Compartir a través de

Solución de problemas de instalación de MBAM 2.5

En este artículo se presenta cómo solucionar problemas de instalación de Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 en una configuración independiente.

Referencia de archivos de registro de MBAM para solucionar problemas

MBAM incluye el registro para la instalación del servidor, la instalación del cliente y los eventos. Se debe hacer referencia a este registro para solucionar problemas.

Archivos de registro de instalación del servidor MBAM

MBAMServerSetup.exe genera los siguientes archivos de registro en la carpeta %temp% del usuario durante la instalación de MBAM:

Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log

MBAMServerSetup.exe registra las acciones que se realizaron durante la instalación de MBAM y la instalación de características del servidor MBAM:

Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log

MBAMServerSetup.exe registra otras acciones que se realizaron durante la instalación.

Archivo de registro de instalación de cliente de MBAM

La instalación del cliente se registra en el siguiente archivo de registro en la carpeta %temp% o en una ubicación personalizada, en función de cómo se haya instalado el cliente:

MSI<five random characters>.log

Este registro contiene las acciones que se realizan durante la instalación del cliente de MBAM.

Canal de registro de eventos del cliente DE MBAM

MBAM tiene canales de registro de eventos independientes. Los archivos de registro Administración, analíticos y operativos se encuentran en Visor de eventos, en Registros >de aplicaciones y serviciosde Microsoft> Windows >MBAM.

En la tabla siguiente se proporciona una breve descripción de cada registro de eventos.

Registro de eventos Descripción
Microsoft-Windows-MBAM/Administración Contiene mensajes de error
Microsoft-Windows-MBAM/Análisis Contiene información de registro avanzada
Microsoft-Windows-MBAM/Operational Contiene mensajes correctos

Canal de registro de eventos del servidor MBAM

Losarchivos de registro se encuentran en Visor de eventos, en Registros >de aplicaciones y serviciosde Microsoft> Windows >MBAM. En la tabla siguiente se incluyen los registros de eventos de servidor que se introdujeron en MBAM 2.5:

Registro de eventos Descripción
Microsoft-Windows-MBAM/Administración Contiene mensajes de error
Microsoft-Windows-MBAM/Análisis Contiene información de registro avanzada
Microsoft-Windows-MBAM/Operational Contiene mensajes correctos

Registros de servicio web de MBAM

Cada registro de servicio web de MBAM escribe información de registro en un archivo SVCLOG. De forma predeterminada, cada servicio web escribe el archivo de seguimiento en una carpeta que usa su nombre en la C:\inetpub\Microsoft BitLocker Management Solution\Logs carpeta.

Puede usar la herramienta visor de seguimiento de servicio (parte de Microsoft Visual Studio) para revisar los seguimientos de svclog.

Solución de problemas de cifrado e informes

Esta sección contiene información de solución de problemas para la funcionalidad del servidor, la funcionalidad del cliente, la configuración y los problemas conocidos:

Instalación de cliente de MBAM, configuración de directiva de grupo

Determine si el agente de MBAM está instalado en el equipo cliente. Cuando se instala MBAM, crea un servicio denominado Servicio cliente de administración de BitLocker. Este servicio está configurado para iniciarse automáticamente. Determine si el servicio se está ejecutando.

Asegúrese de que la configuración de directiva de grupo de MBAM se aplica en el equipo cliente. Se crea la siguiente subclave del Registro si se aplicó la configuración de directiva de grupo en el equipo cliente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

Compruebe que esta clave existe y se rellena mediante valores por configuración de directiva de grupo.

Agente de MBAM en el período de retraso inicial

El cliente de MBAM no inicia la operación inmediatamente después de la instalación. Hay un retraso aleatorio inicial de 1 a 18 minutos antes de que el agente de MBAM inicie su operación. Además del retraso inicial, hay un retraso de al menos 90 minutos. (El retraso depende de la configuración de directiva de grupo configurada para la frecuencia de comprobación del estado del cliente). Por lo tanto, el retraso total antes de que un cliente inicie la operación es retraso aleatorio de la + frecuencia de comprobación del cliente.

Si los registros de eventos Operational y Administración están en blanco, el cliente aún no ha iniciado la operación y se encuentra en el período de retraso mencionado anteriormente. Si desea omitir el retraso, siga estos pasos:

  1. Detenga el servicio de servicio cliente de administración de BitLocker.

  2. En la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM subclave del Registro, cree el valor del NoStartupDelay Registro, establezca su tipo en REG_DWORD y, a continuación, establezca su valor en 1.

  3. En HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement, establezca los ClientWakeupFrequency valores y StatusReportingFrequency en 1. Después de actualizar la directiva de grupo en el equipo, estos valores vuelven a su configuración original.

  4. Inicie el servicio de servicio cliente de administración de BitLocker.

Una vez que se inicia el servicio, si inicia sesión localmente en el equipo y no hay errores, debe recibir una solicitud para cifrar el equipo en un minuto. Si no recibe una solicitud, debe revisar los registros de mbam Administración para ver si hay entradas de error.

El equipo no tiene un dispositivo TPM o el dispositivo TPM no está habilitado en el BIOS.

Revise el registro de eventos de MBAM Administración. Verá una entrada de evento similar a la siguiente en el registro de eventos de MBAM Administración:

    Log Name:      Microsoft-Windows-MBAM/Admin
    Source:        Microsoft-Windows-MBAM
    Date:          8/3/2013 12:31:10 PM
    Event ID:      9
    Task Category: None
    Level:         Error
    Keywords:
    User:          SYSTEM
    Computer:      Mbamclient.contoso.com
    Description:
    The TPM hardware is missing.
    TPM is needed to encrypt the operating system drive with any TPM protector.

Abra Administración de TPM (tpm.msc) y compruebe si el equipo tiene un dispositivo TPM. Si tpm.msc no muestra un dispositivo, abra Administrador de dispositivos (devmgmt.msc) y busque un módulo de plataforma segura en Dispositivos de seguridad. Si no ve un dispositivo de módulo de plataforma segura, puede deberse a uno de los siguientes motivos:

  • El sistema no tiene un dispositivo de módulo de plataforma segura (TPM/seguridad).

  • El dispositivo TPM está deshabilitado en el BIOS.

  • El dispositivo TPM está habilitado en el BIOS, pero la administración del dispositivo TPM desde la configuración del sistema operativo está deshabilitada en el BIOS.

  • No usa un controlador de Microsoft para el dispositivo TPM. Para identificar el controlador de dispositivo tpm de Microsoft, revise los dispositivos del administrador de dispositivos.

Si el dispositivo TPM no usa el C:\Windows\System32\tpm.sys controlador, debe actualizarlo seleccionando el C:\Windows\Inf\tpm.inf archivo.

El equipo no tiene una partición SYSTEM válida

Revise el registro de eventos de MBAM Administración. Verá una entrada de evento similar a la siguiente en el registro de eventos de MBAM Administración:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:37 AM
Event ID:      8
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      BITTESTVM.xtremelabs.com
Description:
The system volume is missing.
SystemVolume is needed to encrypt the operating system drive.

BitLocker requiere una partición SYSTEM para habilitar el cifrado (Cifrado de unidad BitLocker en Windows 7: Preguntas más frecuentes).

MBAM no crea automáticamente la partición del sistema. Puede usar la utilidad de preparación de unidad BitLocker (bdehdcfg.exe) para crear la partición del sistema y mover los archivos de inicio necesarios.

Por ejemplo, puede usar el comando %windir%\system32\bdeHdCfg.exe -target default -size 300 -quiet para preparar la unidad de forma silenciosa antes de implementar MBAM para cifrar las unidades. Este comando requiere un reinicio. También puede crear scripts de la acción si es necesario. En el documento siguiente se describe la herramienta de preparación de unidad BitLocker:

Descripción de la herramienta de preparación de unidades de BitLocker

Las unidades no tienen formato para tener un sistema de archivos compatible

Para obtener más información, vea Cifrado de unidad BitLocker en Windows 7: Preguntas más frecuentes.

Conflicto de directiva de grupo

Verá una entrada de evento similar a la siguiente en el registro de eventos de MBAM Administración:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          7/25/2013 9:27:58 PM
Event ID:      22
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Detected Fixed Data Drive volume encryption policies conflict.
Check BitLocker and MBAM policies related to FDD drive protectors.

Compruebe la configuración de la directiva de grupo para asegurarse de que no tiene una configuración en conflicto entre la configuración de directiva de grupo de MBAM.

Debe configurar la directiva de grupo mediante la plantilla MDOP MBAM y no la plantilla Cifrado de unidad BitLocker.

Por ejemplo, en Configuración de cifrado de unidad de sistema operativo, seleccionó TPM como protector y también seleccionó Permitir PIN mejorados para el inicio. Esta configuración entra en conflicto porque la protección solo tpm no requiere un PIN. Por lo tanto, debe deshabilitar la configuración de LOS PIN mejorados.

Es posible que el usuario tenga una exención

Si ha habilitado la configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker)\Administración de cliente\Configuración de la directiva de directiva de exención de usuario, se ofrece a los usuarios la opción de solicitar una exención.

De forma predeterminada, si el usuario solicita una exención, la exención es válida durante siete días y el usuario no recibe mensajes para cifrar durante este período. Puede aumentar o reducir el valor predeterminado durante la configuración de la directiva. Una vez finalizado el período de exención, se pide al usuario que cifre.

Verá la siguiente entrada en el registro de eventos de MBAM Administración cuando un equipo esté bajo exención de usuario:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 3:06:40 PM
Event ID:      13
Task Category: None
Level:         Warning
Keywords:
User:          SYSTEM
Computer:      MBAMCLIENT.contoso.com
Description:
The user is exempt from encryption.

Si desea invalidar manualmente la exención de usuario para un equipo, siga estos pasos:

  1. Establezca el valor AllowUserExemption en 0 en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

  2. Elimine todos los valores del Registro en la siguiente subclave del Registro, excepto , AgentVersionEncodedComputerNamey Installed:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM

    Nota

    Para que los cambios surtan efecto, reinicie el agente de MBAM.

Después de aplicar la directiva de grupo al equipo, estos valores podrían revertir a su configuración original.

Problema de WMI

MBAM usa métodos de la Win32_EncryptableVolume clase para administrar BitLocker. Si este módulo no está registrado o está dañado, el cliente de MBAM no funciona correctamente y puede ver la siguiente entrada de evento en el registro de eventos de MBAM Administración:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          7/27/2013 11:18:51 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      BITTEST.xtremelabs.com
Description:
An error occurred while sending encryption status data.
Error code:
0x80041016
Details:
NULL

Además, es posible que observe que las directivas de recuperación y hardware no se aplican con el código 0x8007007ede error: "No se encontró el módulo especificado".

Para resolver este problema, debe volver a registrar la Win32_EncryptableVolume clase mediante el siguiente comando:

mofcomp c:\Windows\System32\wbem\win32_encryptablevolume.mof

Solución de problemas de comunicación del agente de MBAM

Esta sección contiene información de solución de problemas para los siguientes problemas relacionados con la comunicación del agente de MBAM:

Dirección URL del servicio MBAM incorrecta

Si el valor del servicio de estado de cumplimiento de MBAM o el servicio de recuperación y hardware es incorrecto, verá una entrada de evento similar a la siguiente en el registro de eventos de MBAM Administración en el equipo cliente:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:36 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:33 PM
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:20:32 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:20:32 PM
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.

Compruebe los valores de KeyRecoveryServiceEndPoint y StatusReportingServiceEndpoint en la siguiente subclave del Registro en el equipo cliente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

De forma predeterminada, la dirección URL de KeyRecoveryServiceEndPoint (punto de conexión de servicio de recuperación y hardware de MBAM) tiene el formato siguiente:

https://<servername>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

De forma predeterminada, la dirección URL de StatusReportingServiceEndpoint (punto de conexión del servicio de informes de estado de MBAM) tiene el formato siguiente:

https://<servername>:<port>/MBAMComplianceStatusService/StatusReportingService.svc

Nota

No debe haber espacios en la dirección URL.

Si la dirección URL del servicio es incorrecta, corríjala en la siguiente configuración de directiva de grupo:

Configuración> del equipoPolíticas>Plantillas> administrativasComponentes de> WindowsMDOP MBAM (administración de BitLocker)>Administración de clientes>Configuración de servicios MBAM

Problema de conectividad que afecta al servidor de administración de MBAM

El agente de MBAM no puede publicar actualizaciones en la base de datos si existen problemas de conectividad entre el agente cliente y el servidor de administración de MBAM. En este caso, observará las entradas de error de conectividad en el registro de eventos de MBAM Administración en el equipo cliente:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          29-04-2014 18:21:22
Event ID:      2
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          29-04-2014 23:06:48
Event ID:      2
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0006
Details:
The operation did not complete within the time allotted.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          02-09-2013 02:02:04
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.

Comprobaciones básicas:

  • Compruebe la conectividad básica haciendo ping al servidor de administración de MBAM por nombre e IP. Compruebe si puede conectarse al sitio web de administración de MBAM o al puerto de servicio mediante telnet o portqry.

  • Compruebe que el servicio IIS se ejecuta en el servidor de administración y supervisión de MBAM y que el servicio web MBAM escucha en el mismo puerto configurado en el equipo cliente de MBAM (netstat -ano | find "portnumber").

  • Compruebe que el número de puerto configurado para el sitio web de MBAM usa el Administrador de IIS (inetmgr). Asegúrese de que el número de puerto sea el mismo que el número de puerto en el que está escuchando el cliente. Asegúrese de que otra aplicación no comparte el número de puerto. Por ejemplo, otra aplicación del servidor no debe usar el mismo puerto.

  • Si hay un firewall, asegúrese de que el puerto está abierto en el firewall o servidor proxy.

  • Si la comunicación entre el cliente y el servidor es segura, asegúrese de usar un certificado SSL válido.

  • Compruebe la conectividad de red entre el servidor web y el servidor de base de datos al que se envían los datos para su inserción. Puede comprobar la conectividad de la base de datos desde el servidor web al servidor de base de datos mediante el administrador de orígenes de datos ODBC.

Solución del problema de conectividad

Asegúrese de que la dirección URL del servicio configurada en el cliente es correcta. Copie el valor de la dirección URL de KeyRecoveryServiceEndPoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) del registro y ábralo en Internet Explorer.

Del mismo modo, copie el valor de la dirección URL para StatusReportingServiceEndpoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) y ábralo en Internet Explorer.

Nota

Si no puede ir a la dirección URL desde el equipo cliente, debe probar la conectividad de red básica desde el cliente al servidor que ejecuta IIS. Vea los puntos 1, 2, 3 y 4 en la sección anterior.

Además, revise los registros de aplicación en el servidor de administración y supervisión para ver si hay errores.

Puede realizar un seguimiento de red simultáneo entre el cliente y el servidor y revisar el seguimiento para determinar la causa del error de conexión entre el agente cliente y el servidor de administración de MBAM.

Nota

Si puede ir a las direcciones URL del servicio desde el equipo cliente y hay entradas de error de conectividad en los registros de eventos de administrador de MBAM, esto podría deberse a un error de conectividad entre el servidor de administración y el servidor de base de datos.

Si puede examinar correctamente ambas direcciones URL de servicio y hay conectividad entre el cliente y el servidor que se está ejecutando, IIS funciona. Sin embargo, puede haber un problema en la comunicación entre el servidor que ejecuta IIS y el servidor de base de datos.

Es posible que los servicios de MBAM no puedan conectarse al servidor de bases de datos debido a un problema de red o a una configuración de cadena de conexión de base de datos incorrecta. Revise los registros de aplicación en el servidor de administración y supervisión. Es posible que vea entradas de errores o advertencias de la ASP.NET de origen 2.0.50727.0 similares a la siguiente entrada de registro:

    Log Name:      Application
    Source:        ASP.NET 2.0.50727.0
    Date:          7/11/2013 6:16:34 PM
    Event ID:      1310
    Task Category: Web Event
    Level:         Warning
    Keywords:      Classic
    User:          N/A
    Computer:      MBAM2-Admin.contoso.com
    Description:
    Event code: 100001
    Event message: SQL error occurred
    Event time: 7/11/2013 6:16:34 PM
    Event time (UTC): 7/11/2013 12:46:34 PM
    Event ID: 6615fb8eb9d54e778b933d5bb7ca91ed
    Event sequence: 2
    Event occurrence: 1
    Event detail code: 0
    Application information:
        Application domain: /LM/W3SVC/2/ROOT/MBAMAdministrationService-1-130180202570338699
        Trust level: Full
        Application Virtual Path: /MBAMAdministrationService
        Application Path: C:\inetpub\Microsoft BitLocker Management Solution\Administration Service\
        Machine name: MBAM2-ADMIN

    Process information:
        Process ID: 1940
        Process name: w3wp.exe
        Account name: NT AUTHORITY\NETWORK SERVICE

    Exception information:
        Exception type: SqlException
        Exception message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)

    Request information:
        Request URL:
        Request path:
        User host address:
        User:
        Is authenticated: False
        Authentication Type:
        Thread account name: NT AUTHORITY\NETWORK SERVICE

    Thread information:
        Thread ID: 7
        Thread account name: NT AUTHORITY\NETWORK SERVICE
        Is impersonating: False
        Stack trace:    at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
       at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj)
       at System.Data.SqlClient.TdsParser.Connect(ServerInfo serverInfo, SqlInternalConnectionTds connHandler, Boolean ignoreSniOpenTimeout, Int64 timerExpire, Boolean encrypt, Boolean trustServerCert, Boolean integratedSecurity, SqlConnection owningObject)
       at System.Data.SqlClient.SqlInternalConnectionTds.AttemptOneLogin(ServerInfo serverInfo, String newPassword, Boolean ignoreSniOpenTimeout, Int64 timerExpire, SqlConnection owningObject)
       at System.Data.SqlClient.SqlInternalConnectionTds.LoginNoFailover(String host, String newPassword, Boolean redirectedUserInstance, SqlConnection owningObject, SqlConnectionString connectionOptions, Int64 timerStart)
       at System.Data.SqlClient.SqlInternalConnectionTds.OpenLoginEnlist(SqlConnection owningObject, SqlConnectionString connectionOptions, String newPassword, Boolean redirectedUserInstance)
       at System.Data.SqlClient.SqlInternalConnectionTds..ctor(DbConnectionPoolIdentity identity, SqlConnectionString connectionOptions, Object providerInfo, String newPassword, SqlConnection owningObject, Boolean redirectedUserInstance)
       at System.Data.SqlClient.SqlConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningConnection)
       at System.Data.ProviderBase.DbConnectionFactory.CreatePooledConnection(DbConnection owningConnection, DbConnectionPool pool, DbConnectionOptions options)
       at System.Data.ProviderBase.DbConnectionPool.CreateObject(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionPool.UserCreateRequest(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionPool.GetConnection(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
       at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
       at System.Data.SqlClient.SqlConnection.Open()
       at System.Data.Linq.SqlClient.SqlConnectionManager.UseConnection(IConnectionUser user)
       at System.Data.Linq.SqlClient.SqlProvider.get_IsSqlCe()
       at System.Data.Linq.SqlClient.SqlProvider.InitializeProviderMode()
       at System.Data.Linq.SqlClient.SqlProvider.System.Data.Linq.Provider.IProvider.Execute(Expression query)
       at System.Data.Linq.DataContext.ExecuteMethodCall(Object instance, MethodInfo methodInfo, Object[] parameters)
       at Microsoft.Mbam.Server.ServiceCommon.KeyRecoveryModelDataContext.GetRecoveryKeyIds(String partialRecoveryKeyId, String reason)
       at Microsoft.Mbam.ApplicationSupportService.AdministrationService.GetRecoveryKeyIds(String partialRecoveryKeyId, String reasonCode)

    Custom event details:
        Application: MBAMAdministrationService
        Sql Server:
        Database: MBAM Recovery and Hardware
        Database: MBAM Compliance Status
        Sql ErrorCode: 5
        Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)

Posibles causas

Causa 1

Es posible que el administrador haya especificado un nombre de instancia de base de datos o un nombre de base de datos no válidos durante la instalación de componentes del servidor de administración y supervisión.

Puede comprobar y corregir las cadenas de conexión de base de datos mediante la consola de administración de IIS. Para ello, abra el Administrador de IIS y vaya a Administración y supervisión de Microsoft BitLocker. Para cada servicio que aparece en el lado izquierdo, siga estos pasos para cambiar las cadenas de conexión de base de datos:

  1. En la vista Características, seleccione dos cadenas de conexión.

  2. En la página Cadenas de conexión, seleccione el cadena de conexión que desea cambiar.

  3. En el panel Acciones , seleccione Editar.

  4. En el cuadro de diálogo Editar cadena de conexión , cambie las propiedades que desea cambiar y, a continuación, seleccione Aceptar.

Causa 2

SQL Server puerto bloqueado en el firewall. Compruebe el número de puerto al que está configurado SQL Server para escuchar y asegúrese de que el puerto está abierto en el firewall entre el servidor de administración y el servidor de base de datos.

Causa 3

Enlaces TCP/IP incorrectos de SQL Server. Compruebe los enlaces TCP/IP de SQL en Administrador de configuración de SQL Server en el servidor de base de datos. MBAM requiere que los protocolos TCP/IP y Canalizaciones con nombre estén habilitados para conectarse a la base de datos.

Causa 4

La cuenta nt authority\network service o la cuenta de equipo del servidor de administración de MBAM no tienen los permisos necesarios para conectarse a la base de datos SQL.

Durante la instalación de componentes de base de datos en el servidor de base de datos, el instalador crea dos grupos locales: MBAM Compliance Auditing DB Access y MBAM Recovery and Hardware DB Access.

La cuenta nt authority\network service, la cuenta de equipo del servidor de administración de MBAM y el usuario que instala los componentes de la base de datos se agregan automáticamente a estos grupos.

A estos grupos se les conceden los permisos necesarios en la base de datos durante la instalación. Todos los usuarios que forman parte de este grupo reciben automáticamente los permisos necesarios en la base de datos.

Es posible que el servicio web no se conecte al servidor de bases de datos debido a un problema de permisos si se cumplen una o varias de las condiciones siguientes:

  • Los grupos mencionados anteriormente se quitan de los grupos locales en el servidor de base de datos.

  • La cuenta nt authority\network service y la cuenta de equipo del servidor de administración de MBAM no son miembros de estos grupos.

  • Estos grupos no tienen los permisos necesarios en la base de datos.

Observará errores relacionados con los permisos en los registros de aplicación en el servidor de administración y supervisión de MBAM si se cumple alguna de las condiciones anteriores. En ese caso, debe agregar manualmente la cuenta nt authority\network service y la cuenta de equipo del servidor de administración de MBAM y concederles un rol público para todo el servidor en el servidor de base de datos SQL que usa SQL Server Management Studio. Para obtener más información, consulte Creación de un inicio de sesión.

Revisión de los registros del servicio web

Si no se registra ningún evento en los registros de aplicación en el servidor de administración de MBAM, es el momento de revisar los registros de servicio web (.svclog) del servicio web MBAM hospedados en el servidor de administración y supervisión de MBAM. Para ver el archivo de registro, use service trace viewer Tool (SvcTraceViewer.exe).

Debe investigar principalmente los registros de seguimiento de servicio de RecoveryandHardwareService y ComplianceStatusService. De forma predeterminada, los registros de servicio web se encuentran en la C:\inetpub\Microsoft BitLocker Management Solution\Logs carpeta . Cada servicio escribe su .svclog archivo en su propia carpeta.

Revise la actividad en el registro de seguimiento del servicio para ver si hay entradas de error o advertencia. De forma predeterminada, las entradas de error se resaltan en rojo. Para ver información detallada sobre la entrada de error, seleccione la descripción del error en el panel derecho del visor de seguimiento. El ejemplo siguiente es una entrada de error de ejemplo del registro de seguimiento:


    <E2ETraceEvent xmlns="http://schemas.microsoft.com/2004/06/E2ETraceEvent">
    <System xmlns="http://schemas.microsoft.com/2004/06/windows/eventlog/system">
    <EventID>15183</EventID>
    <Type>3</Type>
    <SubType Name="Error">0</SubType>
    <Level>2</Level>
    <TimeCreated SystemTime="2013-07-05T14:48:06.2821550Z" />
    <Source Name="Microsoft.Mbam.CoreService" />
    <Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
    <Execution ProcessName="w3wp" ProcessID="4332" ThreadID="11" />
    <Channel />
    <Computer>XXXXXXXXXXX</Computer>
    </System>
    <ApplicationData>AddUpdateVolume: While executing sql transaction for add volume to store exception occurred Key Recovery Data Store processing error: Violation of UNIQUE KEY constraint 'UniqueRecoveryKeyId'. Cannot insert duplicate key in object 'RecoveryAndHardwareCore.Keys'. The duplicate key value is (8637036e-b379-4798-bd9e-5a0b36296de3).
    </ApplicationData>
    </E2ETraceEvent>

Reinstalación o reconfiguración de la infraestructura de MBAM

Para volver a instalar o volver a configurar la infraestructura de MBAM, debe saber lo siguiente:

  • Cuenta del grupo de aplicaciones

  • MBAM Grupos (Helpdesk, Advanced, Report Users Group)

  • DIRECCIÓN URL de informes de MBAM

  • SQL Server nombre y nombres de base de datos

  • Cuentas de lectura y readonly de MBAM

Cuenta del grupo de aplicaciones

Para buscar la cuenta del grupo de aplicaciones, inicie sesión en el servidor web de MBAM, abra el Administrador de Internet Information Services (IIS) y, a continuación, seleccione Grupos de aplicaciones:

Captura de pantalla del Administrador de IIS que resalta los grupos de aplicaciones y, en concreto, el grupo de aplicaciones de MBAM.

El nombre de la entidad de seguridad de servicio (SPN) debe establecerse en esta cuenta. Esta configuración es importante para la funcionalidad de MBAM.

Grupos de MBAM (Helpdesk, Advanced, Report Users Group y Reports URL)

Captura de pantalla del Administrador de IIS que resalta los grupos de MBAM en Configuración de la aplicación.

Esto proporciona información como grupo del departamento de soporte técnico, grupo de soporte técnico avanzado, grupo de usuarios de informes y dirección URL de informes de MBAM. La dirección URL de informes de MBAM debe proporcionarse en el programa de instalación de MBAM y debe leerse como: https://servername/ReportServer.

nombres de SQL Server nombre y base de datos (DB)

Para buscar los nombres de SQL Server e instancias que hospedan los DB de MBAM, inicie sesión en el servidor web de MBAM (IIS) y vaya a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM Server\Web

Captura de pantalla de la Editor del Registro en la que se muestra el servidor MBAM\clave web con dos valores resaltados.

Las partes resaltadas son cadenas de conexión. Deben tener el nombre de SQL Server, los nombres de base de datos y las instancias (si se denominan).

Cuentas de lectura y readonly de MBAM

Esta información se encuentra en la base de datos SQL Server, para la que ya hemos encontrado el nombre del servidor web.

Cuenta de ReadWrite

  1. Inicie sesión en SQL Management Studio.

  2. Haga clic con el botón derecho en Recuperación y hardware de MBAM, seleccione Propiedades y, a continuación, seleccione Permisos.

Por ejemplo, el nombre de la cuenta de laboratorio es MBAMWrite. Las cuentas grupo de aplicaciones y ReadWrite están establecidas para ser las mismas.

Captura de pantalla que muestra la base de datos de recuperación y hardware de MBAM.

Captura de pantalla de las propiedades de la base de datos, en la página Permisos, en la que se resalta el usuario de MBAMWrite.

Vaya a Seguridad y, a continuación, Inicie sesión en SQL Management Studio. Vaya a la cuenta que se muestra en la captura de pantalla anterior.

Captura de pantalla de inicios de sesión de seguridad de SQL que resaltan al usuario de MBAMWrite.

Haga clic con el botón derecho en las cuentas, vaya a Propiedades Asignación de usuarios y busque la base de datos de recuperación y hardware de MBAM:

Captura de pantalla de Propiedades de inicio de sesión de MBAMWrite, en la página Asignación de usuarios, en la que se resalta la base de datos de recuperación y hardware de MBAM.

Cuenta de ReadOnly

Abra SQL Server Reporting Services Configuration Manager en el servidor SSRS. Seleccione Dirección URL del Administrador de informes y, a continuación, examine las direcciones URL:

Captura de pantalla de Reporting Services Configuration Manager, en la que se resalta la dirección URL del Administrador de informes.

Seleccione Administración y supervisión de Microsoft Bitlocker:

Captura de pantalla de la selección de Administración y supervisión de Bitlocker desde el Administrador de informes.

Seleccione MaltaDatasource:

Captura de pantalla de la lista del Administrador de informes, en la que se resalta MaltaDataSource.

Captura de pantalla del informe MaltaDatasource, página Propiedades, que resalta el nombre de usuario y la contraseña.

MaltaDataSource debe tener el nombre de la cuenta de ReadOnly y debe usarse en la instalación de MBAM.