Förbereda datorer i arbetsgrupper och ej betrodda domäner för säkerhetskopiering

  • Artikel
  • 11 minuter för att läsa

Viktigt

Den här versionen av Data Protection Manager (DPM) har nått slutet av supporten, vi rekommenderar att du uppgraderar till DPM 2019.

System Center Data Protection Manager (DPM) kan skydda datorer som finns i ej betrodda domäner eller arbetsgrupper. Du kan autentisera de här datorerna med ett lokalt användarkonto (NTLM-autentisering) eller med certifikat. För båda typerna av autentisering måste du förbereda infrastrukturen innan du kan konfigurera en skyddsgrupp som innehåller de källor som du vill säkerhetskopiera.

  1. Installera ett certifikat – Om du vill använda certifikatautentisering installerar du ett certifikat på DPM-servern och på den dator som du vill skydda.

  2. Installera agenten – Installera agenten på den dator som du vill skydda.

  3. Identifiera DPM-servern – Konfigurera datorn för att identifiera DPM-servern för säkerhetskopieringar. Det gör du genom att köra kommandot SetDPMServer.

  4. Koppla datorn – Slutligen måste du koppla den skyddade datorn till DPM-servern.

Innan du börjar

Innan du börjar kontrollerar du vilka skyddsscenarier som stöds och de nätverksinställningar som krävs.

Scenarier som stöds

Typ av arbetsbelastning Skyddat servertillstånd och -stöd
Filer Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster.
Systemtillstånd Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Endast NTLM-autentisering
SQL Server Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Spegling stöds inte.

NTLM- och certifikatautentisering för en enskild server. Certifikatautentisering endast för kluster.
Hyper-V-server Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

NTLM och certifikatautentisering
Hyper-V kluster Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds (endast certifikatautentisering)
Exchange Server Arbetsgrupp: Inte tillämpligt

Ej betrodd domän: Stöds endast för en enskild server. Kluster stöds inte. CCR, SCR, DAG stöds inte. LCR stöds.

Endast NTLM-autentisering
Sekundär DPM-server (för säkerhetskopiering av den primära DPM-servern)

Observera: Både primära och sekundära DPM-servrar måste vara på samma eller två sätt skog transitiva betrodd domän.		 Arbetsgrupp: Stöds

Ej betrodd domän: Stöds

Endast certifikatautentisering
SharePoint Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
Klientdatorer: Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
BMR (Bare Metal Recovery) Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte
Slutanvändaråterställning Arbetsgrupp: Stöds inte

Ej betrodd domän: Stöds inte

Nätverksinställningar

Inställningar Dator i arbetsgrupp eller ej betrodd domän
Kontrolldata Protokoll: DCOM

Standardport: 135

Autentisering: NTLM/certifikat
Filöverföring Protokoll: Winsock

Standardport: 5718 och 5719

Autentisering: NTLM/certifikat
DPM-kontokrav Lokalt konto utan administratörsrättigheter på DPM-servern. Använder NTLM v2-kommunikation
Certifikatkrav
Agentinstallation Agent installeras på skyddad dator
Perimeternätverk Perimeternätverksskydd stöds inte.
IPSEC Kontrollera att IPSEC inte blockerar kommunikation.

Säkerhetskopiera med NTLM-autentisering

Det här behöver du göra:

  1. Installera agenten – Installera agenten på den dator som du vill skydda.

  2. Konfigurera agenten – Konfigurera datorn så att den identifierar DPM-servern för att utföra säkerhetskopieringar. Det gör du genom att köra kommandot SetDPMServer.

  3. Koppla datorn – Slutligen måste du koppla den skyddade datorn till DPM-servern.

Installera och konfigurera agenten

  1. Kör DPMAgentInstaller_X64.exe från DPM-installationsskivan för att installera agenten på den dator som du vill skydda.

  2. Konfigurera agenten genom att köra SetDpmServer på följande sätt:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Ange följande parametrar:

    • -DpmServerName – ange namnet på DPM-servern. Använd antingen ett fullständigt domännamn om servern och datorn är tillgängliga för varandra med hjälp av FQDN eller ett NetBIOS-namn.

    • -IsNonDomainServer – använd detta för att ange att servern är i en arbetsgrupp eller en ej betrodd domän i förhållande till den dator som du vill skydda. Brandväggsundantag skapas för portar som krävs.

    • -UserName – ange namnet på det konto som du vill använda för NTLM-autentisering. Om du vill använda det här alternativet bör flaggan -isNonDomainServer vara angiven. Ett lokalt användarkonto skapas och DPM-skyddsagenten konfigureras för att använda det här kontot för autentisering.

    • -ProductionServerDnsSuffix – använd den här växeln om servern har flera konfigurerade DNS-suffix. Den här växeln representerar det DNS-suffix som servern använder för att ansluta till datorn som du skyddar.

  4. Öppna DPM-konsolen när kommandot har slutförts.

Uppdatera lösenordet

Om du vill uppdatera lösenordet för NTLM-autentiseringsuppgifter kör du följande på den skyddade datorn:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Du måste använda samma namngivningskonvention (FQDN eller NETBIOS) som du använde när du konfigurerade skyddet. På DPM-servern måste du köra cmdlet Update -NonDomainServerInfo PowerShell. Sedan måste du uppdatera agentinformationen för den skyddade datorn.

NetBIOS-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-exempel: Skyddad dator: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Bifoga datorn

  1. Kör installationsguiden för skyddsagent i DPM-konsolen.

  2. I Välj agentdistributionsmetod väljer du Bifoga agenter.

  3. Ange datornamn, användarnamn och lösenord för datorn som du vill bifoga. Dessa ska vara de autentiseringsuppgifter du angav när du installerade agenten.

  4. På sidan Sammanfattning klickar du på Bifoga.

Du kan välja att köra kommandot Windows PowerShell Attach-NonDomainServer.ps1 i stället för att köra guiden. Det gör du genom att ta en titt på exemplet i nästa avsnitt.

Exempel

Exempel 1

Exempel för att konfigurera en arbetsgruppsdator efter att agenten har installerats:

  1. Kör SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark på datorn.

  2. På DPM-servern kör du Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Eftersom arbetsgruppsdatorer normalt endast är tillgängliga via NetBIOS-namn måste värdet för DPMServerName vara NetBIOS-namnet.

Exempel 2

Exempel för att konfigurera en arbetsgruppsdator med motstridiga NetBIOS-namn efter att agenten har installerats.

  1. Kör SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com på arbetsgruppsdatorn.

  2. På DPM-servern kör du Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Säkerhetskopiera med certifikatautentisering

Så här konfigurerar du skydd med certifikatautentisering.

  • Varje dator som du vill skydda måste ha minst .NET Framework 3.5 med SP1 installerat.

  • Certifikatet som du använder för autentisering måste uppfylla följande:

    • X.509 V3-certifikat

    • Förbättrad nyckelanvändning (EKU) ska ha klientautentisering och serverautentisering.

    • Nyckellängden ska vara minst 1024 bitar.

    • Nyckeltypen ska vara exchange.

    • Ämnesnamnet för certifikatet och rotcertifikatet får inte vara tomt.

    • Återkallningsservrarna för de associerade certifikatutfärdarna ska vara online och tillgängliga för både den skyddade servern och DPM-servern

    • Certifikatet ska ha en tillhörande privat nyckel

    • DPM har inte stöd certifikat med CNG-nycklar

    • DPM har inte stöd för självsignerade certifikat.

  • Varje dator som du vill skydda (inklusive virtuella datorer) måste ha ett eget certifikat.

Konfigurera skydd

  1. Skapa en DPM-certifikatmall

  2. Konfigurera ett certifikat på DPM-servern.

  3. Installera agenten

  4. Konfigurera ett certifikat på den skyddade datorn

  5. Koppla datorn

Skapa en DPM-certifikatmall

Om du vill kan du konfigurera en DPM-mall för webbregistrering. Det gör du genom att välja en mall som har klientautentisering och serverautentisering som avsett syfte. Exempel:

  1. I MMC-snapin-modulen Certifikatmallar kan du välja mallen Fjärråtkomstserver (RAS) och IAS Server. Högerklicka på mallen och välj Duplicera mall.

  2. I Duplicera mall lämnar du standardinställningen Windows Server 2003 Enterprise.

  3. På fliken Allmänt ändrar du visningsnamnet för mallen till något som är lätt att känna igen. Till exempel DPM-autentisering. Se till att inställningen Publicera certifikatet i Active Directory är aktiverad.

  4. På fliken Hantering av begäranden kontrollerar du att Tillåt att den privata nyckeln exporteras är aktiverat.

  5. När du har skapat mallen gör du den tillgänglig för användning. Öppna snapin-modulen Certifikatutfärdare. Högerklicka på Certifikatmallar, välj Ny och sedan Certifikatmall som ska utfärdas. I Aktivera certifikatmallar markerar du mallen och klickar på OK. Nu blir mallen tillgänglig när du har fått ett certifikat.

Aktivera registrering eller automatisk registrering

Om du vill kan du konfigurera mallen för registrering eller automatisk registrering genom att klicka på fliken Ämnesnamn i mallens egenskaper. När du konfigurerar registreringen kan du välja mallen i MMC. Om du konfigurerar automatisk registrering tilldelas alla datorer i domänen certifikatet automatiskt.

  • För registrering aktiverar du Skapa utifrån följande Active Directory-information på fliken Ämnesnamn i mallens egenskaper. I Ämnesnamnets format väljer du Nätverksnamn och aktiverar DNS-namn. Gå till fliken Säkerhet och tilldela autentiserade användare behörigheten Registrera.

  • För automatisk registrering går du fliken Säkerhet och tilldelar autentiserade användare behörigheten Registrera automatiskt. Genom att aktivera den här inställningen blir alla datorer i domänen tilldelade certifikatet automatiskt.

  • Om du har konfigurerat registrering kan du begära ett nytt certifikat i MMC baserat på mallen. Det gör du genom att högerklicka på Certifikat på den skyddade datorn i Certifikat (lokal dator)>Personligt. Välj Alla aktiviteter>Begär nytt certifikat. På sidan Välj princip för certifikatregistrering i guiden väljer du Registreringsprincip för Active Directory. Du ser mallen i Begära certifikat. Expandera Information och klicka på Egenskaper. Välj fliken Allmänt och ange ett eget namn. När du har tillämpat inställningarna bör du få ett meddelande om att certifikatet har installerats.

Konfigurera ett certifikat på DPM-servern

  1. Generera ett certifikat från en certifikatutfärdare för DPM-servern, via webbregistrering eller någon annan metod. I webbregistreringen väljer du Avancerad certifikatbegäran och Skapa och skicka en begäran till denna certifikatutfärdare. Se till att nyckelstorleken är 1024 eller större och att Markera nyckeln som exporteringsbar är markerat.

  2. Certifikatet placeras i användararkivet. Det måste flyttas till datorarkivet.

  3. Det gör du genom att exportera certifikatet från användararkivet. Kontrollera att du exporterar det med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.

  4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från platsen där du sparade den. Ange lösenordet som du använde för att exportera filen och se till att Markera den här nyckeln som exporteringsbar är markerat. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i nedanstående arkiv vara kvar och ser till att Personligt visas.

  5. Efter importen anger du DPM-autentiseringsuppgifterna som ska använda certifikatet. Gör så här:

    1. Hämta tumavtrycket för certifikatet. I arkivet Certifikat dubbelklickar du på certifikatet. Välj fliken Information och bläddra ned till tumavtrycket. Klicka på det, sedan markerar och kopiera du det. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.

    2. Kör Set DPMCredentials för att konfigurera DPM-servern:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type – Anger autentiseringstypen. Värde: certificate.

    • -Action – Ange om du vill att utföra kommandot för första gången eller återskapa autentiseringsuppgifterna. Möjliga värden: regenerate eller configure.

    • -OutputFilePath – Platsen för utdatafilen som används i Set-DPMServer på den skyddade datorn.

    • -Thumbprint – Kopiera från anteckningsfilen.

    • -AuthCAThumbprint – Tumavtrycket från certifikatutfärdaren i certifikatkedjan för certifikatet. Valfritt. Om detta inte anges kommer Root att användas.

  6. Detta genererar en metadatafil (.bin) som krävs vid tidpunkten för varje agentinstallation i en obetrodd domän. Kontrollera att mappen C:\Temp finns innan du kör kommandot. Observera att om filen förloras eller tas bort kan du återskapa den genom att köra skriptet med alternativet -action regenerate.

  7. Hämta .bin-filen och kopiera den till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin på datorn som du vill skydda. Du behöver inte göra detta, men om du inte gör det måste du ange den fullständiga sökvägen till filen för parametern -DPMcredential när du

  8. Upprepa stegen på varje DPM-server som skyddar en dator i en arbetsgrupp eller en ej betrodd domän.

Installera agenten

  1. Kör DPMAgentInstaller_X64.exe från installations-CD:n för DPM och installera agenten på varje dator som du vill skydda.

Konfigurera ett certifikat på den skyddade datorn

  1. Generera ett certifikat från en certifikatutfärdare för den skyddade datorn, antingen via webbregistrering eller någon annan metod. I webbregistreringen väljer du Avancerad certifikatbegäran och Skapa och skicka en begäran till denna certifikatutfärdare. Se till att nyckelstorleken är 1024 eller större och att Markera nyckeln som exporteringsbar är markerat.

  2. Certifikatet placeras i användararkivet. Det måste flyttas till datorarkivet.

  3. Det gör du genom att exportera certifikatet från användararkivet. Kontrollera att du exporterar det med den privata nyckeln. Du kan exportera det i standardformatet .pfx. Ange ett lösenord för exporten.

  4. I Lokal dator\Personligt\Certifikat kör du guiden Importera certifikat för att importera den exporterade filen från platsen där du sparade den. Ange lösenordet som du använde för att exportera filen och se till att Markera den här nyckeln som exporteringsbar är markerat. På sidan Certifikatarkiv låter du standardinställningen Placera alla certifikat i nedanstående arkiv vara kvar och ser till att Personligt visas.

  5. Efter importen konfigurerar du datorn att identifiera DPM-servern som behörig för att utföra säkerhetskopieringar. Gör så här:

    1. Hämta tumavtrycket för certifikatet. I arkivet Certifikat dubbelklickar du på certifikatet. Välj fliken Information och bläddra ned till tumavtrycket. Klicka på det, sedan markerar och kopiera du det. Klistra in tumavtrycket i Anteckningar och ta bort alla blanksteg.

    2. Navigera till mappen C:\Program\Microsoft Data Protection Manager\DPM\bin. Och kör setdpmserver enligt följande:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Där ClientThumbprintWithNoSpaces kopieras från anteckningsfilen.

    3. Du bör få ett resultat som bekräftar att konfigurationen har slutförts.

  6. Hämta .bin-filen och kopiera den till DPM-servern. Vi rekommenderar att du kopierar den till standardplatsen där anslutningsprocessen kollar efter filen (Windows\System32) så att du bara behöver ange filnamnet i stället för den fullständiga sökvägen när du kör Attach-kommandot.

Bifoga datorn

Du ansluter datorn till DPM-servern genom att använda PowerShell-skriptet Attach-ProductionServerWithCertificate.ps1 med följande syntax.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – Namnet på DPM-servern

  • PSCredential – Namnet på .bin-filen. Om du placerade den i mappen Windows\System32 behöver du bara ange filnamnet. Var noga med att ange den .bin-fil som skapats på den skyddade servern. Om du anger .bin-filen som skapades på DPM-servern tar du bort alla skyddade datorer som har konfigurerats för certifikatbaserad autentisering.

När anslutningsprocessen är färdig ska den skyddade datorn visas i DPM-konsolen.

Exempel

Exempel 1

Genererar en fil i c:\\CertMetaData\\ med namnet CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Där dpmserver.contoso.com är namnet på DPM-servern och ”cf822d9ba1c801ef40d4b31de0cfcb200a8a2496” är tumavtrycket för DPM-servercertifikatet.

Exempel 2

Genererar en förlorad konfigurationsfil på nytt i mappen c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Växla mellan NTLM- och certifikatautentisering

Anteckning

  • Följande klustrade arbetsbelastningar stöder endast certifikatautentisering när de distribueras i en obetrodd domän:
    • Klustrad filserver
    • Klustrad SQL-server
    • Hyper-V kluster
  • Om DPM-agenten för närvarande är konfigurerad att använda NTLM i ett kluster eller ursprungligen konfigurerades att använda NTLM men senare bytte till certifikatautentisering utan att först ta bort DPM-agenten, visar uppräkning av klustret inte några resurser att skydda.

Om du vill växla från NTLM-autentisering till certifikatautentisering använder du följande steg för att konfigurera om DPM-agenten:

  1. På DPM-servern tar du bort alla noder i klustret med hjälp av Remove-ProductionServer.ps1 PowerShell-skriptet.
  2. Avinstallera DPM-agenten på alla noder och ta bort agentmappen från C:\Program Files\Microsoft Data Protection Manager.
  3. Följ stegen i säkerhetskopieringen med certifikatautentisering.
  4. När agenterna har distribuerats och konfigurerats för certifikatautentisering kontrollerar du att agentuppdateringen fungerar och att den visar (ej betrodda – certifikat) för var och en av noderna.
  5. Uppdatera noderna/klustret för att hämta en lista över datakällor som ska skyddas. Försök att skydda de klustrade resurserna igen.
  6. Lägg till arbetsbelastningen för att skydda och slutför guiden Skyddsgrupp.