Freigeben über


DPM 2012 証明書ベースでの保護 その3 DPM サーバーとの接続

こんにちは、日本マイクロソフト System Center Support Team の益戸です。

前々回前回に引き続き証明書ベースでの保護を設定します。

いよいよ、今回ではDPM Server と DPM Agent との接続を実施します。

 

まずは、DPM サーバー上で 証明書 の拇印を確認します。

mmc.exe を起動し、ローカル コンピューターを選択、[個人] - [証明書] から、対象の証明書をダブルクリックします。

標準された証明書の画面から、「詳細」タブを選択し、「拇印」を確認します。

テキストボックスからコピーができるので、Ctr + c でコピーして、メモ帳等に貼り付け、置換でスペースを全て消しましょう。

 

 

次に、DPM 管理シェルを起動し、以下のコマンドレットを実行します。(長いですが、一行です。)

 

Set-DPMCredentials -DPMServerName <DPMサーバーのFQDN名> -Type Certificate -Action Configure -OutputFilePath <Bin ファイルの出力先> –Thumbprint "<DPM サーバー用に発行された証明書の拇印>"

 

例 : 今回は以下のコマンドとなります。事前に bin ファイル出力先の C:\CertData については手動で作成しています。(長いですが、一行です。)

Set-DPMCredentials -DPMServerName DPM01.SC2012R2-JP.com -Type Certificate -Action Configure -OutputFilePath C:\CertData\ –Thumbprint "‎acf05715f2aa4e30365b18bc9e2b43a3d08ab97b"

 

問題なければ、「構成が正常に完了しました」というメッセージが表示され、Bin ファイルの出力先に指定したフォルダー内に CertificateConfiguration_<DPM サーバーのFQDN名>.bin ファイルが作成されます。

 

ここで、作成された CertificateConfiguration_<DPM サーバーのFQDN名>.bin ファイルを DPM Agent 側へコピーします。

DPM Agent 側では、まず、DPM サーバーから Agent モジュールをダウンロードし、ローカルでインストールします。

DPM サーバー上の以下に最新モジュールは展開されています。

DPM Agent モジュール : <DPM インストール フォルダー>\DPM\ProtectionAgents\RA

 

導入が完了した後、DPM サーバーと同様に証明書の拇印を確認します。

 

管理者権限にてコマンド プロンプトを起動し、<DPM Agent インストールフォルダー>\DPM\bin へ移動します。

* 既定のパスは "C:\Program Files\Microsoft Data Protection Manager\DPM\bin"

以下のコマンドを実行し、 bin ファイルを作成します。(長いですが、これも一行です。)

 

SetDPMServer.exe -dpmCredential <DPM サーバーからコピーした、CertificateConfiguration_<DPM サーバー名>.bin ファイルのフルパス> -OutputFilePath  <Bin ファイルの出力先> -Thumbprint "<保護対象サーバー用に発行された証明書の拇印>"

 

正常に完了した場合、[Configuration completed successfully!!!] の出力と共に、Bin ファイル出力先に <CertificateConfiguration_サーバーのFQDN名>.bin が作成されます。

* 処理の中で、CA 証明書や CA 証明書チェーン、base CRL、delta CRL 等を参照します。エラーが出る場合は、証明書サービスから最新版をダウンロードし、手動でインストールしましょう。

 

例 : 今回は以下のコマンドとなります。事前に bin ファイル出力先の C:\CertData については手動で作成しています。(長いですが、これも一行です。)

‎SetDPMServer.exe -dpmCredential C:\CertData\CertificateConfiguration_DPM01.SC2012R2-JP.com.bin -OutputFilePath C:\CertData -Thumbprint "‎e157c40b87a2be5588688b7a9927fa4b86146f53"

 

ここで、作成された CertificateConfiguration_<DPM Agent のFQDN名>.bin ファイルを DPM サーバーの C:\Windows\System32 へコピーします。

DPM 管理コンソールより、以下のコマンドレットを実行します。(長いですが、これも一行です。)

 

Attach-ProductionServerWithCertificate.ps1 -DPMServerName <DPMサーバーのFQDN名> –PSCredential <保護対象サーバーからコピーした、CertificateConfiguration_<保護対象サーバー名>.bin ファイル>

 

例 : Attach-ProductionServerWithCertificate.ps1 -DPMServerName DPM01.SC2012R2-JP.com -PSCredential C:\CertData\CertificateConfiguration_WS2012R2.bin

 

正常に接続が完了すると、[Attached Production Server with certificates successfully] と表示され、DPM 管理コンソールからも確認ができるようになります。

 

DPM 管理コンソールからは、「信頼されていない – 証明書」と表示されます。

 

あとは、通常通り、保護グループを作成しバックアップを実施することが可能となります。

ただし、サポートされるシナリオは全てではないのでご注意を。

詳細は、以下の技術情報からご確認ください。

 

ワークグループおよび信頼されていないドメインに属するコンピューターの保護

https://technet.microsoft.com/ja-jp/library/hh757801.aspx