Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Ihre Defender for Identity-Sensoren von v2.x zu v3.x direkt über das Microsoft Defender-Portal migrieren. Die Migration schließt die Umstellung automatisch ab und verwaltet Ihre Serverkonfigurationen und die Sicherheitsüberwachung ohne Ausfallzeiten oder Datenduplizierung.
Voraussetzungen
Für die Migration muss jeder Server die folgenden Anforderungen erfüllen:
- Domänencontroller ohne zusätzliche Identitätsrollen
- Defender for Identity-Sensor v2.x (Version 2.254.19112.470 oder höher)
- Windows Server 2019 oder höher
- Microsoft Defender for Endpoint bereitgestellt
- Enthält das kumulative Update märz 2026 oder höher .
Eine vollständige Liste der v3.x-Anforderungen finden Sie unter Voraussetzungen für den Defender for Identity-Sensor v3.x.
Back-End-Berechtigungsprüfungen
Zusätzlich zu den oben aufgeführten Anforderungen überprüft das Portal automatisch die folgenden Bedingungen, bevor ein Server als Bereit für die Migration angezeigt wird:
- Der MDI v2-Sensorupdatedienst (
AATPSensorUpdater) wird auf dem Server ausgeführt. - Der MDE Sense-Dienst (
MsSense) wird auf dem Server ausgeführt. - Der Registrierungsschlüssel MDE Onboardingrichtlinie ist unter
HKLM\SOFTWARE\Microsoft\Windows Erweiterter Schutz vor Bedrohungen\Statusvorhanden. - Dem Gerät ist eine registrierte MDE Geräte-ID (
SenseMachineId) zugeordnet.
Wenn eine dieser Überprüfungen fehlschlägt, wird der Server auf der Seite Sensoren als Nicht für die Migration bereit angezeigt.
Tipp
Wenn ein Server nicht als Bereit für die Migration angezeigt wird, finden Sie unter Behandeln von Berechtigungsproblemen anleitungen zum Identifizieren und Beheben des spezifischen Blockers.
Starten der Migration
Server, die alle Voraussetzungen erfüllen, werden auf der Seite Sensoren als Bereit für die Migration angezeigt.
- Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Identitäten>Lokale>Sensoren.
- Wählen Sie mindestens einen Server aus, der als Bereit für die Migration gekennzeichnet ist, und wählen Sie Migrieren aus.
- Überprüfen Sie in der Bestätigungsaufforderung die Details, und bestätigen Sie, dass die Migration gestartet wird.
Hinweis
Die Migration dauert in der Regel bis zu 20 Minuten. Während dieser Zeit wird der v2.x-Sensor weiterhin ausgeführt, bis der v3.x-Sensor bereit ist, sodass Ihr Server ohne Unterbrechung geschützt bleibt.
Migrationsstatus
In der Spalte Migrationsstatus auf der Seite Sensoren wird die aktuelle status der einzelnen Server angezeigt:
| Status | Beschreibung |
|---|---|
| Bereit für die Migration | Der Server erfüllt alle Voraussetzungen und kann migriert werden. Wählen Sie den Server und dann Migrieren aus, um zu beginnen. |
| Nicht bereit für die Migration | Der Server erfüllt mindestens eine Voraussetzung nicht. Zeigen Sie auf den Zustand, oder öffnen Sie den Bereich mit den Sensordetails, um zu sehen, welche Anforderungen nicht erfüllt sind. |
| Migrieren | Die Migration wird ausgeführt. Der v2.x-Sensor schützt den Server weiterhin, während der v3.x-Sensor aktiviert wird. |
| Fehler bei der Migration | Bei der Migration ist ein Fehler aufgetreten. Sie können die Migration wiederholen. Weitere Informationen finden Sie unter Problembehandlung bei Migrationsfehlern. |
| Aktuell | Die Migration wurde erfolgreich abgeschlossen. Auf dem Server wird der Sensor v3.x ausgeführt. |
Wichtig
Wenn eine Migration nicht innerhalb von zwei Stunden abgeschlossen wird, setzt das System den Server automatisch auf den v2.x-Sensor zurück. Der Server kehrt in den Zustand Bereit für die Migration zurück, und Sie können die Migration wiederholen, nachdem Sie alle zugrunde liegenden Probleme behoben haben.
Konfigurieren des v3.x-Sensors
Führen Sie für einen optimalen Schutz und eine optimale Überwachung die unter Voraussetzungen für den Defender for Identity-Sensor v3.x beschriebenen Konfigurationsschritte aus, einschließlich:
- Konfigurieren sie die RPC-Überwachung.
- Konfigurieren sie die automatische Windows-Ereignisüberwachung. Vorhandene Überwachungskonfigurationen vom v2.x-Sensor werden beibehalten und für v3.x konvertiert. Es wird jedoch empfohlen, die automatische Windows-Ereignisüberwachung (Vorschau) für eine optimale Konfigurationsüberprüfung zu aktivieren.
- Wechseln Sie von gMSA zum lokalen System. Der v3.x-Sensor verwendet die lokale Systemidentität. Wenn Sie ein gMSA für den v2.x-Sensor konfiguriert haben, entfernen Sie die gMSA-Konfiguration.
Hinweis
Nach einer erfolgreichen Migration wechselt der v3.x-Sensor in einen 1-wöchigen Beobachtungszeitraum. Während dieses Zeitraums können Sie bei Bedarf ein Rollback zum v2.x-Sensor durchführen. Nach Ablauf des Beobachtungszeitraums wird die Migration automatisch ausgeführt und kann nicht mehr rückgängig gemacht werden. Nach dem Commit führt der Server den v3.x-Sensor dauerhaft aus, und ein Rollback ist nicht mehr möglich.
Problembehandlung bei Migrationsfehlern
Wenn auf einem Server ein Fehler bei der Migration status angezeigt wird, führen Sie die folgenden Schritte zur Problembehandlung aus:
- Führen Sie die MDE Client Analyzer auf dem Server aus, um zu überprüfen, ob der Microsoft Defender for Endpoint Sensor ausgeführt wird, fehlerfrei ist und Ereignisse sendet.
- Wenn die Ergebnisse der Clientanalyse zeigen, dass der MDE Sensor fehlerfrei ist und alles gut aussieht, wenden Sie sich an einen Supportfall, um weitere Unterstützung zu erhalten.
Hinweis
Sie können die Migration auf einem Server auch dann wiederholen, wenn im status migration failed (Migration fehlgeschlagen) angezeigt wird. Wählen Sie auf der Seite Sensoren den Server und dann erneut Migrieren aus.
Behandeln von Berechtigungsproblemen
Wenn auf einem Server Nicht bereit für die Migration angezeigt wird, verwenden Sie die MDE Client Analyzer und die folgende Tabelle, um zu ermitteln, welche Berechtigungsbedingung fehlschlägt:
| Berechtigungsbedingung | Überprüfen mit MDE Client Analyzer | Manuelle Überprüfung | Lösung bei Fehlern |
|---|---|---|---|
| Der Defender für Endpunkt-Sensor wird ausgeführt | Der Status des Sense-Diensts zeigt "Wird ausgeführt" an. | Führen Sie aus sc query sense , und bestätigen Sie, dass der Dienststatus WIRD AUSGEFÜHRT lautet. |
Starten Sie den MsSense Dienst auf dem Server. Überprüfen Sie MDE Onboarding abgeschlossen ist. |
| Integrationsrichtlinie für Defender für Endpunkt vorhanden | Checken Sie RegOnboardingInfoPolicy.Json die Ergebnisse IN ZIP ein. Wenn leer, fehlt der Richtlinienschlüssel. Das Konnektivitätsprotokoll zeigt auch "OnboardingInfo konnte in der Registrierung nicht gefunden werden" an, wenn es fehlt. |
Überprüfen Sie, ob der Registrierungsschlüssel HKLM\SOFTWARE\Policies\Microsoft\Windows Erweiterter Schutz vor Bedrohungen\OnboardingInfo vorhanden ist und einen gültigen Wert enthält. |
Integrieren Sie den Server erneut in Microsoft Defender for Endpoint. Auf Geräten, die nur über Azure Security Center (ASM) integriert wurden, fehlt möglicherweise dieser Richtlinienschlüssel. |
| Das Gerät verfügt über eine registrierte MDE Geräte-ID. | Das Feld "Geräte-ID " enthält eine gültige GUID. | Überprüfen Sie den Registrierungswert SenseMachineId unter HKLM\SOFTWARE\Microsoft\Windows Erweiterter Schutz vor Bedrohungen. Eine gültige GUID muss vorhanden sein. |
Überprüfen Sie MDE Onboarding erfolgreich abgeschlossen wurde. Erneutes Onboarding, wenn SenseMachineId leer ist. |
| Der MDI v2-Sensorupdatedienst wird ausgeführt. | Nicht von MDE Client Analyzer abgedeckt | Führen Sie aus sc query AATPSensorUpdater , und bestätigen Sie, dass der Dienststatus WIRD AUSGEFÜHRT lautet. |
Starten Sie den AATPSensorUpdater Dienst. Wenn der Dienst nicht gestartet werden kann, installieren Sie den v2.x-Sensor neu. |
| Defender for Identity-Sensorversion ist 2.254 oder höher | Nicht von MDE Client Analyzer abgedeckt | Überprüfen Sie die installierte Sensorversion unter Programme und Features , oder fragen Sie die AATPSensor Dienstdateiversion ab. |
Aktualisieren Sie den MDI v2-Sensor auf Version 2.254.19112.470 oder höher. Stellen Sie sicher, dass verzögerte Updates das Update nicht blockieren. |
| Defender für Endpunkt-Sensorversion ist 10.8735 oder höher | Das Feld "Sense version " zeigt die installierte Version an. Eine Warnung wird angezeigt, wenn die Version unter dem empfohlenen Minimum liegt. | Überprüfen Sie die Dateiversion von MsSense.exe unter %ProgramFiles%\Windows Defender Erweiterter Schutz vor Bedrohungen\. |
Aktualisieren Sie den Defender für Endpunkt-Sensor auf die neueste Version. |
| Windows Server 2019 oder höher mit kumulativem Update vom März 2026 | Felder für Gerätebetriebssystem und Build des Betriebssystems . Build muss 20348.4893 oder höher sein. | Führen Sie aus winver , um die Betriebssystemversion und Buildnummer zu bestätigen. |
Aktualisieren Sie das Betriebssystem auf Windows Server 2019 oder höher, und installieren Sie das kumulative Update märz 2026 oder höher. |
| Domänencontroller ohne zusätzliche Identitätsrollen | Nicht von MDE Client Analyzer abgedeckt | Vergewissern Sie sich, dass der Server ein reiner Domänencontroller ist und nicht AD FS, AD CS oder Entra Connect zusammen mit der DC-Rolle ausgeführt wird. | Die Migration wird nur auf reinen Domänencontrollern unterstützt. Verwenden Sie den v2.x-Sensor für Server mit zusätzlichen Rollen. |
Registrierungsschlüssel für die manuelle Überprüfung
Verwenden Sie die folgenden Registrierungspfade, um MDE Voraussetzungen manuell zu überprüfen:
-
Onboardingrichtlinie:
HKLM\SOFTWARE\Policies\Microsoft\Windows Erweiterter Schutz vor Bedrohungen\OnboardingInfo(muss vorhanden sein und ein gültiges Blob enthalten) -
MDE Geräte-ID:
HKLM\SOFTWARE\Microsoft\Windows Erweiterter Schutz vor Bedrohungen\SenseMachineId(erwarteter Wert: eine gültige GUID)
Hinweis
Der Registrierungspfad HKLM\SOFTWARE\Microsoft\Windows Erweiterter Schutz vor Bedrohungen\OnboardedInfo (ohne Richtlinien) ist die informationen zum aktiven Onboarding und wird nicht für die Migrationsberechtigung verwendet. Stellen Sie sicher, dass der Richtlinienpfad vorhanden ist.
Migrationstimeout
Wenn die Migration nicht innerhalb von 2 Stunden abgeschlossen wird, setzt das System den Server automatisch auf den v2.x-Sensor zurück. Der Server kehrt in den Zustand Bereit für die Migration zurück.
Häufige Ursachen:
- Netzwerkkonnektivitätsprobleme zwischen dem Server und dem Microsoft Defender for Endpoint Clouddienst.
- Der MDE Sense-Dienst reagierte während der Migration nicht mehr.
- Eine hohe Serverlast verhinderte, dass der v3.x-Sensor innerhalb des zulässigen Zeitfensters aktiviert wurde.
- Gruppenrichtlinie- oder Endpoint Protection-Software blockiert die v3.x-Sensoraktivierung.
Sanierung:
- Überprüfen Sie die Netzwerkkonnektivität mit den erforderlichen Microsoft Defender for Endpoint-Dienst-URLs. Weitere Informationen finden Sie unter Konfigurieren Ihrer Netzwerkumgebung.
- Vergewissern Sie sich, dass der MDE Sense-Dienst ausgeführt wird und fehlerfrei ist, indem Sie die MDE Client Analyzer ausführen.
- Stellen Sie sicher, dass keine Gruppenrichtlinie oder Sicherheitssoftware von Drittanbietern neue Dienstinstallationen auf dem Domänencontroller blockiert.
- Wiederholen Sie die Migration während einer Zeit mit geringerer Serveraktivität.
Konnektivitäts- oder Voraussetzungsprobleme
Die Migration kann fehlschlagen, wenn der Server die Verbindung verliert oder eine Voraussetzung während des Migrationsprozesses ungültig wird.
Überprüfen Sie Folgendes:
- Erforderliche Ports: Stellen Sie sicher, dass der ausgehende TCP-Port 443 für die erforderlichen Microsoft Defender for Endpoint- und Defender for Identity-Dienstendpunkte geöffnet ist.
- TLS-Konfiguration: Vergewissern Sie sich, dass TLS 1.2 auf dem Server aktiviert ist. Ältere TLS-Versionen werden nicht unterstützt.
- Proxykonfiguration: Wenn der Server einen Proxy verwendet, überprüfen Sie, ob der Proxy sowohl für MDE als auch für MDI-Datenverkehr ordnungsgemäß konfiguriert ist. Stellen Sie sicher, dass der Proxy tls-Verbindungen mit Microsoft-Dienstendpunkten nicht beendet oder überprüft.
- Dienst-URLs: Vergewissern Sie sich, dass der Server die erforderlichen Defender for Identity-Dienst-URLs und Defender für Endpunkt-Dienst-URLs erreichen kann.
FQDN oder Geräte-ID stimmen nicht überein
Die Migration kann fehlschlagen, wenn der vom MDI v2-Sensor gemeldete vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) nicht mit der in Microsoft Defender for Endpoint registrierten Geräteidentität übereinstimmt.
Häufige Ursachen:
- Der Server wurde umbenannt, nachdem der MDE Sensor integriert wurde.
- Der MDE Sensor wurde offboarded und re-onboarded, was zu einer neuen Geräte-ID führte.
- Im Microsoft Defender-Portal sind mehrere Gerätedatensätze für denselben Server vorhanden.
Sanierung:
- Wechseln Sie im Microsoft Defender-Portal zu Assets>Geräte, und suchen Sie nach dem Server.
- Stellen Sie sicher, dass nur ein Gerätedatensatz für den Server vorhanden ist und der FQDN mit dem aktuellen Namen des Servers übereinstimmt.
- Wenn doppelte Datensätze vorhanden sind, identifizieren Sie den veralteten Datensatz, und entfernen Sie ihn.
- Wenn der Server kürzlich umbenannt wurde, offboarden Sie den MDE Sensor neu, um den neuen Namen zu registrieren.
Automatischer Commit
Wichtig
Nach einer erfolgreichen Migration committet das System den v3.x-Sensor nach einem 1-wöchigen Beobachtungszeitraum automatisch. Nach dem Commit kann die Migration nicht rückgängig gemacht werden, und Sie können kein Rollback zum v2.x-Sensor ausführen. Stellen Sie sicher, dass Sie die Sensorintegrität und die Erkennungsabdeckung während des Beobachtungszeitraums überprüfen. Wenn Sie ein Rollback ausführen müssen, tun Sie dies, bevor der automatische Commit erfolgt.
Wenn nach dem automatischen Commit Probleme auftreten:
- Überprüfen Sie die v3.x-Sensorintegrität auf der Seite Sensoren .
- Suchen Sie im Bereich sensordetails nach Integritätswarnungen.
- Wenn der v3.x-Sensor nach dem Commit nicht ordnungsgemäß funktioniert, erstellen Sie einen Supportfall, um Unterstützung zu erhalten.
Häufige Fehlerszenarien
In der folgenden Tabelle sind bekannte Laufzeitfehlerszenarien aufgeführt, die während oder nach der Migration auftreten können:
| Szenario | Problembeschreibung | Lösung |
|---|---|---|
| Netzwerktimeout während der Migration | Fehler beim Status der Migration nach ca. 2 Stunden | Überprüfen Sie die ausgehende Konnektivität an Port 443 mit den erforderlichen Dienst-URLs. Überprüfen Sie Proxy- und Firewallregeln. Wiederholen Sie die Migration. |
| TLS 1.2 nicht aktiviert | Statusänderungen der Migration fehlgeschlagen | Aktivieren Sie TLS 1.2 auf dem Server. Deaktivieren Sie ältere TLS-Versionen, falls die Richtlinie dies erfordert. Wiederholen Sie die Migration. |
| FQDN-Konflikt zwischen MDI und MDE | Statusänderungen der Migration fehlgeschlagen | Beheben Sie Geräteidentitätskonflikte im Microsoft Defender-Portal. Weitere Informationen finden Sie unter FQDN oder Geräte-ID-Konflikt. |
| Gruppenrichtlinie blockiert neue Dienste | Statusänderungen an Migration fehlgeschlagen oder Timeout | Aktualisieren Sie Gruppenrichtlinie, damit der v3.x-Sensordienst auf dem Domänencontroller erstellt und gestartet werden kann. |
Bereinigen des v2.x-Sensors
Die Migration deaktiviert den v2.x-Sensordienst, aber die v2.x-Sensorsoftware bleibt auf dem Server installiert. Führen Sie die folgenden Bereinigungsschritte aus, um Ihren Server vollständig aus den v2.x-Sensordateien zu sauber:
- Deinstallieren Sie den v2.x-Sensor: Entfernen Sie die v2.x-Sensorsoftware vom Server. Dieser Schritt erfordert möglicherweise einen Serverneustart. Anweisungen finden Sie unter Löschen und Deinstallieren eines Sensors v2.x von einem Domänencontroller.
- Npcap entfernen: Npcap wurde vom v2.x-Sensor verwendet, ist aber für den v3.x-Sensor nicht erforderlich. Wenn Npcap nicht von anderen Anwendungen auf dem Server verwendet wird, entfernen Sie es. Wenn Npcap installiert bleibt, wirkt sich dies nicht auf den v3.x-Sensor aus.