Vorbereiten von Computern in Arbeitsgruppen und nicht vertrauenswürdigen Domänen auf die Sicherung

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Sie sollten ein Upgrade auf DPM 2019 durchführen.

System Center Data Protection Manager (DPM) kann zum Schutz von Computern in nicht vertrauenswürdigen Domänen oder Arbeitsgruppen verwendet werden. Sie können diese Computer unter Verwendung eines lokalen Benutzerkontos (NTLM-Authentifizierung) oder mithilfe von Zertifikaten authentifizieren. Für beide Arten der Authentifizierung müssen Sie die Infrastruktur vorbereiten, bevor Sie eine Schutzgruppe einrichten können, die die zu sichernden Datenquellen enthält.

  1. Installieren eines Zertifikats – Wenn Sie die zertifikatsbasierte Authentifizierung verwenden möchten, installieren Sie ein Zertifikat auf dem DPM-Server und auf dem zu schützenden Computer.

  2. Installieren des Agents – Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  3. Erkennen des DPM-Servers – Konfigurieren Sie den Computer so, dass er den DPM-Server zum Ausführen von Sicherungen erkennen kann. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.

  4. Anfügen des Computers: Zuletzt müssen Sie den geschützten Computer zum DPM-Server zuordnen.

Vorbereitung

Bevor Sie beginnen, sollten Sie sich die unterstützten Schutzszenarien und erforderlichen Netzwerkeinstellungen ansehen.

Unterstützte Szenarien

Workloadtyp Status und Unterstützung für geschützte Server
Dateien Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster.
Systemstatus Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur NTLM-Authentifizierung
SQL Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Spiegelung nicht unterstützt.

NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster.
Hyper-V-Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM und zertifikatsbasierte Authentifizierung
Hyper-V-Cluster Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt (nur Zertifikatauthentifizierung)
Exchange Server Arbeitsgruppe: Nicht zutreffend

Nicht vertrauenswürdige Domäne: Nur für einen einzelnen Server unterstützt. Cluster nicht unterstützt. CCR, SCR, DAG nicht unterstützt. LCR unterstützt.

Nur NTLM-Authentifizierung
Sekundärer DPM-Server (für die Sicherung des primären DPM-Servers)

Hinweis: Der primäre und der sekundäre DPM-Server müssen sich in derselben oder in einer vertrauenswürdigen Domäne befinden.
Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur zertifikatbasierte Authentifizierung
SharePoint Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Clientcomputer Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Bare-Metal-Recovery (BMR) Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Wiederherstellung durch Endbenutzer Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt

Netzwerkeinstellungen

Einstellungen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne
Steuerungsdaten Protokoll: DCOM

Standardport: 135

Authentifizierung: NTLM/Zertifikat
Dateiübertragung Protokoll: Winsock

Standardport: 5718 und 5719

Authentifizierung: NTLM/Zertifikat
Anforderungen für DPM-Konto Lokales Konto ohne Administratorrechte auf dem DPM-Server. Verwendet NTLM v2-Kommunikation
Zertifikatanforderungen
Installation des Agenten Auf dem geschützten Computer installierter Agent
Umkreisnetzwerk Schutz des Umkreisnetzwerks nicht unterstützt.
IPSEC Stellen Sie sicher, dass die Kommunikation nicht durch IPSEC blockiert wird.

Sichern mit NTLM-Authentifizierung

Gehen Sie wie folgt vor:

  1. Installieren des Agents: Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  2. Konfigurieren des Agents: Konfigurieren Sie den Computer, damit dieser den DPM-Server zum Erstellen von Sicherungen erkennt. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.

  3. Anfügen des Computers: Zuletzt müssen Sie den geschützten Computer zum DPM-Server zuordnen.

Installieren und Konfigurieren des Agents

  1. Führen Sie auf dem zu schützenden Computer die Datei „DPMAgentInstaller_X64.exe“ von der DPM-Installations-CD aus, um den Agent zu installieren.

  2. Gehen Sie wie folgt vor, um den Agent durch Ausführen von „SetDpmServer“ zu konfigurieren:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Geben Sie die Parameter wie folgt an:

    • -DpmServerName: Geben Sie den Namen des DPM-Servers an. Verwenden Sie einen FQDN, wenn Server und Computer mithilfe von FQDNs aufeinander zugreifen können, oder einen NetBIOS-Namen.

    • -IsNonDomainServer: Verwenden Sie diesen Parameter, um anzugeben, dass sich der Server in Bezug auf den zu schützenden Computer in einer Arbeitsgruppe oder in einer nicht vertrauenswürdigen Domäne befindet. Firewallausnahmen werden für erforderliche Ports erstellt.

    • -UserName: Geben Sie den Namen des Kontos an, das Sie für die NTLM-Authentifizierung verwenden möchten. Damit Sie diese Option verwenden können, sollte das Flag „-isNonDomainServer“ angegeben sein. Ein lokales Benutzerkonto wird erstellt, und der DPM-Schutz-Agent wird so konfiguriert, dass dieses Konto für die Authentifizierung verwendet wird.

    • -ProductionServerDnsSuffix: Verwenden Sie diese Option, wenn der Server mehrere DNS-Suffixe konfiguriert hat. Diese Option stellt das DNS-Suffix dar, mit dem der Server die Verbindung mit dem Computer herstellt, den Sie schützen.

  4. Wenn der Befehl erfolgreich abgeschlossen wurde, öffnen Sie die DPM-Konsole.

Aktualisieren des Kennworts

Wenn Sie zu einem beliebigen Zeitpunkt das Kennwort für die NTLM-Anmeldeinformationen aktualisieren möchten, führen Sie den folgenden Befehl auf dem geschützten Computer aus:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Sie müssen dieselbe Namenskonvention (FQDN oder NETBIOS) verwenden, die Sie beim Konfigurieren des Schutzes verwendet haben. Auf dem DPM-Server müssen Sie das PowerShell-Cmdlet „Update -NonDomainServerInfo“ ausführen. Anschließend müssen Sie die Agentinformationen für den geschützten Computer aktualisieren.

NetBIOS-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Anfügen des Computers

  1. Führen Sie in der DPM-Konsole den Installations-Assistenten für Schutz-Agents aus.

  2. Wählen Sie in Agentbereitstellungsmethode auswählen die Option Agents verbinden aus.

  3. Geben Sie den Computernamen, Benutzernamen und das Kennwort für den Computer ein, an den Sie anfügen möchten. Hierbei sollte es sich um die Anmeldeinformationen handeln, die Sie beim Installieren des Agents angegeben haben.

  4. Überprüfen Sie die Seite Zusammenfassung , und klicken Sie auf Verbinden.

Sie können optional den Windows PowerShell-Befehl „Attach-NonDomainServer.ps1“ anstelle des Assistenten ausführen. Betrachten Sie hierzu das Beispiel im nächsten Abschnitt.

Beispiele

Beispiel 1

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers nach der Installation des Agents:

  1. Führen Sie auf dem Computer SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markaus.

  2. Führen Sie auf dem DPM-Server Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark aus.

Da auf die Arbeitsgruppencomputer in der Regel nur über den NetBIOS-Namen zugegriffen werden kann, muss der Wert für „DPMServerName“ dem NetBIOS-Namen entsprechen.

Beispiel 2

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers mit in Konflikt stehenden NetBIOS-Namen nach der Installation des Agents.

  1. Führen Sie auf dem Arbeitsgruppencomputer SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.comaus.

  2. Führen Sie auf dem DPM-Server Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark aus.

Sichern mit Zertifikatauthentifizierung

So richten Sie den Schutz mit zertifikatbasierter Authentifizierung ein

  • Auf jedem zu schützenden Computer muss mindestens .NET Framework 3.5 mit SP1 installiert sein.

  • Das Zertifikat, das Sie für die Authentifizierung verwenden, muss die folgenden Anforderungen erfüllen:

    • X.509 V3-Zertifikat

    • Erweiterte Schlüsselverwendung (EKU) muss zur Client- und Serverauthentifizierung gehören.

    • Die Schlüssellänge muss mindestens 1024 Bit betragen.

    • Der Schlüsseltyp muss exchangelauten.

    • Der Antragstellername des Zertifikats und des Stammzertifikats dürfen nicht leer sein.

    • Die Sperrserver der zugehörigen Zertifizierungsstellen sind online, und sowohl der geschützte Server als auch der DPM-Server können darauf zugreifen.

    • Dem Zertifikat muss ein privater Schlüssel zugeordnet sein.

    • DPM unterstützt keine Zertifikate mit CNG-Schlüsseln.

    • DPM unterstützt keine selbstsignierten Zertifikate.

  • Jeder zu schützende Computer (einschließlich virtuelle Computer) muss über ein eigenes Zertifikat verfügen.

Einrichten des Schutzes

  1. Erstellen einer DPM-Zertifikatvorlage

  2. Konfigurieren eines Zertifikats auf dem DPM-Server.

  3. Installieren des Agents

  4. Konfigurieren eines Zertifikats auf dem geschützten Computer

  5. Anfügen des Computers

Erstellen einer DPM-Zertifikatvorlage

Sie können optional eine DPM-Vorlage für die Webregistrierung einrichten. Wenn Sie dies tun möchten, wählen Sie eine Vorlage aus, die die Client- und Serverauthentifizierung als vorgesehenen Zweck hat. Beispiel:

  1. Wählen Sie beispielsweise im MMC-Snap-In Zertifikatvorlagen die Vorlage RAS- und IAS-Server aus. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Doppelte Vorlage.

  2. Behalten Sie in Doppelte Vorlagedie Standardeinstellung Windows Server 2003 Enterprisebei.

  3. Geben Sie auf der Registerkarte Allgemein dem Anzeigenamen der Vorlage eine aussagekräftige Bezeichnung. Beispiel: DPM Authentifizierung. Stellen Sie sicher, dass die Einstellung Zertifikat in Active Directory veröffentlichen aktiviert ist.

  4. Stellen Sie auf der Registerkarte Anforderungsverarbeitung sicher, dass Exportieren von privatem Schlüssel zulassen aktiviert ist.

  5. Stellen Sie die erstellte Vorlage zur Verfügung. Öffnen Sie das Zertifizierungsstellen-Snap-In. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neuund dann Auszustellende Zertifikatvorlageaus. Wählen Sie in Zertifikatvorlage aktivieren die Vorlage aus, und klicken Sie auf „OK“. Nun ist die Vorlage verfügbar, wenn Sie ein Zertifikat abrufen.

Aktivieren der Registrierung oder automatischen Registrierung

Wenn Sie optional die Vorlage für die Registrierung oder automatische Registrierung konfigurieren möchten, klicken Sie in den Eigenschaften der Vorlage auf die Registerkarte Antragstellername. Beim Konfigurieren der Registrierung kann die Vorlage in der MMC ausgewählt werden. Wenn Sie die automatische Registrierung konfigurieren, wird das Zertifikat automatisch allen Computer in der Domäne zugewiesen.

  • Für die Registrierung aktivieren Sie in den Eigenschaften der Vorlage auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen. Wählen Sie in Format des Antragstellernamens die Option Allgemeiner Name , und wählen Sie DNS-Nameaus. Wechseln Sie dann zur Registerkarte „Sicherheit“, und weisen Sie authentifizierten Benutzern die Berechtigung Registrieren zu.

  • Wechseln Sie für die automatische Registrierung zur Registerkarte Sicherheit , und weisen Sie authentifizierten Benutzern die Berechtigung Automatisch registrieren zu. Ist diese Einstellung aktiviert, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

  • Wenn Sie die Registrierung konfiguriert haben, können Sie basierend auf der Vorlage ein neues Zertifikat in der MMC anfordern. Klicken Sie hierzu auf dem geschützten Computer in Zertifikate (lokaler Computer)Persönlichmit der rechten Maustaste auf Zertifikate. Select AufgabenNeues Zertifikat anfordern. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen des Assistenten Active Directory-Registrierungsrichtlinieaus. In Zertifikate anfordern wird die Vorlage angezeigt. Erweitern Sie Details , und klicken Sie auf Eigenschaften. Wählen Sie die Registerkarte Allgemein aus, und geben Sie einen Anzeigenamen ein. Nach dem Anwenden der Einstellungen sollte die Meldung angezeigt werden, dass das Zertifikat erfolgreich installiert wurde.

Configure a certificate on the DPM server

  1. Erstellen Sie über die Webregistrierung oder eine andere Methode ein Zertifikat einer Zertifizierungsstelle für den DPM-Server. Wählen Sie bei der Webregistrierung Erweiterte Zertifikatanforderung erforderlichund Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichenaus. Vergewissern Sie sich, dass die Größe des Schlüssels mindestens 1024 ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Speicher Benutzer abgelegt. Wir müssen es in den Speicher Lokaler Computer verschieben.

  3. Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie in "Lokaler Computer\Personal\Certificate" den Zertifikatimport-Assistenten aus, um die exportierte Datei aus ihrem Speicherort zu importieren. Geben Sie das Kennwort für den Export an, und vergewissern Sie sich, dass Schlüssel als exportierbar markieren ausgewählt ist. Übernehmen Sie auf der Seite „Zertifikatspeicher“ die Standardeinstellung Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Persönlich angezeigt wird.

  5. Legen nach dem Import die DPM-Anmeldeinformationen für das Zertifikat wie folgt fest:

    1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Speicher Zertifikat auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und wechseln Sie zum Fingerabdruck. Klicken Sie darauf, markieren und kopieren Sie ihn. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

    2. Führen Sie Set-DPMCredentials aus, um den DPM-Server zu konfigurieren:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type – Gibt den Typ der Authentifizierung an. Wert: certificate.

    • -Action – Geben Sie an, ob Sie den Befehl zum ersten Mal ausführen oder die Anmeldeinformationen neu generieren möchten. Mögliche Werte: regenerate oder configure.

    • -- – Speicherort der Ausgabedatei, die in „Set-DPMServer“ auf dem geschützten Computer verwendet wird.

    • –Thumbprint – Aus der Editor-Datei kopieren.

    • -AuthCAThumbprint – Fingerabdruck der Zertifizierungsstelle in der Vertrauenskette des Zertifikats. Optional. Falls nicht angegeben, wird "Root" verwendet.

  6. Dies generiert eine Metadatendatei (. bin), die zum Zeitpunkt der Installation der einzelnen Agents in einer nicht vertrauenswürdigen Domäne erforderlich ist. Stellen Sie sicher, dass der Ordner „C:\Temp“ vorhanden ist, bevor Sie den Befehl ausführen. Sollte diese Datei einmal verloren gehen oder gelöscht werden, können Sie sie neu erstellen, indem Sie das Skript mit der Option -action regenerate ausführen.

  7. Rufen Sie die BIN-Datei ab, und kopieren Sie sie in den Ordner "C:\Program Files\Microsoft Data Protection Manager\DPM\bin" auf dem Computer, den Sie schützen möchten. Sie müssen nicht dies tun, aber wenn Sie es nicht tun, müssen Sie im Bedarfsfall den vollständigen Pfad der Datei für den Parameter „DPMcredential“ angeben.

  8. Wiederholen Sie diese Schritte auf jedem DPM-Server, der einen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne schützt.

Installieren des Agents

  1. Führen Sie auf jedem Computer, den Sie schützen möchten, von der DPM-Installations-CD "DPMAgentInstaller_X64.exe" aus, um den Agent zu installieren.

Konfigurieren eines Zertifikats auf dem geschützten Computer

  1. Beziehen Sie von einer Zertifizierungsstelle ein Zertifikat für den geschützten Computer, entweder über die Webregistrierung oder eine andere Methode. Wählen Sie bei der Webregistrierung Erweiterte Zertifikatanforderung erforderlichund Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichenaus. Vergewissern Sie sich, dass die Größe des Schlüssels mindestens 1024 ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Speicher Benutzer abgelegt. Wir müssen es in den Speicher Lokaler Computer verschieben.

  3. Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie in "Lokaler Computer\Personal\Certificate" den Zertifikatimport-Assistenten aus, um die exportierte Datei aus ihrem Speicherort zu importieren. Geben Sie das Kennwort für den Export an, und vergewissern Sie sich, dass Schlüssel als exportierbar markieren ausgewählt ist. Übernehmen Sie auf der Seite „Zertifikatspeicher“ die Standardeinstellung Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Persönlich angezeigt wird.

  5. Konfigurieren Sie nach dem Import den Computer wie folgt so, dass der DPM-Server als autorisiert für das Durchführen von Sicherungen erkannt wird:

    1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Speicher Zertifikat auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und wechseln Sie zum Fingerabdruck. Klicken Sie darauf, markieren und kopieren Sie ihn. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

    2. Navigieren Sie zum Ordner "C:\Program files\Microsoft Data Protection Manager\DPM\bin". Und führen Sie setdpmserver wie folgt aus:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      "ClientThumbprintWithNoSpaces" wurde aus der Editor-Datei kopiert.

    3. Sie sollten eine Rückmeldung erhalten, die bestätigt, dass die Konfiguration erfolgreich abgeschlossen wurde.

  6. Suchen Sie die BIN-Datei, und kopieren Sie sie auf den DPM-Server. Es wird empfohlen, sie an den Standardspeicherort zu kopieren, den der Prozess "Anfügen" nach der Datei ("Windows\System32" überprüft) durchsucht. Deshalb müssen Sie nur den Dateinamen angeben anstelle des vollständigen Pfads angeben, wenn Sie den Befehl "Anfügen" ausführen.

Anfügen des Computers

Sie fügen den DPM-Server mithilfe des PowerShell-Skripts "Attach-ProductionServerWithCertificate.ps1" und der folgenden Syntax an den Computer an.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName – Name des DPM-Servers

  • PSCredential – Name der BIN-Datei. Wenn Sie sie im Ordner "Windows\System32" abgelegt haben, müssen Sie nur den Dateinamen angeben. Achten Sie darauf, dass Sie die auf dem geschützten Server erstellte BIN-Datei angeben. Wenn Sie die auf dem DPM-Server erstellte BIN-Datei angeben, entfernen Sie alle geschützten Computer, die für die zertifikatbasierte Authentifizierung konfiguriert sind.

Nach Abschluss des Anfügeprozesses sollte der geschützte Computer in der DPM-Verwaltungskonsole angezeigt werden.

Beispiele

Beispiel 1

Generiert eine Datei in c:\\CertMetaData\\ mit Namen CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Dabei gibt „dpmserver.contoso.com“ den Namen des DPM-Servers an und „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496“ ist der Fingerabdruck des DPM-Serverzertifikats.

Beispiel 2

Generiert eine verloren gegangene Konfigurationsdatei im Ordner "C:\CertMetaData\" neu.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate