Необходимые условия MBAM 2.5 Server для изолированной топологии и топологии интеграции Configuration Manager
Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Перед началом установки Администрирование и мониторинг Microsoft BitLocker (MBAM) следует выполнить необходимые условия, указанные в данном разделе. Эти необходимые условия распространяются как на изолированную топологию MBAM, так и на топологию интеграции System Center Configuration Manager.
Если вы развертываете MBAM с использованием System Center Configuration Manager, следует выполнить дополнительные необходимые требования, указанные в разделе Необходимые условия MBAM 2.5 Server, которые применяются только к топологии интеграции Configuration Manager.
Список поддерживаемых операционных систем и оборудования для MBAM см. в разделе Поддерживаемые конфигурации MBAM 2.5.
Требуемые роли и учетные записи MBAM
Предварительное условие | Сведения |
---|---|
Группы, созданные в доменных службах Active Directory (AD DS) |
Описание этих групп и учетных записей см. в разделе Планирование для групп и учетных записей MBAM 2.5. |
Необходимые условия для базы данных восстановления
Предварительное условие | Сведения |
---|---|
Поддерживаемая версия SQL Server |
Установите Microsoft SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5. |
Требуемые разрешения SQL Server |
Требуемые разрешения:
|
Необязательно: установите компонент прозрачного шифрования данных (TDE), доступный в SQL Server |
Компонент TDE в SQL Server в режиме реального времени выполняет шифрование и расшифровку ввода-вывода файлов данных и журналов, что помогает обеспечить соответствие законам, нормам и рекомендациям, установленным для разных отраслей Примечание TDE выполняет расшифровку содержимого базы данных в режиме реального времени. Поэтому сведения о ключе восстановления будут видны, если при просмотре сведений о ключе восстановления в базе данных SQL Server учетная запись, от имени которой выполнен вход, имеет разрешения на работу с этой базой данных. Дополнительные сведения о TDE см. в разделе Процедуры безопасности MBAM 2.5. |
Службы компонента Database Engine SQL Server |
Во время установки сервера MBAM должны быть установлены и запущены службы компонента Database Engine SQL Server. |
Windows PowerShell 3.0 или более поздней версии |
Windows PowerShell не требуется устанавливать на сервере базы данных восстановления, если Windows PowerShell используется для настройки базы данных с удаленного компьютера. |
Необходимые условия для базы данных соответствия и аудита
Предварительное условие | Сведения |
---|---|
Поддерживаемая версия SQL Server |
Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5. |
Требуемые разрешения SQL Server |
Требуемые разрешения:
|
Необязательно: установите компонент прозрачного шифрования данных (TDE) в SQL Server |
Компонент TDE в SQL Server в режиме реального времени выполняет шифрование и расшифровку ввода-вывода файлов данных и журналов, что помогает обеспечить соответствие законам, нормам и рекомендациям, установленным для разных отраслей TDE выполняет расшифровку содержимого базы данных в режиме реального времени. Поэтому сведения о ключе восстановления будут видны, если при просмотре сведений о ключе восстановления в базе данных SQL Server учетная запись, от имени которой выполнен вход, имеет разрешения на работу с этой базой данных. Дополнительные сведения о TDE см. в разделе Процедуры безопасности MBAM 2.5. |
Службы компонента Database Engine SQL Server |
Во время установки сервера MBAM должны быть установлены и запущены службы компонента Database Engine SQL Server. Однако SQL Server может выполняться удаленно — он необязательно должен присутствовать на том же сервере, где вы устанавливаете программное обеспечение сервера MBAM. |
Windows PowerShell 3.0 или более поздней версии |
Windows PowerShell не требуется устанавливать на сервере базы данных соответствия и аудита, если Windows PowerShell используется для настройки базы данных с удаленного компьютера. |
Необходимые условия для отчетов
Предварительное условие | Сведения |
---|---|
Поддерживаемая версия SQL Server |
Установите SQL Server с параметрами сортировки SQL_Latin1_General_CP1_CI_AS. Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5. |
SQL Server Reporting Services (SSRS) |
Во время установки сервера MBAM службы SSRS должны быть установлены и запущены. Настройте SSRS в основном режиме, а не в режиме "не настроено" или режиме SharePoint. |
Права на экземпляр SSRS — необходимы для настройки компонента "Отчеты" только в том случае, если вы устанавливаете базы данных не на том сервере, где настроен компонент "Отчеты". |
Требуемые права на экземпляр:
|
Windows PowerShell 3.0 или более поздней версии |
Windows PowerShell не требуется устанавливать на этом сервере базы данных, если Windows PowerShell используется для настройки базы данных с удаленного компьютера. |
Необходимые условия для сервера администрирования и мониторинга
В следующей таблице перечислены необходимые условия для установки сервера администрирования и мониторинга MBAM.
Предварительное условие | Сведения |
---|---|
Роль веб-сервера Windows Server |
Эту роль необходимо добавить в операционную систему сервера, поддерживаемую компонентом сервера администрирования и наблюдения. |
Средства управления веб-сервера (IIS) |
Щелкните Скрипты и средства управления IIS. |
SSL-сертификат |
Необязателен. Для защиты обмена данными между клиентскими компьютерами и веб-службами необходимо получить и установить сертификат, подписанный доверенным администратором безопасности. |
Службы роли веб-сервера |
Общие компоненты HTTP:
Разработка приложений:
Безопасность:
|
Компоненты Windows Server |
Компоненты платформы .NET Framework 4.5:
Служба активации Windows:
|
Имя субъекта-службы (SPN) |
Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, которую вы используете для пулов веб-приложений. Если права администратора позволяют создавать имена участников-служб в доменных службах Active Directory, имя участника-службы создается в MBAM автоматически. О правах, необходимых для создания имен участников-служб, см. в разделе Setspn. Если вы не обладаете правами администратора для создания имен субъектов-служб, вам следует попросить администраторов Active Directory своей организации создать для вас такое имя субъекта-службы с помощью следующей команды.
В этом примере кода в качестве имени виртуальны узла используется mbamvirtual.contoso.com, а для пулов веб-приложений используется учетная запись домена contoso\mbamapppooluser. Примечание Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах. Дополнительные сведения о регистрации имен субъекта-службы для полного имени, NetBIOS-имени и пользовательского имени узла см. в разделе Планирование защиты веб-сайтов MBAM. |
Необходимые условия для портала самообслуживания
Предварительное условие | Сведения |
---|---|
Поддерживаемая версия Windows Server |
Сведения о поддерживаемых версиях см. в разделе Поддерживаемые конфигурации MBAM 2.5. |
ASP.NET MVC 4.0 |
|
Средства управления IIS для веб-служб |
|
Имя субъекта-службы (SPN) |
Веб-приложениям требуется имя субъекта-службы для имени виртуального узла в учетной записи домена, которую вы используете для пулов веб-приложений. Если права администратора позволяют создавать имена участников-служб в доменных службах Active Directory, имя участника-службы создается в MBAM автоматически. О правах, необходимых для создания имен участников-служб, см. в разделе Setspn. Если вы не обладаете правами администратора для создания имен субъектов-служб, вам следует попросить администраторов Active Directory своей организации создать для вас такое имя субъекта-службы с помощью следующей команды.
В этом примере кода в качестве имени виртуальны узла используется mbamvirtual.contoso.com, а для пулов веб-приложений используется учетная запись домена contoso\mbamapppooluser. Примечание Если вы настраиваете балансировку нагрузки, используйте одну и ту же учетную запись пула приложений на всех серверах. Дополнительные сведения о регистрации имен субъекта-службы для полного имени, NetBIOS-имени и пользовательского имени узла см. в разделе Планирование защиты веб-сайтов MBAM. |
Необходимые условия для рабочей станции управления
Предварительное условие | Сведения | ||||||
---|---|---|---|---|---|---|---|
Перед установкой клиента MBAM загрузите шаблоны групповой политики MBAM со страницы получения шаблонов (ADMX) групповой политики MDOP и настройте их в соответствии с параметрами, которые требуется внедрить на предприятии для шифрования дисков BitLocker. |
Перед установкой клиента MBAM выполните следующие действия:
|
Есть предложение для MBAM?
Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.
См. также
Концепции
Поддерживаемые конфигурации MBAM 2.5
Другие ресурсы
Подготовка среды для развертывания MBAM 2.5
Планирование развертывания MBAM 2.5