 2

Příklad konfigurace počítače pracovní skupiny s konfliktními názvy rozhraní NetBIOS po instalaci agenta

  1. Na počítači pracovní skupiny spusťte SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Na serveru DPM spusťte Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username markpříkaz .

Zálohování pomocí autentizace certifikátem

Tady je postup, jak nastavit ochranu pomocí ověřování certifikátů.

  • Každý počítač, který chcete chránit, by měl mít nainstalované minimálně rozhraní .NET Framework 3.5 s aktualizací SP1.

  • Certifikát, který používáte k ověřování, musí splňovat následující podmínky:

    • Certifikát X.509 V3.

    • Rozšířené použití klíčů (EKU) by mělo zahrnovat ověřování klienta a ověřování serveru.

    • Délka klíče by měla být minimálně 1024 bitů.

    • Typ klíče by měl být exchange.

    • Název subjektu certifikátu a kořenový certifikát by neměl být prázdný.

    • Servery odvolání přidružených certifikačních autorit jsou online a přístupné jak chráněným serverem, tak serverem DPM.

    • Certifikát by měl mít přidružený privátní klíč.

    • DPM nepodporuje certifikáty s klíči CNG.

    • DPM nepodporuje certifikáty podepsané svým držitelem.

  • Každý počítač, který chcete chránit (včetně virtuálních počítačů), musí mít svůj vlastní certifikát.

Nastavení ochrany

  1. Vytvoření šablony certifikátu DPM

  2. Konfigurace certifikátu na serveru DPM

  3. Nainstalujte agenta

  4. Konfigurace certifikátu na chráněném počítači

  5. Připojení počítače

Vytvoření šablony certifikátu DPM

Volitelně můžete nastavit šablonu DPM pro webovou registraci. Pokud to chcete udělat, vyberte šablonu, která má jako zamýšlený účel ověřování klienta a ověřování serveru. Příklad:

  1. V modulu snap-in Šablony certifikátů konzoly MMC můžete vybrat šablonu serveru RAS a IAS. Klikněte na ni pravým tlačítkem a vyberte Duplikovat šablonu.

  2. V Duplikovat šablonu ponechte výchozí nastavení Windows Server 2003 Enterprise.

  3. Na kartě Obecné změňte zobrazovaný název šablony na něco rozpoznatelného. Například ověřování DPM. Ujistěte se, že je povolené nastavení Publikovat certifikát ve službě Active Directory .

  4. Na kartě Zpracování žádostí se ujistěte, že je povolené povolení exportu privátního klíče.

  5. Po vytvoření šablony ji zpřístupníte pro použití. Otevřete modul snap-in Certifikační autorita. Klikněte pravým tlačítkem na Šablony certifikátů, vyberte Nový a zvolte Šablona certifikátu, která se má vydat. V Povolit šablonu certifikátu vyberte šablonu a zvolte OK. Šablona bude nyní k dispozici při získání certifikátu.

Povolení registrace nebo automatického zápisu

Pokud chcete volitelně nakonfigurovat šablonu pro registraci nebo automatický zápis, vyberte ve vlastnostech šablony kartu Název subjektu. Při konfiguraci registrace lze šablonu vybrat v konzole MMC. Pokud nakonfigurujete automatický zápis, certifikát se automaticky přiřadí ke všem počítačům v doméně.

  • Pro registraci povolte na kartě Název subjektu vlastnosti šablony možnost Vybrat sestavení z těchto informací služby Active Directory. Ve formátu názvu subjektu vyberte Obecný název a povolte název DNS. Pak přejděte na kartu Zabezpečení a přiřaďte oprávnění Zapsat ověřeným uživatelům.

  • V případě automatického zápisu přejděte na kartu Zabezpečení a přidělte oprávnění Autoenroll ověřeným uživatelům. Když je toto nastavení povolené, certifikát se automaticky přiřadí všem počítačům v doméně.

  • Pokud jste nakonfigurovali registraci, budete moct požádat o nový certifikát v konzole MMC na základě šablony. Abyste to provedli, na chráněném počítači v Certifikáty (místní počítač)>Osobní klikněte pravým tlačítkem myši na Certifikáty. Vyberte všechny úkoly>, které požadují nový certifikát. Na stránce Vybrat zásady zápisu certifikátu v průvodci vyberte Zásady zápisu služby Active Directory. V Vyžádání certifikátů se zobrazí šablona. Rozbalte podrobnosti a vyberte Vlastnosti. Vyberte kartu Obecné a zadejte popisný název. Po použití nastavení byste měli obdržet zprávu, že certifikát byl úspěšně nainstalován.

Konfigurace certifikátu na serveru DPM

  1. Vygenerujte certifikát z certifikační autority pro server DPM prostřednictvím webové registrace nebo jiné metody. Ve webové registraci vyberte požadovaný rozšířený certifikát a vytvořte a odešlete žádost této certifikační autoritě. Ujistěte se, že je velikost klíče 1024 nebo vyšší a že je vybraná možnost Označit klíč jako exportovatelný .

  2. Certifikát se umístí do úložiště uživatelů. Musíte ho přesunout do úložiště místního počítače.

  3. Uděláte to tak, že exportujete certifikát z úložiště uživatelů. Ujistěte se, že ho exportujete pomocí privátního klíče. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. V místním počítači\Osobní\Certifikát spusťte Průvodce importem certifikátu a importujte exportovaný soubor z uloženého umístění. Zadejte heslo, které jste použili k jeho exportu, a ujistěte se, že je vybrána možnost Označit tento klíč jako exportovatelný. Na stránce Úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že je zobrazeno Osobní.

  5. Po importu nastavte přihlašovací údaje DPM tak, aby používaly certifikát následujícím způsobem:

    1. Získejte otisk certifikátu. V úložišti certifikátů poklikejte na certifikát. Vyberte kartu Podrobnosti a posuňte se dolů k otisku prstu. Vyberte ho a pak ho zvýrazněte a zkopírujte. Vložte kryptografický otisk do Poznámkového bloku a odeberte všechny mezery.

    2. Spuštěním příkazu Set-DPMCredentials nakonfigurujte server DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type – označuje typ ověřování. Hodnota: certifikát.

    • -Action – Určete, jestli chcete příkaz provést poprvé nebo znovu vygenerovat přihlašovací údaje. Možné hodnoty: znovu vygenerujte nebo nakonfigurujte.

    • -OutputFilePath – umístění výstupního souboru použitého v souboru Set-DPMServer v chráněném počítači.

    • -Thumbprint – zkopírujte ze souboru Poznámkového bloku.

    • -AuthCAThumbprint – kryptografický otisk certifikační autority v řetězu důvěryhodnosti certifikátu. Nepovinné. Pokud není zadaný, použije se root.

  6. Tím se vygeneruje soubor metadat (.bin), který se vyžaduje v době instalace každého agenta v nedůvěryhodné doméně. Před spuštěním příkazu se ujistěte, že složka C:\Temp existuje.

    Poznámka:

    Pokud dojde ke ztrátě nebo odstranění souboru, můžete ho znovu vytvořit spuštěním skriptu s možností -action znovu vygenerovat .

  7. Načtěte soubor .bin a zkopírujte ho do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin v počítači, který chcete chránit. Nemusíte to dělat, ale pokud to neuděláte, budete muset zadat úplnou cestu k souboru pro parametr -DPMcredential, když spustíte příkaz.

  8. Tento postup opakujte na každém serveru DPM, který bude chránit počítač v pracovní skupině nebo v nedůvěryhodné doméně.

Nainstalujte agenta

  1. Na každém počítači, který chcete chránit, spusťte DPMAgentInstaller_X64.exe z instalačního disku CD aplikace DPM a nainstalujte agenta.

Konfigurace certifikátu na chráněném počítači

  1. Vygenerujte certifikát z certifikační autority pro chráněný počítač prostřednictvím webové registrace nebo jiné metody. Ve webové registraci vyberte požadovaný rozšířený certifikát a vytvořte a odešlete žádost této certifikační autoritě. Ujistěte se, že je velikost klíče 1024 nebo vyšší a že je vybraná možnost Označit klíč jako exportovatelný .

  2. Certifikát se umístí do úložiště uživatelů. Musíte jej přesunout do úložiště místního počítače.

  3. Uděláte to tak, že exportujete certifikát z úložiště uživatelů. Ujistěte se, že ho exportujete pomocí privátního klíče. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. V místním počítači\Osobní\Certifikát spusťte Průvodce importem certifikátu a importujte exportovaný soubor z uloženého umístění. Zadejte heslo, které jste použili k jeho exportu, a ujistěte se, že je zaškrtnuto pole Označit tento klíč jako exportovatelný. Na stránce Úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že Osobní se zobrazí.

  5. Po importu nakonfigurujte počítač tak, aby rozpoznal server DPM jako autorizovaný k provádění záloh následujícím způsobem:

    1. Získejte otisk certifikátu. V úložišti certifikátů poklikejte na certifikát. Vyberte kartu Podrobnosti a posuňte se dolů na kryptografický otisk. Vyberte ho a zvýrazněte ho a zkopírujte ho. Vložte kryptografický otisk do Poznámkového bloku a odeberte všechny mezery.

    2. Přejděte do složky C:\Program files\Microsoft Data Protection Manager\DPM\bin a spusťte setdpmserver následujícím způsobem:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Kde je ClientThumbprintWithNoSpaces zkopírován ze souboru poznámkového bloku.

    3. Měli byste získat výstup, abyste potvrdili, že konfigurace byla úspěšně dokončena.

  6. Načtěte soubor .bin a zkopírujte ho na server DPM. Doporučujeme jej zkopírovat do výchozího umístění, ve kterém proces připojení zkontroluje soubor (Windows\System32), abyste při spuštění příkazu Attach mohli místo úplné cesty zadat název souboru.

Připojení počítače

Počítač připojíte k serveru DPM pomocí skriptu PowerShellu Attach-ProductionServerWithCertificate.ps1 pomocí syntaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name serveru DPM

  • PSCredential-Name souboru .bin. Pokud jste ho umístili do složky Windows\System32, můžete zadat pouze název souboru. Ujistěte se, že jste zadali .bin soubor vytvořený na chráněném serveru. Pokud zadáte soubor .bin vytvořený na serveru DPM, odeberete všechny chráněné počítače, které jsou nakonfigurované pro ověřování pomocí certifikátů.

Po dokončení procesu připojení by se chráněný počítač měl zobrazit v konzole DPM.

Příklady

Příklad 1

Vygeneruje soubor c:\\CertMetaData\\ s názvem. CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Kde dpmserver.contoso.com je název serveru DPM a "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" je kryptografický otisk certifikátu serveru DPM.

Příklad 2

Znovu vygeneruje ztracený konfigurační soubor ve složce c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Přepínání mezi protokolem NTLM a ověřováním certifikátů

Poznámka:

  • Následující clusterované úlohy podporují ověřování certifikátů pouze při nasazení v nedůvěryhodné doméně:
    • Clusterovaný souborový server
    • Clusterovaný SQL server
    • Cluster Hyper-V
  • Pokud je agent DPM aktuálně nakonfigurovaný tak, aby používal protokol NTLM v clusteru nebo byl původně nakonfigurovaný tak, aby používal protokol NTLM, ale později se přepnul na ověřování pomocí certifikátu bez prvního odebrání agenta DPM, nebude výčet clusteru zobrazovat žádné prostředky pro ochranu.

Pokud chcete přepnout z ověřování ntLM na ověřování certifikátů, pomocí následujícího postupu překonfigurujte agenta DPM:

  1. Na serveru DPM odeberte všechny uzly clusteru pomocí skriptu PowerShellu Remove-ProductionServer.ps1 .
  2. Odinstalujte agenta DPM na všech uzlech a odstraňte složku agenta ze složky C:\Program Files\Microsoft Data Protection Manager.
  3. Postupujte podle kroků v zálohování pomocí ověřování certifikátem.
  4. Jakmile se agenti nasadí a nakonfigurují pro ověřování certifikátů, ověřte, že aktualizace agenta funguje, a pro každý z uzlů se správně zobrazí (nedůvěryhodné – certifikáty).
  5. Aktualizujte uzly nebo cluster, abyste získali seznam zdrojů dat, které chcete chránit; zkuste znovu chránit clusterované prostředky.
  6. Přidejte úlohu pro ochranu a dokončete Průvodce skupinou ochrany.