Preparare i computer in gruppi di lavoro e domini non attendibili per il backup

System Center Data Protection Manager (DPM) può proteggere i computer che si trovano in domini o gruppi di lavoro non attendibili. È possibile autenticare questi computer usando un account utente locale (autenticazione NTLM) o usando i certificati. Per entrambi i tipi di autenticazione, è necessario preparare l'infrastruttura prima di poter configurare un gruppo protezione dati contenente le origini di cui si vuole eseguire il backup.

1. Installare un certificato: se si vuole usare l'autenticazione del certificato , installare un certificato nel server DPM e nel computer da proteggere.

2. Installare l'agente : installare l'agente nel computer da proteggere.

3. Riconosci il server DPM - Configura il computer per riconoscere il server DPM per eseguire i backup. A tale scopo, si eseguirà il comando SetDPMServer.

4. Collegare il computer . Infine, è necessario collegare il computer protetto al server DPM.

Prima di iniziare

Prima di iniziare, controllare gli scenari di protezione supportati e le impostazioni di rete necessarie.

Scenari supportati

Impostazioni di rete

Eseguire il backup con l'autenticazione NTLM

Di seguito sono riportate le operazioni da eseguire:

1. Installare l'agente: installare l'agente nel computer da proteggere.

2. Configurare l'agente: configurare il computer per riconoscere il server DPM per l'esecuzione dei backup. A tale scopo, si eseguirà il comando SetDPMServer.

3. Collegare il computer: infine, è necessario collegare il computer protetto al server DPM.

Installare e configurare l'agente

1. Nel computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

2. Configura l'agente eseguendo SetDpmServer come indicato di seguito:

   SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
   

3. Specifica i parametri come segue:

   • -DpmServerName : specificare il nome del server DPM. Usare un Nome di Dominio Completo (FQDN) se il server e il computer sono accessibili tra loro usando nomi di dominio completi o un nome NETBIOS.

   • -IsNonDomainServer : usare per indicare che il server si trova in un gruppo di lavoro o in un dominio non attendibile in relazione al computer da proteggere. Vengono create le eccezioni del firewall per le porte necessarie.

   • -UserName : specificare il nome dell'account da usare per l'autenticazione NTLM. Per usare questa opzione, è necessario specificare il flag -isNonDomainServer. Verrà creato un account utente locale e l'agente protezione DPM verrà configurato per l'uso di questo account per l'autenticazione.

   • -ProductionServerDnsSuffix : usare questa opzione se nel server sono configurati più suffissi DNS. Questa opzione rappresenta il suffisso DNS usato dal server per connettersi al computer protetto.

4. Al termine del comando, aprire la console DPM.

Aggiornare la password

Se in qualsiasi momento vuoi aggiornare la password per le credenziali NTLM, esegui il comando seguente nel computer protetto:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

È necessario usare la stessa convenzione di denominazione (FQDN o NETBIOS) usata durante la configurazione della protezione. Nel server DPM è necessario eseguire il cmdlet di PowerShell Update -NonDomainServerInfo. Sarà quindi necessario aggiornare le informazioni dell'agente per il computer protetto.

Esempio NetBIOS: Computer protetto: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Esempio di FQDN: Computer protetto: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Collega il computer

1. Nella console di DPM avvia la procedura guidata di installazione dell'agente di protezione.

2. In Selezionare metodo di distribuzione agentiseleziona Collega agenti.

3. Immettere il nome computer, il nome utente e la password per il computer a cui si desidera connettersi. Queste devono essere le credenziali che hai specificato durante l'installazione dell'agente.

4. Esaminare la pagina Riepilogo e selezionare Allega.

Facoltativamente, puoi eseguire il comando di Windows PowerShell Attach-NonDomainServer.ps1 invece di eseguire la procedura guidata. A tale scopo, esaminare l'esempio nella sezione successiva.

Esempi

Esempio 1

Esempio per configurare un computer di un gruppo di lavoro dopo l'installazione dell'agente:

1. Nel computer esegui SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Poiché i computer del gruppo di lavoro in genere sono accessibili solo tramite il nome NetBIOS, il valore per DPMServerName deve essere il nome NetBIOS.

Esempio 2

Esempio per configurare un computer di un gruppo di lavoro con nomi NetBIOS in conflitto dopo l'installazione dell'agente.

1. Nel computer del gruppo di lavoro esegui SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Eseguire il backup con l'autenticazione del certificato

Ecco come configurare la protezione con l'autenticazione del certificato.

• In ogni computer che vuoi proteggere deve essere installato almeno .NET Framework 3.5 con SP1.

• Il certificato usato per l'autenticazione deve essere conforme ai seguenti requisiti:

  • Certificato X.509 V3.

  • L'Utilizzo chiavi avanzato (EKU) deve disporre dell'autenticazione client e dell'autenticazione server.

  • La lunghezza della chiave deve essere di almeno 1024 bit.

  • Il tipo di chiave deve essere scambio.

  • Il nome soggetto del certificato e il certificato radice non devono essere vuoti.

  • I server di revoca delle autorità di certificazione associate sono online e accessibili sia dal server protetto che dal server DPM

  • Il certificato deve avere associato una chiave privata.

  • DPM non supporta i certificati con chiavi CNG.

  • DPM non supporta i certificati autofirmato.

• Ogni computer che vuoi proteggere (incluse le macchine virtuali) deve disporre del proprio certificato.

Configurare la protezione

1. Creare un modello di certificato DPM

2. Configurare un certificato nel server DPM

3. Installare l'agente

4. Configurare un certificato nel computer protetto

5. Collegare il computer

Creare un modello di certificato DPM

Puoi impostare facoltativamente un modello DPM per la registrazione Web. Se vuoi eseguire questa operazione, seleziona un modello con l'autenticazione client e l'autenticazione server come scopo previsto. Ad esempio:

1. Nello snap-in MMC Modelli di Certificato, è possibile selezionare il modello RAS e IAS Server. Fai clic su di esso con il pulsante destro del mouse e seleziona Duplica modello.

2. In Duplica modellomantieni l'impostazione predefinita Windows Server 2003 Enterprise.

3. Nella scheda Generale modifica il nome visualizzato del modello in modo da renderlo riconoscibile. Ad esempio, Autenticazione DPM. Assicurarsi che l'impostazione Pubblica certificato in Active Directory sia abilitata.

4. Nella scheda Gestione richieste verificare che l'opzione Consenti l'esportazione della chiave privata sia abilitata.

5. Dopo aver creato il modello, renderlo disponibile per l'uso. Aprire il modulo Autorità di certificazione. Fare clic con il pulsante destro del mouse su Modelli di certificato, selezionare Nuovo, quindi scegliere Modello di certificato da rilasciare. In Abilita modello di certificato selezionare il modello e selezionare OK. A questo punto il modello sarà disponibile quando ottieni un certificato.

Abilitare la registrazione o la registrazione automatica

Se si vuole configurare facoltativamente il modello per la registrazione o la registrazione automatica, selezionare la scheda Nome soggetto nelle proprietà del modello. Quando si configura la registrazione, il modello può essere selezionato in MMC. Se si configura la registrazione automatica, il certificato viene assegnato automaticamente a tutti i computer nel dominio.

• Per la registrazione, nella scheda Nome soggetto delle proprietà del modello, seleziona Compilazione da queste informazioni di Active Directory. In Formato del nome del soggetto, selezionare Nome comune e abilitare DNS. Passa quindi alla scheda Sicurezza e assegna l'autorizzazione Registrazione agli utenti autenticati.

• Per la registrazione automatica, passa alla scheda Sicurezza e assegna l'autorizzazione Registrazione automatica agli utenti autenticati. Con questa impostazione abilitata, il certificato verrà assegnato automaticamente a tutti i computer nel dominio.

• Se è stata configurata la registrazione, sarà possibile richiedere un nuovo certificato in MMC in base al modello. A tale scopo, nel computer protetto, in Certificati (computer locale)>Personale, fai doppio clic su Certificati. Select Tutte le attività>Richiedi nuovo certificato. Nella pagina Seleziona criteri di registrazione certificati della procedura guidata, selezionare il Criterio di registrazione Active Directory. In Richiedi certificati verrà visualizzato il modello. Espandere Dettagli e selezionare Proprietà. Seleziona la scheda Generale e specifica un nome descrittivo. Dopo aver applicato le impostazioni, dovrebbe essere visualizzato un messaggio che informa che il certificato è stato installato correttamente.

Configurare un certificato nel server DPM

1. Generare un certificato da una CA per il server DPM tramite la registrazione Web o un altro metodo. Nella registrazione Web selezionare certificato avanzato obbligatorio e Creare e inviare una richiesta a questa CA. Verificare che la dimensione della chiave sia 1024 o superiore e che sia selezionata l'opzione Contrassegna chiave come esportabile .

2. Il certificato viene inserito nell'archivio dell'utente. Devi spostarlo nel negozio del computer locale.

3. A tale scopo, esportare il certificato dall'archivio dell'utente. Assicurarsi di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

4. In Computer locale\Personale\Certificati, eseguire l'Importazione Guidata Certificati, per importare il file esportato dalla posizione salvata. Specificare la password usata per esportarla e assicurarsi che sia selezionata l'opzione Contrassegna questa chiave come esportabile . Nella pagina Archivio certificati, lasciare l'impostazione predefinita Posiziona tutti i certificati nel seguente archivio e assicurarsi che Personal sia visualizzato.

5. Dopo l'importazione, impostare le credenziali DPM per usare il certificato come indicato di seguito:

   1. Ottieni l'impronta digitale per il certificato. Nell'archivio Certificati fare doppio clic sul certificato. Selezionare la scheda Dettagli e scorrere verso il basso per trovare l'impronta digitale. Selezionarlo e quindi evidenziarlo e copiarlo. Incolla l'impronta digitale in Notepad e rimuovi gli spazi.

   2. Eseguire Set-DPMCredentials per configurare il server DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      

   • -Type : indica il tipo di autenticazione. Valore: certificate.

   • -Azione : specificare se si vuole eseguire il comando per la prima volta o rigenerare le credenziali. Valori possibili: regenerate o configure.

   • -OutputFilePath : percorso del file di output usato in Set-DPMServer nel computer protetto.

   • -Impronta digitale - copiare dal file del Blocco note.

   • -AuthCAThumbprint - Impronta digitale della CA nella catena di fiducia del certificato. Facoltativo. Se non specificato, viene usato Root.

6. Verrà generato un file di metadati (.bin), che è richiesto al momento dell'installazione di ogni agente in un dominio non trusted. Assicurarsi che la cartella C:\Temp esista prima di eseguire il comando.

   Nota

   Se il file viene perso o eliminato, è possibile ricrearlo eseguendo lo script con l'opzione -action regenerate .

7. Recupera il file con estensione bin e copialo nella cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin nel computer che vuoi proteggere. Non devi fare questa operazione, ma se non lo fai dovrai specificare il percorso completo del file per il parametro -DPMcredential quando si

8. Ripetere questi passaggi in ogni server DPM che proteggerà un computer in un gruppo di lavoro o in un dominio non attendibile.

Installare l'agente

1. In ogni computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

Configurare un certificato nel computer protetto

1. Genera un certificato da un'autorità di certificazione per il computer protetto, tramite la registrazione Web o un altro metodo. Nella registrazione Web selezionare certificato avanzato obbligatorio e Creare e inviare una richiesta a questa CA. Assicurarsi che la dimensione della chiave sia 1024 o successiva e che sia selezionata l'opzione Contrassegna chiave come esportabile .

2. Il certificato viene inserito nell'archivio dell'utente. Devi spostarlo nel negozio del computer locale.

3. A tale scopo, esportare il certificato dall'archivio dell'utente. Assicurarsi di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

4. In Computer locale\Personale\Certificati, eseguire l'Importazione Guidata Certificati, per importare il file esportato dalla posizione salvata. Specificare la password usata per esportarla e assicurarsi che sia selezionata l'opzione Contrassegna questa chiave come esportabile . Nella pagina Archivio certificati, lasciare l'impostazione predefinita Posiziona tutti i certificati nel seguente archivio e assicurarsi che Personal sia visualizzato.

5. Dopo l'importazione, configurare il computer per riconoscere il server DPM come autorizzato a eseguire i backup come indicato di seguito:

   1. Ottieni l'impronta digitale per il certificato. Nell'archivio Certificati fare doppio clic sul certificato. Selezionare la scheda Dettagli e scorrere verso il basso per trovare l'impronta digitale. Selezionarlo ed evidenziarlo e copiarlo. Incolla l'impronta digitale in Notepad e rimuovi gli spazi.

   2. Passare alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin ed eseguire setdpmserver come indicato di seguito:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      dove ClientThumbprintWithNoSpaces è copiato dal file di testo.

   3. Dovresti ricevere l'output per confermare che la configurazione è stata completata correttamente.

6. Recupera il file con estensione bin e copialo nel server DPM. È consigliabile copiarlo nel percorso predefinito in cui il processo Attach verificherà la presenza del file (Windows\System32) in modo da poter specificare semplicemente il nome del file anziché il percorso completo quando si esegue il comando Attach.

Collega il computer

Puoi collegare il computer al server DPM usando lo script di PowerShell Attach-ProductionServerWithCertificate.ps1 con la seguente sintassi.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

• -DPMServerName-Name del server DPM

• PSCredential-Nome del file .bin. Se l'hai inserita nella cartella Windows\System32, puoi specificare solo il nome del file. Assicurarsi di specificare il file .bin creato nel server protetto. Se si specifica il file .bin creato nel server DPM, verranno rimossi tutti i computer protetti configurati per l'autenticazione basata su certificati.

Al termine del processo di collegamento, il computer protetto verrà visualizzato nella console DPM.

Esempi

Esempio 1

Genera un file in c:\\CertMetaData\\ con nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Dove dpmserver.contoso.com è il nome del server DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" è l'impronta digitale del certificato del server DPM.

Esempio 2

Rigenera un file di configurazione perso nella cartella c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Passare dall'autenticazione NTLM a quella del certificato

Per passare dall'autenticazione NTLM all'autenticazione del certificato, seguire questa procedura per riconfigurare l'agente DPM:

1. Nel server DPM rimuovere tutti i nodi del cluster usando lo script PowerShell Remove-ProductionServer.ps1 .
2. Disinstallare l'agente DPM in tutti i nodi ed eliminare la cartella dell'agente da C:\Programmi\Microsoft Data Protection Manager.
3. Seguire la procedura descritta in Eseguire il backup usando l'autenticazione del certificato.
4. Dopo aver distribuito e configurato gli agenti per l'autenticazione tramite certificato, verificare che il refresh dell'agente funzioni e che sia visualizzato correttamente (non attendibile - Certificati) per ciascun nodo.
5. Aggiornare i nodi/cluster per ottenere un elenco di origini dati da proteggere; riprovare a proteggere le risorse in cluster.
6. Aggiungere il carico di lavoro per proteggere e concludere la procedura guidata del gruppo di protezione.