Freigeben über

MBAM 2.5-Servervoraussetzungen für eigenständige und Configuration Manager Integration-Topologie

  • Artikel

Letzte Aktualisierung: Januar 2015

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Bevor Sie mit der Microsoft BitLocker Administration and Monitoring (MBAM)-Installation beginnen, müssen Sie die in diesem Thema aufgeführten Voraussetzungen erfüllen. Diese Voraussetzungen gelten für die eigenständige MBAM-Topologie und die System Center Configuration Manager-Integrationstopologie.

Wenn Sie MBAM mit System Center Configuration Manager bereitstellen, müssen Sie zusätzliche Voraussetzungen erfüllen, die in MBAM 2.5-Servervoraussetzungen nur für Configuration Manager Integration-Topologie aufgeführt sind.

Eine Liste der unterstützten Hardware und Betriebssysteme für MBAM finden Sie unter MBAM 2.5 – Unterstützte Konfigurationen.

Erforderliche MBAM-Rollen und -Konten

Voraussetzung Details

In Active Directory-Domänendiensten (AD DS) erstellte Gruppen

Unter Planen der Gruppen und Konten für MBAM 2.5 finden Sie eine Beschreibung dieser Gruppen und Konten.

Voraussetzungen für die Wiederherstellungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie Microsoft SQL Server mit SQL_Latin1_General_CP1_CI_AS-Sortierung.

Unter MBAM 2.5 – Unterstützte Konfigurationen erfahren Sie, welche Versionen unterstützt werden.

Erforderliche SQL Server-Berechtigungen

Erforderliche Berechtigungen:

  • Serverrollen zum Anmelden bei der SQL Server-Instanz:

    • dbcreator

    • processadmin

  • Rechte für die Instanz von SQL Server Reporting Services:

    • Ordner erstellen

    • Berichte veröffentlichen

Optional – Installieren der Funktion „Transparente Datenverschlüsselung“ (Transparent Data Encryption, TDE), die in SQL Server verfügbar ist

Die TDE-SQL Server-Funktion bietet eine E/A-Verschlüsselung und -Entschlüsselung der Daten und Protokolldateien in Echtzeit. Durch die Funktion wird die Einhaltung vieler Gesetze, Regelungen und Richtlinien ermöglicht, die für verschiedene Branchen gelten.

Hinweis

Mit TDE werden Datenbankinformationen in Echtzeit entschlüsselt. Daher sind die Wiederherstellungsschlüsselinformationen beim Anzeigen der entsprechenden SQL Server-Datenbanken sichtbar, wenn der angemeldete Benutzer über Datenbankberechtigungen verfügt. Weitere Informationen zu TDE finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

SQL Server-Datenbankmoduldienste

Es müssen SQL Server-Datenbankmoduldienste installiert sein und während der MBAM-Serverinstallation ausgeführt werden.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Wiederherstellungsdatenbankserver installiert sein, wenn Sie Windows PowerShell für die Konfiguration der Datenbank von einem Remotecomputer verwenden.

Voraussetzungen für die Konformitäts- und Überwachungsdatenbank

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS-Sortierung.

Unter MBAM 2.5 – Unterstützte Konfigurationen erfahren Sie, welche Versionen unterstützt werden.

Erforderliche SQL Server-Berechtigungen

Erforderliche Berechtigungen:

  • Serverrollen zum Anmelden bei der SQL Server-Instanz:

    • dbcreator

    • processadmin

  • Rechte für die Instanz von SQL Server Reporting Services:

    • Ordner erstellen

    • Berichte veröffentlichen

Optional – Installieren der Funktion „Transparente Datenverschlüsselung“ (Transparent Data Encryption, TDE) in SQL Server

Die TDE-SQL Server-Funktion bietet eine E/A-Verschlüsselung und -Entschlüsselung der Daten und Protokolldateien in Echtzeit. Durch die Funktion wird die Einhaltung vieler Gesetze, Regelungen und Richtlinien ermöglicht, die für verschiedene Branchen gelten.

Mit TDE werden Datenbankinformationen in Echtzeit entschlüsselt. Daher sind die Wiederherstellungsschlüsselinformationen beim Anzeigen der entsprechenden SQL Server-Datenbanken sichtbar, wenn der angemeldete Benutzer über Datenbankberechtigungen verfügt. Weitere Informationen zu TDE finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

SQL Server-Datenbankmoduldienste

Es müssen SQL Server-Datenbankmoduldienste installiert sein und während der MBAM-Serverinstallation ausgeführt werden. SQL Server kann jedoch remote ausgeführt werden und muss sich nicht auf demselben Server befinden, auf dem Sie die MBAM-Serversoftware installieren.

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf dem Konformitäts- und Überwachungsdatenbankserver installiert sein, wenn Sie Windows PowerShell für die Konfiguration der Datenbank von einem Remotecomputer verwenden.

Voraussetzungen für die Berichte

Voraussetzung Details

Unterstützte Version von SQL Server

Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS-Sortierung.

Unter MBAM 2.5 – Unterstützte Konfigurationen erfahren Sie, welche Versionen unterstützt werden.

SQL Server Reporting Services (SSRS)

SSRS muss installiert sein und während der Installation des MBAM-Servers ausgeführt werden.

Konfigurieren Sie SSRS im „systemeigenen“ Modus, und nicht im unkonfigurierten oder „SharePoint“-Modus.

SSRS-Instanzenrechte – sind nur für die Konfiguration von Berichten erforderlich, wenn Sie Datenbanken auf einem anderen Server als dem Server installieren, auf dem die Berichte konfiguriert werden.

Erforderliche Instanzenrechte:

  • Ordner erstellen

  • Berichte veröffentlichen

Windows PowerShell 3.0 oder höher

Windows PowerShell muss nicht auf diesem Datenbankserver installiert sein, wenn Sie Windows PowerShell für die Konfiguration der Datenbank von einem Remotecomputer verwenden.

Voraussetzungen für den Administration and Monitoring-Server

In der folgenden Tabelle sind die Installationsvoraussetzungen für den MBAM-Administration and Monitoring-Server aufgeführt.

Voraussetzung Details

Webserver-Rolle für Windows Server

Diese Rolle muss einem Serverbetriebssystem hinzugefügt werden, das für die Administration and Monitoring-Serverfunktion unterstützt wird.

Webserver (IIS)-Verwaltungstools

Klicken Sie auf IIS-Verwaltungsskripts und-Tools.

SSL-Zertifikat

Optional. Zum Sichern der Kommunikation zwischen Clientcomputern und den Webdiensten benötigen Sie ein Zertifikat, das von einer vertrauenswürdigen Sicherheitsautorität signiert wurde. Dieses müssen Sie anfordern und installieren.

Webserver-Rollendienste

Allgemeine HTTP-Features:

  • Statische Inhalte

  • Standarddokument

Anwendungsentwicklung:

  • ASP.NET

  • .NET-Erweiterbarkeit

  • ISAPI-Erweiterungen

  • ISAPI-Filter

Sicherheit:

  • Windows-Authentifizierung

  • Anforderungsfilterung

Windows Server-Features

Funktionen von .NET Framework 4.5:

  • .NET Framework 4.5

    • Windows Server 2012 oder Windows Server 2012 R2 – .NET Framework 4.5 ist bereits für diese Versionen von Windows Server installiert, Sie müssen es jedoch aktivieren.

    • Windows Server 2008 R2 – .NET Framework 4.5 ist nicht in Windows Server 2008 R2 enthalten. Sie müssen also Microsoft .NET Framework 4.5 herunterladen und es separat installieren.

      Hinweis

      Wenn Sie ein Upgrade von MBAM 2.0 oder MBAM 2.0 SP1 durchführen und .NET Framework 4.5 installieren müssen, finden Sie unter Anmerkungen zu dieser Version von MBAM 2.5 weitere Informationen zu einem zusätzlichen Schritt, der für das Funktionieren der Websites erforderlich ist.

  • WCF-Aktivierung

    • HTTP-Aktivierung

    • Nicht-HTTP-Aktivierung



  • TCP-Aktivierung

Windows-Prozessaktivierungsdienst:

  • Prozessmodell

  • .NET Framework-Umgebung

  • Konfigurations-APIs

Dienstprinzipalname (Service Principal Name, SPN)

Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für Webanwendungspools verwenden.

Wenn Sie über Administratorrechte zum Erstellen von SPNs in Active Directory-Domänendiensten verfügen, erstellt MBAM den SPN für Sie. Weitere Information zu den erforderlichen Berechtigungen zum Erstellen von SPNs finden Sie unter Setspn.

Wenn Sie keine Administratorrechte haben, müssen Sie die Active Directory-Administratoren in Ihrer Organisation mithilfe des folgenden Befehls bitten, den SPN für Sie zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der Name des virtuellen Hosts „mbamvirtual.contoso.com“ und das für die Webanwendungspools verwendete Domänenkonto „contoso\mbamapppooluser“.

Hinweis

Wenn Sie Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zur Registrierung von SPNs für vollständig qualifizierte NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planen der Sicherung von MBAM-Websites.

Voraussetzungen für das Self-Service-Portal

Voraussetzung Details

Unterstützte Version von Windows Server

Unter MBAM 2.5 – Unterstützte Konfigurationen erfahren Sie, welche Versionen unterstützt werden.

ASP.NET MVC 4.0

ASP.NET MVC 4-Download

Webdienst-Verwaltungstools (IIS)

Dienstprinzipalname (Service Principal Name, SPN)

Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für Webanwendungspools verwenden.

Wenn Sie über Administratorrechte zum Erstellen von SPNs in Active Directory-Domänendiensten verfügen, erstellt MBAM den SPN für Sie. Weitere Information zu den erforderlichen Berechtigungen zum Erstellen von SPNs finden Sie unter Setspn.

Wenn Sie keine Administratorrechte haben, müssen Sie die Active Directory-Administratoren in Ihrer Organisation mithilfe des folgenden Befehls bitten, den SPN für Sie zu erstellen.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Im Codebeispiel ist der Name des virtuellen Hosts „mbamvirtual.contoso.com“ und das für die Webanwendungspools verwendete Domänenkonto „contoso\mbamapppooluser“.

Hinweis

Wenn Sie Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.

Weitere Informationen zur Registrierung von SPNs für vollständig qualifizierte NetBIOS- und benutzerdefinierte Hostnamen finden Sie unter Planen der Sicherung von MBAM-Websites.

Voraussetzungen für die Verwaltungsarbeitsstation

Voraussetzung Details

Laden Sie vor der Installation des MBAM-Client die MBAM-Gruppenrichtlinienvorlagen von Verwaltungsvorlagen für Microsoft Desktop Optimization Pack V2.0 herunter, und konfigurieren Sie diese mit den Einstellungen, die Sie in Ihrem Unternehmen für die BitLocker-Laufwerkverschlüsselung implementieren möchten.

Vor der Installation des MBAM-Client ist Folgendes erforderlich:

 

Erforderlich Wo Sie Anleitungen finden

Kopieren der MBAM-Gruppenrichtlinienvorlagen

Kopieren der Gruppenrichtlinienvorlagen für MBAM 2.5

Bearbeiten der Gruppenrichtlinieneinstellungen

Bearbeiten der Gruppenrichtlinieneinstellungen für MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Konzepte

MBAM 2.5 – Unterstützte Konfigurationen

Weitere Ressourcen

Vorbereiten der Umgebung für MBAM 2.5
Planen der Bereitstellung von MBAM 2.5