Freigeben über

MBAM 2.5-Servervoraussetzungen für eigenständige und Configuration Manager-Integrationstopologien

  • Artikel

Bevor Sie mit der Installation von Microsoft BitLocker Administration and Monitoring (MBAM) beginnen, müssen Sie die in diesem Artikel aufgeführten Voraussetzungen erfüllen. Diese Voraussetzungen gelten für die eigenständige MBAM-Topologie und die System Center Configuration Manager-Integrationstopologie.

Wenn Sie MBAM mit System Center Configuration Manager bereitstellen, müssen Sie zusätzliche Voraussetzungen erfüllen, die unter MBAM 2.5 Servervoraussetzungen aufgeführt sind, die nur für die Configuration Manager-Integrationstopologie gelten.

Eine Liste der unterstützten Hardware und Betriebssysteme für MBAM finden Sie unter MbaM 2.5 Unterstützte Konfigurationen.

Wichtig Wenn BitLocker ohne MBAM verwendet wurde, müssen Sie das Laufwerk entschlüsseln und dann TPM mithilfe von tpm.msc löschen. MBAM kann den Besitz von TPM nicht übernehmen, wenn der Client-PC bereits verschlüsselt und das TPM-Besitzerkennwort erstellt wurde.

Erforderliche MBAM-Rollen und -Konten

Voraussetzung Details

In Active Directory Domain Services (AD DS) erstellte Gruppen

Eine Beschreibung dieser Gruppen und Konten finden Sie unter Planen von MBAM 2.5-Gruppen und -Konten.

Voraussetzungen für die Wiederherstellungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie Microsoft SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Informationen zu unterstützten Versionen finden Sie unter MbaM 2.5 Unterstützte Konfigurationen .

Erforderliche SQL Server-Berechtigungen

Erforderliche Berechtigungen:

  • Sql Server-Instanz-Anmeldeserverrollen:

    • dbcreator

    • processadmin

  • SQL Server Reporting Services-Instanzrechte:

    • Ordner erstellen

    • Veröffentlichen von Berichten

Optional: Installieren des in SQL Server verfügbaren TDE-Features (Transparent Data Encryption)

Das TDE SQL Server-Feature führt die E/A-Verschlüsselung und -Entschlüsselung der Daten- und Protokolldateien in Echtzeit durch, die Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten.

Hinweis

TDE führt die Echtzeitentschlüsselung von Datenbankinformationen durch. Dies bedeutet, dass die Informationen zum Wiederherstellungsschlüssel sichtbar sind, wenn Sie Informationen zum Wiederherstellungsschlüssel in der SQL Server-Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt. Weitere Informationen zu TDE finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5.

SQL Server-Datenbank-Engine-Dienste

SQL Server Database Engine Services muss installiert sein und während der Installation des MBAM-Servers ausgeführt werden.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Wiederherstellungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für die Kompatibilitäts- und Überwachungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Informationen zu unterstützten Versionen finden Sie unter MbaM 2.5 Unterstützte Konfigurationen .

Erforderliche SQL Server-Berechtigungen

Erforderliche Berechtigungen:

  • Sql Server-Instanz-Anmeldeserverrollen:

    • dbcreator

    • processadmin

  • SQL Server Reporting Services-Instanzrechte:

    • Ordner erstellen

    • Veröffentlichen von Berichten

Optional: Installieren des TDE-Features (Transparent Data Encryption) in SQL Server

Das TDE SQL Server-Feature führt die E/A-Verschlüsselung und -Entschlüsselung der Daten- und Protokolldateien in Echtzeit durch, die Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten.

TDE führt die Echtzeitentschlüsselung von Datenbankinformationen durch. Dies bedeutet, dass die Informationen zum Wiederherstellungsschlüssel sichtbar sind, wenn Sie Informationen zum Wiederherstellungsschlüssel in der SQL Server-Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt. Weitere Informationen zu TDE finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5.

SQL Server-Datenbank-Engine-Dienste

SQL Server Database Engine Services muss installiert sein und während der Installation des MBAM-Servers ausgeführt werden. SQL Server kann jedoch remote ausgeführt werden. Es muss sich nicht auf demselben Server befinden, auf dem Sie die MBAM-Serversoftware installieren.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Kompatibilitäts- und Überwachungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für die Berichte

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Informationen zu unterstützten Versionen finden Sie unter MbaM 2.5 Unterstützte Konfigurationen .

SQL Server Reporting Services (SSRS)

SSRS muss während der Installation des MBAM-Servers installiert sein und ausgeführt werden.

Konfigurieren Sie SSRS im einheitlichen Modus und nicht im nicht konfigurierten oder "SharePoint"-Modus.

SSRS-Instanzrechte – nur erforderlich für die Konfiguration von Berichten, wenn Sie Datenbanken auf einem anderen Server als dem Server installieren, auf dem Berichte konfiguriert sind.

Erforderliche Instanzrechte:

  • Ordner erstellen

  • Veröffentlichen von Berichten

Windows PowerShell 3.0 oder höher

Windows PowerShell muss auf diesem Datenbankserver nicht installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für den Verwaltungs- und Überwachungsserver

In der folgenden Tabelle sind die Installationsvoraussetzungen für den MBAM-Verwaltungs- und Überwachungsserver aufgeführt.

Voraussetzung Details

Windows Server-Webserverrolle

Diese Rolle muss einem Serverbetriebssystem hinzugefügt werden, das für das Feature "Administration and Monitoring Server" unterstützt wird.

Webserververwaltungstools (IIS)

Klicken Sie auf IIS-Verwaltungsskripts und -Tools.

SSL-Zertifikat

Optional. Um die Kommunikation zwischen den Clientcomputern und den Webdiensten zu schützen, müssen Sie ein Zertifikat abrufen und installieren, das von einer vertrauenswürdigen Sicherheitsbehörde signiert wurde.

Webserverrollendienste

Allgemeine HTTP-Features:

  • Statischer Inhalt

  • Standarddokument

Anwendungsentwicklung:

  • ASP.NET

  • .NET-Erweiterbarkeit

  • ISAPI-Erweiterungen

  • ISAPI-Filter

Sicherheit:

  • Windows-Authentifizierung

  • Anforderungsfilterung

Windows Server-Features

Features von .NET Framework 4.5:

  • .NET Framework 4.5 oder 4.6

    • Windows Server 2016 – .NET Framework 4.6 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.

    • Windows Server 2012 oder Windows Server 2012 R2 – .NET Framework 4.5 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.

    • Windows Server 2008 R2 – .NET Framework 4.5 ist nicht in Windows Server 2008 R2 enthalten. Daher müssen Sie Microsoft .NET Framework 4.5 herunterladen und separat installieren.

      Hinweis

      Wenn Sie ein Upgrade von MBAM 2.0 oder MBAM 2.0 SP1 durchführen und .NET Framework 4.5 installieren müssen, finden Sie unter Versionshinweise für MBAM 2.5 einen zusätzlichen erforderlichen Schritt, damit die Websites funktionieren.

  • WCF-Aktivierung

    • HTTP-Aktivierung

    • Nicht-HTTP-Aktivierung (nur für Windows Server 2008, 2012 und 2012 R2)

  • TCP-Aktivierung

Windows-Prozessaktivierungsdienst:

  • Prozessmodell

  • .NET Framework-Umgebung

  • Konfigurations-APIs
ASP.NET MVC 4.0[1]

ASP.NET MVC 4 herunterladen

Dienstprinzipalname (SERVICE Principal Name, SPN)

Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.

Wenn Ihre Administratorrechte es Ihnen ermöglichen, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den Rechten, die zum Erstellen von SPNs erforderlich sind, finden Sie unter Setspn .

Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation bitten, den SPN mit dem folgenden Befehl für Sie zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das Domänenkonto, das für die Webanwendungspools verwendet wird, lautet contoso\mbamapppooluser.

Hinweis

Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planen des Schützens der MBAM-Websites.

[1]ASP.NET MVC 4.0 ist nach dem Wartungsupdate vom Januar 2023 (HF08) nicht mehr erforderlich.

Voraussetzungen für das Self-Service-Portal

Voraussetzung Details

Unterstützte Version von Windows Server

Informationen zu unterstützten Versionen finden Sie unter MbaM 2.5 Unterstützte Konfigurationen .
ASP.NET MVC 4.0[2]

ASP.NET MVC 4 herunterladen

Webdienst-IIS-Verwaltungstools

Dienstprinzipalname (SERVICE Principal Name, SPN)

Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.

Wenn Ihre Administratorrechte es Ihnen ermöglichen, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den Rechten, die zum Erstellen von SPNs erforderlich sind, finden Sie unter Setspn .

Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation mit dem folgenden Befehl bitten, den SPN für Sie zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das Domänenkonto, das für die Webanwendungspools verwendet wird, lautet contoso\mbamapppooluser.

Hinweis

Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planen des Schützens der MBAM-Websites.

[2]ASP.NET MVC 4.0 ist nach dem Wartungsupdate vom Januar 2023 (HF08) nicht mehr erforderlich.

Voraussetzungen für die Verwaltungsarbeitsstation

Voraussetzung Details

Laden Sie vor der Installation des MBAM-Clients die MBAM-Gruppenrichtlinienvorlagen herunter , und konfigurieren Sie sie mit den Einstellungen, die Sie in Ihrem Unternehmen für die BitLocker-Laufwerkverschlüsselung implementieren möchten.

Führen Sie vor der Installation des MBAM-Clients die folgenden Schritte aus:

Erforderlich Informationen zum Abrufen von Anweisungen

Kopieren der MBAM-Gruppenrichtlinienvorlagen

Kopieren die Gruppenrichtlinienvorlagen für MBAM 2.5

Bearbeiten der Gruppenrichtlinieneinstellungen

Bearbeiten der Gruppenrichtlinieneinstellungen für MBAM 2.5

Vorbereiten der Umgebung für MBAM 2.5

Planen der Bereitstellung von MBAM 2.5

Von MBAM 2.5 unterstützte Konfigurationen

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.