Delen via

Voorbereiden van machines in werkgroepen en niet-vertrouwde domeinen voor back-up.

  • Artikel

System Center Data Protection Manager (DPM) kan computers beveiligen die zich in niet-vertrouwde domeinen of werkgroepen bevinden. U kunt deze computers verifiëren met behulp van een lokaal gebruikersaccount (NTLM-verificatie) of met behulp van certificaten. Voor beide typen verificatie moet u de infrastructuur voorbereiden voordat u een beveiligingsgroep kunt instellen die de bronnen bevat waarvan u een back-up wilt maken.

  1. Een certificaat installeren: als u certificaatverificatie wilt gebruiken, installeert u een certificaat op de DPM-server en op de computer die u wilt beveiligen.

  2. De agent installeren: installeer de agent op de computer die u wilt beveiligen.

  3. De DPM-server herkennen: configureer de computer om de DPM-server te herkennen voor het uitvoeren van back-ups. Hiervoor voert u de opdracht SetDPMServer uit.

  4. de computer koppelen- Ten slotte moet u de beveiligde computer koppelen aan de DPM-server.

Voordat u begint

Voordat u begint, controleert u de ondersteunde beveiligingsscenario's en vereiste netwerkinstellingen.

Ondersteunde scenario's

Workload type Status en ondersteuning van beveiligde server
Bestanden Werkgroep: ondersteund

Niet-vertrouwd domein: ondersteund

NTLM en certificaatverificatie voor één server. Certificaatverificatie alleen voor cluster.
Systeemstatus Werkgroep: ondersteund

Niet-vertrouwd domein: ondersteund

Alleen NTLM-verificatie
SQL Server Werkgroep: ondersteund

Niet-vertrouwd domein: ondersteund

Spiegeling wordt niet ondersteund.

NTLM en certificaatverificatie voor één server. Certificaatverificatie alleen voor cluster.
Hyper-V server Werkgroep: ondersteund

Niet-vertrouwd domein: ondersteund

NTLM- en certificaatauthenticatie
Hyper-V-cluster Werkgroep: niet ondersteund

Niet-vertrouwd domein: ondersteund (alleen certificaatverificatie)
Exchange Server Werkgroep: Niet van toepassing

Niet-vertrouwd domein: alleen ondersteund voor één server. Cluster wordt niet ondersteund. CCR, SCR, DAG wordt niet ondersteund. LCR wordt ondersteund.

Alleen NTLM-verificatie
Secundaire DPM-server (voor back-up van primaire DPM-server)

Houd er rekening mee dat zowel primaire als secundaire DPM-servers zich bevinden in hetzelfde of in een tweerichtings-overgangsdomein binnen een forest met wederzijds vertrouwen.		 Werkgroep: ondersteund

Niet-vertrouwd domein: ondersteund

Alleen certificaatverificatie
SharePoint Werkgroep: niet ondersteund

Niet-vertrouwd domein: niet ondersteund
Client computers Werkgroep: niet ondersteund

Niet-vertrouwd domein: niet ondersteund
Bare metal recovery (BMR) Werkgroep: niet ondersteund

Niet-vertrouwd domein: niet ondersteund
Herstel door eindgebruikers Werkgroep: niet ondersteund

Niet-vertrouwd domein: niet ondersteund

Netwerkinstellingen

Instellingen Computer in werkgroep of niet-vertrouwd domein
Gegevens beheren Protocol: DCOM

Standaardpoort: 135

Verificatie: NTLM/certificaat
Bestandsoverdracht Protocol: Winsock

Standaardpoort: 5718 en 5719

Verificatie: NTLM/certificaat
Vereisten voor DPM-account Lokaal account zonder beheerdersrechten op DPM-server. Maakt gebruik van NTLM v2-communicatie
Certificaatvereisten
Agentinstallatie Agent geïnstalleerd op beveiligde computer
Perimeternetwerk Perimeternetwerkbeveiliging wordt niet ondersteund.
IPSEC Zorg ervoor dat IPSEC de communicatie niet blokkeert.

Een back-up maken met behulp van NTLM-verificatie

Dit is wat u moet doen:

  1. Installeer de agent- Installeer de agent op de computer die u wilt beveiligen.

  2. Configureer de agent: configureer de computer om de DPM-server te herkennen voor het uitvoeren van back-ups. Hiervoor voert u de opdracht SetDPMServer uit.

  3. Koppel de computer. Ten slotte moet u de beveiligde computer koppelen aan de DPM-server.

De agent installeren en configureren

  1. Voer op de computer die u wilt beveiligen DPMAgentInstaller_X64.exe uit vanaf de DPM-installatie-cd om de agent te installeren.

  2. Configureer de agent door SetDpmServer als volgt uit te voeren:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Geef de parameters als volgt op:

    • -DpmServerName - Geef de naam van de DPM-server op. Gebruik een FQDN of een NETBIOS-naam als de server en de computer elkaar kunnen bereiken met FQDN's.

    • -IsNonDomainServer - Gebruik dit om aan te geven dat de server zich in een werkgroep of niet-vertrouwd domein bevindt ten opzichte van de computer die u wilt beveiligen. Firewall-uitzonderingen worden gemaakt voor vereiste poorten.

    • -UserName - Geef de naam op van het account dat u wilt gebruiken voor NTLM-verificatie. Als u deze optie wilt gebruiken, moet u de -isNonDomainServer flag hebben opgegeven. Er wordt een lokaal gebruikersaccount gemaakt en de DPM-beveiligingsagent wordt geconfigureerd voor het gebruik van dit account voor verificatie.

    • -ProductionServerDnsSuffix - Gebruik deze switch als de server meerdere DNS-achtervoegsels heeft geconfigureerd. Deze switch vertegenwoordigt het DNS-achtervoegsel dat de server gebruikt om verbinding te maken met de computer die u beveiligt.

  4. Wanneer de opdracht is voltooid, opent u de DPM-console.

Het wachtwoord bijwerken

Als u op enig moment het wachtwoord voor de NTLM-referenties wilt bijwerken, voert u het volgende uit op de beveiligde computer:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

U moet dezelfde naamconventie (FQDN of NETBIOS) gebruiken die u hebt gebruikt bij het configureren van beveiliging. Op de DPM-server moet u de PowerShell-cmdlet Update -NonDomainServerInfo uitvoeren. Vervolgens moet u de agentgegevens voor de beveiligde computer vernieuwen.

NetBIOS-voorbeeld: beveiligde computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-voorbeeld: beveiligde computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

De computer koppelen

  1. Voer in de DPM-console de wizard Installatie van de beveiligingsagent uit.

  2. Selecteer in implementatiemethodede optie Agents koppelen.

  3. Voer de computernaam, gebruikersnaam en wachtwoord in voor de computer waaraan u wilt koppelen. Dit moeten de referenties zijn die u hebt opgegeven bij het installeren van de agent.

  4. Controleer de pagina Samenvatting en selecteer Bijvoegen.

U kunt desgewenst de opdracht Windows PowerShell Attach-NonDomainServer.ps1 uitvoeren in plaats van de wizard uit te voeren. Bekijk hiervoor het voorbeeld in de volgende sectie.

Voorbeelden

voorbeeld 1

Voorbeeld voor het configureren van een werkgroepcomputer nadat de agent is geïnstalleerd:

  1. Voer SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markop de computer uit.

  2. Voer op de DPM-server Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username markuit.

Omdat de werkgroepcomputers doorgaans alleen toegankelijk zijn met de NetBIOS-naam, moet de waarde voor DPMServerName de NetBIOS-naam zijn.

voorbeeld 2

Voorbeeld voor het configureren van een werkgroepcomputer met conflicterende NetBIOS-namen nadat de agent is geïnstalleerd.

  1. Voer op de werkgroepcomputer SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.comuit.

  2. Voer op de DPM-server Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username markuit.

Een back-up maken met behulp van certificaatverificatie

U kunt als volgt beveiliging instellen met certificaatverificatie.

  • Op elke computer die u wilt beveiligen, moet ten minste .NET Framework 3.5 met SP1 zijn geïnstalleerd.

  • Het certificaat dat u voor verificatie gebruikt, moet voldoen aan het volgende:

    • X.509 V3-certificaat.

    • Enhanced Key Usage (EKU) moet clientverificatie en serververificatie hebben.

    • De sleutellengte moet ten minste 1024 bits zijn.

    • Sleuteltype moet exchangezijn.

    • De onderwerpnaam van het certificaat en het basiscertificaat mogen niet leeg zijn.

    • De intrekkingsservers van de bijbehorende certificeringsinstanties zijn online en toegankelijk voor zowel de beveiligde server als de DPM-server

    • Aan het certificaat moet een persoonlijke sleutel zijn gekoppeld.

    • DPM biedt geen ondersteuning voor certificaten met CNG-sleutels.

    • DPM biedt geen ondersteuning voor zelfondertekende certificaten.

  • Elke computer die u wilt beveiligen (inclusief virtuele machines) moet een eigen certificaat hebben.

Beveiliging instellen

  1. een DPM-certificaatsjabloon maken

  2. een certificaat configureren op de DPM-server

  3. De agent installeren

  4. een certificaat configureren op de beveiligde computer

  5. de computer koppelen

Een DPM-certificaatsjabloon maken

U kunt desgewenst een DPM-sjabloon instellen voor webinschrijving. Als u dit wilt doen, selecteert u een sjabloon met clientverificatie en serververificatie als beoogde doel. Bijvoorbeeld:

  1. In de Certificaatsjablonen MMC-module kunt u de sjabloon RAS- en IAS-server selecteren. Klik er met de rechtermuisknop op en selecteer Dupliceren van sjabloon.

  2. Laat in duplicaatsjabloonde standaardinstelling Windows Server 2003 Enterprise.

  3. Wijzig op het tabblad Algemeen de weergavenaam van de sjabloon in iets herkenbaars. Bijvoorbeeld DPM-verificatie. Zorg ervoor dat de instelling Certificaat publiceren in Active Directory is ingeschakeld.

  4. Controleer op het tabblad Aanvraagafhandeling of de optie Private sleutel exporteren is ingeschakeld.

  5. Nadat u de sjabloon hebt gemaakt, maakt u deze beschikbaar voor gebruik. Open de invoegtoepassing Certificeringsinstantie. Klik met de rechtermuisknop op certificaatsjablonen, selecteer Nieuween kies certificaatsjabloon omuit te geven. In Inschakelen certificaatsjabloonselecteer je de sjabloon en kies je OK. De sjabloon is nu beschikbaar wanneer u een certificaat ophaalt.

Inschrijving of automatische inschrijving inschakelen

Als u de sjabloon desgewenst wilt configureren voor inschrijving of automatische inschrijving, selecteert u het tabblad Onderwerpnaam in de sjablooneigenschappen. Wanneer u inschrijving configureert, kan de sjabloon worden geselecteerd in de MMC. Als u automatische inschrijving configureert, wordt het certificaat automatisch toegewezen aan alle computers in het domein.

  • Voor inschrijving, op het tabblad Onderwerpnaam van de sjablooneigenschappen, selecteer Build in deze Active Directory-informatie. Selecteer in formaat onderwerpnaamde optie Algemene naam en schakel DNS-naam inin. Ga vervolgens naar het tabblad Beveiliging en wijs de Enroll-machtiging toe aan geverifieerde gebruikers.

  • Ga voor automatische inschrijving naar het tabblad Security en wijs de machtiging Autoenroll toe aan geverifieerde gebruikers. Als deze instelling is ingeschakeld, wordt het certificaat automatisch toegewezen aan alle computers in het domein.

  • Als u inschrijving hebt geconfigureerd, kunt u een nieuw certificaat aanvragen in mmc op basis van de sjabloon. Klik hiervoor met de rechtermuisknop op de beveiligde computer in Certificaten (lokale computer)>Persoonlijkop Certificaten. Selecteer Alle taken>Nieuw certificaat aanvragen. Op de pagina Certificaatinschrijvingsbeleid selecteren van de wizard, selecteer Active Directory-inschrijvingsbeleid. In Certificaten aanvragen, ziet u de sjabloon. Vouw Details uit en selecteer Eigenschappen. Selecteer het tabblad Algemeen en geef een vriendelijke naam op. Nadat u de instellingen hebt toegepast, ontvangt u een bericht dat het certificaat is geïnstalleerd.

Een certificaat configureren op de DPM-server

  1. Genereer een certificaat van een CA voor de DPM-server via webinschrijving of een andere methode. Selecteer bij webinschrijving vereist geavanceerd certificaat en maak en dien een aanvraag in bij deze CA. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel markeren als exporteerbaar is geselecteerd.

  2. Het certificaat wordt in de gebruikersopslag geplaatst. Je moet het verplaatsen naar de winkel voor lokale computers.

  3. Om dit te doen, exporteert u het certificaat uit de gebruikersopslag. Zorg ervoor dat u deze exporteert met de persoonlijke sleutel. U kunt deze exporteren in de standaard.pfx-indeling. Geef een wachtwoord op voor de export.

  4. Voer in Lokale computer\Persoonlijk\Certificaat de wizard Certificaat importeren uit om het geëxporteerde bestand te importeren vanaf de opgeslagen locatie. Geef het wachtwoord op dat u hebt gebruikt voor het exporteren en zorg ervoor dat Markeer deze sleutel als exporteerbaar is geselecteerd. Laat op de pagina Certificaatopslag de standaardinstelling Alle certificaten in de volgende opslag plaatsen en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Na het importeren stelt u de DPM-referenties in om het certificaat als volgt te gebruiken:

    1. Haal de vingerafdruk voor het certificaat op. Dubbelklik in het Certificaten archief op het certificaat. Selecteer het tabblad Details en schuif omlaag naar de vingerafdruk. Selecteer deze en markeer deze en kopieer deze. Plak de vingerafdruk in Kladblok en verwijder de spaties.

    2. Voer Set-DPMCredentials- uit om de DPM-server te configureren:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - Geeft het type verificatie aan. Waarde: certificaat.

    • -Action - Geef op of u de opdracht voor het eerst wilt uitvoeren of de referenties opnieuw wilt genereren. Mogelijke waarden: opnieuw genereren of configureren.

    • -OutputFilePath - Locatie van het uitvoerbestand dat wordt gebruikt in Set-DPMServer op de beveiligde computer.

    • -Vingerafdruk - Kopiëren uit het Kladblok-bestand.

    • -AuthCAThumbprint - Vingerafdruk van de CA in de vertrouwensketen van het certificaat. Facultatief. Als dit niet is opgegeven, wordt Root gebruikt.

  6. Hiermee wordt een metagegevensbestand (.bin) gegenereerd dat vereist is op het moment dat elke agent wordt geïnstalleerd in een niet-vertrouwd domein. Zorg ervoor dat de map C:\Temp bestaat voordat u de opdracht uitvoert.

    Notitie

    Als het bestand is verloren of verwijderd, kunt u het opnieuw maken door het script uit te voeren met de optie -action opnieuw genereren.

  7. Haal het .bin-bestand op en kopieer het naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin op de computer die u wilt beveiligen. U hoeft dit niet te doen, maar als u dit niet doet, moet u het volledige pad van het bestand opgeven voor de parameter -DPMcredential wanneer u

  8. Herhaal deze stappen op elke DPM-server die een computer in een werkgroep of in een niet-vertrouwd domein beveiligt.

De agent installeren

  1. Voer op elke computer die u wilt beveiligen DPMAgentInstaller_X64.exe uit vanaf de DPM-installatie-cd om de agent te installeren.

Een certificaat configureren op de beveiligde computer

  1. Genereer een certificaat van een CA voor de beveiligde computer, via webinschrijving of een andere methode. Bij webinschrijving, selecteer geavanceerd certificaat vereist en een aanvraag maken en indienen voor deze CA. Zorg ervoor dat de sleutelgrootte 1024 of hoger is en dat Sleutel markeren als exporteerbaar is geselecteerd.

  2. Het certificaat wordt in de gebruikerstore geplaatst. U moet deze verplaatsen naar de opslag van de lokale computer.

  3. Hiervoor exporteert u het certificaat uit de gebruikersopslag. Zorg ervoor dat u deze exporteert met de persoonlijke sleutel. U kunt deze exporteren in de standaard.pfx-indeling. Geef een wachtwoord op voor de export.

  4. Voer in Lokale computer\Persoonlijk\Certificaat de wizard Certificaat importeren uit om het geëxporteerde bestand te importeren vanaf de opgeslagen locatie. Geef het wachtwoord op dat u hebt gebruikt om het te exporteren en zorg ervoor dat Deze sleutel markeren als exporteerbaar is geselecteerd. Laat op de pagina Certificaatarchief de standaardinstelling Alle certificaten in het volgende archief plaatsen en zorg ervoor dat Persoonlijk wordt weergegeven.

  5. Na het importeren configureert u de computer om de DPM-server te herkennen als geautoriseerd voor het uitvoeren van back-ups als volgt:

    1. Haal de vingerafdruk voor het certificaat op. Dubbelklik op het certificaat in de Certificaten winkel. Selecteer het tabblad Details en schuif omlaag naar de vingerafdruk. Selecteer deze en markeer deze en kopieer deze. Plak de duimafdruk in Kladblok en verwijder eventuele spaties.

    2. Navigeer naar de map C:\Program files\Microsoft Data Protection Manager\DPM\bin en voer setdpmserver uit als volgt:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Waarbij ClientThumbprintWithNoSpaces wordt gekopieerd uit het Kladblok-bestand.

    3. U moet de uitvoer ophalen om te bevestigen dat de configuratie is voltooid.

  6. Haal het .bin-bestand op en kopieer het naar de DPM-server. U wordt aangeraden deze te kopiëren naar de standaardlocatie waarin het bijvoegproces controleert op het bestand (Windows\System32), zodat u alleen de bestandsnaam kunt opgeven in plaats van het volledige pad wanneer u de opdracht Bijvoegen uitvoert.

De computer koppelen

U koppelt de computer aan de DPM-server met behulp van het Attach-ProductionServerWithCertificate.ps1 PowerShell-script, met behulp van de syntaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name van de DPM-server

  • PSCredential-Name van het bestand .bin. Als u deze in de map Windows\System32 hebt geplaatst, kunt u alleen de bestandsnaam opgeven. Zorg ervoor dat u het .bin-bestand opgeeft dat op de beveiligde server is gemaakt. Als u het .bin bestand opgeeft dat op de DPM-server is gemaakt, verwijdert u alle beveiligde computers die zijn geconfigureerd voor verificatie op basis van certificaten.

Nadat het bijlageproces is voltooid, moet de beveiligde computer worden weergegeven in de DPM-console.

Voorbeelden

voorbeeld 1

Hiermee genereert u een bestand in c:\\CertMetaData\\ met de naam CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Waar dpmserver.contoso.com de naam van de DPM-server is en 'cf822d9ba1c801ef40d4b31de0cfcb200a8a2496' de vingerafdruk van het DPM-servercertificaat is.

voorbeeld 2

Hiermee wordt een verloren configuratiebestand opnieuw gegenereerd in de map c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Schakelen tussen NTLM- en certificaatverificatie

Notitie

  • De volgende geclusterde workloads bieden alleen ondersteuning voor certificaatverificatie wanneer deze worden geïmplementeerd in een niet-vertrouwd domein:
    • Geclusterde bestandsserver
    • Geclusterde SQL-server
    • Hyper-V cluster
  • Als de DPM-agent momenteel is geconfigureerd voor gebruik van NTLM op een cluster of oorspronkelijk is geconfigureerd voor het gebruik van NTLM, maar later is overgeschakeld naar certificaatverificatie zonder eerst de DPM-agent te verwijderen, worden er geen resources weergegeven die moeten worden beveiligd door de inventarisatie van het cluster.

Als u wilt overschakelen van NTLM-verificatie naar certificaatverificatie, gebruikt u de volgende stappen om de DPM-agent opnieuw te configureren:

  1. Verwijder op de DPM-server alle knooppunten van het cluster met behulp van het Remove-ProductionServer.ps1 PowerShell-script.
  2. Verwijder de DPM-agent op alle knooppunten en verwijder de map agent uit C:\Program Files\Microsoft Data Protection Manager.
  3. Volg de stappen in om een back-up te maken met behulp van certificaatverificatie.
  4. Zodra de agents zijn geïmplementeerd en geconfigureerd voor certificaatverificatie, controleert u of de vernieuwing van de agent werkt en of deze correct wordt weergegeven als (niet-vertrouwd - Certificaten) voor elk van de knooppunten.
  5. Vernieuw de knooppunten/het cluster om een lijst met gegevensbronnen op te halen die moeten worden beveiligd; Probeer de geclusterde resource(s) opnieuw te beveiligen.
  6. Neem de werklast op om de wizard voor de beveiligingsgroep te beschermen en af te ronden.