Установка и настройка MBAM на одном сервере

Обновлено: Ноябрь 2012 г.

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Процедуры, описываемые в этом разделе, описывают полную установку компонентов Администрирование и мониторинг Microsoft BitLocker (MBAM) на одном сервере.

Для каждого компонента сервера имеются определенные необходимые компоненты. Чтобы убедиться, что предварительные условия и требования к оборудованию и программному обеспечению соблюдены, см. разделы Необходимые компоненты развертывания MBAM 1.0 и Поддерживаемые конфигурации MBAM 1.0. Кроме того, для некоторых компонентов во время процесса установки необходимо указать определенные сведения, чтобы успешно развернуть компонент. Перед началом развертывания MBAM также необходимо ознакомиться с разделом Подготовка среды для развертывания MBAM 1.0.

noteПримечание
Чтобы получить файлы журнала установки, необходимо установить MBAM с помощью пакета msiexec с параметром <расположения> /l. Файлы журнала создаются в указанном вами месте.

В папке %temp% пользователя, выполняющего установку MBAM, создаются дополнительные файлы журнала установки.

Установка компонентов сервера MBAM на одном сервере

Далее приведено описание процесса установки общих компонентов MBAM.

noteПримечание
Убедитесь, что на 32-разрядных серверах устанавливается 32-разрядный вариант программного обеспечения, а на 64-разрядных серверах – 64-разрядный вариант.

Начало установки компонентов сервера MBAM

  1. Запустите мастер установки MBAM. На странице приветствия нажмите кнопку Установить.

  2. Прочтите и примите Условия лицензии на программное обеспечение Майкрософт, после чего нажмите Далее для продолжения установки.

  3. По умолчанию выбрана установка всех компонентов MBAM. Компоненты, устанавливаемые на одном компьютере, необходимо установить все сразу. Отмените компоненты, которые требуется установить в другом месте. Компоненты MBAM следует устанавливать в следующем порядке.

    • База данных восстановления и оборудования

    • База данных соответствия и аудита

    • Аудит и отчеты о соответствии

    • Сервер администрирования и наблюдения

    • Шаблон групповой политики MBAM

    noteПримечание
    Мастер установки проверяет необходимые компоненты для установки и отображает те их них, которые отсутствуют. Если все необходимые компоненты присутствуют, установка продолжается. Если обнаружено требование, которое не выполняется, необходимо устранить проблему, а затем нажать кнопку Проверить требования повторно. После выполнения всех требований установка будет возобновлена.

  4. Будет предложено настроить параметры безопасности сетевых подключений. MBAM может зашифровать данные передаваемые между базой данных восстановления и оборудования, сервером администрирования и наблюдения и клиентами. Чтобы зашифровать передаваемые по сети данные, необходимо выбрать подготовленный центром сертификации сертификат, который будет использоваться для шифрования.

  5. Для продолжения нажмите кнопку Далее.

  6. Мастер установки MBAM отобразит страницы установки выбранных компонентов.

Развертывание компонентов сервера MBAM

  1. В окне Настроить базу данных восстановления и оборудования укажите экземпляр SQL Server и имя базы данных, в которой будут сохранены данные восстановления и оборудования. Необходимо задать расположение файлов базы данных и данных журнала.

  2. Для продолжения нажмите кнопку Далее.

  3. В окне Настроить базу данных соответствия и аудита укажите экземпляр SQL Server и имя базы данных, в которой будут сохранены данные соответствия и аудита. Затем задайте расположение файлов базы данных и данных журнала.

  4. Для продолжения нажмите кнопку Далее.

  5. В окне Отчеты по соответствию и аудиту укажите экземпляр службы отчетов, который будет использоваться для предоставления учетной записи пользователя домена для доступа к базе данных. Это должна быть учетная запись, специально подготовленная на этот случай. Учетная запись должна иметь права на доступ ко всем данным, доступным для группы пользователей отчетов MBAM.

  6. Для продолжения нажмите кнопку Далее.

  7. В окне Настроить сервер администрирования и наблюдения укажите значения параметров Привязка порта, Имя узла (необязательно) и Путь установки для сервера администрирования и наблюдения MBAM.

    WarningПредупреждение
    Указанный номер порта должен быть свободным номером порта на сервере администрирования и мониторинга до тех пор, пока не будет задано уникальное название заголовка узла.

  8. Для продолжения нажмите кнопку Далее.

  9. Укажите, будут ли использоваться обновления Майкрософт для обеспечения защиты компьютера, после чего нажмите кнопку Далее. Параметр Центра обновления Майкрософт не включает возможность автоматического обновления в Windows.

  10. После того, как мастер установки соберет необходимые сведения о компонентах, можно начать установку MBAM. Чтобы проверить или изменить параметры установки, нажмите кнопку Назад для возврата на предыдущие станицы мастера. Нажмите кнопку Установить, чтобы начать установку. Чтобы выйти из программы установки, нажмите кнопку Отмена. Программа установки установит компоненты MBAM и выведет уведомление о завершении процесса установки.

  11. Нажмите кнопку Готово, чтобы закрыть мастер.

  12. После установки компонентов сервера MBAM необходимо добавить пользователей в роли MBAM. Дополнительные сведения см. в разделе Планирование ролей администратора MBAM 1.0.

Выполнение настройки после установки

  1. После завершения установки необходимо добавить роли пользователей, чтобы предоставить пользователям доступ к компонентам на веб-сайте администрирования MBAM. На сервере администрирования и наблюдения добавьте пользователей в следующие локальные группы.

    • Пользователи оборудования MBAM. Члены этой локальной группы имеют доступ к компоненту "Оборудование" на веб-сайте администрирования MBAM.

    • Пользователи службы поддержки MBAM. Члены этой локальной группы имеют доступ к компонентам «Восстановление диска» и «Управление TPM» на веб-сайте администрирования MBAM. Пользователь службы поддержки должен заполнить все поля в компонентах "Восстановление диска" и "Управление TPM".

    • Опытные пользователи службы поддержки MBAM: Члены этой локальной группы имеют расширенный доступ к компонентам "Восстановление диска" и "Управление доверенными платформенными модулями" на веб-сайте администрирования MBAM. В компоненте "Восстановление диска" для опытных пользователей службы технической поддержки обязательным является только поле "Идентификатор ключа". Пользователи компонента «Управление TPM» должны заполнить только поля «Домен компьютера» и «Имя компьютера».

  2. На сервере администрирования и наблюдения, в базе данные соответствия и аудита и на компьютере с отчетами по соответствию и аудиту добавьте пользователей в следующую локальную группу, чтобы предоставить им доступ к компоненту «Отчеты» на веб-сайте администрирования MBAM.

    • Пользователи отчетов MBAM. Члены этой локальной группы имеют доступ к компоненту «Отчеты» на веб-сайте администрирования MBAM.

    noteПримечание
    На всех компьютерах, где установлены компоненты «Сервер администрирования и наблюдения», «База данных соответствия и аудита» и «Отчеты о соответствии и аудите», должно обеспечиваться идентичное членство пользователей или групп локальной группы Пользователи отчетов MBAM.

    Чтобы обеспечить идентичное членство на всех компьютерах, необходимо группу безопасности домена и добавить ее в каждую локальную группу пользователей отчетов MBAM. После этого с помощью группы домена можно управлять членством в группах.

Проверка установки компонента сервера MBAM

После установки MBAM необходимо проверить, что все компоненты MBAM, необходимые для управления BitLocker, успешно установлены. С помощью следующей процедуры убедитесь, что служба MBAM работает.

Проверка установки компонентов сервера MBAM

  1. На каждом сервере, на котором развернут компонент MBAM, откройте панель управления. Последовательно выберите Программы, Программы и компоненты. Убедитесь, что в списке Программы и компоненты присутствует пункт Microsoft BitLocker Administration and Monitoring.

    noteПримечание
    Чтобы проверить установку, на каждом сервере необходимо использовать учетную запись домена с правами администратора локального компьютера.

  2. На сервере, на котором была установлена база данных сведений о восстановлении и оборудовании, откройте SQL Server Management Studio и убедитесь, что база данных Восстановление и оборудование MBAM установлена.

  3. На сервере, на котором установлена база данных соответствия и аудита, откройте SQL Server Management Studio и убедитесь, что компонент База данных соответствия и аудита MBAM установлен.

  4. На сервере, на котором был установлен компонент "Отчеты о соответствии и аудите", откройте браузер с привилегиями администратора и перейдите на "домашнюю страницу" сайта служб отчетов SQL Server.

    Домашняя страница по умолчанию экземпляра сайта служб отчетов SQL Server Reporting Services находится по адресу: http://<имя_сервера_отчетов_MBAM>/Reports. Чтобы найти действительный URL-адрес, откройте диспетчер конфигурации служб отчетов и выберите экземпляры, указанные во время установки.

    Убедитесь, присутствует папка с именем Malta Compliance Reports и что она содержит пять отчетов и один источник данных.

    noteПримечание
    Если службы отчетов SQL Server Reporting Services были настроены как именованный экземпляр, URL-адрес должен иметь следующий вид:http://<имя_сервера_отчетов_MBAM>/Reports_<имя_экземпляра_SRS>.

  5. На сервере, на котором установлен компонент «Администрирование и наблюдение», запустите Диспетчер сервера, перейдите к разделу Роли, выберите Веб-сервер (IIS) и щелкните Диспетчер IIS

  6. В группе Соединения перейдите к <имя_компьютера>, выберите Сайты, а затем выберите Microsoft BitLocker Administration and Monitoring. Убедитесь, что в списке присутствуют MBAMAdministrationService, MBAMComplianceStatusService и MBAMRecoveryAndHardwareService.

  7. На сервере, на котором установлен компонент «Администрирование и наблюдение», откройте веб-браузер с правами администратора и перейдите в следующие расположения на веб-сайте MBAM, чтобы проверить успешную загрузку:

    • http://<имя_компьютера>/default.aspx и проверьте каждую ссылку на возможность навигации и составления отчетов

    • http://<имя_компьютера>/MBAMAdministrationService/AdministrationService.svc

    • http://<имя_компьютера>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<имя_компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc

    noteПримечание
    Как правило, службы устанавливаются на заданном по умолчании порту 80 без шифрования сети. Если службы установлены на другой порт, измените URL-адреса так, чтобы они содержали соответствующий порт. Например, http://<имя_компьютера>:<порт>/default.aspx или http://<имя_заголовка_узла>/default.aspx

    Если службы установлены с шифрованием сети, измените http:// на https://.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: