Bereitstellen von MBAM 2.5 in einer eigenständigen Konfiguration

Dieser Artikel enthält schrittweise Anweisungen zum Installieren von Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 in einer eigenständigen Konfiguration. In diesem Leitfaden wird eine Konfiguration mit zwei Servern verwendet. Einer der Server ist ein Datenbankserver, auf dem Microsoft SQL Server 2012 ausgeführt wird. Dieser Server hostet die MBAM-Datenbanken und -Berichte. Der andere Server ist ein Windows Server 2012 Webserver, der "Administration and Monitoring Server" und "Self-Service Portal" hosten wird.

Vorbereitungsschritte vor der Installation der MBAM 2.5-Serversoftware

Schritt 1: Installation und Konfiguration von Servern

Stellen Sie zunächst sicher, dass beide Server mit den MBAM-Systemanforderungen konfiguriert sind. Weitere Informationen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen. Wählen Sie eine Konfiguration aus, die diese Anforderungen erfüllt.

Schritt 1.1: Bereitstellen von Voraussetzungen für Datenbank und Berichtsserver

  1. Installieren und konfigurieren Sie einen Server mit Windows Server Betriebssystem 2008 R2 (oder höher).

  2. Installieren Sie Windows PowerShell 3.0.

  3. Installieren Sie Microsoft SQL Server 2008 R2 oder eine höhere Version, die das neueste Service Pack enthält. Wenn Sie eine neue instance von SQL Server für MBAM installieren, stellen Sie sicher, dass die SQL Server, die Sie installieren, die SQL_Latin1_General_CP1_CI_AS Sortierung enthält. Sie müssen die folgenden SQL Server-Features installieren:

    • Datenbankmodul
    • Reporting Services
    • Clienttoolskonnektivität
    • Verwaltungstools – Vollständig

    Hinweis

    Optional können Sie auch das TDE-Feature (Transparent Data Encryption) in SQL Server installieren. Weitere Informationen finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

    SQL Server Reporting Services muss im einheitlichen Modus und nicht im nicht konfigurierten oder "SharePoint"-Modus installiert und konfiguriert werden.

    Screenshot: SQL Server 2014-Setup, in dem die erforderlichen Features hervorgehoben sind.

  4. Wenn Sie SSL für die Administration and Monitoring-Website verwenden möchten, stellen Sie sicher, dass Sie SQL Server Reporting Services (SSRS) so konfigurieren, dass das SSL-Protokoll (Secure Sockets Layer) verwendet wird, bevor Sie die Administration and Monitoring-Website konfigurieren. Andernfalls verwendet das Berichtsfeature unverschlüsselten (HTTP)-Datentransport anstelle von verschlüsseltem (HTTPS).

    Sie können Konfigurieren von SSL-Connections auf einem Berichtsserver im einheitlichen Modus befolgen, um SSL auf dem Berichtsserver zu konfigurieren.

    Hinweis

    Sie können dem SQL Server Installationshandbuch für Ihre jeweilige Version von SQL Server folgen, um SQL Server zu installieren. Die Links sind wie folgt: > - SQL Server 2014> - SQL Server 2012> - SQL Server 2008 R2

  5. Stellen Sie in der Nachinstallation von SQL Server sicher, dass Sie das Benutzerkonto in SQL Server bereitstellen, und weisen Sie dem Benutzer, der die MBAM-Datenbank- und Berichtsrollen auf dem Datenbankserver konfiguriert, die folgenden Berechtigungen zu.

    Rollen für die instance von SQL Server:

    • dbcreator
    • processadmin

    Rechte für die instance der SQL Server Reporting Services:

    • Ordner erstellen
    • Veröffentlichen von Berichten

Ihr Datenbankserver ist bereit für die Konfiguration von MBAM 2.5-Rollen. Wechseln wir zum nächsten Server.

Schritt 1.2: Bereitstellen der Voraussetzungen für den Verwaltungs- und Überwachungsserver

Wählen Sie einen Server aus, der die erforderlichen Hardwarekonfigurationen erfüllt. Weitere Informationen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen. Es muss Windows Server 2008 R2 oder einem höheren Betriebssystem zusammen mit dem neuesten Service Pack und Updates ausgeführt werden. Nachdem der Server bereit ist, installieren Sie die folgenden Rollen und Features:

Rollen

  • IIS-Verwaltungsskripts und -Tools

  • Webserverrollendienste

    • Allgemeine HTTP-Features

      • Statischer Inhalt
      • Standarddokument

    • Anwendungsentwicklung

      • ASP.NET
      • .NET-Erweiterbarkeit
      • ISAPI-Erweiterungen
      • ISAPI-Filter
      • Sicherheit
      • Windows-Authentifizierung
      • Anforderungsfilterung

    • Webdienst-IIS-Verwaltungstools

Feature

  • Features von .NET Framework 4.5

    • Microsoft .NET Framework 4.5

      Für Windows Server 2012 oder Windows Server 2012 R2 ist .NET Framework 4.5 für diese Versionen von Windows Server bereits installiert. Sie müssen es jedoch aktivieren.

      Für Windows Server 2008 R2 ist .NET Framework 4.5 nicht in Windows Server 2008 R2 enthalten. Daher müssen Sie .NET Framework 4.5 herunterladen und separat installieren.

    • WCF-Aktivierung

      • HTTP-Aktivierung
      • Nicht-HTTP-Aktivierung

    • TCP-Aktivierung

    • Windows-Prozessaktivierungsdienst:

      • Prozessmodell
      • .NET Framework Umgebung
      • Konfigurations-APIs

Damit das Self-Service-Portal funktioniert, sollten Sie auch ASP.NET MVC 4.0 herunterladen und installieren.

Der nächste Schritt besteht darin, die erforderlichen MBAM-Benutzer und -Gruppen in Active Directory zu erstellen.

Schritt 2: Erstellen von Benutzern und Gruppen in Active Directory Domain Services

Definieren Sie im Rahmen der Voraussetzungen bestimmte Rollen und Konten, die MBAM verwendet, um Sicherheits- und Zugriffsrechte für bestimmte Server und Features bereitzustellen. Beispielsweise die Datenbanken, die auf der instance von SQL Server ausgeführt werden, und die Webanwendungen, die auf dem Administration and Monitoring Server ausgeführt werden.

Erstellen Sie die folgenden Gruppen und Benutzer in Active Directory. (Sie können einen beliebigen Namen für die Gruppen und Benutzer verwenden.) Benutzer müssen nicht über größere Benutzerrechte verfügen. Ein Domänenbenutzerkonto ist ausreichend. Sie müssen den Namen dieser Gruppen während der Konfiguration von MBAM 2.5 angeben:

MBAMAppPool

Typ: Domänenbenutzer

Beschreibung: Domänenbenutzer, der über die Berechtigung Lesen oder Schreiben für die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank verfügt, um den Webanwendungen den Zugriff auf die Daten und Berichte in diesen Datenbanken zu ermöglichen. Der Anwendungspool verwendet es auch für die Webanwendungen.

Kontorollen (während der Konfiguration von MBAM):

  1. Domänenkonto für den Webdienstanwendungspool
  2. Compliance und Überwachung von Datenbank- und Wiederherstellungsdatenbanken mit Lese-/Schreibzugriff für Berichte

MBAMROUser

Typ: Domänenbenutzer

Beschreibung: Domänenbenutzer, der Read-Only Zugriff auf die Compliance- und Überwachungsdatenbank hat, damit die Berichte auf die Konformitäts- und Überwachungsdaten in dieser Datenbank zugreifen können. Außerdem handelt es sich um das Domänenbenutzerkonto, das vom lokalen SQL Server Reporting Services instance für den Zugriff auf die Compliance- und Überwachungsdatenbank verwendet wird.

Kontorollen (während der Konfiguration von MBAM):

  1. Compliance- und Überwachungsdatenbank: schreibgeschützter Benutzer für Berichte
  2. Compliance- und Überwachungsdatenbank-Domänenbenutzerkonto

MBAMAdvHelpDsk

Typ: Domänengruppe

Beschreibung: MBAM Advanced Helpdesk Benutzerzugriffsgruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite haben. Benutzer mit dieser Rolle müssen nur den Wiederherstellungsschlüssel eingeben, nicht die Domäne und den Benutzernamen des Benutzers, wenn sie Benutzern bei der Wiederherstellung ihrer Laufwerke helfen. Wenn ein Benutzer Sowohl mitglied der Gruppe MBAM Helpdesk-Benutzer als auch der Gruppe MBAM Advanced Helpdesk Users ist, setzen die Berechtigungen der MBAM Advanced Helpdesk-Benutzer die Berechtigungen der MBAM Helpdesk-Gruppe außer Kraft.

Kontorollen (während der Konfiguration von MBAM):MBAM Advanced Helpdesk-Benutzer

MBAMHelpDsk

Typ: Domänengruppe

Beschreibung: MBAM Helpdesk Benutzerzugriffsgruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der MBAM Administration and Monitoring Website haben. Personen, die über diese Rolle verfügen, müssen alle Felder ausfüllen, wenn sie eine der beiden Optionen verwenden. Diese Felder enthalten die Domäne und den Kontonamen des Benutzers.

Kontorollen (während der Konfiguration von MBAM): MBAM Helpdesk-Benutzer

MBAMRUGrp

Typ: Domänengruppe

Beschreibung: Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf die Berichte im Bereich Berichte der Verwaltungs- und Überwachungswebsite haben.

Kontorollen (während der Konfiguration von MBAM):

  1. Meldet schreibgeschützte Domänenzugriffsgruppe
  2. MBAM-Berichtsbenutzer-Zugriffsgruppe

Schritt 3 (optional): Konfigurieren und Installieren des SSL-Zertifikats auf dem Verwaltungs- und Überwachungsserver

Es ist zwar optional, es wird jedoch dringend empfohlen, ein Zertifikat zu verwenden, um die Kommunikation zwischen dem MBAM-Client und der Administration and Monitoring-Website und den websites des Self-Service Portals zu schützen. Aus offensichtlichen Sicherheitsgründen wird davon abgeraten, selbstsignierte Zertifikate zu verwenden. Es wird empfohlen, ein Webservertypzertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu verwenden. Weitere Informationen finden Sie unter MBAM und sichere Netzwerkkommunikation.

Nachdem das Zertifikat ausgestellt wurde, sollten Sie das Zertifikat dem persönlichen Speicher des Verwaltungs- und Überwachungsservers hinzufügen. Um das Zertifikat hinzuzufügen, öffnen Sie den Zertifikatspeicher auf dem lokalen Computer. Führen Sie die folgenden Schritte aus, um diese Aktion abzuschließen:

  1. Wählen Sie mit der rechten Maustaste Start und dann Ausführen aus.

    Screenshot: Auswählen von Ausführen im Startmenü

  2. Geben Sie "MMC.EXE" (ohne Anführungszeichen) ein, und wählen Sie dann OK aus.

    Screenshot des Felds

  3. Wählen Sie Datei in der neuen MMC aus, die Sie geöffnet haben, und wählen Sie dann Snap-In hinzufügen/entfernen aus.

    Screenshot: MMC mit hervorgehobener Option

  4. Markieren Sie das Zertifikat-Snap-In, und wählen Sie dann Hinzufügen aus.

    Screenshot des Fensters

  5. Wählen Sie die Option Computerkonto und dann Weiter aus.

    Screenshot des Snap-In-Fensters

  6. Wählen Sie auf dem nächsten Bildschirm lokaler Computer und dann Fertig stellen aus.

    Screenshot des Fensters

  7. Sie haben das Zertifikat-Snap-In hinzugefügt. Damit können Sie mit allen Zertifikaten im Zertifikatspeicher Ihres Computers arbeiten.

    Screenshot des Fensters

  8. Importieren Sie das Webserverzertifikat in den Zertifikatspeicher Ihres Computers.

    Nachdem Sie nun Zugriff auf das Zertifikat-Snap-In haben, können Sie das Webserverzertifikat in den Zertifikatspeicher Ihres Computers importieren.

  9. Öffnen Sie das Snap-In Zertifikate (Lokaler Computer), und navigieren Sie zu Persönlich und dann zu Zertifikate.

    Screenshot des Snap-In-Fensters

    Hinweis

    Das Zertifikat-Snap-In ist möglicherweise nicht aufgeführt. Wenn dies nicht der Fall ist, werden keine Zertifikate installiert.

  10. Wählen Sie mit der rechten Maustaste Zertifikate aus, wählen Sie Alle Aufgaben und dann Importieren aus.

    Screenshot des Snap-In-Fensters

  11. Wenn der Assistent gestartet wird, wählen Sie Weiter aus. Navigieren Sie zu der datei, die Sie erstellt haben, die Ihr Serverzertifikat und ihren privaten Schlüssel enthält, und wählen Sie dann Weiter aus.

    Screenshot des Fensters

  12. Geben Sie das Kennwort ein, wenn Sie eines für die Datei angegeben haben, als Sie sie erstellt haben.

Screenshot des Fensters

Hinweis

Wenn Sie das Schlüsselpaar erneut von diesem Computer exportieren möchten, stellen Sie sicher, dass die Option Schlüssel als exportierbar markieren ausgewählt ist. Als zusätzliche Sicherheitsmaßnahme sollten Sie diese Option deaktiviert lassen, um sicherzustellen, dass niemand eine Sicherung Ihres privaten Schlüssels erstellen kann.

  1. Wählen Sie Weiter und dann den Zertifikatspeicher aus, in dem Sie das Zertifikat speichern möchten.

    Screenshot des Fensters des Zertifikatimport-Assistenten, in dem die Option Alle Zertifikate im persönlichen Speicher platzieren ausgewählt wird.

    Hinweis

    Wählen Sie Persönlich aus, da es sich um ein Webserverzertifikat handelt. Wenn das Zertifikat in die Zertifizierungshierarchie eingeschlossen wird, wird es auch diesem Speicher hinzugefügt.

  2. Wählen Sie Weiter und dann Fertig stellen aus.

    Screenshot des Fensters

Das Serverzertifikat für Ihren Webserver wird nun in der Liste Persönliche Zertifikate angezeigt. Sie wird nach dem allgemeinen Namen des Servers aufgeführt. Sie finden diesen Namen im Abschnitt betreff des Zertifikats.

Weitere Informationen finden Sie in den folgenden Artikeln:

Der nächste Schritt besteht darin, einen Dienstprinzipalnamen für das Anwendungspoolkonto zu registrieren.

Schritt 4: Konfigurieren des SSL-Zertifikats für MBAM-Webserver

Wenn Sie die SSL-Kommunikation zwischen Client und Server verwenden, sollten Sie sicherstellen, dass das Zertifikat über erweiterte Schlüsselverwendungs-OIDs (1.3.6.1.5.5.7.3.1) und (1.3.6.1.5.5.7.3.2) verfügt. Anders ausgedrückt: Sie sollten sicherstellen, dass Serverauthentifizierung und Clientauthentifizierung hinzugefügt werden.

Wenn beim Durchsuchen von Dienst-URLs ein Zertifikatfehler angezeigt wird, wird das Zertifikat möglicherweise unter einem anderen Namen ausgestellt, oder Sie verwenden eine falsche URL.

Obwohl der Browser Sie möglicherweise mit einer Zertifikatfehlermeldung auffordert, aber Sie den Vorgang fortsetzen können, ignoriert der MBAM-Webdienst Zertifikatfehler nicht und blockiert die Verbindung. Das MBAM-Admin Ereignisprotokoll des MBAM-Clients zeigt zertifikatbezogene Fehler an. Wenn Sie einen Alias verwenden, um eine Verbindung mit dem Verwaltungs- und Überwachungsserver herzustellen, sollten Sie ein Zertifikat für den Aliasnamen ausstellen. Das heißt, der Antragstellername des Zertifikats sollte der Aliasname sein, und der DNS-Name des lokalen Servers sollte dem Feld Alternativer Antragstellername des Zertifikats hinzugefügt werden.

Beispiel 1

Wenn der virtuelle Name "bitlocker.contoso.com" lautet und der MbaM Administration and Monitoring-Servername "adminserver.contoso.com" lautet, sollte das Zertifikat für bitlocker.contoso.com (Antragstellername) ausgestellt und adminserver.contoso.com dem Feld "Alternativer Antragstellername " des Zertifikats hinzugefügt werden.

Wenn Sie mehrere Verwaltungs- und Überwachungsserver installiert haben, um die Last mithilfe eines Lastenausgleichs auszugleichen, sollten Sie das SSL-Zertifikat für den virtuellen Namen ausstellen. Das heißt, das Feld für den Antragstellernamen des Zertifikats sollte den virtuellen Namen aufweisen, und die Namen aller lokalen Server sollten im Feld Alternativer Antragstellername des Zertifikats hinzugefügt werden.

Beispiel 2

Wenn der virtuelle Name "bitlocker.contoso.com" lautet und die Server "adminserver1.contoso.com" und "adminiserver2.contoso.com" sind, sollte das Zertifikat für bitlocker.contoso.com (Antragstellername) und adminserver1.contoso.com ausgestellt werden, und adminiserver2.contoso.com sollte dem Feld "Alternativer Antragstellername " des Zertifikats hinzugefügt werden.

Weitere Informationen zum Konfigurieren der SSL-Kommunikation für MBAM finden Sie unter MBAM und sichere Netzwerkkommunikation.

Schritt 5: Registrieren von SPNs für das Anwendungspoolkonto und Konfigurieren der eingeschränkten Delegierung

Hinweis

Eingeschränkte Delegierung ist nur für Version 2.5 und nicht für 2.5 Service Pack 1 und höher erforderlich.

Damit die MBAM-Server die Kommunikation über die Verwaltungs- und Überwachungswebsite und das Self-Service-Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden. Weitere Informationen zu schritt-für-Schritt-Anweisungen zum Registrieren von SPNs finden Sie unter Planen des Schützens der MBAM-Websites.

Nachdem Sie den SPN konfiguriert haben, sollten Sie die eingeschränkte Delegierung für den SPN einrichten. Führen Sie die folgenden Schritte aus, um diese Aktion abzuschließen:

  1. Wechseln Sie zu Active Directory, und suchen Sie die Anmeldeinformationen für den App-Pool, die Sie in den vorherigen Schritten für MBAM-Websites konfiguriert haben.

  2. Klicken Sie mit der rechten Maustaste auf die Anmeldeinformationen, und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie die Registerkarte Delegierung aus.

  4. Wählen Sie die Option für die Kerberos-Authentifizierung aus.

  5. Wählen Sie Durchsuchen aus, und suchen Sie erneut nach den Anmeldeinformationen ihres App-Pools. Dann sollten alle SPNs angezeigt werden, die für das Anmeldeinformationskonto des App-Pools eingerichtet sind. Der SPN sollte ähnlich aussehen http/bitlocker.fqdn.com. Markieren Sie den SPN, der mit dem Hostnamen übereinstimmt, den Sie während der MBAM-Installation angegeben haben.

  6. Wählen Sie OK aus.

Die Voraussetzungen sind erfüllt. Installieren Sie in den nächsten Schritten die MBAM-Software auf den Servern, und konfigurieren Sie sie.

Installieren und Konfigurieren von MBAM 2.5-Serversoftware

Schritt 6: Installieren der MBAM 2.5-Serversoftware

Führen Sie die folgenden Schritte aus, um die MBAM-Serversoftware mithilfe des Setup-Assistenten für die Microsoft BitLocker-Verwaltung und -Überwachung sowohl auf dem Datenbankserver als auch auf dem Verwaltungs- und Überwachungsserver zu installieren.

  1. Führen Sie auf dem Server, auf dem Sie MBAM installieren möchten, MBAMserversetup.exe aus, um den Setup-Assistenten für die Microsoft BitLocker-Verwaltung und -Überwachung zu starten.

  2. Wählen Sie auf der Seite Willkommen die Option Weiter aus.

  3. Lesen und akzeptieren Sie den Microsoft-Software-Lizenzvertrag, und wählen Sie dann Weiter aus, um die Installation fortzusetzen.

  4. Entscheiden Sie, ob Sie Microsoft Update verwenden möchten, wenn Sie nach Updates suchen, und wählen Sie dann Weiter aus.

  5. Entscheiden Sie, ob Sie am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen möchten, und wählen Sie dann Weiter aus.

  6. Wählen Sie Installieren aus, um die Installation zu starten.

  7. Wählen Sie Fertig stellen aus.

  8. Bevor Sie mit der Konfiguration von MBAM fortfahren, installieren Sie das neueste MDOP-Wartungsreleaseupdate. Andernfalls wird Ihr Datenbankserver nicht erkannt oder unterstützt. Wenn Sie versuchen, die Datenbankkonfiguration zu überprüfen, meldet der Konfigurations-Assistent einen Fehler.

    Wartungsrelease vom Oktober 2020 für Das Microsoft Desktop Optimization Pack

  9. Sie können MBAM mithilfe der Verknüpfung MBAM-Serverkonfiguration konfigurieren, die von der Serverinstallation im Startmenü erstellt wird.

Weitere Informationen finden Sie unter Installieren der MBAM 2.5-Serversoftware.

Schritt 7: Konfigurieren der Rolle "MBAM 2.5-Datenbank und -Berichte"

Verwenden Sie den MBAM-Assistenten, um die MBAM 2.5-Datenbanken und die Berichtskomponente zu konfigurieren:

  1. Konfigurieren Sie die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank mithilfe des Assistenten:

    1. Starten Sie auf dem Server, auf dem Sie die Datenbanken konfigurieren möchten, den MbaM-Serverkonfigurations-Assistenten. Sie können MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

    2. Wählen Sie Neue Features hinzufügen aus, wählen Sie Kompatibilitäts- und Überwachungsdatenbank, Wiederherstellungsdatenbank und Berichte aus, und wählen Sie dann Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

    3. Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann Erneut Voraussetzungen überprüfen aus.

    4. Geben Sie mithilfe der folgenden Beschreibungen die Feldwerte im Assistenten ein:

  2. Compliance- und Überwachungsdatenbank

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem Sie die Kompatibilitäts- und Überwachungsdatenbank konfigurieren.
    Sie müssen eine Ausnahme auf dem Kompatibilitäts- und Überwachungsdatenbankcomputer hinzufügen, um eingehenden Datenverkehr auf dem SQL Server Port zu ermöglichen. Die Standardportnummer ist 1433.
    SQL Server datenbank instance Name der Datenbank instance, in der MBAM die Konformitäts- und Überwachungsdaten speichert. Wenn Sie die Standard-instance verwenden, müssen Sie dieses Feld leer lassen. Sie müssen auch angeben, wo sich die Datenbankinformationen befinden.
    Datenbankname Name der Datenbank, in der die Konformitätsdaten gespeichert werden. Notieren Sie sich den Namen der Datenbank, den Sie hier angeben, da Sie diese Informationen in späteren Schritten angeben müssen.
    Benutzer oder Gruppe mit Lese-/Schreibberechtigung Geben Sie den Namen des MBAMAppPool-Benutzers wie in Schritt 2 konfiguriert an.
    Domänenbenutzer oder -gruppe mit schreibgeschütztem Zugriff Geben Sie den Namen des MBAMROUser-Benutzers wie in Schritt 2 konfiguriert an.

  3. Wiederherstellungsdatenbank.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem Sie die Wiederherstellungsdatenbank konfigurieren. Sie müssen eine Ausnahme auf dem Wiederherstellungsdatenbankcomputer hinzufügen, um eingehenden Datenverkehr am SQL Server Port zu ermöglichen. Die Standardportnummer ist 1433.
    SQL Server datenbank instance Name der Datenbank instance, in der die Wiederherstellungsdaten gespeichert sind. Wenn Sie die Standard-instance verwenden, müssen Sie dieses Feld leer lassen. Sie müssen auch angeben, wo sich die Datenbankinformationen befinden.
    Datenbankname Name der Datenbank, in der die Wiederherstellungsdaten gespeichert sind.
    Benutzer oder Gruppe mit Lese-/Schreibberechtigung Domänenbenutzer oder -gruppe mit Lese-/Schreibberechtigung für diese Datenbank, damit die Webanwendungen auf die Daten und Berichte in dieser Datenbank zugreifen können.
    Wenn Sie einen Benutzer in dieses Feld eingeben, muss dies der gleiche Wert wie der Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren sein.
    Wenn Sie eine Gruppe in dieses Feld eingeben, muss der Wert im Domänenkonto des Webdienstanwendungspools auf der Seite Webanwendungen konfigurieren ein Mitglied der Gruppe sein, die Sie in dieses Feld eingeben.

    Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

    Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann erneut Weiter aus.

  4. Berichte.

    Feld Beschreibung
    SQL Server Reporting Services instance Instanz von SQL Server Reporting Services, in der Sie die Berichte konfigurieren. Wenn Sie die Standard-instance verwenden, müssen Sie dieses Feld leer lassen.
    Berichtsrollendomänengruppe Geben Sie den Namen des MBAMRUGrp an, wie in Schritt 2 beschrieben.
    SQL Server Name Name des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
    SQL Server datenbank instance Name der Datenbank instance, in der die Konformitäts- und Überwachungsdaten konfiguriert sind. Wenn Sie die Standard-instance verwenden, müssen Sie dieses Feld leer lassen.
    Sie müssen eine Ausnahme auf dem Berichtscomputer hinzufügen, um eingehenden Datenverkehr auf dem Port des Berichtsservers zu aktivieren. (Der Standardport ist 80.)
    Datenbankname Name der Kompatibilitäts- und Überwachungsdatenbank. Standardmäßig lautet der Datenbankname MBAM-Konformitätsstatus.
    Kompatibilitäts- und Überwachungsdatenbankdomänenkonto Geben Sie den Namen des MBAMROUser-Benutzers wie in Schritt 2 konfiguriert an.

    Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für das Berichtsfeature erfüllt sind. Wählen Sie Weiter, um fortzufahren. Überprüfen Sie auf der Seite Zusammenfassung die hinzugefügten Features.

    Weitere Informationen finden Sie im folgenden Artikel: Konfigurieren der MBAM 2.5-Datenbanken.

Schritt 8: Konfigurieren der Rolle "MBAM 2.5-Webanwendungen"

  1. Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den MbaM-Serverkonfigurations-Assistenten. Sie können MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

  2. Wählen Sie Neue Features hinzufügen, dann Verwaltungs- und Überwachungswebsite und Self-Service-Portal und dann Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Datenbanken erfüllt sind.

  3. Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann Erneut Voraussetzungen überprüfen aus.

  4. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben.

    Feld Beschreibung
    Sicherheitszertifikat Wählen Sie ein zuvor in Schritt 3 erstelltes Zertifikat aus, um optional die Kommunikation zwischen den Webdiensten und dem Server zu verschlüsseln, auf dem Sie die Administration and Monitoring-Website konfigurieren. Wenn Sie Kein Zertifikat verwenden auswählen, ist Ihre Webkommunikation möglicherweise nicht sicher.
    Hostname Name des Hostcomputers, auf dem Sie die Verwaltungs- und Überwachungswebsite konfigurieren.
    Es muss nicht der Hostname des Computers sein, es kann sich um etwas handeln. Wenn sich der Hostname jedoch von dem netbios-Namen des Computers unterscheidet, müssen Sie einen A-Eintrag erstellen und sicherstellen, dass der SPN den benutzerdefinierten Hostnamen und nicht den netbios-Namen verwendet. Diese Konfiguration ist in Lastenausgleichsszenarien üblich.
    Installationspfad Pfad, auf dem Sie die Website für Verwaltung und Überwachung installieren.
    Port Portnummer, die für die Websitekommunikation verwendet werden soll.
    Sie müssen eine Firewall-Ausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
    Domänenkonto und Kennwort für den Webdienstanwendungspool Geben Sie das Benutzerkonto und das Kennwort des MBAMAppPool-Benutzers an, wie in Schritt 2 konfiguriert.
    Legen Sie zur Verbesserung der Sicherheit das in den Anmeldeinformationen angegebene Konto auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft.

  5. Vergewissern Sie sich, dass das integrierte IIS_IUSRS-Konto oder das Anwendungspoolkonto den lokalen Sicherheitseinstellungen Identität eines Clients nach der Authentifizierung annehmen und als Batchauftrag anmelden hinzugefügt wurde.

    Um zu überprüfen, ob das Konto den lokalen Sicherheitseinstellungen hinzugefügt wurde, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten Lokale Richtlinien , wählen Sie den Knoten Zuweisung von Benutzerrechten aus, und doppelklicken Sie im rechten Bereich auf Clientidentität nach der Authentifizierung annehmen und Als Batchauftragsrichtlinien anmelden .

  6. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Kompatibilitäts- und Überwachungsdatenbank zu konfigurieren.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
    SQL Server datenbank instance Name des instance von SQL Server (z. B<. Servername>) und auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist. Wenn Sie die Standard-instance verwenden, lassen Sie dieses Feld leer.
    Datenbankname Name der Kompatibilitäts- und Überwachungsdatenbank. Standardmäßig lautet dies "MBAM-Compliancestatus".

  7. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.

    Feld Beschreibung
    SQL Server Name Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert ist.
    SQL Server datenbank instance Name des instance von SQL Server (z. B<. Servername>), auf dem die Wiederherstellungsdatenbank konfiguriert ist. Wenn Sie die Standard-instance verwenden, lassen Sie dieses Feld leer.
    Datenbankname Name der Wiederherstellungsdatenbank. Standardmäßig lautet dies "MBAM Recovery and Hardware".

  8. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben, um die Verwaltungs- und Überwachungswebsite zu konfigurieren.

    Feld Beschreibung
    Erweiterte Helpdesk-Rollendomänengruppe Geben Sie den Namen der GRUPPE MBAMAdvHelpDsk an, wie in Schritt 2 konfiguriert.
    Helpdesk-Rollendomänengruppe Geben Sie den Namen der MBAMHelpDsk-Gruppe an, wie in Schritt 2 konfiguriert.
    Verwenden von System Center Configuration Manager Integration Aktivieren Sie diese Option, um dieses Kontrollkästchen zu deaktivieren.
    Berichtsrollendomänengruppe Geben Sie den Namen der MBAMRUGrp-Gruppe an, wie in Schritt 2 konfiguriert.
    SQL Server Reporting Services-URL Geben Sie die Webdienst-URL für den SSRS-Server an, auf dem die MBAM-Berichte konfiguriert sind. Sie finden diese Informationen, indem Sie sich bei Reporting Services Configuration Manager auf dem Datenbankserver anmelden.
    Beispiel für einen vollqualifizierten Domänennamen: https://MyReportServer.Contoso.com/ReportServer
    Beispiel für einen benutzerdefinierten Hostnamen: https://MyReportServer/ReportServer
    Virtuelles Verzeichnis Virtuelles Verzeichnis der Administration and Monitoring-Website. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt. Zum Beispiel:
    https://<host name>:<port>/HelpDesk/
    Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert "HelpDesk" verwendet.

  9. Verwenden Sie die folgende Beschreibung, um die Feldwerte im Assistenten einzugeben, um das Self-Service Portal zu konfigurieren.

    Feld Beschreibung
    Virtuelles Verzeichnis Virtuelles Verzeichnis der Webanwendung. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt. Zum Beispiel:
    https://<host name>:<port>/SelfService/
    Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert "SelfService" verwendet.

  10. Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus. Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.

  11. Wählen Sie Weiter aus, um fortzufahren.

  12. Überprüfen Sie auf der Seite Zusammenfassung die hinzugefügten Features.

  13. Wählen Sie Hinzufügen aus, um die Webanwendungen zum Server hinzuzufügen, und wählen Sie dann Schließen aus.

Anpassen und Überprüfen der Schritte nach der Installation von MBAM 2.5-Serversoftware

Schritt 9: Anpassen des Self-Server-Portals für Ihre organization

Informationen zum Anpassen des Self-Service Portals durch Hinzufügen von benutzerdefiniertem Hinweistext, Ihrem Firmennamen, Zeigern auf weitere Informationen usw. finden Sie unter Anpassen des Self-Service Portals für Ihre organization.

Schritt 10: Konfigurieren des Self-Server-Portals, wenn Clientcomputer nicht auf das CDN zugreifen können

Bestimmen Sie, ob Ihre Clientcomputer Zugriff auf das Microsoft AJAX Content Delivery Network (CDN) haben. Das CDN gewährt dem Self-Service Portal den benötigten Zugriff auf bestimmte JavaScript-Dateien. Wenn Sie das Self-Service Portal nicht konfigurieren, wenn Clientcomputer nicht auf das CDN zugreifen können, werden nur der Firmenname und das Konto angezeigt, unter dem sich der Benutzer angemeldet hat. Es wird keine Fehlermeldung angezeigt.

Führen Sie eine der folgenden Aktionen aus:

Schritt 11: Überprüfen der Konfiguration des MBAM 2.5-Serverfeatures

Führen Sie die folgenden Schritte aus, um ihre MBAM-Serverbereitstellung auf die Verwendung der eigenständigen Topologie zu überprüfen.

  1. Wählen Sie auf jedem Server, auf dem ein MBAM-Feature bereitgestellt wird, Systemsteuerung>Programme>und Features aus. Vergewissern Sie sich, dass Microsoft BitLocker-Verwaltung und -Überwachung in der Liste Programme und Features angezeigt wird.

    Hinweis

    Für die Überprüfung müssen Sie ein Domänenkonto verwenden, das auf jedem Server über Administratoranmeldeinformationen für den lokalen Computer verfügt.

  2. Öffnen Sie auf dem Server, auf dem die Wiederherstellungsdatenbank konfiguriert ist, SQL Server Management Studio, und überprüfen Sie, ob die MBAM-Wiederherstellungs- und Hardwaredatenbank konfiguriert ist.

  3. Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist, SQL Server Management Studio, und überprüfen Sie, ob die MBAM-Konformitätsstatusdatenbank konfiguriert ist.

  4. Öffnen Sie auf dem Server, auf dem das Berichtsfeature konfiguriert ist, einen Webbrowser mit Administratoranmeldeinformationen, und navigieren Sie zur Homepage der SQL Server Reporting Services Website.

    Der Standardspeicherort einer SQL Server Reporting Services Website instance lautet wie folgt:

    https://<MBAM Reports Server Name>:<port>/Reports.aspx

    Um die tatsächliche URL zu finden, verwenden Sie das tool Reporting Services Configuration Manager, und wählen Sie die Instanzen aus, die Sie während des Setups angegeben haben.

  5. Stellen Sie sicher, dass ein Berichtsordner mit dem Namen Microsoft BitLocker Administration and Monitoring eine Datenquelle mit dem Namen MaltaDataSource enthält. Diese Datenquelle enthält Ordner mit Namen, die Sprachgebietsschemas darstellen (z. B. en-us). Die Berichte befinden sich in den Sprachordnern.

    Hinweis

    Wenn Sie SQL Server Reporting Services (SSRS) als benannte instance konfigurieren, sollte die URL wie im folgenden Beispiel aussehen:

    https://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    Wenn Sie SSRS nicht für die Verwendung von Secure Socket Layer (SSL) konfiguriert haben, wird die URL für die Berichte bei der Installation des MBAM-Servers auf "HTTP" anstelle von "HTTPS" festgelegt. Wenn Sie dann zur Verwaltungs- und Überwachungswebsite (auch helpdesk genannt) wechseln und einen Bericht auswählen, erhalten Sie die folgende Meldung: "Nur sichere Inhalte werden angezeigt." Um den Bericht anzuzeigen, wählen Sie Alle Inhalte anzeigen aus.

  6. Führen Sie auf dem Server, auf dem das Feature Verwaltungs- und Überwachungswebsite konfiguriert ist, Server-Manager aus, navigieren Sie zu Rollen, und wählen Sie dann Webserver (IIS)>Internetinformationsdienste-Manager aus.

  7. Navigieren Sie Connections zum <Computernamen>, und wählen Sie dann Websites>Microsoft BitLocker Administration and Monitoring aus. Vergewissern Sie sich, dass Folgendes aufgeführt ist:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. Öffnen Sie auf dem Server, auf dem die Verwaltungs- und Überwachungswebsite und Self-Service Portal konfiguriert sind, einen Webbrowser mit Administratoranmeldeinformationen.

  9. Navigieren Sie zu den folgenden Websites, um zu überprüfen, ob sie erfolgreich geladen wurden:

    • httpss://<MBAM Administration Server Name>:<port>/HelpDesk/ (Bestätigen Sie jeden Link für Navigation und Berichte)
    • https://<MBAM Administration Server Name>:<port>/SelfService/

    Hinweis

    Es wird davon ausgegangen, dass Sie die Serverfeatures auf dem Standardport ohne Netzwerkverschlüsselung konfiguriert haben. Wenn Sie die Serverfeatures an einem anderen Port oder virtuellen Verzeichnis konfiguriert haben, ändern Sie die URLs so, dass sie den entsprechenden Port enthalten. Zum Beispiel:

    • https://<host name>:<port>/HelpDesk/
    • https://<host name>:<port>/<virtualdirectory>/

    Wenn Sie die Serverfeatures ohne Netzwerkverschlüsselung konfiguriert haben, ändern Sie https:// in http://.

  10. Navigieren Sie zu den folgenden Webdiensten, um zu überprüfen, ob sie erfolgreich geladen wurden. Eine Seite wird geöffnet, um anzugeben, dass der Dienst ausgeführt wird. Auf der Seite werden jedoch keine Metadaten angezeigt.

    • https://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

Schritt 12: Konfigurieren der MBAM-Gruppenrichtlinienvorlagen

Zum Bereitstellen von MBAM müssen Sie Gruppenrichtlinieneinstellungen festlegen, die MBAM-Implementierungseinstellungen für die BitLocker-Laufwerkverschlüsselung definieren. Zum Ausführen dieser Aufgabe müssen Sie die MBAM-Gruppenrichtlinienvorlagen auf einen Server oder eine Arbeitsstation kopieren, auf dem Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann, und dann die Einstellungen bearbeiten.

Wichtig

Ändern Sie die Gruppenrichtlinieneinstellungen im Knoten BitLocker-Laufwerkverschlüsselung nicht, da MBAM nicht ordnungsgemäß funktioniert. Wenn Sie die Gruppenrichtlinieneinstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren, konfiguriert MBAM automatisch die Einstellungen für die BitLocker-Laufwerkverschlüsselung für Sie.

Kopieren der MBAM 2.5-Gruppenrichtlinienvorlagen

Bevor Sie den MBAM-Client installieren, müssen Sie MBAM-spezifische Gruppenrichtlinienobjekte (GPOs) auf die Verwaltungsarbeitsstation kopieren. Diese Gruppenrichtlinienobjekte definieren MBAM-Implementierungseinstellungen für BitLocker. Sie können die Gruppenrichtlinienvorlagen auf alle Server oder Arbeitsstationen kopieren, bei denen es sich um einen unterstützten Windows-basierten Server oder Clientcomputer handelt, auf dem die Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann.

Weitere Informationen finden Sie unter Kopieren der MBAM 2.5-Gruppenrichtlinienvorlagen.

Bearbeiten von MBAM 2.5-GPO-Einstellungen

Nachdem Sie die erforderlichen Gruppenrichtlinienobjekte erstellt haben, müssen Sie die MBAM-Gruppenrichtlinieneinstellungen auf den Clientcomputern Ihrer organization bereitstellen. Zum Anzeigen und Erstellen von Gruppenrichtlinienobjekten muss Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) installiert sein.

Weitere Informationen finden Sie unter Bearbeiten der MBAM 2.5-Gruppenrichtlinieneinstellungen und Planen von MbaM 2.5-Gruppenrichtlinienanforderungen.

Schritt 13: Bereitstellen des MBAM 2.5-Clients

Je nachdem, wann Sie die MBAM-Clientsoftware bereitstellen, können Sie BitLocker auf einem Computer in Ihrem organization aktivieren, bevor der Benutzer den Computer empfängt, oder danach, indem Sie die Gruppenrichtlinie konfigurieren und die MBAM-Clientsoftware mithilfe eines Unternehmenssoftwarebereitstellungssystems bereitstellen.

Bereitstellen des MBAM-Clients auf Desktopcomputern oder tragbaren Computern

Nachdem Sie Gruppenrichtlinieneinstellungen konfiguriert haben, können Sie ein Systemprodukt für die Unternehmenssoftwarebereitstellung wie Microsoft System Center 2012 Configuration Manager oder Active Directory Domain Services (AD DS) verwenden, um die MBAM-Clientinstallationsdateien für Windows Installer auf Zielcomputern bereitzustellen. Sie können entweder die 32-Bit- oder 64-Bit-MbamClientSetup.exe-Dateien oder die 32-Bit- oder 64-Bit-MBAMClient.msi-Dateien verwenden. Diese Dateien werden zusammen mit der MBAM-Clientsoftware bereitgestellt.

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients auf Desktop- oder Laptopcomputern.

Bereitstellen des MBAM-Clients als Teil einer Windows-Bereitstellung

In Organisationen, in denen Computer zentral empfangen und konfiguriert werden, können Sie den MBAM-Client installieren, um die BitLocker-Laufwerkverschlüsselung auf jedem Computer zu verwalten, bevor Benutzerdaten darauf geschrieben werden. Der Vorteil dieses Prozesses besteht darin, dass jeder Computer bitLocker-kompatibel ist. Diese Methode basiert nicht auf der Benutzeraktion, da der Administrator den Computer bereits verschlüsselt hat. Eine wichtige Annahme für dieses Szenario ist, dass die Richtlinie des organization darin besteht, ein Windows-Image des Unternehmens zu installieren, bevor der Computer an den Benutzer übermittelt wird. Wenn die Gruppenrichtlinieneinstellungen so konfiguriert sind, dass sie eine PIN erfordern, werden Benutzer aufgefordert, eine PIN festzulegen, nachdem sie die Richtlinie erhalten haben.

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients als Teil einer Windows-Bereitstellung.

Bereitstellen des MBAM-Clients über eine Befehlszeile

Weitere Informationen finden Sie unter Bereitstellen des MBAM-Clients über eine Befehlszeile.

Nach der Bereitstellung von Clients

Überprüfen Sie als Nächstes die folgenden Protokolle, und ermitteln Sie, ob die Clients erfolgreich Berichte an die MBAM-Datenbank senden.

Häufig gestellte Fragen

Erstellen von IIS-Servern mit Lastenausgleich

  • DER SPN darf nur für den Anzeigenamen (z. B. bitlocker.corp.net) registriert werden und darf nicht für einzelne IIS-Server registriert werden.

  • Wenn ein Zertifikat verwendet wird, müssen sowohl FQDN- als auch NetBIOS-Namen für alle IIS-Server in der Lastenausgleichsgruppe in das Feld Alternativer Antragstellername sowie als Anzeigename (z. B. bitlocker.corp.net) eingegeben werden. Andernfalls vertraut der Browser dem Zertifikat nicht, wenn Sie Adressen mit Lastenausgleich durchsuchen.

Weitere Informationen finden Sie unter IIS-Netzwerklastenausgleich und Registrieren von SPNs für das Anwendungspoolkonto.

Konfigurieren eines Zertifikats

  • Sie benötigen zwei Zertifikate. Ein Zertifikat wird für SQL Server und das andere für IIS verwendet. Sie müssen vor dem Starten der MBAM-Installation installiert werden.

  • Es wird empfohlen, dass Sie das -Installationsprogramm verwenden, um das Zertifikat der IIS-Konfiguration hinzuzufügen, anstatt die web.config Datei manuell zu bearbeiten.

  • Wenn das Feld "Ausgestellt für" im Zertifikat nicht mit dem Namen des Servers übereinstimmt, akzeptiert MBAM Configurator das Zertifikat nicht. Erstellen Sie vorübergehend ein selbstsigniertes Zertifikat über die IIS-Konsole, und verwenden Sie es im Configurator. Durch diese Aktion wird sichergestellt, dass die Web-Apps für SSL und HTTPS installiert sind. Danach können Sie das Zertifikat von IIS-Bindungen für die MBAM-Website in ein Zertifikat ändern.

Die SQL-Berechtigungsanforderung für die Installation

Erstellen Sie ein Konto für den MBAM-App-Pool, und erteilen Sie ihm nur SecurityAdmindie Berechtigungen , Publicund DBCreator .

Weitere Informationen finden Sie unter MBAM-Datenbankkonfiguration – Mindestberechtigungen.

Hinweis

  • In einigen Situationen sind für die ersten Installations- und Upgradevorgänge weitere Berechtigungen erforderlich.
  • Verwenden Sie für die Installation ein Konto mit temporärem SA.
  • Starten Sie den Configurator nicht im Kontext eines Benutzerkontos (Ausführen als), das nicht über ausreichende Berechtigungen verfügt, um Änderungen an SQL Server vorzunehmen. Diese Aktion verursacht Installationsfehler.
  • Sie müssen mit einem Konto angemeldet sein, das über Berechtigungen für SQL Server verfügt. Nur SQL Server Datenbanken können erstellt oder aktualisiert werden, indem MBAM Configurator remote ausgeführt wird. Für den SSRS-Server müssen Sie MBAM installieren und Configurator lokal ausführen, um die MBAM-SSRS-Berichte zu installieren oder zu aktualisieren.

Die für die SPN-Registrierung erforderliche Berechtigung

Ein Konto, das für die Installation des IIS-Portals verwendet wird, muss über berechtigungen Write ServicePrincipalName und Write Validated SPN verfügen. Ohne diese Berechtigungen gibt die Installation eine Warnmeldung zurück, die besagt, dass der SPN nicht registriert werden kann.

Hinweis

Diese Warnmeldung wird zweimal angezeigt. Dies bedeutet nicht, dass für den SPN zwei Objekte registriert sein müssen.

Musste ich die ADMX-Vorlagen auf die neueste Version aktualisieren?

Nachdem Sie die ADMX-Vorlagen auf die neuesten Versionen aktualisiert haben, werden im MBAM-Stammknoten für GPO mehrere Betriebssystemoptionen angezeigt. Beispielsweise Windows 7, Windows 8.1 und Windows 10, Version 1511 und höher.

Weitere Informationen zum Aktualisieren der ADMX-Vorlagen finden Sie in den folgenden Artikeln:

  • Last updated on