Preparar máquinas em grupos de trabalho e domínios não confiáveis para backup
O System Center Data Protection Manager (DPM) pode proteger computadores que estão em domínios ou grupos de trabalho não confiáveis. Você pode autenticar esses computadores usando uma conta de usuário local (autenticação NTLM) ou usando certificados. Para ambos os tipos de autenticação, você precisará preparar a infraestrutura antes de configurar um grupo de proteção que contenha as fontes das quais você deseja fazer backup.
Instalar um certificado – se você quiser usar a autenticação de certificado, instale um certificado no servidor DPM e no computador que você deseja proteger.
Instalar o agente - Instale o agente no computador que você deseja proteger.
Reconhecer o servidor DPM – configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.
Anexar o computador – por fim, você precisará anexar o computador protegido ao servidor DPM.
Antes de começar
Antes de começar, verifique os cenários de proteção com suporte e as configurações de rede necessárias.
Cenários com suporte
Tipo de carga de trabalho | Estado e suporte do servidor protegido |
---|---|
Arquivos | Grupo de trabalho: Com suporte Domínio não confiável: com suporte Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster. |
Estado do Sistema | Grupo de trabalho: Com suporte Domínio não confiável: com suporte Somente autenticação NTLM |
SQL Server | Grupo de trabalho: Com suporte Domínio não confiável: com suporte O espelhamento não é suportado. Autenticação de certificado e NTLM para servidor único. Autenticação de certificado somente para cluster. |
Servidor Hyper-V | Grupo de trabalho: Com suporte Domínio não confiável: com suporte NTLM e autenticação do certificado |
Cluster Hyper-V | Grupo de trabalho: Sem suporte Domínio não confiável: com suporte (somente autenticação de certificado) |
Exchange Server | Grupo de trabalho: Não aplicável Domínio não confiável: com suporte apenas para um único servidor. O cluster não tem suporte. DAG CCR, SCR não têm suporte. LCR com suporte. Somente autenticação NTLM |
Servidor DPM secundário (para backup do servidor DPM primário) Observe que os servidores DPM primários e secundários estão no mesmo domínio confiável transitivo da floresta ou bidirecional. |
Grupo de trabalho: Com suporte Domínio não confiável: com suporte Somente autenticação de certificado |
SharePoint | Grupo de trabalho: Sem suporte Domínio não confiável: sem suporte |
Computadores cliente | Grupo de trabalho: Sem suporte Domínio não confiável: sem suporte |
Recuperação bare-metal (BMR) | Grupo de trabalho: Sem suporte Domínio não confiável: sem suporte |
End-user recovery | Grupo de trabalho: Sem suporte Domínio não confiável: sem suporte |
Configurações de rede
Configurações | Computador em um grupo de trabalho ou domínio não confiável |
---|---|
Dados de controle | Protocolo: DCOM Porta padrão: 135 Autenticação: NTLM/certificado |
Transferência de arquivos | Protocolo: Winsock Porta padrão: 5718 e 5719 Autenticação: NTLM/certificado |
Requisitos de conta do DPM | Conta local sem direitos de administrador no servidor DPM. Usa comunicação NTLM v2 |
Requisitos de certificado | |
Instalação do agente | Agente instalado no computador protegido |
Rede de perímetro | A proteção de rede de perímetro não tem suporte. |
IPSEC | Verifique se o IPSEC não bloqueia as comunicações. |
Fazer backup usando a autenticação NTLM
Aqui está o que você precisa fazer:
Instalar o agente - Instale o agente no computador que você deseja proteger.
Configurar o agente – configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.
Anexar o computador – por fim, você precisará anexar o computador protegido ao servidor DPM.
Instalar e configurar o agente
No computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.
Configure o agente executando SetDpmServer da seguinte maneira:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
Especifique os parâmetros da seguinte forma:
-DpmServerName - Especifique o nome do servidor DPM. Use um FQDN se o servidor e o computador estiverem acessíveis entre si usando FQDNs ou um nome NETBIOS.
-IsNonDomainServer - Use para indicar que o servidor está em um grupo de trabalho ou domínio não confiável em relação ao computador que você deseja proteger. As exceções de firewall são criadas para as portas necessárias.
-UserName - Especifique o nome da conta que você deseja usar para autenticação NTLM. Para usar essa opção, você deve ter o sinalizador -isNonDomainServer especificado. Uma conta de usuário local será criada e o agente de proteção do DPM será configurado para usar essa conta para autenticação.
-ProductionServerDnsSuffix - Use essa opção se o servidor tiver vários sufixos DNS configurados. Essa opção representa o sufixo DNS que o servidor usa para se conectar ao computador que você está protegendo.
Quando o comando for concluído com êxito, abra o console do DPM.
Atualizar a senha
Se a qualquer momento você desejar atualizar a senha das credenciais do NTLM, execute o seguinte no computador protegido:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
Você precisará usar a mesma convenção de nomenclatura (FQDN ou NETBIOS) que usou quando configurou a proteção. No servidor DPM, você precisará executar o cmdlet Update -NonDomainServerInfo do PowerShell. Em seguida, você precisará atualizar as informações do agente para o computador protegido.
Exemplo de NetBIOS: Computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
Exemplo de FQDN: Computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Attach the computer
No console do DPM, execute o Assistente de Instalação do Agente de Proteção.
Em Selecionar método de implantação do agente, selecione Anexar agentes.
Digite o nome do computador, o nome de usuário e a senha do computador ao qual deseja anexar. Eles devem ser as credenciais especificadas quando você instalou o agente.
Examine a página Resumo e selecione Anexar.
Opcionalmente, você pode executar o comando Attach-NonDomainServer.ps1 do Windows PowerShell em vez de executar o assistente. Para fazer isso, dê uma olhada no exemplo na próxima seção.
Exemplos
Exemplo 1
Exemplo para configurar um computador de grupo de trabalho após a instalação do agente:
No computador, execute
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
.No servidor DPM, execute
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
.
Como os computadores do grupo de trabalho são geralmente acessíveis apenas usando o nome NetBIOS, o valor de DPMServerName deve ser o nome NetBIOS.
Exemplo 2
Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS conflitantes após a instalação do agente.
No computador do grupo de trabalho, execute
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
.No servidor DPM, execute
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
.
Fazer backup usando autenticação de certificado
Veja como configurar a proteção com autenticação de certificado.
Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.
O certificado usado para autenticação deve estar de acordo com o seguinte:
Certificado X.509 V3.
O EKU (Uso Avançado de Chave) deve ter autenticação de servidor e de cliente.
O comprimento da chave deve ser de, pelo menos, 1024 bits.
O tipo de chave deve ser exchange.
O nome da entidade do certificado e o certificado raiz não devem estar vazios.
Os servidores de revogação das Autoridades de Certificação associadas estão online e acessível para o servidor protegido e o servidor DPM
O certificado deve ter uma chave privada associada.
O DPM não dá suporte a certificados com chaves CNG.
O DPM não dá suporte a certificados autoassinados.
Cada computador que deseja proteger (inclusive máquinas virtuais) deve ter seu próprio certificado.
Configurar a proteção
Criar um modelo de certificado do DPM
Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se desejar fazer isso, selecione um modelo que tenha a Autenticação de Cliente e Autenticação de Servidor como sua finalidade. Por exemplo:
No snap-in MMC Modelos de Certificado, você pode selecionar o modelo de servidor RAS e IAS. Clique com botão direito e selecione Modelo Duplicado.
Em Modelo Duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.
Na guia geral , altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação do DPM. Verifique se a configuração Publicar certificado no Active Directory está habilitada.
Na guia Tratamento de Solicitações , verifique se a opção Permitir que a chave privada seja exportada esteja ativada.
Depois de criar o modelo, disponibilize-o para uso. Abra o snap-in Autoridade de certificação. Clique com o botão direito do mouse em Modelos de Certificados, selecione Novoe Modelo de Certificado a Ser Emitido. Em Habilitar Modelo de Certificado, selecione o modelo e selecione OK. Agora o modelo estará disponível quando você obtiver um certificado.
Habilitar o registro ou registro automático
Se você quiser configurar opcionalmente o modelo para registro ou registro automático, selecione a guia Nome da entidade nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se você configurar o registro automático, o certificado será atribuído automaticamente a todos os computadores do domínio.
Para o registro, na guia Nome da Entidade das propriedades do modelo, selecione Criar com base nas informações do Active Directory. Em Formato de nome da entidade, selecione Nome Comum e habilite o nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão de Registro aos usuários autenticados.
Para o registro automático, vá para a guia Segurança e atribua a permissão Registrar automaticamente aos usuários autenticados. Com essa configuração habilitada, o certificado será atribuído automaticamente a todos os computadores do domínio.
Se você configurou o registro, poderá solicitar um novo certificado no MMC com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com botão direito do mouse em Certificados. Select Todas as Tarefas>Solicitar Novo Certificado. Na página Selecionar Política de Registro de Certificado do assistente, selecione Política de Registro do Active Directory. Em Solicitar certificados, você verá o modelo. Expanda Detalhes e selecione Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você deverá receber uma mensagem informando que o certificado foi instalado com êxito.
Configure a certificate on the DPM server
Gere um certificado de uma autoridade de certificação para o servidor DPM por meio do registro na Web ou de algum outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Certifique-se de que o tamanho da chave seja 1024 ou superior e que a opção Marcar chave como exportável esteja selecionada.
O certificado é colocado no repositório de usuários. Você precisa movê-lo para a loja de computadores locais.
Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.
Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificado para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e certifique-se de que a opção Marcar esta chave como exportável esteja selecionada. Na página Repositório de Certificados, deixe a configuração padrão Coloque todos os certificados no repositório a seguir e verifique se Pessoal é exibido.
Após a importação, defina as credenciais do DPM para usar o certificado da seguinte maneira:
Obtenha a impressão digital do certificado. No repositório Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o e, em seguida, realce-o e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.
Execute Set-DPMCredentials para configurar o servidor DPM:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type - Indica o tipo de autenticação. Valor: certificado.
-Ação - Especifique se deseja executar o comando pela primeira vez ou regenerar as credenciais. Valores possíveis: regenerar ou configurar.
-OutputFilePath - Local do arquivo de saída usado em Set-DPMServer no computador protegido.
-Impressão digital - Copie do arquivo do Bloco de Notas.
-AuthCAThumbprint - Impressão digital da CA na cadeia de confiança do certificado. Opcional. Se não for especificado, será usado Raiz.
Isso gera um arquivo de metadados (.bin), que é necessário no momento da instalação de cada agente no domínio não confiável. Verifique se a pasta C:\Temp existe antes de executar o comando.
Observação
Se o arquivo for perdido ou excluído, você poderá recriá-lo executando o script com a opção -action regenerate .
Recupere o arquivo .bin e copie-o para a pasta C:\Arquivos de Programas\Microsoft Data Protection Manager\DPM\bin no computador que deseja proteger. Você não precisa fazer isso, mas se não fizer isso, precisará especificar o caminho completo do arquivo para o parâmetro -DPMcredential quando você
Repita essas etapas em todos os servidores DPM que protegerão um computador em um grupo de trabalho ou em um domínio não confiável.
Instalar o agente
- Em cada computador que deseja proteger, execute DPMAgentInstaller_X64.exe no CD de instalação do DPM para instalar o agente.
Configurar um certificado no computador protegido
Gere um certificado de uma Autoridade de Certificação para o computador protegido por meio de registro na Web ou qualquer outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Certifique-se de que o tamanho da chave seja 1024 ou superior e que a opção Marcar chave como exportável esteja selecionada.
O certificado é colocado no repositório de usuários. Você precisa movê-lo para a loja de computadores locais.
Para fazer isso, exporte o certificado do repositório de usuários. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.
Em Computador Local\Pessoal\Certificado, execute o Assistente de Importação de Certificado para importar o arquivo exportado de seu local salvo. Especifique a senha usada para exportá-la e certifique-se de que a opção Marcar esta chave como exportável esteja selecionada. Na página Repositório de Certificados, deixe a configuração padrão Coloque todos os certificados no repositório a seguir e verifique se Pessoal é exibido.
Após a importação, configure o computador para reconhecer o servidor DPM como autorizado a executar backups da seguinte maneira:
Obtenha a impressão digital do certificado. No repositório Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o, realce e copie-o. Cole a impressão digital no bloco de notas e remova os espaços.
Navegue até a pasta C:\Arquivos de programas\Microsoft Data Protection Manager\DPM\bin e execute setdpmserver da seguinte maneira:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
Em que ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.
Você deve obter a saída para confirmar que a configuração foi concluída com êxito.
Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você o copie para o local padrão no qual o processo de anexação verificará o arquivo (Windows\System32) para que você possa apenas especificar o nome do arquivo em vez do caminho completo ao executar o comando Anexar.
Attach the computer
Conecte o computador ao servidor DPM usando o script do PowerShell Attach-ProductionServerWithCertificate.ps1, usando a sintaxe.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName-Nome do servidor DPM
PSCredential-Name do arquivo .bin. Se você o colocou na pasta Windows\System32, poderá especificar apenas o nome do arquivo. Certifique-se de especificar o arquivo .bin criado no servidor protegido. Se você especificar o arquivo .bin criado no servidor DPM, removerá todos os computadores protegidos configurados para autenticação baseada em certificado.
Após a conclusão do processo de anexação, o computador protegido deverá aparecer no console do DPM.
Exemplos
Exemplo 1
Gera um arquivo com c:\\CertMetaData\\
nome CertificateConfiguration\_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
Onde dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é a impressão digital do certificado do servidor DPM.
Exemplo 2
Gera novamente um arquivo da configuração perdida na pasta c:\CertMetaData\
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
Alternar entre o NTLM e a autenticação de certificado
Observação
- As seguintes cargas de trabalho clusterizadas só dão suporte à autenticação de certificado quando implantadas em um domínio não confiável:
- Servidor de arquivos clusterizado
- SQL Server clusterizado
- Cluster Hyper-V
- Se o agente do DPM estiver configurado para usar o NTLM em um cluster ou tiver sido originalmente configurado para usar o NTLM, mas depois tiver mudado para a autenticação de certificado sem primeiro remover o agente do DPM, a enumeração do cluster não mostrará nenhum recurso a ser protegido.
Para alternar da autenticação NTLM para a autenticação de certificado, use as seguintes etapas para reconfigurar o agente do DPM:
- No servidor DPM, remova todos os nós do cluster usando o script Remove-ProductionServer.ps1 do PowerShell.
- Desinstale o agente do DPM em todos os nós e exclua a pasta do agente de C:\Arquivos de Programas\Microsoft Data Protection Manager.
- Siga as etapas em fazer o back-up usando a autenticação de certificado.
- Depois que os agentes forem implantados e configurados para autenticação de certificado, verifique se a atualização do agente funciona e se mostra corretamente (não confiável - Certificados) para cada um dos nós.
- Atualize os nós/cluster para obter uma lista de fontes de dados a serem protegidas; Tente proteger novamente os recursos clusterizados.
- Adicione a carga de trabalho para proteger e concluir o assistente de grupo de proteção.