在工作組和不受信任的網域中準備機器以進行備份
System Center Data Protection Manager (DPM) 可以保護位於不受信任網域或工作組中的電腦。 您可以使用本機使用者帳戶(NTLM 驗證)或使用憑證來驗證這些計算機。 針對這兩種類型的驗證,您必須先準備基礎結構,才能設定包含您要備份之來源的保護群組。
安裝憑證 - 如果您想要使用憑證驗證,請在 DPM 伺服器上和您想要保護的電腦上安裝憑證。
安裝代理程式 - 在您要保護的電腦上安裝代理 程式。
辨識 DPM 伺服器 - 設定電腦以辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。
附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。
在您開始使用 Intune 之前
開始之前,請先檢查支持的保護案例和必要的網路設定。
支援的案例
工作負載類型 | 受保護的伺服器狀態和支援 |
---|---|
檔案 | 工作群組:支援 不受信任的網域:支援 單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。 |
系統狀態 | 工作群組:支援 不受信任的網域:支援 只限 NTLM 驗證 |
SQL Server | 工作群組:支援 不受信任的網域:支援 不支援鏡像。 單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。 |
Hyper-V 伺服器 | 工作群組:支援 不受信任的網域:支援 NTLM 和憑證驗證 |
Hyper-V 叢集 | 工作群組:不支援 不受信任的網域:支援 (僅限憑證驗證) |
Exchange Server | 工作群組:不適用 不受信任的網域:僅支援單一伺服器。 不支援叢集。 不支援 CCR、SCR、DAG。 支援 LCR。 只限 NTLM 驗證 |
次要 DPM 伺服器 (用於備份主要 DPM 伺服器) 請注意,主要和次要 DPM 伺服器都位於相同或雙向樹系可轉移的受信任網域中。 |
工作群組:支援 不受信任的網域:支援 僅限憑證驗證 |
SharePoint | 工作群組:不支援 不受信任的網域:不支援 |
用戶端電腦 | 工作群組:不支援 不受信任的網域:不支援 |
裸機復原 (BMR) | 工作群組:不支援 不受信任的網域:不支援 |
End-user recovery | 工作群組:不支援 不受信任的網域:不支援 |
網路設定
設定 | 工作群組或不受信任之網域中的電腦 |
---|---|
控制資料 | 通訊協定:DCOM 預設連接埠:135 驗證:NTLM/憑證 |
檔案傳輸 | 通訊協定:Winsock 預設連接埠:5718 和 5719 驗證:NTLM/憑證 |
DPM 帳戶需求 | DPM 伺服器上沒有系統管理權限的本機帳戶。 使用 NTLM v2 通訊 |
憑證需求 | |
代理程式安裝 | 受保護的電腦上安裝的代理程式 |
周邊網路 | 不支援周邊網路保護。 |
IPSEC | 確定 IPSEC 不會封鎖通訊。 |
使用 NTLM 驗證進行備份
以下是您需要執行的動作:
安裝代理程式 - 在您要保護的電腦上安裝代理程式。
設定代理程式 ─ 設定電腦以辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。
附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。
安裝和設定代理程式
在您想要保護的電腦上,執行 DPM 安裝光碟片上的 DPMAgentInstaller_X64.exe 來安裝代理程式。
執行 SetDpmServer 來設定代理程式,如下所示:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
指定如下的參數:
-DpmServerName - 指定 DPM 伺服器的名稱。 如果伺服器和計算機可以使用 FQDN 或 NETBIOS 名稱彼此存取,請使用 FQDN。
-IsNonDomainServer - 用來指出伺服器位於工作組或未受信任的網域中,與您要保護的計算機有關。 會建立必要連接埠的防火牆例外。
-UserName - 指定您要用於 NTLM 驗證的帳戶名稱。 若要使用此選項,您應該已指定 -isNonDomainServer 旗標。 將會建立本機用戶帳戶,並將 DPM 保護代理程式設定為使用此帳戶進行驗證。
-ProductionServerDnsSuffix - 如果伺服器已設定多個 DNS 後綴 ,請使用此參數。 此參數代表伺服器用來連線到您要保護之電腦的 DNS 後綴。
當命令成功完成時,請開啟 DPM 控制台。
更新密碼
如果您想在任何時候更新 NTLM 認證的密碼,請在受保護的電腦上執行下列命令:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
您必須使用您在設定保護時所使用的相同命名慣例 (FQDN 或 NETBIOS)。 在 DPM 伺服器上,您必須執行 Update -NonDomainServerInfo PowerShell Cmdlet。 然後,您必須重新整理受保護計算機的代理程序資訊。
NetBIOS 範例:受保護的電腦: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
DPM 伺服器: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
FQDN 範例:受保護的計算機: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
DPM 伺服器: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Attach the computer
在 DPM 主控台中,執行 [保護代理程式安裝] 精靈。
在 [選擇代理程式部署方法] 中選取 [連接代理程式] 。
輸入您要附加之電腦的電腦名稱、使用者名稱和密碼。 這些應該是您安裝代理程式時所指定的認證。
檢閱 [ 摘要] 頁面,然後選取 [ 附加]。
您可以選擇性地執行 Windows PowerShell Attach-NonDomainServer.ps1 命令,而不要執行精靈。 若要這樣做,請查看下一節中的範例。
範例
範例 1
安裝代理程式之後設定工作群組電腦的範例:
在電腦上,執行
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
。DPM 伺服器上執行
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
。
因為工作群組電腦通常只能使用 NetBIOS 名稱進行存取,因此 DPMServerName 的值必須是 NetBIOS 名稱。
範例 2
在安裝代理程式之後,設定 NetBIOS 名稱發生衝突的工作群組電腦範例。
在工作群組電腦上,執行
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
。DPM 伺服器上執行
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
。
使用憑證驗證進行備份
以下說明如何使用憑證驗證來設定保護。
您要保護的每一部電腦至少應該已安裝 .NET Framework 3.5 (含 SP1)。
您用於驗證的憑證必須符合下列各項:
X.509 V3 憑證。
增強金鑰使用方法 (EKU) 應該具有用戶端驗證和伺服器驗證。
金鑰長度至少應為 1024 位元。
金鑰類型應該是 exchange。
憑證和跟證書的主體名稱不應該是空的。
相關憑證授權單位的撤銷伺服器會上線並可由受保護的伺服器和 DPM 伺服器存取
憑證應該具有相關聯的私鑰。
DPM 不支援具有 CNG 金鑰的憑證。
DPM 不支援自我簽署憑證。
您要保護的每部電腦 (包括虛擬機器) 都必須有自己的憑證。
設定保護
建立 DPM 憑證範本
您可以選擇性地設定網頁註冊的 DPM 範本。 如果想要執行這項操作,請選取以用戶端驗證和伺服器驗證做為其預定用途的範本。 例如:
在 [ 證書範本 ] MMC 嵌入式管理單元中,您可以選取 RAS 和 IAS 伺服器 範本。 以滑鼠右鍵按一下它,然後選取 [複製範本]。
在 [複製範本]中,保留預設設定 [Windows Server 2003 Enterprise]。
在 [一般] 索引標籤中,將範本顯示名稱變更為可辨識的項目。 例如, DPM 驗證。 確定已啟用 Active Directory 中的 [發佈憑證] 設定。
在 [ 要求處理 ] 索引標籤中,確定 已啟用 [允許匯出 私鑰]。
建立範本之後,請讓它可供使用。 開啟 [憑證授權單位] 嵌入式管理單元。 以滑鼠右鍵按一下 [憑證範本] ,選取 [新增] ,然後選擇 [要發出的憑證範本] 。 在 [啟用證書範本] 中,選取範本,然後選取 [ 確定]。 範本現在將可在您取得憑證時使用。
啟用註冊或自動註冊
如果您想要選擇性地設定註冊或自動註冊的範本,請選取範本屬性中的 [主體名稱] 索引標籤。 當您設定註冊時,可以在 MMC 中選取範本。 如果您設定自動註冊,系統會自動將憑證指派給網域中的所有計算機。
針對註冊,在範本屬性的 [主體名稱] ] 索引標籤中,啟用 [從此 Active Directory 資訊中選取組建]。 在 [ 主體名稱格式] 中,選取 [ 一般名稱 ],然後啟用 DNS 名稱。 然後移至 [安全性] 索引標籤,並指派 [註冊] 權限給經過驗證的使用者。
對於自動註冊,請移至 [安全性] 索引標籤,並指派 [自動註冊] 權限給經過驗證的使用者。 啟用此設定后,憑證會自動指派給網域中的所有計算機。
如果您已設定註冊,您將能夠根據範本在 MMC 中要求新的憑證。 若要這樣做,請在受保護的計算機上,在 [憑證(本機計算機)>個人] 中,以滑鼠右鍵按兩下 [憑證]。 選取 [所有工作>要求新憑證]。 在精靈的 [ 選取憑證註冊原則 ] 頁面中,選取 [Active Directory 註冊原則]。 在 [要求憑證] 中,您會看到範本。 展開 [詳細數據 ],然後選取 [ 屬性]。 選取 [一般] 索引標籤並提供好記的名稱。 套用設定之後,您應該會收到已成功安裝憑證的訊息。
Configure a certificate on the DPM server
透過 Web 註冊或其他方法,從 DPM 伺服器的 CA 產生憑證。 在 Web 註冊中,選取 所需的 進階憑證,然後 建立並提交要求至此 CA。 確定金鑰大小為 1024 或更新版本,並 已選取 [將金鑰標示為可 匯出]。
憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。
若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。
在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈],從其儲存位置匯入導出的檔案。 指定您用來匯出的密碼, 並確定已選取 [將此金鑰標示為可 匯出]。 在 [證書存儲] 頁面上,保留預設設定 [將所有憑證放在下列存放區 ],並確定 [個人 ] 隨即顯示。
匯入之後,將 DPM 認證設定為使用憑證,如下所示:
取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引卷標,然後向下捲動至指紋。 選取它,然後反白顯示並複製它。 將指紋貼入 [記事本] 中並移除任何空格。
執行 Set-DPMCredentials 來設定 DPM 伺服器:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type - 指出驗證的類型。 值: 憑證。
-Action - 指定您要第一次執行命令,還是重新產生認證。 可能值: regenerate 或 configure。
-OutputFilePath - 受保護計算機上 Set-DPMServer 中使用的輸出檔案位置。
-Thumbprint - 從記事本檔案複製。
-AuthCAThumbprint - 憑證信任鏈結中 CA 的指紋。 選擇性。 若未指定,將會使用 Root。
這會產生中繼資料檔案 (.bin),而每次在不受信任的網域中安裝每個代理程式時都需要此檔案。 執行命令之前,請確定 C:\Temp 資料夾存在。
注意
如果檔案遺失或刪除,您可以使用 -action regenerate 選項執行腳本來重新建立它。
擷取 .bin 檔案,並將它複製到您要保護之電腦上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾。 您不需要這麼做,但如果您不需要指定 -DPMcredential 參數檔案的完整路徑,當您
在每個 DPM 伺服器上重複這些步驟,以保護工作組或不受信任的網域中的計算機。
安裝代理程式
- 在您要保護的每部電腦上,執行 DPM 安裝光碟片中的 DPMAgentInstaller_X64.exe 以安裝代理程式。
在受保護的電腦上設定憑證
透過網頁註冊或透過其他方法,從 CA 產生受保護伺服器的憑證。 在 Web 註冊中,選取 所需的 進階憑證,然後 建立並提交要求至此 CA。 確定金鑰大小為 1024 或更高,且 已選取 [將密鑰標示為可 匯出]。
憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。
若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。
在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈],從其儲存位置匯入導出的檔案。 指定您用來匯出的密碼, 並確定已選取 [將此金鑰標示為可 匯出]。 在 [證書存儲] 頁面上,保留預設設定 [將所有憑證放在下列存放區 ],並確定 [個人 ] 隨即顯示。
匯入之後,將計算機設定為將 DPM 伺服器辨識為已獲授權執行備份的授權,如下所示:
取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引卷標,然後向下捲動至指紋。 選取它,並反白顯示並複製它。 將指紋貼入 [記事本] 中並移除任何空格。
流覽至 C:\Program files\Microsoft Data Protection Manager\DPM\bin 資料夾,然後執行 setdpmserver ,如下所示:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
其中 ClientThumbprintWithNoSpaces 是從 [記事本] 檔案複製而來 。
您應該取得輸出,以確認組態已順利完成。
擷取 .bin 檔案並將它複製到 DPM 伺服器。 我們建議您將它複製到附加程式檢查檔案的預設位置 (Windows\System32),以便您執行 Attach 命令時,只要指定檔名,而不是完整路徑即可。
Attach the computer
您可使用 Attach-ProductionServerWithCertificate.ps1 PowerShell 指令碼 (語法如下),將電腦連接到 DPM 伺服器。
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName-DPM 伺服器的名稱
.bin檔案的 PSCredential-Name。 如果您將它放在 Windows\System32 資料夾中,則只能指定檔名。 請確定您指定在受保護伺服器上建立的.bin檔案。 如果您指定在 DPM 伺服器上建立的.bin檔案,將會移除針對憑證型驗證設定的所有受保護計算機。
附加程式完成之後,受保護的計算機應該會出現在 DPM 控制台中。
範例
範例 1
使用名稱在中 c:\\CertMetaData\\
產生檔案 CertificateConfiguration\_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
其中 dpmserver.contoso.com 是 DPM 伺服器的名稱,而 「cf822d9ba1c801ef40d4b31de0cfcb200a8a2496」 是 DPM 伺服器證書的指紋。
範例 2
在 c:\CertMetaData\ 資料夾中重新產生遺失的組態檔
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
在 NTLM 與憑證驗證之間切換
注意
- 在未受信任的網域中部署時,下列叢集工作負載僅支持憑證驗證:
- 叢集檔伺服器
- 叢集 SQL Server
- Hyper-V 叢集
- 如果 DPM 代理程式目前已設定為在叢集上使用 NTLM,或原本設定為使用 NTLM,但稍後切換至憑證驗證而不先移除 DPM 代理程式,則叢集的列舉不會顯示任何要保護的資源。
若要從 NTLM 驗證切換到憑證驗證,請使用下列步驟來重新設定 DPM 代理程式:
- 在 DPM 伺服器上,使用 Remove-ProductionServer.ps1 PowerShell 腳本移除叢集的所有節點。
- 將所有節點上的 DPM 代理程式卸載,並從 C:\Program Files\Microsoft Data Protection Manager 刪除代理程序資料夾。
- 請遵循使用憑證驗證備份中的步驟。
- 一旦部署並設定代理程式進行憑證驗證,請確認代理程式重新整理是否正常運作,而且它會正確顯示每個節點的 [不受信任 - 憑證]。
- 重新整理節點/叢集以取得要保護的數據源清單;重試保護叢集資源。。
- 新增工作負載以保護並完成保護群組精靈。