Bereitstellen von MBAM 2.5 in einer eigenständigen Konfiguration

  • Artikel

Dieser Artikel enthält schrittweise Anweisungen zum Installieren von Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 in einer eigenständigen Konfiguration. In diesem Leitfaden verwenden wir eine Konfiguration mit zwei Servern. Einer der beiden Server ist ein Datenbankserver, auf dem Microsoft SQL Server 2012 ausgeführt wird. Dieser Server hosten die MBAM-Datenbanken und -Berichte. Der zusätzliche Server ist ein Windows Server 2012 Webserver, der "Administration and Monitoring Server" und "Self-Service Portal" hosten wird.

Vorbereitungsschritte vor der Installation der MBAM 2.5-Serversoftware

Schritt 1: Installation und Konfiguration von Servern

Bevor wir mit der Konfiguration von MBAM 2.5 beginnen, müssen wir sicherstellen, dass beide Server gemäß den MBAM-Systemanforderungen konfiguriert sind. Sehen Sie sich die Mindestsystemanforderungen für MBAM an, und wählen Sie eine Konfiguration aus, die diese Anforderungen erfüllt.

Schritt 1.1: Bereitstellen von Voraussetzungen für Datenbank und Berichtsserver

  1. Installieren und konfigurieren Sie einen Server, auf dem das Betriebssystem Windows Server 2008 R2 (oder höher) ausgeführt wird.

  2. Installieren Sie Windows PowerShell 3.0.

  3. Installieren Sie Microsoft SQL Server 2008 R2 oder eine höhere Version, die das neueste Service Pack enthält. Wenn Sie eine neue Instanz von SQL Server für MBAM installieren, stellen Sie sicher, dass die SQL Server, die Sie installieren, die SQL_Latin1_General_CP1_CI_AS Sortierung enthält. Sie müssen die folgenden SQL Server-Features installieren:

    • Datenbankmodul
    • Reporting Services
    • Clienttoolskonnektivität
    • Verwaltungstools – Vollständig

    Hinweis

    Optional können Sie auch das TDE-Feature (Transparent Data Encryption) in SQL Server installieren.

    SQL Server Reporting Services muss im einheitlichen Modus und nicht im nicht konfigurierten oder "SharePoint"-Modus installiert und konfiguriert werden.

    Die erforderlichen SQL Server Features.

  4. Wenn Sie SSL für die Administration and Monitoring-Website verwenden möchten, stellen Sie sicher, dass Sie SQL Server Reporting Services (SSRS) so konfigurieren, dass das SSL-Protokoll (Secure Sockets Layer) verwendet wird, bevor Sie die Administration and Monitoring-Website konfigurieren. Andernfalls verwendet das Berichtsfeature unverschlüsselten (HTTP)-Datentransport anstelle von verschlüsseltem (HTTPS).

    Unter Konfigurieren von SSL-Verbindungen auf einem Berichtsserver im einheitlichen Modus können Sie SSL auf dem Berichtsserver konfigurieren.

    Hinweis

    Sie können dem SQL Server Installationshandbuch für Ihre jeweilige Version von SQL Server folgen, um SQL Server zu installieren. Die Links sind wie folgt: > * SQL Server 2014> * SQL Server 2012> * SQL Server 2008 R2

  5. Stellen Sie nach der Installation von SQL Server sicher, dass Sie das Benutzerkonto in SQL Server bereitstellen, und weisen Sie dem Benutzer, der die MBAM-Datenbank- und Berichtsrollen auf dem Datenbankserver konfiguriert, die folgenden Berechtigungen zu.

    Rollen für die Instanz von SQL Server:

    • Dbcreator
    • processadmin

    Rechte für die Instanz von SQL Server Reporting Services:

    • Ordner erstellen
    • Veröffentlichen von Berichten

Ihr Datenbankserver ist bereit für die Konfiguration von MBAM 2.5-Rollen. Wechseln wir zum nächsten Server.

Schritt 1.2: Bereitstellen der Voraussetzungen für den Verwaltungs- und Überwachungsserver

Wählen Sie einen Server aus, der die Hardwarekonfiguration erfüllt, wie im MbaM-Dokument mit den Systemanforderungen erläutert. Es muss Windows Server 2008 R2 oder ein höheres Betriebssystem zusammen mit dem neuesten Service Pack und updates ausgeführt werden. Nachdem der Server bereit ist, installieren Sie die folgenden Rollen und Features:

Rollen

  • Webserververwaltungstools (IIS) (Wählen Sie IIS-Verwaltungsskripts und -tools aus.)

  • Webserverrollendienste

    • Allgemeine HTTP-Features
      Statischer Inhalt
      Standarddokument

    • Anwendungsentwicklung
      ASP.NET
      .NET-Erweiterbarkeit
      ISAPI-Erweiterungen
      ISAPI-Filter
      Sicherheit
      Windows-Authentifizierung
      Anforderungsfilterung

    • Webdienst-IIS-Verwaltungstools

Feature

  • Features von .NET Framework 4.5

    • Microsoft .NET Framework 4.5

      Für Windows Server 2012 oder Windows Server 2012 R2 ist .NET Framework 4.5 für diese Versionen von Windows Server bereits installiert. Sie müssen es jedoch aktivieren.

      Für Windows Server 2008 R2 ist .NET Framework 4.5 nicht in Windows Server 2008 R2 enthalten. Daher müssen Sie .NET Framework 4.5 herunterladen und separat installieren.

    • WCF-Aktivierung
      HTTP-Aktivierung
      Nicht-HTTP-Aktivierung

    • TCP-Aktivierung

    • Windows-Prozessaktivierungsdienst:
      Prozessmodell
      .NET Framework Umgebung
      Konfigurations-APIs

Damit das Self-Service-Portal funktioniert, sollten Sie auch ASP.NET MVC 4.0 herunterladen und installieren.

Der nächste Schritt besteht darin, die erforderlichen MBAM-Benutzer und -Gruppen in Active Directory zu erstellen.

Schritt 2: Erstellen von Benutzern und Gruppen in Active Directory Domain Services

Als Teil der Voraussetzungen müssen Sie bestimmte Rollen und Konten definieren, die in MBAM verwendet werden, um Sicherheits- und Zugriffsrechte für bestimmte Server und Features bereitzustellen, z. B. die Datenbanken, die auf der Instanz von SQL Server ausgeführt werden, und die Webanwendungen, die auf dem Verwaltungs- und Überwachungsserver ausgeführt werden.

Erstellen Sie die folgenden Gruppen und Benutzer in Active Directory. (Sie können einen beliebigen Namen für die Gruppen und Benutzer verwenden.) Benutzer müssen keine größeren Benutzerrechte haben. Ein Domänenbenutzerkonto ist ausreichend. Sie müssen den Namen dieser Gruppen während der Konfiguration von MBAM 2.5 angeben:

  • MBAMAppPool

    Typ: Domänenbenutzer

    Beschreibung: Domänenbenutzer, der über die Berechtigung Lesen oder Schreiben für die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank verfügt, um den Webanwendungen den Zugriff auf die Daten und Berichte in diesen Datenbanken zu ermöglichen. Sie wird auch vom Anwendungspool für die Webanwendungen verwendet.

    Kontorollen (während der Konfiguration von MBAM):

    1. Domänenkonto für den Webdienstanwendungspool

    2. Compliance und Überwachung von Datenbank- und Wiederherstellungsdatenbanken mit Lese-/Schreibzugriff für Berichte

  • MBAMROUser

    Typ: Domänenbenutzer

    Beschreibung: Domänenbenutzer, der Read-Only Zugriff auf die Compliance- und Überwachungsdatenbank hat, damit die Berichte auf die Konformitäts- und Überwachungsdaten in dieser Datenbank zugreifen können. Es ist auch das Domänenbenutzerkonto, das die lokale SQL Server Reporting Services-Instanz für den Zugriff auf die Compliance- und Überwachungsdatenbank verwendet.

    Kontorollen (während der Konfiguration von MBAM):

    1. Compliance- und Überwachungsdatenbank: schreibgeschützter Benutzer für Berichte

    2. Compliance- und Überwachungsdatenbank-Domänenbenutzerkonto

  • MBAMAdvHelpDsk

    Typ: Domänengruppe

    Beschreibung: MBAM Advanced Helpdesk Benutzerzugriffsgruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite haben. Benutzer mit dieser Rolle müssen nur den Wiederherstellungsschlüssel eingeben, nicht die Domäne und den Benutzernamen des Benutzers, wenn sie Benutzern bei der Wiederherstellung ihrer Laufwerke helfen. Wenn ein Benutzer Sowohl mitglied der Gruppe MBAM Helpdesk-Benutzer als auch der Gruppe MBAM Advanced Helpdesk Users ist, setzen die Berechtigungen der MBAM Advanced Helpdesk-Benutzer die Berechtigungen der MBAM Helpdesk-Gruppe außer Kraft.

    Kontorollen (während der Konfiguration von MBAM):MBAM Advanced Helpdesk-Benutzer

  • MBAMHelpDsk

    Typ: Domänengruppe

    Beschreibung: MBAM Helpdesk Benutzerzugriffsgruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der MBAM Administration and Monitoring Website haben. Personen, die über diese Rolle verfügen, müssen alle Felder ausfüllen, wenn sie eine der beiden Optionen verwenden. Dies schließt die Domäne und den Kontonamen des Benutzers ein.

    Kontorollen (während der Konfiguration von MBAM): MBAM Helpdesk-Benutzer

  • MBAMRUGrp

    Typ: Domänengruppe

    Beschreibung: Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf die Berichte im Bereich Berichte der Verwaltungs- und Überwachungswebsite haben.

    Kontorollen (während der Konfiguration von MBAM):

    1. Meldet schreibgeschützte Domänenzugriffsgruppe

    2. MBAM-Berichtsbenutzer-Zugriffsgruppe

Schritt 3 (optional): Konfigurieren und Installieren des SSL-Zertifikats auf dem Verwaltungs- und Überwachungsserver

Obwohl es optional ist, wird dringend empfohlen, ein Zertifikat zu verwenden, um die Kommunikation zwischen dem MBAM-Client und der Administration and Monitoring-Website und den Self-Service Portal-Websites zu schützen. Aus offensichtlichen Sicherheitsgründen wird davon abgeraten, selbstsignierte Zertifikate zu verwenden. Es wird empfohlen, ein Webservertypzertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Dazu können Sie den Abschnitt "Verwenden des von der Zertifizierungsstelle genehmigten Zertifikats" in KB 2754259.

Nachdem das Zertifikat ausgestellt wurde, sollten Sie das Zertifikat dem persönlichen Speicher des Verwaltungs- und Überwachungsservers hinzufügen. Um das Zertifikat hinzuzufügen, öffnen Sie den Zertifikatspeicher auf dem lokalen Computer. Gehen Sie hierzu folgendermaßen vor:

  1. Wählen Sie mit der rechten Maustaste Start und dann Ausführen aus.

    Screenshot: Auswahl der Option

  2. Geben Sie "MMC.EXE" (ohne Anführungszeichen) ein, und wählen Sie dann OK aus.

    Feld ausführen.

  3. Wählen Sie Datei in der neuen MMC aus, die Sie geöffnet haben, und wählen Sie dann Snap-In hinzufügen/entfernen aus.

    Auswählen.

  4. Markieren Sie das Zertifikat-Snap-In, und wählen Sie dann Hinzufügen aus.

    Screenshot: Hinzufügen oder Entfernen von Snap-Ins

  5. Wählen Sie die Option Computerkonto und dann Weiter aus.

    Snap-In-Fenster

  6. Wählen Sie auf dem nächsten Bildschirm lokaler Computer und dann Fertig stellen aus.

    Wählen Sie Computerfenster aus.

  7. Sie haben nun das Zertifikat-Snap-In hinzugefügt. Dadurch können Sie mit allen Zertifikaten im Zertifikatspeicher Ihres Computers arbeiten.

    Fenster

  8. Importieren Sie das Webserverzertifikat in den Zertifikatspeicher Ihres Computers.

    Nachdem Sie zugriff auf das Zertifikat-Snap-In haben, können Sie das Webserverzertifikat in den Zertifikatspeicher Ihres Computers importieren. Führen Sie dazu die nächsten Schritte aus.

  9. Öffnen Sie das Snap-In Zertifikate (Lokaler Computer), und navigieren Sie zu Persönlich und dann zu Zertifikate.

    Screenshot: Snap-In-Fenster

    Hinweis

    Das Zertifikat-Snap-In ist möglicherweise nicht aufgeführt. Andernfalls werden keine Zertifikate installiert.

  10. Wählen Sie mit der rechten Maustaste Zertifikate aus, wählen Sie Alle Aufgaben und dann Importieren aus.

    Snap-In-Fenster

  11. Wenn der Assistent gestartet wird, wählen Sie Weiter aus. Navigieren Sie zu der datei, die Sie erstellt haben, die Ihr Serverzertifikat und ihren privaten Schlüssel enthält, und wählen Sie dann Weiter aus.

    Fenster des Zertifikatimport-Assistenten.

  12. Geben Sie das Kennwort ein, wenn Sie eines für die Datei angegeben haben, als Sie sie erstellt haben.

Geben Sie das Kennwortfenster ein.

Hinweis

Stellen Sie sicher, dass die Option Schlüssel als exportierbar markieren ausgewählt ist, wenn Sie das Schlüsselpaar erneut von diesem Computer exportieren möchten. Als zusätzliche Sicherheitsmaßnahme sollten Sie diese Option deaktiviert lassen, um sicherzustellen, dass niemand eine Sicherung Ihres privaten Schlüssels erstellen kann.

  1. Wählen Sie Weiter und dann den Zertifikatspeicher aus, in dem Sie das Zertifikat speichern möchten.

    Screenshot: Fenster des Zertifikatimport-Assistenten

    Hinweis

    Wählen Sie Persönlich aus, da es sich um ein Webserverzertifikat handelt. Wenn Sie das Zertifikat in die Zertifizierungshierarchie aufgenommen haben, wird es auch diesem Speicher hinzugefügt.

  2. Wählen Sie Weiter und dann Fertig stellen aus.

    Screenshot: Auswählen von Fertig stellen im Fenster des Zertifikatimport-Assistenten

Das Serverzertifikat für Ihren Webserver wird nun in der Liste Persönliche Zertifikate angezeigt. Er wird durch den allgemeinen Namen des Servers gekennzeichnet. (Dies finden Sie im Abschnitt "Betreff" des Zertifikats.)

Weitere Informationen:

Sicherheitsüberlegungen zu MBAM 2.5

Planen der Sicherung von MBAM-Websites

Der nächste Schritt besteht darin, einen Dienstprinzipalnamen für das Anwendungspoolkonto zu registrieren.

Schritt 4: Konfigurieren des SSL-Zertifikats für MBAM-Webserver

Wenn Sie die SSL-Kommunikation zwischen Client und Server verwenden, sollten Sie sicherstellen, dass das Zertifikat über erweiterte Schlüsselverwendungs-OIDs (1.3.6.1.5.5.7.3.1) und (1.3.6.1.5.5.7.3.2) verfügt. Das heißt, Sie sollten sicherstellen, dass Serverauthentifizierung und Clientauthentifizierung hinzugefügt werden.

Wenn Sie beim Durchsuchen von Dienst-URLs einen Zertifikatfehler erhalten, verwenden Sie ein Zertifikat, das unter einem anderen Namen ausgestellt wurde, oder Sie verwenden eine falsche URL.

Obwohl der Browser Sie möglicherweise mit einer Zertifikatfehlermeldung auffordert, aber Sie den Vorgang fortsetzen können, ignoriert der MBAM-Webdienst Zertifikatfehler nicht und blockiert die Verbindung. Sie werden zertifikatbezogene Fehler im MBAM-Admin Ereignisprotokoll des MBAM-Clients feststellen. Wenn Sie einen Alias verwenden, um eine Verbindung mit dem Verwaltungs- und Überwachungsserver herzustellen, sollten Sie ein Zertifikat für den Aliasnamen ausstellen. Das heißt, der Antragstellername des Zertifikats sollte der Aliasname sein, und der DNS-Name des lokalen Servers sollte dem Feld Alternativer Antragstellername des Zertifikats hinzugefügt werden.

Beispiel:

Wenn der virtuelle Name "bitlocker.contoso.com" lautet und der MbaM Administration and Monitoring-Servername "adminserver.contoso.com" lautet, sollte das Zertifikat für bitlocker.contoso.com (Antragstellername) ausgestellt und adminserver.contoso.com dem Feld "Alternativer Antragstellername " des Zertifikats hinzugefügt werden.

Wenn Sie mehrere Verwaltungs- und Überwachungsserver installiert haben, um die Last mithilfe eines Lastenausgleichs auszugleichen, sollten Sie das SSL-Zertifikat für den virtuellen Namen ausstellen. Das heißt, das Feld für den Antragstellernamen des Zertifikats sollte den virtuellen Namen aufweisen, und die Namen aller lokalen Server sollten im Feld Alternativer Antragstellername des Zertifikats hinzugefügt werden.

Beispiel:

Wenn der virtuelle Name "bitlocker.contoso.com" lautet und die Server "adminserver1.contoso.com" und "adminiserver2.contoso.com" sind, sollte das Zertifikat für bitlocker.contoso.com (Antragstellername) und adminserver1.contoso.com ausgestellt werden, und adminiserver2.contoso.com sollte dem Feld "Alternativer Antragstellername " des Zertifikats hinzugefügt werden.

Die Schritte zum Konfigurieren der SSL-Kommunikation mithilfe von MBAM werden im folgenden Knowledge Base-Artikel beschrieben: KB-2754259.

Schritt 5: Registrieren von SPNS für das Anwendungspoolkonto und Konfigurieren der eingeschränkten Delegierung

Hinweis

Eingeschränkte Delegierung ist nur für Version 2.5 und nicht für 2.5 Service Pack 1 und höher erforderlich.

Damit die MBAM-Server die Kommunikation über die Verwaltungs- und Überwachungswebsite und das Self-Service-Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden. Der folgende Artikel enthält schritt-für-Schritt-Anweisungen zum Registrieren von SPNs: Planning How to Secure the MBAM Websites

Nachdem Sie den SPN konfiguriert haben, sollten Sie die eingeschränkte Delegierung für den SPN einrichten. Gehen Sie hierzu folgendermaßen vor:

  1. Wechseln Sie zu Active Directory, und suchen Sie die Anmeldeinformationen für den App-Pool, die Sie in den vorherigen Schritten für MBAM-Websites konfiguriert haben.

  2. Klicken Sie mit der rechten Maustaste auf die Anmeldeinformationen, und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie die Registerkarte Delegierung aus.

  4. Wählen Sie die Option für die Kerberos-Authentifizierung aus.

  5. Wählen Sie Durchsuchen aus, und suchen Sie erneut nach den Anmeldeinformationen ihres App-Pools. Dann sollten alle SPNs angezeigt werden, die für das App-Pool-Creds-Konto eingerichtet sind. (Der SPN sollte "http/bitlocker.fqdn.com" ähneln). Markieren Sie den SPN, der mit dem Hostnamen übereinstimmt, den Sie während der MBAM-Installation angegeben haben.

  6. Wählen Sie OK aus.

Jetzt sind Sie mit den Voraussetzungen gut. In den nächsten Schritten installieren Sie die MBAM-Software auf den Servern und konfigurieren sie.

Installieren und Konfigurieren von MBAM 2.5-Serversoftware

Schritt 6: Installieren der MBAM 2.5-Serversoftware

Führen Sie die folgenden Schritte aus, um die MBAM-Serversoftware mithilfe des Setup-Assistenten für die Microsoft BitLocker-Verwaltung und -Überwachung sowohl auf dem Datenbankserver als auch auf dem Verwaltungs- und Überwachungsserver zu installieren.

  1. Führen Sie auf dem Server, auf dem Sie MBAM installieren möchten, MBAMserversetup.exe aus, um den Setup-Assistenten für die Microsoft BitLocker-Verwaltung und -Überwachung zu starten.

  2. Wählen Sie auf der Seite Willkommen die Option Weiter aus.

  3. Lesen und akzeptieren Sie den Microsoft-Software-Lizenzvertrag, und wählen Sie dann Weiter aus, um die Installation fortzusetzen.

  4. Entscheiden Sie, ob Sie Microsoft Update verwenden möchten, wenn Sie nach Updates suchen, und wählen Sie dann Weiter aus.

  5. Entscheiden Sie, ob Sie am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen möchten, und wählen Sie dann Weiter aus.

  6. Wählen Sie Installieren aus, um die Installation zu starten.

  7. Wählen Sie Fertig stellen aus.

  8. Bevor Sie mit der Konfiguration von MBAM fortfahren, installieren Sie das neueste MDOP-Wartungsreleaseupdate, da ihr Datenbankserver andernfalls nicht erkannt/unterstützt wird und der Konfigurations-Assistent beim Überprüfen der Datenbankkonfiguration einen Fehler meldet: Wartungsrelease oktober 2020 für Microsoft Desktop Optimization Pack

  9. Sie können MBAM mithilfe der Verknüpfung MBAM-Serverkonfiguration konfigurieren, die von der Serverinstallation im Startmenü erstellt wird.

Weitere Informationen finden Sie unter Installieren der MBAM 2.5-Serversoftware.

Schritt 7: Konfigurieren der Datenbank- und Berichtsrolle "MBAM 2.5"

In diesem Schritt konfigurieren wir die MBAM 2.5-Datenbanken und die Berichtskomponente mithilfe des MBAM-Assistenten:

  1. Konfigurieren Sie die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank mithilfe des Assistenten:

    1. Starten Sie auf dem Server, auf dem Sie die Datenbanken konfigurieren möchten, den MBAM-Serverkonfigurations-Assistenten. Sie können MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

    2. Wählen Sie Neue Features hinzufügen aus, wählen Sie Kompatibilitäts- und Überwachungsdatenbank, Wiederherstellungsdatenbank und Berichte aus, und wählen Sie dann Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

    3. Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann Erneut Voraussetzungen überprüfen aus.

    4. Geben Sie mithilfe der folgenden Beschreibungen die Feldwerte im Assistenten ein:

  2. Compliance- und Überwachungsdatenbank

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem Sie die Kompatibilitäts- und Überwachungsdatenbank konfigurieren.
    Sie müssen eine Ausnahme auf dem Kompatibilitäts- und Überwachungsdatenbankcomputer hinzufügen, um eingehenden Datenverkehr auf dem SQL Server Port zu ermöglichen. Die Standardportnummer ist 1433.
    SQL Server Datenbankinstanz Name der Datenbankinstanz, in der die Konformitäts- und Überwachungsdaten gespeichert werden. Wenn Sie die Standardinstanz verwenden, müssen Sie dieses Feld leer lassen. Sie müssen auch angeben, wo sich die Datenbankinformationen befinden sollen.
    Datenbankname Name der Datenbank, in der die Konformitätsdaten gespeichert werden. Sie müssen sich den Namen der Datenbank notieren, die Sie hier angeben, da Sie diese Informationen in späteren Schritten angeben müssen.
    Benutzer oder Gruppe mit Lese-/Schreibberechtigung Geben Sie den Namen des MBAMAppPool-Benutzers wie in Schritt 2 konfiguriert an.
    Domänenbenutzer oder -gruppe mit schreibgeschütztem Zugriff Geben Sie den Namen des MBAMROUser-Benutzers wie in Schritt 2 konfiguriert an.

  3. Wiederherstellungsdatenbank.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem Sie die Wiederherstellungsdatenbank konfigurieren. Sie müssen eine Ausnahme auf dem Wiederherstellungsdatenbankcomputer hinzufügen, um eingehenden Datenverkehr am SQL Server Port zu ermöglichen. Die Standardportnummer ist 1433.
    SQL Server Datenbankinstanz Name der Datenbankinstanz, in der die Wiederherstellungsdaten gespeichert werden. Wenn Sie die Standardinstanz verwenden, müssen Sie dieses Feld leer lassen. Sie müssen auch angeben, wo sich die Datenbankinformationen befinden sollen.
    Datenbankname Name der Datenbank, in der die Wiederherstellungsdaten gespeichert werden.
    Benutzer oder Gruppe mit Lese-/Schreibberechtigung Domänenbenutzer oder -gruppe mit Lese-/Schreibberechtigung für diese Datenbank, damit die Webanwendungen auf die Daten und Berichte in dieser Datenbank zugreifen können.
    Wenn Sie einen Benutzer in dieses Feld eingeben, muss dies der gleiche Wert wie der Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren sein.
    Wenn Sie eine Gruppe in dieses Feld eingeben, muss der Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren ein Mitglied der Gruppe sein, die Sie in dieses Feld eingeben.

    Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

    Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann erneut Weiter aus.

  4. Berichte.

    Feld Beschreibung
    SQL Server Reporting Services-Instanz Instanz von SQL Server Reporting Services, in der die Berichte konfiguriert werden. Wenn Sie die Standardinstanz verwenden, müssen Sie dieses Feld leer lassen.
    Berichtsrollendomänengruppe Geben Sie den Namen des MBAMRUGrp an, wie in Schritt 2 beschrieben.
    SQL Server Name Name des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
    SQL Server Datenbankinstanz Name der Datenbankinstanz, in der die Konformitäts- und Überwachungsdaten konfiguriert sind. Wenn Sie die Standardinstanz verwenden, müssen Sie dieses Feld leer lassen.
    Sie müssen eine Ausnahme auf dem Berichtscomputer hinzufügen, um eingehenden Datenverkehr auf dem Port des Berichtsservers zu aktivieren. (Der Standardport ist 80.)
    Datenbankname Name der Kompatibilitäts- und Überwachungsdatenbank. Standardmäßig lautet der Datenbankname MBAM-Konformitätsstatus.
    Kompatibilitäts- und Überwachungsdatenbankdomänenkonto Geben Sie den Namen des MBAMROUser-Benutzers wie in Schritt 2 konfiguriert an.

    Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für das Berichtsfeature erfüllt sind. Wählen Sie Weiter, um fortzufahren. Überprüfen Sie auf der Seite Zusammenfassung die Features, die hinzugefügt werden.

    Weitere Informationen finden Sie im folgenden Artikel: Konfigurieren der MBAM 2.5-Datenbanken.

Schritt 8: Konfigurieren der Rolle "MBAM 2.5-Webanwendungen"

  1. Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den MBAM-Serverkonfigurations-Assistenten. Sie können MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

  2. Wählen Sie Neue Features hinzufügen aus, wählen Sie Verwaltungs- und Überwachungswebsite und Self-Service-Portal aus, und wählen Sie dann Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

  3. Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann Erneut Voraussetzungen überprüfen aus.

  4. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben.

    Feld Beschreibung
    Sicherheitszertifikat Wählen Sie ein zuvor in Schritt 3 erstelltes Zertifikat aus, um optional die Kommunikation zwischen den Webdiensten und dem Server zu verschlüsseln, auf dem Sie die Verwaltungs- und Überwachungswebsite konfigurieren. Wenn Sie Kein Zertifikat verwenden auswählen, ist Ihre Webkommunikation möglicherweise nicht sicher.
    Hostname Name des Hostcomputers, auf dem Sie die Verwaltungs- und Überwachungswebsite konfigurieren.
    Es muss nicht der Hostname des Computers sein, es könnte etwas sein. Wenn sich der Hostname jedoch von dem netbios-Namen des Computers unterscheidet, müssen Sie einen A-Eintrag erstellen und sicherstellen, dass der SPN den benutzerdefinierten Hostnamen und nicht den netbios-Namen verwendet. Dies ist bei Lastenausgleichsszenarien üblich.
    Installationspfad Pfad, auf dem Sie die Verwaltungs- und Überwachungswebsite installieren.
    Port Portnummer, die für die Websitekommunikation verwendet werden soll.
    Sie müssen eine Firewall-Ausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
    Domänenkonto und Kennwort für den Webdienstanwendungspool Geben Sie das Benutzerkonto und das Kennwort des MBAMAppPool-Benutzers an, wie in Schritt 2 konfiguriert.
    Legen Sie zur Verbesserung der Sicherheit das in den Anmeldeinformationen angegebene Konto auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft.

  5. Vergewissern Sie sich, dass das integrierte IIS_IUSRS-Konto oder das Anwendungspoolkonto den lokalen Sicherheitseinstellungen Identität eines Clients nach der Authentifizierung annehmen und als Batchauftrag anmelden hinzugefügt wurde.

    Um zu überprüfen, ob das Konto den lokalen Sicherheitseinstellungen hinzugefügt wurde, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten Lokale Richtlinien , wählen Sie den Knoten Zuweisung von Benutzerrechten aus, und doppelklicken Sie im rechten Bereich auf Clientidentität annehmen und als Batchauftragsrichtlinien anmelden .

  6. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Kompatibilitäts- und Überwachungsdatenbank zu konfigurieren.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
    SQL Server Datenbankinstanz Name der Instanz von SQL Server (z. B<. Servername>) und auf der die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist. Lassen Sie dieses Feld leer, wenn Sie die Standardinstanz verwenden.
    Datenbankname Name der Kompatibilitäts- und Überwachungsdatenbank. Standardmäßig lautet dies "MBAM-Compliancestatus".

  7. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert ist.
    SQL Server Datenbankinstanz Name der Instanz von SQL Server (z. B<. Servername>), auf der die Wiederherstellungsdatenbank konfiguriert ist. Lassen Sie dieses Feld leer, wenn Sie die Standardinstanz verwenden.
    Datenbankname Name der Wiederherstellungsdatenbank. Standardmäßig lautet dies "MBAM Recovery and Hardware".

  8. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben, um die Verwaltungs- und Überwachungswebsite zu konfigurieren.

    Feld Beschreibung
    Erweiterte Helpdesk-Rollendomänengruppe Geben Sie den Namen der GRUPPE MBAMAdvHelpDsk an, wie in Schritt 2 konfiguriert.
    Helpdesk-Rollendomänengruppe Geben Sie den Namen der MBAMHelpDsk-Gruppe an, wie in Schritt 2 konfiguriert.
    Verwenden der System Center Configuration Manager-Integration Aktivieren Sie diese Option, um dieses Kontrollkästchen zu deaktivieren.
    Berichtsrollendomänengruppe Geben Sie den Namen der MBAMRUGrp-Gruppe an, wie in Schritt 2 konfiguriert.
    SQL Server Reporting Services-URL Geben Sie die Webdienst-URL für den SSRS-Server an, auf dem die MBAM-Berichte konfiguriert werden. Sie finden diese Informationen, indem Sie sich bei Reporting Services Configuration Manager auf dem Datenbankserver anmelden.
    Beispiel für einen vollqualifizierten Domänennamen: https://MyReportServer.Contoso.com/ReportServer
    Beispiel für einen benutzerdefinierten Hostnamen: https://MyReportServer/ReportServer
    Virtuelles Verzeichnis Virtuelles Verzeichnis der Administration and Monitoring-Website. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt. Zum Beispiel:
    http(s)://<Hostname>:<port>/HelpDesk/
    Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert HelpDesk verwendet.

  9. Verwenden Sie die folgende Beschreibung, um die Feldwerte im Assistenten einzugeben, um das Self-Service Portal zu konfigurieren.

    Feld Beschreibung
    Virtuelles Verzeichnis Virtuelles Verzeichnis der Webanwendung. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt. Zum Beispiel:
    http(s)://<Hostname>:<port>/SelfService/
    Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert "SelfService" verwendet.

  10. Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.

  11. Wählen Sie Weiter aus, um fortzufahren.

  12. Überprüfen Sie auf der Seite Zusammenfassung die Features, die hinzugefügt werden.

  13. Wählen Sie Hinzufügen aus, um die Webanwendungen zum Server hinzuzufügen, und wählen Sie dann Schließen aus.

Anpassen und Überprüfen der Schritte nach der Installation der MBAM 2.5-Serversoftware

Schritt 9: Anpassen des Self-Server-Portals für Ihre Organisation

Informationen zum Anpassen des Self-Service Portals durch Hinzufügen von benutzerdefiniertem Hinweistext, Ihrem Firmennamen, Zeigern auf weitere Informationen usw. finden Sie unter Anpassen des Self-Service Portals für Ihre Organisation.

Schritt 10: Konfigurieren des Self-Server-Portals, wenn Clientcomputer nicht auf das CDN zugreifen können

Bestimmen Sie, ob Ihre Clientcomputer Zugriff auf das Microsoft AJAX Content Delivery Network (CDN) haben. Das CDN gewährt dem Self-Service Portal den benötigten Zugriff auf bestimmte JavaScript-Dateien. Wenn Sie das Self-Service Portal nicht konfigurieren, wenn Clientcomputer nicht auf das CDN zugreifen können, werden nur der Firmenname und das Konto angezeigt, unter dem sich der angemeldete Benutzer befindet. Es wird keine Fehlermeldung angezeigt.

Führen Sie eine der folgenden Aktionen aus:

Schritt 11: Überprüfen der Konfiguration des MBAM 2.5-Serverfeatures

Führen Sie die folgenden Schritte aus, um ihre MBAM-Serverbereitstellung auf die Verwendung der eigenständigen Topologie zu überprüfen.

  1. Wählen Sie auf jedem Server, auf dem ein MBAM-Feature bereitgestellt wird, Systemsteuerung>Programme>und Features aus. Vergewissern Sie sich, dass Microsoft BitLocker-Verwaltung und -Überwachung in der Liste Programme und Features angezeigt wird.

    Hinweis

    Um die Überprüfung durchzuführen, müssen Sie ein Domänenkonto verwenden, das auf jedem Server über Administratoranmeldeinformationen für den lokalen Computer verfügt.

  2. Öffnen Sie auf dem Server, auf dem die Wiederherstellungsdatenbank konfiguriert ist, SQL Server Management Studio, und überprüfen Sie, ob die MBAM-Wiederherstellungs- und Hardwaredatenbank konfiguriert ist.

  3. Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist, SQL Server Management Studio, und überprüfen Sie, ob die MBAM-Konformitätsstatusdatenbank konfiguriert ist.

  4. Öffnen Sie auf dem Server, auf dem das Berichtsfeature konfiguriert ist, einen Webbrowser mit Administratoranmeldeinformationen, und navigieren Sie zur Homepage der SQL Server Reporting Services Website.

    Der Standardspeicherort einer SQL Server Reporting Services Websiteinstanz lautet wie folgt: http(s)://<MBAM Reports Server Name>:<port>/Reports.aspx

    Um die tatsächliche URL zu finden, verwenden Sie das tool Reporting Services Configuration Manager, und wählen Sie die Instanzen aus, die Sie während des Setups angegeben haben.

  5. Stellen Sie sicher, dass ein Berichtsordner mit dem Namen Microsoft BitLocker Administration and Monitoring eine Datenquelle mit dem Namen MaltaDataSource enthält. Diese Datenquelle enthält Ordner mit Namen, die Sprachgebietsschemas darstellen (z. B. en-us). Die Berichte befinden sich in den Sprachordnern.

    Hinweis

    Wenn SQL Server Reporting Services (SSRS) als benannte Instanz konfiguriert wurde, sollte die URL wie folgt aussehen: http(s)://<MBAM Reports Server Name>:<port>/Reports_<SRS-Instanzname>

    Wenn SSRS nicht für die Verwendung von Secure Socket Layer (SSL) konfiguriert wurde, wird die URL für die Berichte bei der Installation des MBAM-Servers auf "HTTP" anstelle von "HTTPS" festgelegt. Wenn Sie dann zur Verwaltungs- und Überwachungswebsite (auch helpdesk genannt) wechseln und einen Bericht auswählen, erhalten Sie die folgende Meldung: "Nur sichere Inhalte werden angezeigt." Um den Bericht anzuzeigen, wählen Sie Alle Inhalte anzeigen aus.

  6. Führen Sie auf dem Server, auf dem das Feature Verwaltungs- und Überwachungswebsite konfiguriert ist, Server-Manager aus, navigieren Sie zu Rollen, und wählen Sie dann Webserver (IIS)>Internetinformationsdienste-Manager aus.

  7. Navigieren Sie unter Verbindungen zum <Computernamen> , und wählen Sie dann Sites>Microsoft BitLocker Administration and Monitoring aus. Vergewissern Sie sich, dass Folgendes aufgeführt ist:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. Öffnen Sie auf dem Server, auf dem die Verwaltungs- und Überwachungswebsite und Self-Service Portal konfiguriert sind, einen Webbrowser mit Administratoranmeldeinformationen.

  9. Navigieren Sie zu den folgenden Websites, um zu überprüfen, ob sie erfolgreich geladen wurden:

    • https(s)://<MBAM Administration Server Name>:<port>/HelpDesk/ (bestätigen Sie jeden Link für Navigation und Berichte)
    • http(s)://<MBAM Administration Server Name>:<port>/SelfService/

    Hinweis

    Es wird davon ausgegangen, dass Sie die Serverfunktionen auf dem Standardport ohne Netzwerkverschlüsselung konfiguriert haben. Wenn Sie die Serverfeatures an einem anderen Port oder virtuellen Verzeichnis konfiguriert haben, ändern Sie die URLs so, dass sie den entsprechenden Port enthalten. Beispiel: http(s)://<hostname>:<port>/HelpDesk/ http(s)://<hostname>:<port>/<virtualdirectory>/ Wenn die Serverfunktionen für die Verwendung der Netzwerkverschlüsselung konfiguriert wurden, ändern Sie http:// in https://.

  10. Navigieren Sie zu den folgenden Webdiensten, um zu überprüfen, ob sie erfolgreich geladen wurden. Eine Seite wird geöffnet, um anzugeben, dass der Dienst ausgeführt wird. Auf der Seite werden jedoch keine Metadaten angezeigt.

    • http(s)://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

Schritt 12: Konfigurieren der MBAM-Gruppenrichtlinienvorlagen

Zum Bereitstellen von MBAM müssen Sie Gruppenrichtlinie Einstellungen festlegen, die MBAM-Implementierungseinstellungen für die BitLocker-Laufwerkverschlüsselung definieren. Um diese Aufgabe abzuschließen, müssen Sie die MBAM-Gruppenrichtlinie-Vorlagen auf einen Server oder eine Arbeitsstation kopieren, auf dem Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann, und dann die Einstellungen bearbeiten.

Wichtig

Ändern Sie nicht die Gruppenrichtlinie Einstellungen im Knoten BitLocker-Laufwerkverschlüsselung, sonst funktioniert MBAM nicht ordnungsgemäß. Wenn Sie die Gruppenrichtlinie-Einstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren, konfiguriert MBAM automatisch die BitLocker-Laufwerkverschlüsselungseinstellungen für Sie.

Kopieren der VORLAGEN für MBAM 2.5 Gruppenrichtlinie

Bevor Sie den MBAM-Client installieren, müssen Sie MBAM-spezifische Gruppenrichtlinie Objects (GPOs) auf die Verwaltungsarbeitsstation kopieren. Diese Gruppenrichtlinienobjekte definieren MBAM-Implementierungseinstellungen für BitLocker. Sie können die Gruppenrichtlinie Vorlagen auf alle Server oder Arbeitsstationen kopieren, bei denen es sich um einen unterstützten Windows-basierten Server oder Clientcomputer handelt, auf dem die Gruppenrichtlinie Management Console (GPMC) oder advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann.

Weitere Informationen finden Sie unter Kopieren der MBAM 2.5 Gruppenrichtlinie Vorlagen.

Bearbeiten von MBAM 2.5-GPO-Einstellungen

Nachdem Sie die erforderlichen Gruppenrichtlinienobjekte erstellt haben, müssen Sie die MBAM-Gruppenrichtlinie Einstellungen auf den Clientcomputern Ihrer Organisation bereitstellen. Zum Anzeigen und Erstellen von Gruppenrichtlinienobjekten muss Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) installiert sein.

Weitere Informationen finden Sie unter Bearbeiten der MBAM 2.5-Gruppenrichtlinie-Einstellungen und Planung für MBAM 2.5 Gruppenrichtlinie Anforderungen.

Schritt 13: Bereitstellen des MBAM 2.5-Clients

Je nachdem, wann Sie die Microsoft BitLocker Administration and Monitoring Client-Software bereitstellen, können Sie BitLocker auf einem Computer in Ihrer Organisation aktivieren, bevor der Benutzer den Computer erhält, oder danach, indem Sie Gruppenrichtlinie konfigurieren und die MBAM-Clientsoftware mithilfe eines Unternehmenssoftwarebereitstellungssystems bereitstellen.

Bereitstellen des MBAM-Clients auf Desktopcomputern oder tragbaren Computern

Nachdem Sie Gruppenrichtlinie Einstellungen konfiguriert haben, können Sie ein Systemprodukt für die Unternehmenssoftwarebereitstellung wie Microsoft System Center 2012 Configuration Manager oder Active Directory Domain Services (AD DS) verwenden, um die Windows Installer-Dateien für die MBAM-Clientinstallation auf Zielcomputern bereitzustellen. Sie können entweder die 32-Bit- oder 64-Bit-MbamClientSetup.exe-Dateien oder die 32-Bit- oder 64-Bit-MBAMClient.msi-Dateien verwenden. Diese werden zusammen mit der MBAM-Clientsoftware bereitgestellt.

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients auf Desktop- oder Laptopcomputern.

Bereitstellen des MBAM-Clients als Teil einer Windows-Bereitstellung

In Organisationen, in denen Computer zentral empfangen und konfiguriert werden, können Sie den MBAM-Client installieren, um die BitLocker-Laufwerkverschlüsselung auf jedem Computer zu verwalten, bevor Benutzerdaten darauf geschrieben werden. Der Vorteil dieses Prozesses besteht darin, dass jeder Computer bitLocker-kompatibel ist. Diese Methode basiert nicht auf der Benutzeraktion, da der Administrator den Computer bereits verschlüsselt hat. Eine wichtige Annahme für dieses Szenario ist, dass die Richtlinie der Organisation darin besteht, ein Windows-Image des Unternehmens zu installieren, bevor der Computer an den Benutzer übermittelt wird. Wenn die Gruppenrichtlinie Einstellungen so konfiguriert sind, dass sie eine PIN erfordern, werden Benutzer aufgefordert, eine PIN festzulegen, nachdem sie die Richtlinie erhalten haben.

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients als Teil einer Windows-Bereitstellung.

Bereitstellen des MBAM-Clients über eine Befehlszeile

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients mithilfe einer Befehlszeile.

Nach der Bereitstellung von Clients

Nachdem Sie die Bereitstellungsaktivität abgeschlossen haben, sollten Sie die folgenden Protokolle überprüfen und feststellen, ob die Clients erfolgreich Berichte an die MBAM-Datenbank senden.

Häufig gestellte Fragen

Erstellen von IIS-Servern mit Lastenausgleich

  • DER SPN darf nur für den Anzeigenamen (z. B. bitlocker.corp.net) registriert werden und darf nicht für einzelne IIS-Server registriert werden.

  • Wenn ein Zertifikat verwendet wird, müssen sowohl FQDN- als auch NetBIOS-Namen für alle IIS-Server in der Lastenausgleichsgruppe in das Feld Alternativer Antragstellername und als Anzeigename (z. B. bitlocker.corp.net) eingegeben werden. Andernfalls wird das Zertifikat vom Browser als nicht vertrauenswürdig gemeldet, wenn Sie Adressen mit Lastenausgleich durchsuchen.

Weitere Informationen finden Sie unter IIS-Netzwerklastenausgleich und Registrieren von SPNs für das Anwendungspoolkonto.

Konfigurieren eines Zertifikats

  • Sie müssen über zwei Zertifikate verfügen. Ein Zertifikat wird für SQL Server und das andere für IIS verwendet. Sie müssen vor dem Starten der MBAM-Installation installiert werden.

  • Es wird empfohlen, dass Sie das -Installationsprogramm verwenden, um das Zertifikat der IIS-Konfiguration hinzuzufügen, anstatt die web.config Datei manuell zu bearbeiten.

  • Das Zertifikat wird vom MBAM Configurator nicht akzeptiert, wenn das Feld "Ausgestellt für" im Zertifikat nicht mit dem Namen des Servers übereinstimmt. Erstellen Sie in diesem Fall vorübergehend ein selbstsigniertes Zertifikat aus der IIS-Konsole, und verwenden Sie es im Configurator. Dadurch wird sichergestellt, dass die Web-Apps für SSL und HTTPS installiert sind. Danach können Sie das Zertifikat von IIS-Bindungen für die MBAM-Website in ein Zertifikat ändern.

Die SQL-Berechtigungsanforderung für die Installation

Erstellen Sie ein Konto für den MBAM-App-Pool, und erteilen Sie ihm nur die Berechtigungen SecurityAdmin, Public und DBCreator.

Weitere Informationen finden Sie unter MBAM-Datenbankkonfiguration – Mindestberechtigungen .

Hinweis

  • In einigen Situationen sind für die ersten Installations- und Upgradevorgänge weitere Berechtigungen erforderlich.
  • Verwenden Sie für die Installation ein Konto mit temporärem SA.
  • Starten Sie den Configurator nicht im Kontext eines Benutzerkontos (Ausführen als), das nicht über ausreichende Berechtigungen verfügt, um Änderungen an SQL Server vorzunehmen, da dies zu Installationsfehlern führt.
  • Sie müssen mit einem Konto angemeldet sein, das über Berechtigungen für SQL Server verfügt. Nur SQL Server Datenbanken können erstellt oder aktualisiert werden, indem MBAM Configurator remote ausgeführt wird. Für den SSRS-Server müssen Sie MBAM installieren und Configurator lokal ausführen, um die MBAM-SSRS-Berichte zu installieren oder zu aktualisieren.

Die für die SPN-Registrierung erforderliche Berechtigung

Ein Konto, das für die Installation des IIS-Portals verwendet wird, muss über die Berechtigungen Write ServicePrincipalName und Write Validated SPN verfügen. Ohne diese Berechtigungen gibt die Installation eine Warnmeldung zurück, die besagt, dass der SPN nicht registriert werden kann.

Hinweis

Sie erhalten diese Warnmeldung zweimal. Dies bedeutet nicht, dass für den SPN zwei Objekte registriert sein müssen.

Musste ich die ADMX-Vorlagen auf die neueste Version aktualisieren?

Nachdem Sie die ADMX-Vorlagen auf die neuesten Versionen aktualisiert haben, werden im MBAM-Stammknoten für GPO mehrere Betriebssystemoptionen angezeigt. Beispielsweise Windows 7, Windows 8.1 und Windows 10, Version 1511 und höher.

Weitere Informationen zum Aktualisieren der ADMX-Vorlagen finden Sie in den folgenden Artikeln: