Dela via

Förbereda datorer i arbetsgrupper och ej betrodda domäner för säkerhetskopiering

  • Artikel

System Center Data Protection Manager (DPM) kan skydda datorer som finns i ej betrodda domäner eller arbetsgrupper. Du kan autentisera dessa datorer med ett lokalt användarkonto (NTLM-autentisering) eller med hjälp av certifikat. För båda typerna av autentisering måste du förbereda infrastrukturen innan du kan konfigurera en skyddsgrupp som innehåller de källor som du vill säkerhetskopiera.

  1. Installera ett certifikat – Om du vill använda certifikatautentisering installerar du ett certifikat på DPM-servern och på den dator som du vill skydda.

  2. Installera agenten – Installera agenten på den dator som du vill skydda.

  3. Identifiera DPM-servern – Konfigurera datorn så att den känner igen DPM-servern för säkerhetskopiering. Det gör du genom att köra kommandot SetDPMServer.

  4. Anslut datorn – Slutligen måste du koppla den skyddade datorn till DPM-servern.

Innan du börjar

Kontrollera skyddsscenarierna som stöds och nödvändiga nätverksinställningar innan du börjar.

Scenarier som stöds

Arbetsbelastningstyp Skyddat servertillstånd och -stöd
filer Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster.
Systemtillstånd Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Endast NTLM-autentisering
SQL Server Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Spegling stöds inte.

NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster.
Hyper-V server Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

NTLM- och certifikatautentisering
Hyper-V kluster Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds (endast certifikatautentisering)
Exchange Server Arbetsgrupp: Inte tillämpligt

Ej betrodd domän: Stöds endast för enskild server. Klustret stöds inte. CCR, SCR, DAG stöds inte. LCR stöds.

Endast NTLM-autentisering
Sekundär DPM-server (för säkerhetskopiering av den primära DPM-servern)

Observera att både primära och sekundära DPM-servrar finns i samma eller dubbelriktade skogstransiterande betrodda domän.		 Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Endast certifikatautentisering
SharePoint Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
Klientdatorer Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
Återställning av maskinvara utan operativsystem (BMR) Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
Slutanvändaråterställning Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte

Nätverksinställningar

Inställningar Dator i arbetsgrupp eller ej betrodd domän
Kontrollera data Protokoll: DCOM

Standardport: 135

Autentisering: NTLM/certifikat
Filöverföring Protokoll: Winsock

Standardport: 5718 och 5719

Autentisering: NTLM/certifikat
Krav för DPM-konto Lokalt konto utan administratörsbehörighet på DPM-servern. Använder NTLM v2-kommunikation
Certifikatkrav
Agentinstallation Agent installerad på en skyddad dator
Perimeternätverk Perimeternätverksskydd stöds inte.
IPSEC Se till att IPSEC inte blockerar kommunikation.

Säkerhetskopiera med NTLM-autentisering

Det här behöver du göra:

  1. Installera agenten – Installera agenten på den dator som du vill skydda.

  2. Konfigurera agenten – Konfigurera datorn så att den känner igen DPM-servern för säkerhetskopiering. Det gör du genom att köra kommandot SetDPMServer.

  3. Anslut datorn – Slutligen måste du koppla den skyddade datorn till DPM-servern.

Installera och konfigurera agenten

  1. På den dator som du vill skydda kör du DPMAgentInstaller_X64.exe från DPM-installations-CD:n för att installera agenten.

  2. Konfigurera agenten genom att köra SetDpmServer på följande sätt:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Ange parametrarna enligt följande:

    • -DpmServerName – Ange namnet på DPM-servern. Använd antingen ett FQDN om servern och datorn är tillgängliga för varandra med hjälp av FQDN eller ett NETBIOS-namn.

    • -IsNonDomainServer – Används för att indikera att servern finns i en arbetsgrupp eller en domän som inte är betrodd i förhållande till den dator som du vill skydda. Brandväggsundantag skapas för nödvändiga portar.

    • -UserName – Ange namnet på det konto som du vill använda för NTLM-autentisering. Om du vill använda det här alternativet bör du ha flaggan -isNonDomainServer angiven. Ett lokalt användarkonto skapas och DPM-skyddsagenten konfigureras att använda det här kontot för autentisering.

    • -ProductionServerDnsSuffix – Använd den här växeln om servern har flera konfigurerade DNS-suffix. Den här växeln representerar DNS-suffixet som servern använder för att ansluta till den dator som du skyddar.

  4. När kommandot har slutförts öppnar du DPM-konsolen.

Uppdatera lösenordet

Om du vid något tillfälle vill uppdatera lösenordet för NTLM-autentiseringsuppgifterna kör du följande på den skyddade datorn:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Du måste använda samma namngivningskonvention (FQDN eller NETBIOS) som du använde när du konfigurerade skyddet. På DPM-servern måste du köra cmdleten Update -NonDomainServerInfo PowerShell. Sedan måste du uppdatera agentinformationen för den skyddade datorn.

NetBIOS-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Koppla datorn

  1. Kör installationsguiden för skyddsagenten i DPM-konsolen.

  2. I Välj metod för agentdistribution, välj Koppla agenter.

  3. Ange datornamnet, användarnamnet och lösenordet för den dator som du vill koppla till. Dessa bör vara de autentiseringsuppgifter som du angav när du installerade agenten.

  4. Granska sidan Sammanfattning och välj Bifoga.

Du kan också köra Kommandot Windows PowerShell Attach-NonDomainServer.ps1 i stället för att köra guiden. Det gör du genom att ta en titt på exemplet i nästa avsnitt.

Exempel

Exempel 1

Exempel för att konfigurera en arbetsgruppsdator när agenten har installerats:

  1. Kör SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markpå datorn.

  2. Kör Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username markpå DPM-servern.

Eftersom arbetsgruppsdatorerna vanligtvis endast är tillgängliga med hjälp av NetBIOS-namnet måste värdet för DPMServerName vara NetBIOS-namnet.

Exempel 2

Exempel för att konfigurera en arbetsgruppsdator med netBIOS-namn som står i konflikt när agenten har installerats.

  1. På arbetsgruppsdatorn kör du SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Kör Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username markpå DPM-servern.

Säkerhetskopiera med certifikatautentisering

Så här konfigurerar du skydd med certifikatautentisering.

  • Varje dator som du vill skydda bör ha minst .NET Framework 3.5 med SP1 installerat.

  • Certifikatet som du använder för autentisering måste uppfylla följande:

    • X.509 V3-certifikat.

    • Förbättrad nyckelanvändning (EKU) bör ha klientautentisering och serverautentisering.

    • Nyckellängden ska vara minst 1 024 bitar.

    • Nyckeltypen ska vara exchange.

    • Certifikatets och rotcertifikatets ämnesnamn får inte vara tomt.

    • Återkallningsservrarna för de associerade certifikatutfärdarna är online och tillgängliga för både den skyddade servern och DPM-servern

    • Certifikatet ska ha en associerad privat nyckel.

    • DPM stöder inte certifikat med CNG-nycklar.

    • DPM stöder inte självsignerade certifikat.

  • Varje dator som du vill skydda (inklusive virtuella datorer) måste ha ett eget certifikat.

Konfigurera skydd

  1. Skapa en DPM-certifikatmall

  2. Konfigurera ett certifikat på DPM-servern

  3. Installera agenten

  4. Konfigurera ett certifikat på den skyddade datorn

  5. Anslut datorn

Skapa en DPM-certifikatmall

Du kan också konfigurera en DPM-mall för webbregistrering. Om du vill göra detta väljer du en mall som har klientautentisering och serverautentisering som avsett syfte. Till exempel:

  1. I snapin-modulen certifikatmallar MMC kan du välja mallen RAS och IAS Server. Högerklicka på den och välj Duplicera mall.

  2. I Dubblettmalllämnar du standardinställningen Windows Server 2003 Enterprise.

  3. På fliken Allmänt ändrar du mallens visningsnamn till något som kan identifieras. Till exempel DPM-autentisering. Kontrollera att inställningen Publicera certifikat i Active Directory är aktiverad.

  4. På fliken Förfrågningshantering kontrollerar du att Tillåt att privat nyckel exporteras är aktiverat.

  5. När du har skapat mallen gör du den tillgänglig för användning. Öppna Certificate Authority snap-in. Högerklicka på certifikatmallar, välj Nyoch välj certifikatmall för att utfärda. I Aktivera certifikatmallväljer du mallen och väljer OK. Nu är mallen tillgänglig när du hämtar ett certifikat.

Aktivera registrering eller automatisk registrering

Om du vill konfigurera mallen för registrering eller automatisk registrering väljer du fliken Ämnesnamn i mallegenskaperna. När du konfigurerar registreringen kan mallen väljas i MMC. Om du konfigurerar automatisk registrering tilldelas certifikatet automatiskt till alla datorer i domänen.

  • För anmälan, aktivera Välj kompilering från den här Active Directory-informationenpå fliken Ämnesnamn i mallegenskaperna. I format för ämnesnamn, väljer du Common Name och aktiverar DNS-namn. Gå sedan till fliken Säkerhet och tilldela behörigheten Registrera till autentiserade användare.

  • För automatisk registrering går du till fliken Security och tilldelar automatisk registrering behörighet till autentiserade användare. När den här inställningen är aktiverad tilldelas certifikatet automatiskt till alla datorer i domänen.

  • Om du har konfigurerat registreringen kan du begära ett nytt certifikat i MMC baserat på mallen. För att göra detta, på den skyddade datorn, i Certifikat (lokal dator)>Personal, högerklicka på Certifikat. Välj Alla aktiviteter>begära nytt certifikat. På sidan Välj princip för certifikatregistrering i guiden väljer du Active Directory-registreringsprincip. I Begär certifikatvisas mallen. Expandera Information och välj Egenskaper. Välj fliken Allmänt och ange ett eget namn. När du har tillämpat inställningarna bör du få ett meddelande om att certifikatet har installerats.

Konfigurera ett certifikat på DPM-servern

  1. Generera ett certifikat från en certifikatutfärdare för DPM-servern via webbregistrering eller någon annan metod. I webbregistrering väljer du avancerat certifikat som krävs och Skapa och skicka en begäran till den här certifikatsutfärdaren. Kontrollera att nyckelstorleken är 1 024 eller högre och att Markera nyckeln som exporterbar har valts.

  2. Certifikat placeras i användarlagret. Du måste flytta den till den lokala datorlagringen.

  3. Gör detta genom att exportera certifikatet från användarbutiken. Se till att du exporterar den med den privata nyckeln. Du kan exportera den i standardformatet .pfx. Ange ett lösenord för exporten.

  4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från den sparade platsen. Ange det lösenord som du använde för att exportera den och se till att Markera den här nyckeln som exportbar har valts. På sidan Certifikatarkiv lämnar du standardinställningen Placera alla certifikat i följande arkiv och se till att Personliga visas.

  5. Efter importen anger du DPM-autentiseringsuppgifterna så att certifikatet används på följande sätt:

    1. Hämta tumavtrycket för certifikatet. Dubbelklicka på certifikatet i lager Certifikat. Välj fliken Detaljer och bläddra ned till fingeravtrycket. Välj den, och markera och kopiera den. Klistra in fingeravtrycket i Notepad och ta bort alla blanksteg.

    2. Kör Set-DPMCredentials för att konfigurera DPM-servern:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type – Anger typen av autentisering. Värde: certifikat.

    • -Action – Ange om du vill utföra kommandot för första gången eller återskapa autentiseringsuppgifterna. Möjliga värden: återskapa eller konfigurera.

    • -OutputFilePath – Platsen för utdatafilen som används i Set-DPMServer på den skyddade datorn.

    • - Fingeravtryck – Kopiera från Notepad-filen.

    • -AuthCAThumbprint – Fingeravtryck för CA i certifikatets förtroendekedja. Valfri. Om det inte anges används Rot.

  6. Detta genererar en metadatafil (.bin) som krävs vid tidpunkten för varje agentinstallation i en domän som inte är betrodd. Kontrollera att mappen C:\Temp finns innan du kör kommandot.

    Obs

    Om filen tappas bort eller tas bort kan du återskapa den genom att köra skriptet med alternativet -action regenerera.

  7. Hämta filen .bin och kopiera den till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin på den dator som du vill skydda. Du behöver inte göra detta, men om du inte gör det måste du ange den fullständiga sökvägen för filen för parametern -DPMcredential när du

  8. Upprepa dessa steg på varje DPM-server som skyddar en dator i en arbetsgrupp eller i en domän som inte är betrodd.

Installera agenten

  1. På varje dator som du vill skydda kör du DPMAgentInstaller_X64.exe från DPM-installations-CD:n för att installera agenten.

Konfigurera ett certifikat på den skyddade datorn

  1. Generera ett certifikat från en certifikatutfärdare för den skyddade datorn, via webbregistrering eller någon annan metod. I webbregistrering väljer du avancerat certifikat som krävs och Skapa och skicka en begäran till den här certifikatutfärdare. Kontrollera att nyckelstorleken är 1024 eller högre och att Markera nyckeln som exportbar har valts.

  2. Certifikatet placeras i användararkivet. Du måste flytta den till det lokala datorarkivet.

  3. Det gör du genom att exportera certifikatet från användarlagret. Se till att du exporterar den med den privata nyckeln. Du kan exportera den i standardformatet .pfx. Ange ett lösenord för exporten.

  4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från den sparade platsen. Ange lösenordet som du använde för att exportera och se till att Markera den här nyckeln som exportbar är valt. På sidan Certifikatarkiv lämnar du standardinställningen Placera alla certifikat i följande arkiv och se till att Personliga visas.

  5. Efter importen konfigurerar du datorn för att identifiera DPM-servern som behörig att utföra säkerhetskopior på följande sätt:

    1. Hämta tumavtrycket för certifikatet. Dubbelklicka på certifikatet i Certifikat-arkivet. Välj fliken Detaljer och bläddra ner till fingeravtrycket. Markera den, markera och kopiera. Klistra in fingeravtrycket i Anteckningar och ta bort alla blankstegen.

    2. Gå till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin och kör setdpmserver på följande sätt:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Där ClientThumbprintWithNoSpaces kopieras från Notepad-filen.

    3. Du bör hämta utdata för att bekräfta att konfigurationen har slutförts.

  6. Hämta filen .bin och kopiera den till DPM-servern. Vi rekommenderar att du kopierar den till den standardplats där bifoga-processen söker efter filen (Windows\System32) så att du bara kan ange filnamnet i stället för den fullständiga sökvägen när du kör kommandot Bifoga.

Koppla datorn

Du kopplar datorn till DPM-servern med hjälp av Attach-ProductionServerWithCertificate.ps1 PowerShell-skriptet med hjälp av syntaxen.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • –DPMServerName-Name av DPM-servern

  • PSCredential-Name av filen .bin. Om du har placerat den i mappen Windows\System32 kan du endast ange filnamnet. Kontrollera att du anger den .bin fil som skapats på den skyddade servern. Om du anger den .bin fil som skapats på DPM-servern tar du bort alla skyddade datorer som har konfigurerats för certifikatbaserad autentisering.

När kopplingsprocessen är klar ska den skyddade datorn visas i DPM-konsolen.

Exempel

Exempel 1

Genererar en fil i c:\\CertMetaData\\ med namnet CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Där dpmserver.contoso.com är namnet på DPM-servern och "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" är tumavtrycket för DPM-servercertifikatet.

Exempel 2

Återskapar en förlorad konfigurationsfil i mappen c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Växla mellan NTLM- och certifikatautentisering

Not

  • Följande klustrade arbetsbelastningar stöder endast certifikatautentisering när de distribueras i en domän som inte är betrodd:
    • Klustrad filserver
    • Klustrad SQL-server
    • Hyper-V kluster
  • Om DPM-agenten för närvarande är konfigurerad för att använda NTLM i ett kluster eller ursprungligen var konfigurerad att använda NTLM men senare bytte till certifikatautentisering utan att först ta bort DPM-agenten, visar uppräkning av klustret inga resurser att skydda.

Om du vill växla från NTLM-autentisering till certifikatautentisering använder du följande steg för att konfigurera om DPM-agenten:

  1. På DPM-servern tar du bort alla noder i klustret med hjälp av Remove-ProductionServer.ps1 PowerShell-skript.
  2. Avinstallera DPM-agenten på alla noder och ta bort agentmappen från C:\Program Files\Microsoft Data Protection Manager.
  3. Följ stegen i för att säkerhetskopiera med certifikatautentisering.
  4. När agenterna har distribuerats och konfigurerats för certifikatautentisering kontrollerar du att agentuppdateringen fungerar och att den visas korrekt (ej betrodd – certifikat) för var och en av noderna.
  5. Uppdatera noderna/klustret för att hämta en lista över datakällor som ska skyddas. försök att skydda klustrade resurser igen.
  6. Lägg till arbetsbelastningen för att skydda och avsluta guiden för Skyddsgrupp.