Sdílet prostřednictvím

Příprava na zálohování u počítačů v pracovních skupinách a nedůvěryhodných doménách

  • Článek

Důležité

Tato verze aplikace Data Protection Manager (DPM) dosáhla konce podpory. Doporučujeme upgradovat na DPM 2022.

System Center Data Protection Manager (DPM) může chránit počítače, které jsou v nedůvěryhodných doménách nebo pracovních skupinách. Tyto počítače můžete ověřit pomocí místního uživatelského účtu (ověřování protokolem NTLM) nebo pomocí certifikátů. U obou typů ověřování budete muset před nastavením skupiny ochrany obsahující zdroje, které chcete zálohovat, připravit infrastrukturu.

  1. Instalace certifikátu – Pokud chcete použít ověřování certifikátu, nainstalujte certifikát na server DPM a na počítač, který chcete chránit.

  2. Instalace agenta – Nainstalujte agenta na počítač, který chcete chránit.

  3. Rozpoznat server DPM – Nakonfigurujte počítač tak, aby rozpoznal server DPM pro provádění zálohování. Provedete to spuštěním příkazu SetDPMServer.

  4. Připojit počítač – nakonec budete muset připojit chráněný počítač k serveru DPM.

Než začnete

Než začnete, zkontrolujte podporované scénáře ochrany a požadovaná nastavení sítě.

Podporované scénáře

Typ úlohy Stav a podpora chráněného serveru
Soubory Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporuje se

Ověřování NTLM a certifikátu pro jeden server. Ověřování certifikátu pouze pro klastr.
Stav systému Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporuje se

Pouze ověřování NTLM
SQL Server Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporuje se

Zrcadlení se nepodporuje.

Ověřování NTLM a certifikátu pro jeden server. Ověřování certifikátu pouze pro klastr.
Server Hyper-V Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporuje se

Ověřování NTLM a certifikátu
Cluster Hyper-V Pracovní skupina: Není podporované

Nedůvěryhodná doména: Podporuje se (pouze ověřování certifikátů)
Exchange Server Pracovní skupina: Nelze použít

Nedůvěryhodná doména: Podporuje se pouze pro jeden server. Klastr se nepodporuje. CCR, SCR, DAG se nepodporuje. LCR se podporuje.

Pouze ověřování NTLM
Sekundární server DPM (pro zálohování primárního serveru DPM)

Všimněte si, že primární i sekundární server DPM jsou ve stejné nebo obousměrné doménové struktuře tranzitivní důvěryhodné doméně.		 Pracovní skupina: Podporováno

Nedůvěryhodná doména: Podporuje se

Pouze ověřování certifikátu
SharePoint Pracovní skupina: Není podporované

Nedůvěryhodná doména: Nepodporuje se
Klientské počítače Pracovní skupina: Není podporované

Nedůvěryhodná doména: Nepodporuje se
Úplné obnovení (BMR) Pracovní skupina: Není podporované

Nedůvěryhodná doména: Nepodporuje se
Obnovení koncového uživatele Pracovní skupina: Není podporované

Nedůvěryhodná doména: Nepodporuje se

Nastavení sítě

Nastavení Počítač v pracovní skupině nebo v nedůvěryhodné doméně
Řídicí data Protokol: DCOM

Výchozí port: 135

Ověřování: NTLM/certifikát
Přenos souborů Protokol: Winsock

Výchozí port: 5718 a 5719

Ověřování: NTLM/certifikát
Požadavky na účet DPM Místní účet bez oprávnění správce na serveru DPM. Používá komunikaci NTLM v2
Požadavky na certifikáty
Instalace agenta Agent nainstalovaný v chráněném počítači
Hraniční síť Ochrana hraniční sítě se nepodporuje.
IPSEC Ujistěte se, že protokol IPSEC nebrání v komunikaci.

Zálohování pomocí ověřování NTLM

Proveďte následující kroky:

  1. Instalace agenta – nainstalujte agenta do počítače, který chcete chránit.

  2. Konfigurace agenta – nakonfigurujte počítač, aby rozpoznal server DPM, který provede zálohování. Provedete to spuštěním příkazu SetDPMServer.

  3. Připojit počítač – nakonec budete muset chráněný počítač připojit k serveru DPM.

Instalace a konfigurace agenta

  1. V počítači, který chcete ochránit, nainstalujte agenta spuštěním souboru DPMAgentInstaller_X64.exe, který najdete na instalačním CD pro DPM.

  2. Konfiguraci agenta provedete spuštěním příkazu SetDpmServer:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Zadejte následující parametry:

    • -DpmServerName – Zadejte název serveru DPM. Plně kvalifikovaný název domény použijte, pokud jsou server a počítač vzájemně přístupné pomocí plně kvalifikovaných názvů domén nebo názvu rozhraní NETBIOS.

    • -IsNonDomainServer – slouží k označení, že se server nachází v pracovní skupině nebo nedůvěryhodné doméně vzhledem k počítači, který chcete chránit. Pro požadované porty se vytvoří výjimky brány firewall.

    • -UserName – zadejte název účtu, který chcete použít pro ověřování protokolem NTLM. Pokud chcete tuto možnost použít, měli byste mít zadaný příznak -isNonDomainServer. Vytvoří se místní uživatelský účet a agent ochrany DPM se nastaví tak, aby tento účet používal pro ověřování.

    • -ProductionServerDnsSuffix – tento přepínač použijte, pokud má server nakonfigurovaných více přípon DNS. Tento přepínač uvádí příponu DNS, kterou server používá pro připojení k chráněnému počítači.

  4. Po úspěšném dokončení příkazu otevřete konzolu DPM.

Aktualizace hesla

Pokud budete kdykoli chtít aktualizovat heslo pro pověření NTLM, spusťte na chráněném počítači toto:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Budete muset použít stejnou konvenci vytváření názvů (plně kvalifikovaný název domény nebo rozhraní NETBIOS), kterou jste použili při konfiguraci ochrany. Na serveru DPM budete muset spustit rutinu PowerShellu Update -NonDomainServerInfo. Potom budete muset aktualizovat údaje agenta pro chráněný počítač.

Příklad NetBIOS: Chráněný počítač: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Příklad pro plně kvalifikovaný název domény (FQDN): Chráněný počítač: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Připojení počítače

  1. V konzole DPM spusťte Průvodce instalací agenta ochrany.

  2. Na stránce Vybrat způsob nasazení agenta vyberte Připojit agenty.

  3. Zadejte název počítače, uživatelské jméno a heslo počítače, ke které se chcete připojit. Měly by to být přihlašovací údaje, které jste zadali při instalaci agenta.

  4. Zkontrolujte stránku Souhrn a vyberte Připojit.

Namísto spuštění průvodce můžete také použít příkaz Attach-NonDomainServer.ps1 prostředí Windows PowerShell. Pokud to chcete udělat, podívejte se na příklad v další části.

Příklady

Příklad 1

Příklad konfigurace počítače pracovní skupiny po instalaci agenta:

  1. V počítači spusťte příkaz SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Na serveru DPM spusťte: Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Vzhledem k tomu, že jsou počítače v pracovní skupině obvykle přístupné jen pomocí názvu rozhraní NetBIOS, hodnota DPMServerName musí být takový název NetBIOS.

Příklad 2

Příklad konfigurace počítače pracovní skupiny s konfliktními názvy NetBIOS po instalaci agenta.

  1. V počítači, pracovní skupiny spusťte příkaz SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Na serveru DPM spusťte: Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Zálohování s ověřováním pomocí certifikátu

Takhle nastavíte ochranu s ověřováním pomocí certifikátu.

  • Každý počítač, který chcete chránit, musí mít nainstalovanou minimální verzi rozhraní .NET Framework 3.5 SP1.

  • Certifikát, který použijete pro ověřování, musí splňovat následující:

    • Certifikát X.509 V3.

    • Rozšířené použití klíče (EKU) musí obsahovat ověření klienta a ověření serveru.

    • Délka klíče musí být alespoň 1 024 bitů.

    • Typ klíče musí být exchange.

    • Název subjektu certifikátu a kořenového certifikátu by neměly být prázdné.

    • Servery odvolání přidružených certifikačních autorit jsou online a dostupné pro chráněný server a DPM server

    • Certifikát by měl mít přidružený privátní klíč.

    • DPM nepodporuje certifikáty s klíči CNG.

    • DPM nepodporuje samostatně podepsané certifikáty.

  • Každý počítač, který chcete chránit (včetně virtuálních počítačů) musí obsahovat svůj vlastní certifikát.

Nastavení ochrany

  1. Vytvoření šablony certifikátu DPM

  2. Konfigurace certifikátu na serveru DPM

  3. Instalace agenta

  4. Konfigurace certifikátu na chráněném počítači

  5. Připojení počítače

Vytvoření šablony certifikátu DPM

Volitelně můžete nastavit šablonu DPM pro webový zápis. Chcete-li to provést, vyberte šablonu, která obsahuje ověření klienta a ověření serveru jako zamýšlený účel. Příklad:

  1. V modulu snap-in Šablony certifikátů konzoly MMC můžete vybrat šablonu Server RAS a IAS . Klikněte na ni pravým tlačítkem myši a vyberte Duplikovat šablonu.

  2. V části Duplikovat šablonu ponechte výchozí nastavení Windows Server 2003 Enterprise.

  3. Na kartě Obecné změňte zobrazovaný název šablony na nějaký snadno rozpoznatelný. Například ověřování DPM. Ujistěte se, že je povolené nastavení Publikovat certifikát ve službě Active Directory .

  4. Na kartě Zpracování žádosti se ujistěte, že je povolená možnost Povolit export privátního klíče .

  5. Jakmile vytvoříte šablonu, zpřístupněte ji pro použití. Otevřete modul snap-in Certifikační autorita. Pravým tlačítkem klikněte na Šablony certifikátů, vyberte Nová a potom vyberte Vystavovaná šablona certifikátu. V části Povolit šablonu certifikátu vyberte šablonu a vyberte OK. Šablona bude nyní k dispozici při získání certifikátu.

Povolte zápis ani automatický zápis

Pokud chcete volitelně nakonfigurovat šablonu pro registraci nebo automatický zápis, vyberte ve vlastnostech šablony kartu Název subjektu. Při konfiguraci registrace lze šablonu vybrat v konzole MMC. Pokud nakonfigurujete automatický zápis, certifikát se automaticky přiřadí všem počítačům v doméně.

  • Pokud chcete nastavit zápis, na kartě Název subjektu ve vlastnostech šablony povolte možnost Vybrat sestavení z těchto informací služby Active Directory. V části Formát názvu subjektu vyberte Běžný název a povolte název DNS. Potom přejděte na kartu Zabezpečení a přiřaďte oprávnění pro Zápis ověřeným uživatelům.

  • Pokud chcete nastavit automatický zápis, přejděte na kartu Zabezpečení a přiřaďte ověřeným uživatelům oprávnění pro Automatický zápis. Když je toto nastavení povolené, certifikát se automaticky přiřadí všem počítačům v doméně.

  • Pokud jste nakonfigurovali registraci, budete moct v konzole MMC na základě šablony požádat o nový certifikát. Uděláte to tak, že na chráněném počítači v části Certifikáty (místní počítač)>Osobní kliknete pravým tlačítkem na Certifikáty. Vyberte Všechny úlohy Požádat>o nový certifikát. Na stránce Průvodce Vybrat zásadu zápisu certifikátů vyberte Zásady zápisu do služby Active Directory. V části Žádost o certifikáty uvidíte šablonu . Rozbalte Podrobnosti a vyberte Vlastnosti. Vyberte kartu Obecné a zadejte popisný název. Po použití nastavení by se měla zobrazit zpráva, že certifikát byl úspěšně nainstalován.

Konfigurace certifikátu na serveru DPM

  1. Vygenerujte certifikát z certifikační autority pro server DPM prostřednictvím webového zápisu nebo jiné metody. Ve webovém zápisu vyberte Požadovaný rozšířený certifikát a Vytvořit a Odeslat žádost této certifikační autoritě. Ujistěte se, že klíč má velikost 1024 nebo vyšší a že je vybraná možnost Označit klíč jako exportovatelný .

  2. Certifikát je umístěn v úložišti uživatele. Musíte ho přesunout do úložiště Místní počítač.

  3. Chcete-li to provést, exportujte certifikát z úložiště uživatele. Ujistěte se, že ho exportujete pomocí privátního klíče. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. Ve složce Místní počítač\Osobní\Certifikát spusťte Průvodce importem certifikátu a importujte exportovaný soubor z jeho uloženého umístění. Zadejte heslo, které jste použili k exportu, a ujistěte se, že je vybraná možnost Označit tento klíč jako exportovatelný . Na stránce Úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že se zobrazí Osobní .

  5. Po importu nastavte přihlašovací údaje DPM tak, aby používaly certifikát, a to následujícím způsobem:

    1. Získejte kryptografický otisk pro certifikát. V úložišti Certifikáty poklikejte na certifikát. Vyberte kartu Podrobnosti a posuňte se dolů na kryptografický otisk. Vyberte ho a pak ho zvýrazněte a zkopírujte. Vložte kryptografický otisk do poznámkového bloku a odeberte všechny mezery.

    2. Nakonfigurujte server DPM spuštěním příkazu Set-DPMCredentials:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type – označuje typ ověřování. Hodnota: certificate (certifikát).

    • -Action – Určete, jestli chcete provést příkaz poprvé nebo znovu vygenerovat přihlašovací údaje. Možné hodnoty: regenerate (regenerovat) nebo configure (konfigurovat).

    • -OutputFilePath – umístění výstupního souboru použitého v Set-DPMServer v chráněném počítači.

    • -Thumbprint – zkopírujte soubor z Poznámkového bloku.

    • -AuthCAThumbprint – kryptografický otisk certifikační autority v řetězu důvěryhodnosti certifikátu. Nepovinný parametr. Pokud není zadán, použije se hodnota Root.

  6. Tak se vytvoří soubor metadat (.bin), který je požadován v době instalace každého agenta v nedůvěryhodné doméně. Před spuštěním příkazu se ujistěte, že složka C:\Temp existuje.

    Poznámka

    Pokud dojde ke ztrátě nebo odstranění souboru, můžete ho znovu vytvořit spuštěním skriptu s možností -action regenerate .

  7. Načtěte soubor.bin a zkopírujte ho do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin v počítači, který chcete chránit. Nemusíte to dělat, ale v takovém případě budete v dalším kroku muset určovat úplnou cestu souboru pro parametr -DPMcredential.

  8. Tento postup opakujte na každém serveru DPM, který bude chránit počítač v pracovní skupině nebo v nedůvěryhodné doméně.

Instalace agenta

  1. V každém počítači, který chcete ochránit, spusťte soubor DPMAgentInstaller_X64.exe z instalačního disku CD a nainstalujte agenta.

Konfigurace certifikátu na chráněném počítači

  1. Vygenerujte certifikát z certifikační autority pro chráněný počítač prostřednictvím webového zápisu nebo jiné metody. Ve webovém zápisu vyberte Požadovaný rozšířený certifikát a Vytvořit a Odeslat žádost této certifikační autoritě. Ujistěte se, že klíč má velikost 1024 nebo vyšší a že je vybraná možnost Označit klíč jako exportovatelný .

  2. Certifikát je umístěn v úložišti uživatele. Musíte ho přesunout do úložiště Místní počítač.

  3. Chcete-li to provést, exportujte certifikát z úložiště uživatele. Ujistěte se, že ho exportujete pomocí privátního klíče. Můžete ho exportovat ve výchozím formátu .pfx. Zadejte heslo pro export.

  4. Ve složce Místní počítač\Osobní\Certifikát spusťte Průvodce importem certifikátu a importujte exportovaný soubor z jeho uloženého umístění. Zadejte heslo, které jste použili k exportu, a ujistěte se, že je vybraná možnost Označit tento klíč jako exportovatelný . Na stránce Úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a ujistěte se, že se zobrazí Osobní .

  5. Po importu nakonfigurujte počítač tak, aby rozpoznal server DPM jako autorizovaný k provádění zálohování:

    1. Získejte kryptografický otisk pro certifikát. V úložišti Certifikáty poklikejte na certifikát. Vyberte kartu Podrobnosti a posuňte se dolů na kryptografický otisk. Vyberte ho a zvýrazněte ho a zkopírujte. Vložte kryptografický otisk do poznámkového bloku a odeberte všechny mezery.

    2. Přejděte do složky C:\Program files\Microsoft Data Protection Manager\DPM\bin a spusťte příkaz setdpmserver následujícím způsobem:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Kde ClientThumbprintWithNoSpaces je zkopírován ze souboru poznámkového bloku.

    3. Měli byste získat výstup, abyste potvrdili, že konfigurace byla úspěšně dokončena.

  6. Načtěte soubor .bin a zkopírujte ho na server DPM. Doporučujeme ho zkopírovat do výchozího umístění, ve kterém proces připojení zkontroluje soubor (Windows\System32), abyste při spuštění příkazu Připojit mohli místo úplné cesty zadat název souboru.

Připojení počítače

Počítač připojte k serveru DPM pomocí skriptu PowerShell Attach-ProductionServerWithCertificate.ps1 za pomocí syntax.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName určuje název serveru DPM.

  • -PSCredential určuje název souboru .bin. Pokud jste soubor umístili do složky Windows\System32, můžete zadat pouze název souboru. Ujistěte se, že jste zadali soubor .bin vytvořený na chráněném serveru. Pokud zadáte soubor .bin vytvořený na serveru DPM, odeberete všechny chráněné počítače, které jsou nakonfigurované pro ověřování pomocí certifikátů.

Po dokončení procesu připojení by se měl chráněný počítač zobrazit v konzole DPM.

Příklady

Příklad 1

Vygeneruje ve složce c:\\CertMetaData\\ soubor s názvem CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Kde dpmserver.contoso.com je název serveru DPM a "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" je kryptografický otisk certifikátu serveru DPM.

Příklad 2

Obnoví ztracený konfigurační soubor do složky c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Přepínání mezi ověřováním NTLM a certifikátem

Poznámka

  • Následující clusterované úlohy podporují ověřování certifikátem pouze při nasazení v nedůvěryhodné doméně:
    • Clusterovaný souborový server
    • Clusterovaný SQL Server
    • Cluster Hyper-V
  • Pokud je agent DPM aktuálně nakonfigurovaný tak, aby používal protokol NTLM v clusteru, nebo byl původně nakonfigurován tak, aby používal protokol NTLM, ale později přepnul na ověřování certifikátu, aniž by nejprve odebral agenta DPM, nezobrazí se ve výčtu clusteru žádné prostředky, které by bylo možné chránit.

Pokud chcete přepnout z ověřování NTLM na ověřování certifikátů, pomocí následujícího postupu překonfigurujte agenta DPM:

  1. Na serveru DPM odeberte všechny uzly clusteru pomocí skriptu powershelluRemove-ProductionServer.ps1 .
  2. Odinstalujte agenta DPM na všech uzlech a odstraňte složku agenta ze složky C:\Program Files\Microsoft Data Protection Manager.
  3. Postupujte podle pokynů v tématu Zálohování pomocí ověřování pomocí certifikátu.
  4. Jakmile jsou agenti nasazeni a nakonfigurováni pro ověřování certifikátů, ověřte, že aktualizace agenta funguje a že se pro každý z uzlů správně zobrazuje (nedůvěryhodné – certifikáty).
  5. Aktualizujte uzly nebo cluster, abyste získali seznam zdrojů dat, které chcete chránit. zkuste clusterované prostředky chránit znovu.
  6. Přidejte úlohu pro ochranu a dokončete Průvodce skupinou ochrany.