Preparar las máquinas de grupos de trabajo y dominios que no son de confianza para copia de seguridadPrepare machines in workgroups and untrusted domains for backup

System Center Data Protection Manager (DPM) puede proteger los equipos que están en grupos de trabajo o dominios que no son de confianza.System Center Data Protection Manager (DPM) can protect computers that are in untrusted domains or workgroups. Puede autenticar estos equipos mediante una cuenta de usuario local (autenticación NTLM) o mediante certificados.You can authenticate these computers using a local user account (NTLM authentication), or using certificates. Con ambos tipos de autenticación, deberá preparar la infraestructura antes de configurar un grupo de protección que contenga los orígenes de los que quiera hacer copia de seguridad.For both types of authentication you'll need to prepare the infrastructure before you can set up a protection group that contains the sources you want to back up.

  1. Instalar un certificado: si quiere usar la autenticación de certificado, instale un certificado en el servidor DPM y en el equipo que quiere proteger.Install a certificate-If you want to use certificate authentication install a certificate on the DPM server and on the computer you want to protect.

  2. Instalar el agente: instale el agente en el equipo que quiere proteger.Install the agent-Install the agent on the computer you want to protect.

  3. Reconocer el servidor DPM: configure el equipo de modo que reconozca el servidor DPM para realizar copias de seguridad.Recognize the DPM server-Configure the computer to recognize the DPM server for performing backups. Para ello, ejecute el comando SetDPMServer.To do this you'll run the SetDPMServer command.

  4. Conectar el equipo: por último, debe conectar el equipo protegido al servidor DPM.Attach the computer-Lastly you'll need to attach the protected computer to the DPM server.

Antes de empezarBefore you start

Antes de empezar, compruebe los escenarios de protección admitidos y la configuración de red necesaria.Before you started check the supported protection scenarios and required network settings

Escenarios admitidosSupported scenarios

CompatibilidadSupport
ArchivosFiles Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

Autenticación NTLM y de certificado para un único servidor.NTLM and certificate authentication for single server. Autenticación de certificado solo para el clúster.Certificate authentication only for cluster.
Estado del sistemaSystem State Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

Solo autenticación NTLMNTLM authentication only
SQL ServerSQL Server Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

Creación de reflejo no admitida.Mirroring not supported.

Autenticación NTLM y de certificado para un único servidor.NTLM and certificate authentication for single server. Autenticación de certificado solo para el clúster.Certificate authentication only for cluster.
Servidor Hyper-VHyper-V server Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

Autenticación NTLM y de certificadoNTLM and certificate authentication
Clúster Hyper-VHyper-V cluster Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

CSV no admitido.CSV not supported.

Solo autenticación de certificadoCertificate authentication only
Exchange ServerExchange Server Grupo de trabajo: No aplicableWorkgroup: Not applicable

No es de confianza: Solo se admite para un único servidor.Untrusted: Supported for single server only. Clúster no compatible.Cluster not supported. CCR, SCR y DAG no compatibles.CCR, SCR, DAG not supported. LCR compatible.LCR supported.

Solo autenticación NTLMNTLM authentication only
Servidor DPM secundario (para la copia de seguridad del servidor DPM principal)Secondary DPM server (For backup of primary DPM server Grupo de trabajo: Compatible.Workgroup: Supported

No es de confianza: Compatible.Untrusted: Supported

Solo autenticación de certificadoCertificate authentication only
SharePointSharePoint Grupo de trabajo: No compatibleWorkgroup: Not supported

No es de confianza: No compatibleUntrusted: Not supported
Equipos clienteClient computers Grupo de trabajo: No compatibleWorkgroup: Not supported

No es de confianza: No compatibleUntrusted: Not supported
Reconstrucción completa (BMR)Bare metal recovery (BMR) Grupo de trabajo: No compatibleWorkgroup: Not supported

No es de confianza: No compatibleUntrusted: Not supported
Recuperación por el usuario finalEnd-user recovery Grupo de trabajo: No compatibleWorkgroup: Not supported

No es de confianza: No compatibleUntrusted: Not supported

Configuración de redNetwork settings

ConfiguraciónSettings Equipo en grupo de trabajo o dominio que no es de confianzaComputer in workgroup or untrusted domain
datos de controlControl data Protocolo: DCOMProtocol: DCOM

Puerto predeterminado: 135Default port: 135

Autenticación: NTLM/certificadoAuthentication: NTLM/certificate
Transferencia de archivosFile transfer Protocolo: WinSockProtocol: Winsock

Puerto predeterminado: 5718 y 5719Default port: 5718 and 5719

Autenticación: NTLM/certificadoAuthentication: NTLM/certificate
Requisitos de la cuenta DPMDPM account requirements Cuenta local sin derechos de administrador en el servidor DPM.Local account without admin rights on DPM server. Utiliza la comunicación de NTLM v2Uses NTLM v2 communication
Requisitos de certificadosCertificate requirements
Instalación del agenteAgent installation Agente instalado en el equipo protegidoAgent installed on protected computer
Red perimetralPerimeter network Protección de red perimetral no admitida.Perimeter network protection not supported.
IPSECIPSEC Asegúrese de que IPSEC no bloquea las comunicaciones.Ensure IPSEC doesn't block communications.

Copia de seguridad mediante la autenticación NTLMBack up using NTLM authentication

Esto es lo que hay que hacer:Here's what you'll need to do:

  1. Instalar el agente: instale el agente en el equipo que quiere proteger.Install the agent - Install the agent on the computer you want to protect.

  2. Configurar el agente: configure el equipo de modo que reconozca el servidor DPM para realizar copias de seguridad.Configure the agent - Configure the computer to recognize the DPM server for performing backups. Para ello, ejecute el comando SetDPMServer.To do this you'll run the SetDPMServer command.

  3. Conectar el equipo: por último, debe conectar el equipo protegido al servidor DPM.Attach the computer - Lastly you'll need to attach the protected computer to the DPM server.

Instalar y configurar el agenteInstall and configure the agent

  1. En el equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.On the computer you want to protect, run DPMAgentInstaller_X64.exe from the DPM installation CD to install the agent.

  2. Configure el agente mediante la ejecución de SetDpmServer como sigue:Configure the agent by running SetDpmServer as follows:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Especifique los parámetros de la siguiente manera:Specify the parameters as follows:

    • -DpmServerName: especifique el nombre del servidor DPM.-DpmServerName-Specify the name of the DPM server. Utilice cualquier FQDN si el servidor y el equipo son accesibles entre sí mediante FQDN, o un nombre NETBIOS.Use either an FQDN if the server and computer are accessible to each other using FQDNs, or a NETBIOS name.

    • -IsNonDomainServer: se usa para indicar que el servidor está en un grupo de trabajo o dominio que no es de confianza en relación con el equipo que quiere proteger.-IsNonDomainServer-Use to indicate that the server is in a workgroup or untrusted domain in relation to the computer you want to protect. Las excepciones del firewall se crean para los puertos requeridos.Firewall exceptions are created for required ports.

    • -UserName: especifique el nombre de la cuenta que quiere usar para la autenticación NTLM.-UserName-Specify the name of the account you want to use for NTLM authentication. Para usar esta opción debe tener el indicador -isNonDomainServer especificado.To use this option you should have the -isNonDomainServer flag specified. Se creará una cuenta de usuario local y el agente de protección DPM estará configurado para usar esta cuenta en la autenticación.A local user account will be created and the DPM protection agent will be configured to use this account for authentication.

    • -ProductionServerDnsSuffix: use este modificador si el servidor tiene varios sufijos DNS configurados.-ProductionServerDnsSuffix-Use this switch if the server has multiple DNS suffixes configured. Este parámetro representa el sufijo DNS que el servidor usa para conectarse al equipo que va a proteger.This switch represents the DNS suffix that the server uses to connect to the computer you're protecting.

  4. Si el comando se completa correctamente, se abre la consola de DPM.When the command completes successfully open the DPM console.

Actualizar la contraseñaUpdate the password

Si desea actualizar la contraseña de las credenciales NTLM en cualquier momento, ejecute lo siguiente en el equipo protegido:If at any point you want to update the password for the NTLM credentials, run the following on the protected computer:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Necesitará usar la misma convención de nomenclatura (FQDN o NETBIOS) que usó al configurar la protección.You'll need to use the same naming convention (FQDN or NETBIOS) that you did when you configured protection. En el servidor DPM, deberá ejecutar el cmdlet de PowerShell -NonDomainServerInfo de actualización.On the DPM server you'll need to run the Update -NonDomainServerInfo PowerShell cmdlet. Después, necesitará actualizar la información del agente para el equipo protegido.Then you'll need to refresh the agent information for the protected computer.

Ejemplo de NetBIOS: Equipo protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01NetBIOS example: Protected computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Ejemplo FQDN: Equipo protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.comFQDN example: Protected computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar el equipoAttach the computer

  1. En la consola de DPM, ejecute el Asistente para la instalación de agentes de protección.In the DPM console, run the Protection Agent Installation wizard.

  2. En Seleccionar el método de implementación del agente, seleccione Adjuntar agentes.In Select agent deployment method, select Attach agents.

  3. Escriba el nombre del equipo, el nombre de usuario y la contraseña del equipo con el que desea realizar la conexión.Enter the computer name, user name, and password for the computer that you want to attach to. Deben ser las credenciales que especificó al instalar el agente.These should be the credentials you specified when you installed the agent.

  4. Revise la página Resumen y haga clic en Adjuntar.Review the Summary page, and click Attach.

Opcionalmente, puede ejecutar el comando de Windows PowerShell Attach-NonDomainServer.ps1 en lugar de ejecutar al asistente.You can optionally run the Windows PowerShell Attach-NonDomainServer.ps1 command instead of running the wizard. Para hacer esto, eche un vistazo al ejemplo en la sección siguiente.To do this take a look at the example in the next section.

EjemplosExamples

Ejemplo 1Example 1

Ejemplo para configurar un equipo de grupo de trabajo después de instalar el agente:Example to configure a workgroup computer after the agent is installed:

  1. En el equipo, ejecute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.On the computer, run SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.On the DPM server, run Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Dado que a los equipos del grupo de trabajo normalmente solo se puede tener acceso con el nombre NetBIOS, el valor de DPMServerName debe ser el nombre NetBIOS.Because the workgroup computers are typically accessible only by using NetBIOS name, the value for DPMServerName must be the NetBIOS name.

Ejemplo 2Example 2

Ejemplo para configurar un equipo de grupo de trabajo con los nombres NetBIOS en conflicto después de instalar el agente.Example to configure a workgroup computer with conflicting NetBIOS names after the agent is installed.

  1. En el equipo del grupo de trabajo, ejecute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.On the workgroup computer, run SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.On the DPM server, run Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Copia de seguridad mediante autenticación de certificadosBack up using certificate authentication

A continuación se explica cómo configurar la protección con autenticación de certificados.Here's how to set up protection with certificate authentication.

  • Cada equipo que desea proteger debe tener al menos .NET Framework 3.5 con Service Pack 1 instalado.Each computer you want to protect should have at least .NET Framework 3.5 with SP1 installed.

  • El certificado que se usa para la autenticación debe cumplir las siguientes condiciones:The certificate you use for authentication must comply with the following:

    • Certificado X.509 V3X.509 V3 certificate

    • El uso mejorado de clave (EKU) debe tener la autenticación de cliente y la autenticación de servidor.Enhanced Key Usage (EKU) should have client authentication and server authentication.

    • La clave debe tener una longitud de 1024 bits como mínimo.Key length should be at least 1024 bits.

    • El tipo de clave debe ser exchange.Key type should be exchange.

    • El nombre de sujeto del certificado y el certificado raíz no deben estar vacíos.The subject name of the certificate and the root certificate should not be empty.

    • Los servidores de revocación de las entidades de certificación asociadas están en línea y a ellos pueden tener acceso el servidor protegido y el servidor DPM.The revocation servers of the associated Certificate Authorities are online and accessible by both the protected server and DPM server

    • El certificado debe tener una clave privada asociada.The certificate should have associated private key

    • DPM no admite certificados con claves CNG.DPM doesn't support certificates with CNG Keys

    • DPM no admite certificados autofirmados.DPM doesn't support self-signed certificates.

  • Cada equipo que desea proteger (incluidas las máquinas virtuales) debe tener su propio certificado.Each computer you want to protect (including virtual machines) must have its own certificate.

Configuración de la protecciónSet up protection

  1. Crear una plantilla de certificado de DPMCreate a DPM certificate template

  2. Configurar un certificado en el servidor DPM.Configure a certificate on the DPM server.

  3. Instalar el agenteInstall the agent

  4. Configurar un certificado en el equipo protegidoConfigure a certificate on the protected computer

  5. Conectar el equipoAttach the computer

Crear una plantilla de certificado de DPMCreate a DPM certificate template

Opcionalmente, puede configurar una plantilla de DPM para la inscripción web.You can optionally set up a DPM template for web enrollment. Si desea hacerlo, seleccione una plantilla que tenga la autenticación de cliente y la autenticación de servidor como el propósito planteado.If you do want to do this, select a template that has Client Authentication and Server Authentication as its intended purpose. Por ejemplo:For example:

  1. En el complemento MMC Plantillas de certificado, puede seleccionar la plantilla Servidor RAS e IAS.In the Certificate Templates MMC snap-in you could select the RAS and IAS Server template. Haga clic en ella con el botón secundario y seleccione Plantilla duplicada.Right-click it and select Duplicate Template.

  2. En Plantilla duplicada, deje la configuración predeterminada Windows Server 2003 Enterprise.In Duplicate Template, leave the default setting Windows Server 2003 Enterprise.

  3. En la pestaña General, modifique el nombre para mostrar de la plantilla por otro fácil de reconocer.In the General tab, change the template display name to something recognizable. Por ejemplo, Autenticación de DPM.For example DPM Authentication. Asegúrese de que la configuración Publicar certificado en Active Directory está habilitada.Make sure the setting Publish certificate in Active Directory is enabled.

  4. En la pestaña Tratamiento de la solicitud, asegúrese de que la opción Permitir que la clave privada se pueda exportar está habilitada.In the Request Handling tab, make sure Allow private key to be exported is enabled.

  5. Después de haber creado la plantilla, habilítela para su uso.After you've created the template make it available for use. Abra el complemento de la entidad de certificación.Open the Certificate Authority snap-in. Haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevay elija la Plantilla de certificado que se va a emitir.Right-click Certificate Templates, select New, and choose Certificate Template to Issue. En Habilitar plantilla de certificado, seleccione la plantilla y haga clic en Aceptar.In Enable Certificate Template select the template and click OK. Ahora la plantilla estará disponible cuando obtenga un certificado.Now the template will be available when you obtain a certificate.

Habilitar la inscripción o la inscripción automáticaEnable enrollment or autoenrollment

Si desea configurar la plantilla para la inscripción o la inscripción automática de manera opcional, haga clic en la pestaña Nombre de sujeto en las propiedades de plantilla.If you want to optionally configure the template for enrollment or autoenrollment, click the Subject Name tab in the template properties. Al configurar la inscripción, la plantilla puede seleccionarse en MMC.When you configure enrollment the template can be selected in the MMC. Si configura la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.If you configure autoenrollment the certificate is automatically assigned to all computers in the domain.

  • Para la inscripción, en la pestaña Nombre de sujeto de las propiedades de plantilla, habilite Seleccionar compilación a partir de esta información de Active Directory.For enrollment, in the Subject Name tab of the template properties, enable Select Build from this Active Directory information. En Formato de nombre de sujeto, seleccione Nombre común y habilite Nombre DNS.In Subject name format select Common Name and enable DNS name. A continuación, vaya a la pestaña Seguridad y asigne el permiso Inscribir a los usuarios autenticados.Then go to the Security tab and assign the Enroll permission to authenticated users.

  • Para la inscripción automática, vaya a la pestaña Seguridad y asigne el permiso Inscripción automática a los usuarios autenticados.For autoenrollment, go to the Security tab and assign the Autoenroll permission to authenticated users. Con esta opción habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.With this setting enabled the certificate will be automatically assigned to all computers in the domain.

  • Si ha configurado la inscripción, podrá solicitar un nuevo certificado en MMC basado en la plantilla.If you've configured enrollment you'll be able to request a new certificate in the MMC, based on the template. Para ello, en el equipo protegido, en Certificados - Equipo local > Personal, haga clic con el botón secundario en Certificados.To do this, on the protected computer, in Certificates (Local Computer) > Personal, right-click Certificates. Select Todas las tareas > Solicitar un nuevo certificado.Select All Tasks > Request New Certificate. En la página Seleccionar directiva de inscripción de certificados del asistente, seleccione Directiva de inscripción de Active Directory.In the Select Certificate Enrollment Policy page of the wizard select Active Directory Enrollment Policy. En Solicitar certificados, verá la plantilla.In Request Certificates you'll see the template. Expanda Detalles y haga clic en Propiedades.Expand Details and click Properties. Seleccione la pestaña General y proporcione un nombre descriptivo.Select the General tab and provide a friendly name. Después de aplicar la configuración, debería recibir un mensaje para notificarle que el certificado se ha instalado correctamente.After you apply the settings you should receive a message that the certificate was installed successfully.

Configurar un certificado en el servidor DPMConfigure a certificate on the DPM server

  1. Genere un certificado de una CA para el servidor DPM a través de la inscripción web o mediante algún otro método.Generate a certificate from a CA for the DPM server, via web enrollment or some other method. En la inscripción web, seleccione certificado avanzado necesarioy Crear y enviar una solicitud a esta CA.In web enrollment, select advanced certificate required, and Create and Submit a request to this CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.Make sure the key size is 1024 or higher, and that Mark key as exportable is selected.

  2. El certificado se ha colocado en el almacén de usuario.The certificate is placed in the User store. Es necesario moverlo al almacén del equipo local.We need to move it to the Local Computer store.

  3. Para ello, exporte el certificado del almacén de usuario.To do this export the certificate from the User store. Asegúrese de exportarlo con la clave privada.Make sure you export it with the private key. Puede exportarlo en el formato .pfx predeterminado.You can export it in the default .pfx format. Especifique una contraseña para la exportación.Specify a password for the export.

  4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado.In Local Computer\Personal\Certificate run the Certificate Import Wizard to imported the exported file from its saved location. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada.Specify the password you used to export it and make sure Mark this key as exportable is selected. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacény asegúrese de que aparece Personal.On the Certificate Store page leave the default setting Place all certificates in the following store, and ensure Personal is displayed.

  5. Después de la importación, defina las credenciales de DPM para usar el certificado; para ello, realice lo siguiente:After the import set the DPM credentials to use the certificate, as follows:

    1. Obtenga la huella digital del certificado.Obtain the thumbprint for the certificate. En el almacén de certificados, haga doble clic en el certificado.In the Certificates store double-click on the certificate. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital.Select the Details tab and scroll down to the thumbprint. Haga clic en ella para seleccionarla y, a continuación, cópiela.Click it, highlight and copy it. Pegue la huella digital en el Bloc de notas y quite los espacios.Paste the thumbprint into Notepad and remove any spaces.

    2. Ejecute Set-DPMCredentials para configurar el servidor DPM:Run Set-DPMCredentials to configure the DPM server:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type: indica el tipo de autenticación.-Type-Indicates the type of authentication. Valor: certificado.Value: certificate.

    • -Action: especifique si quiere ejecutar el comando por primera vez o volver a generar las credenciales.-Action-Specify whether you want to perform the command for the first time, or regenerate the credentials. Valores posibles: regenerar o configurar.Possible values: regenerate or configure.

    • -OutputFilePath: Ubicación del archivo de salida que se usa en Set-DPMServer en el equipo protegido.-OutputFilePath- Location of the output file used in Set-DPMServer on the protected computer.

    • –Thumbprint: copia del archivo de Bloc de notas.-Thumbprint-Copy from the Notepad file.

    • -AuthCAThumbprint: huella digital de la CA en la cadena de confianza del certificado.-AuthCAThumbprint-Thumbprint of the CA in the trust chain of the certificate. Opcional.Optional. Si no se especifica, se usará la raíz.If not specified, Root will be used.

  6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en dominios que no son de confianza.This generates a metadata file (.bin) that is required at the time of each agent install in untrusted domain. Asegúrese de que la carpeta C:\Temp existe antes de ejecutar el comando.Make sure that the C:\Temp folder exists before you run the command. Tenga en cuenta que si el archivo se pierde o se elimina, puede volver a crearlo; para ello, ejecute el script con la opción action regenerate.Note that if the file is lost or deleted you can recreate it by running the script with the -action regenerate option.

  7. Recupere el archivo .bin y cópielo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin en el equipo que desea proteger.Retrieve the .bin file and copy it to the C:\Program Files\Microsoft Data Protection Manager\DPM\bin folder on the computer you want to protect. No tiene que hacer esto, pero, si no lo hace, necesitará especificar la ruta de acceso completa del archivo para el parámetro -DPMcredential cuando...You don't have to do this, but if you don't you'll need to specify the full path of the file for the -DPMcredential parameter when you

  8. Repita estos pasos en cada servidor DPM que protegerá un equipo en un grupo de trabajo o en un dominio que no es de confianza.Repeat these steps on every DPM server that will protect a computer in a workgroup or in an untrusted domain.

Instalar el agenteInstall the agent

  1. En cada equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.On each computer you want to protect, run DPMAgentInstaller_X64.exe from the DPM installation CD to install the agent.

Configurar un certificado en el equipo protegidoConfigure a certificate on the protected computer

  1. Genere un certificado de una CA para el equipo protegido a través de la inscripción web o mediante algún otro método.Generate a certificate from a CA for the protected computer, via web enrollment or some other method. En la inscripción web, seleccione certificado avanzado necesarioy Crear y enviar una solicitud a esta CA.In web enrollment, select advanced certificate required, and Create and Submit a request to this CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.Make sure the key size is 1024 or higher, and that Mark key as exportable is selected.

  2. El certificado se ha colocado en el almacén de usuario.The certificate is placed in the User store. Es necesario moverlo al almacén del equipo local.We need to move it to the Local Computer store.

  3. Para ello, exporte el certificado del almacén de usuario.To do this export the certificate from the User store. Asegúrese de exportarlo con la clave privada.Make sure you export it with the private key. Puede exportarlo en el formato .pfx predeterminado.You can export it in the default .pfx format. Especifique una contraseña para la exportación.Specify a password for the export.

  4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado.In Local Computer\Personal\Certificate run the Certificate Import Wizard to imported the exported file from its saved location. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada.Specify the password you used to export it and make sure Mark this key as exportable is selected. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacény asegúrese de que aparece Personal.On the Certificate Store page leave the default setting Place all certificates in the following store, and ensure Personal is displayed.

  5. Después de la importación, configure el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad, como se indica a continuación.After the import configure the computer to recognize the DPM server as authorized to perform backups, as follows

    1. Obtenga la huella digital del certificado.Obtain the thumbprint for the certificate. En el almacén de certificados, haga doble clic en el certificado.In the Certificates store double-click on the certificate. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital.Select the Details tab and scroll down to the thumbprint. Haga clic en ella para seleccionarla y, a continuación, cópiela.Click it, highlight and copy it. Pegue la huella digital en el Bloc de notas y quite los espacios.Paste the thumbprint into Notepad and remove any spaces.

    2. Navegue hasta la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin.Navigate to the C:\Program files\Microsoft Data Protection anager\DPM\bin folder. Y ejecute setdpmserver como sigue:And run setdpmserver as follows:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Donde ClientThumbprintWithNoSpaces se copia desde el archivo de Bloc de notas.Where ClientThumbprintWithNoSpaces is copied from the Notepad file.

    3. Debe obtener la salida para confirmar que la configuración se ha completado correctamente.You should get output to confirm that the configuration was completed successfully.

  6. Recupere el archivo .bin y cópielo en el servidor DPM.Retrieve the .bin file and copy it to the DPM server. Se recomienda que lo copie en la ubicación predeterminada en la que el proceso de adjuntar buscará el archivo (Windows\System32), por lo que solo tiene que especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Adjuntar.We suggest you copy it to the default location in which the Attach process will check for the file (Windows\System32) so you can just specify the filename instead of the full path when you run the Attach command.

Conectar el equipoAttach the computer

Puede conectar el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1, utilizando la sintaxis.You attach the computer to the DPM server using the Attach-ProductionServerWithCertificate.ps1 PowerShell script, using the syntax.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName: nombre del servidor DPM-DPMServerName-Name of the DPM server

  • PSCredential: nombre del archivo .bin.PSCredential-Name of the .bin file. Si lo ha colocado en la carpeta Windows\System32 puede especificar solo el nombre de archivo.If you placed it in the Windows\System32 folder you can specify the file name only. Tenga la precaución de especificar el archivo .bin creado en el servidor protegido.Be careful to specify the .bin file created o nthe protected server. Si se especifica el archivo .bin creado en el servidor DPM, quitará todos los equipos protegidos que están configurados para la autenticación basada en certificados.If you specify the .bin file created on the DPM server you'll remove all the protected computers that are configured for certificate-based authentication.

Una vez finalizado el proceso de conexión, el equipo protegido debe aparecer en la consola de DPM.After the attach process completes the protected computer should appear in the DPM console.

EjemplosExamples

Ejemplo 1Example 1

Genera un archivo en c:\\CertMetaData\\ con el nombre CertificateConfiguration\_<DPM SERVER FQDN>.binGenerates a file in c:\\CertMetaData\\ with name CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Donde dpmserver.contoso.com es el nombre del servidor DPM y "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" es la huella digital del certificado del servidor DPM.Where dpmserver.contoso.com is the name of the DPM server and "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" is the thumbprint of the DPM server certificate.

Ejemplo 2Example 2

Regenera un archivo de configuración perdido en la carpeta c:\CertMetaData.Regenerates a lost configuration file in the folder c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate