Planen der Sicherung von MBAM-Websites
Letzte Aktualisierung: Mai 2014
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
In diesem Themen werden die folgenden Methoden zum Schützen von Microsoft BitLocker Administration and Monitoring (MBAM) 2,5Administration and Monitoring-Website und Self-Service-Portal beschrieben:
Methode | Erforderlich oder optional? |
---|---|
Verwenden von Zertifikaten zum Schutz der MBAM-Websites |
Optional, jedoch dringend empfohlen |
Registrieren von Dienstprinzipalnamen (SPN) für das Anwendungspoolkonto |
Erforderlich |
Weitere Informationen dazu, wie Sie Ihre MBAM-Bereitstellung schützen können, finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.
Verwenden von Zertifikaten zum Schutz der MBAM-Websites
Wir empfehlen, dass Sie in Zertifikat verwenden, um die Kommunikation zwischen folgenden Komponenten zu schützen:
MBAM Client und Webdienste
Browser und Administration and Monitoring-Website und Self-Service-Portal-Websites
Informationen zum Anfordern und Installieren eines Zertifikats finden Sie unter Konfigurieren von Internetserverzertifikaten.
Hinweis
Sie können die Websites und Webdienste nur unter Verwendung von Windows PowerShell auf verschiedenen Servern konfigurieren. Wenn Sie den Assistenten für die MBAM Server-Konfiguration zum Konfigurieren der Websites verwenden, müssen Sie die Websites und die Webdienste auf dem gleichen Server konfigurieren.
Um die Kommunikation zwischen den Webdiensten und den Datenbanken zu schützen, empfehlen wir auch, die Verschlüsselung in SQL Server zu erzwingen. Weitere Informationen zum Schützen aller Verbindungen mit SQL Server, einschließlich der Kommunikation zwischen den Webdiensten und SQL Server, finden Sei unter Secure connections to SQL Server.
Registrieren von Dienstprinzipalnamen (SPN) für das Anwendungspoolkonto
Damit die MBAM-Server die Kommunikation zwischen Administration and Monitoring-Website und Self-Service-Portal authentifizieren können, müssen Sie einen Dienstprinzipalnamen (SPN) für den Hostnamen unter dem Domänenkonto registrieren, das Sie für den Webanwendungspool verwenden.
Dieses Thema enthält Anweisungen zum Registrieren von Dienstprinzipalnamen (SPN) für die folgenden Typen von Hostnamen:
Vollqualifizierter Domänenname
NetBIOS-Name
Virtueller Name
Bevor Sie Dienstprinzipalnamen (SPN) für eine erste MBAM-Installation erstellen
Überprüfen Sie die Informationen in der folgenden Tabelle, bevor Sie mit dem Erstellen von Dienstprinzipalnamen (SPN) beginnen.
Aufgabe oder Element | Weitere Informationen |
---|---|
Erstellen Sie ein Dienstkonto in Active Directory-Domänendienste (AD DS). |
Das Dienstkonto ist ein Benutzerkonto, das Sie in AD DS erstellen, um den MBAM-Websites Sicherheit zu bieten. Die MBAM-Websites werden in einem Anwendungspool ausgeführt, deren Identität der Name des Dienstkontos ist. Die Dienstprinzipalnamen werden im Anwendungspoolkonto registriert. Hinweis Sie müssen für alle Webserver dasselbe Anwendungspoolkonto verwenden. |
Vergewissern Sie sich, dass entweder dem IIS-IUSRS-Gruppenkonto oder dem Anwendungspoolkonto die erforderlichen Rechte gewährt wurden. |
Gehen Sie wie folgt vor, um dies zu überprüfen:
|
Wenn Sie die MBAM-Websites unter Verwendung eines Domänenadministratorkontos konfigurieren, erstellt MBAM die Dienstprinzipalnamen für Sie. |
Wenn Sie die MBAM-Websites unter Verwendung eines Domänenadministratorkontos konfigurieren, gehen Sie wie in diesem Artikel beschrieben vor, um die Dienstprinzipalnamen manuell für den Typ von Hostnamen, den Sie verwenden, zu registrieren. |
Registrieren von Dienstprinzipalnamen bei Verwendung eines vollqualifizierten Domänenhostnamens
Wenn Sie einen vollqualifizierten Domänenhostnamen zum Konfigurieren von MBAM verwenden, müssen Sie nur einen Dienstprinzipalnamen, wie im folgenden Beispiel gezeigt, registrieren:
Auszuführende Schritte | Beispiele und weitere Informationen |
---|---|
Registrieren Sie einen Dienstprinzipalnamen für den vollqualifizierten Domänenhostnamen. |
Der vollqualifizierte Domänenhostname lautet mybitlockerrecovery.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Konfigurieren Sie eine eingeschränkte Delegierung für den Dienstprinzipalnamen, den Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich. |
Registrieren von Dienstprinzipalnamen bei Verwendung eines NetBIOS-Hostnamens
Wenn Sie einen NetBIOS-Hostnamen zum Konfigurieren von MBAM verwenden, registrieren Sie einen Dienstprinzipalnamen für den NetBIOS-Namen und einen anderen Dienstprinzipalnamen für den vollqualifizierten Domänennamen, wie in den folgenden Beispielen gezeigt.
Auszuführende Schritte | Beispiele und weitere Informationen |
---|---|
Registrieren Sie einen Dienstprinzipalnamen für den NetBIOS-Namen. |
Der NetBIOS-Hostname lautet nbname01, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Registrieren Sie einen Dienstprinzipalnamen für den vollqualifizierten Domänenhostnamen. |
Der vollqualifizierte Domänenname lautet nbname01.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Konfigurieren Sie die eingeschränkte Delegierung für die Dienstprinzipalnamen, die Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich. |
Registrieren von Dienstprinzipalnamen bei Verwendung eines virtuellen Hostnamens
Wenn Sie MBAM mit einem virtuellen Hostnamen konfigurieren, der ein vollqualifizierter Domänenname ist, registrieren Sei nur einen Dienstprinzipalnamen für den virtuellen Hostnamen. Ist der von Ihnen konfigurierte virtuelle Hostname kein vollqualifizierter Domänenname, dann müssen Sie, wie in den folgenden Beispielen beschrieben, einen zweiten Dienstprinzipalnamen erstellen, der den vollqualifizierten Domänennamen angibt.
Auszuführende Schritte | Beispiele und weitere Informationen |
---|---|
Wenn der virtuelle Hostname wie in diesem Beispiel ein vollqualifizierter Domänenname ist, registrieren Sie nur einen Dienstprinzipalnamen. |
In diesem Beispiel lautet der virtuelle Hostname mbamvirtual.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Registrieren Sie den zusätzlichen Dienstprinzipalnamen, wenn der virtuelle Hostname kein vollqualifizierter Domänenname ist. |
In diesem Beispiel lautet der virtuelle Hostname mbamvirtual, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Registrieren Sie den zusätzlichen Dienstprinzipalnamen, wenn der virtuelle Hostname kein vollqualifizierter Domänenname ist. |
In diesem Beispiel lautet der virtuelle Hostname mbamvirtual.contoso.com, und für den Webanwendungspool wird das Domänenkonto contoso\mbamapppooluser verwendet. |
Erstellen Sie auf dem DNS-Server (Domain Name Server) einen "A-Eintrag" für den benutzerdefinierten Hostnamen, und geben Sie einen Webserver oder ein Lastenausgleichsmodul als Verweisziel an. |
Weitere Informationen finden Sie im Abschnitt "So konfigurieren Sie DNS-Hosteinträge (A)" unter Konfigurieren von DNS-Hosteinträgen. Wir empfehlen, A-Einträge statt CNAMES zu verwenden. Wenn Sie unter Verwendung von CNAMES auf Domänenadressen verweisen, müssen Sie auch Dienstprinzipalnamen für den Webservernamen im Anwendungspoolkonto registrieren. |
Konfigurieren Sie die eingeschränkte Delegierung für die Dienstprinzipalnamen, die Sie für das Anwendungspoolkonto registrieren. |
Konfigurieren der eingeschränkten Delegierung Diese Anforderung gilt nur für MBAM 2.5. Sie ist bei MBAM 2.5 SP1 nicht erforderlich. |
Registrieren eines Dienstprinzipalnamens beim Aktualisieren von Vorgängerversionen von MBAM
Führen Sie die Schritte in diesem Abschnitt nur dann aus, wenn Sie Folgendes tun möchten:
Eine Vorgängerversion von MBAM aktualisieren.
Die Websites in MBAM 2.5 in einer verteilten Konfiguration oder einer Konfiguration mit Lastenausgleich ausführen, und Sie verwenden derzeit eine Konfiguration ohne Lastenausgleich.
Wenn Sie bereits Dienstprinzipalnamen im Computerkonto statt in einem Anwendungspoolkonto registriert haben, verwendet MBAM die vorhandenen Dienstprinzipalnamen, und Sie können die Websites nicht in einer verteilten Konfiguration oder einer Konfiguration mit Lastenausgleich konfigurieren.
Auszuführende Schritte | Beispiele und weitere Informationen | ||||||||
---|---|---|---|---|---|---|---|---|---|
Erstellen Sie in Active Directory-Domänendienste (AD DS) ein Anwendungspoolkonto. |
|||||||||
Entfernen Sie derzeit installierte Websites und Webdienste. |
|||||||||
Entfernen Sie die Dienstprinzipalnamen aus dem Computerkonto. |
|
||||||||
Registrieren Sie die Dienstprinzipalnamen im Anwendungspoolkonto. |
Führen Sie unter Registrieren von Dienstprinzipalnamen bei Verwendung eines virtuellen Hostnamens beschriebenen Schritte aus. |
||||||||
Konfigurieren Sie die Webanwendungen und Webdienste neu. |
Vorgehensweise beim Konfigurieren der MBAM 2.5-Webanwendungen |
||||||||
Wenden Sie je nach der verwendeten Konfigurationsmethode eine der folgenden Methoden an:
|
Wenn MBAM die Webanwendungen konfiguriert, wird versucht, die Dienstprinzipalnamen für Sie zu registrieren. Dies ist aber nur möglich, wenn Sie auf dem Server, auf dem Sie MBAM installieren, über Domänenadministratorrechte verfügen. Wenn Sie nicht im Besitz dieser Rechte sind, können Sie die Konfiguration abschließen, müssen die Dienstprinzipalnamen jedoch festlegen, bevor oder nachdem Sie MBAM konfiguriert haben. |
Haben Sie einen Vorschlag für MBAM?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.
Siehe auch
Weitere Ressourcen
Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5