Compartir a través de

Implementación de MBAM 2.5 en una configuración independiente

  • Artículo

En este artículo se proporcionan instrucciones paso a paso para instalar Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 en una configuración independiente. En esta guía se usa una configuración de dos servidores. Uno de los servidores es un servidor de base de datos que ejecuta Microsoft SQL Server 2012. Este servidor hospeda las bases de datos e informes de MBAM. El otro servidor es un servidor web de Windows Server 2012 que hospeda "Servidor de administración y supervisión" y "Portal de autoservicio".

Pasos de preparación antes de instalar el software de servidor MBAM 2.5

Paso 1: Instalación y configuración de servidores

En primer lugar, asegúrese de que ambos servidores están configurados con los requisitos del sistema MBAM. Para obtener más información, consulte Configuraciones compatibles con MBAM 2.5. Seleccione una configuración que cumpla estos requisitos.

Paso 1.1: Implementación de requisitos previos para la base de datos y el servidor de informes

  1. Instale y configure un servidor que ejecute el sistema operativo Windows Server 2008 R2 (o posterior).

  2. Instale Windows PowerShell 3.0.

  3. Instale Microsoft SQL Server 2008 R2 o una versión posterior que incluya el Service Pack más reciente. Si va a instalar una nueva instancia de SQL Server para MBAM, asegúrese de que sql server que instale incluye la intercalación SQL_Latin1_General_CP1_CI_AS. Tiene que instalar las siguientes características de SQL Server:

    • Motor de base de datos
    • Reporting Services
    • Conectividad de herramientas de cliente
    • Herramientas de administración: completadas

    Nota

    Opcionalmente, también puede instalar la característica de cifrado de datos transparente (TDE) en SQL Server. Para obtener más información, consulte Consideraciones de seguridad de MBAM 2.5.

    SQL Server Reporting Services debe instalarse y configurarse en modo "nativo" y no en modo no configurado o "SharePoint".

    Captura de pantalla del programa de instalación de SQL Server 2014 que resalta las características necesarias.

  4. Si tiene previsto usar SSL para el sitio web de administración y supervisión, asegúrese de configurar SQL Server Reporting Services (SSRS) para usar el protocolo Capa de sockets seguros (SSL) antes de configurar el sitio web administración y supervisión. De lo contrario, la característica Informes usa el transporte de datos sin cifrar (HTTP) en lugar de cifrado (HTTPS).

    Puede seguir Configurar conexiones SSL en un servidor de informes en modo nativo para configurar SSL en el servidor de informes.

    Nota

    Puede seguir la Guía de instalación de SQL Server para la versión correspondiente de SQL Server para instalar SQL Server. Los vínculos son los siguientes: >- SQL Server 2014> - SQL Server 2012> - SQL Server 2008 R2

  5. En la instalación posterior de SQL Server, asegúrese de aprovisionar la cuenta de usuario en SQL Server y asigne los siguientes permisos al usuario que configura la base de datos MBAM y los roles de informes en el servidor de base de datos.

    Roles para la instancia de SQL Server:

    • dbcreator
    • processadmin

    Derechos para la instancia de SQL Server Reporting Services:

    • Crear carpetas
    • Publicar informes

El servidor de bases de datos está listo para la configuración de roles de MBAM 2.5. Vamos al siguiente servidor.

Paso 1.2: Implementación de requisitos previos para el servidor de administración y supervisión

Elija un servidor que cumpla las configuraciones de hardware necesarias. Para obtener más información, consulte Configuraciones compatibles con MBAM 2.5. Debe ejecutar Windows Server 2008 R2 o un sistema operativo posterior junto con el service pack y las actualizaciones más recientes. Una vez que el servidor esté listo, instale los siguientes roles y características:

Roles

  • Herramientas y scripts de administración de IIS

  • Servicios de rol de servidor web

    • Características HTTP comunes

      • Contenido estático
      • Documento predeterminado

    • Desarrollo de aplicaciones

      • ASP.NET
      • Extensibilidad de .NET
      • Extensiones ISAPI
      • Filtros ISAPI
      • Seguridad
      • Autenticación de Windows
      • Filtrado de solicitudes

    • Herramientas de administración de IIS del servicio web

Característica

  • Características de .NET Framework 4.5

    • Microsoft .NET Framework 4.5

      Para Windows Server 2012 o Windows Server 2012 R2, .NET Framework 4.5 ya está instalado para estas versiones de Windows Server. Sin embargo, debe habilitarlo.

      Para Windows Server 2008 R2, .NET Framework 4.5 no se incluye con Windows Server 2008 R2. Por lo tanto, debe descargar .NET Framework 4.5 e instalarlo por separado.

    • Activación de WCF

      • Activación HTTP
      • Activación no HTTP

    • Activación de TCP

    • Servicio de activación de procesos de Windows:

      • Modelo de proceso
      • Entorno de .NET Framework
      • API de configuración

Para que el portal de autoservicio funcione, también debe descargar e instalar ASP.NET MVC 4.0.

El siguiente paso es crear los usuarios y grupos de MBAM necesarios en Active Directory.

Paso 2: Creación de usuarios y grupos en Active Directory Domain Services

Como parte de los requisitos previos, defina determinados roles y cuentas que MBAM usa para proporcionar derechos de seguridad y acceso a servidores y características específicos. Por ejemplo, las bases de datos que se ejecutan en la instancia de SQL Server y las aplicaciones web que se ejecutan en el servidor de administración y supervisión.

Cree los siguientes grupos y usuarios en Active Directory. (Puede usar cualquier nombre para los grupos y usuarios). Los usuarios no tienen que tener mayores derechos de usuario. Una cuenta de usuario de dominio es suficiente. Debe especificar el nombre de estos grupos durante la configuración de MBAM 2.5:

MBAMAppPool

Tipo: Usuario de dominio

Descripción: usuario de dominio que tiene permiso de lectura o escritura para la base de datos de cumplimiento y auditoría y la base de datos de recuperación para permitir que las aplicaciones web accedan a los datos e informes de estas bases de datos. El grupo de aplicaciones también lo usa para las aplicaciones web.

Roles de cuenta (durante la configuración de MBAM):

  1. Cuenta de dominio del grupo de aplicaciones de servicio web
  2. Usuario de lectura y escritura de base de datos de cumplimiento y auditoría y base de datos de recuperación para informes

MBAMROUser

Tipo: Usuario de dominio

Descripción: usuario de dominio que tiene Read-Only acceso a la base de datos de cumplimiento y auditoría para permitir que los informes accedan a los datos de cumplimiento y auditoría de esta base de datos. También es la cuenta de usuario de dominio que usa la instancia local de SQL Server Reporting Services para acceder a la base de datos de cumplimiento y auditoría.

Roles de cuenta (durante la configuración de MBAM):

  1. Usuario de solo lectura de base de datos de cumplimiento y auditoría para informes
  2. Cuenta de usuario de dominio de base de datos de cumplimiento y auditoría

MBAMAdvHelpDsk

Tipo: Grupo de dominios

Descripción: Grupo de acceso de usuarios avanzados del departamento de soporte técnico de MBAM: grupo de usuarios de dominio cuyos miembros tienen acceso a todas las áreas del sitio web de administración y supervisión. Los usuarios que tienen este rol tienen que escribir solo la clave de recuperación, no el dominio y el nombre de usuario del usuario, cuando ayudan a los usuarios a recuperar sus unidades. Si un usuario es miembro del grupo Usuarios del departamento de soporte técnico de MBAM y del grupo Usuarios avanzados del departamento de soporte técnico de MBAM, los permisos del grupo Usuarios avanzados del departamento de soporte técnico de MBAM invalidan los permisos del grupo de soporte técnico de MBAM.

Roles de cuenta (durante la configuración de MBAM): Usuarios avanzados del departamento de soporte técnico de MBAM

MBAMHelpDsk

Tipo: Grupo de dominios

Descripción: Grupo de acceso usuarios del departamento de soporte técnico de MBAM: grupo de usuarios de dominio cuyos miembros tienen acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de administración y supervisión de MBAM. Las personas que tienen este rol deben rellenar todos los campos cuando usan cualquiera de las dos opciones. Estos campos incluyen el nombre de dominio y cuenta del usuario.

Roles de cuenta (durante la configuración de MBAM): usuarios del departamento de soporte técnico de MBAM

MBAMRUGrp

Tipo: Grupo de dominios

Descripción: grupo de usuarios de dominio cuyos miembros tienen acceso de solo lectura a los informes en el área Informes del sitio web de administración y supervisión.

Roles de cuenta (durante la configuración de MBAM):

  1. Informes de grupo de acceso de dominio de solo lectura
  2. Grupo de acceso de usuarios de informes de MBAM

Paso 3 (opcional): Configuración e instalación del certificado SSL en el servidor de administración y supervisión

Aunque es opcional, se recomienda encarecidamente usar un certificado para ayudar a proteger la comunicación entre el cliente de MBAM y el sitio web de administración y supervisión y los sitios web del Portal de Self-Service. No se recomienda usar certificados autofirmados por motivos de seguridad obvios. Se recomienda usar un certificado de tipo de servidor web de una entidad de certificación de confianza. Para obtener más información, consulte MBAM y comunicación de red segura.

Una vez emitido el certificado, debe agregar el certificado al almacén personal del servidor de administración y supervisión. Para agregar el certificado, abra el almacén de certificados en el equipo local. Para completar esta acción, siga estos pasos:

  1. Seleccione Inicio con el botón derecho y, a continuación, seleccione Ejecutar.

    Captura de pantalla para mostrar dónde seleccionar Ejecutar en el menú Inicio.

  2. Escriba "MMC.EXE" (sin comillas) y, a continuación, seleccione Aceptar.

    Captura de pantalla del cuadro Ejecutar con el comando

  3. Seleccione Archivo en la nueva MMC que abrió y, a continuación, seleccione Agregar o quitar complemento.

    Captura de pantalla de MMC con el menú Archivo que resalta la opción

  4. Resalte el complemento Certificados y, a continuación, seleccione Agregar.

    Captura de pantalla de la ventana Agregar o quitar complementos y agregar el complemento Certificados.

  5. Seleccione la opción Cuenta de equipo y, a continuación, seleccione Siguiente.

    Captura de pantalla de la ventana del complemento Certificados, seleccionando la opción Cuenta de equipo.

  6. Seleccione Equipo local en la pantalla siguiente y, a continuación, seleccione Finalizar.

    Captura de pantalla de la ventana Seleccionar equipo, seleccionando la opción Equipo local.

  7. Agregó el complemento Certificados. Le permite trabajar con cualquier certificado en el almacén de certificados del equipo.

    Captura de pantalla de la ventana Agregar o quitar complementos con el complemento Certificados (equipo local) agregado.

  8. Importe el certificado de servidor web en el almacén de certificados del equipo.

    Ahora que tiene acceso al complemento Certificados, puede importar el certificado de servidor web en el almacén de certificados del equipo.

  9. Abra el complemento Certificados (equipo local) y vaya a Personal y, a continuación, a Certificados.

    Captura de pantalla del complemento Certificados (equipo local) con el nodo Personal expandido y el nodo Certificados seleccionado.

    Nota

    Es posible que el complemento Certificados no aparezca en la lista. Si no es así, no se instala ningún certificado.

  10. Seleccione certificados con el botón derecho, todas las tareas y, a continuación, seleccione Importar.

    Captura de pantalla del complemento Certificados (equipo local) que muestra el menú contextual en el nodo Certificados. Todas las tareas están seleccionadas y, a continuación, la opción Importar.

  11. Cuando se inicie el asistente, seleccione Siguiente. Vaya al archivo que creó que contiene el certificado de servidor y la clave privada y, a continuación, seleccione Siguiente.

    Captura de pantalla de la ventana Asistente para importación de certificados con el botón Examinar resaltado.

  12. Escriba la contraseña si especificó una para el archivo al crearla.

Captura de pantalla de la ventana Escribir contraseña. Especifica una contraseña y resalta la opción de importación para

Nota

Si desea poder volver a exportar el par de claves desde este equipo, asegúrese de que la opción Marcar la clave como exportable está seleccionada. Como medida de seguridad agregada, puede dejar esta opción desactivada para asegurarse de que nadie puede realizar una copia de seguridad de la clave privada.

  1. Seleccione Siguiente y, a continuación, seleccione el almacén de certificados en el que desea guardar el certificado.

    Captura de pantalla de la ventana Asistente para importación de certificados, que selecciona la opción Colocar todos los certificados en el almacén personal.

    Nota

    Debe seleccionar Personal, ya que es un certificado de servidor web. Si incluye el certificado en la jerarquía de certificación, también se agrega a este almacén.

  2. Seleccione Siguiente y, a continuación, seleccione Finalizar.

    Captura de pantalla de la ventana Asistente para importación de certificados, que completa el asistente y resume la configuración.

Ahora verá el certificado de servidor del servidor web en la lista Certificados personales. Se muestra por el nombre común del servidor. Puede encontrar este nombre en la sección asunto del certificado.

Para obtener más información, consulta los artículos siguientes:

El siguiente paso consiste en registrar un nombre principal de servicio para la cuenta del grupo de aplicaciones.

Paso 4: Configuración del certificado SSL para el servidor web MBAM

Si usa la comunicación SSL entre el cliente y el servidor, debe asegurarse de que el certificado tenga identificadores de uso mejorado de clave (1.3.6.1.5.5.7.3.1) y (1.3.6.1.5.5.7.3.2). En otras palabras, debe asegurarse de que se agregan la autenticación de servidor y la autenticación de cliente.

Si recibe un error de certificado al intentar examinar las direcciones URL del servicio, es posible que el certificado se emita con un nombre diferente o que esté explorando mediante una dirección URL incorrecta.

Aunque es posible que el explorador le pida un mensaje de error de certificado pero le permita continuar, el servicio web MBAM no omite los errores de certificado y bloquea la conexión. El registro de eventos de administración de MBAM del cliente de MBAM muestra errores relacionados con el certificado. Si usa un alias para conectarse al servidor de administración y supervisión, debe emitir un certificado al nombre del alias. Es decir, el nombre del firmante del certificado debe ser el nombre de alias y el nombre DNS del servidor local debe agregarse al campo Nombre alternativo del firmante del certificado.

Ejemplo 1

Si el nombre virtual es "bitlocker.contoso.com" y el nombre del servidor de administración y supervisión de MBAM es "adminserver.contoso.com", el certificado debe emitirse para bitlocker.contoso.com (nombre del firmante) y adminserver.contoso.com se debe agregar al campo Nombre alternativo del firmante del certificado.

Del mismo modo, si tiene varios servidores de administración y supervisión instalados para equilibrar la carga mediante un equilibrador de carga, debe emitir el certificado SSL en el nombre virtual. Es decir, el campo nombre del firmante del certificado debe tener el nombre virtual y los nombres de todos los servidores locales se deben agregar en el campo Nombre alternativo del firmante del certificado.

Ejemplo 2

Si el nombre virtual es "bitlocker.contoso.com" y los servidores son "adminserver1.contoso.com" y "adminiserver2.contoso.com", el certificado debe emitirse a bitlocker.contoso.com (nombre del firmante) y adminserver1.contoso.com, y adminiserver2.contoso.com debe agregarse al campo Nombre alternativo del firmante del certificado.

Para obtener más información sobre cómo configurar la comunicación SSL para MBAM, consulte MBAM y Comunicación de red segura.

Paso 5: Registro de SPN para la cuenta del grupo de aplicaciones y configuración de la delegación restringida

Nota

La delegación restringida solo es necesaria para la versión 2.5 y no es necesaria para 2.5 Service Pack 1 y versiones posteriores.

Para permitir que los servidores MBAM autentiquen la comunicación desde el sitio web de administración y supervisión y el portal de Self-Service, debe registrar un nombre de entidad de seguridad de servicio (SPN) para el nombre de host en la cuenta de dominio que use para el grupo de aplicaciones web. Para obtener más información sobre las instrucciones paso a paso para registrar SPN, consulte Planeamiento de cómo proteger los sitios web de MBAM.

Una vez configurado el SPN, debe configurar la delegación restringida en el SPN. Para completar esta acción, siga estos pasos:

  1. Vaya a Active Directory y busque las credenciales del grupo de aplicaciones que configuró para los sitios web de MBAM en los pasos anteriores.

  2. Haga clic con el botón derecho en las credenciales y, a continuación, seleccione propiedades.

  3. Seleccione la pestaña delegación .

  4. Seleccione la opción para la autenticación Kerberos.

  5. Seleccione Examinar y vuelva a buscar las credenciales del grupo de aplicaciones. A continuación, debería ver todos los SPN configurados en la cuenta de credenciales del grupo de aplicaciones. El SPN debe ser similar a http/bitlocker.fqdn.com. Resalte el SPN que es el mismo que el nombre de host que especificó durante la instalación de MBAM.

  6. Seleccione Aceptar.

Se han completado los requisitos previos. En los pasos siguientes, instale el software MBAM en los servidores y configúrelo.

Instalación y configuración del software de servidor MBAM 2.5

Paso 6: Instalación del software de servidor MBAM 2.5

Para instalar el software del servidor MBAM mediante el Asistente para instalación de administración y supervisión de Microsoft BitLocker en el servidor de base de datos y en el servidor de administración y supervisión, siga estos pasos.

  1. En el servidor en el que desea instalar MBAM, ejecute MBAMserversetup.exe para iniciar el Asistente para la instalación de administración y supervisión de Microsoft BitLocker.

  2. En la página Principal, seleccione Siguiente.

  3. Lea y acepte el Contrato de licencia de software de Microsoft y, a continuación, seleccione Siguiente para continuar con la instalación.

  4. Decida si desea usar Microsoft Update al buscar actualizaciones y, a continuación, seleccione Siguiente.

  5. Decida si desea participar en el Programa para la mejora de la experiencia del cliente y, a continuación, seleccione Siguiente.

  6. Para iniciar la instalación, seleccione Instalar.

  7. Seleccione Finalizar.

  8. Antes de continuar con la configuración de MBAM, instale la última actualización de la versión de mantenimiento de MDOP. De lo contrario, el servidor de base de datos no se reconoce ni se admite. Al intentar validar la configuración de la base de datos, el asistente para configuración notifica un error.

    Versión de mantenimiento de octubre de 2020 para Microsoft Desktop Optimization Pack

  9. Puede configurar MBAM mediante el acceso directo de configuración del servidor MBAM que crea la instalación del servidor en el menú Inicio .

Para obtener más información, consulte Instalación del software de servidor MBAM 2.5.

Paso 7: Configurar el rol de informes y base de datos de MBAM 2.5

Use el Asistente para MBAM para configurar las bases de datos de MBAM 2.5 y el componente de informes:

  1. Configure la base de datos de cumplimiento y auditoría y la base de datos de recuperación mediante el asistente:

    1. En el servidor en el que desea configurar las bases de datos, inicie el Asistente para configuración del servidor MBAM. Puede seleccionar Configuración del servidor MBAM en el menú Inicio para abrir el asistente.

    2. Seleccione Agregar nuevas características, seleccione Base de datos de cumplimiento y auditoría, Base de datos de recuperación e informes y, a continuación, seleccione Siguiente. El asistente comprueba que se cumplen todos los requisitos previos para las bases de datos.

    3. Si la comprobación de requisitos previos se realiza correctamente, seleccione Siguiente para continuar. De lo contrario, resuelva los requisitos previos que falten y, a continuación, vuelva a seleccionar Comprobar requisitos previos.

    4. Con las descripciones siguientes, escriba los valores de campo en el asistente:

  2. Base de datos de cumplimiento y auditoría

    Campo Descripción
    Nombre de SQL Server Nombre del servidor en el que se configura la base de datos de cumplimiento y auditoría.
    Debe agregar una excepción en el equipo de base de datos de cumplimiento y auditoría para habilitar el tráfico entrante entrante en el puerto de SQL Server. El número de puerto predeterminado es 1433.
    Instancia de base de datos de SQL Server Nombre de la instancia de base de datos donde MBAM almacena los datos de cumplimiento y auditoría. Si usa la instancia predeterminada, debe dejar este campo en blanco. También debe especificar dónde se encuentra la información de la base de datos.
    Nombre de la base de datos Nombre de la base de datos que almacena los datos de cumplimiento. Tenga en cuenta el nombre de la base de datos que especifique aquí porque tiene que proporcionar esta información en pasos posteriores.
    Grupo o usuario de dominio de permiso de lectura y escritura Especifique el nombre del usuario MBAMAppPool tal como se ha configurado en el paso 2.
    Usuario o grupo de dominio de acceso de solo lectura Especifique el nombre del usuario MBAMROUser tal como se ha configurado en el paso 2.

  3. Base de datos de recuperación.

    Campo Descripción
    Nombre de SQL Server Nombre del servidor en el que se configura la base de datos de recuperación. Debe agregar una excepción en el equipo de Recovery Database para habilitar el tráfico entrante entrante en el puerto de SQL Server. El número de puerto predeterminado es 1433.
    Instancia de base de datos de SQL Server Nombre de la instancia de base de datos que almacena los datos de recuperación. Si usa la instancia predeterminada, debe dejar este campo en blanco. También debe especificar dónde se encuentra la información de la base de datos.
    Nombre de la base de datos Nombre de la base de datos que almacena los datos de recuperación.
    Grupo o usuario de dominio de permiso de lectura y escritura Usuario o grupo de dominio que tiene permiso de lectura y escritura para esta base de datos para permitir que las aplicaciones web accedan a los datos e informes de esta base de datos.
    Si escribe un usuario en este campo, debe ser el mismo valor que el valor del campo Cuenta de dominio del grupo de aplicaciones del servicio web en la página Configurar aplicaciones web .
    Si escribe un grupo en este campo, el valor del campo Cuenta de dominio del grupo de aplicaciones de servicio web de la página Configurar aplicaciones web debe ser miembro del grupo que escriba en este campo.

    Cuando termine las entradas, seleccione Siguiente. El asistente comprueba que se cumplen todos los requisitos previos para las bases de datos.

    Si la comprobación de requisitos previos se realiza correctamente, seleccione Siguiente para continuar. De lo contrario, resuelva los requisitos previos que faltan y, a continuación, seleccione Siguiente de nuevo.

  4. Informes.

    Campo Descripción
    Instancia de SQL Server Reporting Services Instancia de SQL Server Reporting Services donde se configuran los informes. Si usa la instancia predeterminada, debe dejar este campo en blanco.
    Grupo de dominios de rol de informes Especifique el nombre de MBAMRUGrp como se mencionó en el paso 2.
    Nombre de SQL Server Nombre del servidor en el que está configurada la base de datos de cumplimiento y auditoría.
    Instancia de base de datos de SQL Server Nombre de la instancia de base de datos donde se configuran los datos de cumplimiento y auditoría. Si usa la instancia predeterminada, debe dejar este campo en blanco.
    Debe agregar una excepción en el equipo informes para habilitar el tráfico entrante en el puerto del servidor de informes. (El puerto predeterminado es 80).
    Nombre de la base de datos Nombre de la base de datos de cumplimiento y auditoría. De forma predeterminada, el nombre de la base de datos es Estado de cumplimiento de MBAM.
    Cuenta de dominio de base de datos de cumplimiento y auditoría Especifique el nombre del usuario MBAMROUser tal como se ha configurado en el paso 2.

    Cuando termine las entradas, seleccione Siguiente. El asistente comprueba que se cumplen todos los requisitos previos de la característica Informes. Selecciona Siguiente para continuar. En la página Resumen , revise las características agregadas.

    Para obtener más información, consulte el siguiente artículo: Configuración de las bases de datos de MBAM 2.5.

Paso 8: Configuración del rol de aplicaciones web de MBAM 2.5

  1. En el servidor en el que desea configurar las aplicaciones web, inicie el Asistente para configuración del servidor MBAM. Puede seleccionar Configuración del servidor MBAM en el menú Inicio para abrir el asistente.

  2. Seleccione Add New Features (Agregar nuevas características), Administration and Monitoring Website and Self-Service Portal (Sitio web de administración y supervisión y portal de autoservicio) y, a continuación, seleccione Siguiente. El asistente comprueba que se cumplen todos los requisitos previos para las bases de datos.

  3. Si la comprobación de requisitos previos se realiza correctamente, seleccione Siguiente para continuar. De lo contrario, resuelva los requisitos previos que falten y, a continuación, vuelva a seleccionar Comprobar requisitos previos.

  4. Use las descripciones siguientes para escribir los valores de campo en el asistente.

    Campo Descripción
    Certificado de seguridad Seleccione un certificado creado anteriormente en el paso 3 para cifrar opcionalmente la comunicación entre los servicios web y el servidor en el que configura el sitio web administración y supervisión. Si selecciona No usar un certificado, es posible que la comunicación web no sea segura.
    Nombre de host Nombre del equipo host en el que se configura el sitio web de administración y supervisión.
    No tiene que ser el nombre de host de la máquina, podría ser cualquier cosa. Sin embargo, si el nombre de host es diferente del nombre netbios del equipo, debe crear un registro A y asegurarse de que el SPN usa el nombre de host personalizado, no el nombre de netbios. Esta configuración es común en escenarios de equilibrio de carga.
    Ruta de instalación Ruta de acceso en la que se instala el sitio web de administración y supervisión.
    Port Número de puerto que se va a usar para la comunicación del sitio web.
    Debe establecer una excepción de firewall para habilitar la comunicación a través del puerto especificado.
    Cuenta de dominio y contraseña del grupo de aplicaciones de servicio web Especifique la cuenta de usuario y la contraseña del usuario MBAMAppPool tal como se ha configurado en el paso 2.
    Para mejorar la seguridad, establezca la cuenta especificada en las credenciales para que tenga derechos de usuario limitados. Además, establezca la contraseña de la cuenta para que nunca expire.

  5. Compruebe que la cuenta de IIS_IUSRS integrada o la cuenta del grupo de aplicaciones se agregaron a la configuración de seguridad local Suplantar un cliente después de la autenticación y la configuración de seguridad local Iniciar sesión como trabajo por lotes .

    Para comprobar si la cuenta se agregó a la configuración de seguridad local, abra el editor directiva de seguridad local, expanda el nodo Directivas locales , seleccione el nodo Asignación de derechos de usuario y haga doble clic en Suplantar un cliente después de la autenticación e Iniciar sesión como un trabajo por lotes en el panel derecho.

  6. Use las descripciones de campo siguientes para configurar la información de conexión en el asistente para la base de datos de cumplimiento y auditoría.

    Campo Descripción
    Nombre de SQL Server Nombre del servidor en el que está configurada la base de datos de cumplimiento y auditoría.
    Instancia de base de datos de SQL Server Nombre de la instancia de SQL Server (por ejemplo, <Nombre> del servidor) y en la que está configurada la base de datos de cumplimiento y auditoría. Si usa la instancia predeterminada, deje este campo en blanco.
    Nombre de la base de datos Nombre de la base de datos de cumplimiento y auditoría. De forma predeterminada, es "Estado de cumplimiento de MBAM".

  7. Use las descripciones de campo siguientes para configurar la información de conexión en el asistente para la base de datos de recuperación.

    Campo Descripción
    Nombre de SQL Server Nombre del servidor en el que está configurada la base de datos de recuperación.
    Instancia de base de datos de SQL Server Nombre de la instancia de SQL Server (por ejemplo, <Nombre> del servidor) en la que está configurada la base de datos de recuperación. Si usa la instancia predeterminada, deje este campo en blanco.
    Nombre de la base de datos Nombre de la base de datos de recuperación. De forma predeterminada, es "Recuperación y hardware de MBAM".

  8. Use las descripciones siguientes para especificar los valores de campo en el asistente para configurar el sitio web de administración y supervisión.

    Campo Descripción
    Grupo de dominios de rol del departamento de soporte técnico avanzado Especifique el nombre del grupo MBAMAdvHelpDsk configurado en el paso 2.
    Grupo de dominios de rol del departamento de soporte técnico Especifique el nombre del grupo MBAMHelpDsk tal como se ha configurado en el paso 2.
    Uso de la integración de System Center Configuration Manager Active esta casilla para desactivarla.
    Grupo de dominios de rol de informes Especifique el nombre del grupo MBAMRUGrp tal como se ha configurado en el paso 2.
    SQL Server Reporting Services URL Especifique la dirección URL del servicio web para el servidor SSRS en el que están configurados los informes de MBAM. Para encontrar esta información, inicie sesión en el Administrador de configuración de Reporting Services en el servidor de base de datos.
    Ejemplo de un nombre de dominio completo: https://MyReportServer.Contoso.com/ReportServer
    Ejemplo de un nombre de host personalizado: https://MyReportServer/ReportServer
    Directorio virtual Directorio virtual del sitio web de administración y supervisión. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web. Por ejemplo:
    https://<host name>:<port>/HelpDesk/
    Si no especifica un directorio virtual, usa el valor "HelpDesk".

  9. Use la descripción siguiente para escribir los valores de campo en el asistente para configurar el portal de Self-Service.

    Campo Descripción
    Directorio virtual Directorio virtual de la aplicación web. Este nombre corresponde al directorio físico del sitio web en el servidor y se anexa al nombre de host del sitio web. Por ejemplo:
    https://<host name>:<port>/SelfService/
    Si no especifica un directorio virtual, usa el valor "SelfService".

  10. Cuando termine las entradas, seleccione Siguiente. El asistente comprueba que se cumplen todos los requisitos previos para las aplicaciones web.

  11. Seleccione Siguiente para continuar.

  12. En la página Resumen , revise las características agregadas.

  13. Seleccione Agregar para agregar las aplicaciones web al servidor y, a continuación, seleccione Cerrar.

Personalización y validación de pasos después de instalar el software de servidor MBAM 2.5

Paso 9: Personalización del portal de autoservicio para su organización

Para personalizar el portal de Self-Service agregando texto de aviso personalizado, el nombre de la empresa, punteros a más información, etc., consulte Personalización del portal de Self-Service para su organización.

Paso 10: Configurar el portal de servidor automático si los equipos cliente no pueden acceder a la red CDN

Determine si los equipos cliente tienen acceso a la red de entrega de contenido (CDN) de Microsoft AJAX. La red CDN proporciona al portal de Self-Service el acceso que necesita a determinados archivos JavaScript. Si no configura el portal de Self-Service cuando los equipos cliente no pueden acceder a la red CDN, solo muestra el nombre de la empresa y la cuenta con la que el usuario inició sesión. No muestra un mensaje de error.

Realice una de las siguientes acciones:

Paso 11: Validar la configuración de la característica de servidor de MBAM 2.5

Para validar la implementación del servidor MBAM para usar la topología independiente, siga estos pasos.

  1. En cada servidor en el que se implementa una característica de MBAM, seleccioneProgramas>y características del Panel> de control. Compruebe que Microsoft BitLocker Administration and Monitoring aparece en la lista Programas y características .

    Nota

    Para realizar la validación, debe usar una cuenta de dominio que tenga credenciales administrativas de equipo local en cada servidor.

  2. En el servidor en el que está configurada la base de datos de recuperación, abra SQL Server Management Studio y compruebe que la base de datos de recuperación y hardware de MBAM está configurada.

  3. En el servidor en el que está configurada la base de datos de cumplimiento y auditoría, abra SQL Server Management Studio y compruebe que la base de datos de estado de cumplimiento de MBAM está configurada.

  4. En el servidor en el que está configurada la característica Informes, abra un explorador web con credenciales administrativas y vaya a la página principal del sitio de SQL Server Reporting Services.

    La ubicación predeterminada de la página principal de una instancia de sitio de SQL Server Reporting Services es la siguiente:

    https://<MBAM Reports Server Name>:<port>/Reports.aspx

    Para buscar la dirección URL real, use la herramienta Administrador de configuración de Reporting Services y seleccione las instancias que especificó durante la instalación.

  5. Compruebe que una carpeta de informes denominada Administración y supervisión de Microsoft BitLocker contiene un origen de datos denominado MaltaDataSource. Este origen de datos contiene carpetas que tienen nombres que representan configuraciones regionales de idioma (por ejemplo, en-us). Los informes se encuentran en las carpetas de idioma.

    Nota

    Si configura SQL Server Reporting Services (SSRS) como una instancia con nombre, la dirección URL debe ser similar al ejemplo siguiente:

    https://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    Si no configuró SSRS para usar capa de socket seguro (SSL), la dirección URL de los informes se establecerá en "HTTP" en lugar de "HTTPS" al instalar el servidor MBAM. Si luego va al sitio web de administración y supervisión (también conocido como departamento de soporte técnico) y selecciona un informe, recibirá el siguiente mensaje: "Solo se muestra contenido seguro". Para mostrar el informe, seleccione Mostrar todo el contenido.

  6. En el servidor en el que está configurada la característica Sitio web de administración y supervisión, ejecute el Administrador del servidor, vaya a Roles y, a continuación, seleccione Servidor web (IIS)>Administrador de Internet Information Services (IIS).

  7. En Conexiones, vaya al nombre> del equipo y, a <continuación, seleccione Sitios>Administración y supervisión de Microsoft BitLocker. Compruebe que aparece lo siguiente:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. En el servidor en el que están configurados el sitio web de administración y supervisión y Self-Service Portal, abra un explorador web con credenciales administrativas.

  9. Vaya a los siguientes sitios web para comprobar que se cargan correctamente:

    • httpss://<MBAM Administration Server Name>:<port>/HelpDesk/ (confirme cada vínculo para la navegación y los informes)
    • https://<MBAM Administration Server Name>:<port>/SelfService/

    Nota

    Se supone que ha configurado las características del servidor en el puerto predeterminado sin cifrado de red. Si configuró las características del servidor en otro puerto o directorio virtual, cambie las direcciones URL para incluir el puerto adecuado. Por ejemplo:

    • https://<host name>:<port>/HelpDesk/
    • https://<host name>:<port>/<virtualdirectory>/

    Si ha configurado las características del servidor sin cifrado de red, cambie https:// a http://.

  10. Vaya a los siguientes servicios web para comprobar que se cargan correctamente. Se abre una página para indicar que el servicio se está ejecutando. Sin embargo, la página no muestra metadatos.

    • https://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

Paso 12: Configurar las plantillas de directiva de grupo de MBAM

Para implementar MBAM, tiene que establecer la configuración de directiva de grupo que defina la configuración de implementación de MBAM para el cifrado de unidad BitLocker. Para completar esta tarea, debe copiar las plantillas de directiva de grupo de MBAM en un servidor o estación de trabajo que pueda ejecutar la Consola de administración de directivas de grupo (GPMC) o la administración avanzada de directivas de grupo (AGPM) y, a continuación, editar la configuración.

Importante

No cambie la configuración de la directiva de grupo en el nodo Cifrado de unidad BitLocker o MBAM no funcionará correctamente. Al configurar las opciones de directiva de grupo en el nodo MDOP MBAM (Administración de BitLocker), MBAM configura automáticamente la configuración de Cifrado de unidad BitLocker automáticamente.

Copia de las plantillas de directiva de grupo de MBAM 2.5

Antes de instalar el cliente de MBAM, debe copiar objetos de directiva de grupo (GPO) específicos de MBAM en la estación de trabajo de administración. Estos GPO definen la configuración de implementación de MBAM para BitLocker. Puede copiar las plantillas de directiva de grupo en cualquier servidor o estación de trabajo que sea un servidor o equipo cliente basado en Windows compatible y que pueda ejecutar la Consola de administración de directivas de grupo (GPMC) o administración avanzada de directivas de grupo (AGPM).

Para obtener más información, consulte Copia de las plantillas de directiva de grupo de MBAM 2.5.

Edición de la configuración de GPO de MBAM 2.5

Después de crear los GPO necesarios, debe implementar la configuración de directiva de grupo de MBAM en los equipos cliente de la organización. Para ver y crear GPO, debe tener instalada la Consola de administración de directivas de grupo (GPMC) o la administración avanzada de directivas de grupo (AGPM).

Para obtener más información, consulte Edición de la configuración de directiva de grupo de MBAM 2.5 y Planeamiento de los requisitos de directiva de grupo de MBAM 2.5.

Paso 13: Implementación del cliente de MBAM 2.5

En función de cuándo implemente el software cliente de MBAM, puede habilitar BitLocker en un equipo de su organización antes de que el usuario reciba el equipo o después configurando la directiva de grupo e implementando el software cliente de MBAM mediante un sistema de implementación de software empresarial.

Implementación del cliente de MBAM en equipos portátiles o de escritorio

Después de configurar las opciones de directiva de grupo, puede usar un producto del sistema de implementación de software empresarial, como Microsoft System Center 2012 Configuration Manager o Active Directory Domain Services (AD DS) para implementar los archivos de Windows Installer de instalación del cliente MBAM en equipos de destino. Puede usar los archivos de MbamClientSetup.exe de 32 o 64 bits o los archivos de MBAMClient.msi de 32 o 64 bits. Estos archivos se proporcionan junto con el software cliente de MBAM.

Para obtener más información, consulte Implementación del cliente de MBAM en equipos de escritorio o portátiles.

Implementación del cliente de MBAM como parte de una implementación de Windows

En las organizaciones en las que los equipos se reciben y configuran de forma centralizada, puede instalar el cliente de MBAM para administrar el cifrado de unidad BitLocker en cada equipo antes de que se escriban en él los datos de usuario. La ventaja de este proceso es que todos los equipos son compatibles con BitLocker. Este método no se basa en la acción del usuario porque el administrador ya ha cifrado el equipo. Una suposición clave para este escenario es que la directiva de la organización es instalar una imagen corporativa de Windows antes de que el equipo se entregue al usuario. Si la configuración de directiva de grupo está configurada para requerir un PIN, se pedirá a los usuarios que establezcan un PIN después de recibir la directiva.

Para obtener más información, vea Cómo implementar el cliente de MBAM como parte de una implementación de Windows.

Implementación del cliente de MBAM mediante una línea de comandos

Para obtener más información, vea How to deploy the MBAM client by using a command line (Cómo implementar el cliente de MBAM mediante una línea de comandos).

Posterior a la implementación de clientes

A continuación, revise los registros siguientes y determine si los clientes notifican correctamente a la base de datos MBAM.

Preguntas frecuentes (FAQ)

Creación de servidores IIS con equilibrio de carga

  • SPN solo debe registrarse en el nombre descriptivo (por ejemplo, bitlocker.corp.net) y no debe registrarse en servidores IIS individuales.

  • Si se usa un certificado, el certificado debe tener nombres FQDN y NetBIOS especificados en el campo Nombre alternativo del firmante para todos los servidores IIS del grupo de equilibrio de carga y también como nombre descriptivo (por ejemplo, bitlocker.corp.net). De lo contrario, el explorador no confía en el certificado al examinar direcciones con equilibrio de carga.

Para obtener más información, vea Equilibrio de carga de red de IIS y Registro de SPN para la cuenta del grupo de aplicaciones.

Configuración de un certificado

  • Necesita dos certificados. Un certificado se usa para SQL Server y el otro para IIS. Deben instalarse antes de iniciar la instalación de MBAM.

  • Se recomienda usar el instalador para agregar el certificado a la configuración de IIS en lugar de editar manualmente el archivo web.config.

  • Si el campo "Emitido a" del certificado no coincide con el nombre del servidor, el configurador de MBAM no acepta el certificado. Cree temporalmente un certificado autofirmado desde la consola de IIS y úselo en configurator. Esta acción garantiza que las aplicaciones web estén instaladas para SSL y HTTPS. Después, puede cambiar el certificado a uno de los enlaces de IIS para el sitio web de MBAM.

Requisito de permisos de SQL para la instalación

Cree una cuenta para el grupo de aplicaciones de MBAM y asígnele solo SecurityAdminpermisos , Publicy DBCreator .

Para obtener más información, consulte Configuración de base de datos DE MBAM: permisos mínimos.

Nota

  • En algunas situaciones, se requieren más permisos para las operaciones de instalación y actualización iniciales.
  • Use una cuenta que tenga sa temporal para la instalación.
  • No inicie el configurador en el contexto de una cuenta de usuario (ejecutar como) que no tenga permisos suficientes para realizar cambios en SQL Server. Esta acción produce errores de instalación.
  • Debe iniciar sesión con una cuenta que tenga permisos en SQL Server. Solo se pueden crear o actualizar bases de datos de SQL Server mediante la ejecución remota de MBAM Configurator. Para el servidor SSRS, debe instalar MBAM y ejecutar Configurator localmente para instalar o actualizar los informes de SSRS de MBAM.

Permiso necesario para el registro de SPN

Una cuenta que se usa para la instalación del portal de IIS debe tener los permisos Write ServicePrincipalName y Write Validated SPN. Sin estos permisos, la instalación devuelve un mensaje de advertencia que indica que no puede registrar el SPN.

Nota

Recibirá este mensaje de advertencia dos veces. No significa que el SPN debe tener dos objetos registrados en él.

¿He tenido que actualizar las plantillas de ADMX a la versión más reciente?

Verá varias opciones del sistema operativo en el nodo raíz de MBAM para GPO después de actualizar las plantillas de ADMX a sus versiones más recientes. Por ejemplo, Windows 7, Windows 8.1 y Windows 10, versión 1511 y versiones posteriores.

Para obtener más información sobre cómo actualizar las plantillas de ADMX, consulte los artículos siguientes: