Versionshinweise für MBAM 2.5 SP1
Lesen Sie diese Versionshinweise gründlich durch, bevor Sie Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installieren. Diese Versionshinweise enthalten Informationen, die für die erfolgreiche Installation von MBAM erforderlich sind, und können Informationen enthalten, die in der Produktdokumentation nicht verfügbar sind. Wenn sich diese Versionshinweise von anderen MBAM 2.5 SP1-Dokumentationen unterscheiden, sollten Sie die neueste Änderung als autoritativ betrachten. Diese Versionshinweise ersetzen den Inhalt, der in diesem Produkt enthalten ist.
Bekannte Probleme mit MBAM 2.5 SP1
Dieser Abschnitt enthält Versionshinweise für MBAM 2.5 SP1.
PowerShell Read-AD*-Cmdlets geben kein Feedback, wenn der Benutzer nicht über ausreichende Rechte verfügt
Wenn ein Benutzer, der versucht, die PowerShell Read-AD*-Cmdlets für den MBAM-Server zu verwenden, keine Benutzerrechte zum Lesen der Active Directory-Wiederherstellungsinformationen oder zum Lesen der TPM-Informationen hat, werden dem Benutzer von den Cmdlets keine Fehler oder Warnungen angezeigt.
Problemumgehung: Verwenden Sie die PowerShell Read-AD*-Cmdlets nur, wenn Sie über die erforderlichen Benutzerrechte verfügen.
MBAM Active Directory-Migrations-Cmdlets (AD) rufen keine Volumewiederherstellungsinformationen ab
MbaM Active Directory-Migrations-Cmdlets (AD) können keine Volumewiederherstellungsinformationen für Computer in Organisationseinheiten (OUs) abrufen, wenn der Schrägstrich (/) Teil des Organisationseinheitsnamens ist. Wiederholte AD-Pullvorgänge schlagen mit einem Fehler beim Beenden der Pipeline fehl, wenn dieser Fehler auftritt.
Technische Details: Dieser Fehler wird angezeigt, wenn Sie den Befehl ausführen:
Read-ADRecoveryInformation : Unknown error (0x80005000)
At line:1 char:1
+ Read-ADRecoveryInformation -Server "…" -SearchBase " ...
+ ~~
+ CategoryInfo : NotSpecified: (:) [Read-ADRecoveryInformation], COMException
+ FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADRecoveryInformationCommand
Darüber hinaus sieht die Ablaufverfolgung Error[0].Exception.StackTrace des Ausnahmestapels wie folgt aus:
at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_AdsObject()
at System.DirectoryServices.PropertyValueCollection.PopulateList()
at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
at System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.VerifySettingsConnectivity()
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.ExecuteRead()
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADInformationBase.ProcessRecord()
at System.Management.Automation.CommandProcessor.ProcessRecord()
Problemumgehung: Führen Sie eine der folgenden Aufgaben aus, um diese Situation zu beheben:
Benennen Sie die Organisationseinheit um, um den Schrägstrich zu entfernen, und führen Sie dann das Skript aus.
Um problematische Organisationseinheiten vom Sicherungsvorgang auszuschließen, suchen Sie eine Liste von Organisationseinheiten, deren Namen den Schrägstrich nicht enthalten. Führen Sie das Skript auf diesen Organisationseinheiten aus, jeweils in einer Organisationseinheit.
MBAM kann ein Volume nicht verschlüsseln und meldet einen Fehler, wenn Sie eine TPM- und PIN-Schutzvorrichtung auf einem Tablet-Gerät festlegen.
Wenn Endbenutzer versuchen, eine TPM- und PIN-Schutzvorrichtung auf einem Tablet-Gerät festzulegen, kann MBAM nicht verschlüsselt werden, und es wird ein Fehler gemeldet. Dieses Problem tritt auf, weil Tablet-Geräte nicht über eine Tastatur für die Vorabstartumgebung verfügen.
Problemumgehung: Aktivieren Sie die Einstellung Verwendung der BitLocker-Authentifizierung aktivieren, die Tastatureingaben auf Tablets vor dem Start erfordert Gruppenrichtlinie. Bei dieser Einstellung handelt es sich um eine BitLocker-Gruppenrichtlinie-Einstellung, die im MBAM-Gruppenrichtlinie Templates nicht verfügbar ist.
Der Benutzerprinzipalname ist für alle Dienstkonten erforderlich.
Ein Benutzerprinzipalname (UPN) muss für alle Dienstkonten in MBAM festgelegt werden. Wenn Sie keinen UPN für ein Konto erstellen können, wird während des Konfigurationsprozesses eine Fehlermeldung angezeigt, die darauf hinweist, dass der Benutzer oder die Gruppe in Active Directory nicht gefunden werden konnte.
Problemumgehung: Fügen Sie den UPN dem Dienstkonto hinzu.
Self-Service Portal und die Verwaltungs- und Überwachungswebsite werden nach dem Upgrade von IIS auf .NET Framework 4.5 nicht geöffnet.
Wenn Sie Internetinformationsdienste (IIS) auf microsoft .NET Framework 4.5 aktualisieren, werden das Self-Service-Portal und die Verwaltungs- und Überwachungswebsite nicht geöffnet.
Problemumgehung: Weitere Informationen finden Sie im Artikel Fehlermeldung nach der Installation des .NET Framework 4.0: "Typ 'System.ServiceModel.Activation.HttpModule' konnte nicht geladen werden.
Die Verwaltungs- und Überwachungswebsite zeigt die Fehlermeldung "Bericht kann nicht gefunden werden" an, wenn Berichte nicht konfiguriert sind.
Wenn Sie die Verwaltungs- und Überwachungswebsite konfigurieren und dann versuchen, einen Bericht anzuzeigen, ohne zuerst das Berichtsfeature zu konfigurieren, gibt eine Fehlermeldung an, dass der Bericht nicht gefunden werden kann.
Problemumgehung: Konfigurieren Sie das Berichtsfeature, bevor Sie die Webanwendungen konfigurieren.
Berichte auf der Verwaltungs- und Überwachungswebsite zeigen eine Warnung an, wenn SSL nicht in SSRS konfiguriert ist
Wenn SQL Server Reporting Services (SSRS) nicht für die Verwendung von Secure Socket Layer (SSL) konfiguriert wurde, wird die URL für das Berichtsfeature beim Konfigurieren des MBAM-Servers auf HTTP statt auf HTTPS festgelegt. Wenn Sie dann die Verwaltungs- und Überwachungswebsite öffnen und einen Bericht auswählen, wird die folgende Fehlermeldung angezeigt: "Nur sicherer Inhalt wird angezeigt."
Problemumgehung: Um den Bericht anzuzeigen, wählen Sie Alle Inhalte anzeigen aus. Um dieses Problem zu beheben, wechseln Sie zu dem MBAM-Computer, auf dem SQL Server Reporting Services installiert ist, führen Sie Reporting Services Configuration Manager aus, und wählen Sie dann Webdienst-URL aus. Wählen Sie das entsprechende SSL-Zertifikat für den Server aus, geben Sie den entsprechenden SSL-Port ein (Standardport 443), und wählen Sie dann Übernehmen aus.
Wenn Sie im Bericht "BitLocker-Kompatibilitätszusammenfassung" auf "Zurück" klicken, wird möglicherweise ein Fehler ausgelöst.
Wenn Sie einen Drilldown in einen BitLocker-Konformitätszusammenfassungsbericht ausführen und dann den Link Zurück im SSRS-Bericht auswählen, wird möglicherweise ein Fehler ausgelöst.
Problemumgehung: Nichts.
Die Verschlüsselungsstärke wird im Bericht zur BitLocker-Computerkonformität falsch angezeigt.
Wenn Sie unter Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke Gruppenrichtlinie Object auswählen keine bestimmte Verschlüsselungsstärke festlegen, wird im Bericht BitLocker-Computerkonformität in der Configuration Manager Integrationstopologie immer "unbekannt" für die Verschlüsselungsstärke angezeigt, auch wenn die Verschlüsselungsstärke den Standardwert der 128-Bit-Verschlüsselung verwendet. Der Bericht zeigt die richtige Verschlüsselungsstärke an, wenn Sie eine bestimmte Verschlüsselungsstärke im Gruppenrichtlinie Object festlegen.
Problemumgehung: Legen Sie immer eine bestimmte Verschlüsselungsstärke unter Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke Gruppenrichtlinie Object fest.
Kompatibilitätsstatusverteilung nach Laufwerktyp zeigt alte Daten an, nachdem Sie Konfigurationselemente aktualisiert haben
Nachdem Sie MBAM-Konfigurationselemente in System Center 2012 Configuration Manager aktualisiert haben, zeigt das Balkendiagramm Verteilung des Konformitätsstatus nach Laufwerktyp im BitLocker Enterprise Compliance Dashboard Daten an, die auf Informationen aus alten Versionen der Konfigurationselemente basieren.
Problemumgehung: Nichts. Die Änderung der MBAM-Konfigurationselemente wird nicht unterstützt, und der Bericht wird möglicherweise nicht wie erwartet angezeigt.
Die erweiterte Sicherheitskonfiguration kann dazu führen, dass Berichte eine Fehlermeldung falsch anzeigen.
Wenn internet Explorer Enhanced Security Configuration (ESC) aktiviert ist, wird möglicherweise die Fehlermeldung "Zugriff verweigert" angezeigt, wenn Sie versuchen, Berichte auf dem MBAM-Server anzuzeigen. Standardmäßig ist ESC aktiviert, um den Server zu schützen, indem die Potenziellen Angriffe des Servers verringert werden, die über Webinhalte und Anwendungsskripts auftreten können.
Problemumgehung: Wenn beim Versuch, Berichte auf dem MBAM-Server anzuzeigen, die Fehlermeldung "Zugriff verweigert" angezeigt wird, können Sie eine Gruppenrichtlinie Object festlegen oder die Standardeinstellung manuell in Ihrem Image ändern, um die erweiterte Sicherheitskonfiguration zu deaktivieren. Alternativ können Sie die Berichte auch von einem anderen Computer anzeigen, auf dem ESC nicht aktiviert ist.
Unterstützung für den BitLocker-XTS-AES-Verschlüsselungsalgorithmus
BitLocker hat Unterstützung für den XTS-AES-Verschlüsselungsalgorithmus in Windows 10 Version 1511 hinzugefügt. Mit HF02 wurde von MBAM die Clientunterstützung für diese BitLocker-Option hinzugefügt, und in HF04 wurde die serverseitige Unterstützung hinzugefügt. Es gibt jedoch eine bekannte Einschränkung:
- Kunden müssen die gleiche Verschlüsselungsstärke für Betriebssystem- und Datenvolumes auf demselben Computer verwenden. Wenn unterschiedliche Verschlüsselungsstärken verwendet werden, meldet MBAM den Computer als nicht konform.
Self-Service Portal fügt automatisch "-" zum Schlüssel-ID-Eintrag hinzu.
Ab HF02 fügt das MBAM Self-Service Portal automatisch den Eintrag "-" für Schlüssel-ID hinzu.
Hinweis: Der Server muss neu konfiguriert werden, damit JavaScript wirksam wird.
MBAM 2.5 SP1-Berichte funktionieren/werden nicht ordnungsgemäß gerendert
Die Berichtsseite wird nicht ordnungsgemäß gerendert, wenn SSRS in SQL Server 2016-Edition gehostet wird.
Beispiel: Zum Helpdesk navigieren – Klicken auf Berichte – (Hervorgehobener Teil ist x vorhanden) Wenn Sie dies mit Fiddler weiter untersuchen – es sieht so aus, als ob nach der Auswahl von "Berichte" die SSRS-Seite im HTML 4.0-Renderingformat aufgerufen wird.
Problemumgehung: Sehen Sie sich die Website an. master Code und bemerkte, dass der X-UA-Modus als IE8 diktiert wurde. Da IE8 das Ende der Lebensdauer hinter sich hat und der Kunde IE11 verwendet. Aktualisieren Sie die Einstellung auf den folgenden Code. Dadurch kann die Website IE11-Renderingtechnologien nutzen.
<meta http-equiv="X-UA-Compatible" content="IE=Edge" />
Die ursprüngliche Einstellung lautet:
<meta http-equiv="X-UA-Compatible" content="IE=8" />
Dies ist der Grund, warum das Problem bei anderen Browsern wie Chrome, Firefox usw. nicht aufgetreten ist.