Freigeben über


Planen der Sicherung von MBAM-Websites

Letzte Aktualisierung: Mai 2014

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

In diesem Themen werden die folgenden Methoden zum Schützen von Microsoft BitLocker Administration and Monitoring (MBAM) 2,5Administration and Monitoring-Website und Self-Service-Portal beschrieben:

Methode Erforderlich oder optional?

Verwenden von Zertifikaten zum Schutz der MBAM-Websites

Optional, jedoch dringend empfohlen

Registrieren von Dienstprinzipalnamen (SPN) für das Anwendungspoolkonto

Erforderlich

Weitere Informationen dazu, wie Sie Ihre MBAM-Bereitstellung schützen können, finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

Verwenden von Zertifikaten zum Schutz der MBAM-Websites

Wir empfehlen, dass Sie in Zertifikat verwenden, um die Kommunikation zwischen folgenden Komponenten zu schützen:

  • MBAM Client und Webdienste

  • Browser und Administration and Monitoring-Website und Self-Service-Portal-Websites

Informationen zum Anfordern und Installieren eines Zertifikats finden Sie unter Konfigurieren von Internetserverzertifikaten.

Hinweis

Sie können die Websites und Webdienste nur unter Verwendung von Windows PowerShell auf verschiedenen Servern konfigurieren. Wenn Sie den Assistenten für die MBAM Server-Konfiguration zum Konfigurieren der Websites verwenden, müssen Sie die Websites und die Webdienste auf dem gleichen Server konfigurieren.

Um die Kommunikation zwischen den Webdiensten und den Datenbanken zu schützen, empfehlen wir auch, die Verschlüsselung in SQL Server zu erzwingen. Weitere Informationen zum Schützen aller Verbindungen mit SQL Server, einschließlich der Kommunikation zwischen den Webdiensten und SQL Server, finden Sei unter Secure connections to SQL Server.

Registrieren von Dienstprinzipalnamen (SPN) für das Anwendungspoolkonto

Damit die MBAM-Server die Kommunikation zwischen Administration and Monitoring-Website und Self-Service-Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden.

Dieses Thema enthält Anweisungen zum Registrieren von Dienstprinzipalnamen (SPN) für die folgenden Typen von Hostnamen:

  • Vollqualifizierter Domänenname

  • NetBIOS-Name

  • Virtueller Name

Bevor Sie Dienstprinzipalnamen (SPN) für eine erste MBAM-Installation erstellen

Überprüfen Sie die Informationen in der folgenden Tabelle, bevor Sie mit dem Erstellen von Dienstprinzipalnamen (SPN) beginnen.

Aufgabe oder Element Weitere Informationen

Erstellen Sie ein Dienstkonto in Active Directory-Domänendienste (AD DS).

Das Dienstkonto ist ein Benutzerkonto, das Sie in AD DS erstellen, um den MBAM-Websites Sicherheit zu bieten. Die MBAM-Websites werden in einem Anwendungspool ausgeführt, deren Identität der Name des Dienstkontos ist. Die Dienstprinzipalnamen werden im Anwendungspoolkonto registriert.

Hinweis

Sie müssen für alle Webserver dasselbe Anwendungspoolkonto verwenden.

Vergewissern Sie sich, dass entweder dem IIS-IUSRS-Gruppenkonto oder dem Anwendungspoolkonto die erforderlichen Rechte gewährt wurden.

Gehen Sie wie folgt vor, um dies zu überprüfen:

  1. Öffnen Sie den Editor für lokale Sicherheitsrichtlinien, und erweitern Sie den Knoten Lokale Richtlinien.

  2. Wählen Sie den Knoten Zuweisen von Benutzerrechten aus, und doppelklicken Sie im rechten Bereich auf die Gruppenrichtlinieneinstellungen Annehmen der Clientidentität nach Authentifizierung und Anmelden als Stapelverarbeitungsauftrag.

Wenn Sie die MBAM-Websites unter Verwendung eines Domänenadministratorkontos konfigurieren, erstellt MBAM die Dienstprinzipalnamen für Sie.

Wenn Sie die MBAM-Websites unter Verwendung eines Domänenadministratorkontos konfigurieren, gehen Sie wie in diesem Artikel beschrieben vor, um die Dienstprinzipalnamen manuell für den Typ von Hostnamen, den Sie verwenden, zu registrieren.

Registrieren von Dienstprinzipalnamen bei Verwendung eines vollqualifizierten Domänenhostnamens

Wenn Sie einen vollqualifizierten Domänenhostnamen zum Konfigurieren von MBAM verwenden, müssen Sie nur einen Dienstprinzipalnamen, wie im folgenden Beispiel gezeigt, registrieren:

Auszuführende Schritte Beispiele und weitere Informationen

Registrieren Sie einen Dienstprinzipalnamen für den vollqualifizierten Domänenhostnamen.

Setspn -s http/mybitlockerrecovery.contoso.com contoso\mbamapppooluser

Der vollqualifizierte Domänenhostname lautet mybitlockerrecovery.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Konfigurieren Sie eine eingeschränkte Delegierung für den Dienstprinzipalnamen, den Sie für das Anwendungspoolkonto registrieren.

Konfigurieren der eingeschränkten Delegierung

Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich.

Registrieren von Dienstprinzipalnamen bei Verwendung eines NetBIOS-Hostnamens

Wenn Sie einen NetBIOS-Hostnamen zum Konfigurieren von MBAM verwenden, registrieren Sie einen Dienstprinzipalnamen für den NetBIOS-Namen und einen anderen Dienstprinzipalnamen für den vollqualifizierten Domänennamen, wie in den folgenden Beispielen gezeigt.

Auszuführende Schritte Beispiele und weitere Informationen

Registrieren Sie einen Dienstprinzipalnamen für den NetBIOS-Namen.

Setspn -s http/nbname01 contoso\mbamapppooluser

Der NetBIOS-Hostname lautet nbname01, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Registrieren Sie einen Dienstprinzipalnamen für den vollqualifizierten Domänenhostnamen.

Setspn –s http/nbname01.corp.contoso.com contoso\mbamapppooluser

Der vollqualifizierte Domänenname lautet nbname01.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Konfigurieren Sie die eingeschränkte Delegierung für die Dienstprinzipalnamen, die Sie für das Anwendungspoolkonto registrieren.

Konfigurieren der eingeschränkten Delegierung

Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich.

Registrieren von Dienstprinzipalnamen bei Verwendung eines virtuellen Hostnamens

Wenn Sie MBAM mit einem virtuellen Hostnamen konfigurieren, der ein vollqualifizierter Domänenname ist, registrieren Sei nur einen Dienstprinzipalnamen für den virtuellen Hostnamen. Ist der von Ihnen konfigurierte virtuelle Hostname kein vollqualifizierter Domänenname, dann müssen Sie, wie in den folgenden Beispielen beschrieben, einen zweiten Dienstprinzipalnamen erstellen, der den vollqualifizierten Domänennamen angibt.

Auszuführende Schritte Beispiele und weitere Informationen

Wenn der virtuelle Hostname wie in diesem Beispiel ein vollqualifizierter Domänenname ist, registrieren Sie nur einen Dienstprinzipalnamen.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

In diesem Beispiel lautet der virtuelle Hostname mbamvirtual.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Registrieren Sie den zusätzlichen Dienstprinzipalnamen, wenn der virtuelle Hostname kein vollqualifizierter Domänenname ist.

Setspn -s http/mbamvirtual contoso\mbamapppooluser

In diesem Beispiel lautet der virtuelle Hostname mbamvirtual, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Registrieren Sie den zusätzlichen Dienstprinzipalnamen, wenn der virtuelle Hostname kein vollqualifizierter Domänenname ist.

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

In diesem Beispiel lautet der virtuelle Hostname mbamvirtual.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet.

Erstellen Sie auf dem DNS-Server (Domain Name Server) einen "A-Eintrag" für den benutzerdefinierten Hostnamen, und geben Sie einen Webserver oder ein Lastenausgleichsmodul als Verweisziel an.

Weitere Informationen finden Sie im Abschnitt "So konfigurieren Sie DNS-Hosteinträge (A)" unter Konfigurieren von DNS-Hosteinträgen.

Wir empfehlen, A-Einträge statt CNAMES zu verwenden. Wenn Sie unter Verwendung von CNAMES auf Domänenadressen verweisen, müssen Sie auch Dienstprinzipalnamen für den Webservernamen im Anwendungspoolkonto registrieren.

Konfigurieren Sie die eingeschränkte Delegierung für die Dienstprinzipalnamen, die Sie für das Anwendungspoolkonto registrieren.

Konfigurieren der eingeschränkten Delegierung

Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich.

Registrieren eines Dienstprinzipalnamens beim Aktualisieren von Vorgängerversionen von MBAM

Führen Sie die Schritte in diesem Abschnitt nur dann aus, wenn Sie Folgendes tun möchten:

  • Eine Vorgängerversion von MBAM aktualisieren.

  • Die Websites in MBAM 2.5 in einer verteilten Konfiguration oder einer Konfiguration mit Lastenausgleich ausführen, und Sie verwenden derzeit eine Konfiguration ohne Lastenausgleich.

Wenn Sie bereits Dienstprinzipalnamen im Computerkonto statt in einem Anwendungspoolkonto registriert haben, verwendet MBAM die vorhandenen Dienstprinzipalnamen, und Sie können die Websites nicht in einer verteilten Konfiguration oder einer Konfiguration mit Lastenausgleich konfigurieren.

Auszuführende Schritte Beispiele und weitere Informationen

Erstellen Sie in Active Directory-Domänendienste (AD DS) ein Anwendungspoolkonto.

Entfernen Sie derzeit installierte Websites und Webdienste.

Entfernen von MBAM-Serverfunktionen oder Software

Entfernen Sie die Dienstprinzipalnamen aus dem Computerkonto.

Setspn –d http/mbamwebserver mbamwebserver

Setspn –d http/mbamwebserver.contoso.com mbamwebserver

Registrieren Sie die Dienstprinzipalnamen im Anwendungspoolkonto.

Führen Sie unter Registrieren von Dienstprinzipalnamen bei Verwendung eines virtuellen Hostnamens beschriebenen Schritte aus.

Konfigurieren Sie die Webanwendungen und Webdienste neu.

Vorgehensweise beim Konfigurieren der MBAM 2.5-Webanwendungen

Wenden Sie je nach der verwendeten Konfigurationsmethode eine der folgenden Methoden an:

 

Methode Details

Assistenten für die MBAM Server-Konfiguration

Geben Sie das Anwendungspoolkonto im Feld Web service application pool domain account an.

Enable-MbamWebApplication Windows PowerShell-Cmdlet

Geben Sie das Konto im Parameter WebServiceApplicationPoolCredential an.

ImportantWichtig
Der eingegebene Hostname muss dem virtuellen Hostnamen entsprechen, für den Sie die Dienstprinzipalnamen erstellen. Zudem müssen Sie in der Webfarm auf jedem Server, den Sie konfigurieren, dieselben Hostnamen und Anwendungspool-Anmeldeinformationen verwenden.

Wenn MBAM die Webanwendungen konfiguriert, wird versucht, die Dienstprinzipalnamen für Sie zu registrieren. Dies ist aber nur möglich, wenn Sie auf dem Server, auf dem Sie MBAM installieren, über Domänenadministratorrechte verfügen. Wenn Sie nicht im Besitz dieser Rechte sind, können Sie die Konfiguration abschließen, müssen die Dienstprinzipalnamen jedoch festlegen, bevor oder nachdem Sie MBAM konfiguriert haben.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Weitere Ressourcen

Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5