次の方法で共有


ワークグループおよび信頼されていないドメイン内のマシンをバックアップ用に準備する

System Center Data Protection Manager (DPM) は、信頼されていないドメインまたはワークグループ内にあるコンピューターを保護できます。 これらのコンピューターは、ローカル ユーザー アカウント (NTLM 認証) または証明書を使用して認証できます。 どちらの種類の認証でも、バックアップするソースを含む保護グループを設定する前に、インフラストラクチャを準備する必要があります。

  1. 証明書のインストール - 証明書認証を使用する場合は、DPM サーバーと保護するコンピューターに証明書をインストールします。

  2. エージェントをインストールします - 保護するコンピューターにエージェントをインストールします。

  3. DPM サーバーを認識する - バックアップを実行するための DPM サーバーを認識するようにコンピューターを構成します。 これを行うには、SetDPMServer コマンドを実行します。

  4. コンピューターの接続 - 最後に、保護されたコンピューターを DPM サーバーに接続する必要があります。

開始する前に

開始する前に、サポートされている保護シナリオと必要なネットワーク設定を確認してください。

サポートされるシナリオ

ワークロードの種類 保護されたサーバーの状態とサポート
ファイル ワークグループ:サポートされています

信頼されないドメイン: サポートされています

1 台のサーバーの NTLM と証明書の認証。 クラスターに対してのみ証明書を認証。
システム状態 ワークグループ:サポートされています

信頼されないドメイン: サポートされています

NTLM 認証のみ
SQL Server ワークグループ:サポートされています

信頼されないドメイン: サポートされています

ミラーリングはサポートされていません。

1 台のサーバーの NTLM と証明書の認証。 クラスターに対してのみ証明書を認証。
Hyper-V サーバー ワークグループ:サポートされています

信頼されないドメイン: サポートされています

NTLM および証明書認証
Hyper-V クラスター ワークグループ:サポートされていません

信頼されていないドメイン: サポートされています (証明書認証のみ)
Exchange Server ワークグループ:該当なし

信頼されないドメイン: 1 台のサーバーでのみサポートされます。 クラスターはサポートされていません。 CCR、SCR、DAG はサポートされていません。 LCR はサポートされます。

NTLM 認証のみ
セカンダリ DPM サーバー (プライマリ DPM サーバーのバックアップ用)

プライマリ DPM サーバーとセカンダリ DPM サーバーの両方が、同じまたは双方向のフォレスト推移的信頼されたドメインに存在していることに注意してください。
ワークグループ:サポートされています

信頼されないドメイン: サポートされています

証明書の認証のみ
SharePoint ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
クライアント コンピューター ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
ベア メタル回復 (BMR) ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません
End-user recovery ワークグループ:サポートされていません

信頼されないドメイン: サポートされていません

ネットワーク設定

設定 ワークグループまたは信頼されていないドメイン内のコンピューター
制御データ プロトコル:DCOM

既定のポート:135

認証:NTLM または証明書
ファイル転送 プロトコル:Winsock

既定のポート:5718 および 5719

認証:NTLM または証明書
DPM のアカウントに関する要件 DPM サーバー上の管理者権限を持たないローカル アカウント。 NTLM v2 の通信を使用します。
証明書の要件
エージェントのインストール 保護されるコンピューターにインストールされているエージェント
境界ネットワーク 境界ネットワークの保護がサポートされていません。
IPSEC IPSEC が通信をブロックしていないことを確認します。

NTLM 認証を使ったバックアップ

次の操作を行う必要があります。

  1. エージェントをインストールする - 保護するコンピューターにエージェントをインストールします。

  2. エージェントを構成する - バックアップを実行するための DPM サーバーを認識するようにコンピューターを構成します。 これを行うには、SetDPMServer コマンドを実行します。

  3. コンピューターを接続する - 最後に、保護されたコンピューターを DPM サーバーに接続する必要があります。

エージェントをインストールして構成する

  1. 保護対象のコンピューターで、DPM インストール CD の DPMAgentInstaller_X64.exe を実行してエージェントをインストールします。

  2. 次のように SetDpmServer を実行して、エージェントを構成します。

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. 次のように、パラメーターを指定します。

    • -DpmServerName - DPM サーバーの名前を指定します。 FQDN または NETBIOS 名を使用してサーバーとコンピューターが相互にアクセスできる場合は、FQDN を使用します。

    • -IsNonDomainServer - 保護するコンピューターに関連して、サーバーがワークグループまたは信頼されていないドメインにあることを示すために使用します。 必要なポートにファイアウォール例外が作成されます。

    • -UserName - NTLM 認証に使用するアカウントの名前を指定します。 このオプションを使用するには、-isNonDomainServer フラグが指定されている必要があります。 ローカル ユーザー アカウントが作成され、このアカウントを認証に使用するように DPM 保護エージェントが構成されます。

    • -ProductionServerDnsSuffix - サーバーに複数の DNS サフィックスが構成されている場合は、このスイッチを使用します。 このスイッチは、保護しているコンピューターへの接続にサーバーが使用する DNS サフィックスを表します。

  4. コマンドが正常に完了したら、DPM コンソールを開きます。

パスワードを更新する

NTLM 資格情報のパスワードを更新する場合は、保護対象のコンピューターで次を実行します。

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

保護を構成したときに使用したのと同じ名前付け規則 (FQDN または NETBIOS) を使用する必要があります。 DPM サーバーで、Update -NonDomainServerInfo PowerShell コマンドレットを実行する必要があります。 その後、保護されたコンピューターのエージェント情報を更新する必要があります。

NetBIOS の例: 保護されたコンピューター: DPM サーバー SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword : Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN の例: 保護されたコンピューター: DPM サーバー SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword します。 Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. DPM コンソールで、保護エージェントのインストール ウィザードを実行します。

  2. [ エージェントの展開方法の選択] で、[ エージェントの接続] を選択します。

  3. アタッチするコンピューターのコンピューター名、ユーザー名、パスワードを入力します。 エージェントをインストールするときに指定したものと同じ資格情報を使用する必要があります。

  4. Summary ページを確認し、Attach を選択します。

必要に応じて、ウィザードを実行する代わりに、Windows PowerShell の Attach-NonDomainServer.ps1 コマンドを実行してもかまいません。 これを行うには、次のセクションの例を見てください。

例 1

エージェントをインストールした後でワークグループ コンピューターを構成する例:

  1. コンピューターで、 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markを実行します。

  2. DPM サーバーで、 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username markを実行します。

通常、ワークグループ コンピューターには NetBIOS 名を使用してのみアクセスできるので、DPMServerName の値は NetBIOS 名にする必要があります。

例 2

エージェントをインストールした後、競合する NetBIOS 名を持つワークグループ コンピューターを構成する例。

  1. ワークグループ コンピューターで、 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.comを実行します。

  2. DPM サーバーで、 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username markを実行します。

証明書認証を使用したバックアップ

証明書認証を使用して保護を設定する方法を次に示します。

  • 保護するそれぞれのコンピューターには、.NET Framework 3.5 SP1 以降がインストールされている必要があります。

  • 認証で使用する証明書は、以下の条件に適合している必要があります。

    • X.509 V3 証明書。

    • 拡張キー使用法 (EKU) にクライアント認証とサーバー認証が含まれている。

    • キーの長さは 1024 ビット以上とする。

    • キーの種類は exchangeとする。

    • 証明書とルート証明書のサブジェクト名を空にしないでください。

    • 関連付けられた証明機関の失効サーバーは、オンラインになっており、保護されたサーバーと DPM サーバーの両方でアクセス可能である。

    • 証明書には秘密キーが関連付けられている必要があります。

    • DPM では、CNG キーを使用した証明書はサポートされていません。

    • DPM は自己署名証明書をサポートしていません。

  • 保護対象の各コンピューター (仮想マシンを含む) は独自の証明書を備えている必要があります。

保護のセットアップ

  1. DPM 証明書テンプレートを作成する

  2. DPM サーバーで証明書を構成する

  3. エージェントをインストールする

  4. 保護されたコンピューターで証明書を構成する

  5. コンピューターを接続する

DPM 証明書テンプレートを作成する

必要に応じて Web 登録のための DPM テンプレートをセットアップすることができます。 これを実行する場合は、使用目的に応じてクライアント認証およびサーバー認証を持つテンプレートを選択します。 次に例を示します。

  1. Certificate テンプレート MMC スナップインで、RAS および IAS Server テンプレートを選択できます。 そのテンプレートを右クリックし、[ テンプレートの複製] を選択します。

  2. [ テンプレートの複製] では、既定の設定 [ Windows Server 2003 Enterprise] をそのまま使用します。

  3. [ 全般 ] タブで、テンプレートの表示名を認識できる名前に変更します。 たとえば、 DPM 認証。 Active Directory 証明書の発行 の設定が有効になっていることを確認します。

  4. [ 要求の処理 ] タブで、 エクスポートする秘密キー が有効になっていることを確認します。

  5. テンプレートを作成したら、使用できるようにします。 証明機関スナップインを開きます。 [証明書テンプレート]を右クリックし、 [新規作成][発行する証明書テンプレート]の順に選択します。 可能な証明書テンプレートテンプレートを選択し、OKを選択します。 これで、証明書を取得すると、テンプレートが使用できるようになります。

登録または自動登録を有効にする

必要に応じて、登録または自動登録用にテンプレートを構成する場合は、テンプレートのプロパティの [サブジェクト名] タブを選択します。 登録を構成するときに、MMC でテンプレートを選択できます。 自動登録を構成した場合、証明書はドメイン内のすべてのコンピューターに自動的に割り当てられます。

  • 登録の場合は、テンプレート プロパティの [ サブジェクト名 ] タブで [ この Active Directory 情報からビルドを選択する] を有効にします。 Subject 名の形式でCommon Nameを選択し、DNS 名を有効にします。 [セキュリティ] タブに移動し、[ 登録 ] アクセス許可を認証されたユーザーに割り当てます。

  • 自動登録の場合は、[ セキュリティ ] タブに移動し、[ 自動登録 ] アクセス許可を認証されたユーザーに割り当てます。 この設定を有効にすると、証明書はドメイン内のすべてのコンピューターに自動的に割り当てられます。

  • 登録を構成した場合は、テンプレートに基づいて MMC で新しい証明書を要求できます。 これを行うには、保護されたコンピューターの Certificates (ローカル コンピューター)>Personal で、 Certificates を右クリックします。 [すべてのタスク]>[新しい証明書の要求] を選択します。 ウィザードの 証明書登録ポリシーの選択 ページで、 Active Directory 登録ポリシーを選択します。 Request 証明書にテンプレートが表示されます。 Detailsを展開し、Properties を選択します。 [ 全般 ] タブを選択し、わかりやすい名前を指定します。 設定を適用すると、証明書が正常にインストールされたことを示すメッセージが表示されます。

DPM サーバーで証明書を構成する

  1. Web 登録またはその他の方法を使用して、DPM サーバーの CA から証明書を生成します。 Web 登録で、必須の証明書を選択しこの CA に要求を作成して送信。 キー サイズが 1024 以上であり、 エクスポート可能なマーク キー が選択されていることを確認します。

  2. 証明書はユーザー ストアに格納されます。 ローカル コンピューター ストアに移動する必要があります。

  3. これを行うには、ユーザー ストアから証明書をエクスポートします。 秘密キーを使用してエクスポートすることを確認します。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。

  4. ローカル コンピューター\個人用\証明書で、証明書のインポート ウィザードを実行して、エクスポートしたファイルを保存された場所からインポートします。 エクスポートに使用したパスワードを指定し、 このキーをエクスポート可能としてマーク が選択されていることを確認します。 [証明書ストア] ページで、既定の設定のままに次のストアにすべての証明書を配置しPersonalが表示されていることを確認します。

  5. インポート後、次のように、証明書を使用するように DPM 資格情報を設定します。

    1. 証明書のサムプリントを取得します。 Certificates ストアで、証明書をダブルクリックします。 Details タブを選択し、サムプリントまで下にスクロールします。 それを選択し、強調表示してコピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。

    2. Set-DPMCredentials を実行して DPM サーバーを構成します。

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type - 認証の種類を示します。 値: certificat

    • -Action - コマンドを初めて実行するか、資格情報を再生成するかを指定します。 使用可能な値: regenerate または configure

    • -OutputFilePath - 保護されたコンピューター上の Set-DPMServer で使用される出力ファイルの場所。

    • -拇印 - メモ帳ファイルからコピーします。

    • -AuthCAThumbprint - 証明書の信頼チェーン内の CA の拇印。 省略可能。 指定されていない場合は、ルートが使用されます。

  6. これにより、信頼されていないドメインでエージェントをインストールするたびに必要になるメタデータ ファイル (.bin) が生成されます。 コマンドを実行する前に、C:\Temp フォルダーが存在することを確認します。

    Note

    ファイルが失われたり削除されたりした場合は、 -action regenerate オプションを使用してスクリプトを実行して、ファイルを再作成できます。

  7. .bin ファイルを取得し、保護するコンピューター上の C:\Program Files\Microsoft Data Protection Manager\DPM\bin フォルダーにコピーします。 これを行う必要はありませんが、そうでない場合は、-DPMcredential パラメーターのファイルの完全なパスを指定する必要があります。

  8. ワークグループまたは信頼されていないドメイン内のコンピューターを保護するすべての DPM サーバーで、これらの手順を繰り返します。

エージェントをインストールする

  1. 保護する各コンピューターで、DPM インストール CD に入っている DPMAgentInstaller_X64.exe を実行してエージェントをインストールします。

保護されたコンピューターで証明書を構成する

  1. Web 登録またはその他の方法を使用して、保護されたコンピューターで CA から証明書を生成します。 Web 登録で、必須の証明書を選択しこの CA に要求を作成して送信。 キー サイズが 1024 以上で、 マーク キーがエクスポート可能 が選択されていることを確認します。

  2. 証明書はユーザー ストアに格納されます。 ローカル コンピューター ストアに移動する必要があります。

  3. これを行うには、ユーザー ストアから証明書をエクスポートします。 秘密キーを使用してエクスポートすることを確認します。 既定の .pfx 形式でエクスポートできます。 エクスポートのパスワードを指定します。

  4. ローカル コンピューター\個人用\証明書で、証明書のインポート ウィザードを実行して、エクスポートしたファイルを保存された場所からインポートします。 エクスポートに使用したパスワードを指定し、 このキーをエクスポート可能としてマーク が選択されていることを確認します。 [証明書ストア] ページで、既定の設定のままに次のストアにすべての証明書を配置しPersonalが表示されていることを確認します。

  5. インポート後、次のようにバックアップを実行する権限が DPM サーバーとして認識されるようにコンピューターを構成します。

    1. 証明書のサムプリントを取得します。 Certificates ストアで、証明書をダブルクリックします。 Details タブを選択し、サムプリントまで下にスクロールします。 それを選択し、強調表示してコピーします。 サムプリントをメモ帳に貼り付け、スペースをすべて除去します。

    2. C:\Program files\Microsoft Data Protection Manager\DPM\bin フォルダーに移動し、次のように setdpmserver を実行します。

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      ここで、ClientThumbprintWithNoSpaces がメモ帳ファイルからコピーされます。

    3. 構成が正常に完了したことを確認する出力が表示されます。

  6. .bin ファイルを取得し、DPM サーバーにコピーします。 Attach コマンドの実行時に完全なパスではなくファイル名を指定できるように、添付プロセスでファイルがチェックされる既定の場所 (Windows\System32) にコピーすることをお勧めします。

Attach the computer

Attach-ProductionServerWithCertificate.ps1 という PowerShell スクリプトを使用して、コンピューターを DPM サーバーにアタッチします。構文は次のとおりです。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName-DPM サーバーの名前

  • .bin ファイルの PSCredential-Name。 Windows\System32 フォルダーに配置した場合は、ファイル名のみを指定できます。 保護されたサーバーに作成された.bin ファイルを指定してください。 DPM サーバーで作成された.bin ファイルを指定した場合は、証明書ベースの認証用に構成されているすべての保護されたコンピューターを削除します。

アタッチ プロセスが完了すると、保護されたコンピューターが DPM コンソールに表示されます。

例 1

名前を持つファイルを c:\\CertMetaData\\ で生成します CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

ここで、dpmserver.contoso.com は DPM サーバーの名前で、"cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" は DPM サーバー証明書の拇印です。

例 2

失われた構成ファイルをフォルダー c:\CertMetaData\ に再生成します。

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

NTLM と証明書認証を切り替える

Note

  • 次のクラスター化されたワークロードでは、信頼されていないドメインにデプロイされた場合にのみ証明書認証がサポートされます。
    • クラスター化されたファイル サーバー
    • クラスター化された SQL サーバー
    • Hyper-V クラスター
  • DPM エージェントが現在、クラスターで NTLM を使用するように構成されているか、最初に NTLM を使用するように構成されていたが、後で DPM エージェントを削除せずに証明書認証に切り替えられた場合、クラスターの列挙には保護するリソースは表示されません。

NTLM 認証から証明書認証に切り替えるには、次の手順に従って DPM エージェントを再構成します。

  1. DPM サーバーで、 Remove-ProductionServer.ps1 PowerShell スクリプトを使用して、クラスターのすべてのノードを削除します。
  2. すべてのノードで DPM エージェントをアンインストールし、C:\Program Files\Microsoft Data Protection Manager からエージェント フォルダーを削除します。
  3. 証明書の認証を利用してバックアップする」の手順に従います。
  4. エージェントがデプロイされ、証明書認証用に構成されたら、エージェントの更新が機能し、各ノードの (信頼されていない - 証明書) が正しく表示されることを確認します。
  5. ノード/クラスターを更新して、保護するデータ ソースの一覧を取得します。クラスター化されたリソースの保護を再試行してください。
  6. 保護するワークロードを追加し、保護グループのウィザードを終了します。