Planen der Sicherung von MBAM-Websites
In diesem Thema werden die folgenden Methoden zum Sichern der Verwaltungs- und Überwachungswebsite von Microsoft BitLocker (MBAM) 2.5 und Self-Service Portal beschrieben:
Methode | Erforderlich oder optional? |
---|---|
Verwenden von Zertifikaten zum Sichern von MBAM-Websites |
Optional, aber dringend empfohlen |
Registrieren von Dienstprinzipalnamen (Service Principal Names, SPN) für das Anwendungspoolkonto |
Erforderlich |
Weitere Informationen zum Sichern Ihrer MBAM-Bereitstellung finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.
Verwenden von Zertifikaten zum Sichern von MBAM-Websites
Es wird empfohlen, ein Zertifikat zu verwenden, um die Kommunikation zwischen den folgenden Vorgängen zu sichern:
MBAM-Client und die Webdienste
Browser und die Verwaltungs- und Überwachungswebsite sowie die Websites des Self-Service Portals
Informationen zum Anfordern und Installieren eines Zertifikats finden Sie unter Konfigurieren von Internet Server-Zertifikaten.
Hinweis
Sie können die Websites und Webdienste nur dann auf verschiedenen Servern konfigurieren, wenn Sie Windows PowerShell verwenden. Wenn Sie den Assistenten für die MBAM-Serverkonfiguration verwenden, um die Websites zu konfigurieren, müssen Sie die Websites und die Webdienste auf demselben Server konfigurieren.
Um die Kommunikation zwischen den Webdiensten und den Datenbanken zu sichern, empfehlen wir außerdem, die Verschlüsselung in SQL Server zu erzwingen. Informationen zum Sichern aller Verbindungen mit SQL Server, einschließlich der Kommunikation zwischen den Webdiensten und SQL Server, finden Sie unter Sicherheitsüberlegungen in MBAM 2.5.
Registrieren von SPNs für das Anwendungspoolkonto
Damit die MBAM-Server die Kommunikation über die Verwaltungs- und Überwachungswebsite und das Self-Service Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden.
Dieses Thema enthält Anweisungen zum Registrieren von SPNs für die folgenden Hostnamentypen:
Vollqualifizierter Domänenname
NetBIOS-Name
Virtueller Name
Vor dem Erstellen von SPNs für eine anfängliche MBAM-Installation
Überprüfen Sie die Informationen in der folgenden Tabelle, bevor Sie mit dem Erstellen von SPNs beginnen.
Aufgabe oder Element | Weitere Informationen |
---|---|
Erstellen Eines Dienstkontos in Active Directory Domain Services (AD DS). |
Das Dienstkonto ist ein Benutzerkonto, das Sie in AD DS erstellen, um Sicherheit für die MBAM-Websites bereitzustellen. Die MBAM-Websites werden unter einem Anwendungspool ausgeführt, dessen Identität der Name des Dienstkontos ist. Die SPNs werden dann im Anwendungspoolkonto registriert.
Hinweis
Sie müssen dasselbe Anwendungspoolkonto für alle Webserver verwenden. |
Stellen Sie sicher, dass dem IIS-IUSRS-Gruppenkonto oder dem Anwendungspoolkonto die erforderlichen Rechte gewährt wurden. |
Führen Sie die folgenden Schritte aus, um dies zu überprüfen:
|
Wenn Sie die MBAM-Websites mithilfe eines Domänenadministratorkontos konfigurieren, erstellt MBAM die SPNs für Sie. |
Wenn Sie die MBAM-Websites mithilfe eines Domänenadministratorkontos konfigurieren, führen Sie die Schritte in diesem Thema aus, um SPNs manuell für den Typ des von Ihnen verwendeten Hostnamens zu registrieren. |
Registrieren von SPNs bei Verwendung eines vollqualifizierten Domänenhostnamens
Wenn Sie beim Konfigurieren von MBAM einen vollqualifizierten Domänenhostnamen verwenden, müssen Sie nur einen SPN registrieren, wie im folgenden Beispiel gezeigt.
Was Sie tun müssen | Beispiele und weitere Informationen |
---|---|
Registrieren Sie einen SPN für den vollqualifizierten Domänennamen. |
Der vollqualifizierte Hostname ist mybitlockerrecovery.contoso.com, und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Konfigurieren Sie die eingeschränkte Delegierung für den SPN, den Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5; in MBAM 2.5 SP1 nicht erforderlich. |
Registrieren von SPNs bei Verwendung eines NetBIOS-Hostnamens
Wenn Sie beim Konfigurieren von MBAM einen NetBIOS-Hostnamen verwenden, registrieren Sie einen SPN für den NetBIOS-Namen und einen anderen SPN für den vollqualifizierten Domänennamen, wie in den folgenden Beispielen gezeigt.
Was Sie tun müssen | Beispiele und weitere Informationen |
---|---|
Registrieren Sie einen SPN für den NetBIOS-Hostnamen. |
Der NetBIOS-Hostname lautet "nbname01", und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Registrieren Sie einen SPN für den vollqualifizierten Domänennamen. |
Der vollqualifizierte Domänenname ist nbname01.contoso.com, und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Konfigurieren Sie die eingeschränkte Delegierung für die SPNs, die Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5; in MBAM 2.5 SP1 nicht erforderlich. |
Registrieren von SPNs bei Verwendung eines virtuellen Hostnamens
Wenn Sie MBAM mit einem virtuellen Hostnamen konfigurieren, bei dem es sich um einen vollqualifizierten Domänennamen handelt, registrieren Sie nur einen SPN für den virtuellen Hostnamen. Wenn der virtuelle Hostname, den Sie konfigurieren, kein vollqualifizierter Domänenname ist, müssen Sie einen zweiten SPN erstellen, der den vollqualifizierten Domänennamen angibt, wie in den folgenden Beispielen beschrieben.
Was Sie tun müssen | Beispiele und weitere Informationen |
---|---|
Wenn Ihr virtueller Hostname ein vollqualifizierter Domänenname ist, wie in diesem Beispiel, registrieren Sie nur einen SPN. |
Im Beispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Registrieren Sie diesen zusätzlichen SPN, wenn Ihr virtueller Hostname kein vollqualifizierter Domänenname ist. |
Im Beispiel lautet der virtuelle Hostname mbamvirtual, und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Registrieren Sie diesen zusätzlichen SPN, wenn Ihr virtueller Hostname kein vollqualifizierter Domänenname ist. |
Im Beispiel ist der virtuelle Hostname mbamvirtual.contoso.com, und das für den Webanwendungspool verwendete Domänenkonto lautet "contoso\mbamapppooluser". |
Erstellen Sie auf dem DNS-Server (Domain Name Server) einen "A-Eintrag" für den benutzerdefinierten Hostnamen, und verweisen Sie ihn auf einen Webserver oder einen Lastenausgleich. |
Weitere Informationen finden Sie im Abschnitt "So konfigurieren Sie DNS-Host-A-Einträge" unter "Konfigurieren von DNS-Hosteinträgen". Es wird empfohlen, A-Einträge anstelle von CNAMES zu verwenden. Wenn Sie CNAMES verwenden, um auf die Domänenadresse zu verweisen, müssen Sie auch SPNs für den Webservernamen im Anwendungspoolkonto registrieren. |
Konfigurieren Sie die eingeschränkte Delegierung für die SPNs, die Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5; in MBAM 2.5 SP1 nicht erforderlich. |
Registrieren eines SPN beim Upgrade von früheren MBAM-Versionen
Führen Sie die Schritte in diesem Abschnitt nur aus, wenn Sie Folgendes möchten:
Upgrade von einer früheren Version von MBAM.
Führen Sie die Websites in MBAM 2.5 in einer Lastenausgleichs- oder verteilten Konfiguration aus, und Sie werden derzeit in einer Konfiguration ausgeführt, die kein Lastenausgleich ist.
Wenn Sie bereits SPNs auf dem Computerkonto und nicht in einem Anwendungspoolkonto registriert haben, verwendet MBAM die vorhandenen SPNs, und Sie können die Websites nicht in einer Lastenausgleichs- oder verteilten Konfiguration konfigurieren.
Was Sie tun müssen | Beispiele und weitere Informationen | ||||||
---|---|---|---|---|---|---|---|
Erstellen Eines Anwendungspoolkontos in Active Directory Domain Services (AD DS). |
|||||||
Entfernen Sie die aktuell installierten Websites und Webdienste. |
|||||||
Entfernen Sie SPNs aus dem Computerkonto. |
|
||||||
Registrieren Sie SPNs im Anwendungspoolkonto. |
Führen Sie die Schritte zum Registrieren von SPNs aus, wenn Sie einen virtuellen Hostnamen verwenden. |
||||||
Konfigurieren Sie die Webanwendungen und Webdienste neu. |
|||||||
Führen Sie je nach der für die Konfiguration verwendeten Methode eine der folgenden Aktionen aus:
|
Wichtig
Der eingegebene Hostname muss dem virtuellen Hostnamen entsprechen, für den Sie die SPNs erstellen. Außerdem müssen in Ihrer Webfarm die Hostnamen und die Anmeldeinformationen des Anwendungspools auf jedem Server, den Sie konfigurieren, identisch sein. Wenn MBAM die Webanwendungen konfiguriert, wird versucht, die SPNs für Sie zu registrieren. Dies kann jedoch nur erfolgen, wenn Sie über Domänen- Admin-Rechte auf dem Server verfügen, auf dem Sie MBAM installieren. Wenn Sie nicht über diese Rechte verfügen, können Sie die Konfiguration abschließen, aber Sie müssen die SPNs vor oder nach der Konfiguration von MBAM festlegen. |
Erforderliche Einstellungen für die Anforderungsfilterung
"Nicht aufgelistete Dateinamenerweiterungen zulassen" ist erforderlich, damit die Anwendung wie erwartet funktioniert. Dies finden Sie, indem Sie zu "Microsoft BitLocker-Verwaltung und -Überwachung" navigieren –> Anforderungsfilterung –> Featureeinstellungen bearbeiten.
Verwandte Themen
Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5
Haben Sie einen Vorschlag für MBAM?
Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.