Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Preparare i computer in gruppi di lavoro e domini non attendibili per il backup

Mark Galioto|Ultimo aggiornamento: 02/12/2016
|
1 Collaboratore

Si applica a: System Center 2016 - Data Protection Manager

DPM può proteggere i computer presenti in domini o gruppi di lavoro non attendibili. Puoi autenticare questi computer con un account utente locale (autenticazione NTLM) o con i certificati. Per entrambi i tipi di autenticazione è necessario preparare l'infrastruttura prima di poter impostare un gruppo protezione dati che contiene le origini di cui eseguire il backup.

  1. Installare un certificato: se si vuole usare l'autenticazione del certificato, installare un certificato nel server DPM e nel computer che si vuole proteggere.

  2. Installare l'agente: installare l'agente nel computer che si vuole proteggere.

  3. Riconoscere il server DPM: configurare il computer per poter riconoscere il server DPM per eseguire i backup. A tale scopo, eseguire il comando SetDPMServer.

  4. Collegare il computer: alla fine è necessario collegare il computer protetto al server DPM.

Prima di iniziare

Prima di iniziare, controllare gli scenari di protezione supportati e le impostazioni di rete necessarie

Scenari supportati

Supporto
FileGruppo di lavoro: Supportato

Non attendibile: Supportato

Autenticazione NTLM e del certificato per un singolo server. Autenticazione del certificato solo per il cluster.
Stato del sistemaGruppo di lavoro: Supportato

Non attendibile: Supportato

Solo autenticazione NTLM
SQL ServerGruppo di lavoro: Supportato

Non attendibile: Supportato

Mirroring non supportato.

Autenticazione NTLM e del certificato per un singolo server. Autenticazione del certificato solo per il cluster.
Server Hyper-VGruppo di lavoro: Supportato

Non attendibile: Supportato

Autenticazione NTLM e certificati
Cluster Hyper-VGruppo di lavoro: Supportato

Non attendibile: Supportato

CSV non supportato.

Solo autenticazione del certificato
Exchange ServerGruppo di lavoro: Non applicabile

Non attendibile: Supportato solo per un singolo server. Cluster non supportato. CCR, SCR, DAG non supportati. LCR supportato

Solo autenticazione NTLM
Server DPM secondario (per il backup del server DPM primario)Gruppo di lavoro: Supportato

Non attendibile: Supportato

Solo autenticazione del certificato
SharePointGruppo di lavoro: Non supportato

Non attendibile: Non supportato
Computer clientGruppo di lavoro: Non supportato

Non attendibile: Non supportato
Ripristino bare metal (BMR)Gruppo di lavoro: Non supportato

Non attendibile: Non supportato
Recupero dati gestito dall'utenteGruppo di lavoro: Non supportato

Non attendibile: Non supportato

Impostazioni di rete

ImpostazioniComputer in un gruppo di lavoro o in un dominio non attendibile
Dati di controlloProtocollo: DCOM

Porta predefinita: 135

Autenticazione: NTLM/certificato
Trasferimento di fileProtocollo: Winsock

Porta predefinita: 5718 e 5719

Autenticazione: NTLM/certificato
Requisiti dell'account DPMAccount locale senza diritti di amministratore nel server DPM. Usa la comunicazione NTLM v2
Requisiti del certificato
Installazione dell'agenteAgente installato nel computer protetto
Rete perimetraleProtezione della rete perimetrale non supportata.
IPSECAssicurarsi che IPSEC non blocchi le comunicazioni.

Eseguire il backup usando un'autenticazione NTLM

Operazioni da eseguire:

  1. Installare l'agente: installare l'agente nel computer da proteggere.

  2. Configurare l'agente: configurare il computer in modo che riconosca il server DPM per l'esecuzione di backup. A tale scopo, eseguire il comando SetDPMServer.

  3. Collegare il computer: alla fine è necessario collegare il computer protetto al server DPM.

Installare e configurare l'agente

  1. Nel computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

  2. Configura l'agente eseguendo SetDpmServer come indicato di seguito:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
    
  3. Specifica i parametri come segue:

    • -DpmServerName: specificare il nome del server DPM. Usa un FQDN (se il server e il computer possono comunicare fra loro usando i FQDN) oppure un nome NETBIOS.

    • -IsNonDomainServer: indicare che il server è in un gruppo di lavoro o in un dominio non attendibile in relazione al computer che si vuole proteggere. Vengono create le eccezioni del firewall per le porte necessarie.

    • -UserName: specificare il nome dell'account da usare per l'autenticazione NTLM. Per usare questa opzione, deve essere specificato il flag -isNonDomainServer. Verrà creato un account utente locale e l'agente protezione di DPM verrà configurato per usare questo account ai fini dell'autenticazione.

    • -ProductionServerDnsSuffix: usare questa opzione se per il server sono stati configurati più suffissi DNS. Questa opzione rappresenta il suffisso DNS usato dal server per connettersi al computer da proteggere.

  4. Una volta che il comando è stato completato correttamente, apri la console di DPM.

Aggiornare la password

Se in qualsiasi momento vuoi aggiornare la password per le credenziali NTLM, esegui il comando seguente nel computer protetto:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Si deve usare la stessa convenzione di denominazione (FQDN o NETBIOS) usata durante la configurazione della protezione. Nel server DPM si deve eseguire il cmdlet Update -NonDomainServerInfo di PowerShell. Quindi si devono aggiornare le informazioni dell'agente per il computer protetto.

Esempio con NetBIOS: Computer protetto: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

Esempio con FQDN: Computer protetto: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword Server DPM: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Collegare il computer

  1. Nella console di DPM esegui l'Installazione guidata agenti protezione.

  2. In Selezionare metodo di distribuzione agentiseleziona Collega agenti.

  3. Immetti il nome del computer, il nome utente e la password per il computer che vuoi collegare. Queste devono essere le credenziali che hai specificato durante l'installazione dell'agente.

  4. Nella pagina Riepilogo fai clic su Collega.

Facoltativamente, puoi eseguire il comando di Windows PowerShell Attach-NonDomainServer.ps1 invece di eseguire la procedura guidata. A tale scopo, esamina l'esempio nella sezione seguente.

Esempi

Esempio 1

Esempio per configurare un computer di un gruppo di lavoro dopo l'installazione dell'agente:

  1. Nel computer esegui SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark.

  2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark.

Poiché i computer del gruppo di lavoro in genere sono accessibili solo tramite il nome NetBIOS, il valore per DPMServerName deve essere il nome NetBIOS.

Esempio 2

Esempio per configurare un computer di un gruppo di lavoro con nomi NetBIOS in conflitto dopo l'installazione dell'agente.

  1. Nel computer del gruppo di lavoro esegui SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com.

  2. Nel server DPM eseguire Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark.

Backup tramite l'autenticazione del certificato

Di seguito viene illustrato come impostare la protezione con l'autenticazione del certificato.

  • In ogni computer che vuoi proteggere deve essere installato almeno .NET Framework 3.5 con SP1.

  • Il certificato usato per l'autenticazione deve essere conforme ai seguenti requisiti:

    • Certificato X.509 V3

    • L'Utilizzo chiavi avanzato (EKU) deve disporre dell'autenticazione client e dell'autenticazione server.

    • La lunghezza della chiave deve essere di almeno 1024 bit.

    • Il tipo di chiave deve essere di scambio.

    • Il nome soggetto del certificato e il certificato radice non devono essere vuoti.

    • I server di revoca delle autorità di certificazione associate sono online e accessibili sia dal server protetto che dal server DPM

    • Il certificato deve disporre della chiave privata associata

    • DPM non supporta i certificati con chiavi CNG

    • DPM non supporta i certificati autofirmati.

  • Ogni computer che vuoi proteggere (incluse le macchine virtuali) deve disporre del proprio certificato.

Configurare la protezione

  1. Creare un modello di certificato DPM

  2. Configurare un certificato nel server DPM.

  3. Installare l'agente

  4. Configurare un certificato nel computer protetto

  5. Collegare il computer

Creare un modello di certificato DPM

Puoi impostare facoltativamente un modello DPM per la registrazione Web. Se vuoi eseguire questa operazione, seleziona un modello con l'autenticazione client e l'autenticazione server come scopo previsto. Ad esempio:

  1. Nello snap-in MMC Modelli di certificato puoi selezionare il modello Server RAS e IAS . Fai clic su di esso con il pulsante destro del mouse e seleziona Duplica modello.

  2. In Duplica modellomantieni l'impostazione predefinita Windows Server 2003 Enterprise.

  3. Nella scheda Generale modifica il nome visualizzato del modello in modo da renderlo riconoscibile. Ad esempio, Autenticazione DPM. Assicurati che l'impostazione Pubblica certificato in Active Directory sia abilitata.

  4. Nella scheda Gestione richiesta verifica che l'impostazione Rendi la chiave privata esportabile sia abilitata.

  5. Dopo aver creato il modello, renderlo disponibile per l'uso. Aprire lo snap-Autorità di certificazione. Fare clic con il pulsante destro del mouse su Modelli di certificato, selezionare Nuovo, quindi scegliere Modello di certificato da rilasciare. In Abilita modello di certificato seleziona il modello e fai clic su OK. A questo punto il modello sarà disponibile quando ottieni un certificato.

Abilitare la registrazione o la registrazione automatica

Se vuoi configurare facoltativamente il modello per la registrazione o la registrazione automatica, fai clic sulla scheda Nome soggetto nelle proprietà del modello. Quando configuri la registrazione, il modello può essere selezionato in MMC. Se configuri la registrazione automatica, il certificato viene assegnato automaticamente a tutti i computer nel dominio.

  • Per la registrazione, nella scheda Nome soggetto delle proprietà del modello abilita Crea in base alle informazioni di Active Directory. In Formato del nome soggetto seleziona Nome comune e abilita Nome DNS. Passa quindi alla scheda Sicurezza e assegna l'autorizzazione Registrazione agli utenti autenticati.

  • Per la registrazione automatica, passa alla scheda Sicurezza e assegna l'autorizzazione Registrazione automatica agli utenti autenticati. Con questa impostazione abilitata, il certificato verrà assegnato automaticamente a tutti i computer nel dominio.

  • Se è stata configurata la registrazione, è possibile richiedere un nuovo certificato in MMC in base al modello. A tale scopo, nel computer protetto, in Certificati (computer locale) > Personale, fai doppio clic su Certificati. Select Tutte le attività > Richiedi nuovo certificato. Nella pagina Seleziona criteri di registrazione certificato della procedura guidata seleziona Criteri di registrazione Active Directory. Il modello verrà visualizzato in Richiedi certificati. Espandi Dettagli e fai clic su Proprietà. Seleziona la scheda Generale e specifica un nome descrittivo. Dopo aver applicato le impostazioni, dovrebbe essere visualizzato un messaggio che indica che il certificato è stato installato.

Configurare un certificato nel server DPM

  1. Generare un certificato da un'autorità di certificazione per il server DPM , tramite la registrazione Web o con un altro metodo. Nella registrazione Web seleziona richiesta avanzata di certificatie Creare e inviare una richiesta a questa CA. Assicurati che la dimensione della chiave sia 1024 o superiore e che l'opzione Contrassegna le chiavi come esportabili sia selezionata.

  2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio del computer locale.

  3. A tale scopo, esporta il certificato dall'archivio dell'utente. Assicurati di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

  4. In Computer locale\Personale\Certificati esegui l'Importazione guidata certificati per importare il file esportato dal percorso in cui è stato salvato. Specifica la password usata per esportarlo e assicurati che l'opzione Contrassegna questa chiave come esportabile sia selezionata. Nella pagina Archivio certificati mantieni l'impostazione predefinita Mettere tutti i certificati nel seguente archivioe assicurati che sia visualizzato Personale .

  5. Dopo l'importazione, imposta le credenziali di DPM per l'uso del certificato, come indicato di seguito:

    1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fai doppio clic sul certificato. Seleziona la scheda Dettagli e scorri verso il basso fino all'identificazione personale. Fai clic su di essa, evidenziala e copiala. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

    2. Eseguire Set-DPMCredentials per configurare il server DPM:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
      
    • -Type: indica il tipo di autenticazione. Valore: certificate.

    • -Action: specifica se si vuole eseguire il comando per la prima volta o rigenerare le credenziali. Valori possibili: regenerate o configure.

    • -OutputFilePath: percorso del file di output usato in Set-DPMServer nel computer protetto.

    • -Thumbprint: copia dal file di Blocco note.

    • -AuthCAThumbprint: identificazione personale dell'autorità di certificazione nella catena affidabile di certificati. Facoltativo. Se non specificato, viene usato Root.

  6. Verrà generato un file di metadati (.bin), che è richiesto al momento dell'installazione di ogni agente in un dominio non trusted. Assicurati che la cartella C:\Temp sia presente prima di eseguire il comando. Si noti che se il file è perso o viene eliminato, è possibile ricrearlo eseguendo lo script con l'opzione -action regenerate.

  7. Recupera il file con estensione bin e copialo nella cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin nel computer che vuoi proteggere. Non è necessario eseguire questa operazione, ma in caso contrario si deve specificare il percorso completo del file per il parametro -DPMcredential.

  8. Ripetere questi passaggi in ogni server DPM che protegge un computer in un gruppo di lavoro o un dominio non attendibile.

Installare l'agente

  1. In ogni computer che vuoi proteggere, esegui DPMAgentInstaller_X64.exe dal CD di installazione di DPM per installare l'agente.

Configurare un certificato nel computer protetto

  1. Genera un certificato da un'autorità di certificazione per il computer protetto, tramite la registrazione Web o un altro metodo. Nella registrazione Web seleziona richiesta avanzata di certificatie Creare e inviare una richiesta a questa CA. Assicurati che la dimensione della chiave sia 1024 o superiore e che l'opzione Contrassegna le chiavi come esportabili sia selezionata.

  2. Il certificato viene inserito nell'archivio dell'utente. È necessario spostarlo nell'archivio del computer locale.

  3. A tale scopo, esporta il certificato dall'archivio dell'utente. Assicurati di esportarlo con la chiave privata. Puoi esportarlo nel formato .pfx predefinito. Specifica una password per l'esportazione.

  4. In Computer locale\Personale\Certificati esegui l'Importazione guidata certificati per importare il file esportato dal percorso in cui è stato salvato. Specifica la password usata per esportarlo e assicurati che l'opzione Contrassegna questa chiave come esportabile sia selezionata. Nella pagina Archivio certificati mantieni l'impostazione predefinita Mettere tutti i certificati nel seguente archivioe assicurati che sia visualizzato Personale .

  5. Dopo l'importazione, configura il computer in modo da riconoscere il server DPM come autorizzato per l'esecuzione di backup, come indicato di seguito

    1. Ottieni l'identificazione personale per il certificato. Nell'archivio Certificati fai doppio clic sul certificato. Seleziona la scheda Dettagli e scorri verso il basso fino all'identificazione personale. Fai clic su di essa, evidenziala e copiala. Incolla l'identificazione personale in Blocco note e rimuovi eventuali spazi.

    2. Passa alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin. Esegui setdpmserver come indicato di seguito:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
      

      Dove ClientThumbprintWithNoSpaces è copiato dal file di Blocco note.

    3. L'output visualizzato dovrebbe confermare che la configurazione è stata completata.

  6. Recupera il file con estensione bin e copialo nel server DPM. È consigliabile copiarlo nel percorso predefinito in cui il processo Attach verifica la presenza del file (Windows\System32), in modo da poter specificare solo il nome del file anziché il percorso completo quando esegui il comando Attach.

Collegare il computer

Puoi collegare il computer al server DPM usando lo script di PowerShell Attach-ProductionServerWithCertificate.ps1 con la seguente sintassi.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
  • -DPMServerName: nome del server DPM

  • PSCredential: nome del file con estensione bin. Se lo hai inserito nella cartella Windows\System32, puoi specificare solo il nome del file. Assicurati di specificare il file con estensione bin creato nel server protetto. Se si specifica il file con estensione bin creato nel server DPM, verranno rimossi tutti i computer protetti configurati per l'autenticazione basata sul certificato.

Al termine del processo di collegamento, il computer protetto dovrebbe essere visualizzato nella console DPM.

Esempi

Esempio 1

Genera un file in c:\\CertMetaData\\ con nome CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Dove dpmserver.contoso.com è il nome del server DPM e "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" è l'identificazione personale del certificato del server DPM.

Esempio 2

Rigenera un file di configurazione perso nella cartella c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
© 2017 Microsoft