Установка и настройка MBAM на распределенных серверах

Обновлено: Апрель 2013 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

В этой статье описаны процедуры установки Администрирование и мониторинг Microsoft BitLocker (MBAM) 2.0 в изолированной топологии на распределенных серверах. Схему рекомендуемой архитектуры, а также описания баз данных и компонентов см. в разделе Развертывание инфраструктуры сервера MBAM 2.0. Сведения об установке Администрирование и мониторинг Microsoft BitLocker в топологии Configuration Manager см. в разделе Развертывание MBAM с Configuration Manager.

Для каждого компонента сервера имеются определенные необходимые компоненты. Чтобы проверить наличие необходимых компонентов, а также соответствие требованиям к оборудованию и программному обеспечению, см. Необходимые условия для развертывания MBAM 2.0 и Поддерживаемые конфигурации MBAM 2.0. Кроме того, некоторые компоненты для успешного развертывания требуют предоставления определенных сведений в процессе установки. Также перед началом развертывания MBAM следует ознакомиться с разделом Планирование развертывания сервера 2.0 MBAM.

noteПримечание
Чтобы получить файлы журнала установки, для установки MBAM необходимо использовать пакет Msiexec с параметром /L <расположение>. Файлы журнала создаются в указанном вами месте.

Дополнительные файлы журнала установки создаются в папке %temp% на сервере пользователя, запустившего установку MBAM.

Развертывание компонентов сервера MBAM

Далее приведено описание процесса установки общих компонентов MBAM.

Запуск мастера установки сервера MBAM

  1. На сервере, на котором необходимо установить Администрирование и мониторинг Microsoft BitLocker, запустите программу MBAMSetup.exe, чтобы открыть мастер установки MBAM.

  2. На странице приветствия при необходимости выберите пункт Программа улучшения качества программного обеспечения и нажмите кнопку Начать.

  3. Прочтите и примите условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт, после чего нажмите кнопку Далее для продолжения установки.

  4. На странице Выбор топологии выберите вариант Изолированная и нажмите кнопку Далее.

    noteПримечание
    Сведения об установке MBAM в интегрированной топологии Configuration Manager см. в разделе Развертывание MBAM с Configuration Manager.

  5. Выберите компоненты для установки. По умолчанию выбрана установка всех компонентов MBAM. Отмените компоненты, которые требуется установить в другом месте. Компоненты, устанавливаемые на одном компьютере, необходимо установить все сразу. Компоненты MBAM следует устанавливать в следующем порядке.

    • База данных восстановления

    • База данных соответствия и аудита

    • Отчеты о соответствии и аудите

    • Портал самообслуживания

    • Сервер администрирования и наблюдения

    • Шаблон групповой политики MBAM

    noteПримечание
    Мастер установки проверяет необходимые компоненты для установки и отображает те их них, которые отсутствуют. Если все необходимые компоненты присутствуют, установка продолжится. Если некоторые компоненты отсутствуют, необходимо решить проблему и затем щелкнуть Проверить необходимые компоненты еще раз. Если повторная проверка покажет, что все необходимые компоненты присутствуют, установка продолжится.

    В мастере установки MBAM отобразятся страницы установки выбранных компонентов. В следующих разделах описаны процедуры установки для каждого компонента.

    noteПримечание
    Следующие инструкции предполагают установку каждого компонента на отдельном сервере. Если несколько компонентов устанавливаются на одном сервере, некоторые действия можно изменить или исключить.

Установка базы данных восстановления

  1. На странице Настроить базу данных восстановления укажите имена компьютеров, на которых будет работать компонент сервера администрирования и наблюдения. После развертывания компонент сервера администрирования и наблюдения подключается к базе данных, используя свою учетную запись домена.

  2. Для продолжения нажмите кнопку Далее.

  3. Укажите имя экземпляра SQL Server и имя базы данных, в которой будут храниться данные восстановления. Также необходимо указать, где будет размещена база данных и куда будут записываться данные журнала.

  4. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки MBAM.

Установка базы данных сведений о соответствии и аудите

  1. На странице Настроить базу данных соответствия и аудита укажите учетную запись пользователя, которая будет использоваться для доступа к базе данных для работы с отчетами.

  2. Укажите имена компьютеров, на которых будут работать сервер администрирования и наблюдения и отчеты о соответствии и аудите. После развертывания сервер администрирования и наблюдения и сервер отчетов о соответствии и аудите подключаются к базам данных, используя свои учетные записи домена.

    noteПримечание
    Если база данных соответствия и аудита устанавливается без компонента отчетов о соответствии и аудите, на компьютере базы данных соответствия и аудита необходимо добавить исключение, чтобы разрешить входящий трафик через порт Microsoft SQL Server. По умолчанию используется порт 1433.

  3. Укажите имя экземпляра SQL Server и имя базы данных, в которой будут храниться данные соответствия и аудита. Также необходимо указать, где будет размещена база данных и куда будут записываться данные журнала.

  4. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки Администрирование и мониторинг Microsoft BitLocker.

Установка компонента отчетов о соответствии и аудите

  1. На странице Настроить отчеты по соответствию и аудиту укажите имя удаленного экземпляра SQL Server (например, <имя_сервера>), в котором была установлена база данных соответствия и аудита.

    noteПримечание
    Если отчеты о соответствии и аудите устанавливаются без сервера администрирования и наблюдения, на компьютере отчетов о соответствии и аудите необходимо добавить исключение, чтобы разрешить входящий трафик через порт сервера отчетов (по умолчанию используется порт 80).

  2. Укажите имя базы данных соответствия и аудита. Именем базы данных по умолчанию является "Состояние соответствия MBAM", однако это имя можно изменить во время установки базы данных соответствия и аудита.

  3. Для продолжения нажмите кнопку Далее.

  4. Выберите экземпляр служб SQL Server Reporting Services, в котором будут установлены отчеты о соответствии и аудите. Укажите имя и пароль учетной записи пользователя домена для доступа к базе данных соответствия и аудита. Настройте для этой учетной записи бессрочный пароль. Учетная запись пользователя должна иметь доступ ко всем данным, доступным для группы пользователей отчетов MBAM.

  5. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки Администрирование и мониторинг Microsoft BitLocker.

Установка портала самообслуживания

  1. На странице Настроить портал самообслуживания при необходимости можно настроить шифрование обмена данными между порталом самообслуживания и серверами администрирования и наблюдения. Если вы решите использовать шифрование обмена данными, вам будет предложено выбрать для шифрования сертификат, выпущенный центром сертификации.

  2. Для продолжения нажмите кнопку Далее.

  3. Укажите удаленный экземпляр SQL Server (например, <имя_сервера>), на котором была установлена база данных соответствия и аудита.

  4. Укажите имя базы данных соответствия и аудита. Именем базы данных по умолчанию является "Состояние соответствия MBAM". Однако это имя можно изменить во время установки базы данных соответствия и аудита.

  5. Для продолжения нажмите кнопку Далее.

  6. Укажите удаленный экземпляр SQL Server (например, <имя_сервера>), на котором была установлена база данных восстановления.

  7. Укажите имя базы данных восстановления. По умолчанию именем базы данных является Восстановление и оборудование MBAM. Однако это имя можно изменить во время установки базы данных восстановления.

  8. Для продолжения нажмите кнопку Далее.

  9. Введите данные в полях Port Number (Номер порта), Host Name (Имя узла) (необязательно) и Installation Path (Путь установки) для сервера администрирования и наблюдения MBAM

    noteПримечание
    Указываемый порт должен представлять собой неиспользуемый порт на сервере администрирования и наблюдения, если не указано уникальное имя заголовка узла. Если используется брандмауэр Windows, этот порт будет открыт автоматически.

  10. Если для портала самообслуживания необходимо зарегистрировать имя субъекта-службы, установите флажок Register this machine’s Service Principal Names (SPN) with Active Directory (Required for Windows Authentication) (Зарегистрировать имена субъектов-служб этого компьютера в Active Directory (требуется для проверки подлинности Windows)). Если установить этот флажок, программа установки MBAM не будет предпринимать попытку регистрации существующих имен субъектов-служб, и вы сможете вручную зарегистрировать имя субъекта-службы до или после установки MBAM. Инструкции по регистрации имени субъекта-службы вручную см. в разделе Регистрация имени участника-службы вручную.

  11. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки Администрирование и мониторинг Microsoft BitLocker.

  12. Укажите, будут ли использоваться обновления Майкрософт для обеспечения защиты компьютера, после чего нажмите кнопку Далее.

  13. После ввода сведений о выбранном компоненте MBAM можно приступить к установке MBAM с помощью мастера установки. Нажмите кнопку Назад для перехода к предыдущим этапам мастера с целью просмотра или изменения параметров установки. Нажмите кнопку Установить, чтобы начать установку. Нажмите кнопку Отмена, чтобы закрыть мастер. Программа установки выполнит установку указанных компонентов MBAM и уведомит об окончании установки.

  14. Нажмите кнопку Готово, чтобы закрыть мастер.

    noteПримечание
    Чтобы настроить портал самообслуживания после установки, настройте для него фирменную символику, указав название компании и другие сведения для конкретной компании, как описано в разделе Настройка фирменной символики для портала самообслуживания.

  15. Если клиентские компьютеры имеют доступ к сети доставки содержимого (CDN) корпорации Майкрософт, посредством которой портал самообслуживания может получить требуемый доступ к некоторым файлам JavaScript, установка портала самообслуживания может считаться завершенной. Если клиентские компьютеры не имеют доступа к CDN корпорации Майкрософт, выполните действия, описанные в следующем разделе, чтобы настроить для портала самообслуживания ссылки на файлы JavaScript в доступном источнике.

Настройка портала самообслуживания при отсутствии у конечных пользователей доступа к сети доставки содержимого корпорации Майкрософт

  1. Если клиентские компьютеры имеют доступ к сети доставки содержимого (CDN) корпорации Майкрософт, посредством которой портал самообслуживания может получить требуемый доступ к некоторым файлам JavaScript, установка портала самообслуживания может считаться завершенной. Если клиентские компьютеры не имеют доступа к CDN корпорации Майкрософт, выполните остальные действия в данном разделе, чтобы настроить для портала самообслуживания ссылки на файлы JavaScript в доступном источнике.

  2. Загрузите четыре файла JavaScript из CDN корпорации Майкрософт.

  3. Скопируйте файлы JavaScript в каталог Scripts портала самообслуживания. Этот каталог имеет следующий путь: <каталог установки портала самообслуживания MBAM>\Self Service Website\Scripts.

  4. Измените раздел AppSettings в службах IIS с учетом нового расположения.

    • jQueryPath: /<виртуальный каталог>/Scripts/ jQuery-1.7.2.min.js

    • MicrosoftAjaxPath: /<виртуальный каталог>/Scripts/ MicrosoftAjax.js

    • MicrosoftMvcAjaxPath: /<виртуальный каталог>/Scripts/ MicrosoftMvcAjax.js

    • MicrosoftMvcValidationPath: /<виртуальный каталог>/Scripts/ MicrosoftMvcValidation.js

Установка компонента сервера администрирования и наблюдения

  1. MBAM может обеспечить шифрование обмена данными между веб-службами и серверами администрирования и наблюдения. Если вы решите использовать шифрование обмена данными, вам будет предложено выбрать для шифрования сертификат, выпущенный центром сертификации.

  2. Для продолжения нажмите кнопку Далее.

  3. Укажите удаленный экземпляр SQL Server (например, <имя_сервера>), в котором была установлена база данных соответствия и аудита.

  4. Укажите имя базы данных соответствия и аудита. Именем базы данных по умолчанию является "Состояние соответствия MBAM". Однако это имя можно изменить во время установки базы данных соответствия и аудита.

  5. Для продолжения нажмите кнопку Далее.

  6. Укажите удаленный экземпляр SQL Server (например, <имя_сервера>), в котором была установлена база данных восстановления.

  7. Укажите имя базы данных восстановления. По умолчанию именем базы данных является Восстановление и оборудование MBAM. Однако это имя можно изменить во время установки базы данных восстановления.

  8. Для продолжения нажмите кнопку Далее.

  9. Укажите URL-адрес "домашней страницы" сайта служб отчетов SQL Server (SRS). Расположение домашней страницы экземпляра сайта служб отчетов SQL Server по умолчанию:

    http://<Имя_сервера_отчетов_MBAM>/ReportServer

    noteПримечание
    Если службы SQL Server Reporting Services были настроены как именованный экземпляр, URL-адрес имеет следующий формат: http://<имя_сервера_отчетов_MBAM>/ReportServer_<имя_экземпляра_SRS>.

  10. Для продолжения нажмите кнопку Далее.

  11. Введите данные в полях Port Number (Номер порта), Host Name (Имя узла) (необязательно) и Installation Path (Путь установки) для сервера администрирования и наблюдения MBAM

    noteПримечание
    Указываемый порт должен представлять собой неиспользуемый порт на сервере администрирования и наблюдения, если не указано уникальное имя заголовка узла. Если используется брандмауэр Windows, этот порт будет открыт автоматически.

  12. Если для портала самообслуживания необходимо зарегистрировать имя субъекта-службы, установите флажок Register this machine’s Service Principal Names (SPN) with Active Directory (Required for Windows Authentication) (Зарегистрировать имена субъектов-служб этого компьютера в Active Directory (требуется для проверки подлинности Windows)). Если установить этот флажок, программа установки MBAM не будет предпринимать попытку регистрации существующих имен субъектов-служб, и вы сможете вручную зарегистрировать имя субъекта-службы до или после установки MBAM. Инструкции по регистрации имени субъекта-службы вручную см. в разделе Регистрация имени участника-службы вручную.

  13. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки Администрирование и мониторинг Microsoft BitLocker.

  14. Укажите, будут ли использоваться обновления Майкрософт для обеспечения защиты компьютера, после чего нажмите кнопку Далее.

  15. После ввода сведений о выбранном компоненте MBAM можно приступить к установке MBAM с помощью мастера установки. Нажмите кнопку Назад для перехода к предыдущим этапам мастера с целью просмотра или изменения параметров установки. Нажмите кнопку Установить, чтобы начать установку. Нажмите кнопку Отмена, чтобы закрыть мастер. Программа установки выполнит установку указанных компонентов MBAM и уведомит об окончании установки.

  16. Нажмите кнопку Готово, чтобы закрыть мастер.

Выполнение настройки после установки

  1. На сервере администрирования и наблюдения добавьте пользователей в следующие локальные группы, чтобы предоставить им доступ к компонентам на веб-сайте администрирования и наблюдения MBAM.

    • Пользователи службы поддержки MBAM. Члены этой локальной группы имеют доступ к компонентам "Восстановление диска" и "Управление TPM" на веб-сайте администрирования и наблюдения MBAM. Пользователь службы поддержки должен заполнить все поля в компонентах "Восстановление диска" и "Управление TPM".

    • Опытные пользователи службы поддержки MBAM. Члены этой локальной группы имеют расширенный доступ к компонентам "Восстановление диска" и "Управление TPM" на веб-сайте администрирования и наблюдения MBAM. В компоненте "Восстановление диска" для опытных пользователей службы технической поддержки обязательным является только поле "Идентификатор ключа". В компоненте Управление TPM обязательными являются только поля Домен компьютера и Имя компьютера.

  2. На сервере, на котором размещены сервер администрирования и наблюдения и база данных соответствия и аудита, а также на сервере, на котором размещены отчеты о соответствии и аудите, добавьте пользователей в следующую локальную группу, чтобы предоставить им доступ к компоненту "Отчеты" на веб-сайте администрирования и наблюдения MBAM.

    • Пользователи отчетов MBAM. Члены этой локальной группы имеют доступ к отчетам на веб-сайте администрирования и наблюдения MBAM.



    noteПримечание
    На всех компьютерах, на которых установлены компоненты сервера администрирования и наблюдения MBAM, база данных соответствия и аудита, а также компонент отчетов о соответствии и аудите, должно быть настроено аналогичное членство пользователей или групп в локальной группе Пользователи отчетов MBAM.

Проверка установки компонента сервера MBAM

После завершения установки компонента сервера Администрирование и мониторинг Microsoft BitLocker рекомендуется проверить, что все компоненты, необходимые для работы MBAM, успешно установлены. С помощью следующей процедуры убедитесь, что служба Администрирование и мониторинг Microsoft BitLocker работает.

Проверка установки сервера MBAM

  1. На каждом сервере, на котором развернут компонент MBAM, откройте Панель управления, щелкните Программы и выберите оснастку Программы и компоненты. Убедитесь, что в списке Программы и компоненты присутствует пункт Microsoft BitLocker Administration and Monitoring.

    noteПримечание
    Чтобы проверить установку MBAM, необходимо использовать учетную запись домена с правами администратора локального компьютера на каждом сервере.

  2. На сервере, на котором установлена база данных восстановления, откройте SQL Server Management Studio и убедитесь, что установлена база данных Восстановление и оборудование MBAM.

  3. На сервере, на котором установлена база данных соответствия и аудита, откройте SQL Server Management Studio и убедитесь, что установлена база данных Состояние соответствия MBAM.

  4. На сервере, на котором установлены отчеты о соответствии и аудите, откройте браузер от имени администратора и перейдите на домашнюю страницу сайта служб SQL Server Reporting Services.

    Домашняя страница по умолчанию экземпляра сайта служб отчетов SQL Server Reporting Services находится по адресу http://<имя_сервера_отчетов_MBAM>/Reports.aspx. Чтобы найти фактический URL-адрес, откройте Reporting Services Configuration Manager и выберите экземпляры, указанные во время установки.

    Убедитесь, что папка отчетов с именем Microsoft BitLocker Administration and Monitoring содержит источник данных MaltaDataSource и что папка ru-ru содержит четыре отчета.

    noteПримечание
    Если службы отчетов SQL Server Reporting Services были настроены как именованный экземпляр, URL-адрес должен иметь следующий вид:http://<имя_сервера_отчетов_MBAM>/Reports_<имя_экземпляра_SRS>.

    noteПримечание
    Если службы SSRS не были настроены для использования протокола SSL, при установке сервера MBAM URL-адрес отчетов будет содержать префикс протокола HTTP, а не HTTPS. Если затем перейти на веб-сайт администрирования и наблюдения и выбрать отчет, появится следующее сообщение: "Отображается только безопасный контент". Чтобы просмотреть отчет, нажмите кнопку Отображать весь контент.

  5. На сервере, на котором установлен компонент администрирования и наблюдения, запустите Диспетчер сервера и перейдите на страницу Роли. Выберите роль Веб-сервер (IIS) и щелкните Диспетчер служб IIS.

  6. В группе Соединения перейдите к <имя_компьютера>, выберите Сайты, а затем выберите Microsoft BitLocker Administration and Monitoring. Убедитесь, что в списке присутствуют MBAMAdministrationService, MBAMComplianceStatusService и MBAMRecoveryAndHardwareService.

  7. На сервере, на котором установлены компоненты администрирования и наблюдения и портал самообслуживания, откройте браузер от имени администратора и перейдите по следующим ссылкам, чтобы проверьте успешность их загрузки:

    • http://<имя_узла>/HelpDesk/default.aspx (проверьте все ссылки для навигации и отчетов)

    • http://<имя_узла>/SelfService>/

    • http://<имя_компьютера>/MBAMAdministrationService/AdministrationService.svc

    • http://<имя_узла>/MBAMUserSupportService/UserSupportService.svc

    • http://<имя_компьютера>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<имя_компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc

    noteПримечание
    Предполагается, что для установки компонентов сервера использовался порт по умолчанию без шифрования сети. Если для установки компонентов сервера использовался другой порт или виртуальный каталог, измените URL-адреса так, чтобы они содержали соответствующий порт, например
    http://<имя_узла>:<порт>/HelpDesk/default.aspx или
    http://<имя_узла>:<порт>/<виртуальный_каталог>/default.aspx.

    Если компоненты сервера были установлены с шифрованием сети, замените префикс "http://" на "https://".

  8. Убедитесь в успешной загрузке каждой веб-страницы.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: