Grundlegende Architektur von MBAM 2.5 mit Configuration Manager mit Configuration Manager Integration-Topologie
Letzte Aktualisierung: Mai 2014
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
In diesem Thema wird die empfohlene Architektur für die Bereitstellung von Microsoft BitLocker Administration and Monitoring (MBAM) mit der Configuration Manager-Integrationstopologie erläutert. Diese Topologie integriert MBAM in System Center Configuration Manager. Anweisungen zum Bereitstellen von MBAM mit der eigenständigen Topologie finden Sie unter Grundlegende Architektur von MBAM 2.5 mit eigenständiger Topologie.
Eine Liste der unterstützten Versionen für die Software, die in diesem Thema genannt wird, finden Sie unter MBAM 2.5 – Unterstützte Konfigurationen.
Wichtig
Wenn Sie Configuration Manager verwenden, wird Windows To Go für die Installation der Configuration Manager 2007-Integrationstopologie nicht unterstützt.
Empfohlene Anzahl Server und unterstützte Anzahl Clients
Die folgende Tabelle gibt die empfohlene Anzahl von Servern und die unterstützte Anzahl von Clients in einer Produktionsumgebung an:
Empfohlene Architektur | Details |
---|---|
Anzahl Server und anderer Computer |
Drei Server Eine Arbeitsstation |
Unterstützte Anzahl Clientcomputer |
500,000 |
Unterschiede zwischen Configuration Manager-Integrationstopologie und eigenständiger Topologie
Zwischen den Topologien bestehen die folgenden wesentlichen Unterschiede:
Die Konformitäts- und Berichtsfeatures wurden aus MBAM entfernt und werden von Configuration Manager aus aufgerufen.
Berichte werden über die Configuration Manager-Verwaltungskonsole angezeigt; eine Ausnahme bildet der Überwachungsberichts für die Wiederherstellung, auf den weiterhin von der MBAM Administration and Monitoring-Website aus zugegriffen wird.
Empfohlene grundlegende Architektur von MBAM mit Configuration Manager-Integrationstopologie
Im folgenden Diagramm und der Tabelle wird die empfohlene grundlegende Architektur für MBAM mit der Configuration Manager-Integrationstopologie beschrieben. Für MBAM-Bereitstellungen mit mehreren Gesamtstrukturen ist eine uni- oder bidirektionale Vertrauensstellung erforderlich. Bei einer unidirektionalen Vertrauensstellung muss die Serverdomäne der Clientdomäne vertrauen.
Server | Auf diesem Server zu konfigurierende Features | Beschreibung | ||
---|---|---|---|---|
Datenbankserver |
Wiederherstellungsdatenbank |
Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden. In der Wiederherstellungsdatenbank werden Wiederherstellungsdaten gespeichert, die von MBAM-Clientcomputern gesammelt werden. |
||
Überwachungsdatenbank |
Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden. In der Überwachungsdatenbank werden Daten von Überwachungsaktivitäten gespeichert, die von Clientcomputern gesammelt werden, die auf Wiederherstellungsdaten zugegriffen haben. |
|||
Berichte |
Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server und eine unterstützte SQL Server-Instanz ausgeführt werden. Die Berichte liefern Überwachungsdaten für die Wiederherstellung für die Clientcomputer im Unternehmen. Berichte können über die Configuration Manager-Konsole oder direkt aus SQL Server Reporting Services angezeigt werden. |
|||
Primärer Configuration Manager-Standortserver |
System Center Configuration Manager-Integration |
|
||
Administration and Monitoring-Server |
Administration and Monitoring-Website |
Diese Funktion wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird. Die Administration and Monitoring-Website wird für Folgendes verwendet:
|
||
Self-Service-Portal |
Diese Funktion wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird. Das Self-Service-Portal ist eine Website, die es Endbenutzern auf Clientcomputern ermöglicht, sich unabhängig bei einer Website anzumelden, um einen Wiederherstellungsschlüssel zu beziehen, falls sie ihr BitLocker-Kennwort verlieren oder vergessen. |
|||
Monitoring-Webdienste für diese Website |
Diese Funktion wird auf einem Computer installiert, auf dem Windows Server ausgeführt wird. Über die Monitoring-Webdienste kommunizieren der MBAM-Client und die Websites mit der Datenbank.
|
|||
Verwaltungsarbeitsstation |
MBAM-Gruppenrichtlinienvorlagen |
|
||
MBAM-Client und Configuration Manager-Clientcomputer |
MBAM-Clientsoftware |
Funktionen des MBAM-Client:
|
||
Configuration Manager-Client |
Der Configuration Manager-Client ermöglicht Configuration Manager das Sammeln von Hardwarekonformitätsdaten über die Clientcomputer und das Melden von Konformitätsinformationen. |
Unterschiede bei der MBAM-Bereitstellung für unterstützte Configuration Manager-Versionen
Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, können Sie MBAM auf einem primären Standortserver installieren. Die MBAM-Installation ist jedoch für System Center 2012 Configuration Manager und Configuration Manager 2007 verschieden.
Configuration Manager-Version | Beschreibung |
---|---|
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
Installieren Sie MBAM auf einem primären Standortserver oder einem Server der zentralen Verwaltung, dann werden alle Installationsaktionen von MBAM auf diesem Standortserver durchgeführt. |
Configuration Manager 2007 R2 Configuration Manager 2007 |
Wenn Sie MBAM auf einem primären Standortserver installieren, der Bestandteil einer größeren Configuration Manager-Hierarchie mit einem übergeordneten Server des zentralen Standorts ist, wird der übergeordnete Server des zentralen Standorts von MBAM identifiziert, und alle Installationsaktionen werden auf diesem übergeordneten Server ausgeführt. Zu den Installationsaktionen gehören die Überprüfung der Voraussetzungen und die Installation der Configuration Manager-Objekte und -Berichte. Wenn Sie beispielsweise MBAM auf einem primären Standortserver installieren, der einem übergeordneten Server eines zentralen Standorts untergeordnet ist, werden alle Configuration Manager-Objekte und -Berichte von MBAM auf dem übergeordneten Server installiert. Installieren Sie MBAM auf dem übergeordneten Server, dann werden alle Installationsaktionen von MBAM auf diesem übergeordneten Server durchgeführt. |
Interaktion von MBAM und Configuration Manager
Die Integration von MBAM in Configuration Manager basiert auf einem Konfigurationspaket, von dem die in der folgenden Tabelle beschriebenen Elemente installiert werden.
In Configuration Manager installierte Elemente | Beschreibung | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Konfigurationsdaten |
Von den Konfigurationsdaten wird eine Konfigurationsbasislinie mit dem Namen „BitLocker-Schutz“ installiert, die zwei Konfigurationsobjekte (CIs) enthält:
Die Konfigurationsbasislinie wird für die Sammlung „Von MBAM unterstützte Computer“ bereitgestellt, die bei der Installation von MBAM ebenfalls erstellt wird. Die beiden Konfigurationselemente stellen die Basis zum Auswerten des Konformitätsstatus der Clientcomputer dar. Diese Informationen werden in Configuration Manager erfasst, gespeichert und ausgewertet. Die Konfigurationselemente basieren auf den Konformitätsanforderungen für Betriebssystem- und Festplattenlaufwerke. Für die bereitgestellten Computer werden die erforderlichen Details gesammelt, sodass die Konformität dieser Laufwerkstypen ausgewertet werden kann. Standardmäßig wird der Komformitätsstatus alle 12 Stunden von der Konfigurationsbasislinie ausgewertet, und die Konformitätsdaten werden an Configuration Manager gesendet. |
||||||||||
Sammlung der von MBAM unterstützten Computer |
Von MBAM wird eine Sammlung mit dem Namen „Von MBAM unterstützte Computer“ erstellt. Die Clientcomputer in dieser Sammlung sind das Ziel der Konfigurationsbasislinie der Verwaltung gewünschter Konfigurationen. Es handelt sich um eine dynamische Sammlung. Sie wird standardmäßig alle 12 Stunden ausgeführt und wertet die Mitgliedschaft anhand von drei Kriterien aus:
Die Sammlung wird gegen alle Computer ausgewertet, und es wird eine Untermenge konformer Computer erstellt, die als Basis für die Konformitätsbewertung und Berichterstattung für die MBAM-Integration verwendet wird. |
||||||||||
Berichte |
Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie konfigurieren, können Sie alle Berichte in Configuration Manager anzeigen, ausgenommen den Überwachungsbericht für die Wiederherstellung, auf den Sie weiterhin auf der MBAM Administration and Monitoring-Website zugreifen. In Configuration Manager stehen die folgenden Berichte zur Verfügung:
|
Haben Sie einen Vorschlag für MBAM?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.
Siehe auch
Konzepte
Grundlegende Architektur von MBAM 2.5 mit eigenständiger Topologie
Illustrierte Beschreibung der Funktionen einer MBAM 2.5-Bereitstellung