Vorbereiten von Computern in Arbeitsgruppen und nicht vertrauenswürdigen Domänen auf die Sicherung

  • Artikel

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.

System Center Data Protection Manager (DPM) kann zum Schutz von Computern in nicht vertrauenswürdigen Domänen oder Arbeitsgruppen verwendet werden. Sie können diese Computer mithilfe eines lokalen Benutzerkontos (NTLM-Authentifizierung) oder mithilfe von Zertifikaten authentifizieren. Für beide Arten der Authentifizierung müssen Sie die Infrastruktur vorbereiten, bevor Sie eine Schutzgruppe einrichten können, die die zu sichernden Datenquellen enthält.

  1. Installieren eines Zertifikats : Wenn Sie die Zertifikatauthentifizierung verwenden möchten, installieren Sie ein Zertifikat auf dem DPM-Server und auf dem Computer, den Sie schützen möchten.

  2. Installieren Sie den Agent : Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  3. Erkennen des DPM-Servers : Konfigurieren Sie den Computer, um den DPM-Server für die Ausführung von Sicherungen zu erkennen. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.

  4. Computer anfügen : Zuletzt müssen Sie den geschützten Computer an den DPM-Server anfügen.

Vorbereitung

Bevor Sie beginnen, sollten Sie sich die unterstützten Schutzszenarien und erforderlichen Netzwerkeinstellungen ansehen.

Unterstützte Szenarien

Workloadtyp Status und Unterstützung für geschützte Server
Dateien Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster.
Systemstatus Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur NTLM-Authentifizierung
SQL Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Spiegelung nicht unterstützt.

NTLM und zertifikatsbasierte Authentifizierung für einen einzelnen Server. Nur zertifikatsbasierte Authentifizierung für Cluster.
Hyper-V-Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM und zertifikatsbasierte Authentifizierung
Hyper-V-Cluster Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt (nur Zertifikatauthentifizierung)
Exchange Server Arbeitsgruppe: Nicht zutreffend

Nicht vertrauenswürdige Domäne: Nur für einen einzelnen Server unterstützt. Cluster nicht unterstützt. CCR, SCR, DAG nicht unterstützt. LCR unterstützt.

Nur NTLM-Authentifizierung
Sekundärer DPM-Server (für die Sicherung des primären DPM-Servers)

Beachten Sie, dass sich sowohl der primäre als auch der sekundäre DPM-Server in einer transitiven und bidirektionalen Gesamtstruktur-vertrauenswürdigen Domäne befinden.		 Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur zertifikatbasierte Authentifizierung
SharePoint Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Clientcomputer Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Bare-Metal-Recovery (BMR) Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Wiederherstellung durch Endbenutzer Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt

Netzwerkeinstellungen

Einstellungen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne
Steuerungsdaten Protokoll: DCOM

Standardport: 135

Authentifizierung: NTLM/Zertifikat
Dateiübertragung Protokoll: Winsock

Standardport: 5718 und 5719

Authentifizierung: NTLM/Zertifikat
Anforderungen für DPM-Konto Lokales Konto ohne Administratorrechte auf dem DPM-Server. Verwendet NTLM v2-Kommunikation
Zertifikatanforderungen
Installation des Agenten Auf dem geschützten Computer installierter Agent
Umkreisnetzwerk Schutz des Umkreisnetzwerks nicht unterstützt.
IPSEC Stellen Sie sicher, dass die Kommunikation nicht durch IPSEC blockiert wird.

Sichern mit NTLM-Authentifizierung

Gehen Sie wie folgt vor:

  1. Installieren des Agents: Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  2. Konfigurieren des Agents: Konfigurieren Sie den Computer, damit dieser den DPM-Server zum Erstellen von Sicherungen erkennt. Zu diesem Zweck führen Sie den Befehl „SetDPMServer“ aus.

  3. Computer anfügen: Schließlich müssen Sie den geschützten Computer an den DPM-Server anfügen.

Installieren und Konfigurieren des Agents

  1. Führen Sie auf dem zu schützenden Computer die Datei „DPMAgentInstaller_X64.exe“ von der DPM-Installations-CD aus, um den Agent zu installieren.

  2. Gehen Sie wie folgt vor, um den Agent durch Ausführen von „SetDpmServer“ zu konfigurieren:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Geben Sie die Parameter wie folgt an:

    • -DpmServerName : Geben Sie den Namen des DPM-Servers an. Verwenden Sie entweder einen FQDN, wenn auf Server und Computer über FQDNs oder einen NETBIOS-Namen zugegriffen werden kann.

    • -IsNonDomainServer : Verwenden Sie, um anzugeben, dass sich der Server in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne in Bezug auf den Computer befindet, den Sie schützen möchten. Firewallausnahmen werden für erforderliche Ports erstellt.

    • -Benutzername : Geben Sie den Namen des Kontos an, das Sie für die NTLM-Authentifizierung verwenden möchten. Um diese Option zu verwenden, sollte das Flag -isNonDomainServer angegeben sein. Ein lokales Benutzerkonto wird erstellt, und der DPM-Schutz-Agent wird so konfiguriert, dass dieses Konto für die Authentifizierung verwendet wird.

    • ProductionServerDnsSuffix : Verwenden Sie diesen Switch, wenn auf dem Server mehrere DNS-Suffixe konfiguriert sind. Diese Option stellt das DNS-Suffix dar, mit dem der Server die Verbindung mit dem Computer herstellt, den Sie schützen.

  4. Wenn der Befehl erfolgreich abgeschlossen wurde, öffnen Sie die DPM-Konsole.

Aktualisieren des Kennworts

Wenn Sie zu einem beliebigen Zeitpunkt das Kennwort für die NTLM-Anmeldeinformationen aktualisieren möchten, führen Sie den folgenden Befehl auf dem geschützten Computer aus:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Sie müssen dieselbe Benennungskonvention (FQDN oder NETBIOS) verwenden, die Sie beim Konfigurieren des Schutzes verwendet haben. Auf dem DPM-Server müssen Sie das PowerShell-Cmdlet Update -NonDomainServerInfo ausführen. Anschließend müssen Sie die Agentinformationen für den geschützten Computer aktualisieren.

NetBIOS-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Anfügen des Computers

  1. Führen Sie in der DPM-Konsole den Installations-Assistenten für Schutz-Agents aus.

  2. Wählen Sie in Agentbereitstellungsmethode auswählen die Option Agents verbinden aus.

  3. Geben Sie den Computernamen, den Benutzernamen und das Kennwort für den Computer ein, an den Sie anfügen möchten. Hierbei sollte es sich um die Anmeldeinformationen handeln, die Sie beim Installieren des Agents angegeben haben.

  4. Überprüfen Sie die Seite Zusammenfassung , und wählen Sie Anfügen aus.

Sie können optional den Windows PowerShell-Befehl „Attach-NonDomainServer.ps1“ anstelle des Assistenten ausführen. Betrachten Sie hierzu das Beispiel im nächsten Abschnitt.

Beispiele

Beispiel 1

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers nach der Installation des Agents:

  1. Führen Sie auf dem Computer SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName markaus.

  2. Führen Sie auf dem DPM-Server Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark aus.

Da auf die Arbeitsgruppencomputer in der Regel nur über den NetBIOS-Namen zugegriffen werden kann, muss der Wert für „DPMServerName“ dem NetBIOS-Namen entsprechen.

Beispiel 2

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers mit in Konflikt stehenden NetBIOS-Namen nach der Installation des Agents.

  1. Führen Sie auf dem Arbeitsgruppencomputer SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.comaus.

  2. Führen Sie auf dem DPM-Server Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark aus.

Sichern mit Zertifikatauthentifizierung

So richten Sie den Schutz mit zertifikatbasierter Authentifizierung ein

  • Auf jedem zu schützenden Computer muss mindestens .NET Framework 3.5 mit SP1 installiert sein.

  • Das Zertifikat, das Sie für die Authentifizierung verwenden, muss die folgenden Anforderungen erfüllen:

    • X.509 V3-Zertifikat.

    • Erweiterte Schlüsselverwendung (EKU) muss zur Client- und Serverauthentifizierung gehören.

    • Die Schlüssellänge muss mindestens 1024 Bit betragen.

    • Der Schlüsseltyp muss exchangelauten.

    • Der Antragstellername des Zertifikats und das Stammzertifikat sollten nicht leer sein.

    • Die Sperrserver der zugehörigen Zertifizierungsstellen sind online, und sowohl der geschützte Server als auch der DPM-Server können darauf zugreifen.

    • Das Zertifikat sollte über einen zugeordneten privaten Schlüssel verfügen.

    • DPM unterstützt keine Zertifikate mit CNG-Schlüsseln.

    • DPM unterstützt keine selbstsignierten Zertifikate.

  • Jeder zu schützende Computer (einschließlich virtuelle Computer) muss über ein eigenes Zertifikat verfügen.

Einrichten des Schutzes

  1. Erstellen einer DPM-Zertifikatvorlage

  2. Konfigurieren eines Zertifikats auf dem DPM-Server

  3. Installieren des Agents

  4. Konfigurieren eines Zertifikats auf dem geschützten Computer

  5. Anfügen des Computers

Erstellen einer DPM-Zertifikatvorlage

Sie können optional eine DPM-Vorlage für die Webregistrierung einrichten. Wenn Sie dies tun möchten, wählen Sie eine Vorlage aus, die die Client- und Serverauthentifizierung als vorgesehenen Zweck hat. Beispiel:

  1. Im MMC-Snap-In Zertifikatvorlagen können Sie die Ras- und IAS-Servervorlage auswählen. Klicken Sie mit der rechten Maustaste darauf, und wählen Sie Doppelte Vorlage.

  2. Behalten Sie in Doppelte Vorlagedie Standardeinstellung Windows Server 2003 Enterprisebei.

  3. Geben Sie auf der Registerkarte Allgemein dem Anzeigenamen der Vorlage eine aussagekräftige Bezeichnung. Beispiel : DPM-Authentifizierung. Stellen Sie sicher, dass die Einstellung Zertifikat veröffentlichen in Active Directory aktiviert ist.

  4. Stellen Sie auf der Registerkarte Anforderungsbehandlung sicher, dass der Export von privatem Schlüssel zulassen aktiviert ist.

  5. Nachdem Sie die Vorlage erstellt haben, stellen Sie sie für die Verwendung zur Verfügung. Öffnen Sie das Zertifizierungsstellen-Snap-In. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neuund dann Auszustellende Zertifikatvorlageaus. Wählen Sie unter Zertifikatvorlage aktivieren die Vorlage aus, und wählen Sie OK aus. Nun ist die Vorlage verfügbar, wenn Sie ein Zertifikat abrufen.

Aktivieren der Registrierung oder automatischen Registrierung

Wenn Sie die Vorlage optional für die Registrierung oder automatische Registrierung konfigurieren möchten, wählen Sie in den Vorlageneigenschaften die Registerkarte Antragstellername aus. Wenn Sie die Registrierung konfigurieren, kann die Vorlage im MMC ausgewählt werden. Wenn Sie die automatische Registrierung konfigurieren, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

  • Für die Registrierung aktivieren Sie in den Eigenschaften der Vorlage auf der Registerkarte Antragstellername die Option Aus diesen Informationen in Active Directory erstellen. Wählen Sie im Format des Antragstellernamensdie Option Allgemeiner Name aus, und aktivieren Sie DNS-Name. Wechseln Sie dann zur Registerkarte „Sicherheit“, und weisen Sie authentifizierten Benutzern die Berechtigung Registrieren zu.

  • Wechseln Sie für die automatische Registrierung zur Registerkarte Sicherheit , und weisen Sie authentifizierten Benutzern die Berechtigung Automatisch registrieren zu. Wenn diese Einstellung aktiviert ist, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

  • Wenn Sie die Registrierung konfiguriert haben, können Sie ein neues Zertifikat im MMC basierend auf der Vorlage anfordern. Klicken Sie hierzu auf dem geschützten Computer in Zertifikate (lokaler Computer)>Persönlichmit der rechten Maustaste auf Zertifikate. Select Aufgaben>Neues Zertifikat anfordern. Wählen Sie auf der Seite Zertifikatregistrierungsrichtlinie auswählen des Assistenten die Option Active Directory-Registrierungsrichtlinie aus. Unter Zertifikate anfordern wird die Vorlage angezeigt. Erweitern Sie Details , und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Allgemein aus, und geben Sie einen Anzeigenamen ein. Nachdem Sie die Einstellungen angewendet haben, sollten Sie eine Meldung erhalten, dass das Zertifikat erfolgreich installiert wurde.

Configure a certificate on the DPM server

  1. Generieren Sie ein Zertifikat von einer Zertifizierungsstelle für den DPM-Server über die Webregistrierung oder eine andere Methode. Wählen Sie in der Webregistrierung erweitertes Zertifikat erforderlich aus, und Erstellen und Übermitteln einer Anforderung an diese Zertifizierungsstelle. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Speicher Benutzer abgelegt. Sie müssen sie in den Lokalen Computerspeicher verschieben.

  3. Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie unter Lokaler Computer\Personal\Certificate den Zertifikatimport-Assistenten aus, um die exportierte Datei aus dem gespeicherten Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben, und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher platzieren , und stellen Sie sicher, dass Personal angezeigt wird.

  5. Legen Sie nach dem Import die DPM-Anmeldeinformationen für die Verwendung des Zertifikats wie folgt fest:

    1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Zertifikatspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie sie aus, und markieren Sie sie, und kopieren Sie sie. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

    2. Führen Sie Set-DPMCredentials aus, um den DPM-Server zu konfigurieren:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type : Gibt den Typ der Authentifizierung an. Wert: certificate.

    • -Aktion : Geben Sie an, ob Sie den Befehl zum ersten Mal ausführen oder die Anmeldeinformationen neu generieren möchten. Mögliche Werte: regenerate oder configure.

    • -OutputFilePath : Speicherort der Ausgabedatei, die in Set-DPMServer auf dem geschützten Computer verwendet wird.

    • -Fingerabdruck : Kopieren Sie aus der Editor-Datei.

    • -AuthCAThumbprint : Fingerabdruck der Zertifizierungsstelle in der Vertrauenskette des Zertifikats. Optional. Falls nicht angegeben, wird "Root" verwendet.

  6. Dies generiert eine Metadatendatei (. bin), die zum Zeitpunkt der Installation der einzelnen Agents in einer nicht vertrauenswürdigen Domäne erforderlich ist. Stellen Sie sicher, dass der Ordner C:\Temp vorhanden ist, bevor Sie den Befehl ausführen.

    Hinweis

    Wenn die Datei verloren geht oder gelöscht wird, können Sie sie neu erstellen, indem Sie das Skript mit der Option -action regenerate ausführen.

  7. Rufen Sie die BIN-Datei ab, und kopieren Sie sie in den Ordner "C:\Program Files\Microsoft Data Protection Manager\DPM\bin" auf dem Computer, den Sie schützen möchten. Sie müssen nicht dies tun, aber wenn Sie es nicht tun, müssen Sie im Bedarfsfall den vollständigen Pfad der Datei für den Parameter „DPMcredential“ angeben.

  8. Wiederholen Sie diese Schritte auf jedem DPM-Server, der einen Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne schützt.

Installieren des Agents

  1. Führen Sie auf jedem Computer, den Sie schützen möchten, von der DPM-Installations-CD "DPMAgentInstaller_X64.exe" aus, um den Agent zu installieren.

Konfigurieren eines Zertifikats auf dem geschützten Computer

  1. Beziehen Sie von einer Zertifizierungsstelle ein Zertifikat für den geschützten Computer, entweder über die Webregistrierung oder eine andere Methode. Wählen Sie in der Webregistrierung erweitertes Zertifikat erforderlich aus, und Erstellen und Übermitteln einer Anforderung an diese Zertifizierungsstelle. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Speicher Benutzer abgelegt. Sie müssen sie in den Lokalen Computerspeicher verschieben.

  3. Hierzu exportieren Sie das Zertifikat aus dem Speicher „Benutzer“. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie unter Lokaler Computer\Personal\Certificate den Zertifikatimport-Assistenten aus, um die exportierte Datei aus dem gespeicherten Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben, und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher platzieren , und stellen Sie sicher, dass Personal angezeigt wird.

  5. Konfigurieren Sie nach dem Import den Computer so, dass der DPM-Server für die Ausführung von Sicherungen autorisiert ist:

    1. Fügen Sie den Fingerabdruck des Zertifikats hinzu. Doppelklicken Sie im Zertifikatspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details aus, und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie sie aus, und markieren Sie sie, und kopieren Sie sie. Fügen Sie den Fingerabdruck in Editor ein, und entfernen Sie alle Leerzeichen.

    2. Navigieren Sie zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie setdpmserver wie folgt aus:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      "ClientThumbprintWithNoSpaces" wurde aus der Editor-Datei kopiert.

    3. Sie sollten die Ausgabe abrufen, um zu bestätigen, dass die Konfiguration erfolgreich abgeschlossen wurde.

  6. Suchen Sie die BIN-Datei, und kopieren Sie sie auf den DPM-Server. Es wird empfohlen, sie an den Standardspeicherort zu kopieren, an dem der Anfügenprozess nach der Datei sucht (Windows\System32), sodass Sie beim Ausführen des Befehls Anfügen einfach den Dateinamen anstelle des vollständigen Pfads angeben können.

Anfügen des Computers

Sie fügen den DPM-Server mithilfe des PowerShell-Skripts "Attach-ProductionServerWithCertificate.ps1" und der folgenden Syntax an den Computer an.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName – Name des DPM-Servers

  • PSCredential – Name der BIN-Datei. Wenn Sie sie im Ordner Windows\System32 abgelegt haben, können Sie nur den Dateinamen angeben. Stellen Sie sicher, dass Sie die .bin Datei angeben, die auf dem geschützten Server erstellt wurde. Wenn Sie die .bin Datei angeben, die auf dem DPM-Server erstellt wurde, entfernen Sie alle geschützten Computer, die für die zertifikatbasierte Authentifizierung konfiguriert sind.

Nach Abschluss des Anfügenvorgangs sollte der geschützte Computer in der DPM-Konsole angezeigt werden.

Beispiele

Beispiel 1

Generiert eine Datei in c:\\CertMetaData\\ mit Namen CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Wobei dpmserver.contoso.com der Name des DPM-Servers und "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496" der Fingerabdruck des DPM-Serverzertifikats ist.

Beispiel 2

Generiert eine verloren gegangene Konfigurationsdatei im Ordner "C:\CertMetaData\" neu.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Wechseln zwischen NTLM und Zertifikatauthentifizierung

Hinweis

  • Die folgenden gruppierten Workloads unterstützen die Zertifikatauthentifizierung nur, wenn sie in einer nicht vertrauenswürdigen Domäne bereitgestellt werden:
    • Gruppierter Dateiserver
    • Gruppierter SQL-Server
    • Hyper-V-Cluster
  • Wenn der DPM-Agent derzeit für die Verwendung von NTLM in einem Cluster konfiguriert ist oder ursprünglich für die Verwendung von NTLM konfiguriert wurde, später aber zur Zertifikatauthentifizierung gewechselt wurde, ohne zuvor den DPM-Agent zu entfernen, werden auf der Enumeration des Clusters keine zu schützenden Ressourcen angezeigt.

Um von der NTLM-Authentifizierung zur Zertifikatauthentifizierung zu wechseln, führen Sie die folgenden Schritte aus, um den DPM-Agent neu zu konfigurieren:

  1. Entfernen Sie auf dem DPM-Server alle Knoten des Clusters mithilfe des Remove-ProductionServer.ps1 PowerShell-Skripts.
  2. Deinstallieren Sie den DPM-Agent auf allen Knoten, und löschen Sie den Agent-Ordner aus C:\Programme\Microsoft Data Protection Manager.
  3. Führen Sie die Schritte unter Sichern mit Zertifikatauthentifizierung aus.
  4. Nachdem die Agents bereitgestellt und für die Zertifikatauthentifizierung konfiguriert wurden, vergewissern Sie sich, dass die Agentaktualisierung funktioniert und für jeden Knoten ordnungsgemäß angezeigt wird (nicht vertrauenswürdig– Zertifikate).
  5. Aktualisieren Sie die Knoten/Cluster, um eine Liste der zu schützenden Datenquellen abzurufen. Versuchen Sie erneut, die gruppierten Ressourcen zu schützen.
  6. Fügen Sie die Workload hinzu, um den Schutzgruppen-Assistenten zu schützen und zu beenden.