Compartir vía

Preparar las máquinas de grupos de trabajo y dominios que no son de confianza para copia de seguridad

  • Artículo

System Center Data Protection Manager (DPM) puede proteger los equipos que se encuentran en grupos de trabajo o dominios que no son de confianza. Puedes autenticar estos equipos mediante una cuenta de usuario local (autenticación NTLM) o mediante certificados. Para ambos tipos de autenticación, deberás preparar la infraestructura para poder configurar un grupo de protección que contenga los orígenes de los que deseas realizar una copia de seguridad.

  1. Instalar un certificado: si deseas usar la autenticación de certificados, instala un certificado en el servidor DPM y en el equipo que deseas proteger.

  2. Instalar el agente: instala el agente en el equipo que deseas proteger.

  3. Reconocer el servidor DPM: configura el equipo para que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecutarás el comando SetDPMServer.

  4. Adjuntar el equipo : por último, deberás adjuntar el equipo protegido al servidor DPM.

Antes de comenzar

Antes de empezar, comprueba los escenarios de protección admitidos y la configuración de red necesaria.

Escenarios admitidos

Tipo de carga de trabajo Estado y soporte técnico del servidor protegido
Archivos Grupo de trabajo: admitido

Dominio que no es de confianza: compatible

Para un solo servidor, puede usar la autenticación NTLM o de certificado. Autenticación de certificados solo para el clúster.
Estado del sistema Grupo de trabajo: admitido

Dominio que no es de confianza: compatible

Autenticación NTLM solamente
SQL Server Grupo de trabajo: admitido

Dominio que no es de confianza: compatible

No se admite la creación de reflejos.

Para un solo servidor, puede usar la autenticación NTLM o de certificado. Autenticación de certificados solo para el clúster.
Servidor de Hyper-V Grupo de trabajo: admitido

Dominio que no es de confianza: compatible

Autenticación NTLM y con certificados
Clúster de Hyper-V Grupo de trabajo: no admitido

Dominio no fiable: admitido (solo autenticación de certificados)
Exchange Server Grupo de trabajo: no aplicable

Dominio que no es de confianza: solo se admite para un solo servidor. No se admiten los clúster. CCR, SCR, DAG no son compatibles. LCR soportado.

Autenticación NTLM solamente
Servidor DPM secundario (para la copia de seguridad del servidor DPM principal)

Recuerda que tanto el servidor DPM principal como el secundario están en el mismo dominio de confianza transitivo forestal o en uno bidireccional.		 Grupo de trabajo: admitido

Dominio que no es de confianza: compatible

Autenticación basada en certificados exclusivamente
SharePoint Grupo de trabajo: no admitido

Dominio no confiable: no es compatible
Equipos cliente Grupo de trabajo: no admitido

Dominio no confiable: no es compatible
Recuperación Bare Metal (BMR) Grupo de trabajo: no admitido

Dominio no confiable: no es compatible
Recuperación de usuario final Grupo de trabajo: no admitido

Dominio no confiable: no es compatible

Configuración de red

Configuración Equipo en grupo de trabajo o dominio no confiable
Datos de control Protocolo: DCOM

Puerto por defecto: 135

Autenticación: NTLM/certificado
Transferencia de archivos Protocolo: Winsock

Puerto predeterminado: 5718 y 5719

Autenticación: NTLM/certificado
Requisitos de la cuenta DPM Cuenta local sin derechos de administrador en el servidor DPM. Usa la comunicación NTLM v2
Requisitos de certificados
Instalación del agente Agente instalado en el equipo protegido
Red de perímetro No se admite la protección de red perimetral.
IPSEC Asegúrate de que IPSEC no bloquea las comunicaciones.

Realizar una copia de seguridad mediante la autenticación NTLM

Esto es lo que debes hacer:

  1. Instalar el agente: instala el agente de protección en el equipo que quieres proteger.

  2. Configurar el agente: configura el equipo para que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecutarás el comando SetDPMServer.

  3. Conectar el equipo - Por último, deberás conectar el equipo protegido al servidor DPM.

Instalación y configuración del agente

  1. En el equipo que deseas proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar el agente.

  2. Configura el agente ejecutando SetDpmServer de la siguiente manera:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Modifica los parámetros de la forma siguiente:

    • -DpmServerName: especifica el nombre del servidor DPM. Utiliza un FQDN si el servidor y el equipo son accesibles entre sí mediante FQDNs o utiliza un nombre NETBIOS.

    • -IsNonDomainServer: se usa para indicar que el servidor está en un grupo de trabajo o un dominio que no es de confianza en relación con el equipo que deseas proteger. Las excepciones de firewall se crean para los puertos necesarios.

    • -UserName: especifica el nombre de la cuenta que se va a usar para la autenticación NTLM. Para usar esta opción, debes especificar la bandera -isNonDomainServer. Se creará una cuenta de usuario local y el agente de protección DPM se configurará para usar esta cuenta para la autenticación.

    • -ProductionServerDnsSuffix: usa este modificador si el servidor tiene varios sufijos DNS configurados. Este interruptor representa el sufijo DNS que usa el servidor para conectarse al equipo que estás protegiendo.

  4. Cuando el comando se complete correctamente, abre la consola DPM.

Actualizar la contraseña

Si en algún momento deseas actualizar la contraseña de las credenciales NTLM, ejecuta lo siguiente en el equipo protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Deberás usar la misma convención de nomenclatura (FQDN o NETBIOS) que usaste al configurar la protección. En el servidor DPM, deberás ejecutar el cmdlet Update -NonDomainServerInfo de PowerShell. Luego, necesitarás actualizar la información del agente en el equipo protegido.

Ejemplo de NetBIOS: equipo protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Ejemplo de FQDN: Equipo protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar el ordenador

  1. En la consola de DPM, ejecuta el Asistente para la instalación del agente de protección.

  2. En Seleccionar el método de implementación del agente, selecciona Adjuntar agentes.

  3. Escribe el nombre de equipo, el nombre de usuario y la contraseña del equipo al que deseas adjuntar. Estas deben ser las credenciales que especificaste al instalar el agente.

  4. Revisa la página Resumen y selecciona Adjuntar.

Opcionalmente, puedes ejecutar el comando Attach-NonDomainServer.ps1 de Windows PowerShell en lugar de ejecutar el asistente. Para ello, echa un vistazo al ejemplo de la sección siguiente.

Ejemplos

Ejemplo 1

Ejemplo para configurar un equipo de grupo de trabajo después de instalar el agente:

  1. En el equipo, ejecuta SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. En el servidor DPM, ejecuta Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Dado que los equipos del grupo de trabajo suelen ser accesibles solo mediante el nombre NetBIOS, el valor de DPMServerName debe ser el nombre netBIOS.

Ejemplo 2

Ejemplo para configurar un equipo de grupo de trabajo con nombres NetBIOS en conflicto después de instalar el agente.

  1. En el ordenador del grupo de trabajo, ejecuta SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. En el servidor DPM, ejecuta Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Hacer copia de seguridad mediante autenticación de certificados

Aquí se muestra cómo configurar la protección con autenticación de certificados.

  • Cada equipo que quieras proteger debe tener instalado al menos .NET Framework 3.5 con SP1 instalado.

  • El certificado que uses para la autenticación debe cumplir lo siguiente:

    • Certificado X.509 V3.

    • El Uso mejorado de clave (EKU) debe tener autenticación de cliente y autenticación de servidor.

    • La longitud de la clave debe ser de 1024 bits como mínimo.

    • El tipo de clave debe ser intercambio.

    • El nombre del firmante del certificado y el certificado raíz no deben estar vacíos.

    • Los servidores de revocación de las entidades de certificación asociadas están en línea y son accesibles tanto por el servidor protegido como por el servidor DPM.

    • El certificado debe tener asociada una clave privada.

    • DPM no admite certificados con claves CNG.

    • DPM no admite certificados autofirmados.

  • Cada equipo que quieras proteger (incluidas las máquinas virtuales) debe tener su propio certificado.

Configuración de la protección

  1. Creación de una plantilla de certificado DPM

  2. Configuración de un certificado en el servidor DPM

  3. Instalación del agente

  4. Configuración de un certificado en el equipo protegido

  5. Conectar el ordenador

Crear una plantilla de certificado DPM

Opcionalmente, puedes configurar una plantilla DPM para la inscripción web. Si deseas hacerlo, selecciona una plantilla que tenga autenticación de cliente y autenticación de servidor como su propósito previsto. Por ejemplo:

  1. En el complemento de MMC Plantillas de certificado, puedes seleccionar la plantilla Servidor RAS y IAS. Haz clic con el botón derecho en ella y selecciona Duplicar plantilla.

  2. En Duplicar plantilla, deja la configuración predeterminada Windows Server 2003 Enterprise.

  3. En la pestaña General, cambia el nombre de visualización de la plantilla a algo reconocible. Por ejemplo, autenticación DPM. Asegúrate de que la configuración Publicar certificado en Active Directory esté habilitada.

  4. En la pestaña Gestión de solicitudes, asegúrate de que Permitir exportar clave privada está habilitado.

  5. Después de crear la plantilla, haz que esté disponible para su uso. Abre el complemento Entidad de certificación. Haz clic con el botón secundario en Plantillas de certificado, selecciona Nueva y elige Plantilla de certificado que se va a emitir. En Habilitar plantilla de certificado, selecciona la plantilla y selecciona Aceptar. Ahora la plantilla estará disponible cuando obtengas un certificado.

Habilitar la inscripción o la inscripción automática

Opcionalmente, si deseas configurar la plantilla para el registro o el registro automático, selecciona la pestaña Nombre del sujeto en las opciones de la plantilla. Al configurar la inscripción, la plantilla se puede seleccionar en el MMC. Si configuras la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.

  • Para la inscripción, en la pestaña Nombre del sujeto de las propiedades de la plantilla, habilita Seleccionar construcción a partir de esta información de Active Directory. En Formato de nombre del firmante, selecciona Nombre común y habilita el nombre de DNS. Después ve a la pestaña Seguridad y asigna el permiso Inscribir a los usuarios autenticados.

  • Para la inscripción automática, ve a la pestaña Seguridad y asigna el permiso Inscripción automática a los usuarios autenticados. Con esta configuración habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.

  • Si has configurado la inscripción, podrás solicitar un nuevo certificado en MMC en función de la plantilla. Para ello, en el equipo protegido, en Certificados (equipo local)>Personal, haz clic con el botón derecho del ratón en Certificados. Selecciona Todas las tareas>Solicitar un nuevo certificado. En la página Seleccionar directiva de inscripción de certificado del asistente, selecciona Directiva de inscripción de Active Directory. En Solicitar certificados, verás la plantilla. Expande Detalles y selecciona Propiedades. Selecciona la pestaña General y proporciona un nombre descriptivo. Después de aplicar la configuración, deberías recibir un mensaje que indica que el certificado se instaló correctamente.

Configurar un certificado en el servidor DPM

  1. Generar un certificado desde una CA para el servidor DPM a través de la inscripción web o algún otro método. En la inscripción web, selecciona certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrate de que el tamaño de la clave es 1024 o superior y que Marcar clave como exportable está seleccionado.

  2. El certificado se coloca en el almacén de certificados del usuario. Debes moverlo al almacén de equipos locales.

  3. Para ello, exporta el certificado desde el almacén de usuarios. Asegúrate de exportarlo con la clave privada. Puedes exportarlo en el formato .pfx predeterminado. Especifica una contraseña para la exportación.

  4. En Local Computer\Personal\Certificate, ejecuta el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifica la contraseña que usaste para exportarla y asegúrate de que Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deja la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrate de que se muestra Personal.

  5. Después de la importación, establece las credenciales de DPM para usar el certificado de la siguiente manera:

    1. Obtén la huella digital del certificado. En el almacén de certificados, haz doble clic en el certificado. Selecciona la pestaña Detalles y desplázate hacia abajo hasta la huella digital. Selecciónalo y luego resáltalo y cópialo. Pega la huella digital en el Bloc de notas y quita los espacios.

    2. Ejecuta Set-DPMCredentials para configurar el servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type: indica el tipo de autenticación. Valor: certificado.

    • -Action: especifica si deseas realizar el comando por primera vez o volver a generar las credenciales. Valores posibles: regenerate o configure.

    • -OutputFilePath : ubicación del archivo de salida usado en Set-DPMServer en el equipo protegido.

    • -Thumbprint - Copie desde el archivo del Bloc de notas.

    • -AuthCAThumbprint: huella digital de la CA en la cadena de confianza del certificado. Opcional. Si no se especifica, se utilizará Root.

  6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en un dominio que no es de confianza. Asegúrate de que la carpeta C:\Temp existe antes de ejecutar el comando.

    Nota:

    Si el archivo se pierde o se elimina, puedes volver a crearlo ejecutando el script con la opción -action regenerate.

  7. Recupera el archivo .bin y cópialo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin del equipo que deseas proteger. No tienes por qué hacerlo, pero si no lo haces tendrás que especificar la ruta completa del archivo para el parámetro -DPMcredential cuando

  8. Repite estos pasos en todos los servidores DPM que protegerán un equipo de un grupo de trabajo o en un dominio que no sea de confianza.

Instalación del agente

  1. En cada equipo que quieras proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar el agente.

Configuración de un certificado en el equipo protegido

  1. Genere un certificado de una CA para el equipo protegido, a través de la inscripción web o de algún otro método. En la inscripción web, selecciona certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrate de que el tamaño de la clave sea 1024 o superior y que se seleccione Marcar clave como exportable.

  2. El certificado se coloca en el almacén de certificados del usuario. Debes moverlo a la tienda de computadoras local.

  3. Para ello, exporta el certificado desde el almacén de usuarios. Asegúrate de exportarlo con la clave privada. Puedes exportarlo en el formato .pfx predeterminado. Especifica una contraseña para la exportación.

  4. En Local Computer\Personal\Certificate, ejecuta el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifica la contraseña que usaste para exportarla y asegúrate de que Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deja la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrate de que se muestra Personal.

  5. Después de la importación, configura el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad de la siguiente manera:

    1. Obtén la huella digital del certificado. En el almacén de certificados, haz doble clic en el certificado. Selecciona la pestaña Detalles y desplázate hacia abajo hasta la huella digital. Selecciona y copia el texto resaltado. Pega la huella digital en el Bloc de notas y quita los espacios.

    2. Navega hasta la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecuta setdpmserver como se indica a continuación:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Donde ClientThumbprintWithNoSpaces se copia del archivo del Bloc de notas.

    3. Deberías obtener la salida para confirmar que la configuración se completó correctamente.

  6. Recupera el archivo .bin y cópialo en el servidor DPM. Se recomienda copiarlo en la ubicación predeterminada en la que el proceso Attach comprobará el archivo (Windows\System32) para que puedas especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Attach.

Conectar el ordenador

Adjunta el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1 usando la sintaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name del servidor DPM

  • PSCredential Nombre del archivo .bin. Si lo colocaste en la carpeta Windows\System32, solo puedes especificar el nombre de archivo. Asegúrate de especificar el archivo .bin creado en el servidor protegido. Si especificas el archivo .bin creado en el servidor DPM, quitarás todos los equipos protegidos configurados para la autenticación basada en certificados.

Una vez completado el proceso para adjuntar, el equipo protegido debería aparecer en la consola DPM.

Ejemplos

Ejemplo 1

Genera un archivo en c:\\CertMetaData\\ con el nombre CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Donde dpmserver.contoso.com es el nombre del servidor DPM y "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" es la huella digital del certificado de servidor DPM.

Ejemplo 2

Vuelve a generar un archivo de configuración perdido en la carpeta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Cambio entre la autenticación NTLM y de certificados

Nota:

  • Las siguientes cargas de trabajo agrupadas solo admiten la autenticación de certificados cuando se implementan en un dominio que no es de confianza:
    • Servidor de archivos en clúster
    • Servidor SQL Server en clúster
    • Clúster de Hyper-V
  • Si el agente DPM está configurado actualmente para usar NTLM en un clúster o se configuró originalmente para usar NTLM, pero posteriormente cambió a la autenticación de certificados sin quitar primero el agente DPM, la enumeración del clúster no mostrará ningún recurso para proteger.

Para cambiar de la autenticación NTLM a la autenticación de certificados, siga estos pasos para volver a configurar el agente DPM:

  1. En el servidor DPM, quita todos los nodos del clúster mediante el script Remove-ProductionServer.ps1 de PowerShell.
  2. Desinstale el agente DPM en todos los nodos y elimine la carpeta del agente de C:\Archivos de programa\Microsoft Data Protection Manager.
  3. Siga los pasos descritos en Copia de seguridad mediante autenticación de certificados.
  4. Una vez que los agentes se han desplegado y configurado para la autenticación de certificados, verifica que la actualización del agente funcione y se muestre correctamente (Certificados - no confiables) para cada uno de los nodos.
  5. Actualiza los nodos o clústeres para obtener una lista de los orígenes de datos que se van a proteger y vuelve a intentar proteger los recursos agrupados.
  6. Agregue la carga de trabajo para proteger y finalice el Asistente para grupo de protección.