共用方式為


在工作組和不受信任的網域中準備機器以進行備份

System Center Data Protection Manager (DPM) 可以保護位於不受信任網域或工作組中的電腦。 您可以使用本機使用者帳戶(NTLM 驗證)或使用憑證來驗證這些計算機。 針對這兩種類型的驗證,您必須先準備基礎結構,才能設定包含您要備份之來源的保護群組。

  1. 安裝憑證 - 如果您想要使用憑證驗證,請在 DPM 伺服器上和您想要保護的電腦上安裝憑證。

  2. 安裝代理程式 - 在您要保護的電腦上安裝代理 程式。

  3. 辨識 DPM 伺服器 - 設定電腦以辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。

  4. 附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。

在您開始使用 Intune 之前

開始之前,請先檢查支持的保護案例和必要的網路設定。

支援的案例

工作負載類型 受保護的伺服器狀態和支援
檔案 工作群組:支援

不受信任的網域:支援

單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。
系統狀態 工作群組:支援

不受信任的網域:支援

只限 NTLM 驗證
SQL Server 工作群組:支援

不受信任的網域:支援

不支援鏡像。

單一伺服器的 NTLM 和憑證驗證。 僅適用於叢集的憑證驗證。
Hyper-V 伺服器 工作群組:支援

不受信任的網域:支援

NTLM 和憑證驗證
Hyper-V 叢集 工作群組:不支援

不受信任的網域:支援 (僅限憑證驗證)
Exchange Server 工作群組:不適用

不受信任的網域:僅支援單一伺服器。 不支援叢集。 不支援 CCR、SCR、DAG。 支援 LCR。

只限 NTLM 驗證
次要 DPM 伺服器 (用於備份主要 DPM 伺服器)

請注意,主要和次要 DPM 伺服器都位於相同或雙向樹系可轉移的受信任網域中。
工作群組:支援

不受信任的網域:支援

僅限憑證驗證
SharePoint 工作群組:不支援

不受信任的網域:不支援
用戶端電腦 工作群組:不支援

不受信任的網域:不支援
裸機復原 (BMR) 工作群組:不支援

不受信任的網域:不支援
End-user recovery 工作群組:不支援

不受信任的網域:不支援

網路設定

設定 工作群組或不受信任之網域中的電腦
控制資料 通訊協定:DCOM

預設連接埠:135

驗證:NTLM/憑證
檔案傳輸 通訊協定:Winsock

預設連接埠:5718 和 5719

驗證:NTLM/憑證
DPM 帳戶需求 DPM 伺服器上沒有系統管理權限的本機帳戶。 使用 NTLM v2 通訊
憑證需求
代理程式安裝 受保護的電腦上安裝的代理程式
周邊網路 不支援周邊網路保護。
IPSEC 確定 IPSEC 不會封鎖通訊。

使用 NTLM 驗證進行備份

以下是您需要執行的動作:

  1. 安裝代理程式 - 在您要保護的電腦上安裝代理程式。

  2. 設定代理程式 ─ 設定電腦以辨識 DPM 伺服器以執行備份。 若要這樣做,您將執行 SetDPMServer 命令。

  3. 附加電腦 - 最後,您必須將受保護的電腦附加至 DPM 伺服器。

安裝和設定代理程式

  1. 在您想要保護的電腦上,執行 DPM 安裝光碟片上的 DPMAgentInstaller_X64.exe 來安裝代理程式。

  2. 執行 SetDpmServer 來設定代理程式,如下所示:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. 指定如下的參數:

    • -DpmServerName - 指定 DPM 伺服器的名稱。 如果伺服器和計算機可以使用 FQDN 或 NETBIOS 名稱彼此存取,請使用 FQDN。

    • -IsNonDomainServer - 用來指出伺服器位於工作組或未受信任的網域中,與您要保護的計算機有關。 會建立必要連接埠的防火牆例外。

    • -UserName - 指定您要用於 NTLM 驗證的帳戶名稱。 若要使用此選項,您應該已指定 -isNonDomainServer 旗標。 將會建立本機用戶帳戶,並將 DPM 保護代理程式設定為使用此帳戶進行驗證。

    • -ProductionServerDnsSuffix - 如果伺服器已設定多個 DNS 後綴 ,請使用此參數。 此參數代表伺服器用來連線到您要保護之電腦的 DNS 後綴。

  4. 當命令成功完成時,請開啟 DPM 控制台。

更新密碼

如果您想在任何時候更新 NTLM 認證的密碼,請在受保護的電腦上執行下列命令:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

您必須使用您在設定保護時所使用的相同命名慣例 (FQDN 或 NETBIOS)。 在 DPM 伺服器上,您必須執行 Update -NonDomainServerInfo PowerShell Cmdlet。 然後,您必須重新整理受保護計算機的代理程序資訊。

NetBIOS 範例:受保護的電腦: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM 伺服器: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN 範例:受保護的計算機: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM 伺服器: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. 在 DPM 主控台中,執行 [保護代理程式安裝] 精靈。

  2. 在 [選擇代理程式部署方法] 中選取 [連接代理程式]

  3. 輸入您要附加之電腦的電腦名稱、使用者名稱和密碼。 這些應該是您安裝代理程式時所指定的認證。

  4. 檢閱 [ 摘要] 頁面,然後選取 [ 附加]。

您可以選擇性地執行 Windows PowerShell Attach-NonDomainServer.ps1 命令,而不要執行精靈。 若要這樣做,請查看下一節中的範例。

範例

範例 1

安裝代理程式之後設定工作群組電腦的範例:

  1. 在電腦上,執行 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark

  2. DPM 伺服器上執行 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark

因為工作群組電腦通常只能使用 NetBIOS 名稱進行存取,因此 DPMServerName 的值必須是 NetBIOS 名稱。

範例 2

在安裝代理程式之後,設定 NetBIOS 名稱發生衝突的工作群組電腦範例。

  1. 在工作群組電腦上,執行 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com

  2. DPM 伺服器上執行 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark

使用憑證驗證進行備份

以下說明如何使用憑證驗證來設定保護。

  • 您要保護的每一部電腦至少應該已安裝 .NET Framework 3.5 (含 SP1)。

  • 您用於驗證的憑證必須符合下列各項:

    • X.509 V3 憑證。

    • 增強金鑰使用方法 (EKU) 應該具有用戶端驗證和伺服器驗證。

    • 金鑰長度至少應為 1024 位元。

    • 金鑰類型應該是 exchange

    • 憑證和跟證書的主體名稱不應該是空的。

    • 相關憑證授權單位的撤銷伺服器會上線並可由受保護的伺服器和 DPM 伺服器存取

    • 憑證應該具有相關聯的私鑰。

    • DPM 不支援具有 CNG 金鑰的憑證。

    • DPM 不支援自我簽署憑證。

  • 您要保護的每部電腦 (包括虛擬機器) 都必須有自己的憑證。

設定保護

  1. 建立 DPM 證書範本

  2. 在 DPM 伺服器上設定憑證

  3. 安裝代理程式

  4. 在受保護的計算機上設定憑證

  5. 附加電腦

建立 DPM 憑證範本

您可以選擇性地設定網頁註冊的 DPM 範本。 如果想要執行這項操作,請選取以用戶端驗證和伺服器驗證做為其預定用途的範本。 例如:

  1. 在 [ 證書範本 ] MMC 嵌入式管理單元中,您可以選取 RAS 和 IAS 伺服器 範本。 以滑鼠右鍵按一下它,然後選取 [複製範本]

  2. [複製範本]中,保留預設設定 [Windows Server 2003 Enterprise]

  3. [一般] 索引標籤中,將範本顯示名稱變更為可辨識的項目。 例如, DPM 驗證。 確定已啟用 Active Directory 中的 [發佈憑證] 設定

  4. 在 [ 要求處理 ] 索引標籤中,確定 已啟用 [允許匯出 私鑰]。

  5. 建立範本之後,請讓它可供使用。 開啟 [憑證授權單位] 嵌入式管理單元。 以滑鼠右鍵按一下 [憑證範本] ,選取 [新增] ,然後選擇 [要發出的憑證範本] 。 在 [啟用證書範本] 中,選取範本,然後選取 [ 確定]。 範本現在將可在您取得憑證時使用。

啟用註冊或自動註冊

如果您想要選擇性地設定註冊或自動註冊的範本,請選取範本屬性中的 [主體名稱] 索引標籤。 當您設定註冊時,可以在 MMC 中選取範本。 如果您設定自動註冊,系統會自動將憑證指派給網域中的所有計算機。

  • 針對註冊,在範本屬性的 [主體名稱] ] 索引標籤中,啟用 [從此 Active Directory 資訊中選取組建]。 在 [ 主體名稱格式] 中,選取 [ 一般名稱 ],然後啟用 DNS 名稱。 然後移至 [安全性] 索引標籤,並指派 [註冊] 權限給經過驗證的使用者。

  • 對於自動註冊,請移至 [安全性] 索引標籤,並指派 [自動註冊] 權限給經過驗證的使用者。 啟用此設定后,憑證會自動指派給網域中的所有計算機。

  • 如果您已設定註冊,您將能夠根據範本在 MMC 中要求新的憑證。 若要這樣做,請在受保護的計算機上,在 [憑證(本機計算機)>個人] 中,以滑鼠右鍵按兩下 [憑證]。 選取 [所有工作>要求新憑證]。 在精靈的 [ 選取憑證註冊原則 ] 頁面中,選取 [Active Directory 註冊原則]。 在 [要求憑證] 中,您會看到範本。 展開 [詳細數據 ],然後選取 [ 屬性]。 選取 [一般] 索引標籤並提供好記的名稱。 套用設定之後,您應該會收到已成功安裝憑證的訊息。

Configure a certificate on the DPM server

  1. 透過 Web 註冊或其他方法,從 DPM 伺服器的 CA 產生憑證。 在 Web 註冊中,選取 所需的 進階憑證,然後 建立並提交要求至此 CA。 確定金鑰大小為 1024 或更新版本,並 已選取 [將金鑰標示為可 匯出]。

  2. 憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。

  3. 若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈],從其儲存位置匯入導出的檔案。 指定您用來匯出的密碼, 並確定已選取 [將此金鑰標示為可 匯出]。 在 [證書存儲] 頁面上,保留預設設定 [將所有憑證放在下列存放區 ],並確定 [個人 ] 隨即顯示。

  5. 匯入之後,將 DPM 認證設定為使用憑證,如下所示:

    1. 取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引卷標,然後向下捲動至指紋。 選取它,然後反白顯示並複製它。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 執行 Set-DPMCredentials 來設定 DPM 伺服器:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type - 指出驗證的類型。 值: 憑證

    • -Action - 指定您要第一次執行命令,還是重新產生認證。 可能值: regenerateconfigure

    • -OutputFilePath - 受保護計算機上 Set-DPMServer 中使用的輸出檔案位置。

    • -Thumbprint - 從記事本檔案複製。

    • -AuthCAThumbprint - 憑證信任鏈結中 CA 的指紋。 選擇性。 若未指定,將會使用 Root。

  6. 這會產生中繼資料檔案 (.bin),而每次在不受信任的網域中安裝每個代理程式時都需要此檔案。 執行命令之前,請確定 C:\Temp 資料夾存在。

    注意

    如果檔案遺失或刪除,您可以使用 -action regenerate 選項執行腳本來重新建立它。

  7. 擷取 .bin 檔案,並將它複製到您要保護之電腦上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾。 您不需要這麼做,但如果您不需要指定 -DPMcredential 參數檔案的完整路徑,當您

  8. 在每個 DPM 伺服器上重複這些步驟,以保護工作組或不受信任的網域中的計算機。

安裝代理程式

  1. 在您要保護的每部電腦上,執行 DPM 安裝光碟片中的 DPMAgentInstaller_X64.exe 以安裝代理程式。

在受保護的電腦上設定憑證

  1. 透過網頁註冊或透過其他方法,從 CA 產生受保護伺服器的憑證。 在 Web 註冊中,選取 所需的 進階憑證,然後 建立並提交要求至此 CA。 確定金鑰大小為 1024 或更高,且 已選取 [將密鑰標示為可 匯出]。

  2. 憑證會放在使用者存放區中。 您必須將它移至本機電腦存放區。

  3. 若要這樣做,請從使用者存放區導出憑證。 請確定您使用私鑰匯出它。 您可以使用預設 .pfx 格式將它匯出。 指定匯出的密碼。

  4. 在 [本機計算機\個人\憑證] 中,執行 [憑證匯入精靈],從其儲存位置匯入導出的檔案。 指定您用來匯出的密碼, 並確定已選取 [將此金鑰標示為可 匯出]。 在 [證書存儲] 頁面上,保留預設設定 [將所有憑證放在下列存放區 ],並確定 [個人 ] 隨即顯示。

  5. 匯入之後,將計算機設定為將 DPM 伺服器辨識為已獲授權執行備份的授權,如下所示:

    1. 取得憑證的指紋。 在 [ 憑證 存放區] 中,按兩下憑證。 選取 [詳細數據] 索引卷標,然後向下捲動至指紋。 選取它,並反白顯示並複製它。 將指紋貼入 [記事本] 中並移除任何空格。

    2. 流覽至 C:\Program files\Microsoft Data Protection Manager\DPM\bin 資料夾,然後執行 setdpmserver ,如下所示:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      其中 ClientThumbprintWithNoSpaces 是從 [記事本] 檔案複製而來 。

    3. 您應該取得輸出,以確認組態已順利完成。

  6. 擷取 .bin 檔案並將它複製到 DPM 伺服器。 我們建議您將它複製到附加程式檢查檔案的預設位置 (Windows\System32),以便您執行 Attach 命令時,只要指定檔名,而不是完整路徑即可。

Attach the computer

您可使用 Attach-ProductionServerWithCertificate.ps1 PowerShell 指令碼 (語法如下),將電腦連接到 DPM 伺服器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName-DPM 伺服器的名稱

  • .bin檔案的 PSCredential-Name。 如果您將它放在 Windows\System32 資料夾中,則只能指定檔名。 請確定您指定在受保護伺服器上建立的.bin檔案。 如果您指定在 DPM 伺服器上建立的.bin檔案,將會移除針對憑證型驗證設定的所有受保護計算機。

附加程式完成之後,受保護的計算機應該會出現在 DPM 控制台中。

範例

範例 1

使用名稱在中 c:\\CertMetaData\\ 產生檔案 CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

其中 dpmserver.contoso.com 是 DPM 伺服器的名稱,而 「cf822d9ba1c801ef40d4b31de0cfcb200a8a2496」 是 DPM 伺服器證書的指紋。

範例 2

在 c:\CertMetaData\ 資料夾中重新產生遺失的組態檔

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

在 NTLM 與憑證驗證之間切換

注意

  • 在未受信任的網域中部署時,下列叢集工作負載僅支持憑證驗證:
    • 叢集檔伺服器
    • 叢集 SQL Server
    • Hyper-V 叢集
  • 如果 DPM 代理程式目前已設定為在叢集上使用 NTLM,或原本設定為使用 NTLM,但稍後切換至憑證驗證而不先移除 DPM 代理程式,則叢集的列舉不會顯示任何要保護的資源。

若要從 NTLM 驗證切換到憑證驗證,請使用下列步驟來重新設定 DPM 代理程式:

  1. 在 DPM 伺服器上,使用 Remove-ProductionServer.ps1 PowerShell 腳本移除叢集的所有節點。
  2. 將所有節點上的 DPM 代理程式卸載,並從 C:\Program Files\Microsoft Data Protection Manager 刪除代理程序資料夾
  3. 請遵循使用憑證驗證備份中的步驟。
  4. 一旦部署並設定代理程式進行憑證驗證,請確認代理程式重新整理是否正常運作,而且它會正確顯示每個節點的 [不受信任 - 憑證]。
  5. 重新整理節點/叢集以取得要保護的數據源清單;重試保護叢集資源。。
  6. 新增工作負載以保護並完成保護群組精靈。