Freigeben über

Computer in Arbeitsgruppen und nicht vertrauenswürdigen Domänen auf die Sicherung vorbereiten

  • Artikel

System Center Data Protection Manager (DPM) kann Computer schützen, die sich in nicht vertrauenswürdigen Domänen oder Arbeitsgruppen befinden. Sie können diese Computer mithilfe eines lokalen Benutzerkontos (NTLM-Authentifizierung) oder mit Zertifikaten authentifizieren. Für beide Authentifizierungstypen müssen Sie die Infrastruktur vorbereiten, bevor Sie eine Schutzgruppe einrichten können, die die Quellen enthält, die Sie sichern möchten.

  1. Installieren eines Zertifikats: Wenn Sie die Zertifikatauthentifizierung verwenden möchten, installieren Sie ein Zertifikat auf dem DPM-Server und auf dem Computer, den Sie schützen möchten.

  2. Installieren des Agents: Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  3. Erkennen des DPM-Servers: Konfigurieren Sie den Computer so, dass er den DPM-Server für die Durchführung von Sicherungen erkennt. Dazu führen Sie den Befehl „SetDPMServer“ aus.

  4. Anfügen des Computers: Schließlich müssen Sie den geschützten Computer an den DPM-Server anfügen.

Vor der Installation

Bevor Sie beginnen, überprüfen Sie die unterstützten Schutzszenarien und die erforderlichen Netzwerkeinstellungen.

Unterstützte Szenarios

Workloadtyp Geschützter Serverstatus und Unterstützung
Dateien Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM- oder Zertifikatauthentifizierung für einen einzelnen Server. Zertifikatauthentifizierung nur für Cluster.
Systemstatus Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur NTLM-Authentifizierung
SQL Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Spiegelung wird nicht unterstützt.

NTLM- oder Zertifikatauthentifizierung für einen einzelnen Server. Zertifikatauthentifizierung nur für Cluster.
Hyper-V-Server Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

NTLM- und Zertifikatauthentifizierung
Hyper-V-Cluster Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt (nur Zertifikatauthentifizierung)
Exchange Server Arbeitsgruppe: Nicht zutreffend

Nicht vertrauenswürdige Domäne: Nur für einen einzelnen Server unterstützt. Cluster nicht unterstützt. CCR, SCR, DAG nicht unterstützt. LCR unterstützt.

Nur NTLM-Authentifizierung
Sekundärer DPM-Server (zur Sicherung des primären DPM-Servers)

Beachten Sie, dass sich der primäre und der sekundäre DPM-Server in derselben oder in einer bidirektionalen transitiven vertrauenswürdigen Domäne der Gesamtstruktur befinden müssen.		 Arbeitsgruppe: Unterstützt

Nicht vertrauenswürdige Domäne: Unterstützt

Nur Zertifikatauthentifizierung
SharePoint Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Clientcomputer Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Bare-Metal-Recovery (BMR) Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt
Endbenutzerwiederherstellung Arbeitsgruppe: Nicht unterstützt

Nicht vertrauenswürdige Domäne: Nicht unterstützt

Netzwerkeinstellungen

Einstellungen Computer in Arbeitsgruppe oder nicht vertrauenswürdiger Domäne
Kontrolldaten Protokoll: DCOM

Standardport: 135

Authentifizierung: NTLM/Zertifikat
Dateiübertragung Protokoll: Winsock

Standardport: 5718 und 5719

Authentifizierung: NTLM/Zertifikat
DPM-Kontoanforderungen Lokales Konto ohne Administratorrechte auf dem DPM-Server. Verwendet NTLM v2-Kommunikation
Zertifikatanforderungen
Installation des Agenten Agent auf geschütztem Computer installiert
Umkreisnetzwerk Umkreisnetzwerkschutz wird nicht unterstützt.
IPSEC Stellen Sie sicher, dass IPSEC die Kommunikation nicht blockiert.

Sichern mit NTLM-Authentifizierung

Das müssen Sie tun:

  1. Installieren des Agents: Installieren Sie den Agent auf dem Computer, den Sie schützen möchten.

  2. Konfigurieren des Agents: Konfigurieren Sie den Computer so, dass er den DPM-Server für die Durchführung von Sicherungen erkennt. Dazu führen Sie den Befehl „SetDPMServer“ aus.

  3. Anfügen des Computers: Schließlich müssen Sie den geschützten Computer an den DPM-Server anfügen.

Installieren und Konfigurieren des Agents

  1. Führen Sie auf dem Computer, den Sie schützen möchten, DPMAgentInstaller_X64.exe von der DPM-Installations-CD aus, um den Agent zu installieren.

  2. Konfigurieren Sie den Agent, indem Sie SetDpmServer wie folgt ausführen:

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. Geben Sie die Parameter wie folgt an:

    • -DpmServerName: Geben Sie den Namen des DPM-Servers an. Verwenden Sie entweder einen FQDN, wenn auf den Server und den Computer über FQDNs zugegriffen werden kann, oder einen NetBIOS-Namen.

    • -IsNonDomainServer: Wird verwendet, um anzugeben, dass sich der Server in einer Arbeitsgruppe oder einer in Bezug auf den Computer, den Sie schützen möchten, nicht vertrauenswürdigen Domäne befindet. Firewallausnahmen werden für erforderliche Ports erstellt.

    • -UserName: Geben Sie den Benutzernamen des Kontos an, das für die NTLM-Authentifizierung verwendet werden soll. Um diese Option zu verwenden, sollten Sie das Flag -isNonDomainServer angegeben haben. Es wird ein lokales Benutzerkonto erstellt und der DPM-Schutz-Agent wird für die Verwendung dieses Kontos für die Authentifizierung konfiguriert.

    • -ProductionServerDnsSuffix: Verwenden Sie diesen Switch, wenn der Server mehrere DNS-Suffixe konfiguriert hat. Dieser Switch stellt das DNS-Suffix dar, das der Server zum Herstellen einer Verbindung mit dem Computer verwendet, den Sie schützen.

  4. Wenn der Befehl erfolgreich abgeschlossen ist, öffnen Sie die DPM-Konsole.

Aktualisieren des Kennworts

Wenn Sie das Kennwort für die NTLM-Anmeldedaten aktualisieren möchten, führen Sie auf dem geschützten Computer Folgendes aus:

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

Sie müssen dieselbe Namenskonvention (FQDN oder NETBIOS) verwenden, die Sie bei der Konfiguration des Schutzes verwendet haben. Auf dem DPM-Server müssen Sie das PowerShell-Cmdlet „Update -NonDomainServerInfo“ ausführen. Anschließend müssen Sie die Agentinformationen für den geschützten Computer aktualisieren.

NetBIOS-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN-Beispiel: Geschützter Computer: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM-Server: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

Anfügen des Computers

  1. Führen Sie in der DPM-Konsole den Installationsassistenten für den Schutzagenten aus.

  2. Wählen Sie bei der Auswahl der Agent-Bereitstellungsmethode die Option Agenten anhängen aus.

  3. Geben Sie den Computernamen, den Benutzernamen und das Kennwort für den Computer ein, an den Sie anfügen möchten. Dies sollten die Anmeldedaten sein, die Sie bei der Installation des Agenten angegeben haben.

  4. Gehen Sie zur Seite Zusammenfassung und wählen Sie Anhängen aus.

Optional können Sie den Windows PowerShell-Befehl „Attach-NonDomainServer.ps1“ ausführen, anstatt den Assistenten auszuführen. Sehen Sie sich dazu das Beispiel im nächsten Abschnitt an.

Beispiele

Beispiel 1

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers, nachdem der Agent installiert wurde:

  1. Führen Sie SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark auf dem Computer aus.

  2. Führen Sie Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark auf dem DPM-Server aus.

Da auf die Arbeitsgruppencomputer normalerweise nur mithilfe des NetBIOS-Namens zugegriffen werden kann, muss der Wert für „DPMServerName“ der NetBIOS-Name sein.

Beispiel 2

Beispiel zum Konfigurieren eines Arbeitsgruppencomputers mit in Konflikt stehenden NetBIOS-Namen, nachdem der Agent installiert wurde.

  1. Führen Sie SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com auf dem Computer der Arbeitsgruppe aus.

  2. Führen Sie Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark auf dem DPM-Server aus.

Sichern mithilfe der Zertifikatauthentifizierung

Hier erfahren Sie, wie Sie den Schutz mit der Zertifikatauthentifizierung einrichten.

  • Jeder Computer, den Sie schützen möchten, sollte mindestens .NET Framework 3.5 mit SP1 installiert haben.

  • Das Zertifikat, das Sie zur Authentifizierung verwenden, muss folgende Anforderungen erfüllen:

    • X.509 V3-Zertifikat

    • Erweiterte Schlüsselverwendung (EKU) sollte über eine Client-Authentifizierung und eine Server-Authentifizierung verfügen.

    • Die Schlüssellänge sollte mindestens 1024 Bit betragen.

    • Schlüsseltyp sollte Austausch sein.

    • Der Antragstellername des Zertifikats und des Stammzertifikats sollte nicht leer sein.

    • Die Sperrserver der zugehörigen Zertifizierungsstellen sind online und können sowohl vom geschützten Server als auch vom DPM-Server zugänglich sein.

    • Das Zertifikat sollte einen zugehörigen privaten Schlüssel haben.

    • DPM unterstützt keine Zertifikate mit CNG-Schlüsseln.

    • DPM unterstützt keine selbstsignierten Zertifikate.

  • Jeder zu schützende Computer (einschließlich virtueller Computer) muss über ein eigenes Zertifikat verfügen.

Einrichten von Schutz

  1. Erstellen einer DPM-Zertifikatsvorlage

  2. Konfigurieren eines Zertifikats auf dem DPM-Server

  3. Installieren des Agents

  4. Konfigurieren eines Zertifikats auf dem geschützten Computer

  5. Anfügen des Computers

Erstellen einer DPM-Zertifikatvorlage

Sie können optional eine DPM-Vorlage für die Webregistrierung einrichten. Wenn Sie dies tun möchten, wählen Sie eine Vorlage mit Clientauthentifizierung und Serverauthentifizierung als beabsichtigten Zweck aus. Zum Beispiel:

  1. Im MMC-Snap-In Zertifikatsvorlagen können Sie die Vorlage RAS- und IAS-Server auswählen. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Vorlage duplizieren.

  2. In Vorlage duplizieren belassen Sie die Standardeinstellung Windows Server 2003 Enterprise.

  3. Ändern Sie auf der Registerkarte Allgemein den Anzeigenamen der Vorlage in etwas Erkennbares. Zum Beispiel bei der DPM-Authentifizierung. Stellen Sie sicher, dass die Einstellung Zertifikat in Active Directory veröffentlichen aktiviert ist.

  4. Stellen Sie auf der Registerkarte Anforderungsbearbeitung sicher, dass Export des privaten Schlüssels zulassen aktiviert ist.

  5. Nachdem Sie die Vorlage erstellt haben, stellen Sie sie zur Verwendung zur Verfügung. Öffnen Sie das Snap-In „Zertifizierungsstelle“. Klicken Sie mit der rechten Maustaste auf Zertifikatsvorlagen, wählen Sie Neu und wählen Sie Auszustellende Zertifikatsvorlage. Wählen Sie unter Zertifikatsvorlage aktivieren die Vorlage aus und wählen Sie OK. Die Vorlage wird nun verfügbar sein, wenn Sie ein Zertifikat erhalten.

Aktivieren der Registrierung oder automatischen Registrierung

Wenn Sie die Vorlage optional für die Registrierung oder automatische Registrierung konfigurieren möchten, wählen Sie in den Vorlageneigenschaften die Registerkarte „Betreffname“ aus. Wenn Sie die Registrierung konfigurieren, kann die Vorlage im MMC ausgewählt werden. Wenn Sie die automatische Registrierung konfigurieren, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

  • Aktivieren Sie für die Registrierung auf der Registerkarte Subjektname der Vorlageneigenschaften die Option Build aus diesen Active Directory-Informationen auswählen. Wählen Sie im Format Betreffname die Option Allgemeiner Name aus und aktivieren Sie DNS-Name. Gehen Sie dann zur Registerkarte „Sicherheit“ und weisen Sie authentifizierten Benutzenden die Berechtigung Anmelden zu.

  • Für die automatische Anmeldung gehen Sie zur Registerkarte Sicherheit und weisen Sie authentifizierten Benutzenden die Berechtigung Automatische Anmeldung zu. Wenn diese Einstellung aktiviert ist, wird das Zertifikat automatisch allen Computern in der Domäne zugewiesen.

  • Wenn Sie die Registrierung konfiguriert haben, können Sie basierend auf der Vorlage ein neues Zertifikat im MMC anfordern. Klicken Sie dazu auf dem geschützten Computer unter Zertifikate (Lokaler Computer)>Persönlich mit der rechten Maustaste auf Zertifikate. Wählen Sie Alle Aufgaben>Neues Zertifikat anfordern. Wählen Sie auf der Seite Zertifikatsregistrierungsrichtlinie auswählen des Assistenten die Option Active Directory-Registrierungsrichtlinie. Unter Zertifikate anfordern finden Sie die Vorlage. Erweitern Sie Details und wählen Sie Eigenschaften. Wählen Sie die Registerkarte Allgemein und geben Sie einen Anzeigenamen ein. Nachdem Sie die Einstellungen angewendet haben, sollten Sie eine Meldung erhalten, dass das Zertifikat erfolgreich installiert wurde.

Konfigurieren eines Zertifikats auf dem DPM-Server

  1. Generieren Sie ein Zertifikat von einer Zertifizierungsstelle für den DPM-Server über die Webregistrierung oder eine andere Methode. Wählen Sie in der Webanmeldung die Optionen Erweitertes Zertifikat erforderlich und Anfrage an diese ZS erstellen und übermitteln aus. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Benutzerspeicher platziert. Sie müssen es in den lokalen Computerspeicher verschieben.

  3. Exportieren Sie dazu das Zertifikat aus dem Benutzerspeicher. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie unter „Lokaler Computer\Eigene Dateien\Zertifikat“ den Zertifikatimport-Assistenten aus, um die exportierte Datei von ihrem Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatsspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher ablegen und stellen Sie sicher, dass Persönlich angezeigt wird.

  5. Legen Sie nach dem Import die Anmeldedaten für DPM fest, um das Zertifikat wie folgt zu verwenden:

    1. Erhalten Sie den Fingerabdruck für das Zertifikat. Doppelklicken Sie im Zertifikatsspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie es aus und markieren und kopieren Sie es dann. Fügen Sie den Fingerabdruck in Notepad ein, und entfernen Sie alle Leerzeichen.

    2. Führen Sie Set-DPMCredentials aus, um den DPM-Server zu konfigurieren:

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type: Gibt die Art der Authentifizierung an. Wert: certificate (Zertifikat).

    • -Action: Geben Sie an, ob Sie den Befehl zum ersten Mal ausführen oder die Anmeldedaten neu generieren möchten. Mögliche Werte: regenerate (erneut generieren) oder configure (konfigurieren).

    • -OutputFilePath – Speicherort der Ausgabedatei, die in Set-DPMServer auf dem geschützten Computer verwendet wird.

    • -Thumbprint: Aus der Notepad-Datei kopieren.

    • -AuthCAThumbprint: Fingerabdruck der Zertifizierungsstelle in der Vertrauenskette des Zertifikats. Optional. Wenn nicht anders angegeben, wird „Root“ verwendet.

  6. Dadurch wird eine Metadatendatei (.bin) generiert, die bei jeder Agenteninstallation in einer nicht vertrauenswürdigen Domäne erforderlich ist. Stellen Sie sicher, dass der Ordner „C:\Temp“ vorhanden ist, bevor Sie den Befehl ausführen.

    Hinweis

    Wenn die Datei verloren geht oder gelöscht wird, können Sie sie neu erstellen, indem Sie das Skript mit der Option -action regenerate ausführen.

  7. Rufen Sie die .bin-Datei ab und kopieren Sie sie in den Ordner „C:\Programme\Microsoft Data Protection Manager\DPM\bin“ auf dem Computer, den Sie schützen möchten. Sie müssen dies nicht tun, aber wenn Sie es nicht tun, müssen Sie den vollständigen Pfad der Datei für den Parameter „-DPMcredential“ angeben,

  8. wenn Sie diese Schritte auf jedem DPM-Server wiederholen, der einen Computer in einer Arbeitsgruppe oder in einer nicht vertrauenswürdigen Domäne schützt.

Installieren des Agents

  1. Führen Sie auf jedem Computer, den Sie schützen möchten, DPMAgentInstaller_X64.exe von der DPM-Installations-CD aus, um den Agenten zu installieren.

Konfigurieren eines Zertifikats auf dem geschützten Computer

  1. Erstellen Sie über eine Webregistrierung oder eine andere Methode ein Zertifikat von einer Zertifizierungsstelle für den geschützten Computer. Wählen Sie in der Webanmeldung die Optionen Erweitertes Zertifikat erforderlich und Anfrage an diese ZS erstellen und übermitteln aus. Stellen Sie sicher, dass die Schlüsselgröße 1024 oder höher ist und dass Schlüssel als exportierbar markieren ausgewählt ist.

  2. Das Zertifikat wird im Benutzerspeicher platziert. Sie müssen es in den lokalen Computerspeicher verschieben.

  3. Exportieren Sie dazu das Zertifikat aus dem Benutzerspeicher. Stellen Sie sicher, dass Sie es mit dem privaten Schlüssel exportieren. Sie können es im standardmäßigen PFX-Format exportieren. Geben Sie ein Kennwort für den Export an.

  4. Führen Sie unter „Lokaler Computer\Eigene Dateien\Zertifikat“ den Zertifikatimport-Assistenten aus, um die exportierte Datei von ihrem Speicherort zu importieren. Geben Sie das Kennwort an, das Sie zum Exportieren verwendet haben und stellen Sie sicher, dass Diesen Schlüssel als exportierbar markieren ausgewählt ist. Belassen Sie auf der Seite Zertifikatsspeicher die Standardeinstellung Alle Zertifikate im folgenden Speicher ablegen und stellen Sie sicher, dass Persönlich angezeigt wird.

  5. Konfigurieren Sie nach dem Import den Computer so, dass er den DPM-Server wie folgt erkennt, um Sicherungen auszuführen:

    1. Erhalten Sie den Fingerabdruck für das Zertifikat. Doppelklicken Sie im Zertifikatsspeicher auf das Zertifikat. Wählen Sie die Registerkarte Details und scrollen Sie nach unten zum Fingerabdruck. Wählen Sie es aus und markieren und kopieren Sie es. Fügen Sie den Fingerabdruck in Notepad ein, und entfernen Sie alle Leerzeichen.

    2. Navigieren Sie zum Ordner „C:\Programme\Microsoft Data Protection Manager\DPM\bin“ und führen Sie setdpmserver wie folgt aus:

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      Dabei wird „ClientThumbprintWithNoSpaces“ aus der Notepad-Datei kopiert.

    3. Sie sollten die Ausgabe abrufen, um zu bestätigen, dass die Konfiguration erfolgreich abgeschlossen wurde.

  6. Rufen Sie die .bin-Datei ab, und kopieren Sie sie auf den DPM-Server. Wir empfehlen Ihnen, die Datei in das Standardverzeichnis zu kopieren, in dem der Anhangsvorgang nach der Datei sucht (Windows\System32), damit Sie beim Ausführen des Anhangsbefehls nur den Dateinamen statt des vollständigen Pfads angeben müssen.

Anfügen des Computers

Fügen Sie den Computer mit dem DPM-Server mithilfe des PowerShell-Skripts „Attach-ProductionServerWithCertificate.ps1“ mit folgender Syntax an:

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName-Name des DPM-Servers

  • PSCredential-Name der .bin-Datei Wenn Sie die Datei im Ordner „Windows\System32“ abgelegt haben, können Sie nur den Dateinamen angeben. Stellen Sie sicher, dass Sie die auf dem geschützten Server erstellte .bin-Datei angeben. Wenn Sie die auf dem DPM-Server erstellte .bin-Datei angeben, entfernen Sie alle geschützten Computer, die für die zertifikatbasierte Authentifizierung konfiguriert sind.

Nach Abschluss des Anfügens sollte der geschützte Computer in der DPM-Konsole angezeigt werden.

Beispiele

Beispiel 1

Generiert eine Datei c:\\CertMetaData\\ mit dem Namen CertificateConfiguration\_<DPM SERVER FQDN>.bin

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

Dabei ist dpmserver.contoso.com der Name des DPM-Servers und „cf822d9ba1c801ef40d4b31de0cfcb200a8a2496“ der Fingerabdruck des DPM-Serverzertifikats.

Beispiel 2

Regeneriert eine verlorene Konfigurationsdatei im Ordner c:\CertMetaData\

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

Wechseln zwischen NTLM und Zertifikatauthentifizierung

Hinweis

  • Die folgenden gruppierten Workloads unterstützen die Zertifikatauthentifizierung nur, wenn sie in einer nicht vertrauenswürdigen Domäne bereitgestellt werden:
    • Gruppierter Dateiserver
    • Gruppierter SQL-Server
    • Hyper-V-Cluster
  • Wenn der DPM-Agent derzeit für die Verwendung von NTLM in einem Cluster konfiguriert ist oder ursprünglich für die Verwendung von NTLM konfiguriert wurde, aber später ohne vorherige Entfernung des DPM-Agents zu Zertifikatauthentifizierung geändert wurde, zeigt die Enumeration des Clusters keine zu schützenden Ressourcen an.

Um von der NTLM-Authentifizierung zur Zertifikatauthentifizierung zu wechseln, führen Sie die folgenden Schritte aus, um den DPM-Agent neu zu konfigurieren:

  1. Entfernen Sie auf dem DPM-Server alle Knoten des Clusters mithilfe des PowerShell-Skripts Remove-ProductionServer.ps1.
  2. Deinstallieren Sie den DPM-Agent auf allen Knoten, und löschen Sie den Agent-Ordner aus C:\Programme\Microsoft Data Protection Manager.
  3. Führen Sie die Schritte unter Sichern mit Zertifikatauthentifizierung aus.
  4. Sobald die Agents bereitgestellt und für die Zertifikatauthentifizierung konfiguriert sind, überprüfen Sie, ob die Agent-Aktualisierung funktioniert und für jeden Knoten ordnungsgemäß „(nicht vertrauenswürdig – Zertifikate)“ angezeigt wird.
  5. Aktualisieren Sie die Knoten/Cluster, um eine Liste der zu schützenden Datenquellen zu erhalten, und versuchen Sie erneut, die gruppierte(n) Ressource(n) zu schützen.
  6. Fügen Sie die Workload hinzu, um den Schutzgruppen-Assistenten zu schützen und zu beenden.