Preparar las máquinas de grupos de trabajo y dominios que no son de confianza para copia de seguridad

Importante

Esta versión de Data Protection Manager (DPM) ha alcanzado el final del soporte técnico, le recomendamos que realice la actualización a DPM 2019.

System Center Data Protection Manager (DPM) puede proteger los equipos que están en grupos de trabajo o dominios que no son de confianza. Puede autenticar estos equipos mediante una cuenta de usuario local (autenticación NTLM) o mediante certificados. Con ambos tipos de autenticación, deberá preparar la infraestructura antes de configurar un grupo de protección que contenga los orígenes de los que quiera hacer copia de seguridad.

  1. Instalar un certificado: si quiere usar la autenticación de certificado, instale un certificado en el servidor DPM y en el equipo que quiere proteger.

  2. Instalar el agente: instale el agente en el equipo que quiere proteger.

  3. Reconocer el servidor DPM: configure el equipo de modo que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecute el comando SetDPMServer.

  4. Conectar el equipo: por último, debe conectar el equipo protegido al servidor DPM.

Antes de empezar

Antes de empezar, compruebe los escenarios de protección admitidos y la configuración de red necesaria.

Escenarios admitidos

Tipo de carga de trabajo Estado y soporte del servidor protegido
Archivos Grupo de trabajo: Compatible.

Dominio que no es de confianza: Compatible.

Autenticación NTLM y de certificado para un único servidor. Autenticación de certificado solo para el clúster.
Estado del sistema Grupo de trabajo: Compatible.

Dominio que no es de confianza: Compatible.

Solo autenticación NTLM
SQL Server Grupo de trabajo: Compatible.

Dominio que no es de confianza: Compatible.

Creación de reflejo no admitida.

Autenticación NTLM y de certificado para un único servidor. Autenticación de certificado solo para el clúster.
Servidor Hyper-V Grupo de trabajo: Compatible.

Dominio que no es de confianza: Compatible.

Autenticación NTLM y de certificado
Clúster Hyper-V Grupo de trabajo: No compatible

Dominio que no es de confianza: Admitido (solo autenticación de certificado)
Exchange Server Grupo de trabajo: No disponible

Dominio que no es de confianza: Solo se admite para un único servidor. Clúster no compatible. CCR, SCR y DAG no compatibles. LCR compatible.

Solo autenticación NTLM
Servidor DPM secundario (para la copia de seguridad del servidor DPM principal)

Nota: Los servidores DPM principal y secundario deben estar en el mismo dominio o en un dominio de confianza.
Grupo de trabajo: Compatible.

Dominio que no es de confianza: Compatible.

Solo autenticación de certificado
SharePoint Grupo de trabajo: No compatible

Dominio que no es de confianza: No compatible
Equipos cliente Grupo de trabajo: No compatible

Dominio que no es de confianza: No compatible
Reconstrucción completa (BMR) Grupo de trabajo: No compatible

Dominio que no es de confianza: No compatible
Recuperación por el usuario final Grupo de trabajo: No compatible

Dominio que no es de confianza: No compatible

Configuración de red

Configuración Equipo en grupo de trabajo o dominio que no es de confianza
datos de control Protocolo: DCOM

Puerto predeterminado: 135

Autenticación: NTLM/certificado
Transferencia de archivos Protocolo: WinSock

Puerto predeterminado: 5718 y 5719

Autenticación: NTLM/certificado
Requisitos de la cuenta DPM Cuenta local sin derechos de administrador en el servidor DPM. Utiliza la comunicación de NTLM v2
Requisitos de certificados
Instalación del agente Agente instalado en el equipo protegido
Red perimetral Protección de red perimetral no admitida.
IPSEC Asegúrese de que IPSEC no bloquea las comunicaciones.

Copia de seguridad mediante la autenticación NTLM

Esto es lo que hay que hacer:

  1. Instalar el agente: instale el agente en el equipo que quiere proteger.

  2. Configurar el agente: configure el equipo de modo que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecute el comando SetDPMServer.

  3. Conectar el equipo: por último, debe conectar el equipo protegido al servidor DPM.

Instalar y configurar el agente

  1. En el equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.

  2. Configure el agente mediante la ejecución de SetDpmServer como sigue:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Especifique los parámetros de la siguiente manera:

    • -DpmServerName: especifique el nombre del servidor DPM. Utilice cualquier FQDN si el servidor y el equipo son accesibles entre sí mediante FQDN, o un nombre NETBIOS.

    • -IsNonDomainServer: se usa para indicar que el servidor está en un grupo de trabajo o dominio que no es de confianza en relación con el equipo que quiere proteger. Las excepciones del firewall se crean para los puertos requeridos.

    • -UserName: especifique el nombre de la cuenta que quiere usar para la autenticación NTLM. Para usar esta opción debe tener el indicador -isNonDomainServer especificado. Se creará una cuenta de usuario local y el agente de protección DPM estará configurado para usar esta cuenta en la autenticación.

    • -ProductionServerDnsSuffix: use este modificador si el servidor tiene varios sufijos DNS configurados. Este parámetro representa el sufijo DNS que el servidor usa para conectarse al equipo que va a proteger.

  4. Si el comando se completa correctamente, se abre la consola de DPM.

Actualizar la contraseña

Si desea actualizar la contraseña de las credenciales NTLM en cualquier momento, ejecute lo siguiente en el equipo protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Necesitará usar la misma convención de nomenclatura (FQDN o NETBIOS) que usó al configurar la protección. En el servidor DPM, deberá ejecutar el cmdlet de PowerShell -NonDomainServerInfo de actualización. Después, necesitará actualizar la información del agente para el equipo protegido.

Ejemplo de NetBIOS: Equipo protegido: Servidor DPM de SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Ejemplo FQDN: Equipo protegido: Servidor DPM de SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar el equipo

  1. En la consola de DPM, ejecute el Asistente para la instalación de agentes de protección.

  2. En Seleccionar el método de implementación del agente, seleccione Adjuntar agentes.

  3. Escriba el nombre del equipo, el nombre de usuario y la contraseña del equipo con el que desea realizar la conexión. Deben ser las credenciales que especificó al instalar el agente.

  4. Revise la página Resumen y haga clic en Adjuntar.

Opcionalmente, puede ejecutar el comando de Windows PowerShell Attach-NonDomainServer.ps1 en lugar de ejecutar al asistente. Para hacer esto, eche un vistazo al ejemplo en la sección siguiente.

Ejemplos

Ejemplo 1

Ejemplo para configurar un equipo de grupo de trabajo después de instalar el agente:

  1. En el equipo, ejecute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Dado que a los equipos del grupo de trabajo normalmente solo se puede tener acceso con el nombre NetBIOS, el valor de DPMServerName debe ser el nombre NetBIOS.

Ejemplo 2

Ejemplo para configurar un equipo de grupo de trabajo con los nombres NetBIOS en conflicto después de instalar el agente.

  1. En el equipo del grupo de trabajo, ejecute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Copia de seguridad mediante autenticación de certificados

A continuación se explica cómo configurar la protección con autenticación de certificados.

  • Cada equipo que desea proteger debe tener al menos .NET Framework 3.5 con Service Pack 1 instalado.

  • El certificado que se usa para la autenticación debe cumplir las siguientes condiciones:

    • Certificado X.509 V3

    • El uso mejorado de clave (EKU) debe tener la autenticación de cliente y la autenticación de servidor.

    • La clave debe tener una longitud de 1024 bits como mínimo.

    • El tipo de clave debe ser exchange.

    • El nombre de sujeto del certificado y el certificado raíz no deben estar vacíos.

    • Los servidores de revocación de las entidades de certificación asociadas están en línea y a ellos pueden tener acceso el servidor protegido y el servidor DPM.

    • El certificado debe tener una clave privada asociada.

    • DPM no admite certificados con claves CNG.

    • DPM no admite certificados autofirmados.

  • Cada equipo que desea proteger (incluidas las máquinas virtuales) debe tener su propio certificado.

Configuración de la protección

  1. Crear una plantilla de certificado de DPM

  2. Configurar un certificado en el servidor DPM.

  3. Instalar el agente

  4. Configurar un certificado en el equipo protegido

  5. Conectar el equipo

Crear una plantilla de certificado de DPM

Opcionalmente, puede configurar una plantilla de DPM para la inscripción web. Si desea hacerlo, seleccione una plantilla que tenga la autenticación de cliente y la autenticación de servidor como el propósito planteado. Por ejemplo:

  1. En el complemento MMC Plantillas de certificado, puede seleccionar la plantilla Servidor RAS e IAS. Haga clic en ella con el botón secundario y seleccione Plantilla duplicada.

  2. En Plantilla duplicada, deje la configuración predeterminada Windows Server 2003 Enterprise.

  3. En la pestaña General, modifique el nombre para mostrar de la plantilla por otro fácil de reconocer. Por ejemplo, Autenticación de DPM. Asegúrese de que la configuración Publicar certificado en Active Directory está habilitada.

  4. En la pestaña Tratamiento de la solicitud, asegúrese de que la opción Permitir que la clave privada se pueda exportar está habilitada.

  5. Después de haber creado la plantilla, habilítela para su uso. Abra el complemento de la entidad de certificación. Haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevay elija la Plantilla de certificado que se va a emitir. En Habilitar plantilla de certificado, seleccione la plantilla y haga clic en Aceptar. Ahora la plantilla estará disponible cuando obtenga un certificado.

Habilitar la inscripción o la inscripción automática

Si desea configurar la plantilla para la inscripción o la inscripción automática de manera opcional, haga clic en la pestaña Nombre de sujeto en las propiedades de plantilla. Al configurar la inscripción, la plantilla puede seleccionarse en MMC. Si configura la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.

  • Para la inscripción, en la pestaña Nombre de sujeto de las propiedades de plantilla, habilite Seleccionar compilación a partir de esta información de Active Directory. En Formato de nombre de sujeto, seleccione Nombre común y habilite Nombre DNS. A continuación, vaya a la pestaña Seguridad y asigne el permiso Inscribir a los usuarios autenticados.

  • Para la inscripción automática, vaya a la pestaña Seguridad y asigne el permiso Inscripción automática a los usuarios autenticados. Con esta opción habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.

  • Si ha configurado la inscripción, podrá solicitar un nuevo certificado en MMC basado en la plantilla. Para ello, en el equipo protegido, en Certificados - Equipo local > Personal, haga clic con el botón secundario en Certificados. Select Todas las tareas > Solicitar un nuevo certificado. En la página Seleccionar directiva de inscripción de certificados del asistente, seleccione Directiva de inscripción de Active Directory. En Solicitar certificados, verá la plantilla. Expanda Detalles y haga clic en Propiedades. Seleccione la pestaña General y proporcione un nombre descriptivo. Después de aplicar la configuración, debería recibir un mensaje para notificarle que el certificado se ha instalado correctamente.

Configurar un certificado en el servidor DPM

  1. Genere un certificado de una CA para el servidor DPM a través de la inscripción web o mediante algún otro método. En la inscripción web, seleccione certificado avanzado necesarioy Crear y enviar una solicitud a esta CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.

  2. El certificado se ha colocado en el almacén de usuario. Es necesario moverlo al almacén del equipo local.

  3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

  4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacény asegúrese de que aparece Personal .

  5. Después de la importación, defina las credenciales de DPM para usar el certificado; para ello, realice lo siguiente:

    1. Obtenga la huella digital del certificado. En el almacén de certificados, haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Haga clic en ella para seleccionarla y, a continuación, cópiela. Pegue la huella digital en el Bloc de notas y quite los espacios.

    2. Ejecute Set-DPMCredentials para configurar el servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type: indica el tipo de autenticación. Valor: certificado.

    • -Action: especifique si quiere ejecutar el comando por primera vez o volver a generar las credenciales. Valores posibles: regenerar o configurar.

    • -OutputFilePath: Ubicación del archivo de salida que se usa en Set-DPMServer en el equipo protegido.

    • –Thumbprint: copia del archivo de Bloc de notas.

    • -AuthCAThumbprint: huella digital de la CA en la cadena de confianza del certificado. Opcional. Si no se especifica, se usará la raíz.

  6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en dominios que no son de confianza. Asegúrese de que la carpeta C:\Temp existe antes de ejecutar el comando. Tenga en cuenta que si el archivo se pierde o se elimina, puede volver a crearlo; para ello, ejecute el script con la opción action regenerate.

  7. Recupere el archivo .bin y cópielo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin en el equipo que desea proteger. No tiene que hacer esto, pero, si no lo hace, necesitará especificar la ruta de acceso completa del archivo para el parámetro -DPMcredential cuando...

  8. Repita estos pasos en cada servidor DPM que protegerá un equipo en un grupo de trabajo o en un dominio que no es de confianza.

Instalar el agente

  1. En cada equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.

Configurar un certificado en el equipo protegido

  1. Genere un certificado de una CA para el equipo protegido a través de la inscripción web o mediante algún otro método. En la inscripción web, seleccione certificado avanzado necesarioy Crear y enviar una solicitud a esta CA. Asegúrese de que el tamaño de clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.

  2. El certificado se ha colocado en el almacén de usuario. Es necesario moverlo al almacén del equipo local.

  3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

  4. En Equipo local/Personal/Certificado, ejecute el Asistente para importación de certificados para que importe el archivo exportado desde la ubicación en que estaba guardado. Especifique la contraseña utilizada para exportarlo y asegúrese de que la opción Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacény asegúrese de que aparece Personal.

  5. Después de la importación, configure el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad, como se indica a continuación.

    1. Obtenga la huella digital del certificado. En el almacén de certificados, haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Haga clic en ella para seleccionarla y, a continuación, cópiela. Pegue la huella digital en el Bloc de notas y quite los espacios.

    2. Navegue hasta la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin. Y ejecute setdpmserver como sigue:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Donde ClientThumbprintWithNoSpaces se copia desde el archivo de Bloc de notas.

    3. Debe obtener la salida para confirmar que la configuración se ha completado correctamente.

  6. Recupere el archivo .bin y cópielo en el servidor DPM. Se recomienda que lo copie en la ubicación predeterminada en la que el proceso de adjuntar buscará el archivo (Windows\System32), por lo que solo tiene que especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Adjuntar.

Conectar el equipo

Puede conectar el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1, utilizando la sintaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName: nombre del servidor DPM

  • PSCredential: nombre del archivo .bin. Si lo ha colocado en la carpeta Windows\System32 puede especificar solo el nombre de archivo. Tenga la precaución de especificar el archivo .bin creado en el servidor protegido. Si se especifica el archivo .bin creado en el servidor DPM, quitará todos los equipos protegidos que están configurados para la autenticación basada en certificados.

Una vez finalizado el proceso de conexión, el equipo protegido debe aparecer en la consola de DPM.

Ejemplos

Ejemplo 1

Genera un archivo en c:\\CertMetaData\\ con el nombre CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Donde dpmserver.contoso.com es el nombre del servidor DPM y "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" es la huella digital del certificado del servidor DPM.

Ejemplo 2

Regenera un archivo de configuración perdido en la carpeta c:\CertMetaData.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate