MBAM 2.5-Servervoraussetzungen für eigenständige Und Configuration Manager-Integrationstopologien
Bevor Sie mit der Installation von Microsoft BitLocker Administration and Monitoring (MBAM) beginnen, müssen Sie die in diesem Artikel aufgeführten Voraussetzungen erfüllen. Diese Voraussetzungen gelten für die eigenständige MBAM-Topologie und die System Center Configuration Manager-Integrationstopologie.
Wenn Sie MBAM mit System Center Configuration Manager bereitstellen, müssen Sie andere Voraussetzungen erfüllen, die unter MBAM 2.5-Servervoraussetzungen aufgeführt sind und nur für die Configuration Manager-Integrationstopologie gelten.
Eine Liste der unterstützten Hardware und Betriebssysteme für MBAM finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen.
Wichtig
Wenn BitLocker ohne MBAM verwendet wurde, müssen Sie das Laufwerk entschlüsseln und dann TPM mithilfe von tpm.msc löschen. Wenn das Gerät bereits verschlüsselt ist und das TPM-Besitzerkennwort erstellt wurde, kann MBAM den Besitz von TPM nicht übernehmen.
Erforderliche MBAM-Rollen und -Konten
Weitere Informationen zu den Gruppen, die in Active Directory Domain Services (ADDS) erstellt wurden, finden Sie unter Planen von MBAM 2.5-Gruppen und -Konten.
Voraussetzungen für die Wiederherstellungsdatenbank
| Voraussetzung | Details |
|---|---|
| Unterstützte Version von SQL Server | Installieren Sie Microsoft SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung. Informationen zu unterstützten Versionen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen . |
| Erforderliche SQL Server-Berechtigungen | Erforderliche Berechtigungen: – Anmeldeserverrollen der SQL Server-Instanz: - dbcreator- processadmin– SQL Server Reporting Services-Instanzrechte: – Ordner erstellen – Veröffentlichen von Berichten |
| Optional: Installieren des in SQL Server verfügbaren TDE-Features (Transparent Data Encryption) | Das TDE SQL Server-Feature führt die E/A-Verschlüsselung und -Entschlüsselung der Daten- und Protokolldateien in Echtzeit durch, die Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten. Anmerkung: TDE führt die Echtzeitentschlüsselung von Datenbankinformationen durch. Wenn Sie Informationen zum Wiederherstellungsschlüssel in der SQL Server-Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt, werden die Informationen zum Wiederherstellungsschlüssel angezeigt. Weitere Informationen zu TDE finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5. |
| SQL Server-Datenbank-Engine-Dienste | SQL Server Database Engine Services muss installiert sein und während der Installation des MBAM-Servers ausgeführt werden. |
| Windows PowerShell 3.0 oder höher | Windows PowerShell muss nicht auf dem Wiederherstellungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren. |
Voraussetzungen für die Kompatibilitäts- und Überwachungsdatenbank
| Voraussetzung | Details |
|---|---|
| Unterstützte Version von SQL Server | Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung. Informationen zu unterstützten Versionen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen . |
| Erforderliche SQL Server-Berechtigungen | Erforderliche Berechtigungen: – Anmeldeserverrollen der SQL Server-Instanz: - dbcreator- processadmin– SQL Server Reporting Services-Instanzrechte: – Ordner erstellen – Veröffentlichen von Berichten |
| Optional: Installieren des TDE-Features (Transparent Data Encryption) in SQL Server | Das TDE SQL Server-Feature führt die E/A-Verschlüsselung und -Entschlüsselung der Daten- und Protokolldateien in Echtzeit durch, die Ihnen helfen kann, Gesetze, Vorschriften und Richtlinien einzuhalten, die für verschiedene Branchen gelten. TDE führt die Echtzeitentschlüsselung von Datenbankinformationen durch. Dies bedeutet, dass die Wiederherstellungsschlüsselinformationen sichtbar sind, wenn Sie Informationen zum Wiederherstellungsschlüssel in der SQL Server-Datenbank anzeigen und unter einem Konto angemeldet sind, das über Berechtigungen für die Datenbank verfügt. Weitere Informationen zu TDE finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5. |
| SQL Server-Datenbank-Engine-Dienste | SQL Server Database Engine Services muss installiert sein und während der Installation des MBAM-Servers ausgeführt werden. SQL Server kann jedoch remote ausgeführt werden. Es muss sich nicht auf demselben Server befinden, auf dem Sie die MBAM-Serversoftware installieren. |
| Windows PowerShell 3.0 oder höher | Windows PowerShell muss nicht auf dem Kompatibilitäts- und Überwachungsdatenbankserver installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren. |
Voraussetzungen für die Berichte
| Voraussetzung | Details |
|---|---|
| Unterstützte Version von SQL Server | Installieren Sie SQL Server mit SQL_Latin1_General_CP1_CI_AS Sortierung. Informationen zu unterstützten Versionen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen . |
| SQL Server Reporting Services (SSRS) | SSRS muss während der Installation des MBAM-Servers installiert sein und ausgeführt werden. Konfigurieren Sie SSRS im einheitlichen Modus und nicht im nicht konfigurierten oder "SharePoint"-Modus. |
| SSRS-Instanzrechte: Zum Konfigurieren von Berichten sind nur erforderlich, wenn Sie Datenbanken auf einem anderen Server als dem Server installieren, auf dem Berichte konfiguriert sind. | Erforderliche Instanzrechte: – Ordner erstellen – Veröffentlichen von Berichten |
| Windows PowerShell 3.0 oder höher | Windows PowerShell muss auf diesem Datenbankserver nicht installiert werden, wenn Sie Windows PowerShell verwenden, um die Datenbank von einem Remotecomputer aus zu konfigurieren. |
Voraussetzungen für den Verwaltungs- und Überwachungsserver
In den folgenden Abschnitten werden die Installationsvoraussetzungen für den MBAM Administration and Monitoring Server aufgeführt.
Windows Server-Webserverrolle
Diese Rolle muss einem Serverbetriebssystem hinzugefügt werden, das für das Feature "Administration and Monitoring Server" unterstützt wird.
Webserververwaltungstools (IIS)
Wählen Sie IIS-Verwaltungsskripts und -Tools aus.
SSL-Zertifikat
Optional. Um die Kommunikation zwischen den Clientcomputern und den Webdiensten zu schützen, müssen Sie ein Zertifikat abrufen und installieren, das von einer vertrauenswürdigen Sicherheitsbehörde signiert wurde.
Webserverrollendienste
Allgemeine HTTP-Features
- Statischer Inhalt
- Standarddokument
Application Development
- ASP.NET
- .NET-Erweiterbarkeit
- ISAPI-Erweiterungen
- ISAPI-Filter
Sicherheit
- Windows-Authentifizierung
- Anforderungsfilterung
Windows Server-Features
Features von .NET Framework 4.5
.NET Framework 4.5 oder 4.6
- Windows Server 2016 – .NET Framework 4.6 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.
- Windows Server 2012 oder Windows Server 2012 R2 – .NET Framework 4.5 ist für diese Versionen von Windows Server bereits installiert, sie müssen jedoch aktiviert werden.
- Windows Server 2008 R2 – .NET Framework 4.5 ist nicht in Windows Server 2008 R2 enthalten. Daher müssen Sie Microsoft .NET Framework 4.5 herunterladen und separat installieren.
WCF-Aktivierung
- HTTP-Aktivierung
- Nicht-HTTP-Aktivierung (nur für Windows Server 2008, 2012 und 2012 R2)
TCP-Aktivierung
Windows-Prozessaktivierungsdienst
- Prozessmodell
- .NET Framework-Umgebung
- Konfigurations-APIs
ASP.NET MVC 4.0
Hinweis
ASP.NET MVC 4.0 ist nach dem Wartungsupdate vom Januar 2023 (HF08) nicht mehr erforderlich.
Dienstprinzipalname (SPN)
Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.
Wenn Ihre Administratorrechte es Ihnen ermöglichen, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den Rechten, die zum Erstellen von SPNs erforderlich sind, finden Sie unter Setspn .
Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation bitten, den SPN mit dem folgenden Befehl für Sie zu erstellen:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
Im Codebeispiel lautet mbamvirtual.contoso.comder virtuelle Hostname , und das Domänenkonto, das für die Webanwendungspools verwendet wird, ist contoso\mbamapppooluser.
Hinweis
Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.
Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS und benutzerdefinierte Hostnamen finden Sie unter Planen des Schützens der MBAM-Websites.
Voraussetzungen für das Self-Service-Portal
Unterstützte Version von Windows Server
Eine Liste der unterstützten Versionen finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen.
ASP.NET MVC 4.0
Hinweis
ASP.NET MVC 4.0 ist nach dem Wartungsupdate vom Januar 2023 (HF08) nicht mehr erforderlich.
Webdienst-IIS-Verwaltungstools
Wählen Sie IIS-Verwaltungsskripts und -Tools aus.
Dienstprinzipalname (SPN)
Die Webanwendungen erfordern einen SPN für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden.
Wenn Ihre Administratorrechte es Ihnen ermöglichen, SPNs in Active Directory Domain Services zu erstellen, erstellt MBAM den SPN für Sie. Informationen zu den Rechten, die zum Erstellen von SPNs erforderlich sind, finden Sie unter Setspn .
Wenn Sie nicht über Administratorrechte zum Erstellen von SPNs verfügen, müssen Sie die Active Directory-Administratoren in Ihrer Organisation bitten, den SPN mit dem folgenden Befehl für Sie zu erstellen:
Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser
Im Codebeispiel lautet mbamvirtual.contoso.comder virtuelle Hostname , und das Domänenkonto, das für die Webanwendungspools verwendet wird, ist contoso\mbamapppooluser.
Hinweis
Wenn Sie den Lastenausgleich einrichten, verwenden Sie dasselbe Anwendungspoolkonto auf allen Servern.
Weitere Informationen zum Registrieren von SPNs für vollqualifizierte, NetBIOS und benutzerdefinierte Hostnamen finden Sie unter Planen des Schützens der MBAM-Websites.
Voraussetzungen für die Verwaltungsarbeitsstation
Laden Sie vor der Installation des MBAM-Clients die MBAM-Gruppenrichtlinienvorlagen herunter. Konfigurieren Sie sie mit den Einstellungen, die Sie in Ihrer Umgebung für die BitLocker-Laufwerkverschlüsselung implementieren möchten.
Führen Sie vor der Installation des MBAM-Clients auch die folgenden Schritte aus:
- Kopieren der MBAM 2.5-Gruppenrichtlinienvorlagen
- Bearbeiten der MBAM 2.5-Gruppenrichtlinieneinstellungen
Verwandte Artikel
Vorbereiten Ihrer Umgebung für MBAM 2.5