Preparar las máquinas de grupos de trabajo y dominios que no son de confianza para copia de seguridad

System Center Data Protection Manager (DPM) puede proteger los equipos que se encuentran en grupos de trabajo o dominios que no son de confianza. Puedes autenticar estos equipos mediante una cuenta de usuario local (autenticación NTLM) o mediante certificados. Para ambos tipos de autenticación, deberás preparar la infraestructura para poder configurar un grupo de protección que contenga los orígenes de los que deseas realizar una copia de seguridad.

  1. Instalar un certificado: si deseas usar la autenticación de certificados, instala un certificado en el servidor DPM y en el equipo que deseas proteger.

  2. Instalar el agente: instala el agente en el equipo que deseas proteger.

  3. Reconocer el servidor DPM: configura el equipo para que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecutarás el comando SetDPMServer.

  4. Adjuntar el equipo : por último, deberás adjuntar el equipo protegido al servidor DPM.

Antes de comenzar

Antes de empezar, comprueba los escenarios de protección admitidos y la configuración de red necesaria.

Escenarios admitidos

Tipo de carga de trabajo Estado y soporte técnico del servidor protegido
Archivos Grupo de trabajo: compatible

Dominio que no es de confianza: compatible

Para un solo servidor, puede usar la autenticación NTLM o de certificado. Autenticación de certificados solo para el clúster.
Estado del sistema Grupo de trabajo: compatible

Dominio que no es de confianza: compatible

Solo autenticación NTLM
SQL Server Grupo de trabajo: compatible

Dominio que no es de confianza: compatible

No se admite la creación de reflejos.

Para un solo servidor, puede usar la autenticación NTLM o de certificado. Autenticación de certificados solo para el clúster.
Servidor de Hyper-V Grupo de trabajo: compatible

Dominio que no es de confianza: compatible

Autenticación NTLM y de certificado
Clúster de Hyper-V Grupo de trabajo: no compatible

Dominio que no es de confianza: compatible (solo autenticación de certificados)
Exchange Server Grupo de trabajo: no aplicable

Dominio que no es de confianza: solo se admite para un solo servidor. No se admiten los clúster. CCR, SCR, DAG no compatible. LCR compatible.

Solo autenticación NTLM
Servidor DPM secundario (para la copia de seguridad del servidor DPM principal)

Recuerda que los servidores DPM principal y secundario deben estar en el mismo dominio de confianza transitivo de bosque o en uno bidireccional.
Grupo de trabajo: compatible

Dominio que no es de confianza: compatible

Autenticación basada en certificados exclusivamente
SharePoint Grupo de trabajo: no compatible

Dominio que no es de confianza: no compatible
Equipos cliente Grupo de trabajo: no compatible

Dominio que no es de confianza: no compatible
Reconstrucción completa (BMR) Grupo de trabajo: no compatible

Dominio que no es de confianza: no compatible
Recuperación de usuario final Grupo de trabajo: no compatible

Dominio que no es de confianza: no compatible

Configuración de red

Configuración Equipo en grupo de trabajo o dominio que no es de confianza
Datos de control Protocolo: DCOM

Puerto por defecto: 135

Autenticación: NTLM/certificado
Transferencia de archivos Protocolo: Winsock

Puerto predeterminado: 5718 y 5719

Autenticación: NTLM/certificado
Requisitos de la cuenta DPM Cuenta local sin derechos de administrador en el servidor DPM. Usa la comunicación NTLM v2
Requisitos de certificados
Instalación del agente Agente instalado en el equipo protegido
Red perimetral No se admite la protección de red perimetral.
IPSEC Asegúrate de que IPSEC no bloquea las comunicaciones.

Copia de seguridad mediante la autenticación NTLM

Esto es lo que debes hacer:

  1. Instalar el agente: instala el agente de protección en el equipo que quieres proteger.

  2. Configurar el agente: configura el equipo para que reconozca el servidor DPM para realizar copias de seguridad. Para ello, ejecutarás el comando SetDPMServer.

  3. Adjuntar el equipo: por último, deberás adjuntar el equipo protegido al servidor DPM.

Instalación y configuración del agente

  1. En el equipo que deseas proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar el agente.

  2. Configura el agente ejecutando SetDpmServer de la siguiente manera:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Modifica los parámetros de la forma siguiente:

    • -DpmServerName: especifica el nombre del servidor DPM. Usa un FQDN si el servidor y el equipo son accesibles entre sí mediante FQDN o un nombre NETBIOS.

    • -IsNonDomainServer: se usa para indicar que el servidor está en un grupo de trabajo o un dominio que no es de confianza en relación con el equipo que deseas proteger. Las excepciones de firewall se crean para los puertos necesarios.

    • -UserName: especifica el nombre de la cuenta que se va a usar para la autenticación NTLM. Para usar esta opción, debes especificar la marca -isNonDomainServer. Se creará una cuenta de usuario local y el agente de protección DPM se configurará para usar esta cuenta para la autenticación.

    • -ProductionServerDnsSuffix: usa este modificador si el servidor tiene varios sufijos DNS configurados. Este modificador representa el sufijo DNS que usa el servidor para conectarse al equipo que estás protegiendo.

  4. Cuando el comando se complete correctamente, abre la consola DPM.

Actualizar la contraseña

Si en algún momento deseas actualizar la contraseña de las credenciales NTLM, ejecuta lo siguiente en el equipo protegido:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Deberás usar la misma convención de nomenclatura (FQDN o NETBIOS) que usaste al configurar la protección. En el servidor DPM, deberás ejecutar el cmdlet Update -NonDomainServerInfo de PowerShell. A continuación, deberás actualizar la información del agente para el equipo protegido.

Ejemplo de NetBIOS: equipo protegido: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Ejemplo de FQDN: Equipo protegido: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Servidor DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Adjuntar el equipo

  1. En la consola de DPM, ejecuta el Asistente para la instalación del agente de protección.

  2. En Seleccionar el método de implementación del agente, selecciona Adjuntar agentes.

  3. Escribe el nombre de equipo, el nombre de usuario y la contraseña del equipo al que deseas adjuntar. Estas deben ser las credenciales que especificaste al instalar el agente.

  4. Revisa la página Resumen y selecciona Adjuntar.

Opcionalmente, puedes ejecutar el comando Attach-NonDomainServer.ps1 de Windows PowerShell en lugar de ejecutar el asistente. Para ello, echa un vistazo al ejemplo de la sección siguiente.

Ejemplos

Ejemplo 1

Ejemplo para configurar un equipo de grupo de trabajo después de instalar el agente:

  1. En el equipo, ejecuta SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. En el servidor DPM, ejecuta Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Dado que los equipos del grupo de trabajo suelen ser accesibles solo mediante el nombre NetBIOS, el valor de DPMServerName debe ser el nombre netBIOS.

Ejemplo 2

Ejemplo para configurar un equipo de grupo de trabajo con nombres NetBIOS en conflicto después de instalar el agente.

  1. En el equipo del grupo de trabajo, ejecuta SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. En el servidor DPM, ejecuta Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Copia de seguridad mediante la autenticación de certificados

Aquí se muestra cómo configurar la protección con autenticación de certificados.

  • Cada equipo que quieras proteger debe tener instalado al menos .NET Framework 3.5 con SP1 instalado.

  • El certificado que uses para la autenticación debe cumplir lo siguiente:

    • Certificado X.509 V3.

    • El Uso mejorado de clave (EKU) debe tener autenticación de cliente y autenticación de servidor.

    • La longitud debe ser de 1024 bits como mínimo.

    • El tipo de clave debe ser intercambio.

    • El nombre del firmante del certificado y el certificado raíz no deben estar vacíos.

    • Los servidores de revocación de las entidades de certificación asociadas están en línea y son accesibles tanto por el servidor protegido como por el servidor DPM.

    • El certificado debe tener asociada una clave privada.

    • DPM no admite certificados con claves CNG.

    • DPM no admite certificados autofirmados.

  • Cada equipo que quieras proteger (incluidas las máquinas virtuales) debe tener su propio certificado.

Configuración de la protección

  1. Creación de una plantilla de certificado DPM

  2. Configuración de un certificado en el servidor DPM

  3. Instalación del agente

  4. Configuración de un certificado en el equipo protegido

  5. Adjuntar el equipo

Crear una plantilla de certificado DPM

Opcionalmente, puedes configurar una plantilla DPM para la inscripción web. Si deseas hacerlo, selecciona una plantilla que tenga autenticación de cliente y autenticación de servidor como su propósito previsto. Por ejemplo:

  1. En el complemento MMC Plantillas de certificado, puedes seleccionar la plantilla Servidor RAS y IAS. Haz clic con el botón derecho en ella y selecciona Duplicar plantilla.

  2. En Duplicar plantilla, deja la configuración predeterminada Windows Server 2003 Enterprise.

  3. En la pestaña General, cambia el nombre para mostrar de la plantilla a algo reconocible. Por ejemplo, la autenticación DPM. Asegúrate de que la configuración Publicar certificado en Active Directory esté habilitada.

  4. En la pestaña Gestión de solicitudes, asegúrate de que Permitir exportar clave privada está habilitado.

  5. Después de crear la plantilla, haz que esté disponible para su uso. Abre el complemento Entidad de certificación. Haz clic con el botón secundario en Plantillas de certificado, selecciona Nueva y elige Plantilla de certificado que se va a emitir. En Habilitar plantilla de certificado, selecciona la plantilla y selecciona Aceptar. Ahora la plantilla estará disponible cuando obtengas un certificado.

Habilitar la inscripción o la inscripción automática

Si quieres configurar opcionalmente la plantilla para la inscripción o la inscripción automática, selecciona la pestaña Nombre del firmante en las propiedades de la plantilla. Al configurar la inscripción, la plantilla se puede seleccionar en MMC. Si configuras la inscripción automática, el certificado se asigna automáticamente a todos los equipos del dominio.

  • Para la inscripción, en la pestaña Nombre del firmante de las propiedades de la plantilla, habilita Seleccionar compilación a partir de esta información de Active Directory. En Formato de nombre del firmante, selecciona Nombre común y habilita el nombre DNS. Después ve a la pestaña Seguridad y asigna el permiso Inscribir a los usuarios autenticados.

  • Para la inscripción automática, ve a la pestaña Seguridad y asigna el permiso Inscripción automática a los usuarios autenticados. Con esta configuración habilitada, el certificado se asignará automáticamente a todos los equipos del dominio.

  • Si has configurado la inscripción, podrás solicitar un nuevo certificado en MMC en función de la plantilla. Para ello, en el equipo protegido, en Certificados (equipo local)>Personal, haz clicn con el botón secundario Certificados. Selecciona Todas las tareas>Solicitar un nuevo certificado. En la página Seleccionar directiva de inscripción de certificado del asistente, selecciona Directiva de inscripción de Active Directory. En Solicitar certificados, verás la plantilla. Expande Detalles y selecciona Propiedades. Selecciona la pestaña General y proporciona un nombre descriptivo. Después de aplicar la configuración, deberías recibir un mensaje que indica que el certificado se instaló correctamente.

Configurar un certificado en el servidor DPM

  1. Genera un certificado a partir de una CA para el servidor DPM a través de la inscripción web o algún otro método. En la inscripción web, selecciona certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrate de que el tamaño de la clave es 1024 o superior y que Marcar clave como exportable está seleccionado.

  2. El certificado se coloca en el almacén de usuarios. Debes moverlo al almacén de equipos locales.

  3. Para ello, exporta el certificado desde el almacén de usuarios. Asegúrate de exportarlo con la clave privada. Puedes exportarlo en el formato .pfx predeterminado. Especifica una contraseña para la exportación.

  4. En Local Computer\Personal\Certificate, ejecuta el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifica la contraseña que usaste para exportarla y asegúrate de que Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deja la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrate de que se muestra Personal.

  5. Después de la importación, establece las credenciales de DPM para usar el certificado de la siguiente manera:

    1. Obtén la huella digital del certificado. En el almacén de certificados, haz doble clic en el certificado. Selecciona la pestaña Detalles y desplázate hacia abajo hasta la huella digital. Selecciónalo y luego resáltalo y cópialo. Pega la huella digital en el Bloc de notas y quita los espacios.

    2. Ejecuta Set-DPMCredentials para configurar el servidor DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type: indica el tipo de autenticación. Valor: certificate.

    • -Action: especifica si deseas realizar el comando por primera vez o volver a generar las credenciales. Valores posibles: regenerate o configure.

    • -OutputFilePath : ubicación del archivo de salida usado en Set-DPMServer en el equipo protegido.

    • -Thumbprint: copiar desde el archivo del Bloc de notas.

    • -AuthCAThumbprint: huella digital de la CA en la cadena de confianza del certificado. Opcional. Si no se especifica, se utilizará Root.

  6. Esto genera un archivo de metadatos (.bin) necesario en el momento de la instalación de cada agente en un dominio que no es de confianza. Asegúrate de que la carpeta C:\Temp existe antes de ejecutar el comando.

    Nota:

    Si el archivo se pierde o se elimina, puedes volver a crearlo ejecutando el script con la opción -action regenerate.

  7. Recupera el archivo .bin y cópialo en la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin del equipo que deseas proteger. No tienes por qué hacerlo, pero si no lo haces tendrás que especificar la ruta completa del archivo para el parámetro -DPMcredential cuando

  8. Repite estos pasos en todos los servidores DPM que protegerán un equipo de un grupo de trabajo o en un dominio que no sea de confianza.

Instalación del agente

  1. En cada equipo que quieras proteger, ejecute DPMAgentInstaller_X64.exe desde el CD de instalación de DPM para instalar el agente.

Configuración de un certificado en el equipo protegido

  1. Genera un certificado a partir de una CA para el equipo protegido, a través de la inscripción web o de algún otro método. En la inscripción web, selecciona certificado avanzado necesario y Crear y enviar una solicitud a esta CA. Asegúrate de que el tamaño de la clave sea 1024 o superior y que se seleccione Marcar clave como exportable.

  2. El certificado se coloca en el almacén de usuarios. Debes moverlo al almacén de equipos locales.

  3. Para ello, exporta el certificado desde el almacén de usuarios. Asegúrate de exportarlo con la clave privada. Puedes exportarlo en el formato .pfx predeterminado. Especifica una contraseña para la exportación.

  4. En Local Computer\Personal\Certificate, ejecuta el Asistente para importación de certificados para importar el archivo exportado desde su ubicación guardada. Especifica la contraseña que usaste para exportarla y asegúrate de que Marcar esta clave como exportable está seleccionada. En la página Almacén de certificados, deja la configuración predeterminada Colocar todos los certificados en el siguiente almacén y asegúrate de que se muestra Personal.

  5. Después de la importación, configura el equipo para que reconozca el servidor DPM como autorizado para realizar copias de seguridad de la siguiente manera:

    1. Obtén la huella digital del certificado. En el almacén de certificados, haz doble clic en el certificado. Selecciona la pestaña Detalles y desplázate hacia abajo hasta la huella digital. Selecciónela, resáltalo y cópialo. Pega la huella digital en el Bloc de notas y quita los espacios.

    2. Navega hasta la carpeta C:\Archivos de programa\Microsoft Data Protection Manager\DPM\bin y ejecuta setdpmserver como se indica a continuación:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Donde ClientThumbprintWithNoSpaces se copia del archivo del Bloc de notas.

    3. Deberías obtener la salida para confirmar que la configuración se completó correctamente.

  6. Recupera el archivo .bin y cópialo en el servidor DPM. Se recomienda copiarlo en la ubicación predeterminada en la que el proceso Attach comprobará el archivo (Windows\System32) para que puedas especificar el nombre de archivo en lugar de la ruta de acceso completa al ejecutar el comando Attach.

Adjuntar el equipo

Adjunta el equipo al servidor DPM mediante el script de PowerShell Attach-ProductionServerWithCertificate.ps1 usando la sintaxis.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName-Name del servidor DPM

  • PSCredential-Name del archivo .bin. Si lo colocaste en la carpeta Windows\System32, solo puedes especificar el nombre de archivo. Asegúrate de especificar el archivo .bin creado en el servidor protegido. Si especificas el archivo .bin creado en el servidor DPM, quitarás todos los equipos protegidos configurados para la autenticación basada en certificados.

Una vez completado el proceso para adjuntar, el equipo protegido debería aparecer en la consola DPM.

Ejemplos

Ejemplo 1

Genera un archivo en c:\\CertMetaData\\ con el nombre CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Donde dpmserver.contoso.com es el nombre del servidor DPM y "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" es la huella digital del certificado de servidor DPM.

Ejemplo 2

Vuelve a generar un archivo de configuración perdido en la carpeta c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Cambio entre la autenticación NTLM y de certificados

Nota:

  • Las siguientes cargas de trabajo agrupadas solo admiten la autenticación de certificados cuando se implementan en un dominio que no es de confianza:
    • Servidor de archivos en clúster
    • Servidor SQL Server en clúster
    • Clúster de Hyper-V
  • Si el agente DPM está configurado actualmente para usar NTLM en un clúster o se configuró originalmente para usar NTLM, pero posteriormente cambió a la autenticación de certificados sin quitar primero el agente DPM, la enumeración del clúster no mostrará ningún recurso para proteger.

Para cambiar de la autenticación NTLM a la autenticación de certificados, siga estos pasos para volver a configurar el agente DPM:

  1. En el servidor DPM, quita todos los nodos del clúster mediante el script Remove-ProductionServer.ps1 de PowerShell.
  2. Desinstale el agente DPM en todos los nodos y elimine la carpeta del agente de C:\Archivos de programa\Microsoft Data Protection Manager.
  3. Siga los pasos descritos en Copia de seguridad mediante autenticación de certificados.
  4. Una vez que los agentes se han implementado y configurado para la autenticación de certificados, comprueba que la actualización del agente funciona y se muestra correctamente (no es de confianza - Certificados) para cada uno de los nodos.
  5. Actualiza los nodos o clústeres para obtener una lista de los orígenes de datos que se van a proteger y vuelve a intentar proteger los recursos agrupados.
  6. Agregue la carga de trabajo para proteger y finalice el Asistente para grupo de protección.