Preparar las máquinas de grupos de trabajo y dominios que no son de confianza para copia de seguridad

  • Artículo

Importante

Esta versión de Data Protection Manager (DPM) ha llegado al final del soporte técnico. Se recomienda actualizar a DPM 2022.

System Center Data Protection Manager (DPM) puede proteger los equipos que están en grupos de trabajo o dominios que no son de confianza. Puede autenticar estos equipos mediante una cuenta de usuario local (autenticación NTLM) o mediante certificados. Con ambos tipos de autenticación, deberá preparar la infraestructura antes de configurar un grupo de protección que contenga los orígenes de los que quiera hacer copia de seguridad.

  1. Instalar un certificado : si desea usar la autenticación de certificados, instale un certificado en el servidor DPM y en el equipo que desea proteger.

  2. Instale el agente : instale el agente en el equipo que desea proteger.

  3. Reconocer el servidor DPM : configure el equipo para que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecute el comando SetDPMServer.

  4. Adjuntar el equipo : por último, deberá conectar el equipo protegido al servidor DPM.

Antes de comenzar

Antes de empezar, compruebe los escenarios de protección admitidos y la configuración de red necesaria.

Escenarios admitidos

Tipo de carga de trabajo Estado y soporte del servidor protegido
Archivos Grupo de trabajo: Compatible.

Dominio que no es de confianza: compatible

Autenticación NTLM y de certificado para un único servidor. Autenticación de certificado solo para el clúster.
Estado del sistema Grupo de trabajo: Compatible.

Dominio que no es de confianza: compatible

Solo autenticación NTLM
SQL Server Grupo de trabajo: Compatible.

Dominio que no es de confianza: compatible

Creación de reflejo no admitida.

Autenticación NTLM y de certificado para un único servidor. Autenticación de certificado solo para el clúster.
Servidor de Hyper-V Grupo de trabajo: Compatible.

Dominio que no es de confianza: compatible

Autenticación NTLM y de certificado
Clúster Hyper-V Grupo de trabajo: No compatible

Dominio que no es de confianza: compatible (solo autenticación de certificado)
Exchange Server Grupo de trabajo: No aplicable

Dominio que no es de confianza: solo se admite para un solo servidor. Clúster no compatible. CCR, SCR y DAG no compatibles. LCR compatible.

Solo autenticación NTLM
Servidor DPM secundario (para la copia de seguridad del servidor DPM principal)

Tenga en cuenta que los servidores DPM principal y secundario están en el mismo dominio de confianza transitivo del bosque o bidireccional.		 Grupo de trabajo: Compatible.

Dominio que no es de confianza: compatible

Solo autenticación de certificado
SharePoint Grupo de trabajo: No compatible

Dominio que no es de confianza: no compatible
Equipos cliente Grupo de trabajo: No compatible

Dominio que no es de confianza: no compatible
Reconstrucción completa (BMR) Grupo de trabajo: No compatible

Dominio que no es de confianza: no compatible
End-user recovery Grupo de trabajo: No compatible

Dominio que no es de confianza: no compatible

Configuración de red

Configuración Equipo en grupo de trabajo o dominio que no es de confianza
datos de control Protocolo: DCOM

Puerto predeterminado: 135

Autenticación: NTLM/certificado
Transferencia de archivos Protocolo: WinSock

Puerto predeterminado: 5718 y 5719

Autenticación: NTLM/certificado
Requisitos de la cuenta DPM Cuenta local sin derechos de administrador en el servidor DPM. Utiliza la comunicación de NTLM v2
Requisitos de certificados
Instalación del agente Agente instalado en el equipo protegido
Red perimetral Protección de red perimetral no admitida.
IPSEC Asegúrese de que IPSEC no bloquea las comunicaciones.

Copia de seguridad mediante la autenticación NTLM

Esto es lo que hay que hacer:

  1. Instalar el agente: instale el agente en el equipo que quiere proteger.

  2. Configurar el agente: configure el equipo de modo que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecute el comando SetDPMServer.

  3. Adjuntar el equipo: por último, deberá conectar el equipo protegido al servidor DPM.

Instalar y configurar el agente

  1. En el equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.

  2. Configure el agente mediante la ejecución de SetDpmServer como sigue:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Especifique los parámetros de la siguiente manera:

    • -DpmServerName : especifique el nombre del servidor DPM. Use un FQDN si el servidor y el equipo son accesibles entre sí mediante FQDN o un nombre NETBIOS.

    • -IsNonDomainServer : use para indicar que el servidor está en un grupo de trabajo o en un dominio que no es de confianza en relación con el equipo que desea proteger. Las excepciones del firewall se crean para los puertos requeridos.

    • -UserName : especifique el nombre de la cuenta que desea usar para la autenticación NTLM. Para usar esta opción, debe tener la marca -isNonDomainServer especificada. Se creará una cuenta de usuario local y el agente de protección DPM estará configurado para usar esta cuenta en la autenticación.

    • -ProductionServerDnsSuffix : use este modificador si el servidor tiene varios sufijos DNS configurados. Este parámetro representa el sufijo DNS que el servidor usa para conectarse al equipo que va a proteger.

  4. Cuando el comando se complete correctamente, abra la consola DPM.

Actualizar la contraseña

Si desea actualizar la contraseña de las credenciales NTLM en cualquier momento, ejecute lo siguiente en el equipo protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Deberá usar la misma convención de nomenclatura (FQDN o NETBIOS) que usó al configurar la protección. En el servidor DPM, deberá ejecutar el cmdlet Update -NonDomainServerInfo de PowerShell. Después, necesitará actualizar la información del agente para el equipo protegido.

Ejemplo de NetBIOS: Equipo protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Ejemplo FQDN: Equipo protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Conectar el equipo

  1. En la consola de DPM, ejecute el Asistente para la instalación de agentes de protección.

  2. En Seleccionar el método de implementación del agente, seleccione Adjuntar agentes.

  3. Escriba el nombre de equipo, el nombre de usuario y la contraseña del equipo al que desea asociar. Deben ser las credenciales que especificó al instalar el agente.

  4. Revise la página Resumen y seleccione Adjuntar.

Opcionalmente, puede ejecutar el comando de Windows PowerShell Attach-NonDomainServer.ps1 en lugar de ejecutar al asistente. Para hacer esto, eche un vistazo al ejemplo en la sección siguiente.

Ejemplos

Ejemplo 1

Ejemplo para configurar un equipo de grupo de trabajo después de instalar el agente:

  1. En el equipo, ejecute SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Dado que a los equipos del grupo de trabajo normalmente solo se puede tener acceso con el nombre NetBIOS, el valor de DPMServerName debe ser el nombre NetBIOS.

Ejemplo 2

Ejemplo para configurar un equipo de grupo de trabajo con los nombres NetBIOS en conflicto después de instalar el agente.

  1. En el equipo del grupo de trabajo, ejecute SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. En el servidor DPM, ejecute Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Copia de seguridad mediante autenticación de certificados

A continuación se explica cómo configurar la protección con autenticación de certificados.

  • Cada equipo que desea proteger debe tener al menos .NET Framework 3.5 con Service Pack 1 instalado.

  • El certificado que se usa para la autenticación debe cumplir las siguientes condiciones:

    • Certificado X.509 V3.

    • El uso mejorado de clave (EKU) debe tener la autenticación de cliente y la autenticación de servidor.

    • La clave debe tener una longitud de 1024 bits como mínimo.

    • El tipo de clave debe ser exchange.

    • El nombre del firmante del certificado y el certificado raíz no deben estar vacíos.

    • Los servidores de revocación de las entidades de certificación asociadas están en línea y a ellos pueden tener acceso el servidor protegido y el servidor DPM.

    • El certificado debe tener una clave privada asociada.

    • DPM no admite certificados con claves CNG.

    • DPM no admite certificados autofirmados.

  • Cada equipo que desea proteger (incluidas las máquinas virtuales) debe tener su propio certificado.

Configuración de la protección

  1. Crear una plantilla de certificado de DPM

  2. Configuración de un certificado en el servidor DPM

  3. Instalación del agente

  4. Configurar un certificado en el equipo protegido

  5. Conectar el equipo

Crear una plantilla de certificado de DPM

Opcionalmente, puede configurar una plantilla de DPM para la inscripción web. Si desea hacerlo, seleccione una plantilla que tenga la autenticación de cliente y la autenticación de servidor como el propósito planteado. Por ejemplo:

  1. En el complemento MMC Plantillas de certificado, puede seleccionar la plantilla SERVIDOR RAS e IAS . Haga clic en ella con el botón secundario y seleccione Plantilla duplicada.

  2. En Plantilla duplicada, deje la configuración predeterminada Windows Server 2003 Enterprise.

  3. En la pestaña General, modifique el nombre para mostrar de la plantilla por otro fácil de reconocer. Por ejemplo, autenticación DPM. Asegúrese de que la configuración Publicar certificado en Active Directory está habilitada.

  4. En la pestaña Control de solicitudes, asegúrese de que La opción Permitir que se exporte la clave privada esté habilitada.

  5. Después de crear la plantilla, haga que esté disponible para su uso. Abra el complemento de la entidad de certificación. Haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevay elija la Plantilla de certificado que se va a emitir. En Habilitar plantilla de certificado, seleccione la plantilla y seleccione Aceptar. Ahora la plantilla estará disponible cuando obtenga un certificado.

Habilitar la inscripción o la inscripción automática

Si desea configurar opcionalmente la plantilla para la inscripción o la inscripción automática, seleccione la pestaña Nombre del firmante en las propiedades de la plantilla. Al configurar la inscripción, la plantilla se puede seleccionar en MMC. Si configura la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.

  • Para la inscripción, en la pestaña Nombre de sujeto de las propiedades de plantilla, habilite Seleccionar compilación a partir de esta información de Active Directory. En Formato de nombre del firmante, seleccione Nombre común y habilite el nombre DNS. A continuación, vaya a la pestaña Seguridad y asigne el permiso Inscribir a los usuarios autenticados.

  • Para la inscripción automática, vaya a la pestaña Seguridad y asigne el permiso Inscripción automática a los usuarios autenticados. Con esta configuración habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.

  • Si ha configurado la inscripción, podrá solicitar un nuevo certificado en MMC en función de la plantilla. Para ello, en el equipo protegido, en Certificados - Equipo localPersonal, haga clic con el botón secundario en Certificados. Select Todas las tareasSolicitar un nuevo certificado. En la página Seleccionar directiva de inscripción de certificados del asistente, seleccione Directiva de inscripción de Active Directory. En Solicitar certificados, verá la plantilla. Expanda Detalles y seleccione Propiedades. Seleccione la pestaña General y proporcione un nombre descriptivo. Después de aplicar la configuración, debe recibir un mensaje de que el certificado se instaló correctamente.

Configurar un certificado en el servidor DPM

  1. Genere un certificado a partir de una entidad de certificación para el servidor DPM a través de la inscripción web o algún otro método. En la inscripción web, seleccione certificado avanzado necesario y Crear y enviar una solicitud a esta ENTIDAD de certificación. Asegúrese de que el tamaño de la clave sea 1024 o superior y que la opción Marcar clave como exportable esté seleccionada.

  2. El certificado se ha colocado en el almacén de usuario. Debe moverlo al almacén equipo local.

  3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

  4. En Equipo local\Personal\Certificado, ejecute el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifique la contraseña que usó para exportarla y asegúrese de que seleccione Marcar esta clave como exportable . En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrese de que Se muestra Personal .

  5. Después de la importación, establezca las credenciales de DPM para usar el certificado de la siguiente manera:

    1. Obtenga la huella digital del certificado. En el almacén de certificados , haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Selecciónelo y, a continuación, resalte y cópielo. Pegue la huella digital en el Bloc de notas y quite los espacios.

    2. Ejecute Set-DPMCredentials para configurar el servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type : indica el tipo de autenticación. Valor: certificado.

    • -Action : especifique si desea realizar el comando por primera vez o regenerar las credenciales. Valores posibles: regenerar o configurar.

    • -OutputFilePath : ubicación del archivo de salida usado en Set-DPMServer en el equipo protegido.

    • -Huella digital : copie desde el archivo del Bloc de notas.

    • -AuthCAThumbprint : huella digital de la entidad de certificación en la cadena de confianza del certificado. Opcional. Si no se especifica, se usará la raíz.

  6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en dominios que no son de confianza. Asegúrese de que la carpeta C:\Temp existe antes de ejecutar el comando.

    Nota

    Si el archivo se pierde o elimina, puede volver a crearlo ejecutando el script con la opción -action regenerar .

  7. Recupere el archivo .bin y cópielo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin en el equipo que desea proteger. No tiene que hacer esto, pero, si no lo hace, necesitará especificar la ruta de acceso completa del archivo para el parámetro -DPMcredential cuando...

  8. Repita estos pasos en cada servidor DPM que protegerá un equipo en un grupo de trabajo o en un dominio que no es de confianza.

Instalación del agente

  1. En cada equipo que desea proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar al agente.

Configurar un certificado en el equipo protegido

  1. Genere un certificado de una CA para el equipo protegido a través de la inscripción web o mediante algún otro método. En la inscripción web, seleccione certificado avanzado necesario y Crear y enviar una solicitud a esta ENTIDAD de certificación. Asegúrese de que el tamaño de la clave es 1024 o superior y que la opción Marcar clave como exportable está seleccionada.

  2. El certificado se ha colocado en el almacén de usuario. Debe moverlo al almacén equipo local.

  3. Para ello, exporte el certificado del almacén de usuario. Asegúrese de exportarlo con la clave privada. Puede exportarlo en el formato .pfx predeterminado. Especifique una contraseña para la exportación.

  4. En Equipo local\Personal\Certificado, ejecute el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifique la contraseña que usó para exportarla y asegúrese de que está seleccionada la opción Marcar esta clave como exportable . En la página Almacén de certificados, deje la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrese de que se muestra Personal .

  5. Después de la importación, configure el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad de la siguiente manera:

    1. Obtenga la huella digital del certificado. En el almacén certificados , haga doble clic en el certificado. Seleccione la pestaña Detalles y desplácese hacia abajo hasta la huella digital. Selecciónelo y resalte y cópielo. Pegue la huella digital en el Bloc de notas y quite los espacios.

    2. Vaya a la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecute setdpmserver de la siguiente manera:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Donde ClientThumbprintWithNoSpaces se copia desde el archivo de Bloc de notas.

    3. Debe obtener la salida para confirmar que la configuración se completó correctamente.

  6. Recupere el archivo .bin y cópielo en el servidor DPM. Se recomienda copiarlo en la ubicación predeterminada en la que el proceso Adjuntar buscará el archivo (Windows\System32) para que pueda especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Attach.

Conectar el equipo

Puede conectar el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1, utilizando la sintaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName: nombre del servidor DPM

  • PSCredential: nombre del archivo .bin. Si lo colocaste en la carpeta Windows\System32, solo puedes especificar el nombre de archivo. Asegúrese de especificar el archivo .bin creado en el servidor protegido. Si especifica el archivo .bin creado en el servidor DPM, quitará todos los equipos protegidos configurados para la autenticación basada en certificados.

Una vez completado el proceso de asociación, el equipo protegido debe aparecer en la consola DPM.

Ejemplos

Ejemplo 1

Genera un archivo en c:\\CertMetaData\\ con el nombre CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Donde dpmserver.contoso.com es el nombre del servidor DPM y "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" es la huella digital del certificado de servidor DPM.

Ejemplo 2

Regenera un archivo de configuración perdido en la carpeta c:\CertMetaData\.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Cambio entre la autenticación NTLM y de certificados

Nota

  • Las siguientes cargas de trabajo en clúster solo admiten la autenticación de certificados cuando se implementan en un dominio que no es de confianza:
    • Servidor de archivos en clúster
    • Servidor SQL Server en clúster
    • Clúster Hyper-V
  • Si el agente DPM está configurado actualmente para usar NTLM en un clúster o se configuró originalmente para usar NTLM, pero posteriormente cambió a Autenticación de certificados sin quitar primero el agente DPM, la enumeración del clúster no mostrará ningún recurso para proteger.

Para cambiar de la autenticación NTLM a la autenticación de certificados, siga estos pasos para volver a configurar el agente DPM:

  1. En el servidor DPM, quite todos los nodos del clúster mediante el script de PowerShellRemove-ProductionServer.ps1 .
  2. Desinstale el agente DPM en todos los nodos y elimine la carpeta del agente de C:\Archivos de programa\Microsoft Data Protection Manager.
  3. Siga los pasos descritos en Copia de seguridad mediante autenticación de certificados.
  4. Una vez implementados y configurados los agentes para la autenticación de certificados, compruebe que la actualización del agente funciona y que se muestra correctamente (certificados que no son de confianza) para cada uno de los nodos.
  5. Actualice los nodos o clústeres para obtener una lista de orígenes de datos que se van a proteger; vuelva a intentar proteger los recursos en clúster.
  6. Agregue la carga de trabajo para proteger y finalice el Asistente para grupo de protección.