Partilhar via

Preparar máquinas em grupos de trabalho e domínios não confiáveis para backup

  • Artigo

O System Center Data Protection Manager (DPM) pode proteger computadores que estão em domínios ou grupos de trabalho não confiáveis. Você pode autenticar esses computadores usando uma conta de usuário local (autenticação NTLM) ou usando certificados. Para ambos os tipos de autenticação, você precisará preparar a infraestrutura antes de configurar um grupo de proteção que contenha as fontes das quais deseja fazer backup.

  1. Instalar um certificado - Se quiser usar a autenticação de certificado, instale um certificado no servidor DPM e no computador que deseja proteger.

  2. Instalar o agente - Instale o agente no computador que você deseja proteger.

  3. Reconhecer o servidor DPM - Configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  4. Anexar o computador - Por último, terá de anexar o computador protegido ao servidor DPM.

Antes de começar

Antes de começar, verifique os cenários de proteção suportados e as configurações de rede necessárias.

Cenários suportados

Tipo de carga de trabalho Estado e suporte protegidos do servidor
Ficheiros Grupo de trabalho: Suportado

Domínio não confiável: suportado

NTLM e autenticação de certificado para servidor único. Autenticação de certificado apenas para o cluster.
Estado do sistema Grupo de trabalho: Suportado

Domínio não confiável: suportado

Somente autenticação NTLM
Servidor SQL Grupo de trabalho: Suportado

Domínio não confiável: suportado

Espelhamento não suportado.

NTLM e autenticação de certificado para servidor único. Autenticação de certificado apenas para o cluster.
Hyper-V servidor Grupo de trabalho: Suportado

Domínio não confiável: suportado

NTLM e autenticação de certificado
Hyper-V aglomerado Grupo de trabalho: Não suportado

Domínio não confiável: suportado (somente autenticação de certificado)
Servidor Exchange Grupo de trabalho: Não aplicável

Domínio não confiável: suportado apenas para um único servidor. O sistema de agrupamento não é suportado. CCR, SCR, DAG não suportados. LCR suportado.

Somente autenticação NTLM
Servidor DPM secundário (para backup do servidor DPM primário)

Observe que os Servidores DPM Primário e Secundário estão no mesmo domínio confiável transitivo de floresta ou bidirecional.		 Grupo de trabalho: Suportado

Domínio não confiável: suportado

Apenas autenticação de certificado
SharePoint Grupo de trabalho: Não suportado

Domínio não confiável: não suportado
Computadores clientes Grupo de trabalho: Não suportado

Domínio não confiável: não suportado
Recuperação bare metal (BMR) Grupo de trabalho: Não suportado

Domínio não confiável: não suportado
Recuperação do usuário final Grupo de trabalho: Não suportado

Domínio não confiável: não suportado

Configurações de rede

Configurações Computador em grupo de trabalho ou domínio não confiável
Dados de controlo Protocolo: DCOM

Porta padrão: 135

Autenticação: NTLM/certificado
Transferência de ficheiros Protocolo: Winsock

Porta padrão: 5718 e 5719

Autenticação: NTLM/certificado
Requisitos da conta do DPM Conta local sem direitos de administrador no servidor DPM. Usa comunicação NTLM v2
Requisitos de certificação
Instalação do agente Agente instalado no computador protegido
Rede de perímetro Proteção de rede de perímetro não suportada.
IPSEC Certifique-se de que o IPSEC não bloqueia comunicações.

Backup usando autenticação NTLM

Aqui está o que você precisa fazer:

  1. Instalar o agente - Instale o agente no computador que você deseja proteger.

  2. Configurar o agente - Configure o computador para reconhecer o servidor DPM para executar backups. Para fazer isso, você executará o comando SetDPMServer.

  3. Anexar o computador - Por último, terá de anexar o computador protegido ao servidor DPM.

Instalar e configurar o agente

  1. No computador que você deseja proteger, execute DPMAgentInstaller_X64.exe a partir do CD de instalação do DPM para instalar o agente.

  2. Configure o agente executando SetDpmServer da seguinte maneira:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Especifique os parâmetros da seguinte forma:

    • -DpmServerName - Especifique o nome do servidor DPM. Use um nome de domínio completo (FQDN) se o servidor e o computador estiverem acessíveis entre si usando FQDNs ou um nome NETBIOS.

    • -IsNonDomainServer - Use para indicar que o servidor está em um grupo de trabalho ou domínio não confiável em relação ao computador que você deseja proteger. As exceções de firewall são criadas para as portas necessárias.

    • -UserName - Especifique o nome da conta que você deseja usar para autenticação NTLM. Para usar essa opção, você deve ter o sinalizador de -isNonDomainServer especificado. Uma conta de usuário local será criada e o agente de proteção do DPM será configurado para usar essa conta para autenticação.

    • -ProductionServerDnsSuffix - Use esta opção se o servidor tiver vários sufixos DNS configurados. Essa opção representa o sufixo DNS que o servidor usa para se conectar ao computador que você está protegendo.

  4. Quando o comando for concluído com êxito, abra o console do DPM.

Atualize a palavra-passe

Se, em algum momento, você quiser atualizar a senha para as credenciais NTLM, execute o seguinte no computador protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Você precisará usar a mesma convenção de nomenclatura (FQDN ou NETBIOS) que usou quando configurou a proteção. No servidor DPM, você precisará executar o cmdlet Update -NonDomainServerInfo PowerShell. Em seguida, você precisará atualizar as informações do agente para o computador protegido.

Exemplo NetBIOS: Computador protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemplo de FQDN: Computador protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Anexar o computador

  1. Na consola do DPM, execute o assistente de instalação do agente de proteção.

  2. Em Selecionar método de implantação do agente, selecione Anexar agentes.

  3. Introduza o nome do computador, o nome de utilizador e a palavra-passe do computador ao qual pretende ligar. Essas devem ser as credenciais especificadas quando você instalou o agente.

  4. Revise a página Resumo e selecione a opção Anexar.

Opcionalmente, você pode executar o comando Windows PowerShell Attach-NonDomainServer.ps1 em vez de executar o assistente. Para fazer isso, dê uma olhada no exemplo na próxima seção.

Exemplos

Exemplo 1

Exemplo para configurar um computador de grupo de trabalho após a instalação do agente:

  1. No computador, execute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Como os computadores do grupo de trabalho normalmente são acessíveis somente usando o nome NetBIOS, o valor para DPMServerName deve ser o nome NetBIOS.

Exemplo 2

Exemplo para configurar um computador de grupo de trabalho com nomes NetBIOS conflitantes após a instalação do agente.

  1. No computador do grupo de trabalho, execute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. No servidor DPM, execute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Backup usando autenticação de certificado

Veja como configurar a proteção com autenticação de certificado.

  • Cada computador que você deseja proteger deve ter pelo menos o .NET Framework 3.5 com SP1 instalado.

  • O certificado usado para autenticação deve estar em conformidade com o seguinte:

    • Certificado X.509 V3.

    • O Uso Avançado de Chave (EKU) deve ter autenticação de cliente e autenticação de servidor.

    • O comprimento da chave deve ser de pelo menos 1024 bits.

    • O tipo de chave deve ser troca.

    • O nome do assunto do certificado e o certificado raiz não devem estar vazios.

    • Os servidores de revogação das Autoridades de Certificação associadas estão online e acessíveis pelo servidor protegido e pelo servidor DPM

    • O certificado deve ter chave privada associada.

    • O DPM não suporta certificados com chaves CNG.

    • O DPM não oferece suporte a certificados autoassinados.

  • Cada computador que você deseja proteger (incluindo máquinas virtuais) deve ter seu próprio certificado.

Configurar a proteção

  1. Criar um modelo de certificado do DPM

  2. Configurar um certificado no servidor DPM

  3. Instalar o agente

  4. Configurar um certificado no computador protegido

  5. Anexe o computador

Criar um modelo de certificado do DPM

Opcionalmente, você pode configurar um modelo do DPM para registro na Web. Se você quiser fazer isso, selecione um modelo que tenha a Autenticação de Cliente e a Autenticação de Servidor como finalidade pretendida. Por exemplo:

  1. No snap-in Modelos de Certificado MMC, você pode selecionar o modelo de do Servidor RAS e IAS. Clique com o botão direito do mouse e selecione modelo duplicado.

  2. Em modelo duplicado, deixe a configuração padrão Windows Server 2003 Enterprise.

  3. Na guia Geral , altere o nome de exibição do modelo para algo reconhecível. Por exemplo, Autenticação do DPM. Verifique se a configuração Publicar certificado no Ative Directory está habilitada.

  4. Na guia Tratamento de Solicitações, verifique se Permitir que a chave privada seja exportada está habilitada.

  5. Depois de criar o modelo, disponibilize-o para uso. Abra o snap-in da Autoridade de Certificação. Clique com o botão direito do mouse Modelos de Certificado, selecione Novoe escolha Modelo de Certificado para Emitir. Em Ativar Modelo de Certificado, selecione o modelo e selecione OK. Agora, o modelo estará disponível quando você obtiver um certificado.

Habilitar o registro ou o registro automático

Se você quiser configurar opcionalmente o modelo para registro ou registro automático, selecione a guia Nome do Assunto nas propriedades do modelo. Quando você configura o registro, o modelo pode ser selecionado no MMC. Se você configurar o registro automático, o certificado será atribuído automaticamente a todos os computadores no domínio.

  • Para a inscrição, na guia Nome da Disciplina das propriedades do modelo, habilite Selecionar Criar a partir desta informação do Active Directory. No formato Nome do Assunto, selecione Nome Comum e ative Nome DNS. Em seguida, vá para a guia Segurança e atribua a permissão Registrar aos usuários autenticados.

  • Para a autoincrição, vá para a guia Segurança e atribua a permissão Autoincrição a usuários autenticados. Com essa configuração ativada, o certificado será atribuído automaticamente a todos os computadores do domínio.

  • Se você configurou o registro, poderá solicitar um novo certificado no MMC com base no modelo. Para fazer isso, no computador protegido, em Certificados (Computador Local)>Pessoal, clique com o botão direito do mouse em Certificados. Selecione Todas as Tarefas>Solicitar Novo Certificado. Na página Política de Inscrição de Certificados do assistente, selecione Política de Inscrição do Active Directory. Em Solicitar certificados, você verá o modelo. Expanda Detalhes e selecione Propriedades. Selecione a guia Geral e forneça um nome amigável. Depois de aplicar as configurações, você receberá uma mensagem informando que o certificado foi instalado com êxito.

Configurar um certificado no servidor DPM

  1. Gere um certificado de uma autoridade de certificação para o servidor DPM por meio de registro na Web ou algum outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e se a opção "Marcar chave como exportável" está selecionada.

  2. O certificado é colocado no repositório do usuário. Você precisa movê-lo para a loja do computador local.

  3. Para fazer isso, exporte o certificado do repositório do usuário. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado de seu local salvo. Especifique a senha que utilizou para exportá-la e certifique-se de que Marcar esta chave como exportável está selecionado. Na página Armazenamento de Certificados, deixe a configuração padrão Colocar todos os certificados na seguinte loja de certificados e verifique se Pessoal é exibido.

  5. Após a importação, defina as credenciais do DPM para usar o certificado da seguinte maneira:

    1. Obtenha a impressão digital do certificado. Na loja de Certificados, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o e, em seguida, realce e copie-o. Cole a impressão digital no Bloco de Notas e remova todos os espaços.

    2. Execute o comando Set-DPMCredentials para configurar o servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - Indica o tipo de autenticação. Valor: certificado.

    • -Action - Especifique se deseja executar o comando pela primeira vez ou regenerar as credenciais. Valores possíveis: regenerar ou configurar.

    • -OutputFilePath - Localização do arquivo de saída usado em Set-DPMServer no computador protegido.

    • -Thumbprint - Copie do arquivo do Bloco de Notas.

    • -AuthCAThumbprint - Impressão digital da Autoridade Certificadora na cadeia de confiança do certificado. Opcional. Se não for especificado, Root será usado.

  6. Isso gera um arquivo de metadados (.bin) que é necessário no momento da instalação de cada agente em domínio não confiável. Verifique se a pasta C:\Temp existe antes de executar o comando.

    Observação

    Se o arquivo for perdido ou excluído, você poderá recriá-lo executando o script com a opção -action regenerate.

  7. Recupere o arquivo .bin e copie-o para a pasta C:\Program Files\Microsoft Data Protection Manager\DPM\bin no computador que você deseja proteger. Você não precisa fazer isso, mas se não o fizer, precisará especificar o caminho completo do arquivo para o parâmetro -DPMcredential.

  8. Repita estas etapas em cada servidor DPM que protegerá um computador em um grupo de trabalho ou em um domínio não confiável.

Instalar o agente

  1. Em cada computador que você deseja proteger, execute DPMAgentInstaller_X64.exe a partir do CD de instalação do DPM para instalar o agente.

Configurar um certificado no computador protegido

  1. Gere um certificado de uma autoridade de certificação para o computador protegido, via inscrição na Web ou algum outro método. No registro na Web, selecione certificado avançado necessário e Criar e enviar uma solicitação para esta autoridade de certificação. Verifique se o tamanho da chave é 1024 ou superior e se Marcar chave como exportável está selecionado.

  2. O certificado é colocado no repositório do usuário. Você precisa movê-lo para a loja do Computador Local.

  3. Para fazer isso, exporte o certificado do repositório do usuário. Certifique-se de exportá-lo com a chave privada. Você pode exportá-lo no formato .pfx padrão. Especifique uma senha para a exportação.

  4. Em Computador Local\Pessoal\Certificado, execute o Assistente para Importação de Certificados para importar o arquivo exportado de seu local salvo. Especifique a palavra-passe utilizada para a exportação e assegure-se de que a opção Marcar esta chave como exportável está selecionada. Na página Armazenamento de Certificados, deixe a configuração padrão Colocar todos os certificados na seguinte localização e verifique se Pessoal é exibido.

  5. Após a importação, configure o computador para reconhecer o servidor DPM como autorizado a executar backups da seguinte maneira:

    1. Obtenha a impressão digital do certificado. No Certificados armazenamento, clique duas vezes no certificado. Selecione a guia Detalhes e role para baixo até a impressão digital. Selecione-o, realce-o e copie-o. Cole a impressão digital no Bloco de Notas e remova todos os espaços.

    2. Navegue até a pasta C:\Program files\Microsoft Data Protection Manager\DPM\bin e execute setdpmserver da seguinte maneira:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Onde ClientThumbprintWithNoSpaces é copiado do arquivo do bloco de notas.

    3. Você deve obter a saída para confirmar que a configuração foi concluída com êxito.

  6. Recupere o arquivo .bin e copie-o para o servidor DPM. Sugerimos que você o copie para o local padrão no qual o processo Anexar verificará o arquivo (Windows\System32) para que você possa apenas especificar o nome do arquivo em vez do caminho completo quando executar o comando Anexar.

Anexar o computador

Anexe o computador ao servidor DPM usando o script Attach-ProductionServerWithCertificate.ps1 PowerShell, usando a sintaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name do servidor DPM

  • PSCredential-Name do arquivo .bin. Se o colocou na pasta Windows\System32, pode especificar apenas o nome do ficheiro. Certifique-se de especificar o arquivo .bin criado no servidor protegido. Se você especificar o arquivo de .bin criado no servidor DPM, removerá todos os computadores protegidos configurados para autenticação baseada em certificado.

Após a conclusão do processo de anexação, o computador protegido deve aparecer no console do DPM.

Exemplos

Exemplo 1

Gera um arquivo em c:\\CertMetaData\\ com nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Onde dpmserver.contoso.com é o nome do servidor DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" é a impressão digital do certificado do servidor DPM.

Exemplo 2

Regenera um arquivo de configuração perdido na pasta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Alternar entre NTLM e autenticação de certificado

Observação

  • As seguintes cargas de trabalho clusterizadas suportam apenas a autenticação de certificado quando implantadas em domínio não confiável:
    • Servidor de ficheiros em cluster
    • Servidor SQL clusterizado
    • Hyper-V agrupar
  • Se o agente do DPM estiver atualmente configurado para usar NTLM em um cluster ou tiver sido originalmente configurado para usar NTLM, mas posteriormente tiver mudado para autenticação de certificado sem primeiro remover o agente do DPM, a enumeração do cluster não mostrará nenhum recurso a ser protegido.

Para alternar da autenticação NTLM para a autenticação de certificado, use as seguintes etapas para reconfigurar o agente do DPM:

  1. No servidor DPM, remova todos os nós do cluster usando o script Remove-ProductionServer.ps1 PowerShell.
  2. Desinstale o agente do DPM em todos os nós e exclua a pasta do agente do C:\Arquivos de Programas\Microsoft Data Protection Manager.
  3. Siga as etapas em , fazer o backup usando a autenticação de certificado.
  4. Depois de os agentes serem implantados e configurados para autenticação de certificado, verifique se a atualização do agente funciona corretamente e indica (estado: não confiável - Certificados) para cada um dos nós.
  5. Atualize os nós/cluster para obter uma lista de fontes de dados a proteger; Tente proteger novamente o(s) recurso(s) clusterizado(s).
  6. Adicione a tarefa de proteção e conclua o Assistente do Grupo de Proteção.