Préparer des machines dans des groupes de travail et des domaines non approuvés pour la sauvegarde

System Center Data Protection Manager (DPM) peut protéger les ordinateurs qui se trouvent dans des domaines ou des groupes de travail non approuvés. Vous pouvez authentifier ces ordinateurs à l’aide d’un compte d’utilisateur local (AUTHENTIFICATION NTLM) ou à l’aide de certificats. Pour les deux types d’authentification, vous devez préparer l’infrastructure avant de pouvoir configurer un groupe de protection qui contient les sources que vous souhaitez sauvegarder.

  1. Installez un certificat : si vous souhaitez utiliser l’authentification par certificat, installez un certificat sur le serveur DPM et sur l’ordinateur que vous souhaitez protéger.

  2. Installez l’agent : installez l’agent sur l’ordinateur que vous souhaitez protéger.

  3. Reconnaître le serveur DPM : configurez l’ordinateur pour reconnaître le serveur DPM pour effectuer des sauvegardes. Pour ce faire, vous allez exécuter la commande SetDPMServer.

  4. Attachez l’ordinateur . Enfin, vous devez attacher l’ordinateur protégé au serveur DPM.

Avant de commencer

Avant de commencer, vérifiez les scénarios de protection pris en charge et les paramètres réseau requis.

Scénarios pris en charge

Type de charge de travail État et prise en charge du serveur protégé
Fichiers Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM et par certificat pour serveur unique. Authentification par certificat uniquement pour cluster.
État du système Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM uniquement
SQL Server Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Mise en miroir non prise en charge.

Authentification NTLM et par certificat pour serveur unique. Authentification par certificat uniquement pour cluster.
Serveur Hyper-V Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification NTLM et par certificat
Cluster Hyper-V Groupe de travail : Non pris en charge

Domaine non approuvé : pris en charge (authentification par certificat uniquement)
Serveur Exchange Groupe de travail : Non applicable

Domaine non approuvé : pris en charge uniquement pour un seul serveur. Cluster non pris en charge. CCR, SCR, DAG non pris en charge. LCR prise en charge.

Authentification NTLM uniquement
Serveur DPM secondaire (pour la sauvegarde du serveur DPM principal)

Notez que les serveurs DPM principaux et secondaires sont dans un domaine approuvé transitif de forêt identique ou bidirectionnel.
Groupe de travail : Pris en charge

Domaine non approuvé : pris en charge

Authentification par certificat uniquement
SharePoint Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
Ordinateurs clients Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
Récupération complète (BMR) Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge
End-user recovery Groupe de travail : Non pris en charge

Domaine non approuvé : non pris en charge

Paramètres réseau

Paramètres Ordinateur situé dans un groupe de travail ou un domaine non approuvé
données de contrôle Protocole : DCOM

Port par défaut : 135

Authentification : NTLM/certificat
Transfert de fichiers Protocole : Winsock

Port par défaut : 5718 et 5719

Authentification : NTLM/certificat
Conditions requises par le compte DPM Compte local sans droits d'administrateur sur le serveur DPM. Utilise une communication NTLM v2
Configuration requise des certificats
Installation de l’agent Agent installé sur un ordinateur protégé
Réseau de périmètre Protection de réseau de périmètre non prise en charge.
IPSEC Vérifiez que IPSEC ne bloque pas les communications.

Sauvegarder en utilisant l’authentification NTLM

Voici ce que vous devez faire :

  1. Installez l’agent : installez l’agent sur l’ordinateur que vous souhaitez protéger.

  2. Configurez l’agent : configurez l’ordinateur pour reconnaître le serveur DPM pour effectuer des sauvegardes. Pour ce faire, vous allez exécuter la commande SetDPMServer.

  3. Attachez l’ordinateur : enfin, vous devez attacher l’ordinateur protégé au serveur DPM.

Installer et configurer l’agent

  1. Sur l'ordinateur à protéger, exécutez DPMAgentInstaller_X64.exe à partir du CD d'installation de DPM pour installer l'agent.

  2. Configurez l'agent en exécutant SetDpmServer comme suit :

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Spécifiez les paramètres comme suit :

    • -DpmServerName : spécifiez le nom du serveur DPM. Utilisez un nom de domaine complet si le serveur et l’ordinateur sont accessibles les uns aux autres à l’aide de noms de domaine complets ou d’un nom NETBIOS.

    • -IsNonDomainServer : permet d’indiquer que le serveur se trouve dans un groupe de travail ou un domaine non approuvé par rapport à l’ordinateur que vous souhaitez protéger. Des exceptions de pare-feu sont créées pour les ports requis.

    • -UserName : spécifiez le nom du compte que vous souhaitez utiliser pour l’authentification NTLM. Pour utiliser cette option, vous devez spécifier l’indicateur -isNonDomainServer. Un compte d’utilisateur local sera créé et l’agent de protection DPM sera configuré pour utiliser ce compte pour l’authentification.

    • -ProductionServerDnsSuffix : utilisez ce commutateur si le serveur a plusieurs suffixes DNS configurés. Ce commutateur représente le suffixe DNS que le serveur utilise pour vous connecter à l’ordinateur que vous protégez.

  4. Une fois la commande terminée, ouvrez la console DPM.

Mise à jour du mot de passe

Si vous voulez mettre à jour le mot de passe pour les informations d'identification NTLM, procédez comme suit sur l'ordinateur protégé :

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Vous devez utiliser la même convention d’affectation de noms (FQDN ou NETBIOS) que celle que vous avez utilisée lors de la configuration de la protection. Sur le serveur DPM, vous devez exécuter l’applet de commande Update -NonDomainServerInfo PowerShell. Vous devez ensuite actualiser les informations de l’agent pour l’ordinateur protégé.

Exemple NetBIOS : Ordinateur protégé : SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword serveur DPM : Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Exemple de nom de domaine complet : Ordinateur protégé : SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword serveur DPM : Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Attach the computer

  1. Dans la console DPM, exécutez l'Assistant Installation de l’agent de protection.

  2. Dans Sélectionnez la méthode de déploiement de l'agent, choisissez Attacher les agents.

  3. Entrez le nom d’ordinateur, le nom d’utilisateur et le mot de passe de l’ordinateur auquel vous souhaitez vous attacher. Il doit s'agir des informations d'identification que vous avez spécifiées lors de l'installation de l'agent.

  4. Passez en revue la page Résumé , puis sélectionnez Attacher.

Vous pouvez également exécuter la commande Windows PowerShell Attach-NonDomainServer.ps1 au lieu d'exécuter l'Assistant. Pour ce faire, examinez l’exemple dans la section suivante.

Exemples

Exemple 1 :

Exemple de configuration d'un ordinateur de groupe de travail une fois l'agent installé :

  1. Sur l'ordinateur, exécutez SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Sur le serveur DPM, exécutez Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Les ordinateurs du groupe de travail étant généralement accessibles uniquement à l'aide du nom NetBIOS, la valeur de DPMServerName doit être le nom NetBIOS.

Exemple 2

Exemple de configuration d'un ordinateur de groupe de travail avec des noms NetBIOS contradictoires une fois l'agent installé :

  1. Sur l'ordinateur de groupe de travail, exécutez SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Sur le serveur DPM, exécutez Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Sauvegarder à l’aide de l’authentification par certificat

Voici comment configurer la protection avec l’authentification par certificat.

  • Chaque ordinateur à protéger doit disposer au moins de .NET Framework 3.5 avec SP1.

  • Le certificat utilisé pour l'authentification doit être conforme aux spécifications suivantes :

    • Certificat X.509 V3.

    • L'utilisation avancée de la clé (EKU, Enhanced Key Usage) doit associer une authentification du client et une authentification du serveur.

    • La longueur de la clé doit être d'au moins 1 024 bits.

    • La clé doit être de type Exchange.

    • Le nom de l’objet du certificat et le certificat racine ne doivent pas être vides.

    • Les serveurs de révocation des autorités de certification associées sont en ligne et accessibles tant par le serveur protégé que par le serveur DPM.

    • Le certificat doit avoir une clé privée associée.

    • DPM ne prend pas en charge les certificats avec des clés CNG.

    • DPM ne prend pas en charge les certificats auto-signés.

  • Chaque ordinateur que vous souhaitez protéger (y compris les ordinateurs virtuels) doit avoir son propre certificat.

Configuration de la protection

  1. Créer un modèle de certificat DPM

  2. Configurer un certificat sur le serveur DPM

  3. Installer l’agent

  4. Configurer un certificat sur l’ordinateur protégé

  5. Attacher l’ordinateur

Création d'un modèle de certificat DPM

Vous pouvez éventuellement configurer un modèle DPM pour l'inscription via le web. Si vous ne le souhaitez pas, sélectionnez un modèle associé à une authentification du client et du serveur. Par exemple :

  1. Dans le composant logiciel enfichable MMC Modèles de certificat, vous pouvez sélectionner le modèle RAS et SERVEUR IAS . Cliquez avec le bouton droit, puis sélectionnez Modèle dupliqué.

  2. Dans Modèle dupliqué, laissez le paramètre par défaut Windows Server 2003 Enterprise Edition.

  3. Sous l'onglet Général , modifiez le nom d'affichage du modèle en nom reconnaissable. Par exemple, l’authentification DPM. Vérifiez que le paramètre Publier le certificat dans Active Directory est activé.

  4. Sous l’onglet Gestion des demandes, vérifiez que l’option Autoriser l’exportation de la clé privée est activée.

  5. Une fois que vous avez créé le modèle, rendez-le disponible pour une utilisation. Ouvrez le composant logiciel enfichable Autorité de certification. Cliquez avec le bouton droit sur Modèles de certificats, sélectionnez Nouveau, puis choisissez Modèle de certificat à délivrer. Dans Activer le modèle de certificat, sélectionnez le modèle et sélectionnez OK. À présent, le modèle est disponible lorsque vous obtenez un certificat.

Activation de l'inscription ou de l'inscription automatique

Si vous souhaitez configurer le modèle pour l’inscription ou l’inscription automatique, sélectionnez l’onglet Nom de l’objet dans les propriétés du modèle. Lorsque vous configurez l’inscription, le modèle peut être sélectionné dans la console MMC. Si vous configurez l’inscription automatique, le certificat est automatiquement affecté à tous les ordinateurs du domaine.

  • Pour l'inscription, sous l'onglet Nom du sujet des propriétés du modèle, activez l'option Construire à partir de ces informations Active Directory. Dans le format du nom de l’objet, sélectionnez Nom commun et activez le nom DNS. Accédez ensuite à l'onglet Sécurité, puis attribuez l'autorisation Inscription aux utilisateurs authentifiés.

  • Pour l'inscription automatique, accédez à l'onglet Sécurité , puis attribuez l'autorisation Inscription automatique aux utilisateurs authentifiés. Avec ce paramètre activé, le certificat est automatiquement affecté à tous les ordinateurs du domaine.

  • Si vous avez configuré l’inscription, vous serez en mesure de demander un nouveau certificat dans la console MMC en fonction du modèle. Pour ce faire, sur l'ordinateur protégé, dans Certificats (ordinateur Local)>Personnel, cliquez avec le bouton droit sur Certificats. Select Toutes les tâches>Demander un nouveau certificat. Dans la page Sélectionner une stratégie d’inscription de certificat de l’Assistant, sélectionnez Stratégie d’inscription Active Directory. Dans Demander des certificats, vous verrez le modèle. Développez Détails et sélectionnez Propriétés. Sélectionnez l'onglet Général , puis entrez un nom convivial. Après avoir appliqué les paramètres, vous devez recevoir un message indiquant que le certificat a été installé correctement.

Configurer un certificat sur le serveur DPM

  1. Générez un certificat à partir d’une autorité de certification pour le serveur DPM via l’inscription web ou une autre méthode. Dans l’inscription web, sélectionnez un certificat avancé requis et créez et envoyez une demande à cette autorité de certification. Vérifiez que la taille de la clé est 1024 ou supérieure, et que la clé Marquer comme exportable est sélectionnée.

  2. Le certificat est placé dans le magasin d'utilisateurs. Vous devez le déplacer vers le magasin d’ordinateurs locaux.

  3. Pour ce faire, exportez le certificat à partir du magasin d’utilisateurs. Veillez à l’exporter avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

  4. Dans Ordinateur local\Personnel\Certificat, exécutez l’Assistant Importation de certificat pour importer le fichier exporté à partir de son emplacement enregistré. Spécifiez le mot de passe que vous avez utilisé pour l’exporter et assurez-vous que marquer cette clé comme exportable est sélectionné. Dans la page Magasin de certificats, conservez le paramètre par défaut Placez tous les certificats dans le magasin suivant et assurez-vous que Personnel est affiché.

  5. Après l’importation, définissez les informations d’identification DPM pour utiliser le certificat comme suit :

    1. Obtenez l'empreinte numérique du certificat. Dans le magasin certificats , double-cliquez sur le certificat. Sélectionnez l’onglet Détails , puis faites défiler jusqu’à l’empreinte numérique. Sélectionnez-le, puis mettez-le en surbrillance et copiez-le. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

    2. Exécutez Set-DPMCredentials pour configurer le serveur DPM :

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type : indique le type d’authentification. Valeur : certificat.

    • -Action : spécifiez si vous souhaitez exécuter la commande pour la première fois ou régénérer les informations d’identification. Valeurs possibles : régénérer ou configurer.

    • -OutputFilePath : emplacement du fichier de sortie utilisé dans Set-DPMServer sur l’ordinateur protégé.

    • -Empreinte - Copie à partir du fichier bloc-notes .

    • -AuthCAThumbprint - Empreinte de l’autorité de certification dans la chaîne d’approbation du certificat. facultatif. À défaut de spécification, la racine est utilisée.

  6. Cela génère un fichier de métadonnées (.bin) requis au moment de chaque installation de l'agent dans un domaine non approuvé. Vérifiez que le dossier C :\Temp existe avant d’exécuter la commande.

    Remarque

    Si le fichier est perdu ou supprimé, vous pouvez le recréer en exécutant le script avec l’option -action régénérer .

  7. Récupérez le fichier .bin et copiez-le dans le dossier C:\Program Files\Microsoft Data Protection Manager\DPM\bin sur l'ordinateur que vous voulez protéger. Vous n’avez pas besoin de le faire, mais si vous n’avez pas besoin de spécifier le chemin d’accès complet du fichier pour le paramètre -DPMcredential lorsque vous

  8. Répétez ces étapes sur chaque serveur DPM qui protégera un ordinateur dans un groupe de travail ou dans un domaine non approuvé.

Installer l’agent

  1. Sur chaque ordinateur que vous souhaitez protéger, exécutez DPMAgentInstaller_X64.exe à partir du CD d'installation de DPM pour installer l'agent.

Configuration d'un certificat sur l'ordinateur protégé

  1. Générez un certificat d'une autorité de certification pour le serveur protégé, à l'aide d'une inscription via le web ou d'une autre méthode. Dans l’inscription web, sélectionnez un certificat avancé requis et créez et envoyez une demande à cette autorité de certification. Vérifiez que la taille de la clé est 1024 ou supérieure et que la clé Marquer comme exportable est sélectionnée.

  2. Le certificat est placé dans le magasin d'utilisateurs. Vous devez le déplacer vers le magasin d’ordinateurs locaux.

  3. Pour ce faire, exportez le certificat à partir du magasin d’utilisateurs. Veillez à l’exporter avec la clé privée. Vous pouvez l'exporter au format .pfx par défaut. Spécifiez un mot de passe pour l'exportation.

  4. Dans Ordinateur local\Personnel\Certificat, exécutez l’Assistant Importation de certificat pour importer le fichier exporté à partir de son emplacement enregistré. Spécifiez le mot de passe que vous avez utilisé pour l’exporter et assurez-vous que marquer cette clé comme exportable est sélectionné. Dans la page Magasin de certificats, conservez le paramètre par défaut Placez tous les certificats dans le magasin suivant et assurez-vous que Personnel est affiché.

  5. Après l’importation, configurez l’ordinateur pour reconnaître le serveur DPM comme autorisé à effectuer des sauvegardes comme suit :

    1. Obtenez l'empreinte numérique du certificat. Dans le magasin certificats , double-cliquez sur le certificat. Sélectionnez l’onglet Détails , puis faites défiler jusqu’à l’empreinte numérique. Sélectionnez-le, puis mettez-le en surbrillance et copiez-le. Collez l'empreinte numérique dans le Bloc-notes en supprimant les espaces éventuelles.

    2. Accédez au dossier C :\Program files\Microsoft Data Protection Manager\DPM\bin, puis exécutez setdpmserver comme suit :

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Où ClientThumbprintWithNoSpaces est copié à partir du fichier du Bloc-notes.

    3. Vous devez obtenir la sortie pour confirmer que la configuration a été correctement effectuée.

  6. Récupérez le fichier .bin et copiez-le sur le serveur DPM. Nous vous suggérons de le copier à l’emplacement par défaut dans lequel le processus d’attachement recherche le fichier (Windows\System32) afin que vous puissiez simplement spécifier le nom du fichier au lieu du chemin complet lorsque vous exécutez la commande Attach.

Attach the computer

Pour attacher l'ordinateur au serveur DPM à l'aide du script PowerShell Attach-ProductionServerWithCertificate.ps1, utilisez la syntaxe.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName-Name du serveur DPM

  • PSCredential-Name du fichier .bin. Si vous l’avez placé dans le dossier Windows\System32, vous pouvez spécifier le nom de fichier uniquement. Vérifiez que vous spécifiez le fichier .bin créé sur le serveur protégé. Si vous spécifiez le fichier .bin créé sur le serveur DPM, vous supprimez tous les ordinateurs protégés configurés pour l’authentification basée sur un certificat.

Une fois le processus d’attachement terminé, l’ordinateur protégé doit apparaître dans la console DPM.

Exemples

Exemple 1 :

Génère un fichier avec c:\\CertMetaData\\ un nom CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Où dpmserver.contoso.com est le nom du serveur DPM et « cf822d9ba1c801ef40d4b31de0cfcb200a8a2496 » est l’empreinte numérique du certificat de serveur DPM.

Exemple 2

Régénère un fichier de configuration perdue dans le dossier c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Basculer entre l’authentification NTLM et l’authentification par certificat

Remarque

  • Les charges de travail en cluster suivantes prennent uniquement en charge l’authentification par certificat lorsqu’elles sont déployées dans un domaine non approuvé :
    • Serveur de fichiers en cluster
    • SQL Server en cluster
    • Cluster Hyper-V
  • Si l’agent DPM est actuellement configuré pour utiliser NTLM sur un cluster ou a été initialement configuré pour utiliser NTLM, mais qu’il est passé ultérieurement à l’authentification par certificat sans d’abord supprimer l’agent DPM, l’énumération du cluster n’affiche aucune ressource à protéger.

Pour passer de l’authentification NTLM à l’authentification par certificat, procédez comme suit pour reconfigurer l’agent DPM :

  1. Sur le serveur DPM, supprimez tous les nœuds du cluster à l’aide du script PowerShell Remove-ProductionServer.ps1 .
  2. Désinstallez l’agent DPM sur tous les nœuds, puis supprimez le dossier de l’agent sous C:\Program Files\Microsoft Data Protection Manager.
  3. Suivez les étapes de la section Sauvegarde à l’aide de l’authentification par certificat.
  4. Une fois les agents déployés et configurés pour l’authentification par certificat, vérifiez que l’actualisation de l’agent fonctionne et qu’elle affiche correctement (non approuvé - Certificats) pour chacun des nœuds.
  5. Actualisez les nœuds/cluster pour obtenir la liste des sources de données à protéger ; réessayez de protéger les ressources en cluster.
  6. Ajoutez la charge de travail à protéger et terminez l’Assistant Groupe de protection.