MBAM 2.5 の高可用性のための計画

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Microsoft BitLocker Administration and Monitoring (MBAM) には、高可用性を確保するために、次のテクノロジが少なくとも 1 つ使用されています。それらのテクノロジについて以降のセクションで説明します。

• SQL Server AlwaysOn 可用性グループのサポート

• Microsoft SQL Server クラスタリング

• IIS ネットワーク負荷分散

• SQL Server のデータベース ミラーリング

• ボリューム シャドウ コピー サービス (VSS) を使用した MBAM データベースのバックアップ

MBAM を高可用性構成で展開する際にどのような方法があるのかについては、以降のセクションの情報を参考にしてください。

SQL Server AlwaysOn 可用性グループのサポート

MBAM では、データベースの可用性グループを Microsoft SQL Server に構成して管理することができます。MBAM の可用性グループがサポートするフェールオーバー環境では、準拠と監査データベースおよび回復データベースが別々にではなく一緒にフェールオーバーされます。

可用性グループは、一連の読み取り/書き込みプライマリ データベースと、それに対応する 1 ～ 4 セットのセカンダリ データベースをサポートします。セカンダリ データベースは必要に応じて、読み取り専用権限、いくつかのバックアップ操作、またはその両方ができるように設定できます。

可用性グループの設定方法については、「AlwaysOn Availability Groups (AlwaysOn 可用性グループ)」をご覧ください。

Microsoft SQL Server クラスタリング

MBAM 2.5 の準拠と監査データベースおよび回復データベースは、SQL Server クラスターが実行されているコンピューター上で実行できます。

IIS ネットワーク負荷分散

インターネット インフォメーション サービス (IIS) を使って展開される Web サービスや、Administration and Monitoring Web サイト (ヘルプ デスク)、セルフサービス ポータルを実行するコンピューターには、ネットワーク負荷分散を使用して高可用性環境を構成できます。

前提条件

負荷分散を構成する前に、次の前提条件が満たされていることをご確認ください。

• ロード バランサーが利用できること。Microsoft のほかサードパーティのロード バランサーを使用することができます。Microsoft のロード バランサー テクノロジの詳細については、「Build a Web Farm with IIS Servers (IIS サーバーを使用した Web ファームの構築)」をご覧ください。

• MBAM の Web 機能 (ASP.NET MVC 4 など) をサポートするために必要な前提条件をすべて満たした、IIS を実行する少なくとも 2 台のサーバー。

• MBAM のデータベースとレポートがサーバー上で実行されていること。

負荷分散を有効にするために MBAM に対して行う必要がある変更

次の作業を行います。

1. Web アプリケーション プールに使用しているドメイン アカウント下に、仮想ホスト名のサービス プリンシパル名 (SPN) を登録します。たとえば、仮想ホスト名が mbamvirtual.contoso.com で、Web アプリケーション プールに使用されているドメイン アカウントが contoso\mbamapppooluser である場合、以下のコマンドを実行することで、SPN が適切に登録されます。

   Setspn -s http//mbamvirtual contoso\mbamapppooluser

   Setspn -s http//mbamvirtual.contoso.com contoso\mbamapppooluser

2. 次の MBAM Web 機能を構成します。

   • MBAM の Web 機能をホストする各サーバーには、アプリケーション プールの管理者資格情報に同じドメイン アカウントを使用します。

   • 負荷分散クラスターの仮想ホスト名 (DNS 名) と一致するホスト名を指定します。たとえば、"NLB1" というサーバーに対し、mbamvirtual.contoso.com という仮想ホスト名で MBAM をインストールするとき、Windows PowerShell コマンドレットで指定するホスト名は mbamvirtual.contoso.com となります。

3. ロード バランサーで負荷分散された Web ファーム内に Web サイトを構成する場合は、同じコンピューター キーを使用するようにその Web サイトを構成する必要があります。

   詳細については、「machineKey Element (ASP.NET Settings Schema) (machineKey 要素 (ASP.NET 設定スキーマ))」で次のセクションをご覧ください。

   • Machine Key Explained (コンピューター キーの説明)

   • Web Farm Deployment Considerations (Web ファームのデプロイメントに関する考慮事項)

   キーを自動的に生成する方法については、「コンピューター キーを生成する (IIS 7)」を参照してください。

負荷分散に関する情報は、Windows Server 2012 と Windows Server 2008 R2 の IIS ネットワーク負荷分散 (NLB) クラスターにも当てはまります。Windows Server 2012 の IIS ネットワーク負荷分散機能は、Windows Server 2008 R2 とほぼ同じです。ただし、一部のタスクの細部が、Windows Server 2012 では異なります。タスクの変更点については、「Common Management Tasks and Navigation in Windows Server 2012 R2 Preview and Windows Server 2012 (Windows Server 2012 R2 Preview と Windows Server 2012 の一般的な管理タスクとナビゲーション)」をご覧ください。

SQL Server のデータベース ミラーリング

MBAM は、SQL Server ミラーリングをサポートしています。準拠と監査データベースおよび回復データベースはそれぞれ、SQL Server の 2 つのインスタンスを使用してミラーリングされます。ミラーリングを導入する場合は、事前に注意が必要です。今後ミラーリングは段階的に廃止され、このトピックの前半で取り上げた可用性グループに置き換えられます。

MBAM のミラーリングを導入するには、Enable-MbamWebApplication Windows PowerShell コマンドレットを使用して、ミラー化されたデータベース構成に適切な接続文字列を指定する必要があります。MBAM 2.5 の Windows PowerShell コマンドレットの詳細については、「Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成」をご覧ください。

Windows PowerShell を使用して SQL Server ミラーリングを導入する例

次の例では、Windows PowerShell のコマンドレットを使用して、SQL Server ミラーリングを導入する方法を紹介しています。

例 1

Enable-MbamWebApplication -AdministrationPortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -AdvancedHelpdeskAccessGroup “MyDomain\AdvancedUserGroup” -HelpdeskAccessGroup “MyDomain\StandardUserGroup” -ReportsReadOnlyAccessGroup "MyDomain\ReportUserGroup" -ReportUrl "https://MyReportServer/ReportServer" -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)

例 2

Enable-MbamWebApplication -SelfServicePortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer; Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;I Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)

SQL Server ミラーリングに関するその他の情報

SQL Server ミラーリングの構成について詳しく説明したトピックへのリンクを次に示します。

• 方法:ミラーリング用のミラー データベースを準備する (Transact-SQL)

• Windows 認証を使用してデータベース ミラーリング セッションを確立する (SQL Server Management Studio)

ボリューム シャドウ コピー サービス (VSS) を使用した MBAM データベースのバックアップ

MBAM には、Microsoft BitLocker Administration and Management Writer と呼ばれるボリューム シャドウ コピー サービス (VSS) ライターが備わっています。準拠と監査データベースおよび回復データベースのバックアップは、この VSS ライターによって円滑化されます。

VSS ライターは、MBAM Web アプリケーションを有効にするすべてのサーバーに登録します。MBAM VSS ライターは、Microsoft SQL Server のインストールの一環として登録される SQL Server VSS Writer に依存します。VSS ライターを使用してバックアップを行うすべてのバックアップ テクノロジは、MBAM VSS ライターを検出することができます。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

関連項目

その他の参照情報

MBAM 2.5 の展開計画