Planeación de la protección de los sitios web de MBAM
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
En este tema se describen métodos de protección del sitio web de Administration and Monitoring y el portal de autoservicio de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5:
Método | Necesario u opcional |
---|---|
Uso de certificados para proteger los sitios web de MBAM |
Opcional, pero muy recomendable |
Registro de nombres de entidad de seguridad de servicio (SPN) para la cuenta del grupo de aplicaciones |
Necesario |
Para obtener más información sobre la protección de la implementación de MBAM, consulte Consideraciones sobre seguridad de MBAM 2.5.
Uso de certificados para proteger los sitios web de MBAM
Es recomendable usar un certificado para proteger la comunicación entre:
el cliente de MBAM y los servicios web
el explorador y el sitio web de Administration and Monitoring y los sitios web del portal de autoservicio
Para obtener información sobre la solicitud e instalación de un certificado, consulte Configuración de certificados del servidor de Internet.
Nota
Solo puede configurar los sitios web y los servicios web en servidores distintos si usa Windows PowerShell. Si usa el Asistente para la configuración del servidor de MBAM para configurar los sitios web, debe configurar los sitios web y los servicios web en el mismo servidor.
Para proteger la comunicación entre los servicios web y las bases de datos, es también aconsejable forzar el cifrado en SQL Server. Para obtener información sobre la protección de todas las conexiones con SQL Server, incluida la comunicación entre los servicios web y SQL Server, consulte Secure connections to SQL Server.
Registro de SPN para la cuenta del grupo de aplicaciones
Para que los servidores de MBAM puedan autenticar la comunicación desde el sitio web de Administration and Monitoring y el portal de autoservicio, debe registrar un nombre de entidad de seguridad de servicio (SPN) para el nombre de host en la cuenta de dominio que use para el grupo de aplicaciones web.
Este tema contiene instrucciones para registrar SPN para los siguientes tipos de nombres de host:
Nombre de dominio completo
Nombre NetBIOS
Nombre virtual
Antes de crear SPN para la primera instalación de MBAM
Revise la información de la tabla siguiente antes de empezar a crear SPN.
Tarea o elemento | Más información |
---|---|
Cree una cuenta de servicio en Servicios de dominio de Active Directory (AD DS). |
La cuenta de servicio es una cuenta de usuario que se crea en AD DS para proporcionar seguridad a los sitios web de MBAM. Los sitios web de MBAM se ejecutan en un grupo de aplicaciones, cuya identidad es el nombre de la cuenta de servicio. A continuación, los SPN se registran en la cuenta del grupo de aplicaciones. Nota Debe usar la misma cuenta del grupo de aplicaciones para todos los servidores web. |
Compruebe que la cuenta del grupo IIS-IUSRS o la cuenta del grupo de aplicaciones dispone de los derechos necesarios. |
Para ello, realice estos pasos:
|
Si configura los sitios web de MBAM utilizando una cuenta administrativa de dominio, MBAM creará los SPN automáticamente. |
Si configura los sitios web de MBAM utilizando una cuenta administrativa de dominio, realice los pasos de este tema para registrar SPN manualmente para el tipo de nombre de host que esté usando. |
Registro de SPN cuando se usa un nombre de host de dominio completo
Si usa un nombre de host de dominio completo al configurar MBAM, solo tiene que registrar un SPN, como se indica en el ejemplo siguiente.
Haga lo siguiente | Ejemplos y más información |
---|---|
Registre un SPN para el nombre de dominio completo. |
El nombre de host de dominio completo es mybitlockerrecovery.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
Configure la delegación restringida para el SPN que está registrando para la cuenta del grupo de aplicaciones. |
Configuración de la delegación restringida Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1. |
Registro de SPN cuando se usa un nombre de host NetBIOS
Si usa un nombre de host NetBIOS al configurar MBAM, registre un SPN para el nombre NetBIOS y otro para el nombre de dominio completo, como se indica en los ejemplos siguientes.
Haga lo siguiente | Ejemplos y más información |
---|---|
Registre un SPN para el nombre de host NetBIOS. |
El nombre de host NetBIOS es nbname01 y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
Registre un SPN para el nombre de dominio completo. |
El nombre de host de dominio completo es nbname01.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
Configure la delegación restringida para los SPN que está registrando para la cuenta del grupo de aplicaciones. |
Configuración de la delegación restringida Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1. |
Registro de SPN cuando se usa un nombre de host virtual
Si configura MBAM con un nombre de host virtual que es un nombre de dominio completo, registre solo un SPN para el nombre de host virtual. Si el nombre de host virtual que configura no es un nombre de dominio completo, debe crear un segundo SPN que especifique el nombre de dominio completo, como se describe en los ejemplos siguientes.
Haga lo siguiente | Ejemplos y más información |
---|---|
Si el nombre de host virtual es un nombre de dominio completo, como en este ejemplo, registre solo un SPN. |
En el ejemplo, el nombre de host virtual es mbamvirtual.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
Registre este SPN adicional si el nombre de host virtual no es un nombre de dominio completo. |
En el ejemplo, el nombre de host virtual es mbamvirtual y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
Registre este SPN adicional si el nombre de host virtual no es un nombre de dominio completo. |
En el ejemplo, el nombre de host virtual es mbamvirtual.contoso.com y la cuenta de dominio que se usa para el grupo de aplicaciones web es contoso\mbamapppooluser. |
En el Servidor de nombres de dominio (DNS), cree un “registro A” para el nombre de host personalizado y diríjalo a un servidor web o un equilibrador de carga. |
Consulte la sección “Para configurar los registros de host DNS A” en Configurar registros de host DNS. Se recomienda usar registros A en lugar de CNAMES. Si usa CNAMES para indicar la dirección del dominio, también debe registrar SPN para el nombre del servidor web en la cuenta del grupo de aplicaciones. |
Configure la delegación restringida para los SPN que está registrando para la cuenta del grupo de aplicaciones. |
Configuración de la delegación restringida Este requisito solo se aplica a MBAM 2.5; no es necesario en MBAM 2.5 SP1. |
Registro de un SPN al actualizar desde versiones anteriores de MBAM
Realice los pasos de esta sección solo si desea:
Actualizar desde una versión anterior de MBAM.
Ejecutar los sitios web de MBAM 2.5 en una configuración con equilibrio de carga o distribuida y, en la actualidad, utiliza una configuración sin equilibrio de carga.
Si ya ha registrado SPN en la cuenta del equipo y no en una cuenta del grupo de aplicaciones, MBAM usa los SPN existentes, y los sitios web no se pueden configurar en una configuración con equilibrio de carga o distribuida.
Haga lo siguiente | Ejemplos y más información | ||||||||
---|---|---|---|---|---|---|---|---|---|
Cree una cuenta del grupo de aplicaciones en Servicios de dominio de Active Directory (AD DS). |
|||||||||
Desinstale los sitios web y los servicios web que estén instalados. |
|||||||||
Quite los SPN de la cuenta del equipo. |
|
||||||||
Registre SPN en la cuenta del grupo de aplicaciones |
Realice estos pasos para el Registro de SPN cuando se usa un nombre de host virtual. |
||||||||
Vuelva a configurar las aplicaciones y los servicios web. |
|||||||||
Realice uno de los procedimientos siguientes, según el método de configuración que utilice:
|
Cuando MBAM configura las aplicaciones web, tratará de registrar los SPN automáticamente, pero solo puede hacerlo si usted dispone de derechos de administrador de dominio en el servidor en el que está instalando MBAM. Si no dispone de estos derechos, puede finalizar la configuración, pero tendrá que definir los SPN después de configurar MBAM. |
¿Tiene alguna sugerencia sobre MBAM?
Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.
Véase también
Otros recursos
Preparación del entorno para MBAM 2.5
Requisitos previos de implementación de MBAM 2.5