MBAM 2.5-Servervoraussetzungen für eigenständige und Configuration Manager-Integrationstopologien

Bevor Sie die Installation von Microsoft BitLocker Administration and Monitoring (MBAM) starten, müssen Sie die in diesem Thema aufgeführten Voraussetzungen erfüllen. Diese Voraussetzungen gelten für die eigenständige MBAM-Topologie und System Center Configuration Manager Integrationstopologie.

Wenn Sie MBAM mit System Center Configuration Manager bereitstellen, müssen Sie zusätzliche Voraussetzungen erfüllen, die in MBAM 2.5 Server Prerequisites aufgeführt sind, die nur für die Configuration Manager Integrationstopologie gelten.

Eine Liste der unterstützten Hardware- und Betriebssysteme für MBAM finden Sie unter MBAM 2.5 Supported Configurations.

Wichtig
Wenn BitLocker ohne MBAM verwendet wurde, müssen Sie das Laufwerk entschlüsseln und dann TPM mithilfe von "tpm.msc" löschen. MBAM kann den Besitz des TPM nicht übernehmen, wenn der Client-PC bereits verschlüsselt ist und das TPM-Besitzerkennwort erstellt wurde.

Erforderliche MBAM-Rollen und -Konten

Voraussetzung Details

In Active Directory Domain Services erstellte Gruppen (AD DS)

Eine Beschreibung dieser Gruppen und Konten finden Sie unter Planen von MBAM 2.5-Gruppen und -Konten .

Voraussetzungen für die Wiederherstellungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie Microsoft SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Unterstützte Konfigurationen für unterstützte Versionen finden Sie unter MBAM 2.5 .

Erforderliche SQL Server Berechtigungen

Erforderliche Berechtigungen:

  • SQL Server Instanz-Anmeldeserverrollen:

    • Dbcreator

    • processadmin

  • SQL Server Reporting Services Instanzrechte:

    • Ordner erstellen

    • Berichte veröffentlichen

Optional – Installieren des TDE-Features (Transparent Data Encryption, Transparente Datenverschlüsselung), das in SQL Server

Das TDE-SQL Server-Feature führt die E/A-Verschlüsselung und Entschlüsselung der Daten und Protokolldateien in Echtzeit durch, was Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten.

Hinweis

TDE führt die Entschlüsselung von Datenbankinformationen in Echtzeit durch. Dies bedeutet, dass, wenn Sie Wiederherstellungsschlüsselinformationen in der SQL Server Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt, die Wiederherstellungsschlüsselinformationen sichtbar sind. Weitere Informationen zu TDE finden Sie unter Sicherheitsüberlegungen in MBAM 2.5.

SQL Server-Datenbankmoduldienste

SQL Server Database Engine Services muss während der MBAM Server-Installation installiert und ausgeführt werden.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Wiederherstellungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für die Compliance- und Überwachungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Unterstützte Konfigurationen für unterstützte Versionen finden Sie unter MBAM 2.5 .

Erforderliche SQL Server Berechtigungen

Erforderliche Berechtigungen:

  • SQL Server Instanz-Anmeldeserverrollen:

    • Dbcreator

    • processadmin

  • SQL Server Reporting Services Instanzrechte:

    • Ordner erstellen

    • Berichte veröffentlichen

Optional – Installieren des TDE-Features (Transparent Data Encryption) in SQL Server

Das TDE-SQL Server-Feature führt die E/A-Verschlüsselung und Entschlüsselung der Daten und Protokolldateien in Echtzeit durch, was Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten.

TDE führt die Entschlüsselung von Datenbankinformationen in Echtzeit durch. Dies bedeutet, dass, wenn Sie Wiederherstellungsschlüsselinformationen in der SQL Server Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt, die Wiederherstellungsschlüsselinformationen sichtbar sind. Weitere Informationen zu TDE finden Sie unter Sicherheitsüberlegungen in MBAM 2.5.

SQL Server-Datenbankmoduldienste

SQL Server Database Engine Services muss während der MBAM Server-Installation installiert und ausgeführt werden. SQL Server kann jedoch remote ausgeführt werden. Es muss sich nicht auf dem server befinden, auf dem Sie die MBAM Server-Software installieren.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Compliance- und Überwachungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für die Berichte

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung.

Unterstützte Konfigurationen für unterstützte Versionen finden Sie unter MBAM 2.5 .

SQL Server Reporting Services (SSRS)

SSRS muss während der MBAM Server-Installation installiert und ausgeführt werden.

Konfigurieren Sie SSRS im "nativen" Modus und nicht im nicht konfigurierten oder "SharePoint"-Modus.

SSRS-Instanzrechte – für das Konfigurieren von Berichten nur erforderlich, wenn Sie Datenbanken auf einem separaten Server installieren, auf dem Berichte konfiguriert sind.

Erforderliche Instanzrechte:

  • Ordner erstellen

  • Berichte veröffentlichen

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf diesem Datenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren.

Voraussetzungen für den Verwaltungs- und Überwachungsserver

In der folgenden Tabelle sind die Installationsvoraussetzungen für den MBAM-Verwaltungs- und Monitoring Server aufgeführt.

Voraussetzung Details

Windows Server-Webserverrolle

Diese Rolle muss einem Serverbetriebssystem hinzugefügt werden, das für das Feature "Administration and Monitoring Server" unterstützt wird.

Webserververwaltungstools (IIS)

Klicken Sie auf IIS-Verwaltungsskripts und -Tools.

SSL-Zertifikat

Optional. Um die Kommunikation zwischen den Clientcomputern und den Webdiensten zu sichern, müssen Sie ein Zertifikat abrufen und installieren, das von einer vertrauenswürdigen Sicherheitsautorität signiert wurde.

Webserverrollendienste

Allgemeine HTTP-Features:

  • Statischer Inhalt

  • Standarddokument

Anwendungsentwicklung:

  • ASP.NET

  • .NET-Erweiterbarkeit

  • ISAPI-Erweiterungen

  • ISAPI-Filter

Sicherheit:

  • Windows-Authentifizierung

  • Anforderungsfilterung

Windows Server-Features

.NET Framework 4.5-Features:

  • .NET Framework 4,5 oder 4,6

    • Windows Server 2016 – .NET Framework 4.6 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.

    • Windows Server 2012 oder Windows Server 2012 R2 – .NET Framework 4.5 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.

    • Windows Server 2008 R2 – .NET Framework 4.5 ist nicht in Windows Server 2008 R2 enthalten. Daher müssen Sie Microsoft .NET Framework 4.5 herunterladen und separat installieren.

      Hinweis

      Wenn Sie ein Upgrade von MBAM 2.0 oder MBAM 2.0 SP1 durchführen und .NET Framework 4.5 installieren müssen, finden Sie in den Versionshinweisen für MBAM 2.5 einen zusätzlichen erforderlichen Schritt, damit die Websites funktionieren.

  • WCF-Aktivierung

    • HTTP-Aktivierung

    • Nicht-HTTP-Aktivierung (nur für Windows Server 2008, 2012 und 2012 R2)

  • TCP-Aktivierung

Windows-Prozessaktivierungsdienst:

  • Prozessmodell

  • .NET Framework Umgebung

  • Konfigurations-APIs

ASP.NET MVC 4.0

ASP.NET MVC 4-Download

Dienstprinzipalname (SPN)

Die Webanwendungen benötigen einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.

Wenn Ihre Administratorrechte es Ihnen erlauben, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den zum Erstellen von SPNs erforderlichen Rechten finden Sie unter Setspn .

Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation bitten, den SPN für Sie mithilfe des folgenden Befehls zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das für die Webanwendungspools verwendete Domänenkonto lautet "contoso\mbamapppooluser".

Hinweis

Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planning How to Secure the MBAM Websites.

Voraussetzungen für das Self-Service Portal

Voraussetzung Details

Unterstützte Version von Windows Server

Unterstützte Konfigurationen für unterstützte Versionen finden Sie unter MBAM 2.5 .

ASP.NET MVC 4.0

ASP.NET MVC 4-Download

Webdienst-IIS-Verwaltungstools

Dienstprinzipalname (SPN)

Die Webanwendungen benötigen einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.

Wenn Ihre Administratorrechte es Ihnen erlauben, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den zum Erstellen von SPNs erforderlichen Rechten finden Sie unter Setspn .

Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation bitten, den SPN für Sie mithilfe des folgenden Befehls zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das für die Webanwendungspools verwendete Domänenkonto lautet "contoso\mbamapppooluser".

Hinweis

Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planning How to Secure the MBAM Websites.

Voraussetzungen für die Verwaltungsarbeitsstation

Voraussetzung Details

Laden Sie vor der Installation des MBAM-Clients die MBAM-Gruppenrichtlinie-Vorlagen aus "Abrufen von MDOP Gruppenrichtlinie(ADMX)-Vorlagen" herunter, und konfigurieren Sie sie mit den Einstellungen, die Sie in Ihrem Unternehmen für die BitLocker-Laufwerkverschlüsselung implementieren möchten.

Gehen Sie vor der Installation des MBAM-Clients wie folgt vor:

Erforderlich Wo erhalten Sie Anweisungen?

Kopieren der MBAM-Gruppenrichtlinie-Vorlagen

Kopieren die Gruppenrichtlinienvorlagen für MBAM 2.5

Bearbeiten der Gruppenrichtlinie-Einstellungen

Bearbeiten der Gruppenrichtlinieneinstellungen für MBAM 2.5

Vorbereiten der Umgebung für MBAM 2.5

Planen der Bereitstellung von MBAM 2.5

Von MBAM 2.5 unterstützte Konfigurationen

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.