Einrichten von BitLocker-Portalen

Gilt für: Configuration Manager (Current Branch)

Um die folgenden BitLocker-Verwaltungskomponenten in Configuration Manager verwenden zu können, müssen Sie sie zuerst installieren:

• Self-Service-Portal für Benutzer
• Verwaltungs- und Überwachungswebsite (Helpdesk-Portal)

Sie können die Portale auf einem vorhandenen Standortserver oder Standortsystemserver installieren, auf dem IIS installiert ist, oder sie mithilfe eines eigenständigen Webservers hosten.

Hinweis

Ab Version 2006 können Sie das BitLocker-Self-Service-Portal und die Verwaltungs- und Überwachungswebsite am Standort der zentralen Verwaltung installieren.

Installieren Sie in Version 2002 und früher nur das Self-Service-Portal und die Verwaltungs- und Überwachungswebsite mit einer primären Standortdatenbank. Installieren Sie diese Websites in einer Hierarchie für jeden primären Standort.

Bevor Sie beginnen, überprüfen Sie die Voraussetzungen für diese Komponenten.

Ausführen des Skripts

Führen Sie auf dem Zielwebserver die folgenden Aktionen aus:

Hinweis

Je nach Websitedesign müssen Sie das Skript möglicherweise mehrmals ausführen. Führen Sie beispielsweise das Skript auf dem Verwaltungspunkt aus, um die Verwaltungs- und Überwachungswebsite zu installieren. Führen Sie ihn dann erneut auf einem eigenständigen Webserver aus, um das Self-Service-Portal zu installieren.

1. Kopieren Sie die folgenden Dateien aus SMSSETUP\BIN\X64 dem Configuration Manager Installationsordner auf dem Standortserver in einen lokalen Ordner auf dem Zielserver:

   • MBAMWebSite.cab
   • MBAMWebSiteInstaller.ps1

2. Führen Sie PowerShell als Administrator aus, und führen Sie dann das Skript ähnlich der folgenden Befehlszeile aus:

   .\MBAMWebSiteInstaller.ps1 -SqlServerName <ServerName> -SqlInstanceName <InstanceName> -SqlDatabaseName <DatabaseName> -ReportWebServiceUrl <ReportWebServiceUrl> -HelpdeskUsersGroupName <DomainUserGroup> -HelpdeskAdminsGroupName <DomainUserGroup> -MbamReportUsersGroupName <DomainUserGroup> -SiteInstall Both
   

   Beispiel:

   .\MBAMWebSiteInstaller.ps1 -SqlServerName sql.contoso.com -SqlInstanceName instance1 -SqlDatabaseName CM_ABC -ReportWebServiceUrl https://rsp.contoso.com/ReportServer -HelpdeskUsersGroupName "contoso\BitLocker help desk users" -HelpdeskAdminsGroupName "contoso\BitLocker help desk admins" -MbamReportUsersGroupName "contoso\BitLocker report users" -SiteInstall Both
   

   Wichtig

   In dieser Beispielbefehlszeile werden alle möglichen Parameter verwendet, um deren Verwendung anzuzeigen. Passen Sie Ihren Einsatz an Ihre Anforderungen in Ihrer Umgebung an.

Greifen Sie nach der Installation über die folgenden URLs auf die Portale zu:

• Self-Service-Portal: https://webserver.contoso.com/SelfService
• Verwaltungs- und Überwachungswebsite: https://webserver.contoso.com/HelpDesk

Hinweis

Microsoft empfiehlt, erfordert jedoch nicht die Verwendung von HTTPS. Weitere Informationen finden Sie unter Einrichten von SSL in IIS.

Skriptverwendung

Bei diesem Prozess wird ein PowerShell-Skript (MBAMWebSiteInstaller.ps1) verwendet, um diese Komponenten auf dem Webserver zu installieren. Sie akzeptiert die folgenden Parameter:

• -SqlServerName <ServerName> (erforderlich): Der vollqualifizierte Domänenname des primären Standortdatenbankservers.

• -SqlInstanceName <InstanceName>: Der SQL Server Instanzname für die primäre Standortdatenbank. Wenn SQL Server die Standardinstanz verwendet, schließen Sie diesen Parameter nicht ein.

• -SqlDatabaseName <DatabaseName> (erforderlich): Der Name der primären Standortdatenbank, z. B CM_ABC. .

• -ReportWebServiceUrl <ReportWebServiceUrl>: Die Webdienst-URL des Berichtsdienstpunkts des primären Standorts. Dies ist der Wert der Webdienst-URL in Reporting Services Configuration Manager.

  Hinweis

  Dieser Parameter dient zum Installieren des Wiederherstellungsüberwachungsberichts , der über die Verwaltungs- und Überwachungswebsite verknüpft ist. Standardmäßig enthält Configuration Manager die anderen BitLocker-Verwaltungsberichte.

• -HelpdeskUsersGroupName <DomainUserGroup>: Beispiel: contoso\BitLocker help desk users. Eine Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der Verwaltungs- und Überwachungswebsite haben. Wenn Sie diese Optionen verwenden, muss diese Rolle alle Felder ausfüllen, einschließlich der Domäne und des Kontonamens des Benutzers.

• -HelpdeskAdminsGroupName <DomainUserGroup>: Beispiel: contoso\BitLocker help desk admins. Eine Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Wiederherstellungsbereiche der Verwaltungs- und Überwachungswebsite haben. Wenn Sie Benutzern bei der Wiederherstellung ihrer Laufwerke helfen, muss diese Rolle nur den Wiederherstellungsschlüssel eingeben.

• -MbamReportUsersGroupName <DomainUserGroup>: Beispiel: contoso\BitLocker report users. Eine Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf den Bereich Berichte der Verwaltungs- und Überwachungswebsite haben.

  Hinweis

  Das Installationsskript erstellt nicht die Domänenbenutzergruppen, die Sie in den Parametern -HelpdeskUsersGroupName, -HelpdeskAdminsGroupName und -MbamReportUsersGroupName angeben. Bevor Sie das Skript ausführen, stellen Sie sicher, dass Sie diese Gruppen erstellen.

  Wenn Sie die Parameter -HelpdeskUsersGroupName, -HelpdeskAdminsGroupName und -MbamReportUsersGroupName angeben, müssen Sie sowohl den Domänennamen als auch den Gruppennamen angeben. Verwenden Sie das Format "domain\user_group". Schließen Sie den Domänennamen nicht aus. Wenn der Domänen- oder Gruppenname Leerzeichen oder Sonderzeichen enthält, schließen Sie den Parameter in Anführungszeichen (") ein.

• -SiteInstall Both: Geben Sie an, welche der Komponenten installiert werden soll. Gültige Optionen sind:

  • Both: Beide Komponenten installieren
  • HelpDesk: Nur die Verwaltungs- und Überwachungswebsite installieren
  • SSP: Nur das Self-Service-Portal installieren

• -IISWebSite: Die Website, auf der das Skript die MBAM-Webanwendungen installiert. Standardmäßig wird die IIS-Standardwebsite verwendet. Erstellen Sie die benutzerdefinierte Website, bevor Sie diesen Parameter verwenden.

• -InstallDirectory: Der Pfad, in dem das Skript die Webanwendungsdateien installiert. Standardmäßig ist C:\inetpubdieser Pfad . Erstellen Sie das benutzerdefinierte Verzeichnis, bevor Sie diesen Parameter verwenden.

• -DomainNamegilt für Version 2002 und höher: Geben Sie den NetBIOS-Domänennamen des Servers mit der Rolle Helpdesk oder Self-Service-Webportal an. Nur erforderlich, wenn der NetBIOS-Domänenname nicht mit dem DNS-Domänennamen übereinstimmt. Diese Konfiguration wird auch als nicht zusammenhängender Domänennamespace bezeichnet. Beispiel: -DomainName fabrikham Der DNS-Domänenname lautet contoso.com.

• -Uninstall: Deinstalliert die Websites des BitLocker-Verwaltungs-Helpdesks/Self-Service-Portals auf einem Webserver, auf dem sie zuvor installiert wurden.

Überprüfen

Überwachen und Beheben von Problemen mithilfe der folgenden Protokolle:

• Windows-Ereignisprotokolle unter Microsoft-Windows-MBAM-Web. Weitere Informationen finden Sie unter Informationen zu BitLocker-Ereignisprotokollen und Serverereignisprotokollen.

• Ablaufverfolgungsprotokolle für jede Komponente befinden sich an den folgenden Standardspeicherorten:

  • Self-Service-Portal: C:\inetpub\Microsoft BitLocker Management Solution\Logs\Self Service Website

  • Verwaltungs- und Überwachungswebsite: C:\inetpub\Microsoft BitLocker Management Solution\Logs\Help Desk Website

Weitere Informationen zur Problembehandlung finden Sie unter Problembehandlung bei BitLocker.

Nächste Schritte

Anpassen des Self-Service-Portals

Weitere Informationen zur Verwendung der installierten Komponenten finden Sie in den folgenden Artikeln:

• Website für die BitLocker-Verwaltung und -Überwachung
• BitLocker-Self-Service-Portal