Konfigurieren der MBAM 2.5-Webanwendungen

In diesem Artikel wird erläutert, wie Sie die Microsoft BitLocker Administration and Monitoring (MBAM) 2.5-Webanwendungen für die empfohlene allgemeine Architektur für MBAM 2.5 mit einer der folgenden Methoden konfigurieren:

• Ein Windows PowerShell-Cmdlet.

• Der MBAM-Serverkonfigurations-Assistent.

Die Webanwendungen umfassen folgende Websites und deren entsprechende Webdienste:

• Verwaltungs- und Überwachungswebsite: Website, auf der angegebene Benutzer Berichte anzeigen und Benutzern helfen können, ihre Computer wiederherzustellen, wenn sie ihre PIN oder ihr Kennwort vergessen.
• Self-Service-Portal: Website, auf die Benutzer zugreifen können, um unabhängig wieder Zugriff auf ihre Computer zu erhalten, wenn sie ihre PIN oder ihr Kennwort vergessen.

Bevor Sie mit der Konfiguration beginnen

• Überprüfen Sie die empfohlene Architektur für MBAM. Weitere Informationen finden Sie unter Allgemeine Architektur für MBAM 2.5.
• Überprüfen Sie die unterstützten Konfigurationen für MBAM. Weitere Informationen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen.
• Erfüllen Sie die erforderlichen Voraussetzungen auf jedem Server. Stellen Sie sicher, dass Sie SQL Server Reporting Services (SSRS) für die Verwendung von SSL (Secure Sockets Layer) konfigurieren, bevor Sie die Verwaltungs- und Überwachungswebsite konfigurieren. Andernfalls verwendet das Berichtsfeature HTTP anstelle von HTTPS. Weitere Informationen finden Sie unter MBAM 2.5-Servervoraussetzungen für eigenständige Und Configuration Manager-Integrationstopologien und MBAM 2.5-Servervoraussetzungen, die nur für die Configuration Manager-Integrationstopologie gelten (falls zutreffend).
• Registrieren Sie Dienstprinzipalnamen (SPNs) für das Anwendungspoolkonto für die Websites. Sie müssen diesen Schritt nur ausführen, wenn Sie nicht über Administratordomänenrechte in Active Directory Domain Services (ADDS) verfügen. Wenn Sie über diese Rechte in ADDS verfügen, erstellt MBAM die SPNs für Sie. Weitere Informationen finden Sie unter Planen des Schützens der MBAM-Websites.
• Installieren Sie die MBAM-Serversoftware auf jedem Server, auf dem Sie ein MBAM-Server-Feature konfigurieren. Wenn Sie die Websites auf einem Server und die Webdienste auf einem anderen Server installieren möchten, können Sie sie nur mit dem Windows PowerShell-Cmdlet Enable-MbamWebApplication konfigurieren. Der MBAM-Serverkonfigurations-Assistent unterstützt die Konfiguration dieser Elemente auf separaten Servern nicht. Weitere Informationen finden Sie unter Installieren der MBAM 2.5-Serversoftware.
• Überprüfen Sie die Voraussetzungen für die Verwendung von Windows PowerShell, wenn Sie Cmdlets zum Konfigurieren von MBAM-Serverfeatures verwenden möchten. Weitere Informationen finden Sie unter Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell.

So konfigurieren Sie die Webanwendungen mithilfe von Windows PowerShell

1. Bevor Sie mit der Konfiguration beginnen, lesen Sie Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell , um die Voraussetzungen für die Verwendung von Windows PowerShell zu überprüfen.

2. Verwenden Sie das Cmdlet Enable-MbamWebApplication , um die Webanwendungen mithilfe von Windows PowerShell zu konfigurieren. Um Informationen zu diesem Cmdlet zu erhalten, geben Sie Get-Help Enable-MbamWebApplication ein.

So konfigurieren Sie die Einstellungen für alle Webanwendungen mithilfe des Assistenten

1. Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den MBAM-Serverkonfigurations-Assistenten. Sie können MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

2. Wählen Sie Neue Features hinzufügen, dann Verwaltungs- und Überwachungswebsite und Self-Service-Portal und dann Weiter aus. Der Assistent überprüft, ob der Server alle Voraussetzungen für die Webanwendungen erfüllt.

3. Wenn die Voraussetzungsprüfung erfolgreich ist, wählen Sie Weiter aus, um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und wählen Sie dann Erneut Voraussetzungen überprüfen aus.

4. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben.

   Feld	Beschreibung
   Sicherheitszertifikat	Wählen Sie ein zuvor erstelltes Zertifikat aus, um optional die Kommunikation zwischen den Webdiensten und dem Server zu verschlüsseln, auf dem Sie die Websites konfigurieren. Wenn Sie Kein Zertifikat verwenden auswählen, ist Ihre Webkommunikation möglicherweise nicht sicher.
   Hostname	Name des Hostcomputers, auf dem Sie die Websites konfigurieren.
   Installationspfad	Pfad, in dem Sie die Websites installieren.
   Port	Portnummer, die für die Website- und Dienstkommunikation verwendet werden soll. Anmerkung: Sie müssen eine Firewall-Ausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
   Domänenkonto und Kennwort für den Webdienstanwendungspool	Domänenbenutzerkonto und Kennwort für den Webdienstanwendungspool. Wenn Sie auf der Seite Datenbanken konfigurieren im Feld Benutzer oder Gruppe für Lese-/Schreibzugriffsdomäne einen Benutzernamen eingeben, müssen Sie denselben Wert in dieses Feld eingeben. Wenn Sie auf der Seite Datenbanken konfigurieren einen Gruppennamen in das Feld Benutzer oder Gruppe der Lese-/Schreibzugriffsdomäne eingeben, muss der Wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein. Wenn Sie keine Anmeldeinformationen angeben, werden die Anmeldeinformationen verwendet, die Sie für eine zuvor aktivierte Webanwendung angegeben haben. Alle Webanwendungen müssen die gleichen Anmeldeinformationen für den Anwendungspool verwenden. Wenn Sie unterschiedliche Anmeldeinformationen für verschiedene Webanwendungen angeben, wird der zuletzt angegebene Wert verwendet. Wichtig: Um die Sicherheit zu verbessern, legen Sie das in den Anmeldeinformationen angegebene Konto auf eingeschränkte Benutzerrechte fest. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft.

5. Vergewissern Sie sich, dass das integrierte IIS_IUSRS-Konto oder das Anwendungspoolkonto den lokalen Sicherheitseinstellungen Identität eines Clients nach der Authentifizierung annehmen und als Batchauftrag anmelden hinzugefügt wurde.

   Um zu überprüfen, ob sie den lokalen Sicherheitseinstellungen hinzugefügt wurden, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten Lokale Richtlinien , wählen Sie den Knoten Zuweisung von Benutzerrechten aus, doppelklicken Sie auf Clientidentität nach der Authentifizierung annehmen, und klicken Sie im rechten Bereich auf Als Batchauftragsrichtlinien anmelden .

So konfigurieren Sie Verbindungsinformationen für die Datenbanken mithilfe des Assistenten

1. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Kompatibilitäts- und Überwachungsdatenbank zu konfigurieren.

Feld	Beschreibung
SQL Server-Name	Name des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
SQL Server-Datenbankinstanz	Name der SQL Server-Instanz, in der die Kompatibilitäts- und Überwachungsdatenbank konfiguriert ist.
Datenbankname	Name der Kompatibilitäts- und Überwachungsdatenbank.

2. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.

Feld	Beschreibung
SQL Server-Name	Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert ist.
SQL Server-Datenbankinstanz	Name der SQL Server-Instanz, in der die Wiederherstellungsdatenbank konfiguriert ist.
Datenbankname	Name der Wiederherstellungsdatenbank.

So konfigurieren Sie die Webanwendungen mithilfe des Assistenten

1. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben, um die Verwaltungs- und Überwachungswebsite zu konfigurieren.

   • Erweiterte Helpdesk-Rollendomänengruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs haben.

   • Helpdesk-Rollendomänengruppe: Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung auf der Administration and Monitoring-Website haben.

   • System Center Configuration Manager-Integration verwenden: Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie konfigurieren, wählen Sie diese Option aus. Alle Berichte mit Ausnahme des Wiederherstellungsüberwachungsberichts werden in Configuration Manager statt auf der Website Verwaltung und Überwachung angezeigt.

   • Berichtsrollendomänengruppe: Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf den Bereich Berichte der Verwaltungs- und Überwachungswebsite haben.

   • SQL Server Reporting Services-URL: URL für den SSRS-Server, auf dem die MBAM-Berichte konfiguriert sind. Beispiele für Berichts-URLs:

     Hostnamentyp	Beispiel
     Beispiel mit einem vollqualifizierten Domänennamen	https://MyReportServer.Contoso.com/ReportServer
     Beispiel mit einem benutzerdefinierten Hostnamen	https://MyReportServer/ReportServer

   • Virtuelles Verzeichnis: Virtuelles Verzeichnis der Verwaltungs- und Überwachungswebsite. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B.:

     • https://<hostname>:<port>/HelpDesk/
     • Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert HelpDesk verwendet.

   • Domänengruppe der Datenmigrationsrolle (optional): Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Write-Mbam*Information Cmdlets haben, um Wiederherstellungsinformationen über diesen Endpunkt zu schreiben.

2. Verwenden Sie die folgende Beschreibung, um die Feldwerte im Assistenten einzugeben, um das Self-Service Portal zu konfigurieren.

   Feld	Beschreibung
   Virtuelles Verzeichnis	Virtuelles Verzeichnis der Webanwendung. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B. https://<hostname>:<port>/SelfService/. Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert SelfService verwendet.
   Name des Unternehmens	Geben Sie einen Unternehmensnamen für das Self-Service Portal an, z. B. Contoso IT. Dieser Unternehmensname wird allen Self-Service Portal-Benutzern angezeigt.
   Text der Helpdesk-URL	Geben Sie eine Text-Anweisung an, mit der Benutzer zur Helpdesk-Website Ihrer Organisation weitergeleitet werden, z. B.: Helpdesk oder IT-Abteilung kontaktieren.
   Helpdesk-URL	Geben Sie die URL für die Helpdesk-Website Ihrer Organisation an, z. B.: https://<companyHelpdeskURL>/.
   Textdatei beachten	Wählen Sie eine Datei aus, die die Benachrichtigung enthält, die Benutzern auf der Self-Service Portal-Startseite angezeigt werden soll.
   Keine Anzeige von Benachrichtigungstext für Benutzer	Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass der Hinweistext benutzern nicht angezeigt wird.

3. Wenn Sie Ihre Einträge abgeschlossen haben, wählen Sie Weiter aus.

   Der Assistent überprüft, ob der Server alle Voraussetzungen für die Webanwendungen erfüllt.

4. Wählen Sie Weiter aus, um fortzufahren.

5. Überprüfen Sie auf der Seite Zusammenfassung die Features, die hinzugefügt werden.

   Hinweis

   Um ein Windows PowerShell-Skript für die von Ihnen vorgenommenen Einträge zu erstellen, klicken Sie auf PowerShell-Skript exportieren , und speichern Sie das Skript.

6. Wählen Sie Hinzufügen aus, um die Webanwendungen zum Server hinzuzufügen, und wählen Sie dann Schließen aus.

   Informationen zum Anpassen des Self-Service Portals durch Hinzufügen von benutzerdefiniertem Hinweistext, Ihrem Firmennamen, Zeigern auf weitere Informationen usw. finden Sie unter Anpassen des Self-Service-Portals für Ihre Organisation.

So konfigurieren Sie das Self-Service-Portal, wenn Clientcomputer nicht auf das CDN zugreifen können

1. Bestimmen Sie, ob Sie Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 ausführen. Wenn ja, tun Sie nichts. Ihre Self-Service Portal-Konfiguration ist abgeschlossen.

   Hinweis

   Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installiert die JavaScript-Dateien im Setup und muss daher nicht mit dem Microsoft Content Delivery Network verbunden sein, um das Self-Service Portal zu konfigurieren. Die folgenden Schritte sind nur erforderlich, wenn Sie eine Version von Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 vor SP1 verwenden.

2. Ermitteln Sie, ob Ihre Clientcomputer Zugriff auf das Microsoft Content Delivery Network (CDN) haben.

   Das CDN gewährt dem Self-Service Portal den benötigten Zugriff auf bestimmte JavaScript-Dateien. Wenn Sie das Self-Service Portal nicht konfigurieren, wenn Clientcomputer nicht auf das CDN zugreifen können, werden nur der Firmenname und das Konto angezeigt, unter dem sich der Endbenutzer angemeldet hat. Es wird keine Fehlermeldung angezeigt.

3. Führen Sie eine der folgenden Aktionen aus:

   • Wenn Ihre Clientcomputer Zugriff auf das CDN haben, tun Sie nichts. Ihre Self-Service Portal-Konfiguration ist abgeschlossen.

   • Wenn Ihre Clientcomputer keinen Zugriff auf das CDN haben, führen Sie die Schritte unter Konfigurieren des Self-Service-Portals aus, wenn Clientcomputer nicht auf das Microsoft Content Delivery Network zugreifen können.

Verwandte Artikel

Serverereignisprotokolle

Konfigurieren der MBAM 2.5-Serverfeatures

Konfigurieren des Self-Service-Portals, wenn Clientcomputer nicht auf das Microsoft Content Delivery Network zugreifen können

Anpassen des Self-Service-Portals für Ihre Organisation

Überprüfen der Konfiguration des MBAM 2.5-Serverfeatures