Поделиться через

Подготовка компьютеров в рабочих группах и ненадежных доменах для резервного копирования

  • Статья

System Center Data Protection Manager (DPM) может защитить компьютеры, которые находятся в ненадежных доменах или рабочих группах. Компьютеры можно аутентифицировать с помощью учетной записи локального пользователя (проверка подлинности NTLM) или с помощью сертификатов. Для обоих типов проверки подлинности необходимо подготовить инфраструктуру, прежде чем можно настроить группу защиты, содержащую источники, которые вы хотите создать резервные копии.

  1. Установите сертификат. Если вы хотите использовать проверку подлинности сертификата, установите сертификат на сервере DPM и на компьютере, который требуется защитить.

  2. Установите агент— установите агент на компьютере, который требуется защитить.

  3. Распознайте сервер DPM. Настройте компьютер для распознавания сервера DPM для выполнения резервных копий. Для этого выполните команду SetDPMServer.

  4. Подключите компьютер . Наконец, вам нужно подключить защищенный компьютер к серверу DPM.

Перед началом работы

Перед началом работы проверьте поддерживаемые сценарии защиты и необходимые параметры сети.

Поддерживаемые сценарии

Тип рабочей нагрузки Состояние и поддержка защищенного сервера
Файлы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Проверка подлинности NTLM и проверка на основе сертификата для одного сервера. Аутентификация по сертификатам только для кластера.
Состояние системы Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только аутентификация NTLM
SQL Server Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Зеркальное отображение не поддерживается.

Аутентификация NTLM и сертификатная аутентификация для одного сервера. Проверка подлинности с помощью сертификатов исключительно для кластера.
Сервер Hyper-V Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

NTLM и проверка подлинности на основе сертификата
Кластер Hyper-V Рабочая группа: Не поддерживается

Недоверенный домен: поддерживается (только проверка подлинности сертификата)
Exchange Server Рабочая группа: Неприменимо

Ненадежный домен: поддерживается только для одного сервера. Кластер не поддерживается. CCR, SCR, DAG не поддерживаются. LCR поддерживается.

Только аутентификация NTLM
Вторичный сервер DPM (для резервного копирования основного сервера DPM)

Обратите внимание, что первичные и вторичные серверы DPM находятся в одном лесном домене или в двухстороннем транзитивном доверенном лесном домене.		 Рабочая группа: Поддерживается

Ненадежный домен: поддерживается

Только аутентификация по сертификату
SharePoint Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Клиентские компьютеры Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Восстановление исходного состояния системы (BMR) Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается
Восстановление конечного пользователя Рабочая группа: Не поддерживается

Ненадежный домен: не поддерживается

Параметры сети

Настройки Компьютер в рабочей группе или в недоверенном домене
Управляющие данные Протокол: DCOM

Порт по умолчанию: 135

Проверка подлинности: NTLM или сертификат
Передача файлов Протокол: Winsock

Порт по умолчанию: 5718 и 5719

Проверка подлинности: NTLM или сертификат
Требования к учетной записи DPM Локальная учетная запись без прав администратора на сервере DPM. Использует подключение NTLM v2
Требования к сертификатам
Установка агента Агент, установленный на защищенном компьютере
Сеть периметра Защита сети периметра не поддерживается.
IPSEC Убедитесь, что IPSEC не блокирует обмен данными.

Резервное копирование с помощью аутентификации NTLM

Вот что вам нужно сделать:

  1. Установите агент— установите агент на компьютере, который требуется защитить.

  2. Настройка агента — настройка компьютера для распознавания сервера DPM для выполнения резервных копий. Для этого выполните команду SetDPMServer.

  3. Подключите компьютер . Наконец, необходимо подключить защищенный компьютер к серверу DPM.

Установка и настройка агента

  1. На компьютере, который требуется защитить, запустите DPMAgentInstaller_X64.exe с компакт-диска установки DPM для установки агента.

  2. Настройте агент, выполнив команду SetDpmServer следующим образом:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Задайте следующие параметры:

    • -DpmServerName — укажите имя сервера DPM. Используйте либо полное доменное имя, если сервер и компьютер доступны друг другу по полным доменным именам, либо имя NETBIOS.

    • -IsNonDomainServer — используется для указания того, что сервер находится в рабочей группе или ненадежном домене в отношении компьютера, который требуется защитить. Для требуемых портов создаются исключения брандмауэра.

    • -UserName — укажите имя учетной записи, которую вы хотите использовать для проверки подлинности NTLM. Чтобы использовать этот параметр, необходимо указать флаг -isNonDomainServer. Будет создана учетная запись локального пользователя, а агент защиты DPM будет настроен для использования этой учетной записи для проверки подлинности.

    • -ProductionServerDnsSuffix — используйте этот параметр, если на сервере настроено несколько DNS-суффиксов. Этот параметр представляет DNS-суффикс, который сервер использует для подключения к компьютеру, который вы защищаете.

  4. После успешного завершения команды откройте консоль DPM.

Обновление пароля

Если в любой момент времени понадобится обновить пароль для учетных данных NTLM, выполните следующую команду на защищенном компьютере:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Вам потребуется использовать то же соглашение об именовании (FQDN или NETBIOS), которое использовалось при настройке защиты. На сервере DPM необходимо запустить командлет Update -NonDomainServerInfo в среде PowerShell. Затем необходимо обновить сведения об агенте для защищенного компьютера.

Пример NetBIOS: защищенный компьютер: сервер DPM: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePasswordUpdate-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Пример FQDN: защищенный компьютер: сервер DPM: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePasswordUpdate-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Подключите компьютер

  1. В консоли DPM запустите мастер установки агента защиты.

  2. В Выбор метода развертывания агентавыберите Присоединение агентов.

  3. Введите имя компьютера, имя пользователя и пароль для компьютера, к которому требуется подключиться. Это должны быть учетные данные, указанные при установке агента.

  4. Просмотрите страницу "Сводка " и нажмите кнопку "Присоединить".

При необходимости можно выполнить команду Windows PowerShell Attach-NonDomainServer.ps1 вместо запуска мастера. Для этого ознакомьтесь с примером в следующем разделе.

Примеры

Пример 1

Пример настройки компьютера рабочей группы после установки агента.

  1. На компьютере запустите SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. На сервере DPM выполните команду Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Так как компьютеры рабочей группы обычно доступны только при использовании имени NetBIOS, значение для DPMServerName должно быть имя NetBIOS.

Пример 2

Пример настройки компьютера рабочей группы с конфликтующими именами NetBIOS после установки агента.

  1. На компьютере рабочей группы запустите SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. На сервере DPM выполните команду Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Резервное копирование с помощью проверки подлинности сертификата

Вот как настроить защиту с помощью проверки подлинности сертификата.

  • На каждом компьютере, который нужно защитить, необходимо установить .NET Framework 3.5 с пакетом обновления 1 (SP1) или более позднюю версию.

  • Сертификат, используемый для проверки подлинности, должен соответствовать следующим условиям.

    • Сертификат X.509 версии 3.

    • Расширенное использование ключа (EKU) должно содержать аутентификацию клиента и сервера.

    • Длина ключа должна составлять как минимум 1024 бит.

    • Тип ключа должен быть exchange.

    • Имя субъекта сертификата и корневого сертификата не должно быть пустым.

    • Серверы отзыва связанных центров сертификации находятся в сети и доступны как для защищенного сервера, так и для сервера DPM.

    • Сертификат должен иметь связанный закрытый ключ.

    • DPM не поддерживает сертификаты с ключами CNG.

    • DPM не поддерживает самозаверяющий сертификат.

  • Каждый компьютер, который требуется защитить (включая виртуальные машины), должен иметь свой собственный сертификат.

Настройка защиты

  1. Создание шаблона сертификата DPM

  2. Настройка сертификата на сервере DPM

  3. Установка агента

  4. Настройка сертификата на защищенном компьютере

  5. Подключение компьютера

Создание шаблона сертификата DPM

При необходимости можно настроить шаблон DPM для веб-регистрации. Для этого выберите шаблон, предназначенный для проверки подлинности клиента и сервера. Например:

  1. В оснастке MMC «Шаблоны сертификатов» можно выбрать шаблон сервера RAS и IAS. Щелкните его правой кнопкой мыши и выберите Скопировать шаблон.

  2. В окне Копирование шаблонаоставьте параметр по умолчанию Windows Server 2003 Enterprise.

  3. На вкладке Общие измените отображаемое имя шаблона на распознаваемое. Например, проверка подлинности DPM. Убедитесь, что параметр "Опубликовать сертификат" в Active Directory включен.

  4. На вкладке "Обработка запросов" убедитесь, что разрешен экспорт закрытого ключа.

  5. После создания шаблона сделайте его доступным для использования. Откройте оснастку «Центр сертификации». Щелкните правой кнопкой мыши элемент Шаблоны сертификатов, выберите Создать, а затем Выдаваемый шаблон сертификата. В разделе "Включить шаблон сертификата" выберите шаблон и нажмите кнопку "ОК". Теперь шаблон будет доступен при получении сертификата.

Включение ручной и автоматической регистрации

Если вы хотите дополнительно настроить шаблон для регистрации или автоматической регистрации, выберите вкладку "Имя субъекта" в свойствах шаблона. При настройке регистрации шаблон можно выбрать в MMC. При настройке автоматической регистрации сертификат автоматически назначается всем компьютерам в домене.

  • Для регистрации на вкладке Имя субъекта свойств шаблона установите флажок Выбрать сборку на основе данных Active Directory. В формате имени субъекта выберите общее имя и включите DNS-имя. Перейдите на вкладку "Безопасность" и назначьте разрешение Регистрация пользователям, прошедшим проверку подлинности.

  • Для автоматической регистрации перейдите на вкладку Безопасность и назначьте разрешение Автоматическая регистрация пользователям, прошедшим проверку подлинности. Если этот параметр включен, сертификат автоматически назначается всем компьютерам в домене.

  • Если вы настроили регистрацию, вы сможете запросить новый сертификат в MMC на основе шаблона. Для этого на защищенном компьютере, в разделе Сертификаты (локальный компьютер)>Личное, щелкните правой кнопкой мыши Сертификаты. Select Все задачи>Запросить новый сертификат. На странице "Выбор политики регистрации сертификатов" мастера выберите политику регистрации в Active Directory. В запросе сертификатов вы увидите шаблон. Разверните сведения и выберите "Свойства". Откройте вкладку Общие и введите понятное имя. После применения параметров необходимо получить сообщение о том, что сертификат был успешно установлен.

Настройка сертификата на сервере DPM

  1. Создайте сертификат для сервера DPM из ЦС с помощью веб-регистрации или другого метода. В веб-регистрации выберите требуется расширенный сертификат, создайте и отправьте запрос этому ЦС. Убедитесь, что размер ключа равен 1024 или больше, и Пометить ключ как экспортируемый выбрано.

  2. Сертификат помещается в хранилище пользователя. Необходимо переместить его в хранилище локальных компьютеров.

  3. Для этого экспортируйте сертификат из хранилища пользователей. Убедитесь, что экспортируйте его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. На локальном компьютере\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортируемый файл из сохраненного расположения. Укажите пароль, используемый для экспорта, и убедитесь, что выбран этот ключ как экспортируемый . На странице Хранилища сертификатов оставьте параметр по умолчанию Поместить все сертификаты в следующее хранилище и убедитесь, что выбрано Личное.

  5. После импорта задайте учетные данные DPM для использования сертификата следующим образом:

    1. Получите отпечаток сертификата. В хранилище сертификатов дважды щелкните сертификат. Перейдите на вкладку "Сведения" и прокрутите вниз до отпечатка пальца. Выберите его, а затем выделите и скопируйте его. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Запустите set-DPMCredentials , чтобы настроить сервер DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type — указывает тип проверки подлинности. Значение: сертификат.

    • -Action — укажите, нужно ли выполнять команду в первый раз или повторно создавать учетные данные. Возможные значения: regenerate или configure.

    • -OutputFilePath — расположение выходного файла, используемого в Set-DPMServer на защищенном компьютере.

    • -Отпечаток — скопируйте из Блокнота.

    • -AuthCAThumbprint — отпечаток пальца ЦС в цепочке доверия сертификата. Необязательно. Если не указан, будет использован корень.

  6. Будет создан файл метаданных (BIN-файл), необходимый во время установки агента в недоверенном домене. Перед выполнением команды убедитесь, что папка C:\Temp существует.

    Примечание.

    Если файл потерян или удален, его можно регенерировать, выполнив скрипт с параметром -action regenerate.

  7. Верните BIN-файл и скопируйте его в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin на компьютере, который требуется защитить. Вам не обязательно это делать, но если вы не сделаете этого, вам потребуется указать полный путь к файлу для параметра -DPMcredential.

  8. Повторите эти действия на каждом сервере DPM, который будет защищать компьютер в рабочей группе или в недоверенном домене.

Установка агента

  1. На каждом компьютере, который требуется защитить, запустите файл DPMAgentInstaller_X64.exe с компакт-диска установки DPM, чтобы установить агент.

Настройка сертификата на защищенном компьютере

  1. Создайте сертификат из ЦС для защищенного компьютера с помощью веб-регистрации или другого метода. В веб-регистрации выберите требуется дополнительный сертификат и создайте и отправьте запрос в этот ЦС. Убедитесь, что размер ключа составляет 1024 или более, и отмечена опция Экспортировать ключ.

  2. Сертификат помещается в хранилище пользователя. Необходимо переместить его в хранилище локальных компьютеров.

  3. Для этого экспортируйте сертификат из хранилища пользователей. Убедитесь, что экспортируйте его с закрытым ключом. Его можно экспортировать в формате PFX по умолчанию. Укажите пароль для экспорта.

  4. На локальном компьютере\Personal\Certificate запустите мастер импорта сертификатов, чтобы импортировать экспортируемый файл из сохраненного расположения. Укажите пароль, используемый для экспорта, и убедитесь, что выбран этот ключ как экспортируемый . На странице хранилища сертификатов оставьте значение по умолчанию Поместить все сертификаты в следующее хранилище и убедитесь, что отображается Личное.

  5. После импорта настройте компьютер для распознавания сервера DPM как авторизованного для выполнения резервных копий следующим образом:

    1. Получите отпечаток сертификата. В хранилище сертификатов дважды щелкните сертификат. Перейдите на вкладку "Сведения" и прокрутите вниз до отпечатка пальца. Выделите его, затем скопируйте. Вставьте отпечаток в Блокнот и удалите все пробелы.

    2. Перейдите в папку C:\Program files\Microsoft Data Protection Manager\DPM\bin и запустите setdpmserver следующим образом:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Где ClientThumbprintWithNoSpaces копируется из файла Блокнота.

    3. Чтобы убедиться, что конфигурация выполнена успешно, вы получите выходные данные.

  6. Верните BIN-файл и скопируйте его на сервер DPM. Мы рекомендуем скопировать его в расположение по умолчанию, в котором процесс присоединения будет проверять наличие файла (Windows\System32), чтобы можно было просто указать имя файла вместо полного пути при выполнении команды присоединения.

Подключите компьютер

Подключение компьютера к серверу DPM производится с помощью скрипта Attach-ProductionServerWithCertificate.ps1 PowerShell с использованием синтаксиса.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Имя сервера DPM

  • Название файла PSCredential .bin. Если поместить его в папку Windows\System32, можно указать только имя файла. Убедитесь, что вы указали файл .bin, созданный на защищенном сервере. Если указать файл .bin, созданный на сервере DPM, вы удалите все защищенные компьютеры, настроенные для проверки подлинности на основе сертификатов.

После завершения процесса подключения защищенный компьютер должен появиться в консоли DPM.

Примеры

Пример 1

Создает файл с c:\\CertMetaData\\ именем CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Где dpmserver.contoso.com является именем сервера DPM, а "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" — отпечаток сертификата сервера DPM.

Пример 2

Восстановление потерянного файла конфигурации в папке c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Переключение между проверкой подлинности NTLM и проверкой подлинности на основе сертификата

Примечание.

  • Следующие кластеризованные рабочие нагрузки поддерживают проверку подлинности сертификатов только при развертывании в недоверенном домене:
    • кластерный файловый сервер;
    • кластерный сервер SQL;
    • Кластер Hyper-V
  • Если агент DPM в настоящее время настроен на использование NTLM в кластере или изначально настроен для использования NTLM, но позже переключился на проверку подлинности сертификата без первого удаления агента DPM, перечисление кластера не будет отображать какие-либо ресурсы для защиты.

Чтобы переключиться с проверки подлинности NTLM на проверку подлинности на основе сертификата, выполните следующие действия для перенастройки агента DPM:

  1. На сервере DPM удалите все узлы кластера с помощью скрипта Remove-ProductionServer.ps1 PowerShell.
  2. Удалите агент DPM на всех узлах и удалите папку агента: C:\Program Files\Microsoft Data Protection Manager.
  3. Выполните действия, описанные в разделе Резервное копирование с помощью проверки подлинности на основе сертификата.
  4. После развертывания и настройки агентов для проверки подлинности сертификата убедитесь, что обновление агента работает и правильно отображает (ненадежные сертификаты) для каждого узла.
  5. Обновите узлы или кластеры, чтобы получить список источников данных для защиты; Повторите попытку защиты кластеризованных ресурсов.
  6. Добавьте рабочую нагрузку, чтобы защитить, и завершите использование Мастера настройки группы защиты.