So konfigurieren Sie die MBAM 2.5-Webanwendungen

In diesem Thema wird erläutert, wie Sie die Microsoft BitLocker Administration and Monitoring (MBAM) 2.5-Webanwendungen für die empfohlene High-Level-Architektur für MBAM 2.5 mithilfe einer der folgenden Methoden konfigurieren:

• Ein Windows PowerShell-Cmdlet

• Der Assistent für die MBAM-Serverkonfiguration

Die Webanwendungen umfassen die folgenden Websites und die entsprechenden Webdienste:

Webseite	Beschreibung
Verwaltungs- und Überwachungswebsite	Website, auf der bestimmte Benutzer Berichte anzeigen und Endbenutzern helfen können, ihre Computer wiederherzustellen, wenn sie ihre PIN oder ihr Kennwort vergessen
Self-Service Portal	Website, auf die Endbenutzer zugreifen können, um unabhängig wieder Zugriff auf ihre Computer zu erhalten, wenn sie ihre PIN oder ihr Kennwort vergessen

Bevor Sie die Konfiguration starten:

Schritt	Wo erhalten Sie Anweisungen?
Überprüfen Sie die empfohlene Architektur für MBAM.	High-Level-Architektur für MBAM 2.5
Überprüfen Sie die unterstützten Konfigurationen für MBAM.	Von MBAM 2.5 unterstützte Konfigurationen
Erfüllen Sie die erforderlichen Voraussetzungen auf jedem Server. Hinweis Stellen Sie sicher, dass Sie SQL ServerReporting Services (SSRS) so konfigurieren, dass SSL (Secure Sockets Layer) verwendet wird, bevor Sie die Verwaltungs- und Überwachungswebsite konfigurieren. Andernfalls verwendet das Berichtsfeature HTTP anstelle von HTTPS.	MBAM 2.5-Servervoraussetzungen für eigenständige und Configuration Manager-Integrationstopologien MBAM 2.5-Servervoraussetzungen, die nur für die Configuration Manager-Integrationstopologie gelten (sofern zutreffend)
Registrieren Sie Dienstprinzipalnamen (SERVICE Principal Names, SPNs) für das Anwendungspoolkonto für die Websites. Sie müssen diesen Schritt nur ausführen, wenn Sie nicht über Administratordomänenrechte in Active Directory Domain Services (AD DS) verfügen. Wenn Sie diese Rechte in AD DS haben, erstellt MBAM die SPNs für Sie.	Planen der Sicherung von MBAM-Websites
Installieren Sie die MBAM-Serversoftware auf jedem Server, auf dem Sie ein MBAM-Serverfeature konfigurieren. Hinweis Wenn Sie die Websites auf einem Server und die Webdienste auf einem anderen installieren möchten, können Sie sie nur mithilfe des Cmdlets Enable-MbamWebApplication Windows PowerShell konfigurieren. Der Assistent für die MBAM-Serverkonfiguration unterstützt das Konfigurieren dieser Elemente auf separaten Servern nicht.	Installieren der MBAM 2.5-Serversoftware
Überprüfen Sie die Voraussetzungen für die Verwendung von Windows PowerShell, wenn Sie die Konfiguration von MBAM-Serverfeatures mithilfe von Cmdlets planen.	Konfigurieren von MBAM 2.5 Serverfunktionen mithilfe von Windows PowerShell

So konfigurieren Sie die Webanwendungen mithilfe von Windows PowerShell

1. Bevor Sie mit der Konfiguration beginnen, lesen Sie das Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell, um die Voraussetzungen für die Verwendung von Windows PowerShell zu überprüfen.

2. Verwenden Sie das Cmdlet Enable-MbamWebApplication, um die Webanwendungen mithilfe von Windows PowerShell zu konfigurieren. Um Informationen zu diesem Cmdlet abzurufen, geben Sie "Get-Help Enable-MbamWebApplication" ein.

So konfigurieren Sie die Einstellungen für alle Webanwendungen mithilfe des Assistenten

1. Starten Sie auf dem Server, auf dem Sie die Webanwendungen konfigurieren möchten, den Assistenten für die MBAM-Serverkonfiguration. Sie können die MBAM-Serverkonfiguration im Startmenü auswählen, um den Assistenten zu öffnen.

2. Klicken Sie auf "Neue Features hinzufügen", wählen Sie "Verwaltungs- und Überwachungswebsite " und " Self-Service-Portal" aus, und klicken Sie dann auf "Weiter". Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.

3. Wenn die Voraussetzungsprüfung erfolgreich ist, klicken Sie auf "Weiter ", um den Vorgang fortzusetzen. Beheben Sie andernfalls alle fehlenden Voraussetzungen, und klicken Sie dann erneut auf "Voraussetzungen überprüfen".

4. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben.

   Feld	Beschreibung
   Sicherheitszertifikat	Wählen Sie ein zuvor erstelltes Zertifikat aus, um optional die Kommunikation zwischen den Webdiensten und dem Server zu verschlüsseln, auf dem Sie die Websites konfigurieren. Wenn Sie " Kein Zertifikat verwenden" auswählen, ist Ihre Webkommunikation möglicherweise nicht sicher.
   Hostname	Name des Hostcomputers, auf dem Sie die Websites konfigurieren.
   Installationspfad	Pfad, in dem Sie die Websites installieren.
   Port	Portnummer, die für die Website- und Dienstkommunikation verwendet werden soll. Hinweis Sie müssen eine Firewall-Ausnahme festlegen, um die Kommunikation über den angegebenen Port zu ermöglichen.
   Domänenkonto und Kennwort des Webdienstanwendungspools	Domänenbenutzerkonto und Kennwort für den Webdienstanwendungspool. Wenn Sie auf der Seite "Datenbanken konfigurieren" einen Benutzernamen in das Domänenbenutzer- oder Gruppenfeld für den Lese-/Schreibzugriff eingeben, müssen Sie in diesem Feld denselben Wert eingeben. Wenn Sie einen Gruppennamen in das Domänenbenutzer- oder Gruppenfeld "Lese-/Schreibzugriff " auf der Seite "Datenbanken konfigurieren " eingeben, muss der wert, den Sie in dieses Feld eingeben, Mitglied dieser Gruppe sein. Wenn Sie keine Anmeldeinformationen angeben, werden die Anmeldeinformationen verwendet, die für eine zuvor aktivierte Webanwendung angegeben wurden. Alle Webanwendungen müssen dieselben Anmeldeinformationen für den Anwendungspool verwenden. Wenn Sie unterschiedliche Anmeldeinformationen für verschiedene Webanwendungen angeben, wird der zuletzt angegebene Wert verwendet. Wichtig Um die Sicherheit zu verbessern, legen Sie das in den Anmeldeinformationen angegebene Konto so fest, dass es über eingeschränkte Benutzerrechte verfügt. Legen Sie außerdem fest, dass das Kennwort des Kontos nie abläuft.

5. Stellen Sie sicher, dass das integrierte IIS_IUSRS-Konto oder das Anwendungspoolkonto nach der Authentifizierung und den lokalen Sicherheitseinstellungen für den Batchauftrag zum Identitätswechsel eines Clients hinzugefügt wurde.

   Um zu überprüfen, ob es zu den lokalen Sicherheitseinstellungen hinzugefügt wurde, öffnen Sie den Editor für lokale Sicherheitsrichtlinien, erweitern Sie den Knoten "Lokale Richtlinien ", klicken Sie auf den Knoten " Benutzerberechtigungszuweisung ", und doppelklicken Sie nach der Authentifizierung auf "Identität eines Clients annehmen", und melden Sie sich als Batchauftragsrichtlinien im rechten Bereich an.

So konfigurieren Sie Verbindungsinformationen für die Datenbanken mithilfe des Assistenten

1. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Compliance- und Überwachungsdatenbank zu konfigurieren.

   Feld	Beschreibung
   SQL Server Namen	Name des Servers, auf dem die Konformitäts- und Überwachungsdatenbank konfiguriert ist.
   SQL Server Datenbankinstanz	SQL Server Instanzname, in dem die Compliance- und Überwachungsdatenbank konfiguriert ist.
   Datenbankname	Name der Compliance- und Überwachungsdatenbank.

2. Verwenden Sie die folgenden Feldbeschreibungen, um die Verbindungsinformationen im Assistenten für die Wiederherstellungsdatenbank zu konfigurieren.

   Feld	Beschreibung
   SQL Server Namen	Name des Servers, auf dem die Wiederherstellungsdatenbank konfiguriert ist.
   SQL Server Datenbankinstanz	SQL Server Instanzname, in dem die Wiederherstellungsdatenbank konfiguriert ist.
   Datenbankname	Name der Wiederherstellungsdatenbank.

So konfigurieren Sie die Webanwendungen mithilfe des Assistenten

1. Verwenden Sie die folgenden Beschreibungen, um die Feldwerte im Assistenten einzugeben, um die Verwaltungs- und Überwachungswebsite zu konfigurieren.

   Feld	Beschreibung
   Erweiterte Helpdesk-Rollendomänengruppe	Domänenbenutzergruppe, deren Mitglieder Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite mit Ausnahme des Berichtsbereichs haben.
   Helpdesk-Rollendomänengruppe	Domänenbenutzergruppe, deren Mitglieder Zugriff auf die Bereiche "TPM verwalten " und " Laufwerkwiederherstellung" der Verwaltungs- und Überwachungswebsite haben.
   Verwenden System Center Configuration Manager Integration	Aktivieren Sie dieses Kontrollkästchen, wenn Sie MBAM mit der Configuration Manager Integrationstopologie konfigurieren. Wenn Sie dieses Kontrollkästchen aktivieren, werden alle Berichte mit Ausnahme des Wiederherstellungsüberwachungsberichts in Configuration Manager anstelle der Verwaltungs- und Überwachungswebsite angezeigt.
   Berichtsrollendomänengruppe	Domänenbenutzergruppe, deren Mitglieder schreibgeschützten Zugriff auf den Berichtsbereich der Verwaltungs- und Überwachungswebsite haben.
   SQL Server Reporting Services-URL	URL für den SSRS-Server, auf dem die MBAM-Berichte konfiguriert sind. Beispiele für Berichts-URLs: Hostnamentyp Beispiel Beispiel mit einem vollqualifizierten Domänennamen https://MyReportServer.Contoso.com/ReportServer Beispiel mit einem benutzerdefinierten Hostnamen https://MyReportServer/ReportServer
   Virtuelles Verzeichnis	Virtuelles Verzeichnis der Verwaltungs- und Überwachungswebsite. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B.: http(s)://<hostname>:<port>/HelpDesk/ Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert HelpDesk verwendet.
   Rollendomänengruppe "Datenmigration " (optional)	Domänenbenutzergruppe, deren Mitglieder Zugriff haben, um die Write-Mbam*Information-Cmdlets zum Schreiben von Wiederherstellungsinformationen über diesen Endpunkt zu verwenden.

2. Verwenden Sie die folgende Beschreibung, um die Feldwerte im Assistenten zum Konfigurieren des Self-Service Portals einzugeben.

   Feld	Beschreibung
   Virtuelles Verzeichnis	Virtuelles Verzeichnis der Webanwendung. Dieser Name entspricht dem physischen Verzeichnis der Website auf dem Server und wird an den Hostnamen der Website angefügt, z. B.: http(s)://<hostname>:<port>/SelfService/ Wenn Sie kein virtuelles Verzeichnis angeben, wird der Wert SelfService verwendet.
   Name des Unternehmens	Geben Sie einen Firmennamen für das Self-Service Portal an, z. B.: Contoso IT Dieser Firmenname wird von allen Self-Service Portalbenutzern angezeigt.
   Helpdesk-URL-Text	Geben Sie eine Texterklärung an, die Benutzer zur Helpdesk-Website Ihrer Organisation leitet, z. B.: Helpdesk oder IT-Abteilung kontaktieren
   Helpdesk-URL	Geben Sie die URL für die Helpdesk-Website Ihrer Organisation an, z. B.: http(s)://<companyHelpdeskURL>/
   Beachten Sie die Textdatei	Wählen Sie auf der Startseite des Self-Service Portals eine Datei aus, die die Benachrichtigung enthält, die Benutzern angezeigt werden soll.
   Benutzern keinen Hinweistext anzeigen	Aktivieren Sie dieses Kontrollkästchen, um anzugeben, dass der Hinweistext benutzern nicht angezeigt wird.

3. Wenn Sie Ihre Einträge fertig stellen, klicken Sie auf "Weiter".

   Der Assistent überprüft, ob alle Voraussetzungen für die Webanwendungen erfüllt sind.

4. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

5. Überprüfen Sie auf der Seite "Zusammenfassung " die Features, die hinzugefügt werden.

   Hinweis
   Wenn Sie ein Windows PowerShell Skript für die von Ihnen erstellten Einträge erstellen möchten, klicken Sie auf "PowerShell-Skript exportieren", und speichern Sie das Skript.

6. Klicken Sie auf "Hinzufügen" , um die Webanwendungen zum Server hinzuzufügen, und klicken Sie dann auf "Schließen".

   Informationen zum Anpassen des Self-Service Portals durch Hinzufügen von benutzerdefiniertem Hinweistext, Ihrem Firmennamen, Zeigern auf weitere Informationen usw. finden Sie unter Anpassen des Self-Service Portals für Ihre Organisation.

So konfigurieren Sie das Self-Service Portal, wenn Clientcomputer nicht auf das CDN zugreifen können

1. Ermitteln Sie, ob Sie Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 ausführen. Wenn ja, tun Sie nichts. Die Konfiguration des Self-Service Portals ist abgeschlossen.

   Hinweis
   Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installiert die JavaScript-Dateien im Setup und muss daher nicht mit dem Microsoft Ajax Content Delivery Network verbunden sein, um das Self-Service Portal zu konfigurieren. Die folgenden Schritte sind nur erforderlich, wenn Sie eine Version von Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 vor SP1 verwenden.

2. Ermitteln Sie, ob Ihre Clientcomputer Zugriff auf das Microsoft Ajax Content Delivery Network (CDN) haben.

   Das CDN gibt dem Self-Service Portal den Zugriff, den es für bestimmte JavaScript-Dateien benötigt. Wenn Sie das Self-Service Portal nicht konfigurieren, wenn Clientcomputer nicht auf das CDN zugreifen können, werden nur der Firmenname und das Konto angezeigt, unter dem sich der Endbenutzer angemeldet hat. Es wird keine Fehlermeldung angezeigt.

3. Führen Sie eine der folgenden Aktionen aus:

   • Wenn Ihre Clientcomputer Zugriff auf das CDN haben, tun Sie nichts. Die Konfiguration des Self-Service Portals ist abgeschlossen.

   • Wenn Ihre Clientcomputer keinen Zugriff auf das CDN haben, führen Sie die Schritte unter So konfigurieren Sie das Self-Service Portal aus, wenn Clientcomputer nicht auf das Microsoft Content Delivery Network zugreifen können.

Verwandte Themen

Serverereignisprotokolle

Konfigurieren der MBAM 2.5-Serverfunktionen

So konfigurieren Sie das Self-Service-Portal, wenn Clientcomputer nicht auf das Microsoft Content Delivery Network zugreifen können

Anpassen des Self-Service-Portals für Ihre Organisation

Überprüfen der Konfiguration von MBAM 2.5 Serverfunktionen

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.