Share via

Vorgehensweise beim Installieren und Konfigurieren von MBAM auf einem einzelnen Server

  • Artikel

Letzte Aktualisierung: November 2012

Betrifft: Microsoft BitLocker Administration and Monitoring 1.0

In diesem Thema werden die Vorgehensweisen bei einer vollständigen Installation der Funktionen von Microsoft BitLocker-Administration und Überwachung (MBAM) auf einem einzelnen Server beschrieben.

Für jede der Serverfunktionen gelten bestimmte Voraussetzungen. Anhand der Informationen unter Bereitstellungsvoraussetzungen für MBAM 1.0 und MBAM 1.0 – Unterstützte Konfigurationen können Sie überprüfen, ob alle Voraussetzungen und die Hardware- und Softwareanforderungen erfüllt sind. Bei einigen Funktionen müssen Sie während des Installationsprozesses zudem auch Informationen angeben, damit sie erfolgreich bereitgestellt werden können. Bevor Sie mit der Bereitstellung von MBAM beginnen, sollten Sie auch die Informationen unter Vorbereiten der Umgebung für MBAM 1.0 lesen.

Hinweis

Zum Abrufen der Setup-Protokolldateien müssen Sie MBAM mithilfe des msiexec-Pakets und der Option /l <Speicherort> installieren. Die Protokolldateien werden dann am angegebenen Speicherort erstellt.

Weitere Setup-Protokolldateien werden im Ordner „%temp%“ des Benutzers erstellt, der MBAM installiert.

Installieren der MBAM-Serverfunktionen auf einem einzelnen Server

In den nachfolgend aufgeführten Schritten wird die Installation der allgemeinen MBAM-Funktionen beschrieben.

Hinweis

Achten Sie darauf, dass Sie auf 32-Bit-Servern die 32-Bit-Setupdatei und auf 64-Bit-Servern die 64-Bit-Setupdatei verwenden.

So starten Sie die Installation der MBAM-Serverfunktionen

  1. Starten Sie den MBAM-Installations-Assistenten. Klicken Sie auf der Startseite auf Installieren.

  2. Lesen und akzeptieren Sie die Microsoft-Software-Lizenzbedingungen, und klicken Sie dann auf Weiter, um die Installation fortzusetzen.

  3. Standardmäßig sind alle MBAM-Funktionen zur Installation ausgewählt. Funktionen, die auf demselben Computer installiert werden sollen, müssen zugleich installiert werden. Deaktivieren Sie die Funktionen, die Sie an anderer Stelle installieren möchten. Sie müssen die MBAM-Funktionen in der folgenden Reihenfolge installieren:

    • Wiederherstellungs- und Hardwaredatenbank

    • Kompatibilitäts- und Überwachungsdatenbank

    • Kompatibilitäts- und Überwachungsberichte

    • Administration and Monitoring-Server

    • MBAM-Gruppenrichtlinienvorlage

    Hinweis

    Vom Installations-Assistenten werden die Installationsvoraussetzungen überprüft und nicht erfüllte Voraussetzungen angezeigt. Wenn alle Voraussetzungen erfüllt sind, wird die Installation fortgesetzt. Wenn eine nicht erfüllte Voraussetzung erkannt wurde, müssen Sie das Problem beheben und auf Voraussetzungen erneut überprüfen klicken. Wenn alle Voraussetzungen erfüllt sind, wird die Installation fortgesetzt.

  4. Sie werden aufgefordert, die Netzwerkkommunikationssicherheit zu konfigurieren. Von MBAM kann die Kommunikation zwischen der Wiederherstellungs- und Hardwaredatenbank, dem Administration and Monitoring-Server und den Clients verschlüsselt werden. Wenn Sie sich für das Verschlüsseln der Kommunikation entscheiden, werden Sie aufgefordert, das von der Zertifizierungsstelle ausgestellte Zertifikat für die Verschlüsselung auszuwählen.

  5. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  6. Vom MBAM-Setup-Assistenten werden die Installationsseiten für die ausgewählten Funktionen angezeigt.

So stellen Sie die MBAM-Serverfunktionen bereit

  1. Geben Sie im Fenster Konfigurieren der Wiederherstellungs- und Hardwaredatenbank die SQL Server-Instanz und den Namen der Datenbank an, in der die Wiederherstellungs- und Hardwaredaten gespeichert werden. Sie müssen auch den Speicherort für die Datenbankdateien und den Speicherort für die Protokollinformationen angeben.

  2. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  3. Geben Sie im Fenster Konfigurieren der Kompatibilitäts- und Überwachungsdatenbank die SQL Server-Instanz und den Namen der Datenbank an, in der die Kompatibilitäts- und Überwachungsdaten gespeichert werden. Geben Sie dann den Speicherort für die Datenbankdateien und den Speicherort für die Protokollinformationen an.

  4. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  5. Geben Sie im Fenster Kompatibilitäts- und Überwachungsberichte die zu verwendende Berichtsdienstinstanz und ein Domänenbenutzerkonto für den Zugriff auf die Datenbank an. Das Benutzerkonto sollte eigens für diesen Zweck bereitgestellt sein. Mit dem Konto muss auf alle Daten zugegriffen werden können, die für die Gruppe der MBAM-Berichtsbenutzer verfügbar sind.

  6. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  7. Geben Sie im Fenster Konfigurieren des Administration and Monitoring-Servers die Portnummer, Hostname (optional) und den Installationspfad für den MBAM-Administration and Monitoring-Server ein.

    Warnung

    Bei der angegebenen Portnummer muss es sich um eine nicht verwendete Portnummer des Administration and Monitoring-Servers handeln, sofern kein eindeutiger Hostheadername angegeben wird.

  8. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

  9. Geben Sie an, ob für die Sicherheit des Computers Microsoft Update verwendet werden soll, und klicken Sie auf Weiter. Durch die Microsoft Update-Option werden nicht die automatischen Updates in Windows aktiviert.

  10. Wenn vom Setup-Assistenten die Informationen gesammelt wurden, die für die Funktionen erforderlich sind, kann die MBAM-Installation gestartet werden. Klicken Sie auf Zurück, um durch den Assistenten zu blättern und Installationseinstellungen zu überprüfen oder zu ändern. Klicken Sie auf Installieren, um die Installation zu starten. Klicken Sie auf Abbrechen, um Setup zu beenden. Von Setup werden die MBAM-Funktionen installiert. Wenn die Installation abgeschlossen ist, werden Sie benachrichtigt.

  11. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.

  12. Nachdem Sie die MBAM-Serverfunktionen installiert haben, müssen Sie Benutzer zu den MBAM-Rollen hinzufügen. Weitere Informationen finden Sie unter Planen der Administratorrollen für MBAM 1.0.

So konfigurieren Sie die MBAM-Funktionen nach der Installation

  1. Nachdem Setup abgeschlossen wurde, müssen Sie Benutzerrollen hinzufügen, damit Sie Benutzern den Zugriff auf Funktionen der MBAM-Verwaltungswebsite gewähren können. Fügen Sie auf dem Administration and Monitoring-Server Benutzer zu den folgenden lokalen Gruppen hinzu:

    • MBAM Hardware Users: Mitglieder in dieser lokalen Gruppe können auf die Funktion „Hardware“ auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Hardwarebenutzer).

    • MBAM Helpdesk Users: Mitglieder in dieser lokalen Gruppe können auf die Funktionen „Laufwerkswiederherstellung“ und „TPM verwalten“ auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Helpdeskbenutzer). Alle Felder unter „Laufwerkswiederherstellung“ bzw. „TPM verwalten“ müssen ausgefüllt werden.

    • MBAM Advanced Helpdesk Users: Mitglieder in dieser lokalen Gruppe verfügen über erweiterten Zugriff auf die Funktionen „Laufwerkswiederherstellung“ und „TPM verwalten“ auf der MBAM-Verwaltungswebsite (MBAM-Helpdeskbenutzer (erweitert)). Unter „Laufwerkswiederherstellung“ muss nur das Feld „Schlüssel-ID“ ausgefüllt werden. Unter „TPM verwalten“ sind nur die Felder „Computerdomäne“ und „Computername“ erforderlich.

  2. Fügen Sie auf dem Administration and Monitoring-Server, für die Kompatibilitäts- und Überwachungsdatenbank und auf dem Computer, auf dem die Kompatibilitäts- und Überwachungsberichte gehostet werden, Benutzer zu der folgenden lokalen Gruppe hinzu, damit sie auf die Berichtsfunktion auf der MBAM-Verwaltungswebsite zugreifen können:

    • MBAM Report Users: Mitglieder in dieser lokalen Gruppe können auf die Funktion „Berichte“ auf der MBAM-Verwaltungswebsite zugreifen (MBAM-Berichtsbenutzer).

    Hinweis

    Die Benutzer- oder Gruppenmitgliedschaft der lokalen Gruppe MBAM Report Users (MBAM-Berichtsbenutzer) muss auf allen Computern, auf denen die Administration and Monitoring-Serverfunktionen, die Kompatibilitäts- und Überwachungsdatenbank und die Kompatibilitäts- und Überwachungsberichte-Funktion installiert sind, stets identisch sein.

    Es ist empfehlenswert, eine Domänensicherheitsgruppe zu erstellen und diese zu der jeweiligen lokalen Gruppe der MBAM-Berichtsbenutzer hinzuzufügen, um identische Mitgliedschaften auf allen Computern sicherzustellen. Auf diese Weise können Sie die Gruppenmitgliedschaften mithilfe der Domänengruppe verwalten.

Überprüfen der Installation von MBAM-Serverfunktionen

Überprüfen Sie nach Abschluss der MBAM-Installation, ob alle MBAM-Funktionen, die für die BitLocker-Verwaltung erforderlich sind, bei der Installation erfolgreich eingerichtet wurden. Überprüfen Sie mithilfe der nachfolgend aufgeführten Schritte, ob der MBAM-Dienst funktionsfähig ist.

So überprüfen Sie die Installation der MBAM-Serverfunktionen

  1. Öffnen Sie auf jedem Server, auf dem eine MBAM-Funktion bereitgestellt wurde, die Systemsteuerung. Klicken Sie auf Programme und dann auf Programme und Funktionen. Überprüfen Sie, ob Microsoft BitLocker Administration and Monitoring in der Liste der Programme und Funktionen aufgeführt ist.

    Hinweis

    Zum Überprüfen der Installation müssen Sie ein Domänenkonto verwenden, das auf jedem Server über lokale Administratoranmeldeinformationen für den Computer verfügt.

  2. Öffnen Sie auf dem Server, auf dem die Wiederherstellungs- und Hardwaredatenbank installiert wurde, SQL Server Management Studio, und überprüfen Sie, ob die Datenbank MBAM Recovery and Hardware installiert ist.

  3. Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsdatenbank installiert wurde, SQL Server Management Studio, und überprüfen Sie, ob die Datenbank MBAM Compliance and Audit Database installiert ist.

  4. Öffnen Sie auf dem Server, auf dem die Kompatibilitäts- und Überwachungsberichte-Funktion installiert wurde, einen Webbrowser mit Administratorrechten, und rufen Sie die Startseite der SQL Server Reporting Services-Website (SRS-Website) auf.

    Die Standard-URL für die Startseite einer SRS-Website-Instanz lautet folgendermaßen: http://<NameMBAMBerichtsserver>/Reports. Verwenden Sie den Konfigurations-Manager für Reporting Services, und wählen Sie die während des Setups angegebenen Instanzen aus, um die tatsächlich verwendete URL zu finden.

    Überprüfen Sie, ob ein Ordner mit dem Namen Malta BitLocker Management Solution aufgeführt wird und dieser fünf Berichte und eine Datenquelle enthält.

    Hinweis

    Wenn SQL Server Reporting Services als benannte Instanz konfiguriert wurde, sollte die URL folgendermaßen lauten: http://<NameMBAMBerichtsserver>/Reports_<SRSInstanzname>

  5. Führen Sie auf dem Server, auf dem die Administration and Monitoring-Funktion installiert wurde, den Server-Manager aus, navigieren Sie zu Rollen, wählen Sie Webserver (IIS) aus, und klicken Sie auf Internetinformationsdienste-Manager.

  6. Navigieren Sie unter Verbindungen zu <Computername>, und wählen Sie Standorte und dann Microsoft BitLocker Administration and Monitoring aus. Überprüfen Sie, ob MBAMAdministrationService, MBAMComplianceStatusService und MBAMRecoveryAndHardwareService aufgeführt sind.

  7. Öffnen Sie auf dem Server, auf dem die Administration and Monitoring-Funktion installiert wurde, einen Webbrowser mit Administratorrechten, und überprüfen Sie, ob die folgenden URLs der MBAM-Website erfolgreich aufgerufen werden können:

    • http://<Computername>/default.aspx (Überprüfen Sie auch alle Links für die Navigation und die Berichte.)

    • http://<Computername>/MBAMAdministrationService/AdministrationService.svc

    • http://<Computername>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<Computername>/MBAMRecoveryAndHardwareService/CoreService.svc

    Hinweis

    In der Regel werden die Dienste ohne Netzwerkverschlüsselung mit dem Standardport 80 installiert. Wenn die Dienste für einen anderen Port installiert wurden, müssen Sie zusätzlich den entsprechenden Port in die URL aufnehmen, z. B.: http://<Computername>:<Port>/default.aspx oder http://<Hostheadername>/default.aspx.

    Wenn die Dienste mit Netzwerkverschlüsselung installiert wurden, ersetzen Sie „http://“ durch „https://“.

Siehe auch

Andere Ressourcen

Bereitstellen der Serverinfrastruktur von MBAM 1.0

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----