Compartilhar via


Preparar máquinas em grupos de trabalho e domínios não confiáveis para backup

O System Center Data Protection Manager (DPM) pode proteger computadores que estão em domínios ou grupos de trabalho não confiáveis. Você pode autenticar esses computadores usando uma conta de usuário local (autenticação NTLM) ou usando certificados. Para ambos os tipos de autenticação, você precisará preparar a infraestrutura antes de configurar um grupo de proteção que contenha as fontes das quais você deseja fazer backup.

  1. Instalar um certificado – se você quiser usar a autenticação de certificado, instale um certificado no servidor DPM e no computador que você deseja proteger.

  2. Instalar o agente - Instale o agente no computador que você deseja proteger.

  3. Reconhecer o servidor DPM – configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  4. Anexar o computador – por fim, você precisará anexar o computador protegido ao servidor DPM.

Antes de começar

Antes de começar, verifique os cenários de proteção com suporte e as configurações de rede necessárias.

Cenários com suporte

Tipo de carga de trabalho Estado e suporte do servidor protegido
Arquivos Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Estado do Sistema Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação NTLM
SQL Server Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

O espelhamento não é suportado.

Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster.
Servidor Hyper-V Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

NTLM e autenticação do certificado
Cluster Hyper-V Grupo de trabalho: Sem suporte

Domínio não confiável: com suporte (somente autenticação de certificado)
Exchange Server Grupo de trabalho: Não aplicável

Domínio não confiável: com suporte apenas para um único servidor. O cluster não tem suporte. DAG CCR, SCR não têm suporte. LCR com suporte.

Somente autenticação NTLM
Servidor DPM secundário (para backup do servidor DPM primário)

Observe que os servidores DPM primários e secundários estão no mesmo domínio confiável transitivo da floresta ou bidirecional.
Grupo de trabalho: Com suporte

Domínio não confiável: com suporte

Somente autenticação de certificado
SharePoint Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Computadores cliente Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
Recuperação bare-metal (BMR) Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte
End-user recovery Grupo de trabalho: Sem suporte

Domínio não confiável: sem suporte

Configurações de rede

Configurações Computador em um grupo de trabalho ou domínio não confiável
Dados de controle Protocolo: DCOM

Porta padrão: 135

Autenticação: NTLM/certificado
Transferência de arquivos Protocolo: Winsock

Porta padrão: 5718 e 5719

Autenticação: NTLM/certificado
Requisitos de conta do DPM Conta local sem direitos de administrador no servidor DPM. Usa comunicação NTLM v2
Requisitos de certificado
Instalação do agente Agente instalado no computador protegido
Rede de perímetro A proteção de rede de perímetro não tem suporte.
IPSEC Verifique se o IPSEC não bloqueia as comunicações.

Fazer backup usando a autenticação NTLM

Aqui está o que você precisa fazer:

  1. Instalar o agente - Instale o agente no computador que você deseja proteger.

  2. Configurar o agente – configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  3. Anexar o computador – por fim, você precisará anexar o computador protegido ao servidor DPM.

Instalar e configurar o agente

  1. No computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

  2. Configure o agente executando SetDpmServer da seguinte maneira:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Especifique os parâmetros da seguinte forma:

    • -DpmServerName - Especifique o nome do servidor DPM. Use um FQDN se o servidor e o computador estiverem acessíveis entre si usando FQDNs ou um nome NETBIOS.

    • -IsNonDomainServer - Use para indicar que o servidor está em um grupo de trabalho ou domínio não confiável em relação ao computador que você deseja proteger. As exceções de firewall são criadas para as portas necessárias.

    • -UserName - Especifique o nome da conta que você deseja usar para autenticação NTLM. Para usar essa opção, você deve ter o sinalizador -isNonDomainServer especificado. Uma conta de usuário local será criada e o agente de proteção do DPM será configurado para usar essa conta para autenticação.

    • -ProductionServerDnsSuffix - Use essa opção se o servidor tiver vários sufixos DNS configurados. Essa opção representa o sufixo DNS que o servidor usa para se conectar ao computador que você está protegendo.

  4. Quando o comando for concluído com êxito, abra o console do DPM.

Atualizar a senha

Se a qualquer momento você desejar atualizar a senha das credenciais do NTLM, execute o seguinte no computador protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Você precisará usar a mesma convenção de nomenclatura (FQDN ou NETBIOS) que usou quando configurou a proteção. No servidor DPM, você precisará executar o cmdlet Update -NonDomainServerInfo do PowerShell. Em seguida, você precisará atualizar as informações do agente para o computador protegido.

Exemplo de NetBIOS: Computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemplo de FQDN: Computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. No console do DPM, execute o Assistente de Instalação do Agente de Proteção.

  2. Em Selecionar método de implantação do agente, selecione Anexar agentes.

  3. Digite o nome do computador, o nome de usuário e a senha do computador ao qual deseja anexar. Eles devem ser as credenciais especificadas quando você instalou o agente.

  4. Examine a página Resumo e selecione Anexar.

Opcionalmente, você pode executar o comando Attach-NonDomainServer.ps1 do Windows PowerShell em vez de executar o assistente. Para fazer isso, dê uma olhada no exemplo na próxima seção.

Exemplos

Exemplo 1

Exemplo para configurar um computador de grupo de trabalho após a instalação do agente:

  1. No computador, execute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Como os computadores do grupo de trabalho são geralmente acessíveis apenas usando o nome NetBIOS, o valor de DPMServerName deve ser o nome NetBIOS.

Exemplo 2

Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS conflitantes após a instalação do agente.

  1. No computador do grupo de trabalho, execute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Fazer backup usando autenticação de certificado

Veja como configurar a proteção com autenticação de certificado.

  • Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.

  • O certificado usado para autenticação deve estar de acordo com o seguinte:

    • Certificado X.509 V3.

    • O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.

    • O comprimento da chave deve ser de, pelo menos, 1024 bits.

    • O tipo de chave deve ser exchange.

    • O nome da entidade do certificado e o certificado raiz não devem estar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM

    • O certificado deve ter uma chave privada associada.

    • O DPM não dá suporte a certificados com chaves CNG.

    • O DPM não dá suporte a certificados autoassinados.

  • Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM

  3. Instalar o agente

  4. Configurar um certificado no computador protegido

  5. Conecte o computador

Criar um modelo de certificado do DPM

Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:

  1. No snap-in MMC Modelos de Certificado, você pode selecionar o modelo de servidor RAS e IAS. Clique com botão direito e selecione Modelo Duplicado.

  2. Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.

  3. Na guia geral , altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação do DPM. Verifique se a configuração Publicar certificado no Active Directory está habilitada.

  4. Na guia Tratamento de Solicitações , verifique se a opção Permitir que a chave privada seja exportada esteja ativada.

  5. Depois de criar o modelo, disponibilize-o para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novoe Modelo de Certificado a Ser Emitido. Em Habilitar Modelo de Certificado, selecione o modelo e selecione OK. Agora o modelo estará disponível quando você obtiver um certificado.

Habilitar o registro ou registro automático

Se você quiser configurar opcionalmente o modelo para registro ou registro automático, selecione a guia Nome da entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se você configurar o registro automático, o certificado será atribuído automaticamente a todos os computadores do domínio.

  • Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome da entidade, selecione Nome Comum e habilite o nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.

  • Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores do domínio.

  • Se você configurou o registro, poderá solicitar um novo certificado no MMC com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com botão direito do mouse em Certificados. Select Todas as Tarefas>Solicitar Novo Certificado. Na página Selecionar Política de Registro de Certificado do assistente, selecione Política de Registro do Active Directory. Em Solicitar certificados, você verá o modelo. Expanda Detalhes e selecione Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deverá receber uma mensagem informando que o certificado foi instalado com êxito.

Configure a certificate on the DPM server

  1. Gere um certificado de uma autoridade de certificação para o servidor DPM por meio do registro na Web ou de algum outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Certifique-se de que o tamanho da chave seja 1024 ou superior e que a opção Marcar chave como exportável esteja selecionada.

  2. O certificado é colocado no repositório de usuários. Você precisa movê-lo para a loja de computadores locais.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificado para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e certifique-se de que a opção Marcar esta chave como exportável esteja selecionada. Na página Repositório de Certificados, deixe a configuração padrão Coloque todos os certificados no repositório a seguir e verifique se Pessoal é exibido.

  5. Após a importação, defina as credenciais do DPM para usar o certificado da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o e, em seguida, realce-o e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Execute Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type - Indica o tipo de autenticação. Valor: certificado.

    • -Ação - Especifique se deseja executar o comando pela primeira vez ou regenerar as credenciais. Valores possíveis: regenerar ou configurar.

    • -OutputFilePath - Local do arquivo de saída usado em Set-DPMServer no computador protegido.

    • -Impressão digital - Copie do arquivo do Bloco de Notas.

    • -AuthCAThumbprint - Impressão digital da CA na cadeia de confiança do certificado. Opcional. Se não for especificado, será usado Raiz.

  6. Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Verifique se a pasta C:\Temp existe antes de executar o comando.

    Observação

    Se o arquivo for perdido ou excluído, você poderá recriá-lo executando o script com a opção -action regenerate .

  7. Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se não fizer isso, precisará especificar o caminho completo do arquivo para o parâmetro -DPMcredential quando você

  8. Repita essas etapas em todos os servidores DPM que protegerão um computador em um grupo de trabalho ou em um domínio não confiável.

Instalar o agente

  1. Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.

Configurar um certificado no computador protegido

  1. Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Certifique-se de que o tamanho da chave seja 1024 ou superior e que a opção Marcar chave como exportável esteja selecionada.

  2. O certificado é colocado no repositório de usuários. Você precisa movê-lo para a loja de computadores locais.

  3. Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificado para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e certifique-se de que a opção Marcar esta chave como exportável esteja selecionada. Na página Repositório de Certificados, deixe a configuração padrão Coloque todos os certificados no repositório a seguir e verifique se Pessoal é exibido.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizado a executar backups da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No repositório Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o, realce e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.

    2. Navegue até a pasta C:\Arquivos de programas\Microsoft Data Protection Manager\DPM\bin e execute setdpmserver da seguinte maneira:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.

    3. Você deve obter a saída para confirmar que a configuração foi concluída com êxito.

  6. Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você o copie para o local padrão no qual o processo de anexação verificará o arquivo (Windows\System32) para que você possa apenas especificar o nome do arquivo em vez do caminho completo ao executar o comando Anexar.

Attach the computer

Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName-Nome do servidor DPM

  • PSCredential-Name do arquivo .bin. Se você o colocou na pasta Windows\System32, poderá especificar apenas o nome do arquivo. Certifique-se de especificar o arquivo .bin criado no servidor protegido. Se você especificar o arquivo .bin criado no servidor DPM, removerá todos os computadores protegidos configurados para autenticação baseada em certificado.

Após a conclusão do processo de anexação, o computador protegido deverá aparecer no console do DPM.

Exemplos

Exemplo 1

Gera um arquivo com c:\\CertMetaData\\ nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Onde dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é a impressão digital do certificado do servidor DPM.

Exemplo 2

Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Alternar entre o NTLM e a autenticação de certificado

Observação

  • As seguintes cargas de trabalho clusterizadas só dão suporte à autenticação de certificado quando implantadas em um domínio não confiável:
    • Servidor de arquivos clusterizado
    • SQL Server clusterizado
    • Cluster Hyper-V
  • Se o agente do DPM estiver configurado para usar o NTLM em um cluster ou tiver sido originalmente configurado para usar o NTLM, mas depois tiver mudado para a autenticação de certificado sem primeiro remover o agente do DPM, a enumeração do cluster não mostrará nenhum recurso a ser protegido.

Para alternar da autenticação NTLM para a autenticação de certificado, use as seguintes etapas para reconfigurar o agente do DPM:

  1. No servidor DPM, remova todos os nós do cluster usando o script Remove-ProductionServer.ps1 do PowerShell.
  2. Desinstale o agente do DPM em todos os nós e exclua a pasta do agente de C:\Arquivos de Programas\Microsoft Data Protection Manager.
  3. Siga as etapas em fazer o back-up usando a autenticação de certificado.
  4. Depois que os agentes forem implantados e configurados para autenticação de certificado, verifique se a atualização do agente funciona e se mostra corretamente (não confiável - Certificados) para cada um dos nós.
  5. Atualize os nós/cluster para obter uma lista de fontes de dados a serem protegidas; Tente proteger novamente os recursos clusterizados.
  6. Adicione a carga de trabalho para proteger e concluir o assistente de grupo de proteção.