Vorgehensweise beim Installieren und Konfigurieren von MBAM auf verteilten Servern
Letzte Aktualisierung: November 2012
Betrifft: Microsoft BitLocker Administration and Monitoring 1.0
In diesem Thema werden die Vorgehensweisen bei einer vollständigen Installation der Funktionen von Microsoft BitLocker-Administration und Überwachung (MBAM) auf verteilten Servern beschrieben.
Für jede der Serverfunktionen gelten bestimmte Voraussetzungen. Anhand der Informationen unter Bereitstellungsvoraussetzungen für MBAM 1.0 und MBAM 1.0 – Unterstützte Konfigurationen können Sie überprüfen, ob alle Voraussetzungen und die Hardware- und Softwareanforderungen erfüllt sind. Bei einigen Funktionen müssen Sie während des Installationsprozesses zudem bestimmte Informationen angeben, damit sie erfolgreich bereitgestellt werden können. Bevor Sie mit der Bereitstellung von MBAM beginnen, sollten Sie auch die Informationen unter Planning the Server Infrastructure for MBAM lesen.
Hinweis
Zum Abrufen der Setup-Protokolldateien müssen Sie MBAM mithilfe des msiexec-Pakets und der Option /l <Speicherort> installieren. Die Protokolldateien werden dann am angegebenen Speicherort erstellt.
Weitere Setup-Protokolldateien werden im Ordner „%temp%“ des Benutzers erstellt, der MBAM installiert.Bereitstellen der MBAM-Serverfunktionen
In den nachfolgend aufgeführten Schritten wird die Installation der allgemeinen MBAM-Funktionen beschrieben.
Hinweis
Achten Sie darauf, dass Sie auf 32-Bit-Servern die 32-Bit-Setupdatei und auf 64-Bit-Servern die 64-Bit-Setupdatei verwenden.
So stellen Sie die MBAM-Serverfunktionen bereit
Starten Sie den MBAM-Installations-Assistenten, und klicken Sie auf der Startseite auf Installieren.
Lesen und akzeptieren Sie die Microsoft-Software-Lizenzbedingungen, und klicken Sie dann auf Weiter, um die Installation fortzusetzen.
Standardmäßig sind alle MBAM-Funktionen zur Installation ausgewählt. Deaktivieren Sie die Funktionen, die Sie an anderer Stelle installieren möchten. Funktionen, die Sie auf demselben Computer installieren möchten, müssen zugleich installiert werden. Die MBAM-Funktionen müssen in der folgenden Reihenfolge installiert werden:
Wiederherstellungs- und Hardwaredatenbank
Kompatibilitäts- und Überwachungsdatenbank
Kompatibilitäts- und Überwachungsberichte
Administration and Monitoring-Server
MBAM-Gruppenrichtlinienvorlage
Hinweis
Vom Installations-Assistenten werden die Installationsvoraussetzungen überprüft und nicht erfüllte Voraussetzungen angezeigt. Wenn alle Voraussetzungen erfüllt sind, wird die Installation fortgesetzt. Wenn eine nicht erfüllte Voraussetzung erkannt wurde, müssen Sie das Problem beheben und auf Voraussetzungen erneut überprüfen klicken. Wenn dann alle Voraussetzungen erfüllt sind, wird die Installation fortgesetzt.
Vom MBAM-Setup-Assistenten werden die Installationsseiten für die ausgewählten Funktionen angezeigt. In den folgenden Abschnitten werden die Installationsschritte für die einzelnen Funktionen beschrieben.
Hinweis
In der Regel wird jede Funktion auf einem separaten Server installiert. Wenn Sie mehrere Funktionen auf einem einzelnen Server installieren möchten, können Sie einige der folgenden Schritte ändern oder auslassen.
So installieren Sie die Wiederherstellungs- und Hardwaredatenbank
Wählen Sie eine Option für die Verschlüsselung der MBAM-Kommunikation aus. Von MBAM kann die Kommunikation zwischen der Wiederherstellungs- und Hardwaredatenbank und den Administration and Monitoring-Servern verschlüsselt werden. Wenn Sie die Option für das Verschlüsseln der Kommunikation auswählen, werden Sie aufgefordert, das von der Zertifizierungsstelle ausgestellte Zertifikat für die Verschlüsselung auszuwählen.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die Namen der Computer an, auf denen die Administration and Monitoring-Serverfunktion ausgeführt werden soll, um den Zugriff auf die Wiederherstellungs- und Hardwaredatenbank zu konfigurieren. Wenn die Administration and Monitoring-Serverfunktion bereitgestellt ist, wird mithilfe des entsprechenden Domänenkontos eine Verbindung mit der Datenbank hergestellt.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die Datenbankkonfiguration für die SQL Server-Instanz an, von der die Wiederherstellungs- und Hardwaredaten gespeichert werden. Sie müssen außerdem den Ort der Datenbank und den Ort für die Protokollinformationen angeben.
Klicken Sie auf Weiter, um den MBAM-Setup-Assistenten fortzusetzen.
So installieren Sie die Kompatibilitäts- und Überwachungsdatenbank
Wählen Sie eine Option für die Verschlüsselung der MBAM-Kommunikation aus. Von MBAM kann die Kommunikation zwischen der Kompatibilitäts- und Überwachungsdatenbank und den Administration and Monitoring-Servern verschlüsselt werden. Wenn Sie die Option für das Verschlüsseln der Kommunikation auswählen, werden Sie aufgefordert, das von der Zertifizierungsstelle ausgestellte Zertifikat für die Verschlüsselung auszuwählen.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie das Benutzerkonto an, mit dem auf die Datenbank zugegriffen und Berichte abgerufen werden sollen.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die Namen der Computer an, auf denen der Administration and Monitoring-Server und die Kompatibilitäts- und Überwachungsberichte-Funktion ausgeführt werden sollen, um den Zugriff auf die Kompatibilitäts- und Überwachungsdatenbank zu konfigurieren. Wenn der Administration and Monitoring-Server und der Kompatibilitäts- und Überwachungsberichte-Server bereitgestellt sind, werden mithilfe der jeweiligen Domänenkonten Verbindungen mit den Datenbanken hergestellt.
Geben Sie die Datenbankkonfiguration für die SQL Server-Instanz an, von der die Kompatibilitäts- und Überwachungsdaten gespeichert werden. Sie müssen außerdem den Ort der Datenbank und den Ort für die Protokollinformationen angeben.
Klicken Sie auf Weiter, um den MBAM-Setup-Assistenten fortzusetzen.
So installieren Sie die Kompatibilitäts- und Überwachungsberichte-Funktion
Geben Sie die SQL Server-Remoteinstanz an: z. B. <Servername> des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank installiert ist.
Geben Sie den Namen der Kompatibilitäts- und Überwachungsdatenbank an. Standardmäßig lautet der Name „MBAM Compliance Status“. Dieser kann aber während der Installation der Kompatibilitäts- und Überwachungsdatenbank geändert werden.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Wählen Sie die SQL Server Reporting Services-Instanz für die Installation der Kompatibilitäts- und Überwachungsberichte-Funktion aus. Geben Sie den Benutzernamen und das Kennwort für den Zugriff auf die Kompatibilitätsdatenbank an.
Klicken Sie auf Weiter, um den MBAM-Setup-Assistenten fortzusetzen.
So installieren Sie die Administration and Monitoring-Serverfunktion
Wählen Sie eine Option für die Verschlüsselung der MBAM-Kommunikation aus. Von MBAM kann die Kommunikation zwischen der Wiederherstellungs- und Hardwaredatenbank und den Administration and Monitoring-Servern verschlüsselt werden. Wenn Sie die Option für das Verschlüsseln der Kommunikation auswählen, werden Sie aufgefordert, das von der Zertifizierungsstelle ausgestellte Zertifikat für die Verschlüsselung auszuwählen.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die SQL Server-Remoteinstanz an: z. B. <Servername> des Servers, auf dem die Kompatibilitäts- und Überwachungsdatenbank installiert ist.
Geben Sie den Namen der Kompatibilitäts- und Überwachungsdatenbank an. Standardmäßig lautet der Name „MBAM Compliance Status“. Dieser kann aber während der Installation der Kompatibilitäts- und Überwachungsdatenbank geändert werden.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die SQL Server-Remoteinstanz an: z. B. <Servername> des Servers, auf dem die Wiederherstellungs- und Hardwaredatenbank installiert ist.
Geben Sie den Namen der Wiederherstellungs- und Hardwaredatenbank an. Standardmäßig lautet der Name MBAM Recovery and Hardware. Dieser kann aber während der Installation der Wiederherstellungs- und Hardwaredatenbank-Funktion geändert werden.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie die URL für die Startseite der SQL Server Reporting Services-Website (SRS-Website) an. Die Standard-URL für die Startseite einer SRS-Website-Instanz lautet folgendermaßen:
http://*<NameMBAMBerichtsserver>/*ReportServer
Hinweis
Wenn Sie SQL Server Reporting Services als benannte Instanz konfiguriert haben, lautet die URL folgendermaßen: http://<NameMBAMBerichtsserver>/ReportServer_<SRSInstanzname>
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Geben Sie Portnummer, Hostname (optional) und Installationspfad für den MBAM Administration and Monitoring-Server ein.
Warnung
Bei der angegebenen Portnummer muss es sich um eine nicht verwendete Portnummer des Administration and Monitoring-Servers handeln, sofern Sie keinen eindeutigen Hostheadernamen angeben.
Klicken Sie auf Weiter, um den MBAM-Setup-Assistenten fortzusetzen.
Geben Sie an, ob für die Sicherheit des Computers Microsoft Update verwendet werden soll, und klicken Sie auf Weiter.
Wenn die Informationen für die ausgewählten MBAM-Funktionen vollständig sind, können Sie die MBAM-Installation mithilfe des Setup-Assistenten starten. Klicken Sie auf Zurück, um durch den Assistenten zu blättern und Installationseinstellungen zu überprüfen oder zu ändern. Klicken Sie auf Installieren, um die Installation zu starten. Klicken Sie auf Abbrechen, um den Assistenten zu beenden. Von Setup werden die ausgewählten MBAM-Funktionen installiert. Wenn die Installation abgeschlossen ist, werden Sie benachrichtigt.
Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.
Fügen Sie Benutzer zu den entsprechenden MBAM-Rollen hinzu, nachdem die MBAM-Serverfunktionen installiert wurden. Weitere Informationen finden Sie unter Planen der Administratorrollen für MBAM 1.0.
So konfigurieren Sie die MBAM-Funktionen nach der Installation
Nachdem MBAM-Setup abgeschlossen wurde, müssen Sie Benutzerrollen hinzufügen, damit die Benutzer auf die Funktionen der MBAM-Verwaltungswebsite zugreifen können. Fügen Sie auf dem Administration and Monitoring-Server Benutzer zu den folgenden lokalen Gruppen hinzu:
MBAM Hardware Users: Mitglieder in dieser lokalen Gruppe können auf die Funktion „Hardware“ auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Hardwarebenutzer).
MBAM Helpdesk Users: Mitglieder in dieser lokalen Gruppe können auf die Funktionen „Laufwerkswiederherstellung“ und „TPM verwalten“ auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Helpdeskbenutzer). Alle Felder unter „Laufwerkswiederherstellung“ bzw. „TPM verwalten“ müssen ausgefüllt werden.
MBAM Advanced Helpdesk Users: Mitglieder in dieser lokalen Gruppe verfügen über erweiterten Zugriff auf die Funktionen „Laufwerkswiederherstellung“ und „TPM verwalten“ auf der MBAM-Verwaltungswebsite (MBAM-Helpdeskbenutzer (erweitert)). Unter „Laufwerkswiederherstellung“ muss nur das Feld „Schlüssel-ID“ ausgefüllt werden. Unter „TPM verwalten“ sind nur die Felder „Computerdomäne“ und „Computername“ erforderlich.
Fügen Sie auf dem Administration and Monitoring-Server, für die Kompatibilitäts- und Überwachungsdatenbank und auf dem Server, auf dem die Kompatibilitäts- und Überwachungsberichte gehostet werden, Benutzer zu der folgenden lokalen Gruppe hinzu, damit sie auf die Berichtsfunktion auf der MBAM-Verwaltungswebsite zugreifen können:
- MBAM Report Users: Mitglieder in dieser lokalen Gruppe können auf die Berichte auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Berichtsbenutzer).
Hinweis
Die Benutzer- oder Gruppenmitgliedschaft der lokalen Gruppe MBAM Report Users muss auf allen Computern, auf denen die MBAM Administration and Monitoring-Serverfunktionen, die Kompatibilitäts- und Überwachungsdatenbank und die Kompatibilitäts- und Überwachungsberichte-Funktion installiert sind, stets identisch sein.
Überprüfen der Installation von MBAM-Serverfunktionen
Wenn die Installation der MBAM-Serverfunktionen abgeschlossen ist, sollten Sie überprüfen, ob alle für MBAM erforderlichen Funktionen erfolgreich eingerichtet wurden. Überprüfen Sie mithilfe der nachfolgend aufgeführten Schritte, ob der MBAM-Dienst funktionsfähig ist.
So überprüfen Sie eine MBAM-Installation
Öffnen Sie auf jedem Server, auf dem eine MBAM-Funktion bereitgestellt wurde, die Systemsteuerung, und klicken Sie auf Programme und dann auf Programme und Funktionen. Überprüfen Sie, ob Microsoft BitLocker Administration and Monitoring in der Liste der Programme und Funktionen aufgeführt ist.
Hinweis
Zum Überprüfen der MBAM-Installation müssen Sie ein Domänenkonto verwenden, das auf jedem Server über lokale Administratoranmeldeinformationen für den Computer verfügt.
Öffnen Sie auf dem Server, auf dem die Wiederherstellungs- und Hardwaredatenbank installiert wurde, SQL Server Management Studio, und überprüfen Sie, ob die Datenbank MBAM Recovery and Hardware installiert ist.
Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsdatenbank installiert wurde, SQL Server Management Studio, und überprüfen Sie, ob die Datenbank MBAM Compliance Status installiert ist.
Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsberichte-Funktion installiert wurde, einen Webbrowser mit Administratorrechten, und rufen Sie die Startseite der SQL Server Reporting Services-Website (SRS-Website) auf.
Die Standard-URL für die Startseite einer SRS-Website-Instanz lautet folgendermaßen: http://<NameMBAMBerichtsserver>/Reports.aspx. Verwenden Sie den Konfigurations-Manager für Reporting Services, und wählen Sie die während des Setups angegebenen Instanzen aus, um die tatsächlich verwendete URL zu finden.
Überprüfen Sie, ob ein Ordner mit dem Namen Malta BitLocker Management Solution aufgeführt wird und dieser fünf Berichte und eine Datenquelle enthält.
Hinweis
Wenn SQL Server Reporting Services als benannte Instanz konfiguriert wurde, sollte die URL folgendermaßen lauten: http://<NameMBAMBerichtsserver>/Reports_<SRSInstanzname>
Führen Sie auf dem Server, auf dem die Administration and Monitoring-Funktion installiert wurde, den Server-Manager aus, navigieren Sie zu Rollen, wählen Sie Webserver (IIS) aus, und klicken Sie auf Internetinformationsdienste-Manager. Navigieren Sie unter Verbindungen zu <Computername>, und klicken Sie auf Standorte und dann auf Microsoft BitLocker Administration and Monitoring. Überprüfen Sie, ob MBAMAdministrationService, MBAMComplianceStatusService und MBAMRecoveryAndHardwareService aufgeführt sind.
Öffnen Sie auf dem Server, auf dem die Administration and Monitoring-Funktion installiert wurde, einen Webbrowser mit Administratorrechten, und überprüfen Sie, ob die folgenden URLs der MBAM-Website erfolgreich aufgerufen werden können:
http://<Computername>/default.aspx (Überprüfen Sie auch alle Links für die Navigation und die Berichte.)
http://<Computername>/MBAMAdministrationService/AdministrationService.svc
http://<Computername>/MBAMComplianceStatusService/StatusReportingService.svc
http://<Computername>/MBAMRecoveryAndHardwareService/CoreService.svc
Hinweis
In der Regel werden die Dienste ohne Netzwerkverschlüsselung mit dem Standardport 80 installiert. Wenn die Dienste für einen anderen Port installiert wurden, müssen Sie zusätzlich den entsprechenden Port in die URL aufnehmen, z. B.: http://<Computername>:<Port>/default.aspx oder http://<Hostheadername>/default.aspx.
Wenn die Dienste mit Netzwerkverschlüsselung installiert wurden, ersetzen Sie „http://“ durch „https://“.Überprüfen Sie, ob alle Webseiten erfolgreich geladen werden.
Siehe auch
Andere Ressourcen
Bereitstellen der Serverinfrastruktur von MBAM 1.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----