Teil 23: Installation von MBAM vorbereiten

Installation von MBAM vorbereiten – Schritte:

  • In DNS einen Alias-Eintrag für mbam.haimann.local erstellen
  • Web Server-Zertifikat für mbam.haimann.local anfordern
  • Benutzer und Gruppen in Active Directory erstellen
  • Service Provider Name (SPN) für HTTP/SERVER02 registrieren
  • Eingeschränkte Delegierung konfigurieren
  • Server-Rollen und Features installieren
  • Sourcen für die Installation vorbereiten

Als Grundlage für die Installationsvorbereitung verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx.

Wie bekomme ich MDOP (Microsoft Desktop Optimization Pack)? http://go.microsoft.com/fwlink/?LinkId=322049

In DNS einen Alias-Eintrag für mbam.haimann.local erstellen

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > DNS
  3. SERVER01\Forward Lookup Zones erweitern
  4. haimann.local rechts anklicken und im Kontextmenü New Alias (CNAME)… anklicken
    MBAM_PREP-001
  5. New Resource Record
    1. Alias name: mbam
    2. Fully qualified domain name: mbam.haimann.local.
    3. Fully qualified domain name for target host: server02.haimann.local. > OK
      MBAM_PREP-002
  6. DNS Manager schließen
    MBAM_PREP-003
    MBAM_PREP-004

Web Server-Zertifikat für mbam.haimann.local anfordern

  1. MMC als Administrator starten
  2. Das Certificates-Snap-in für Computer account hinzufügen
    MBAM_PREP-005
  3. Certificates (Local Computer) erweitern
  4. Personal rechts anklicken und im Kontextmenü All Tasks > Request New Certificate… anklicken
    MBAM_PREP-006
  5. Certificate Enrollment
    1. Before You Begin > Next
      MBAM_PREP-007
    2. Select Certificate Enrollment Policy > Next
      MBAM_PREP-008
    3. Request Certificate > unter Haimann Web Server auf More information… klicken
      MBAM_PREP-009
    4. Certificate Properties
      1. Alternative Name:
        1. Type: DNS
        2. Value: mbam.haimann.local > Add>
          MBAM_PREP-010
      2. Auf den Reiter General wechseln
        1. Friendly name: MBAM Web Server > OK
          MBAM_PREP-011
    5. Haimann Web Server aktivieren > Enroll
      MBAM_PREP-012
    6. Certificate Installation Results > Finish
      MBAM_PREP-013
    7. MMC schließen
      MBAM_PREP-014

Benutzer und Gruppen in Active Directory erstellen

  1. Server Manager > Local Server > Tools > Active Directory Users and Computers
  2. haimann.local\Einfaches Netzwerk erweitern
  3. Die OU Service Accounts rechts anklicken und im Kontextmenü New > User anklicken
  4. New Object – User
    1. Full name: MBAM Database Read-Write
    2. User logon name: mbam_db_rw
      MBAM_PREP-016
    3. Password: Password1
    4. User cannot change password
    5. Password never expires > Next
      MBAM_PREP-017
    6. Finish
      MBAM_PREP-018
  5. Folgende Benutzer auf gleiche Weise erstellen:
    1. MBAM Database Read
      1. User logon name: mbam_db_r
    2. MBAM AppPool
      1. User logon name: mbam_apppool
        MBAM_PREP-019
  6. Die OU Sicherheitsgruppen rechts anklicken und im Kontextmenü New Group anklicken
    MBAM_PREP-020
  7. New Object – Group
    1. Group name: MBAM Database Read-Write > OK
      MBAM_PREP-021
  8. Folgende Gruppen auf gleiche Weise erstellen:
    1. MBAM Database Read
    2. MBAM Advanced Helpdesk
    3. MBAM Helpdesk
    4. MBAM Report Users
      MBAM_PREP-022
  9. Folgende Benutzer zur Gruppe MBAM Database Read hinzufügen:
    1. MBAM Database Read
      MBAM_PREP-023
  10. Folgende Benutzer zur Gruppe MBAM Database Read-Write hinzufügen:
    1. MBAM Database Read-Write
    2. MBAM AppPool
      MBAM_PREP-024
  11. Folgende Benutzer zur Gruppe MBAM Advanced Helpdesk hinzufügen:
    1. Administrator
    2. Markus
      MBAM_PREP-044
  12. Folgende Benutzer zur Gruppe MBAM Helpdesk hinzufügen:
    1. Michael
      MBAM_PREP-045
  13. Folgende Benutzer zur Gruppe MBAM Report Users hinzufügen:
    1. Markus
      MBAM_PREP-047

HINWEIS: Mitglieder der Active Directory-Gruppe MBAM Advanced Helpdesk müssen später bei der BitLocker-Wiederherstellung keine Benutzerdomäne und keine Benutzer ID eingeben. Das ist der Unterschied zwischen MBAM Helpdesk und MBAM Advanced Helpdesk!

Service Provider Name (SPN) für HTTP/SERVER02 registrieren

  1. Command Promt (Admin) starten
  2. Mit folgendem Befehl den SPN registrieren
    setspn -U -S HTTP/SERVER02.haimann.local HAIMANN\mbam_apppool
  3. Der Befehl setspn -U -SMBAM_PREP-025
  4. Mit folgendem Befehl die registrierten SPNs für den Benutzer mbam_apppool auflisten
    setspn -L HAIMANN\mbam_apppool
  5. Der Befehl setspn -L
    MBAM_PREP-026
  6. Command Promt schließen

Eingeschränkte Delegierung konfigurieren (constrained delegation)

  1. In der Active Directory Users and Computers-Konsole den Benutzer MBAM AppPool rechts anklicken und im Kontextmenü Properties anklicken
    MBAM_PREP-027
  2. MBAM AppPool Properties
    1. Auf den Reiter Delegation wechseln
    2. Trust this user for delegation to any service (Kerberos only)
      MBAM_PREP-046
  3. Active Directory Users and Computers schließen

Server-Rollen und Features installieren

  1. Server Manager > Local Server > Manage > Add Roles and Features
  2. Add Roles and Features Wizard
    1. Before You Begin > Next
      MBAM_PREP-034
    2. Installation Type: Role-based or feature-based installation > Next
      MBAM_PREP-035
    3. Server Selection: SERVER02 > Next
      MBAM_PREP-036
    4. Server Roles:
      1. Web Server (IIS)\Web Server\Common HTTP Features
        1. Default Document
        2. Static Content
          MBAM_PREP-037
      2. Web Server (IIS)\Web Server\Security
        1. Request Filtering
        2. Windows Authentication
          MBAM_PREP-038
      3. Web Server (IIS)\Web Server\Application Development
        1. .NET Extensibility 4.5
        2. ASP.NET 4.5
        3. ISAPI Extensions
        4. ISAPI Filters > Next
          MBAM_PREP-039
    5. Features:
      1. .NET Framework 4.5 Features\WCF Services
        1. HTTP Activation
        2. TCP Activation
          MBAM_PREP-040
      2. Windows Process Activation Service
        1. Process Model
        2. .Net Environment 3.5
        3. Configuration APIs > Next
          MBAM_PREP-041
    6. Confimation > Install
      MBAM_PREP-042
    7. Results > Close
      MBAM_PREP-043

Sourcen für die Installation vorbereiten

  1. Die Datei D:\Sourcen\MDOP2014.iso doppelklicken (mounten)
  2. Den Ordner MBAM nach D:\Sourcen kopieren
  3. Die ISO-Datei mit Eject auswerfen
  4. Microsoft Desktop Optimization Pack Group Policy Administrative Templates von http://www.microsoft.com/en-us/download/details.aspx?id=41183 nach D:\Sourcen\MBAM herunterladen
  5. ASP.NET MVC 4 von http://www.microsoft.com/en-us/download/details.aspx?id=30683 nach D:\Sourcen\MBAM herunterladen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert