Installation

Der folgende Inhalt richtet sich an IT-Administratoren und kann bei der Installation und Bewertung von Specops Key Recovery helfen.

Wir empfehlen, das selbstextrahierende Installationspaket herunterzuladen und dann den Installationsassistenten auszuführen.

Wenn Ihr Unternehmen Windows Server Core (ohne grafische Benutzeroberfläche) verwendet, können Sie alternativ das skriptbasierte Installationsverfahren von PowerShell verwenden. Weitere Informationen finden Sie unter Skriptgesteuerte Installation.

Anforderungen

Die Umgebung Ihrer Organisation muss folgende Systemanforderungen erfüllen.

Komponente Anforderung
Symantec Endpoint Encryption-Umgebung Während des Specops Key Recovery-Einrichtungsvorgangs müssen Sie bestimmte Angaben zu Ihrer Symantec Endpoint Encryption-Umgebung machen, z. B:
  • Ihre Symantec Endpoint Encryption Help Desk-URL
  • Die Anmeldedaten für den Zugang zum Helpdesk
BitLocker Gruppenrichtlinie, die so konfiguriert ist, dass Wiederherstellungskennwörter und Schlüsselpakete in Active Directory Domain Services für alle Laufwerke gespeichert werden, die wiederherstellbar sein sollen

Weitere Informationen zur Einrichtung von Symantec Endpoint Encryption finden Sie in der Dokumentation von Symantec.

Anforderungen
Komponente Anforderung
Gatekeeper-Server-Computer
  • Vollständig gepatchtes Betriebssystem erforderlich
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows Server 2016/2019/2022 (Core- oder Desktop-Erlebnis)
    HINWEIS
    Wenn auf dem primären Domain-Controller eine Windows Server-Version vor 2008 R2 ausgeführt wird, kann es bis zu einer Stunde dauern, bis die Funktion Admins die Registrierung erlauben wirksam wird.
  • .Net Framework 4.7.2 or later
Gatekeeper-Verwaltungstool
  • Verbunden mit Ihrer Active Directory-Domain
  • Windows 10/11 oder Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
Specops Authentifizierungs-Client
  • Windows 10 x64, Windows 11 x64 or Windows Server 2016/2019/2022
  • .Net Framework 4.7.2 or later
  • For password resets with uReset 8 and Specops Password Reset, the Specops Cefsharp runtime MSI should be installed.
Administratorprivilegien: Sowohl für Active Directory als auch für den Gatekeeper-Server-Computer. Es wird empfohlen, die Installation als Domain-Administrator durchzuführen.
Konto-Optionen Es gibt drei Optionen für das Konto, unter dem der Gatekeeper-Windows-Dienst ausgeführt wird. Bereiten Sie sich darauf vor, eine der folgenden zu verwenden:
  • Managed Service Account (empfohlen): Die Verwendung eines "verwalteten Dienstkontos" für den Gatekeeper ist einfach, so dass Sie als Installationsadministrator keine zusätzliche Maßnahmen ergreifen müssen. Das Skript erstellt ein verwaltetes Dienstkonto in Ihrem Active Directory. Wenn der sAMAccountName des Gatekeeper-Servers in Active Directory "SRV17" lautet, lautet der Name des verwalteten Dienstkontos "SGkSRV17$".
  • Domain-Konto: Wenn Sie ein Domain-Konto verwenden möchten, muss dieses vor der Installation erstellt werden. Sie müssen den sAMAccountName und das Kennwort des Kontos bereithalten.
  • Group Managed Service-Konto: Zunächst muss ein gültiges Dienstkonto erstellt werden, das über den Gatekeeper-Computer genutzt werden kann.
Sicherheitsgruppen Das Installationsskript erstellt Sicherheitsgruppen, die von Specops Authentication verwendet werden. Dazu müssen Sie nichts tun.
  • Admin-Gruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Benutzerverwaltungsgruppe: Die Mitglieder dieser Gruppe können auf die Benutzerverwaltungsfunktionen im Authentifizierungsweb zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
  • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.

Installation

Kundenkonto erstellen

  1. Zum Erstellen eines Kundenkontos klicken Sie hier.
  2. Wählen Sie auf der Seite Rechenzentrum auswählen das gewünschte Rechenzentrum aus und klicken Sie auf Beginnen.
    HINWEIS
    Specops Authentication wird in mehreren Rechenzentren gehostet. Derzeit sind zwei Rechenzentren verfügbar: EU (Europa) und NA (Nordamerika).
    WARNUNG
    Vergewissern Sie sich, dass Sie das korrekte Datenzentrum zum Erstellen Ihres Kontos auswählen. Ist es einmal erstellt, können Sie das Rechenzentrum nicht mehr ändern.
  3. Geben Sie in das Feld Name Ihrer Organisation deren Namen ein.
  4. Geben Sie in das Feld Domain-Name Ihrer Organisation einen Domain-Namen ein.
  5. Geben Sie in das Feld Name des Hauptansprechpartners einen Namen ein. Am besten ist dies der Name der Person, die das Konto einrichtet.
  6. Geben Sie in das Feld E-Mail des Hauptkontakts die mit dem Hauptkontakt verbundene E-Mail-Adresse ein.
  7. Klicken Sie auf Weiter.
  8. Auf der Benutzerseite des Cloud-Kontos müssen Sie Ihr erstes Cloud-Konto erstellen. Dieses Cloud-Konto ist erforderlich, um den Rest der Installation durchführen zu können.
    • Geben Sie in das Feld Konto-E-Mail-Adresse die E-Mail-Adresse ein, die Sie mit diesem Cloud-Konto verknüpfen möchten. Der E-Mail-Adresse wird ein Suffix hinzugefügt, um dieses Cloud-Konto von dem lokalen Konto mit derselben E-Mail-Adresse zu unterscheiden.
    • Das Feld Kompletter Cloud-Kontoname ist schreibgeschützt. Der vollständige Cloud-Kontoname wird automatisch aus der E-Mail-Adresse bzw. dem UPN generiert, die/den Sie im Feld Konto-E-Mail-Adresse angegeben haben.
  9. Um Ihr Mobiltelefon mit Ihrem Cloud-Konto zu registrieren, geben Sie Ihre Mobiltelefonnummer ein. Wenn Sie den entsprechenden Code auf Ihrem Mobiltelefon erhalten, geben Sie ihn zur Authentifizierung auf dem Bildschirm ein.
  10. Geben Sie auf der Seite Cloud-Kontokennwort das Kennwort ein, das Sie für dieses Cloud-Konto verwenden möchten, bestätigen Sie es und klicken Sie auf OK. Mit diesem Kennwort können Sie sich in Zukunft bei Ihrem Cloud-Konto anmelden.
    • Hinweis: Die Richtlinie für dieses Kennwort kann nicht geändert werden.
  11. Sie sind nun im Admin-Bereich von Specops Authentication Web angemeldet. Hier können Sie nun einen neuen Gatekeeper erstellen. Ein Gatekeeper ist erforderlich, um sich mit Active Directory-Konten anzumelden.
  12. Klicken Sie auf die Schaltfläche Neuen Gatekeeper erstellen. Auf der Download-Seite finden Sie das selbstextrahierende Installationspaket und den Aktivierungscode. Das Paket enthält die Installationsdateien für den Gatekeeper und Ihre Konfigurationsinformationen.
  13. Klicken Sie auf Download neben dem selbstextrahierenden Standard-Installationspaket.
    • Stellen Sie sicher, dass Sie einen Server für die Installation des Pakets bereithalten.
    • Notieren Sie sich den auf der Seite angezeigten Aktivierungscode, da Sie während der Installation aufgefordert werden, ihn einzugeben.
  14. Kopieren Sie die Installationsdatei und führen Sie sie auf Ihrem Server aus.

Installieren der Verwaltungstools

Die Verwaltungstools werden zur Installation und Konfiguration der auch Gatekeeper genannten Serverkomponente verwendet. Der Installationsprozess sollte auf demselben Server durchgeführt werden, auf dem auch der Gatekeeper ausgeführt wird.

  1. Klicken Sie im Specops Authentication-Einrichtungsassistenten (Setup Launcher) auf Verwaltungstools installieren.
  2. Wenn die Verwaltungstools installiert sind, klicken Sie auf Verwaltungstools starten.

Installieren Sie den Gatekeeper

  1. Klicken Sie auf Gatekeeper installieren.
  2. Sie werden aufgefordert, nur dann fortzufahren, wenn Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der Specops Authentication-Website vorliegen haben. Klicken Sie auf Weiter.
  3. Wenn Sie keine Berechtigung haben, Specops Authentication auf Domain-Ebene zu installieren, wird Ihnen die Option angezeigt, den Gatekeeper für eine Organisationseinheit zu konfigurieren, in der Sie Administrator sind. Schränken Sie den Speicherort des Delegationsstamms und der Einstellungsobjekte ein, und klicken Sie auf Weiter.
  4. Wählen Sie den Active Directory-Geltungsbereich aus, für den die Berechtigungen erstellt werden sollen, und klicken Sie auf Hinzufügen. Sie können mehrere Standorte für mehrere Verwaltungsbereiche auswählen. Der Active Directory-Geltungsbereich bestimmt, welche Benutzer den Specops Authentication-Service nutzen können. Wenn Sie nicht möchten, dass Administratoren und Manager in den Verwaltungsbereich fallen, sie aber dennoch das System verwalten oder Benutzer authentifizieren sollen, klicken Sie auf Admins und Manager außerhalb des ausgewählten Geltungsbereichs zulassen.
  5. Klicken Sie auf Weiter.
  6. Der Gatekeeper wird als Windows-Dienst ausgeführt. Wählen Sie den Kontokontext aus, unter dem der Gatekeeper-Dienst laufen soll.
    • Wenn Custom Domain Account (Benutzerdefiniertes Domain-Konto) ausgewählt ist, geben Sie den Kontonamen und das Kennwort des Benutzerkontos ein, unter dem der Gatekeeper-Dienst ausgeführt werden soll.
  7. Klicken Sie auf Weiter.
  8. Wenn Ihre Organisation einen Forward-Proxy-Server, um den ausgehenden Internetverkehr umzuleiten, werden Sie aufgefordert, diesen so zu konfigurieren, dass der Gatekeeper das Internet erreichen kann. Andernfalls wird dieser Schritt vom Installationsassistenten übersprungen.
  9. Folgende Sicherheitsgruppen werden erstellt. Sie können entweder die Standardgruppennamen beibehalten oder einen neuen Namen eingeben:
    • Verwaltungsgruppe: Die Benutzer in dieser Gruppe sind Portaladministratoren. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Benutzerverwaltungsgruppe: Benutzer, die Mitglieder dieser Gruppe sind, können auf die Benutzerverwaltungsfunktionen im Specops Authentication Web zugreifen. Der aktuelle Benutzer wird automatisch zu dieser Gruppe hinzugefügt.
    • Gatekeeper-Gruppe: Die Dienstkonten in dieser Gruppe müssen die Berechtigung haben, Benutzerinformationen zu lesen. Das Konto, unter dem der Gatekeeper läuft, wird der Sicherheitsgruppe Gatekeeper hinzugefügt.
  10. Klicken Sie auf Weiter.
  11. Geben Sie den Aktivierungscode von der Gatekeeper-Download-Seite auf der-Web-Website Specops Authentication ein und klicken Sie auf Aktivieren.
  12. Sie erhalten eine Meldung, dass der Gatekeeper erfolgreich konfiguriert und aktiviert wurde.
  13. Klicken Sie auf Fertigstellen.
  14. Überprüfen Sie, ob der Status der Cloud-Verbindung nun Verbunden lautet.

Einrichtung von Specops Key Recovery für die Symantec Endpoint-Verschlüsselung

  1. In Gatekeeper Admin Tool wählen Sie Key Recovery und klicken Sie auf Specops Key Recovery einrichten.
  2. Der Einrichtungsassistent wird geöffnet. Auf der Seite Beginn des Einrichtungsassistenten finden Sie eine kurze Erläuterung der Voraussetzungen, die erfüllt sein müssen, damit Specops Key Recovery erfolgreich funktionieren kann, einschließlich der Mindestberechtigungen, die gewährt werden müssen. Dazu gehört:
    • Einrichten des administrativen Zugriffs auf das Symantec Endpoint Encryption Help Desk-Web.
    • Admin-Zugriff auf den Symantec Endpoint Encryption SQL-Server und die Datenbank.
    • Einstellung der Berechtigung zum Erstellen einer Active Directory-Sicherheitsgruppe.
      HINWEIS
      Für mehr Information dazu siehe Symantec Endpoint Encryption SQL-Konfigurationen.
  3. Klicken Sie auf Weiter.
  4. Wenn Sie mehrere Gatekeeper installiert haben, wird eine zusätzliche Seite (Gatekeepers auswählen) angezeigt, und Sie müssen die Schritte 4a-b ausführen. Wenn Sie nur einen Gatekeeper installiert haben, wird dieser Schritt automatisch übersprungen.
    1. Die Konfiguration von Specops Key Recovery wird in jedem Gatekeeper gespeichert und kann nicht zwischen Gatekeepern repliziert werden. Aktivieren Sie das Kontrollkästchen neben dem Gatekeeper, den Sie konfigurieren möchten.
    2. Klicken Sie auf Weiter.
  5. Geben Sie auf der Seite SymantecEndpoint Encryption-Dienst finden des Einrichtungsassistenten die erforderlichen Informationen ein, um Specops Key Recovery den Zugriff auf die Symantec Endpoint Encryption-Umgebung Ihrer Organisation zu ermöglichen. Weitere Informationen finden Sie unter Ihr Symantec Endpoint Encryption-Konto mit Specops Key Recovery einrichten.
    1. Geben Sie die URL Ihrer Symantec Endpoint Encryption ein: Zum Beispiel: https: //mydomain.com//8080/WebConsole/
    2. Geben Sie Ihren Symantec Endpoint Encryption-Benutzernamen ein: Zum Beispiel DOMAIN\User
    3. Geben Sie Ihr Symantec Endpoint Encryption-Kennwort ein: Geben Sie das Kennwort für Ihre Symantec Endpoint Encryption-Umgebung ein
    4. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Specops Key Recovery die Verbindung zu Ihrer Symantec Endpoint Encryption-Umgebung erfolgreich hergestellt hat.
    5. Klicken Sie auf Weiter.
  6. Auf der Seite SQL-Vorbereitungen des Einrichtungsassistenten müssen Sie Folgendes tun: Erstellen Sie eine Active Directory-Sicherheitsgruppe, gewähren Sie der Gruppe Zugriff auf die Symantec Endpoint Encryption-SQL-Datenbank, und aktivieren Sie den Fernzugriff auf den SQL-Server. Um die mithilfe des PowerShell-Skripts im Einrichtungsassistenten auszuführen, führen Sie die Schritte 6a-c aus. Wenn Sie diese Schritte manuell ausführen möchten oder weitere Informationen benötigen, lesen Sie Symantec Endpoint Encryption SQL-Konfigurationen.
    1. Wählen Sie den PowerShell-Link auf der rechten Seite des Active Directory-Abschnitts. Kopieren Sie das Skript, führen Sie es in PowerShell aus, und klicken Sie auf OK.
    2. Wählen Sie den PowerShell-Link auf der rechten Seite des SQL-Server-Abschnitts. Kopieren Sie das Skript, führen Sie es in PowerShell aus, und klicken Sie auf OK.
    3. Klicken Sie auf Weiter.
      HINWEIS
      Um die oben genannten Skripte ausführen zu können, muss der Benutzer über folgende Voraussetzungen verfügen:
      • Berechtigungen zum Erstellen einer Sicherheitsgruppe und Hinzufügen der Specops Gatekeepers-Gruppe zu dieser Sicherheitsgruppe sowie Neustart des Gatekeepers.
      • Berechtigung zum Aktivieren der Fernbedienung auf dem Symantec Endpoint Encryption SQL-Server und zum Hinzufügen von Anmeldungen und Rollen.
  7. Gewähren Sie auf der Seite Datenbank des Setup-Assistenten Symantec Endpoint Encryption Zugriff, indem Sie Ihre SQL-Server-Instanz und den SQL-Server-Datenbanknamen angeben.
    1. Klicken Sie auf Verbindung testen, um sicherzustellen, dass die Verbindung erfolgreich hergestellt wurde.
    2. Klicken Sie auf Weiter.
  8. Auf der Seite Zusammenfassung des Einrichtungsassistenten erhalten Sie einen Überblick über alle konfigurierten Einstellungen. Wenn Sie mit der Konfiguration zufrieden sind, klicken Sie auf Fertig stellen.

Specops Key Recovery für BitLocker einrichten

  1. In Gatekeeper Admin Tool wählen Sie Key Recovery und klicken Sie auf Specops Key Recovery einrichten.
  2. Der Einrichtungsassistent wird geöffnet. Auf der Seite Beginn des Einrichtungsassistenten sehen Sie eine kurze Erläuterung der Schritte, die der Assistent durchführen wird. Dazu gehört:
    • Erstellen einer Active Directory-Sicherheitsgruppe für Specops Key Recovery für BitLocker.
    • Festlegung des Geltungsbereichs, in dem sich die Computer befinden, die wiederhergestellt werden können.
    • Ihren Gatekeepern erlauben, Wiederherstellungskennwörter für BitLocker zu lesen.
    • Neustart des/der Gatekeeper(s).
  3. Klicken Sie auf Weiter.
  4. Wählen Sie aus, wo Sie die Active Directory-Sicherheitsgruppe für Specops Key Recovery für BitLocker erstellen möchten.
  5. Klicken Sie auf Weiter.
  6. Wählen Sie aus, wo sich Ihre Computer befinden, die Microsoft BitLocker verwenden. Hier werden Berechtigungen für die Sicherheitsgruppe konfiguriert, um Gatekeepern das Lesen von Wiederherstellungskennwörtern zu ermöglichen.
  7. Klicken Sie auf Weiter.
  8. Eine Zusammenfassung wird angezeigt. Überprüfen Sie, ob Ihre Konfiguration korrekt ist, und drücken Sie auf Fertig stellen, um die Einrichtung abzuschließen.

Domain-Verifizierung

Um E-Mail-Benachrichtigungen zu aktivieren, müssen Sie alle mit diesem Konto verknüpften Domains verifizieren. Mehr dazu finden Sie unter Domain-Verifizierung.