Allgemeine Architektur von MBAM 2.5 mit eigenständiger Topologie

  • Artikel

In diesem Artikel wird die empfohlene Architektur für die Bereitstellung von Microsoft BitLocker Administration and Monitoring (MBAM) mit der eigenständigen Configuration Manager-Topologie beschrieben. In dieser Topologie wird MBAM als eigenständiges Produkt bereitgestellt. Alternativ können Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, die MBAM in Configuration Manager integriert. Weitere Informationen finden Sie unter Allgemeine Architektur von MBAM 2.5 mit Configuration Manager-Integrationstopologie.

Eine Liste der unterstützten Versionen der in diesem Artikel erwähnten Software finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen.

Hinweis

Es wird empfohlen, eine Einzelserverarchitektur nur in Testumgebungen zu verwenden.

In der folgenden Tabelle sind die empfohlene Anzahl von Servern und die unterstützte Anzahl von Clients in einer Produktionsumgebung aufgeführt:

Empfohlene Architektur in einer Produktionsumgebung Details
Anzahl von Servern und anderen Computern Zwei Server
Eine Arbeitsstation
Anzahl der unterstützten Clientcomputer 500,000

Im folgenden Diagramm und in den folgenden Abschnitten wird die empfohlene allgemeine Architektur mit zwei Servern für MBAM mit der eigenständigen Topologie beschrieben. MBAM-Bereitstellungen mit mehreren Gesamtstrukturen erfordern eine unidirektionale oder bidirektionale Vertrauensstellung. Unidirektionale Vertrauensstellungen erfordern, dass die Serverdomäne der Clientdomäne vertraut.

Konzeptionelles Diagramm der MBAM-Architektur auf hoher Ebene.

Compliance- und Überwachungsdatenbank

Dieses Feature wird auf einem Server mit Windows Server und einer unterstützten SQL Server-Instanz konfiguriert. Die Kompatibilitäts- und Überwachungsdatenbank speichert Konformitätsdaten, die hauptsächlich für Berichte verwendet werden, die VON SQL Server Reporting Services gehostet werden.

Wiederherstellungsdatenbank

Dieses Feature wird auf einem Server mit Windows Server und einer unterstützten SQL Server-Instanz konfiguriert. Die Wiederherstellungsdatenbank speichert Wiederherstellungsdaten, die von MBAM-Clientcomputern gesammelt werden.

Berichte

Dieses Feature wird auf einem Server mit Windows Server und einer unterstützten SQL Server-Instanz konfiguriert. Die Berichte enthalten Wiederherstellungsüberwachungs- und Konformitätsstatusdaten zu den Clientcomputern in Ihrem Unternehmen. Sie können auf die Berichte über die Verwaltungs- und Überwachungswebsite oder direkt über SQL Server Reporting Services zugreifen.

Verwaltungs- und Überwachungsserver

Verwaltungs- und Überwachungswebsite

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird. Die Administration and Monitoring-Website wird für Folgendes verwendet:

  • Helfen Sie Benutzern, wieder zugriff auf ihre Computer zu erhalten, wenn sie gesperrt sind. Dieser Bereich der Website wird häufig als Helpdesk bezeichnet.

  • Zeigen Sie Berichte an, die den Konformitätsstatus und die Wiederherstellungsaktivität für Clientcomputer anzeigen.

Self-Service Portal

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird. Das Self-Service-Portal ist eine Website, die es Endbenutzern auf Clientcomputern ermöglicht, sich unabhängig bei einer Website anzumelden, um einen Wiederherstellungsschlüssel zu erhalten, wenn sie ihr BitLocker-Kennwort verlieren oder vergessen.

Überwachung von Webdiensten für diese Website

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird. Die Überwachungswebdienste werden vom MBAM-Client und den Websites für die Kommunikation mit der Datenbank verwendet.

Hinweis

Der Überwachungswebdienst ist in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 nicht mehr verfügbar, da die MBAM-Websites direkt mit der Wiederherstellungsdatenbank kommunizieren.

Verwaltungsarbeitsstation

MBAM-Gruppenrichtlinienvorlagen

  • Die MBAM-Gruppenrichtlinienvorlagen sind Gruppenrichtlinieneinstellungen, die Implementierungseinstellungen für MBAM definieren, mit denen Sie die BitLocker-Laufwerkverschlüsselung verwalten können.

  • Bevor Sie MBAM ausführen, müssen Sie die Gruppenrichtlinienvorlagen unter Herunterladen und Bereitstellen von MDOP-Gruppenrichtlinienvorlagen (.admx) herunterladen und auf einen Server oder eine Arbeitsstation kopieren, auf dem ein unterstütztes Windows Server- oder Windows-Betriebssystem ausgeführt wird.

  • Die Arbeitsstation muss kein dedizierter Computer sein.

MBAM-Client und Configuration Manager-Clientcomputer

MBAM-Clientsoftware

Der MBAM-Client:

  • Verwendet Gruppenrichtlinienobjekte, um die BitLocker-Laufwerkverschlüsselung auf Clientcomputern im Unternehmen zu erzwingen.

  • Erfasst den BitLocker-Wiederherstellungsschlüssel für drei Datentypen: Betriebssystemlaufwerke, Festplattenlaufwerke und USB-Wechseldatenträger.

  • Sammelt Wiederherstellungs- und Computerinformationen zu den Clientcomputern.

Infos zu MBAM 2.5 SP1

Allgemeine Architektur von MBAM 2.5 mit Configuration Manager-Integrationstopologie

Veranschaulichte Features einer MBAM 2.5-Bereitstellung