Настройка веб-приложений MBAM 2.5

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе рассматривается настройка веб-приложений Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 для рекомендованной архитектуры, описанной в разделе Высокоуровневая архитектура для MBAM 2.5, одним из следующих способов:

  • командлет Windows PowerShell;

  • мастер настройки сервера MBAM.

Веб-приложения включают в себя указанные ниже веб-сайты и соответствующие веб-службы.

Веб-сайт Описание

Веб-сайт администрирования и мониторинга

Веб-сайт, на котором указанные пользователи могут просматривать отчеты и помогать конечным пользователям в восстановлении доступа к компьютерам, если они забыли ПИН-код или пароль

Портал самообслуживания

Веб-сайт, с помощью которого конечные пользователи могут самостоятельно восстановить доступ к компьютеру, если они забыли ПИН-код или пароль

Перед началом настройки выполните следующее:

Действие Где получить инструкции

Ознакомьтесь с рекомендуемой архитектурой для MBAM.

Высокоуровневая архитектура для MBAM 2.5

Ознакомьтесь с поддерживаемыми конфигурациями для MBAM.

Поддерживаемые конфигурации MBAM 2.5

Обеспечьте соответствие каждого сервера необходимым условиям.

Примечание

Перед настройкой веб-сайта администрирования и мониторинга убедитесь в том, что для служб SQL Server Reporting Services (SSRS) настроено использование протокола SSL. В противном случае функция отчетов будет использовать протокол HTTP вместо HTTPS.

Зарегистрируйте имена субъектов-служб для учетной записи пула приложений для веб-сайтов. Это действие необходимо выполнить только в том случае, если у вас нет прав на администрирование домена в доменных службах Active Directory (AD DS). Если у вас есть эти права в AD DS, MBAM создаст имена субъектов-служб автоматически.

Registering SPNs when you’re using a virtual host name

Установите программное обеспечение сервера MBAM на каждом сервере, на котором требуется настроить компонент сервера MBAM.

Примечание

Если планируется установить веб-сайты на одном сервере, а веб-службы — на другом, вы сможете настроить их только с помощью командлета Windows PowerShell Enable-MbamWebApplication. Мастер настройки сервера MBAM не поддерживает настройку этих компонентов на отдельных серверах.

Установка программного обеспечения MBAM 2.5 Server

Изучите предварительные требования для использования Windows PowerShell, если вы планируете настраивать функции сервера MBAM с помощью командлетов.

Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell

Настройка веб-приложений с помощью Windows PowerShell

  1. Перед тем как приступать к настройке, обратитесь к статье Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell, чтобы изучить предварительные требования для использования Windows PowerShell.

  2. Используйте командлет Enable-MbamWebApplication для настройки веб-приложений с помощью Windows PowerShell. Чтобы получить сведения об этом командлете, введите команду Get-Help Enable-MbamWebApplication.

Настройка параметров для всех веб-приложений с помощью мастера

  1. На сервере, на котором необходимо настроить веб-приложения, запустите мастер настройки сервера MBAM. Чтобы открыть мастер, можно выбрать в меню Пуск пункт Настройка сервера MBAM.

  2. Щелкните Добавить новые компоненты, выберите пункты Веб-сайт администрирования и мониторинга и Портал самообслуживания, а затем нажмите кнопку Добавить. Мастер проверит, выполнены ли все предварительные требования для веб-приложений.

  3. Если проверка предварительных требований прошла успешно, нажмите кнопку Далее, чтобы продолжить. В противном случае устраните все проблемы, а затем нажмите кнопку Проверить требования повторно.

  4. Для заполнения полей в мастере воспользуйтесь следующими описаниями.

    Поле Описание

    Сертификат безопасности

    Выберите ранее созданный сертификат для дополнительного шифрования данных, передаваемых между веб-службами и сервером, на котором настраиваются веб-сайты. Если выбрать параметр Не использовать сертификат, данные, передаваемые через Интернет, могут быть не защищены.

    Имя узла

    Имя главного компьютера, на котором настраиваются веб-сайты.

    Путь установки

    Путь, по которому выполняется установка веб-сайтов.

    Порт

    Номер порта, используемого для обмена данными с веб-сайтом и службой.

    Примечание

    Чтобы обеспечить обмен данными через указанный порт, необходимо настроить исключение брандмауэра.

    Учетная запись и пароль домена пула приложений для веб-служб

    Учетная запись и пароль пользователя домена для пула приложений веб-служб.

    Если в поле Пользователь или группа домена с доступом для чтения и записи на странице Настройка баз данных введено имя пользователя, в этом поле необходимо указать то же значение.

    Если в поле Пользователь или группа домена с доступом для чтения и записи на странице Настройка баз данных введено имя группы, в этом поле необходимо указать имя пользователя, входящего в эту группу.

    Если не указать учетные данные, будут использоваться учетные данные, которые были заданы для ранее включенного веб-приложения. Все веб-приложения должны использовать одни и те же учетные данные пула приложений. Если для разных веб-приложений указаны разные учетные данные, будет использоваться значение, заданное последним.

    Важно!

    Чтобы повысить безопасность, ограничьте права пользователя для учетной записи, указанной в учетных данных. Кроме того, настройте для этой учетной записи бессрочный пароль.

  5. Убедитесь в том, что встроенная учетная запись IIS_IUSRS или учетная запись пула приложений добавлена в локальные параметры безопасности Имитация клиента после проверки подлинности и Вход в качестве пакетного задания.

    Чтобы проверить, добавлена ли она в локальные параметры безопасности, откройте редактор локальной политики безопасности, разверните узел Локальные политики, щелкните узел Назначение прав пользователя, а затем в правой области дважды щелкните политики Имитация клиента после проверки подлинности и Вход в качестве пакетного задания.

Настройка сведений о подключении для баз данных с помощью мастера

  1. Используйте следующие описания полей для настройки сведений о подключении в мастере для базы данных сведений о соответствии и аудите.

    Поле Описание

    Имя сервера SQL Server

    Имя сервера, на котором настраивается база данных соответствия и аудита.

    Экземпляр базы данных SQL Server

    Имя экземпляра SQL Server, в котором настраивается база данных аудита и соответствия.

    Имя базы данных

    Имя базы данных соответствия и аудита.

  2. Используйте следующие описания полей для настройки сведений о подключении в мастере для базы данных восстановления.

    Поле Описание

    Имя сервера SQL Server

    Имя сервера, на котором настраивается база данных восстановления.

    Экземпляр базы данных SQL Server

    Имя экземпляра SQL Server, в котором настраивается база данных восстановления.

    Имя базы данных

    Имя базы данных восстановления.

Настройка веб-приложений с помощью мастера

  1. Для заполнения полей в мастере настройки веб-сайта администрирования и мониторинга воспользуйтесь следующими описаниями.

    Поле Описание

    Группа пользователей домена с ролью опытных пользователей службы технической поддержки

    Группа пользователей домена, члены которой имеют доступ ко всем разделам веб-сайта администрирования и мониторинга, кроме раздела "Отчеты".

    Группа пользователей домена с ролью пользователей службы технической поддержки

    Группа пользователей домена, члены которой имеют доступ к разделам Управление TPM и Восстановление дисков веб-сайта администрирования и мониторинга.

    Использовать интеграцию с System Center Configuration Manager

    Установите этот флажок, если MBAM настраивается с использованием топологии интеграции с Configuration Manager. При установке этого флажка все отчеты, кроме отчета об аудите восстановления, отображаются в Configuration Manager, а не на веб-сайте администрирования и мониторинга.

    Группа пользователей домена с ролью оператора отчетов

    Группа пользователей домена, члены которой имеют доступ только для чтения к разделу «Отчеты» веб-сайта администрирования и мониторинга.

    URL-адрес служб SQL Server Reporting Services

    URL-адрес сервера SSRS, на котором настроены отчеты MBAM.

    Примеры URL-адреса отчета:

     

    Тип имени узла Пример

    Пример полного доменного имени

    https://MyReportServer.Contoso.com/ReportServer

    Пример настраиваемого имени узла

    https://MyReportServer/ReportServer

    Виртуальный каталог

    Виртуальный каталог веб-сайта администрирования и мониторинга. Имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:

    http(s)://<имя_узла>:<номер_порта>/HelpDesk/

    Если виртуальный каталог не указан, используется значение HelpDesk.

    Группа домена роли переноса данных (необязательно)

    Группа пользователей домена, члены которой имеют право использовать командлеты Write-Mbam*Information для записи сведений о восстановлении через эту конечную точку.

  2. Для заполнения полей в мастере с целью настройки портала самообслуживания воспользуйтесь следующими описаниями.

    Поле Описание

    Виртуальный каталог

    Виртуальный каталог веб-приложения. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:

    http(s)://<имя_узла>:<номер_порта>/SelfService/

    Если виртуальный каталог не указан, используется значение SelfService.

    Название компании

    Укажите название компании для портала самообслуживания, например:

    Contoso IT

    Это название организации, которое доступно для просмотра всем пользователям портала самообслуживания.

    Текст URL-адреса службы технической поддержки

    Содержит текст инструкции, которая направляет пользователей на веб-сайт службы технической поддержки вашей организации, например:

    Обратитесь в службу поддержки или ИТ-отдел

    Текст URL-адреса службы технической поддержки

    Содержит URL-адрес веб-сайта службы технической поддержки вашей организации, например:

    http(s)://<companyHelpdeskURL>/

    Текстовый файл уведомления

    Выберите файл, содержащий уведомления, которые должны отображаться на стартовой странице портала самообслуживания для пользователей.

    Не отображать текст уведомления для пользователей

    Установите этот флажок, чтобы указать, что текст уведомления не отображается для пользователей.

  3. Завершив ввод данных, нажмите кнопку Далее.

    Мастер проверит, выполнены ли все предварительные требования для веб-приложений.

  4. Нажмите кнопку Далее.

  5. На странице Сводка просмотрите добавляемые компоненты.

    Примечание

    Чтобы создать сценарий Windows PowerShell для введенных данных, щелкните Экспортировать сценарий PowerShell и сохраните сценарий.

  6. Нажмите кнопку Добавить, чтобы добавить веб-приложения на сервер, а затем нажмите кнопку Закрыть.

    Сведения о том, как настроить портал самообслуживания путем добавления пользовательского текста уведомления, названия компании, ссылок на дополнительные сведения и других элементов, см. в разделе Настройка портала самообслуживания для организации.

Настройка портала самообслуживания в случае, когда клиентские компьютеры не имеют доступа к CDN

  1. Определите, используете ли вы Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1). В этом случае не делайте ничего. Настройка портала самообслуживания завершена.

    Примечание

    Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 При установке пакета обновления 1 устанавливаются файлы JavaScript, поэтому подключаться к сети доставки содержимого Microsoft Ajax для настройки портала самообслуживания не нужно. Следующие шаги необходимы только в том случае, если вы используете версию Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 до пакета обновления 1 (SP1).

  2. Определите, имеют ли клиентские компьютеры доступ к сети доставки содержимого (CDN) Microsoft Ajax.

    Сеть CDN обеспечивает порталу самообслуживания доступ к некоторым необходимым файлам JavaScript. Если портал самообслуживания не настроен, а доступ к CDN c клиентских компьютеров невозможен, отображаются только название компании и учетная запись, с которой конечный пользователь входит в систему. Сообщение об ошибке не будет выводиться.

  3. Выполните одно из следующих действий.

    Есть предложение для MBAM? Выдвигайте предложения и голосуйте за них здесь.
    Есть вопрос по MBAM? Найдите ответ на форуме TechNet по MBAM.

См. также

Задачи

Настройка портала самообслуживания при отсутствии у клиентских компьютеров доступа к сети доставки содержимого корпорации Майкрософт

Концепции

Журналы событий сервера
Проверка настройки компонента MBAM Server

Другие ресурсы

Настройка компонентов MBAM 2.5 Server
Настройка портала самообслуживания для организации