Установка и настройка MBAM на распределенных серверах

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Процедуры в этом разделе описывают полную установку компонентов Администрирование и мониторинг Microsoft BitLocker (MBAM) на распределенных серверах.

Для каждого компонента сервера имеются определенные необходимые компоненты. Чтобы проверить наличие необходимых компонентов, а также соответствие требованиям к оборудованию и программному обеспечению, см. Необходимые компоненты развертывания MBAM 1.0 и Поддерживаемые конфигурации MBAM 1.0. Кроме того, некоторые компоненты для успешного развертывания требуют предоставления определенных сведений в процессе установки. Также перед началом развертывания MBAM следует изучить материал в Planning the Server Infrastructure for MBAM.

Примечание

Чтобы получить файлы журнала установки, необходимо установить MBAM с использованием пакета msiexec и параметра /l <расположение>. Файлы журнала создаются в указанном вами месте.

Дополнительные файлы журнала создаются в папке %temp% пользователя, запустившего установку MBAM.

Развертывание компонентов сервера MBAM

Следующие шаги описывают установку общих компонентов MBAM.

Примечание

Убедитесь, что на 32-разрядных серверах устанавливается 32-разрядный вариант программного обеспечения, а на 64-разрядных серверах – 64-разрядный вариант.

Развертывание компонентов сервера MBAM

  1. Запустите мастер установки MBAM и нажмите Установить на странице приветствия.

  2. Прочтите и примите Условия лицензии на программное обеспечение Майкрософт, после чего нажмите Далее для продолжения установки.

  3. По умолчанию выбрана установка всех компонентов MBAM. Отмените компоненты, которые требуется установить в другом месте. Компоненты, устанавливаемые на одном компьютере, должны быть установлены одновременно. MBAM компоненты необходимо устанавливать в следующем порядке:

    • База данных восстановления и оборудования

    • База данных соответствия и аудита

    • Аудит и отчеты о соответствии

    • Сервер администрирования и наблюдения

    • Шаблон групповой политики MBAM

    Примечание

    Мастер установки проверяет необходимые компоненты для установки и отображает те их них, которые отсутствуют. Если все необходимые компоненты присутствуют, установка продолжается. Если некоторые компоненты отсутствуют, необходимо решить проблему и затем щелкнуть Проверить необходимые компоненты еще раз. Если повторная проверка показала, что все компоненты присутствуют, установка продолжится.

  4. Мастер установки MBAM отобразит страницы установки выбранных компонентов. В следующих разделах описаны процедуры установки для каждого компонента.

    Примечание

    Как правило, каждый компонент устанавливается на отдельном сервере. Чтобы установить несколько компонентов на одном сервере, можно изменить или исключить некоторые из следующих шагов.

    Чтобы установить базу данных сведений о восстановлении и оборудовании

    1. Выберите параметр для шифрования обмена данными MBAM. MBAM может шифровать обмен данными между сервером базы данных сведений о восстановлении и оборудовании и сервером администрирования и наблюдения. Если вы выберете шифрование обмена данными, вам будет предложено выбрать сертификат, предоставленный центром сертификации, будет использоваться для шифрования.

    2. Для продолжения нажмите кнопку Далее.

    3. Укажите имена компьютеров, на которых будет работать компонент сервера администрирования и наблюдения, чтобы настроить доступ к базе данных сведений о восстановлении и оборудовании. После развертывания компонент администрирования и наблюдения подключается к базе данных, используя свою учетную запись в домене.

    4. Для продолжения нажмите кнопку Далее.

    5. Укажите Конфигурацию базы данных в экземпляре SQL Server, в котором хранятся данные о восстановлении и оборудовании. Также необходимо указать, где будет размещена база данных и куда будут записываться данные журнала.

    6. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки MBAM.

    Установка базы данных сведений о соответствии и аудите

    1. Выберите параметр для шифрования обмена данными MBAM. MBAM может шифровать обмен данными между сервером базы данных сведений о соответствии и аудите и сервером администрирования и наблюдения. Если вы выберете шифрование обмена данными, вам будет предложено выбрать сертификат, предоставленный центром сертификации, который будет использоваться для шифрования.

    2. Для продолжения нажмите кнопку Далее.

    3. Укажите учетную запись пользователя, которая будет использоваться для доступа к отчетам в базе данных.

    4. Для продолжения нажмите кнопку Далее.

    5. Укажите имена компьютеров, на которых будет размещен сервер администрирования и наблюдения и компонент отчетов о соответствии и аудите, чтобы настроить доступ к базе данных сведений о соответствии и аудите. После развертывания сервера администрирования и наблюдения и сервера отчетов о соответствии и аудите они установят подключение к базам данных с использованием своих доменных учетных записей.

    6. Укажите Конфигурацию базы данных в экземпляре SQL Server, в котором хранятся данные о соответствии и аудите. Также необходимо указать, где будет размещена база данных и куда будут записываться данные журнала.

    7. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки MBAM.

    Установка компонента отчетов о соответствии и аудите

    1. Укажите удаленный экземпляр SQL Server. Например, <Имя_сервера>, на котором установлена база данных соответствия и аудита.

    2. Укажите имя базы данных соответствия и аудита. Именем базы данных по умолчанию является "Состояние соответствия MBAM", однако имя базы данных может быть изменено при установке базы данных соответствия и аудита.

    3. Для продолжения нажмите кнопку Далее.

    4. Выберите экземпляр служб отчетов SQL Server, на котором будет установлен компонент отчетов о соответствии и аудите. Укажите имя пользователя и пароль, используемые для доступа к базе данных сведений о соответствии.

    5. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки MBAM.

    Чтобы установить компонент сервера администрирования и наблюдения

    1. Выберите параметр для шифрования обмена данными MBAM. MBAM может шифровать обмен данными между сервером базы данных сведений о восстановлении и оборудовании и сервером администрирования и наблюдения. Если вы выберете шифрование обмена данными, вам будет предложено выбрать сертификат, предоставленный центром сертификации, будет использоваться для шифрования.

    2. Для продолжения нажмите кнопку Далее.

    3. Укажите удаленный экземпляр SQL Server, например, <Имя_сервера>, на котором будет установлена база данных сведений о соответствии и аудите.

    4. Укажите имя базы данных соответствия и аудита. Именем базы данных по умолчанию является "Состояние соответствия MBAM", однако имя базы данных может быть изменено при установке базы данных соответствия и аудита.

    5. Для продолжения нажмите кнопку Далее.

    6. Укажите удаленный экземпляр SQL Server. Например, <Имя_сервера>, на котором установлена база данных сведений о восстановлении и оборудовании.

    7. Укажите имя базы данных сведений о восстановлении и оборудовании. Именем базы данных по умолчанию является Восстановление и оборудование MBAM, однако имя базы данных может быть изменено при установке базы данных соответствия и аудита.

    8. Для продолжения нажмите кнопку Далее.

    9. Укажите URL-адрес "домашней страницы" сайта служб отчетов SQL Server (SRS). Расположение домашней страницы экземпляра сайта служб отчетов SQL Server по умолчанию:

      http://*<Имя_сервера_отчетов_MBAM>/*ReportServer

      Примечание

      Если службы отчетов SQL Server настроены в качестве именованного экземпляра, URL имеет следующую структуру: http://<Имя_сервера_отчетов_MBAM>/ReportServer_<Имя_экземпляра_SRS>

    10. Для продолжения нажмите кнопку Далее.

    11. Введите Номер порта, Имя узла (необязательно) и Путь установки для сервера администрирования и наблюдения MBAM

      Предупреждение

      Указываемый вами порт должен представлять собой неиспользуемый порт на сервере администрирования и наблюдения, если не указано уникальное имя заголовка узла.

    12. Нажмите кнопку Далее, чтобы продолжить работу с мастером установки MBAM.

  5. Укажите, будут ли использоваться обновления Майкрософт для обеспечения защиты компьютера, после чего нажмите кнопку Далее.

  6. После ввода сведений о выбранном компоненте MBAM можно приступить к установке MBAM с помощью мастера установки. Нажмите кнопку Назад для перехода к предыдущим этапам мастера с целью просмотра или изменения параметров установки. Нажмите кнопку Установить, чтобы начать установку. Нажмите кнопку Отмена, чтобы закрыть мастер. Программа установки выполнит установку указанных компонентов MBAM и уведомит об окончании установки.

  7. Нажмите кнопку Готово, чтобы закрыть мастер.

  8. Добавьте пользователей в соответствующие роли MBAM после установки компонентов сервера MBAM. Дополнительные сведения см. в разделе Планирование ролей администратора MBAM 1.0.

Настройка после установки

  1. По окончании установки MBAM необходимо добавить роли пользователей, чтобы пользователи могли осуществлять доступ к компонентам на веб-сайте администрирования MBAM. На сервере администрирования и наблюдения добавьте пользователей в следующие локальные группы.

    • Пользователи оборудования MBAM: Члены этой локальной группы имеют доступ к компоненту "Оборудование" на веб-сайте администрирования MBAM.

    • Пользователи службы поддержки MBAM: Члены этой локальной группы могут осуществлять доступ к компонентам "Восстановление диска" и "Управление доверенными платформенными модулями" на веб-сайте администрирования MBAM. Пользователь службы поддержки должен заполнить все поля в компонентах "Восстановление диска" и "Управление TPM".

    • Опытные пользователи службы поддержки MBAM: Члены этой локальной группы имеют расширенный доступ к компонентам "Восстановление диска" и "Управление доверенными платформенными модулями" на веб-сайте администрирования MBAM. В компоненте "Восстановление диска" для опытных пользователей службы технической поддержки обязательным является только поле "Идентификатор ключа". В компоненте "Управление доверенным платформенным модулем" обязательными являются только поля "Домен компьютера" и "Имя компьютера".

  2. На сервере администрирования и наблюдения, сервере базы данных соответствия и аудита, а также на сервере, на котором размещен компонент отчетов о соответствии и аудите, добавьте пользователей в следующую локальную группу, чтобы предоставить им доступ к компоненту "Отчеты" на веб-сайте администрирования MBAM.

    • Пользователи отчетов MBAM: Члены этой локальной группы имеют доступ к компоненту "Отчеты" на веб-сайте администрирования MBAM.

    Примечание

    На всех компьютерах, на которых установлен компоненты сервера администрирования и наблюдения, база данных соответствия и аудита, а также компонент отчетов о соответствии и аудите, должны быть созданы идентичные пользователи или группы в локальной группе Пользователи отчетов MBAM.

Проверка установки компонентов сервера MBAM

По завершении установки компонента сервера MBAM следует проверить, что в ходе выполнения установки были успешно установлены все необходимые компоненты для MBAM. С помощью следующей процедуры убедитесь, что служба MBAM работает.

Проверка установки MBAM

  1. На каждом сервере, где развернут компонент MBAM, откройте Панель управления, щелкните Программы и откройте оснастку Программы и компоненты. Убедитесь, что в списке Программы и компоненты присутствует пункт Microsoft BitLocker Administration and Monitoring.

    Примечание

    Чтобы проверить установку MBAM, необходимо использовать доменную учетную запись, имеющую локальные административные права на каждом сервере.

  2. На сервере, на котором была установлена база данных сведений о восстановлении и оборудовании, откройте SQL Server Management Studio и убедитесь, что база данных Восстановление и оборудование MBAM установлена.

  3. На сервере, на котором была установлена база данных сведений о соответствии и аудите, откройте SQL Server Management Studio и убедитесь, что база данных Состояние соответствия MBAM установлена.

  4. На сервере, на котором был установлен компонент "Отчеты о соответствии и аудите", откройте браузер с привилегиями администратора и перейдите на "домашнюю страницу" сайта служб отчетов SQL Server.

    Расположение домашней страницы экземпляра сайта служб отчетов SQL Server по умолчанию: http://<Имя_сервера_отчетов_MBAM>/Reports.aspx. Чтобы найти действительный URL-адрес, откройте диспетчер конфигурации служб отчетов и выберите экземпляры, указанные во время установки.

    Убедитесь, присутствует папка с именем Malta Compliance Reports и что она содержит пять отчетов и один источник данных.

    Примечание

    Если службы отчетов SQL Server были настроены как именованный экземпляр, URL-адрес должен иметь следующую структуру: http://<Имя_сервера_отчетов_MBAM>/Reports_<Имя_экземпляра_SRS>

  5. На сервере, где был установлен компонент администрирования и наблюдения, запустите Диспетчер сервера, перейдите в пункт Роли, выберите Веб-сервер (IIS), после чего выберите Диспетчер IIS. В области Подключения перейдите к <Имя_компьютера>, выберите Сайты и затем щелкните Microsoft BitLocker Administration and Monitoring. Убедитесь, что в списке присутствуют MBAMAdministrationService, MBAMComplianceStatusService и MBAMRecoveryAndHardwareService.

  6. На сервере, на котором был установлен компонент администрирования и наблюдения, откройте браузер с привилегиями администратора и перейдите в следующие расположения веб-сайта MBAM, чтобы убедиться в их успешной загрузке:

    • http://<имя_компьютера>/default.aspx и проверьте каждую ссылку на возможность навигации и составления отчетов

    • http://<имя_компьютера>/MBAMAdministrationService/AdministrationService.svc

    • http://<имя_компьютера>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<имя_компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc

    Примечание

    Как правило, службы устанавливаются на порт 80 (по умолчанию) шифрования сети. Если службы установлены на другой порт, измените URL-адреса так, чтобы они содержали соответствующий порт. Например, http://<имя_компьютера>:<порт>/default.aspx или http://<имя_заголовка_узла>/default.aspx

    Если службы были установлены с шифрованием сети, замените "http://" на "https://".

    Убедитесь в успешной загрузке каждой веб-страницы.

См. также

Другие ресурсы

Развертывание инфраструктуры сервера MBAM 1.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----