Share via

准备工作组中和不受信任的域中的计算机以进行备份

  • 项目

重要

此版本的 Data Protection Manager (DPM) 已终止支持。 建议 升级到 DPM 2022

System Center Data Protection Manager (DPM) 可以保护位于不受信任的域或工作组中的计算机。 可以使用本地用户帐户 (NTLM 身份验证) 或使用证书对这些计算机进行身份验证。 对于这两种身份验证,需要先准备基础结构,才能设置包含想要备份的源的保护组。

  1. 安装证书 - 如果要使用证书身份验证,请在 DPM 服务器和要保护的计算机上安装证书。

  2. 安装代理 - 在要保护的计算机上安装代理。

  3. 识别 DPM 服务器 - 配置计算机以识别用于执行备份的 DPM 服务器。 若要执行此操作,需要运行 SetDPMServer 命令。

  4. 附加计算机 - 最后,需要将受保护的计算机附加到 DPM 服务器。

开始之前

在开始之前,请查看支持的保护方案以及所需的网络设置。

支持的方案

工作负荷类型 受保护的服务器状态和支持
文件 工作组:支持

不受信任的域:支持

单个服务器的 NTLM 和证书身份验证。 仅针对群集的证书身份验证。
系统状态 工作组:支持

不受信任的域:支持

仅 NTLM 身份验证
SQL Server 工作组:支持

不受信任的域:支持

不支持镜像。

单个服务器的 NTLM 和证书身份验证。 仅针对群集的证书身份验证。
Hyper-V Server 工作组:支持

不受信任的域:支持

NTLM 和证书身份验证
Hyper-V 群集 工作组:不支持

不受信任的域:仅支持 (证书身份验证)
Exchange Server 工作组:不适用

不受信任的域:仅支持单个服务器。 不支持群集。 不支持 CCR、SCR、DAG。 支持 LCR。

仅 NTLM 身份验证
辅助 DPM 服务器(用于备份主 DPM 服务器)

请注意,主 DPM 服务器和辅助 DPM 服务器位于同一个或双向林可传递的受信任域中。		 工作组:支持

不受信任的域:支持

仅证书身份验证
SharePoint 工作组:不支持

不受信任的域:不支持
客户端计算机 工作组:不支持

不受信任的域:不支持
裸机恢复 (BMR) 工作组:不支持

不受信任的域:不支持
End-user recovery 工作组:不支持

不受信任的域:不支持

网络设置

设置 工作组或不受信任的域中的计算机
控制数据 协议:DCOM

默认端口:135

身份验证:NTLM/证书
文件传输 协议:Winsock

默认端口:5718 和 5719

身份验证:NTLM/证书
DPM 帐户要求 本地帐户,无需 DPM 服务器上的管理员权限。 使用 NTLM v2 通信
证书要求
代理安装 已在受保护的计算机上安装代理
外围网络 不支持外围网络保护。
IPSEC 确保 IPSEC 不会阻止通信。

使用 NTLM 身份验证进行备份

下面是需要执行的操作:

  1. 安装代理 - 在要保护的计算机上安装代理。

  2. 配置代理 - 配置计算机以识别 DPM 服务器,从而执行备份。 若要执行此操作,需要运行 SetDPMServer 命令。

  3. 附加计算机 - 最后,需要将受保护的计算机附加到 DPM 服务器。

安装并配置代理

  1. 在要保护的计算机上,从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。

  2. 通过运行 SetDpmServer 来配置代理,如下所示:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. 指定参数,如下所示:

    • -DpmServerName - 指定 DPM 服务器的名称。 如果服务器和计算机可以使用 FQDN 或 NETBIOS 名称相互访问,请使用 FQDN。

    • -IsNonDomainServer - 用于指示服务器位于与要保护的计算机相关的工作组或不受信任的域中。 为所需的端口创建防火墙例外。

    • -UserName - 指定要用于 NTLM 身份验证的帐户的名称。 若要使用此选项,应指定 -isNonDomainServer 标志。 将创建一个本地用户帐户,并将 DPM 保护代理配置为使用此帐户进行身份验证。

    • -ProductionServerDnsSuffix - 如果服务器配置了多个 DNS 后缀,请使用此开关。 此开关表示服务器用来连接到要保护的计算机的 DNS 后缀。

  4. 命令成功完成后,打开 DPM 控制台。

更新密码

若要更新 NTLM 凭据的密码,请在受保护的计算机上运行以下命令:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

你需要使用与配置保护时所用的相同命名约定 (FQDN 或 NETBIOS) 。 在 DPM 服务器上,需要运行 Update -NonDomainServerInfo PowerShell cmdlet。 然后需要刷新受保护计算机的代理信息。

NetBIOS 示例:受保护的计算机:SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM 服务器:Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN 示例:受保护的计算机:SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM 服务器:Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. 在 DPM 控制台中,运行保护代理安装向导。

  2. 在“选择代理部署方法” 中,选择“附加代理”

  3. 输入要附加到的计算机的计算机名、用户名和密码。 这些信息应是您安装代理时指定的凭据。

  4. 查看 “摘要 ”页,然后选择“ 附加”。

可以视情况运行 Windows PowerShell Attach-NonDomainServer.ps1 命令而不是运行向导。 若要执行此操作,请参阅下一部分中的示例。

示例

示例 1

安装代理后配置工作组计算机的示例:

  1. 在计算机上,运行 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark

  2. 在 DPM 服务器上,运行 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark

由于工作组计算机通常仅可通过使用 NetBIOS 名称进行访问,因此 DPMServerName 的值必须为 NetBIOS 名称。

示例 2

安装代理后配置 NetBIOS 名称发生冲突的工作组计算机的示例。

  1. 在工作组计算机上,运行 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com

  2. 在 DPM 服务器上,运行 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark

使用证书验证备份

以下介绍如何使用证书身份验证来设置保护。

  • 要保护的每台计算机都应至少安装 .NET Framework 3.5 SP1。

  • 用于身份验证的证书必须符合以下要求:

    • X.509 V3 证书。

    • 增强型密钥使用 (EKU) 应具有客户端身份验证和服务器身份验证。

    • 密钥长度应至少为 1024 位。

    • 密钥类型应为 exchange

    • 证书和根证书的使用者名称不应为空。

    • 相关联证书颁发机构的吊销服务器处于联机状态,受保护的服务器与 DPM 服务器都可访问

    • 证书应具有关联的私钥。

    • DPM 不支持具有 CNG 密钥的证书。

    • DPM 不支持自签名证书。

  • 要保护的每台计算机(包括虚拟机)必须具有其自己的证书。

设置保护

  1. 创建 DPM 证书模板

  2. 在 DPM 服务器上配置证书

  3. 安装代理

  4. 在受保护的计算机上配置证书

  5. Attach the computer

创建 DPM 证书模板

您可以视情况设置一个 DPM 模板以用于 Web 注册。 如果要执行此操作,请根据其用途选择具有客户端身份验证和服务器身份验证的模板。 例如:

  1. 证书模板 MMC 管理单元中,可以选择 RAS 和 IAS 服务器 模板。 右键单击该模板并选择“复制模板”。

  2. 在“复制模板” 中,保留默认设置“Windows Server 2003 Enterprise”

  3. 在“常规” 选项卡上,将该模板显示名称更改为可识别的内容。 例如, DPM 身份验证。 确保启用“ 在 Active Directory 中发布证书 ”设置。

  4. 在“ 请求处理 ”选项卡中,确保启用 “允许导出私钥 ”。

  5. 创建模板后,使其可供使用。 打开“证书颁发机构”管理单元。 右键单击“证书模板” ,选择“新建” ,然后选择“要颁发的证书模板” 。 在 “启用证书模板”中,选择模板并选择“ 确定”。 现在,该模板将在您获得证书时可用。

启用注册或自动注册

如果要选择为注册或自动注册配置模板,请在模板属性中选择“使用者名称”选项卡。 配置注册时,可以在 MMC 中选择模板。 如果配置自动注册,则证书会自动分配给域中的所有计算机。

  • 对于注册,在模板属性的“使用者名称” 选项卡中,启用“选择用 Active Directory 中的信息生成” 。 在 “使用者名称格式”中,选择“ 公用名 ”并启用 DNS 名称。 然后转到“安全性”选项卡,并将“注册” 权限分配给已身份验证的用户。

  • 对于自动注册,请转到“安全性” 选项卡,并将“自动注册” 权限分配给已身份验证的用户。 启用此设置后,证书将自动分配给域中的所有计算机。

  • 如果已配置注册,则可以基于模板在 MMC 中请求新证书。 若要执行此操作,请在受保护的计算机上,在“证书(本地计算机)”>“个人”中,右键单击“证书”。 选择“所有任务”>“请求新证书”。 在向导的 “选择证书注册策略 ”页中,选择“ Active Directory 注册策略”。 在 “请求证书”中,你将看到模板。 展开 “详细信息 ”并选择“ 属性”。 选择“常规” 选项卡并提供一个好记的名称。 应用设置后,应会收到一条消息,指出证书已成功安装。

Configure a certificate on the DPM server

  1. 通过 Web 注册或其他某种方法从 CA 为 DPM 服务器生成证书。 在 Web 注册中,选择“ 所需的高级证书 ”和 “创建并提交到此 CA 的请求”。 确保密钥大小为 1024 或更高,并且已选择 “将密钥标记为可导出 ”。

  2. 证书将放在用户存储中。 需要将其移动到本地计算机存储。

  3. 若要执行此操作,请将证书从用户存储导出。 确保使用私钥导出它。 可采用默认 .pfx 格式将其导出。 指定导出密码。

  4. 在本地计算机\个人\证书中,运行证书导入向导以从其保存的位置导入导出的文件。 指定用于导出该密钥的密码,并确保选中 “将此密钥标记为可导出 ”。 在“证书存储”页上,保留默认设置 “将所有证书放入以下存储区” ,并确保显示 “个人 ”。

  5. 导入后,将 DPM 凭据设置为使用证书,如下所示:

    1. 获取证书指纹。 在 “证书 ”存储中,双击证书。 选择“ 详细信息 ”选项卡,然后向下滚动到指纹。 选择它,然后突出显示并复制它。 将指纹粘贴到记事本,并删除任何空格。

    2. 运行 Set-DPMCredentials 以配置 DPM 服务器:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - 指示身份验证的类型。 值:“证书”

    • -Action - 指定是首次执行命令还是重新生成凭据。 可能值: 重新生成配置

    • -OutputFilePath - 在受保护计算机上 Set-DPMServer 中使用的输出文件的位置。

    • -Thumbprint - 从记事本文件复制。

    • -AuthCAThumbprint - 证书信任链中 CA 的指纹。 可选。 如果未指定,将使用根证书。

  6. 将生成在不受信任的域中安装每个代理时所需的元数据文件 (.bin)。 在运行命令之前,请确保 C:\Temp 文件夹存在。

    注意

    如果文件丢失或删除,可以通过使用 -action regenerate 选项运行脚本来重新创建它。

  7. 检索 .bin 文件,并将其复制到要保护的计算机上的 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹。 此操作并非必需,但若未执行此操作,则需要为 –DPMcredential 参数指定该文件的完整路径,如果你

  8. 在要保护工作组或不受信任域中的计算机的每个 DPM 服务器上重复上述步骤。

安装代理

  1. 在要保护的每台计算机上,从 DPM 安装 CD 运行 DPMAgentInstaller_X64.exe 以安装代理。

在受保护的计算机上配置证书

  1. 通过 Web 注册或其他方法,从 CA 为受保护的计算机生成证书。 在 Web 注册中,选择“ 所需的高级证书 ”和 “创建并提交到此 CA 的请求”。 确保密钥大小为 1024 或更高,并且已选择 “将密钥标记为可导出 ”。

  2. 证书将放在用户存储中。 需要将其移动到本地计算机存储。

  3. 若要执行此操作,请将证书从用户存储导出。 确保使用私钥导出它。 可采用默认 .pfx 格式将其导出。 指定导出密码。

  4. 在本地计算机\个人\证书中,运行证书导入向导以从其保存的位置导入导出的文件。 指定用于导出该密钥的密码,并确保选中 “将此密钥标记为可导出 ”。 在“证书存储”页上,保留默认设置 “将所有证书放入以下存储区” ,并确保显示 “个人 ”。

  5. 导入后,将计算机配置为将 DPM 服务器识别为有权执行备份的 DPM 服务器,如下所示:

    1. 获取证书指纹。 在 “证书 ”存储中,双击证书。 选择“ 详细信息 ”选项卡,然后向下滚动到指纹。 选择它,并突出显示并复制它。 将指纹粘贴到记事本,并删除任何空格。

    2. 导航到 C:\Program files\Microsoft Data Protection Manager\DPM\bin 文件夹,并按如下所示运行 setdpmserver

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      其中,ClientThumbprintWithNoSpaces 是从记事本文件复制的。

    3. 应获取输出以确认配置是否已成功完成。

  6. 检索 .bin 文件,并将其复制到 DPM 服务器。 建议将其复制到默认位置,即附加过程将在其中检查 Windows\System32) (文件,以便在运行“附加”命令时仅指定文件名而不是完整路径。

Attach the computer

您可以使用语法,通过 Attach-ProductionServerWithCertificate.ps1 PowerShell 脚本将计算机附加到 DPM 服务器。

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName - DPM 服务器的名称

  • PSCredential - .bin 文件名。 如果将其放置在 Windows\System32 文件夹中,则只能指定文件名。 请确保指定在受保护服务器上创建的.bin文件。 如果指定在 DPM 服务器上创建的.bin文件,则将删除配置为基于证书的身份验证的所有受保护计算机。

附加过程完成后,受保护的计算机应出现在 DPM 控制台中。

示例

示例 1

将在 c:\\CertMetaData\\ 中生成文件,文件名为 CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

其中,dpmserver.contoso.com 是 DPM 服务器的名称,而“cf822d9ba1c801ef40d4b31de0cfcb200a8a2496”是 DPM 服务器证书的指纹。

示例 2

在文件夹 c:\CertMetaData\ 中重新生成丢失的配置文件

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

在 NTLM 和证书身份验证之间切换

备注

  • 在不受信任的域中进行部署时,以下群集工作负荷仅支持证书身份验证:
    • 群集文件服务器
    • 群集 SQL Server
    • Hyper-V 群集
  • 如果 DPM 代理当前配置为在群集上使用 NTLM,或者最初配置为使用 NTLM,但后来在不首先删除 DPM 代理的情况下切换到证书身份验证,则群集的枚举不会显示任何要保护的资源。

若要从 NTLM 身份验证切换到证书身份验证,请使用以下步骤重新配置 DPM 代理:

  1. 在 DPM 服务器上,使用 Remove-ProductionServer.ps1 PowerShell 脚本删除群集的所有节点。
  2. 在所有节点上卸载 DPM 代理,然后从 C:\Program Files\Microsoft Data Protection Manager 删除代理文件夹。
  3. 按照使用证书身份验证进行备份中的步骤操作。
  4. 为证书身份验证部署和配置代理后,验证代理刷新是否正常工作,并正确显示 (不受信任的 - 每个节点的证书) 。
  5. 刷新节点/群集以获取要保护的数据源的列表;重试保护群集资源 () 。
  6. 添加要保护的工作负荷并完成“保护组”向导。