So konfigurieren Sie die MBAM 2.5-Webanwendungen
In diesem Thema wird erläutert, wie Sie die Microsoft BitLocker Administration and Monitoring (MBAM) 2.5-Webanwendungen für die empfohlene High-Level-Architektur für MBAM 2.5 mithilfe einer der folgenden Methoden konfigurieren:
Ein Windows PowerShell-Cmdlet
Der Assistent für die MBAM-Serverkonfiguration
Die Webanwendungen umfassen die folgenden Websites und die entsprechenden Webdienste:
Webseite | Beschreibung |
---|---|
Verwaltungs- und Überwachungswebsite |
Website, auf der bestimmte Benutzer Berichte anzeigen und Endbenutzern helfen können, ihre Computer wiederherzustellen, wenn sie ihre PIN oder ihr Kennwort vergessen |
Self-Service Portal |
Website, auf die Endbenutzer zugreifen können, um unabhängig wieder Zugriff auf ihre Computer zu erhalten, wenn sie ihre PIN oder ihr Kennwort vergessen |
Bevor Sie die Konfiguration starten:
Schritt | Wo erhalten Sie Anweisungen? |
---|---|
Überprüfen Sie die empfohlene Architektur für MBAM. |
|
Überprüfen Sie die unterstützten Konfigurationen für MBAM. |
|
Erfüllen Sie die erforderlichen Voraussetzungen auf jedem Server.
Hinweis
Stellen Sie sicher, dass Sie SQL ServerReporting Services (SSRS) so konfigurieren, dass SSL (Secure Sockets Layer) verwendet wird, bevor Sie die Verwaltungs- und Überwachungswebsite konfigurieren. Andernfalls verwendet das Berichtsfeature HTTP anstelle von HTTPS. |
|
Registrieren Sie Dienstprinzipalnamen (SERVICE Principal Names, SPNs) für das Anwendungspoolkonto für die Websites. Sie müssen diesen Schritt nur ausführen, wenn Sie nicht über Administratordomänenrechte in Active Directory Domain Services (AD DS) verfügen. Wenn Sie diese Rechte in AD DS haben, erstellt MBAM die SPNs für Sie. |
|
Installieren Sie die MBAM-Serversoftware auf jedem Server, auf dem Sie ein MBAM-Serverfeature konfigurieren.
Hinweis
Wenn Sie die Websites auf einem Server und die Webdienste auf einem anderen installieren möchten, können Sie sie nur mithilfe des Cmdlets Enable-MbamWebApplication Windows PowerShell konfigurieren. Der Assistent für die MBAM-Serverkonfiguration unterstützt das Konfigurieren dieser Elemente auf separaten Servern nicht. |
|
Überprüfen Sie die Voraussetzungen für die Verwendung von Windows PowerShell, wenn Sie die Konfiguration von MBAM-Serverfeatures mithilfe von Cmdlets planen. |
Konfigurieren von MBAM 2.5 Serverfunktionen mithilfe von Windows PowerShell |
So konfigurieren Sie die Webanwendungen mithilfe von Windows PowerShell
Bevor Sie mit der Konfiguration beginnen, lesen Sie das Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell, um die Voraussetzungen für die Verwendung von Windows PowerShell zu überprüfen.
Verwenden Sie das Cmdlet Enable-MbamWebApplication, um die Webanwendungen mithilfe von Windows PowerShell zu konfigurieren. Um Informationen zu diesem Cmdlet abzurufen, geben Sie "Get-Help Enable-MbamWebApplication" ein.
So konfigurieren Sie die Einstellungen für alle Webanwendungen mithilfe des Assistenten
Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den Assistenten für die MBAM-Serverkonfiguration. Sie können die MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.
Klicken Sie auf "Neue Features hinzufügen", wählen Sie "Verwaltungs- und Überwachungswebsite " und " Self-Service-Portal" aus, und klicken Sie dann auf "Weiter". Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.
Wenn die Voraussetzungsprüfung erfolgreich ist, klicken Sie auf "Weiter ", um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und klicken Sie dann erneut auf "Voraussetzungen überprüfen".
Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben.
Feld Beschreibung Sicherheitszertifikat
Wählen Sie ein zuvor erstelltes Zertifikat aus, um optional die Kommunikation zwischen den Webdiensten und dem Server zu verschlüsseln, auf dem Sie die Websites konfigurieren. Wenn Sie " Kein Zertifikat verwenden" auswählen, ist Ihre Webkommunikation möglicherweise nicht sicher.
Hostname
Name des Hostcomputers, auf dem Sie die Websites konfigurieren.
Installationspfad
Pfad, in dem Sie die Websites installieren.
Port
Portnummer, die für die Website- und Dienstkommunikation verwendet werden soll.
HinweisSie müssen eine Firewall-Ausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
Domänenkonto und Kennwort des Webdienstanwendungspools
Domänenbenutzerkonto und Kennwort für den Webdienstanwendungspool.
Wenn Sie auf der Seite "Datenbanken konfigurieren" einen Benutzernamen in das Domänenbenutzer- oder Gruppenfeld für den Lese-/Schreibzugriff eingeben, müssen Sie in diesem Feld denselben Wert eingeben.
Wenn Sie einen Gruppennamen in das Domänenbenutzer- oder Gruppenfeld "Lese-/Schreibzugriff " auf der Seite "Datenbanken konfigurieren " eingeben, muss der wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein.
Wenn Sie keine Anmeldeinformationen angeben, werden die Anmeldeinformationen verwendet, die für eine zuvor aktivierte Webanwendung angegeben wurden. Alle Webanwendungen müssen dieselben Anmeldeinformationen für den Anwendungspool verwenden. Wenn Sie unterschiedliche Anmeldeinformationen für verschiedene Webanwendungen angeben, wird der zuletzt angegebene Wert verwendet.
WichtigUm die Sicherheit zu verbessern, legen Sie das in den Anmeldeinformationen angegebene Konto so fest, dass es über eingeschränkte Benutzerrechte verfügt. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft.
Stellen Sie sicher, dass das integrierte IIS_IUSRS-Konto oder das Anwendungspoolkonto nach der Authentifizierung und den lokalen Sicherheitseinstellungen für den Batchauftrag zum Identitätswechsel eines Clients hinzugefügt wurde.
Um zu überprüfen, ob es zu den lokalen Sicherheitseinstellungen hinzugefügt wurde, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten "Lokale Richtlinien ", klicken Sie auf den Knoten " Benutzerberechtigungszuweisung ", und doppelklicken Sie nach der Authentifizierung auf "Identität eines Clients annehmen", und melden Sie sich als Batchauftragsrichtlinien im rechten Bereich an.
So konfigurieren Sie Verbindungsinformationen für die Datenbanken mithilfe des Assistenten
Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Compliance- und Überwachungsdatenbank zu konfigurieren.
Feld Beschreibung SQL Server Namen
Name des Servers, auf dem die Konformitäts- und Überwachungsdatenbank konfiguriert ist.
SQL Server Datenbankinstanz
SQL Server Instanzname, in dem die Compliance- und Überwachungsdatenbank konfiguriert ist.
Datenbankname
Name der Compliance- und Überwachungsdatenbank.
Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.
Feld Beschreibung SQL Server Namen
Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert ist.
SQL Server Datenbankinstanz
SQL Server Instanzname, in dem die Wiederherstellungsdatenbank konfiguriert ist.
Datenbankname
Name der Wiederherstellungsdatenbank.
So konfigurieren Sie die Webanwendungen mithilfe des Assistenten
Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben, um die Verwaltungs- und Überwachungswebsite zu konfigurieren.
Feld Beschreibung Erweiterte Helpdesk-Rollendomänengruppe
Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs haben.
Helpdesk-Rollendomänengruppe
Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche "TPM verwalten " und " Laufwerkwiederherstellung" der Verwaltungs- und Überwachungswebsite haben.
Verwenden System Center Configuration Manager Integration
Aktivieren Sie dieses Kontrollkästchen, wenn Sie MBAM mit der Configuration Manager Integrationstopologie konfigurieren. Wenn Sie dieses Kontrollkästchen aktivieren, werden alle Berichte mit Ausnahme des Wiederherstellungsüberwachungsberichts in Configuration Manager anstelle der Verwaltungs- und Überwachungswebsite angezeigt.
Berichtsrollendomänengruppe
Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf den Berichtsbereich der Verwaltungs- und Überwachungswebsite haben.
SQL Server Reporting Services-URL
URL für den SSRS-Server, auf dem die MBAM-Berichte konfiguriert sind.
Beispiele für Berichts-URLs:
Hostnamentyp Beispiel Beispiel mit einem vollqualifizierten Domänennamen
https://MyReportServer.Contoso.com/ReportServer
Beispiel mit einem benutzerdefinierten Hostnamen
https://MyReportServer/ReportServer
Virtuelles Verzeichnis
Virtuelles Verzeichnis der Verwaltungs- und Überwachungswebsite. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B.:
http(s)://<hostname>:<port>/HelpDesk/
Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert HelpDesk verwendet.
Rollendomänengruppe "Datenmigration " (optional)
Domänenbenutzergruppe, deren Mitglieder Zugriff haben, um die Write-Mbam*Information-Cmdlets zum Schreiben von Wiederherstellungsinformationen über diesen Endpunkt zu verwenden.
Verwenden Sie die folgende Beschreibung, um die Feldwerte im Assistenten zum Konfigurieren des Self-Service Portals einzugeben.
Feld Beschreibung Virtuelles Verzeichnis
Virtuelles Verzeichnis der Webanwendung. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B.:
http(s)://<hostname>:<port>/SelfService/
Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert SelfService verwendet.
Name des Unternehmens
Geben Sie einen Firmennamen für das Self-Service Portal an, z. B.:
Contoso IT
Dieser Firmenname wird von allen Self-Service Portalbenutzern angezeigt.
Helpdesk-URL-Text
Geben Sie eine Texterklärung an, die Benutzer zur Helpdesk-Website Ihrer Organisation leitet, z. B.:
Helpdesk oder IT-Abteilung kontaktieren
Helpdesk-URL
Geben Sie die URL für die Helpdesk-Website Ihrer Organisation an, z. B.:
http(s)://<companyHelpdeskURL>/
Beachten Sie die Textdatei
Wählen Sie auf der Startseite des Self-Service Portals eine Datei aus, die die Benachrichtigung enthält, die Benutzern angezeigt werden soll.
Benutzern keinen Hinweistext anzeigen
Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass der Hinweistext benutzern nicht angezeigt wird.
Wenn Sie Ihre Einträge fertig stellen, klicken Sie auf "Weiter".
Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.
Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
Überprüfen Sie auf der Seite "Zusammenfassung " die Features, die hinzugefügt werden.
Hinweis
Wenn Sie ein Windows PowerShell Skript für die von Ihnen erstellten Einträge erstellen möchten, klicken Sie auf "PowerShell-Skript exportieren", und speichern Sie das Skript.Klicken Sie auf "Hinzufügen" , um die Webanwendungen zum Server hinzuzufügen, und klicken Sie dann auf "Schließen".
Informationen zum Anpassen des Self-Service Portals durch Hinzufügen von benutzerdefiniertem Hinweistext, Ihrem Firmennamen, Zeigern auf weitere Informationen usw. finden Sie unter Anpassen des Self-Service Portals für Ihre Organisation.
So konfigurieren Sie das Self-Service Portal, wenn Clientcomputer nicht auf das CDN zugreifen können
Ermitteln Sie, ob Sie Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 ausführen. Wenn ja, tun Sie nichts. Die Konfiguration des Self-Service Portals ist abgeschlossen.
Hinweis
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installiert die JavaScript-Dateien im Setup und muss daher nicht mit dem Microsoft Ajax Content Delivery Network verbunden sein, um das Self-Service Portal zu konfigurieren. Die folgenden Schritte sind nur erforderlich, wenn Sie eine Version von Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 vor SP1 verwenden.Ermitteln Sie, ob Ihre Clientcomputer Zugriff auf das Microsoft Ajax Content Delivery Network (CDN) haben.
Das CDN gibt dem Self-Service Portal den Zugriff, den es für bestimmte JavaScript-Dateien benötigt. Wenn Sie das Self-Service Portal nicht konfigurieren, wenn Clientcomputer nicht auf das CDN zugreifen können, werden nur der Firmenname und das Konto angezeigt, unter dem sich der Endbenutzer angemeldet hat. Es wird keine Fehlermeldung angezeigt.
Führen Sie eine der folgenden Aktionen aus:
Wenn Ihre Clientcomputer Zugriff auf das CDN haben, tun Sie nichts. Die Konfiguration des Self-Service Portals ist abgeschlossen.
Wenn Ihre Clientcomputer keinen Zugriff auf das CDN haben, führen Sie die Schritte unter So konfigurieren Sie das Self-Service Portal aus, wenn Clientcomputer nicht auf das Microsoft Content Delivery Network zugreifen können.
Verwandte Themen
Konfigurieren der MBAM 2.5-Serverfunktionen
Anpassen des Self-Service-Portals für Ihre Organisation
Überprüfen der Konfiguration von MBAM 2.5 Serverfunktionen
Haben Sie einen Vorschlag für MBAM?
Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.