DPM 2012 証明書ベースでの保護 その3 DPM サーバーとの接続
こんにちは、日本マイクロソフト System Center Support Team の益戸です。
いよいよ、今回ではDPM Server と DPM Agent との接続を実施します。
まずは、DPM サーバー上で 証明書 の拇印を確認します。
mmc.exe を起動し、ローカル コンピューターを選択、[個人] - [証明書] から、対象の証明書をダブルクリックします。
標準された証明書の画面から、「詳細」タブを選択し、「拇印」を確認します。
テキストボックスからコピーができるので、Ctr + c でコピーして、メモ帳等に貼り付け、置換でスペースを全て消しましょう。
次に、DPM 管理シェルを起動し、以下のコマンドレットを実行します。(長いですが、一行です。)
Set-DPMCredentials -DPMServerName <DPMサーバーのFQDN名> -Type Certificate -Action Configure -OutputFilePath <Bin ファイルの出力先> –Thumbprint "<DPM サーバー用に発行された証明書の拇印>"
例 : 今回は以下のコマンドとなります。事前に bin ファイル出力先の C:\CertData については手動で作成しています。(長いですが、一行です。)
Set-DPMCredentials -DPMServerName DPM01.SC2012R2-JP.com -Type Certificate -Action Configure -OutputFilePath C:\CertData\ –Thumbprint "acf05715f2aa4e30365b18bc9e2b43a3d08ab97b"
問題なければ、「構成が正常に完了しました」というメッセージが表示され、Bin ファイルの出力先に指定したフォルダー内に CertificateConfiguration_<DPM サーバーのFQDN名>.bin ファイルが作成されます。 
ここで、作成された CertificateConfiguration_<DPM サーバーのFQDN名>.bin ファイルを DPM Agent 側へコピーします。
DPM Agent 側では、まず、DPM サーバーから Agent モジュールをダウンロードし、ローカルでインストールします。
DPM サーバー上の以下に最新モジュールは展開されています。
DPM Agent モジュール : <DPM インストール フォルダー>\DPM\ProtectionAgents\RA
導入が完了した後、DPM サーバーと同様に証明書の拇印を確認します。 
管理者権限にてコマンド プロンプトを起動し、<DPM Agent インストールフォルダー>\DPM\bin へ移動します。
* 既定のパスは "C:\Program Files\Microsoft Data Protection Manager\DPM\bin"
以下のコマンドを実行し、 bin ファイルを作成します。(長いですが、これも一行です。)
SetDPMServer.exe -dpmCredential <DPM サーバーからコピーした、CertificateConfiguration_<DPM サーバー名>.bin ファイルのフルパス> -OutputFilePath <Bin ファイルの出力先> -Thumbprint "<保護対象サーバー用に発行された証明書の拇印>"
正常に完了した場合、[Configuration completed successfully!!!] の出力と共に、Bin ファイル出力先に <CertificateConfiguration_サーバーのFQDN名>.bin が作成されます。
* 処理の中で、CA 証明書や CA 証明書チェーン、base CRL、delta CRL 等を参照します。エラーが出る場合は、証明書サービスから最新版をダウンロードし、手動でインストールしましょう。
例 : 今回は以下のコマンドとなります。事前に bin ファイル出力先の C:\CertData については手動で作成しています。(長いですが、これも一行です。)
SetDPMServer.exe -dpmCredential C:\CertData\CertificateConfiguration_DPM01.SC2012R2-JP.com.bin -OutputFilePath C:\CertData -Thumbprint "e157c40b87a2be5588688b7a9927fa4b86146f53" 
ここで、作成された CertificateConfiguration_<DPM Agent のFQDN名>.bin ファイルを DPM サーバーの C:\Windows\System32 へコピーします。
DPM 管理コンソールより、以下のコマンドレットを実行します。(長いですが、これも一行です。)
Attach-ProductionServerWithCertificate.ps1 -DPMServerName <DPMサーバーのFQDN名> –PSCredential <保護対象サーバーからコピーした、CertificateConfiguration_<保護対象サーバー名>.bin ファイル>
例 : Attach-ProductionServerWithCertificate.ps1 -DPMServerName DPM01.SC2012R2-JP.com -PSCredential C:\CertData\CertificateConfiguration_WS2012R2.bin
正常に接続が完了すると、[Attached Production Server with certificates successfully] と表示され、DPM 管理コンソールからも確認ができるようになります。 
DPM 管理コンソールからは、「信頼されていない – 証明書」と表示されます。 
あとは、通常通り、保護グループを作成しバックアップを実施することが可能となります。
ただし、サポートされるシナリオは全てではないのでご注意を。
詳細は、以下の技術情報からご確認ください。
ワークグループおよび信頼されていないドメインに属するコンピューターの保護