Установка и настройка MBAM на одном сервере

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

В этой статье описаны процедуры установки Администрирование и мониторинг Microsoft BitLocker (MBAM) в изолированной топологии на одном сервере. Конфигурация с одним сервером используется только в тестовой среде. В рабочих средах используется не менее двух серверов. Если для установки Администрирование и мониторинг Microsoft BitLocker используется топология Configuration Manager, см. раздел Развертывание MBAM с Configuration Manager.

На следующей схеме показан пример архитектуры с одним сервером. Описание баз данных и компонентов см. в разделе Высокоуровневая архитектура MBAM 2.0.

Односерверная топология развертывания MBAM 2

Для каждого компонента сервера имеются определенные необходимые компоненты. Чтобы проверить наличие необходимых компонентов, а также соответствие требованиям к оборудованию и программному обеспечению, см. Необходимые условия для развертывания MBAM 2.0 и Поддерживаемые конфигурации MBAM 2.0. Кроме того, для некоторых компонентов во время процесса установки необходимо указать определенные сведения, чтобы успешно развернуть компонент. Также перед началом развертывания MBAM следует ознакомиться с разделом Подготовка среды для MBAM 2.0.

Примечание

Чтобы получить файлы журнала установки, для установки MBAM необходимо использовать пакет Msiexec с параметром /L <расположение>. Файлы журнала создаются в указанном вами месте.

Дополнительные файлы журнала установки создаются в папке %temp% на сервере пользователя, запустившего установку MBAM.

Установка компонентов сервера MBAM на одном сервере

Далее приведено описание процесса установки общих компонентов MBAM.

Начало установки компонентов сервера MBAM

  1. На сервере, на котором необходимо установить MBAM, запустите программу MBAMSetup.exe, чтобы открыть мастер установки MBAM.

  2. На странице приветствия при необходимости выберите пункт Программа улучшения качества программного обеспечения и нажмите кнопку Начать.

  3. Прочтите и примите условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт, после чего нажмите кнопку Далее для продолжения установки.

  4. На странице Выбор топологии выберите вариант Изолированная и нажмите кнопку Далее.

  5. На странице Выберите компоненты для установки выберите компоненты для установки. По умолчанию выбрана установка всех компонентов MBAM. Компоненты, устанавливаемые на одном компьютере, необходимо установить все сразу. Снимите флажки напротив компонентов, которые требуется установить в другом месте. Компоненты MBAM следует устанавливать в следующем порядке.

    • База данных восстановления

    • База данных соответствия и аудита

    • Отчеты о соответствии и аудите

    • Сервер самообслуживания

    • Сервер администрирования и наблюдения

    • Шаблон групповой политики MBAM

    Примечание

    Мастер установки проверяет необходимые компоненты для установки и отображает те их них, которые отсутствуют. Если все необходимые компоненты присутствуют, установка продолжится. Если некоторые компоненты отсутствуют, необходимо решить проблему и затем щелкнуть Проверить необходимые компоненты еще раз. Если повторная проверка покажет, что все необходимые компоненты присутствуют, установка продолжится.

  6. На странице Настроить параметры безопасности сетевых подключений укажите, должен ли шифроваться обмен данными между веб-службами на сервере администрирования и наблюдения и клиентами. Если обмен данными должен шифроваться, выберите для шифрования сертификат, выпущенный центром сертификации. Чтобы сертификат можно было выбрать на этой странице, он должен быть создан заранее.

    Примечание

    Эта страница отображается, только если на странице Выберите компоненты для установки был выбран компонент "Портал самообслуживания" или "Сервер администрирования и наблюдения".

  7. Нажмите кнопку Далее и перейдите к следующему набору действий по настройке компонентов сервера MBAM.

Настройка компонентов сервера MBAM

  1. На странице Настроить базу данных восстановления укажите имя экземпляра SQL Server и имя базы данных, в которой будут храниться данные восстановления. Также необходимо указать, где будут размещены файлы базы данных и куда будут записываться данные журнала.

  2. Для продолжения нажмите кнопку Далее.

  3. На странице Настроить базу данных соответствия и аудита укажите имя экземпляра SQL Server и имя базы данных, в которой будут храниться данные соответствия и аудита. Также необходимо указать, где будут размещены файлы базы данных и куда будут записываться данные журнала.

  4. Для продолжения нажмите кнопку Далее.

  5. На странице Настроить отчеты по соответствию и аудиту укажите экземпляр служб SQL Server Reporting Services, в котором будут установлены отчеты о соответствии и аудите, а также имя и пароль учетной записи пользователя домена для доступа к базе данных соответствия и аудита. Настройте для этой учетной записи бессрочный пароль. Учетная запись должна иметь права на доступ ко всем данным, доступным для группы пользователей отчетов MBAM.

  6. Для продолжения нажмите кнопку Далее.

  7. На странице Настроить портал самообслуживания укажите номер порта, имя узла, имя виртуального каталога и путь установки для портала самообслуживания.

    Примечание

    Указываемый порт должен представлять собой неиспользуемый порт на сервере администрирования и наблюдения, если не указано уникальное имя заголовка узла. Если используется брандмауэр Windows, этот порт будет открыт автоматически.

  8. Для продолжения нажмите кнопку Далее.

  9. Укажите, будут ли использоваться обновления Майкрософт для обеспечения защиты компьютера, после чего нажмите кнопку Далее. Это не приведет к включению автоматического обновления в Windows.

  10. На странице Настроить сервер администрирования и наблюдения укажите номер порта, имя узла, имя виртуального каталога и путь установки для веб-сайта службы поддержки.

    Примечание

    Указываемый порт должен представлять собой неиспользуемый порт на сервере администрирования и наблюдения, если не указано уникальное имя заголовка узла. Если используется брандмауэр Windows, этот порт будет открыт автоматически.

  11. На странице Сводка по установке просмотрите список устанавливаемых компонентов и нажмите кнопку Установить, чтобы начать установку компонентов MBAM. Нажмите кнопку Назад, чтобы перейти к предыдущим страницам мастера для просмотра или изменения параметров установки, или кнопку Отмена, чтобы выйти из программы установки. Программа установки установит компоненты MBAM и выведет уведомление о завершении установки.

  12. Нажмите кнопку Готово, чтобы закрыть мастер. Когда компоненты сервера Администрирование и мониторинг Microsoft BitLocker будут установлены, перейдите к следующему разделу и выполните действия по добавлению пользователей к ролям Администрирование и мониторинг Microsoft BitLocker. Дополнительные сведения о ролях см. в разделе Планирование MBAM 2.0 ролей администратора.

Выполнение настройки после установки

  1. На сервере администрирования и наблюдения добавьте пользователей в следующие локальные группы, чтобы предоставить им доступ к компонентам веб-сайта службы поддержки MBAM.

    • Пользователи службы поддержки MBAM. Члены этой локальной группы имеют доступ к компонентам "Восстановление диска" и "Управление TPM" на веб-сайте администрирования и наблюдения MBAM. Пользователь службы поддержки должен заполнить все поля в компонентах "Восстановление диска" и "Управление TPM".

    • Опытные пользователи службы поддержки MBAM. Члены этой локальной группы имеют расширенный доступ к компонентам "Восстановление диска" и "Управление TPM" на веб-сайте администрирования и наблюдения MBAM. В компоненте "Восстановление диска" для опытных пользователей службы технической поддержки обязательным является только поле ИД ключа. В компоненте "Управление TPM" обязательными являются только поля Домен компьютера и Имя компьютера.

  2. На сервере администрирования и наблюдения добавьте пользователей в следующую локальную группу, чтобы предоставить им доступ к компоненту отчетов на веб-сайте администрирования и наблюдения MBAM.

    • Пользователи отчетов MBAM. Члены этой локальной группы имеют доступ к компоненту отчетов на веб-сайте администрирования и наблюдения MBAM.

    • Настройте фирменную символику для портала самообслуживания, указав название компании, текст уведомления и другие сведения для конкретной компании. Инструкции см. в разделе Настройка фирменной символики для портала самообслуживания.

    Примечание

    На всех компьютерах, на которых установлены компоненты сервера администрирования и наблюдения MBAM, база данных соответствия и аудита, а также компонент отчетов о соответствии и аудите, должно быть настроено аналогичное членство пользователей или групп в локальной группе Пользователи отчетов MBAM. Для этого рекомендуется создать группу безопасности домена и добавить ее в каждую локальную группу "Пользователи отчетов MBAM". При использовании этого процесса для управления членством в группах используется группа домена.

Проверка установки компонентов сервера MBAM

После установки Администрирование и мониторинг Microsoft BitLocker необходимо проверить, что все компоненты MBAM, необходимые для управления BitLocker, успешно установлены. С помощью следующей процедуры убедитесь, что служба MBAM работает.

Проверка установки компонентов сервера MBAM

  1. На каждом сервере, на котором развернут компонент MBAM, откройте Панель управления. Последовательно выберите элементы Программы и Программы и компоненты. Убедитесь, что в списке Программы и компоненты присутствует пункт Microsoft BitLocker Administration and Monitoring.

    Примечание

    Чтобы проверить установку, необходимо использовать учетную запись домена с правами администратора локального компьютера на каждом сервере.

  2. На сервере, на котором установлена база данных восстановления, откройте SQL Server Management Studio и убедитесь, что установлена база данных Восстановление и оборудование MBAM.

  3. На сервере, на котором установлена база данных соответствия и аудита, откройте SQL Server Management Studio и убедитесь, что установлена база данных Состояние соответствия MBAM.

  4. На сервере, на котором установлены отчеты о соответствии и аудите, откройте браузер от имени администратора и перейдите на домашнюю страницу сайта служб SQL Server Reporting Services.

    Домашняя страница по умолчанию экземпляра сайта служб отчетов SQL Server Reporting Services находится по адресу: http://<имя_сервера_отчетов_MBAM>/Reports. Чтобы найти фактический URL-адрес, откройте диспетчер конфигурации служб Reporting Services и выберите экземпляры, указанные во время установки.

    Убедитесь, что папка отчетов с именем Microsoft BitLocker Administration and Monitoring содержит источник данных MaltaDataSource и что папка ru-ru содержит четыре отчета.

    Примечание

    Если службы SQL Server Reporting Services были настроены как именованный экземпляр, URL-адрес должен иметь следующий формат: http://<имя_сервера_отчетов_MBAM>/Reports_<имя_экземпляра_SRS>.

    Примечание

    Если службы SSRS не были настроены для использования протокола SSL, при установке сервера MBAM URL-адрес отчетов будет содержать префикс протокола HTTP, а не HTTPS. Если затем перейти на веб-сайт администрирования и наблюдения и выбрать отчет, появится следующее сообщение: "Отображается только безопасный контент". Чтобы просмотреть отчет, нажмите кнопку Отображать весь контент.

  5. На сервере, на котором установлен компонент администрирования и наблюдения, запустите Диспетчер сервера и перейдите на страницу Роли. Выберите роль Веб-сервер (IIS) и щелкните Диспетчер служб IIS.

  6. В группе Подключения перейдите к компьютеру <имя_компьютера>, выберите Сайты, а затем выберите Microsoft BitLocker Administration and Monitoring. Убедитесь, что в списке присутствуют службы MBAMAdministrationService, MBAMUserSupportService, MBAMComplianceStatusService и MBAMRecoveryAndHardwareService.

  7. На сервере, на котором установлены компоненты администрирования и наблюдения и портал самообслуживания, откройте браузер от имени администратора и перейдите по следующим ссылкам, чтобы проверьте успешность их загрузки:

    • http://<имя_узла>/HelpDesk/default.aspx (проверьте все ссылки для навигации и отчетов)

    • http://<имя_узла>/SelfService>/

    • http://<имя_компьютера>/MBAMAdministrationService/AdministrationService.svc

    • http://<имя_узла>/MBAMUserSupportService/UserSupportService.svc

    • http://<имя_компьютера>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<имя_компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc

    Примечание

    Предполагается, что для установки компонентов сервера использовался порт по умолчанию без шифрования сети. Если для установки компонентов сервера использовался другой порт или виртуальный каталог, измените URL-адреса так, чтобы они содержали соответствующий порт, например
    http://<имя_узла>:<порт>/HelpDesk/default.aspx или
    http://<имя_узла>:<порт>/<виртуальный_каталог>/default.aspx.

    Если компоненты сервера были установлены с шифрованием сети, замените префикс "http://" на "https://".

См. также

Другие ресурсы

Развертывание инфраструктуры сервера MBAM 2.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----