分散サーバーに MBAM をインストールして構成する方法

適用対象: Microsoft BitLocker Administration and Monitoring 1.0

このセクションでは、分散されているサーバーに Microsoft BitLocker Administration and Monitoring (MBAM) 機能をフル インストールする手順について説明します

各サーバー機能には、特定の前提条件があります。 前提条件、ハードウェア要件およびソフトウェア要件を確認するには、「MBAM 1.0 展開の前提条件」および「MBAM 1.0 がサポートされる構成」を参照してください。 さらに、一部の機能では、機能を正常に展開するには、インストール プロセス中に特定情報の提供が必要です。 MBAM 展開を開始する前に、「Planning the Server Infrastructure for MBAM」も確認してください。

注意

セットアップ ログ ファイルを取得するには、msiexec パッケージと /l <場所> オプションを使用して、MBAM をインストールする必要があります。 ログ ファイルが、指定した場所に作成されます。

追加セットアップのログ ファイルは、MBAM インストールを実行したユーザーの %temp% フォルダーに作成されます。

MBAM サーバー機能の展開

次の手順では、一般的な MBAM 機能のインストール方法について説明します。

注意

32 ビット サーバーには 32 ビット セットアップ、64 ビット サーバーには 64 ビット セットアップを使用します。

MBAM サーバー機能を展開するには

1. MBAM インストール ウィザードを開始して、ウィザードの開始ページで [インストール] をクリックします。

2. Microsoft ソフトウェア使用許諾契約を読み、同意してから、[次へ] をクリックしてインストールを続行します。

3. 既定では、すべての MBAM 機能がインストールされるように選択されています。 他の場所にインストールする機能をオフにします。 同じコンピューターにインストールする機能は、すべて同時にインストールする必要があります。MBAM 機能は、次の順序でインストールする必要があります。

   • 回復とハードウェア データベース

   • 準拠と監査データベース

   • 準拠と監査レポート

   • Administration and Monitoring サーバー

   • MBAM グループ ポリシー テンプレート

   注意

   インストールの前提条件が確認され、不足している前提条件が表示されます。 すべての前提条件を満たしていると、インストールが続行されます。 不足している前提条件が検出されれば、解決する必要があります。解決したら [前提条件を再チェックする] をクリックします。 このとき、すべての前提条件を満たされると、インストールが再開されます。

4. MBAM セットアップ ウィザードが、選択した機能のインストール ページを表示します。 次のセクションでは、各機能のインストール手順について説明します。

   注意

   通常、各機能は別のサーバーにインストールされます。 単一サーバーに複数の機能をインストールする場合は、次の手順の一部を変更または省略することができます。

   回復とハードウェア データベースをインストールするには

   1. MBAM 通信の暗号化オプションを選択します。 MBAM は、回復とハードウェア データベースと、Administration and Monitoring サーバーの間の通信を暗号化することができます。 通信の暗号化オプションを選択すると、暗号化用に、証明機関から発行された証明書を選択するように求められます。

   2. [次へ] をクリックして、続行します。

   3. Administration and Monitoring 機能を実行するコンピューターの名前を指定して、回復とハードウェア データベースへのアクセスを構成します。 Administration and Monitoring Server 機能は、展開されると、ドメイン アカウントを使用してデータベースに接続します。

   4. [次へ] をクリックして、続行します。

   5. 回復とハードウェア データを保存する SQL Server のインスタンスの [データベースの構成] を指定します。 データベースの場所と、ログ情報の場所も指定する必要があります。

   6. [次へ] をクリックして、MBAM セットアップ ウィザードを続行します。

   準拠と監査データベースをインストールするには

   1. MBAM 通信の暗号化オプションを選択します。 MBAM は、準拠と監査データベースと、Administration and Monitoring サーバーの間の通信を暗号化することができます。 通信の暗号化オプションを選択すると、暗号化用に、証明機関から発行された証明書を選択するように求められます。

   2. [次へ] をクリックして、続行します。

   3. レポートのデータベースのアクセスに使用するユーザー アカウントを指定します。

   4. [次へ] をクリックして、続行します。

   5. Administration and Monitoring サーバーと準拠と監査レポートを実行するコンピューターのコンピューター名を指定して、準拠と監査データベースへのアクセスを構成します。 Administration and Monitoring Server サーバーと準拠と監査レポート サーバーは、展開されると、ドメイン アカウントを使用してデータベースに接続します。

   6. 準拠と監査データを保存する SQL Server のインスタンスの [データベースの構成] を指定します。 データベースの場所と、ログ情報の場所も指定する必要があります。

   7. [次へ] をクリックして、MBAM セットアップ ウィザードを続行します。

   準拠と監査レポートをインストールするには

   1. リモート SQL Server のインスタンスを指定します。 たとえば、準拠と監査データベースがインストールされている <サーバー名> などです。

   2. 準拠と監査データベースの名前を指定します。 既定のデータベース名は "MBAM 準拠状態" ですが、準拠と監査データベースをインストールするときに名前を変更することができます。

   3. [次へ] をクリックして、続行します。

   4. 準拠と監査レポートがインストールされている SQL Server Reporting Services のインスタンスを選択します。 準拠データベースのアクセスに使用するユーザー名とパスワードを入力します。

   5. [次へ] をクリックして、MBAM セットアップ ウィザードを続行します。

   Administration and Monitoring サーバー機能をインストールするには

   1. MBAM 通信の暗号化オプションを選択します。 MBAM は、回復とハードウェア データベースと、Administration and Monitoring サーバーの間の通信を暗号化することができます。 通信の暗号化オプションを選択すると、暗号化用に、証明機関から発行された証明書を選択するように求められます。

   2. [次へ] をクリックして、続行します。

   3. リモート SQL Server のインスタンスを指定します。たとえば、準拠と監査データベースがインストールされている <サーバー名> などです。

   4. 準拠と監査データベースの名前を指定します。 既定のデータベース名は "MBAM 準拠状態" ですが、準拠と監査データベースをインストールするときに名前を変更することができます。

   5. [次へ] をクリックして、続行します。

   6. リモート SQL Server のインスタンスを指定します。 たとえば、回復とハードウェア データベースがインストールされている <サーバー名> などです。

   7. 回復とハードウェア データベースの名前を指定します。 既定のデータベース名は、"MBAM 回復とハードウェア データベース" ですが、回復とハードウェア データベース機能をインストールするときに名前を変更することができます。

   8. [次へ] をクリックして、続行します。

   9. SQL Server Reporting Services (SRS) サイトの "ホーム" の URL を指定します。 SQL Server Reporting Services サイトの既定のホームの場所は、次のようになります。

      http://*<MBAM レポート サーバーの名前>/*ReportServer

      注意

      SQL Server Reporting Services を名前付きインスタンスとして構成した場合は、URL は次のようになります。 http://<MBAM レポート サーバーの名前>/ReportServer_<SRS のインスタンス名>

   10. [次へ] をクリックして、続行します。

   11. MBAM Administration and Monitoring サーバー用の [ポート番号]、[ホスト名] (省略可能) と [インストール パス] を入力します。

       警告

       一意のホスト ヘッダー名を指定していない場合、Administration and Monitoring サーバーで使用されていないポート番号を指定してください。

   12. [次へ] をクリックして、MBAM セットアップ ウィザードを続行します。

5. コンピューターのセキュリティを保つために Microsoft Updates を使用するかどうかを指定してから、[次へ] をクリックします。

6. 選択した MBAM 機能情報が完了すると、セットアップ ウィザードを使用して MBAM インストールを開始する準備が整います。 インストール設定を確認または変更する必要がある場合は、[戻る] をクリックして、ウィザード内を移動します。 [インストール] をクリックすると、インストールが開始されます。 [キャンセル] をクリックすると、ウィザードを終了します。 セットアップは、選択した MBAM 機能をインストールして、インストールが完了すると通知します。

7. [完了] をクリックすると、ウィザードを終了します。

8. MBAM サーバー機能をインストールしてから、ユーザーを適切な MBAM ロールに追加します。 詳細については、「MBAM 1.0 管理者ロールの計画」を参照してください。

インストール後の構成

1. MBAM セットアップが完了したら、ユーザーが MBAM 管理 Web サイトの機能にアクセスできるように、ユーザー ロールを追加する必要があります。 Administration and Monitoring サーバーで、ユーザーを次のローカル グループに追加します。

   • [MBAM ハードウェアのユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトのハードウェア機能にアクセスすることができます。

   • [MBAM ヘルプデスク ユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトの、ドライブの回復機能とトラステッド プラットフォーム モジュール (TPM) の管理機能にアクセスすることができます。 ドライブの回復と TPM の管理のすべてのフィールドは、ヘルプデスク ユーザーにとって必要なフィールドです。

   • [MBAM 高度なヘルプデスク ユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトの、ドライブの回復機能と TPM の管理機能に高度なアクセスをすることができます。 高度なヘルプデスク ユーザーが、ドライブの回復で必要なのは、キー ID フィールドのみです。 TPM の管理では、コンピューター ドメイン フィールドとコンピューター名フィールドのみが必要です。

2. Administration and Monitoring サーバー、準拠と監査データベース、および準拠と監査レポート機能をホストするサーバーで、ユーザーを次のローカル グループに追加して、MBAM 管理 Web サイトのレポート機能へのアクセス権をユーザーに付与します。

   • [MBAM レポートのユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトのレポートにアクセスすることができます。

   注意

   [MBAM レポートのユーザー] ローカル グループのユーザーまたはグループ メンバーシップは、MBAM Administration and Monitoring サーバー機能、準拠と監査データベース、および準拠と監査レポートがインストールされているすべてのコンピューターで、同じである必要があります。

MBAM サーバー機能のインストールの検証

MBAM サーバー機能のインストールが完了したら、MBAM のすべての必要な機能がインストールで正常にセットアップされたことを確認します。 次の手順を使用して、MBAM サービスが機能していることを確認します。

MBAM インストールを検証するには

1. MBAM 機能が展開された各サーバーで、[コントロール パネル] を開き、[プログラム] をクリックしてから [プログラムと機能] をクリックします。 [プログラムと機能] の一覧に [Microsoft BitLocker Administration and Monitoring] が表示されていることを確認します。

   注意

   MBAM のインストールを確認するには、各サーバーのローカル コンピューターの管理者資格権限を持つドメイン アカウントを使用する必要があります。

2. 回復とハードウェア データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、[MBAM Recovery and Hardware] データベースがインストールされていることを確認します。

3. 準拠と監査データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、[MBAM 準拠状態] データベースがインストールされているか確認します。

4. 準拠と監査レポートがインストールされているサーバーで、管理者権限で Web ブラウザーを開き、SQL Server Reporting Services サイトの "ホーム" を参照します。

   SQL Server Reporting Services サイトのインスタンスの既定のホームの場所は、http://<MBAM レポート サーバー名>/Reports.aspx です。実際の URL を見つけるには、Reporting Services Configuration Manager ツールを使って、セットアップ中に指定したインスタンスを選択します。

   [マルタ準拠レポート] という名前のフォルダーが一覧にあることと、それに 5 つのレポートと 1 つのデータ ソースが含まれていることを確認します。

   注意

   SQL Server Reporting Services を名前付きインスタンスとして構成した場合は、URL は次のようになります。http://<MBAM レポート サービス名>/Reports_<SRS のインスタンス名>

5. Administration and Monitoring 機能がインストールされているサーバーで、[サーバー マネージャー] を実行して [ロール] を参照し、[Web サーバー (IIS)] を選択してから、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。 [接続] で、<コンピューター名> を参照して、[サイト] をクリックしてから [Microsoft BitLocker Administration and Monitoring] をクリックします。 [MBAMAdministrationService]、[MBAMComplianceStatusService]、および [MBAMRecoveryAndHardwareService] が一覧にあることを確認します。

6. Administration and Monitoring 機能がインストールされているサーバーで、管理者権限で Web ブラウザーを開き、MBAM Web サイトの次の場所を参照して、正常にロードされるか確認します。

   • http://<コンピューター名>/default.aspx。また、ナビゲーションとレポートの各リンクを確認してください。

   • http://<コンピューター名>/MBAMAdministrationService/AdministrationService.svc

   • http://<コンピューター名>/MBAMComplianceStatusService/StatusReportingService.svc

   • http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc

   注意

   通常、サービスは、ネットワークの暗号化を行わず、既定ポート 80 でインストールされます。 違うポートでインストールされている場合は、適切なポートを含む URL に変更してください。 (例: http://<コンピューター名>:<ポート>/default.aspx または http://<ホスト ヘッダー名>/default.aspx)

   ネットワークの暗号化を行って、サービスをインストールした場合は、http:// を https:// に変更します。

   各 Web ページが正常にロードされるか確認します。

参照:

その他のリソース

MBAM 1.0 サーバー インフラストラクチャの展開

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----