Vorgehensweise beim Konfigurieren der MBAM 2.5-Webanwendungen
Letzte Aktualisierung: August 2015
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
In diesem Thema wird erläutert, wie Sie die Microsoft BitLocker Administration and Monitoring (MBAM) 2,5 Webanwendungen für die empfohlene Grundlegende Architektur von MBAM 2.5 konfigurieren, indem Sie eines der folgenden Verfahren nutzen:
Windows PowerShell-Cmdlet
MBAM-Serverkonfigurations-Assistent
Die Webanwendungen umfassen die folgenden Websites und deren zugehörige Webdienste:
| Website | Beschreibung |
|---|---|
Administration and Monitoring-Website |
Website, über die spezifische Benutzer Berichte ansehen und Endbenutzer bei der Wiederherstellung ihrer Computer unterstützen können, wenn diese ihre PIN oder Ihr Kennwort vergessen haben |
Self-Service-Portal |
Website, auf die Endbenutzer zugreifen können, um auf unabhängige Weise den Zugriff auf ihre Computer wiederzuerlangen, wenn sie ihre PIN oder ihr Kennwort vergessen haben |
Bevor Sie mit der Konfiguration beginnen:
| Schritt | Wo Sie Anleitungen finden |
|---|---|
Schauen Sie sich die empfohlene Architektur für MBAM an. |
|
Schauen Sie sich die unterstützten Konfigurationen für MBAM an. |
|
Erfüllen Sie die erforderlichen Voraussetzungen für jeden Server. Hinweis Stellen Sie sicher, dass Sie die SQL ServerReporting Services (SSRS) zur Verwendung von Secure Sockets Layer (SSL) konfigurieren, bevor Sie die Administration and Monitoring-Website konfigurieren. Anderenfalls verwendet die Berichtsfunktion HTTP anstelle von HTTPS. |
|
Registrieren Sie die Dienstprinzipalnamen (Service Principal Names (SPNs)) zum Anwendungspoolkonto für die Websites. Sie müssen diesen Schritt nur dann ausführen, wenn Sie keine Administratordomänenrechte in den Active Directory-Domänendiensten (Active Directory Domain Services (AD DS)) besitzen. Wenn Sie über diese Rechte in AD DS verfügen, erstellt MBAM für Sie die SPNs. |
|
Installieren Sie die MBAM Serversoftware auf jedem Server, auf dem Sie eine MBAM Serverfunktion konfigurieren möchten. Hinweis Wenn Sie vorhaben, die Websites auf einem Server und die Webdienste auf einem anderen Server zu installieren, können Sie diese lediglich konfigurieren, indem Sie das Enable-MbamWebApplication Windows PowerShell-Cmdlet verwenden. Der MBAM Serverkonfigurations-Assistent unterstützt keine Konfigurierung dieser Elemente auf separaten Servern. |
|
Überprüfen Sie die Voraussetzungen zur Verwendung von Windows PowerShell, falls Sie beabsichtigen, Cmdlets zur Konfigurierung von MBAM Serverfunktionen zu verwenden. |
Konfigurieren von MBAM 2.5-Serverfunktionen mit Windows PowerShell |
So konfigurieren Sie die Webanwendungen mithilfe von Windows PowerShell
Bevor Sie mit der Konfiguration beginnen, lesen Sie Konfigurieren von MBAM 2.5-Serverfunktionen mit Windows PowerShell, um die Voraussetzungen zur Verwendung von Windows PowerShell zu überprüfen.
Verwenden Sie das Enable-MbamWebApplication-Cmdlet, um die Webanwendungen mithilfe von Windows PowerShell zu konfigurieren. Zum Abrufen von Informationen über das Cmdlet geben Sie Get-Help Enable-MbamWebApplication ein.
So konfigurieren Sie die Einstellungen für sämtliche Webanwendungen mithilfe des Assistenten
Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den MBAM-Serverkonfigurations-Assistenten. Zum Öffnen des Assistenten können Sie MBAM Server Configuration im Menü Start auswählen.
Klicken Sie auf Neue Funktionen hinzufügen, und wählen Sie Administration and Monitoring-Website sowie Self-Service-Portal. Klicken Sie anschließend auf Weiter. Der Assistent überprüft, ob sämtliche Voraussetzungen für die Webanwendungen erfüllt werden.
Wenn die Überprüfung der Voraussetzungen erfolgreich abgeschlossen ist, klicken Sie zum Fortfahren auf Weiter. Beheben Sie anderenfalls das Problem mit etwaigen fehlenden Voraussetzungen, und klicken Sie anschließend auf Voraussetzungen erneut überprüfen.
Verwenden Sie die folgenden Beschreibungen, um die entsprechenden Feldwerte im Assistenten einzugeben.
Feld Beschreibung Sicherheitszertifikat
Wählen Sie ein zuvor erstelltes Zertifikat, um die Kommunikation zwischen den Webdiensten und dem Server, auf dem Sie die Websites konfigurieren, optional zu verschlüsseln. Wenn Sie Kein Zertifikat verwenden auswählen, ist die Webkommunikation unter Umständen nicht sicher.
Hostname
Dies ist der Name des Hostcomputers, auf dem Sie die Websites konfigurieren.
Installationspfad
Dies ist der Pfad, unter dem Sie die Websites installieren.
Port
Dies ist die Portnummer, die für die Website- und Dienstkommunikation verwendet wird.
Hinweis
Sie müssen eine Firewallausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
Webdienstanwendungs-Pool-Domänenkonto und Kennwort
Hierbei handelt es sich um das Domänenbenutzerkonto und das Kennwort für den Webdienstanwendungs-Pool.
Wenn Sie einen Benutzernamen im Feld Lese-/Schreibzugriff für Domänenbenutzer oder Gruppe auf der Seite Datenbanken konfigurieren eingeben, müssen Sie in diesem Feld den gleichen Wert eingeben.
Wenn Sie einen Gruppennamen im Feld Lese-/Schreibzugriff für Domänenbenutzer oder Gruppe auf der Seite Datenbanken konfigurieren eingeben, muss der von Ihnen in diesem Feld eingegebene Wert ein Mitglied dieser Gruppe darstellen.
Wenn Sie keine Anmeldeinformationen angeben, werden jene Anmeldeinformationen verwendet, die Sie für eine beliebige zuvor aktivierte Webanwendung angegeben haben. Sämtliche Webanwendungen müssen die gleichen Anwendungs-Pool-Anmeldeinformationen verwenden. Wenn Sie bei unterschiedlichen Webanwendungen unterschiedliche Anmeldeinformationen angeben, wird stets der aktuellste angegebene Wert verwendet.
Wichtig
Stellen Sie zugunsten einer erhöhten Sicherheit das Konto, das in den Anmeldeinformationen angegeben ist, dergestalt ein, dass es eingeschränkte Benutzerrechte aufweist. Konfigurieren Sie außerdem das Kennwort für dieses Konto so, dass es nicht abläuft.
Überprüfen Sie, ob das integrierte IIS_IUSRS-Konto oder das Anwendungs-Pool-Konto zu den lokalen Sicherheitseinstellungen Einen Client nach Authentifizierung personifizieren und Als Batchauftrag anmelden hinzugefügt wurde.
Wenn Sie überprüfen möchten, ob es zu den lokalen Sicherheitseinstellungen hinzugefügt wurde, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, und erweitern Sie den Knoten Lokale Richtlinien. Klicken Sie danach auf den Knoten Benutzerrechtezuordnung, und doppelklicken Sie auf die Richtlinien Einen Client nach Authentifizierung personifizieren und Als Batchauftrag anmelden im rechten Bereich.
So konfigurieren Sie die Verbindungsinformationen für die Datenbanken mithilfe des Assistenten
Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Konformitäts- und Überwachungsdatenbank zu konfigurieren.
Feld Beschreibung SQL-Servername
Name des Servers, auf dem die Konformitäts- und Überwachungsdatenbank konfiguriert ist.
SQL Server-Datenbankinstanz
Name der SQL Server-Instanz, in der die Konformitäts- und Überwachungsdatenbank konfiguriert wird.
Datenbankname
Name der Konformitäts- und Überwachungsdatenbank.
Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.
Feld Beschreibung SQL-Servername
Dies ist der Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert wird.
SQL Server-Datenbankinstanz
Dies ist der Name der SQL Server-Instanz, in der die Wiederherstellungsdatenbank konfiguriert wird.
Datenbankname
Dies ist der Name der Wiederherstellungsdatenbank.
So konfigurieren Sie die Webanwendungen mithilfe des Assistenten
Verwenden Sie die folgenden Beschreibungen zur Eingabe der Feldwerte in den Assistenten, um die Administration and Monitoring-Website zu konfigurieren.
Feld Beschreibung Domänengruppe der fortgeschrittenen Helpdeskrolle
Hierbei handelt es sich um die Domänenbenutzergruppe, deren Mitglieder Zugriff auf sämtliche Bereiche der Administration and Monitoring-Website mit Ausnahme des Berichtsbereichs haben.
Domänengruppe der Helpdeskrolle
Hierbei handelt es sich um die Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkswiederherstellung der Administration and Monitoring-Website haben.
Verwenden der System Center Configuration Manager-Integration
Aktivieren Sie dieses Kontrollkästchen, wenn Sie MBAM mit der Configuration Manager-Integrationstopologie konfigurieren. Durch Aktivieren dieses Kontrollkästchens werden alle Berichte, mit Ausnahme des Überwachungsberichts für die Wiederherstellung, im Configuration Manager anstatt auf der Administration and Monitoring-Website angezeigt.
Reporting role domain group
Hierbei handelt es sich um die Domänenbenutzergruppe, deren Mitglieder nur Lesezugriff auf die Berichtsbereiche der Administration and Monitoring-Website haben.
SQL Server Reporting Services-URL
Dies ist die URL für den SSRS-Server, auf dem die MBAM Berichte konfiguriert werden.
Beispiele für Berichts-URLs:
Typ des Hostnamens Beispiel Beispiel mit einem vollqualifizierten Domänennamen
https://MyReportServer.Contoso.com/ReportServer
Beispiel mit einem benutzerdefinierten Hostnamen
https://MyReportServer/ReportServer
Virtuelles Verzeichnis
Dies ist das virtuelle Verzeichnis der Administration and Monitoring-Website. Der Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angehängt. Beispiel:
http(s)://<Hostname>:<Port>/HelpDesk/
Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert HelpDesk verwendet.
Domänengruppe der Datenmigrationsrolle (optional)
Hierbei handelt es sich um die Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Write-Mbam*Information-Cmdlets zum Schreiben von Wiederherstellungsinformationen über diesen Endpunkt haben.
Verwenden Sie die folgende Beschreibung zur Eingabe der Feldwerte in den Assistenten, um das Self-Service-Portal zu konfigurieren.
Feld Beschreibung Virtuelles Verzeichnis
Dies ist das virtuelle Verzeichnis der Webanwendung. Der Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angehängt. Beispiel:
http(s)://<Hostname>:<Port>/SelfService/
Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert SelfService verwendet.
Firmenname
Geben Sie einen Firmennamen für das Self-Service-Portal an. Beispiel:
Contoso IT
Dieser Firmenname wird allen Benutzern des Self-Service-Portals angezeigt.
Text für Helpdesk-URL
Geben Sie einen Text an, der Benutzer zur Helpdesk-Website Ihrer Organisation führt. Beispiel:
Wenden Sie sich an den Helpdesk oder die IT-Abteilung
Helpdesk-URL
Geben Sie die URL für die Helpdesk-Website Ihrer Organisation an. Beispiel:
http(s)://<UnternehmensHelpdeskURL>/
Hinweistextdatei
Wählen Sie eine Datei aus, die den Hinweis enthält, der Benutzern auf der Startseite des Self-Service-Portals angezeigt werden soll.
Hinweistext für Benutzer nicht anzeigen
Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass der Hinweistext den Benutzern nicht angezeigt wird.
Wenn Sie Ihre Eingaben beendet haben, klicken Sie auf Weiter.
Der Assistent überprüft, ob sämtliche Voraussetzungen für die Webanwendungen erfüllt werden.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Zeigen Sie auf der Seite Zusammenfassung die Funktionen an, die hinzugefügt werden.
Hinweis
Klicken Sie zum Erstellen eines Windows PowerShell-Skripts für die von Ihnen vorgenommenen Einträge auf PowerShell-Skript exportieren. Sichern Sie anschließend das Skript.
Klicken Sie auf Hinzufügen, um die Webanwendungen zum Server hinzuzufügen. Klicken Sie danach auf Schließen.
Weitere Informationen zur individuellen Anpassung des Self-Service-Portals durch Hinzufügen eines benutzerdefinierten Hinweistextes, Ihres Firmennamens, von Verweisen auf weitere Daten usw. finden Sie unter Anpassen des Self-Service-Portals für Ihre Organisation.
So konfigurieren Sie das Self-Service-Portal, wenn Clientcomputer keinen Zugriff auf das CDN haben
Stellen Sie fest, ob Microsoft BitLocker Administration and Monitoring (MBAM) 2,5 SP1 ausgeführt wird. Wenn das der Fall ist, führen Sie keine Aktion aus. Die Self-Service-Portal-Konfiguration ist abgeschlossen.
Hinweis
Bei Microsoft BitLocker Administration and Monitoring (MBAM) 2,5 SP1 werden die JavaScript-Dateien im Setup installiert, und es muss daher keine Verbindung mit dem Netzwerk für die Ajax-Inhaltsübermittlung von Microsoft hergestellt werden, um das Self-Service-Portal zu konfigurieren. Die folgenden Schritte sind nur erforderlich, wenn Sie eine frühere Version von Microsoft BitLocker Administration and Monitoring (MBAM) 2,5 als SP1 verwenden.
Legen Sie fest, ob die Clientcomputer Zugriff auf das Netzwerk für die Ajax-Inhaltsübermittlung von Microsoft (CDN) haben.
Das Netzwerk für die Inhaltsübermittlung gewährt dem Self-Service-Portal den erforderlichen Zugriff auf bestimmte JavaScript-Dateien. Wenn die Clientcomputer keinen Zugriff auf das CDN haben und Sie das Self-Service-Portal nicht konfigurieren, werden lediglich der Firmenname und das Konto angezeigt, unter welchem sich der Endbenutzer einträgt. Das System zeigt keine Fehlermeldung an.
Wählen Sie eine der folgenden Vorgehensweisen aus:
Wenn die Clientcomputer Zugriff auf das CDN haben, brauchen Sie nichts unternehmen. Die Self-Service-Portal-Konfiguration ist abgeschlossen.
Wenn die Clientcomputer keinen Zugriff auf das CDN haben, führen Sie die unter So konfigurieren Sie das Self-Service-Portal, wenn die Client-Computer nicht auf das Netzwerk für die Inhaltsübermittlung von Microsoft zugreifen können aufgeführten Schritte aus.
Haben Sie einen Vorschlag für MBAM? Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab.
Haben Sie Probleme mit MBAM? Nutzen Sie das MBAM-TechNet-Forum.
Siehe auch
Aufgaben
Konzepte
Serverereignisprotokolle
Überprüfen der Konfiguration der MBAM 2.5-Serverfunktionen
Weitere Ressourcen
Konfigurieren der Serverfunktionen von MBAM 2.5
Anpassen des Self-Service-Portals für Ihre Organisation