Auswerten von MBAM 1.0
Letzte Aktualisierung: November 2012
Betrifft: Microsoft BitLocker Administration and Monitoring 1.0
Vor dem Bereitstellen von Microsoft BitLocker-Administration und Überwachung (MBAM) in einer Produktionsumgebung sollten Sie eine Auswertung in einer Testumgebung durchführen. Mithilfe der Informationen in diesem Thema können Sie MBAM nur zu Auswertungszwecken in einer Testumgebung mit einem einzelnen Server einrichten.
Die Schritte für die tatsächliche Bereitstellung unterscheiden sich nur geringfügig von dem unter Vorgehensweise beim Installieren und Konfigurieren von MBAM auf einem einzelnen Server beschriebenen Szenario. Dieses Thema enthält zusätzliche Informationen zum Einrichten einer MBAM-Auswertungsumgebung in kürzester Zeit.
Einrichten der Testumgebung
Auch beim Einrichten einer Nichtproduktionsinstanz von MBAM zur Auswertung in einer Testumgebung sollten Sie überprüfen, ob die Voraussetzungen für die Bereitstellung und die Hardware- und Softwareanforderungen erfüllt sind. Weitere Informationen finden Sie unter Bereitstellungsvoraussetzungen für MBAM 1.0 und MBAM 1.0 – Unterstützte Konfigurationen. Bevor Sie mit der Bereitstellung von MBAM für die Auswertung beginnen, sollten Sie auch die Informationen unter Vorbereiten der Umgebung für MBAM 1.0 lesen.
Planen einer Bereitstellung von MBAM zur Auswertung
Aufgabe | Referenzen | Notizen | |
---|---|---|---|
Lesen Sie die Informationen unter „Erste Schritte mit MBAM“, um vor Beginn der Bereitstellungsplanung grundlegende Kenntnisse des Produkts zu erwerben. |
|||
Bereiten Sie die Computerumgebung für die Installation von MBAM vor. Dazu müssen Sie für die SQL Server-Instanzen, von denen die MBAM-Datenbanken gehostet werden sollen, die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) aktivieren. Zum Aktivieren von TDE in der Testumgebung können Sie eine SQL-Datei erstellen und diese für die Masterdatenbank der SQL Server-Instanz ausführen, die von MBAM verwendet werden soll. Hinweis Sie können das nachfolgend dargestellte Beispiel verwenden, um eine SQL-Datei für die Testumgebung zu erstellen und auf schnelle Weise TDE für die SQL Server-Instanz zu aktivieren, von der die MBAM-Datenbanken gehostet werden sollen. Durch die SQL Server-Befehle wird TDE mithilfe eines lokal signierten SQL Server-Zertifikats aktiviert. Sichern Sie das TDE-Zertifikat und den zugeordneten Verschlüsselungsschlüssel unter dem im Beispiel verwendeten lokalen Sicherungspfad C:\Backup</EM>. Das TDE-Zertifikat und der Schlüssel werden benötigt, um die Datenbank wiederherzustellen oder das Zertifikat und den Schlüssel auf einen anderen Server mit TDE-Verschlüsselung zu verschieben.
|
|||
Planen und konfigurieren Sie die Gruppenrichtlinienanforderungen für MBAM. |
|||
Planen und erstellen Sie die erforderlichen Active Directory-Domänendienste-Sicherheitsgruppen, und planen Sie die Anforderungen für die Mitgliedschaften in lokalen Sicherheitsgruppen für MBAM. |
|||
Planen Sie die Bereitstellung der MBAM-Serverfunktionen. |
|||
Planen Sie die Bereitstellung der MBAM-Clients. |
Bereitstellen von MBAM zur Auswertung
Wenn Sie die erforderliche Planung und Installation von Softwarevoraussetzungen abgeschlossen haben, um die Computerumgebung für eine MBAM-Installation vorzubereiten, können Sie mit dem Bereitstellen von MBAM für die Auswertung beginnen.
Überprüfen Sie die Informationen zu unterstützten Konfigurationen für MBAM, und stellen Sie sicher, dass die Client- und Servercomputer unterstützt werden, die Sie für die Installation von MBAM-Funktionen ausgewählt haben. |
|||
Führen Sie MBAM-Setup aus, um die MBAM-Serverfunktionen zu Auswertungszwecken auf einem einzelnen Server bereitzustellen. |
Vorgehensweise beim Installieren und Konfigurieren von MBAM auf einem einzelnen Server |
||
Fügen Sie die Sicherheitsgruppen, die während der Planungsphase in Active Directory-Domänendienste erstellt wurden, zu den entsprechenden lokalen Gruppen für MBAM-Serverfunktionen auf dem neuen MBAM-Server hinzu. |
Planen der Administratorrollen für MBAM 1.0 und Vorgehensweise beim Verwalten von MBAM Administratorrollen |
||
Erstellen Sie die erforderlichen MBAM-Gruppenrichtlinienobjekte, und stellen Sie diese bereit. |
|||
Stellen Sie die MBAM-Clientsoftware bereit. |
Konfigurieren von Testcomputern für die Auswertung von MBAM
Sie können mithilfe des Registrierungs-Editors die Frequenzeinstellungen für Statusberichte von MBAM-Clients ändern. Diese Änderungen sollten jedoch nur für Testzwecke verwendet werden.
Warnung
In diesem Thema wird beschrieben, wie Sie die Windows-Registrierung mit dem Registrierungs-Editor ändern. Wenn Sie die Windows-Registrierung fehlerhaft ändern, kann dies schwere Probleme verursachen, die es erforderlich machen könnten, Windows neu zu installieren. Bitte beachten Sie: Sie sollten eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen, bevor Sie die Registrierung bearbeiten. Microsoft kann nicht dafür garantieren, dass die bei einer Änderung der Registrierung eventuell auftretenden Probleme gelöst werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.
Ändern der Frequenzeinstellungen für Statusberichte von MBAM-Clients
Die Frequenzeinstellungen für die Aktivierung und die Statusberichte von MBAM-Clients sind auf mindestens 90 Minuten festgelegt, wenn für diese die Gruppenrichtlinie gilt. Sie können die Frequenzeinstellungen auf MBAM-Clientcomputern ändern, um das Testen zu beschleunigen, indem Sie die entsprechenden Werte in der Windows-Registrierung bearbeiten. Navigieren Sie dazu mithilfe eines Registrierungs-Editors zu HKLM\Software\Policies\FVE\MDOPBitLockerManagement, ändern Sie die Werte für ClientWakeupFrequency und StatusReportingFrequency auf den niedrigsten von Clients unterstützten Wert 1, und starten Sie dann den BitLocker Management Client-Dienst neu. Nach dieser Änderung wird vom MBAM-Client jede Minute ein Bericht erstellt. Entsprechend niedrige Werte können nur manuell in der Registrierung festgelegt werden.
Ändern der Startverzögerung für den MBAM-Clientdienst
Neben den Frequenzeinstellungen für die Aktivierung und die Statusberichte von MBAM-Clients wird das Starten des MBAM-Client-Agent-Diensts auf Clientcomputern um eine zufällige Dauer von bis zu 90 Minuten verzögert. Wenn die zufällige Verzögerung nicht erwünscht ist, erstellen Sie unter HKLM\Software\Microsoft\MBAM einen DWORD-Wert mit dem Namen NoStartupDelay, legen Sie dessen Wert auf 1 fest, und starten Sie den BitLocker Management Client-Dienst neu.
Siehe auch
Andere Ressourcen
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----