Vorbereiten von Computern in Arbeitsgruppen und nicht vertrauenswürdigen Domänen auf die Sicherung
Wichtig
Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.
System Center Data Protection Manager (DPM) kann zum Schutz von Computern in nicht vertrauenswürdigen Domänen oder Arbeitsgruppen verwendet werden. Sie können diese Computer mithilfe eines lokalen Benutzerkontos (NTLM-Authentifizierung) oder mithilfe von Zertifikaten authentifizieren. Für beide Arten der Authentifizierung müssen Sie die Infrastruktur vorbereiten, bevor Sie eine Schutzgruppe einrichten können, die die zu sichernden Datenquellen enthält.
Installieren eines Zertifikats : Wenn Sie die Zertifikatauthentifizierung verwenden möchten, installieren Sie ein Zertifikat auf dem DPM-Server und auf dem Computer, den Sie schützen möchten.
Installieren Sie den Agent : Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.
Erkennen des DPM-Servers : Konfigurieren Sie den Computer, um den DPM-Server für die Ausführung von Sicherungen zu erkennen. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.
Computer anfügen : Zuletzt müssen Sie den geschützten Computer an den DPM-Server anfügen.
Vorbereitung
Bevor Sie beginnen, sollten Sie sich die unterstützten Schutzszenarien und erforderlichen Netzwerkeinstellungen ansehen.
Unterstützte Szenarien
Workloadtyp | Status und Unterstützung für geschützte Server |
---|---|
Dateien | Arbeitsgruppe: Unterstützt Nicht vertrauenswürdige Domäne: Unterstützt NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster. |
Systemstatus | Arbeitsgruppe: Unterstützt Nicht vertrauenswürdige Domäne: Unterstützt Nur NTLM-Authentifizierung |
SQL Server | Arbeitsgruppe: Unterstützt Nicht vertrauenswürdige Domäne: Unterstützt Spiegelung nicht unterstützt. NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster. |
Hyper-V-Server | Arbeitsgruppe: Unterstützt Nicht vertrauenswürdige Domäne: Unterstützt NTLM und zertifikatsbasierte Authentifizierung |
Hyper-V-Cluster | Arbeitsgruppe: Nicht unterstützt Nicht vertrauenswürdige Domäne: Unterstützt (nur Zertifikatauthentifizierung) |
Exchange Server | Arbeitsgruppe: Nicht zutreffend Nicht vertrauenswürdige Domäne: Nur für einen einzelnen Server unterstützt. Cluster nicht unterstützt. CCR, SCR, DAG nicht unterstützt. LCR unterstützt. Nur NTLM-Authentifizierung |
Sekundärer DPM-Server (für die Sicherung des primären DPM-Servers) Beachten Sie, dass sich sowohl der primäre als auch der sekundäre DPM-Server in einer transitiven und bidirektionalen Gesamtstruktur-vertrauenswürdigen Domäne befinden. |
Arbeitsgruppe: Unterstützt Nicht vertrauenswürdige Domäne: Unterstützt Nur zertifikatbasierte Authentifizierung |
SharePoint | Arbeitsgruppe: Nicht unterstützt Nicht vertrauenswürdige Domäne: Nicht unterstützt |
Clientcomputer | Arbeitsgruppe: Nicht unterstützt Nicht vertrauenswürdige Domäne: Nicht unterstützt |
Bare-Metal-Recovery (BMR) | Arbeitsgruppe: Nicht unterstützt Nicht vertrauenswürdige Domäne: Nicht unterstützt |
Wiederherstellung durch Endbenutzer | Arbeitsgruppe: Nicht unterstützt Nicht vertrauenswürdige Domäne: Nicht unterstützt |
Netzwerkeinstellungen
Einstellungen | Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne |
---|---|
Steuerungsdaten | Protokoll: DCOM Standardport: 135 Authentifizierung: NTLM/Zertifikat |
Dateiübertragung | Protokoll: Winsock Standardport: 5718 und 5719 Authentifizierung: NTLM/Zertifikat |
Anforderungen für DPM-Konto | Lokales Konto ohne Administratorrechte auf dem DPM-Server. Verwendet NTLM v2-Kommunikation |
Zertifikatanforderungen | |
Installation des Agenten | Auf dem geschützten Computer installierter Agent |
Umkreisnetzwerk | Schutz des Umkreisnetzwerks nicht unterstützt. |
IPSEC | Stellen Sie sicher, dass die Kommunikation nicht durch IPSEC blockiert wird. |
Sichern mit NTLM-Authentifizierung
Gehen Sie wie folgt vor:
Installieren des Agents: Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.
Konfigurieren des Agents: Konfigurieren Sie den Computer, damit dieser den DPM-Server zum Erstellen von Sicherungen erkennt. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.
Computer anfügen: Schließlich müssen Sie den geschützten Computer an den DPM-Server anfügen.
Installieren und Konfigurieren des Agents
Führen Sie auf dem zu schützenden Computer die Datei „DPMAgentInstaller_X64.exe“ von der DPM-Installations-CD aus, um den Agent zu installieren.
Gehen Sie wie folgt vor, um den Agent durch Ausführen von „SetDpmServer“ zu konfigurieren:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]
Geben Sie die Parameter wie folgt an:
-DpmServerName : Geben Sie den Namen des DPM-Servers an. Verwenden Sie entweder einen FQDN, wenn auf Server und Computer über FQDNs oder einen NETBIOS-Namen zugegriffen werden kann.
-IsNonDomainServer : Verwenden Sie, um anzugeben, dass sich der Server in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne in Bezug auf den Computer befindet, den Sie schützen möchten. Firewallausnahmen werden für erforderliche Ports erstellt.
-Benutzername : Geben Sie den Namen des Kontos an, das Sie für die NTLM-Authentifizierung verwenden möchten. Um diese Option zu verwenden, sollte das Flag -isNonDomainServer angegeben sein. Ein lokales Benutzerkonto wird erstellt, und der DPM-Schutz-Agent wird so konfiguriert, dass dieses Konto für die Authentifizierung verwendet wird.
ProductionServerDnsSuffix : Verwenden Sie diesen Switch, wenn auf dem Server mehrere DNS-Suffixe konfiguriert sind. Diese Option stellt das DNS-Suffix dar, mit dem der Server die Verbindung mit dem Computer herstellt, den Sie schützen.
Wenn der Befehl erfolgreich abgeschlossen wurde, öffnen Sie die DPM-Konsole.
Aktualisieren des Kennworts
Wenn Sie zu einem beliebigen Zeitpunkt das Kennwort für die NTLM-Anmeldeinformationen aktualisieren möchten, führen Sie den folgenden Befehl auf dem geschützten Computer aus:
SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword
Sie müssen dieselbe Benennungskonvention (FQDN oder NETBIOS) verwenden, die Sie beim Konfigurieren des Schutzes verwendet haben. Auf dem DPM-Server müssen Sie das PowerShell-Cmdlet Update -NonDomainServerInfo ausführen. Anschließend müssen Sie die Agentinformationen für den geschützten Computer aktualisieren.
NetBIOS-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword
DPM-Server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01
FQDN-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword
DPM-Server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com
Anfügen des Computers
Führen Sie in der DPM-Konsole den Installations-Assistenten für Schutz-Agents aus.
Wählen Sie in Agentbereitstellungsmethode auswählen die Option Agents verbinden aus.
Geben Sie den Computernamen, den Benutzernamen und das Kennwort für den Computer ein, an den Sie anfügen möchten. Hierbei sollte es sich um die Anmeldeinformationen handeln, die Sie beim Installieren des Agents angegeben haben.
Überprüfen Sie die Seite Zusammenfassung , und wählen Sie Anfügen aus.
Sie können optional den Windows PowerShell-Befehl „Attach-NonDomainServer.ps1“ anstelle des Assistenten ausführen. Betrachten Sie hierzu das Beispiel im nächsten Abschnitt.
Beispiele
Beispiel 1
Beispiel zum Konfigurieren eines Arbeitsgruppencomputers nach der Installation des Agents:
Führen Sie auf dem Computer
SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark
aus.Führen Sie auf dem DPM-Server
Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark
aus.
Da auf die Arbeitsgruppencomputer in der Regel nur über den NetBIOS-Namen zugegriffen werden kann, muss der Wert für „DPMServerName“ dem NetBIOS-Namen entsprechen.
Beispiel 2
Beispiel zum Konfigurieren eines Arbeitsgruppencomputers mit in Konflikt stehenden NetBIOS-Namen nach der Installation des Agents.
Führen Sie auf dem Arbeitsgruppencomputer
SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com
aus.Führen Sie auf dem DPM-Server
Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark
aus.
Sichern mit Zertifikatauthentifizierung
So richten Sie den Schutz mit zertifikatbasierter Authentifizierung ein
Auf jedem zu schützenden Computer muss mindestens .NET Framework 3.5 mit SP1 installiert sein.
Das Zertifikat, das Sie für die Authentifizierung verwenden, muss die folgenden Anforderungen erfüllen:
X.509 V3-Zertifikat.
Erweiterte Schlüsselverwendung (EKU) muss zur Client- und Serverauthentifizierung gehören.
Die Schlüssellänge muss mindestens 1024 Bit betragen.
Der Schlüsseltyp muss exchangelauten.
Der Antragstellername des Zertifikats und das Stammzertifikat sollten nicht leer sein.
Die Sperrserver der zugehörigen Zertifizierungsstellen sind online, und sowohl der geschützte Server als auch der DPM-Server können darauf zugreifen.
Das Zertifikat sollte über einen zugeordneten privaten Schlüssel verfügen.
DPM unterstützt keine Zertifikate mit CNG-Schlüsseln.
DPM unterstützt keine selbstsignierten Zertifikate.
Jeder zu schützende Computer (einschließlich virtuelle Computer) muss über ein eigenes Zertifikat verfügen.
Einrichten des Schutzes
Erstellen einer DPM-Zertifikatvorlage
Sie können optional eine DPM-Vorlage für die Webregistrierung einrichten. Wenn Sie dies tun möchten, wählen Sie eine Vorlage aus, die die Client- und Serverauthentifizierung als vorgesehenen Zweck hat. Beispiel:
Im MMC-Snap-In Zertifikatvorlagen können Sie die Ras- und IAS-Servervorlage auswählen. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Doppelte Vorlage.
Behalten Sie in Doppelte Vorlagedie Standardeinstellung Windows Server 2003 Enterprisebei.
Geben Sie auf der Registerkarte Allgemein dem Anzeigenamen der Vorlage eine aussagekräftige Bezeichnung. Beispiel : DPM-Authentifizierung. Stellen Sie sicher, dass die Einstellung Zertifikat veröffentlichen in Active Directory aktiviert ist.
Stellen Sie auf der Registerkarte Anforderungsbehandlung sicher, dass der Export von privatem Schlüssel zulassen aktiviert ist.
Nachdem Sie die Vorlage erstellt haben, stellen Sie sie für die Verwendung zur Verfügung. Öffnen Sie das Zertifizierungsstellen-Snap-In. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neuund dann Auszustellende Zertifikatvorlageaus. Wählen Sie unter Zertifikatvorlage aktivieren die Vorlage aus, und wählen Sie OK aus. Nun ist die Vorlage verfügbar, wenn Sie ein Zertifikat abrufen.
Aktivieren der Registrierung oder automatischen Registrierung
Wenn Sie die Vorlage optional für die Registrierung oder automatische Registrierung konfigurieren möchten, wählen Sie in den Vorlageneigenschaften die Registerkarte Antragstellername aus. Wenn Sie die Registrierung konfigurieren, kann die Vorlage im MMC ausgewählt werden. Wenn Sie die automatische Registrierung konfigurieren, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.
Für die Registrierung aktivieren Sie in den Eigenschaften der Vorlage auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen. Wählen Sie im Format des Antragstellernamensdie Option Allgemeiner Name aus, und aktivieren Sie DNS-Name. Wechseln Sie dann zur Registerkarte „Sicherheit“, und weisen Sie authentifizierten Benutzern die Berechtigung Registrieren zu.
Wechseln Sie für die automatische Registrierung zur Registerkarte Sicherheit , und weisen Sie authentifizierten Benutzern die Berechtigung Automatisch registrieren zu. Wenn diese Einstellung aktiviert ist, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.
Wenn Sie die Registrierung konfiguriert haben, können Sie ein neues Zertifikat im MMC basierend auf der Vorlage anfordern. Klicken Sie hierzu auf dem geschützten Computer in Zertifikate (lokaler Computer)>Persönlichmit der rechten Maustaste auf Zertifikate. Select Aufgaben>Neues Zertifikat anfordern. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen des Assistenten die Option Active Directory-Registrierungsrichtlinie aus. Unter Zertifikate anfordern wird die Vorlage angezeigt. Erweitern Sie Details , und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Allgemein aus, und geben Sie einen Anzeigenamen ein. Nachdem Sie die Einstellungen angewendet haben, sollten Sie eine Meldung erhalten, dass das Zertifikat erfolgreich installiert wurde.
Configure a certificate on the DPM server
Generieren Sie ein Zertifikat von einer Zertifizierungsstelle für den DPM-Server über die Webregistrierung oder eine andere Methode. Wählen Sie in der Webregistrierung erweitertes Zertifikat erforderlich aus, und Erstellen und Übermitteln einer Anforderung an diese Zertifizierungsstelle. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und dass Schlüssel als exportierbar markieren ausgewählt ist.
Das Zertifikat wird im Speicher Benutzer abgelegt. Sie müssen sie in den Lokalen Computerspeicher verschieben.
Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.
Führen Sie unter Lokaler Computer\Personal\Certificate den Zertifikatimport-Assistenten aus, um die exportierte Datei aus dem gespeicherten Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben, und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher platzieren , und stellen Sie sicher, dass Personal angezeigt wird.
Legen Sie nach dem Import die DPM-Anmeldeinformationen für die Verwendung des Zertifikats wie folgt fest:
Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Zertifikatspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie sie aus, und markieren Sie sie, und kopieren Sie sie. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.
Führen Sie Set-DPMCredentials aus, um den DPM-Server zu konfigurieren:
Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]
-Type : Gibt den Typ der Authentifizierung an. Wert: certificate.
-Aktion : Geben Sie an, ob Sie den Befehl zum ersten Mal ausführen oder die Anmeldeinformationen neu generieren möchten. Mögliche Werte: regenerate oder configure.
-OutputFilePath : Speicherort der Ausgabedatei, die in Set-DPMServer auf dem geschützten Computer verwendet wird.
-Fingerabdruck : Kopieren Sie aus der Editor-Datei.
-AuthCAThumbprint : Fingerabdruck der Zertifizierungsstelle in der Vertrauenskette des Zertifikats. Optional. Falls nicht angegeben, wird "Root" verwendet.
Dies generiert eine Metadatendatei (. bin), die zum Zeitpunkt der Installation der einzelnen Agents in einer nicht vertrauenswürdigen Domäne erforderlich ist. Stellen Sie sicher, dass der Ordner C:\Temp vorhanden ist, bevor Sie den Befehl ausführen.
Hinweis
Wenn die Datei verloren geht oder gelöscht wird, können Sie sie neu erstellen, indem Sie das Skript mit der Option -action regenerate ausführen.
Rufen Sie die BIN-Datei ab, und kopieren Sie sie in den Ordner "C:\Program Files\Microsoft Data Protection Manager\DPM\bin" auf dem Computer, den Sie schützen möchten. Sie müssen nicht dies tun, aber wenn Sie es nicht tun, müssen Sie im Bedarfsfall den vollständigen Pfad der Datei für den Parameter „DPMcredential“ angeben.
Wiederholen Sie diese Schritte auf jedem DPM-Server, der einen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne schützt.
Installieren des Agents
- Führen Sie auf jedem Computer, den Sie schützen möchten, von der DPM-Installations-CD "DPMAgentInstaller_X64.exe" aus, um den Agent zu installieren.
Konfigurieren eines Zertifikats auf dem geschützten Computer
Beziehen Sie von einer Zertifizierungsstelle ein Zertifikat für den geschützten Computer, entweder über die Webregistrierung oder eine andere Methode. Wählen Sie in der Webregistrierung erweitertes Zertifikat erforderlich aus, und Erstellen und Übermitteln einer Anforderung an diese Zertifizierungsstelle. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und Schlüssel als exportierbar markieren ausgewählt ist.
Das Zertifikat wird im Speicher Benutzer abgelegt. Sie müssen sie in den Lokalen Computerspeicher verschieben.
Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.
Führen Sie unter Lokaler Computer\Personal\Certificate den Zertifikatimport-Assistenten aus, um die exportierte Datei aus dem gespeicherten Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben, und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher platzieren , und stellen Sie sicher, dass Personal angezeigt wird.
Konfigurieren Sie nach dem Import den Computer so, dass der DPM-Server für die Ausführung von Sicherungen autorisiert ist:
Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Zertifikatspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie sie aus, und markieren Sie sie, und kopieren Sie sie. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.
Navigieren Sie zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie setdpmserver wie folgt aus:
setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces
"ClientThumbprintWithNoSpaces" wurde aus der Editor-Datei kopiert.
Sie sollten die Ausgabe abrufen, um zu bestätigen, dass die Konfiguration erfolgreich abgeschlossen wurde.
Suchen Sie die BIN-Datei, und kopieren Sie sie auf den DPM-Server. Es wird empfohlen, sie an den Standardspeicherort zu kopieren, an dem der Anfügenprozess nach der Datei sucht (Windows\System32), sodass Sie beim Ausführen des Befehls Anfügen einfach den Dateinamen anstelle des vollständigen Pfads angeben können.
Anfügen des Computers
Sie fügen den DPM-Server mithilfe des PowerShell-Skripts "Attach-ProductionServerWithCertificate.ps1" und der folgenden Syntax an den Computer an.
Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]
-DPMServerName – Name des DPM-Servers
PSCredential – Name der BIN-Datei. Wenn Sie sie im Ordner Windows\System32 abgelegt haben, können Sie nur den Dateinamen angeben. Stellen Sie sicher, dass Sie die .bin Datei angeben, die auf dem geschützten Server erstellt wurde. Wenn Sie die .bin Datei angeben, die auf dem DPM-Server erstellt wurde, entfernen Sie alle geschützten Computer, die für die zertifikatbasierte Authentifizierung konfiguriert sind.
Nach Abschluss des Anfügenvorgangs sollte der geschützte Computer in der DPM-Konsole angezeigt werden.
Beispiele
Beispiel 1
Generiert eine Datei in c:\\CertMetaData\\
mit Namen CertificateConfiguration\_<DPM SERVER FQDN>.bin
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"
Wobei dpmserver.contoso.com der Name des DPM-Servers und "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" der Fingerabdruck des DPM-Serverzertifikats ist.
Beispiel 2
Generiert eine verloren gegangene Konfigurationsdatei im Ordner "C:\CertMetaData\" neu.
Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate
Wechseln zwischen NTLM und Zertifikatauthentifizierung
Hinweis
- Die folgenden gruppierten Workloads unterstützen die Zertifikatauthentifizierung nur, wenn sie in einer nicht vertrauenswürdigen Domäne bereitgestellt werden:
- Gruppierter Dateiserver
- Gruppierter SQL-Server
- Hyper-V-Cluster
- Wenn der DPM-Agent derzeit für die Verwendung von NTLM in einem Cluster konfiguriert ist oder ursprünglich für die Verwendung von NTLM konfiguriert wurde, später aber zur Zertifikatauthentifizierung gewechselt wurde, ohne zuvor den DPM-Agent zu entfernen, werden auf der Enumeration des Clusters keine zu schützenden Ressourcen angezeigt.
Um von der NTLM-Authentifizierung zur Zertifikatauthentifizierung zu wechseln, führen Sie die folgenden Schritte aus, um den DPM-Agent neu zu konfigurieren:
- Entfernen Sie auf dem DPM-Server alle Knoten des Clusters mithilfe des Remove-ProductionServer.ps1 PowerShell-Skripts.
- Deinstallieren Sie den DPM-Agent auf allen Knoten, und löschen Sie den Agent-Ordner aus C:\Programme\Microsoft Data Protection Manager.
- Führen Sie die Schritte unter Sichern mit Zertifikatauthentifizierung aus.
- Nachdem die Agents bereitgestellt und für die Zertifikatauthentifizierung konfiguriert wurden, vergewissern Sie sich, dass die Agentaktualisierung funktioniert und für jeden Knoten ordnungsgemäß angezeigt wird (nicht vertrauenswürdig– Zertifikate).
- Aktualisieren Sie die Knoten/Cluster, um eine Liste der zu schützenden Datenquellen abzurufen. Versuchen Sie erneut, die gruppierten Ressourcen zu schützen.
- Fügen Sie die Workload hinzu, um den Schutzgruppen-Assistenten zu schützen und zu beenden.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für