다음을 통해 공유

독립 실행형 구성에서 MBAM 2.5 배포

  • 아티클

이 문서에서는 독립 실행형 구성에서 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5를 설치하기 위한 단계별 지침을 제공합니다. 이 가이드에서는 두 서버 구성을 사용합니다. 서버 중 하나는 Microsoft SQL Server 2012를 실행하는 데이터베이스 서버입니다. 이 서버는 MBAM 데이터베이스 및 보고서를 호스트합니다. 다른 서버는 "관리 및 모니터링 서버" 및 "셀프 서비스 포털"을 호스트하는 Windows Server 2012 웹 서버입니다.

MBAM 2.5 서버 소프트웨어를 설치하기 전 준비 단계

1단계: 서버 설치 및 구성

먼저 두 서버가 MBAM 시스템 요구 사항으로 구성되어 있는지 확인합니다. 자세한 내용은 MBAM 2.5 지원되는 구성을 참조하세요. 이러한 요구 사항을 충족하는 구성을 선택합니다.

1.1단계: 데이터베이스 및 보고 서버에 대한 필수 구성 요소 배포

  1. Windows Server 2008 R2 이상 운영 체제를 실행하는 서버를 설치하고 구성합니다.

  2. Windows PowerShell 3.0을 설치합니다.

  3. 최신 서비스 팩을 포함하는 Microsoft SQL Server 2008 R2 이상 버전을 설치합니다. MBAM용 SQL Server의 새 인스턴스를 설치하는 경우 설치하는 SQL Server에 SQL_Latin1_General_CP1_CI_AS 데이터 정렬이 포함되어 있는지 확인합니다. 다음 SQL Server 기능을 설치해야 합니다.

    • 데이터베이스 엔진
    • Reporting Services
    • 클라이언트 도구 연결
    • 관리 도구 - 완료

    참고

    필요에 따라 SQL Server에 TDE(투명한 데이터 암호화) 기능을 설치할 수도 있습니다. 자세한 내용은 MBAM 2.5 보안 고려 사항을 참조하세요.

    SQL Server Reporting Services는 구성되지 않았거나 "SharePoint" 모드가 아닌 "네이티브" 모드로 설치 및 구성해야 합니다.

    필요한 기능을 강조 표시하는 SQL Server 2014 설치 프로그램의 스크린샷

  4. 관리 및 모니터링 웹 사이트에 SSL을 사용하려는 경우 관리 및 모니터링 웹 사이트를 구성하기 전에 SSL(Secure Sockets Layer) 프로토콜을 사용하도록 SSRS(SQL Server Reporting Services)를 구성해야 합니다. 그렇지 않으면 보고서 기능은 암호화되지 않은(HTTPS) 대신 암호화되지 않은(HTTP) 데이터 전송을 사용합니다.

    기본 모드 보고서 서버에서 SSL 연결 구성 에 따라 보고서 서버에서 SSL을 구성할 수 있습니다.

    참고

    해당 버전의 SQL Server에 대한 SQL Server 설치 가이드에 따라 SQL Server를 설치할 수 있습니다. 링크는 다음과 같습니다. > - SQL Server 2014> - SQL Server 2012> - SQL Server 2008 R2

  5. SQL Server 설치 후에서 SQL Server에서 사용자 계정을 프로비전하고 데이터베이스 서버에서 MBAM 데이터베이스 및 보고 역할을 구성하는 사용자에게 다음 권한을 할당해야 합니다.

    SQL Server 인스턴스에 대한 역할:

    • dbcreator
    • processadmin

    SQL Server Reporting Services 인스턴스에 대한 권한:

    • 폴더 만들기
    • 보고서 게시

데이터베이스 서버는 MBAM 2.5 역할을 구성할 준비가 된 것입니다. 다음 서버로 이동하겠습니다.

1.2단계: 관리 및 모니터링 서버에 대한 필수 구성 요소 배포

필요한 하드웨어 구성을 충족하는 서버를 선택합니다. 자세한 내용은 MBAM 2.5 지원되는 구성을 참조하세요. Windows Server 2008 R2 이상 운영 체제를 최신 서비스 팩 및 업데이트와 함께 실행해야 합니다. 서버가 준비되면 다음 역할 및 기능을 설치합니다.

역할

  • IIS 관리 스크립트 및 도구

  • 웹 서버 역할 서비스

    • 일반적인 HTTP 기능

      • 정적 콘텐츠
      • 기본 문서

    • 응용 프로그램 개발

      • ASP.NET
      • .NET 확장성
      • ISAPI 확장
      • ISAPI 필터
      • 보안
      • Windows 인증
      • 요청 필터링

    • 웹 서비스 IIS 관리 도구

기능

  • .NET Framework 4.5 기능

    • Microsoft .NET Framework 4.5

      Windows Server 2012 또는 Windows Server 2012 R2의 경우 이러한 버전의 Windows Server에 .NET Framework 4.5가 이미 설치되어 있습니다. 그러나 사용하도록 설정해야 합니다.

      Windows Server 2008 R2의 경우 .NET Framework 4.5는 Windows Server 2008 R2에 포함되지 않습니다. 따라서 .NET Framework 4.5를 다운로드하고 별도로 설치해야 합니다.

    • WCF 활성화

      • HTTP 활성화
      • 비 HTTP 활성화

    • TCP 활성화

    • Windows 프로세스 정품 인증 서비스:

      • 프로세스 모델
      • .NET Framework 환경
      • 구성 API

셀프 서비스 포털이 작동하려면 MVC 4.0을 다운로드하여 ASP.NET 설치해야 합니다.

다음 단계는 Active Directory에서 필요한 MBAM 사용자 및 그룹을 만드는 것입니다.

2단계: Active Directory Domain Services에서 사용자 및 그룹 만들기

필수 구성 요소의 일부로 MBAM이 특정 서버 및 기능에 대한 보안 및 액세스 권한을 제공하는 데 사용하는 특정 역할 및 계정을 정의합니다. 예를 들어 SQL Server 인스턴스에서 실행되는 데이터베이스와 관리 및 모니터링 서버에서 실행되는 웹 애플리케이션입니다.

Active Directory에서 다음 그룹 및 사용자를 만듭니다. (그룹 및 사용자의 이름을 사용할 수 있습니다.) 사용자는 더 큰 사용자 권한을 가질 필요가 없습니다. 도메인 사용자 계정으로 충분합니다. MBAM 2.5를 구성하는 동안 이러한 그룹의 이름을 지정해야 합니다.

MBAMAppPool

형식: 도메인 사용자

설명: 웹 애플리케이션이 이러한 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스 및 복구 데이터베이스에 대한 읽기 또는 쓰기 권한이 있는 도메인 사용자입니다. 또한 애플리케이션 풀은 웹 애플리케이션에도 사용합니다.

계정 역할(MBAM 구성 중):

  1. 웹 서비스 애플리케이션 풀 도메인 계정
  2. 보고서에 대한 데이터베이스 및 복구 데이터베이스 읽기/쓰기 사용자 준수 및 감사

MBAMROUser

형식: 도메인 사용자

설명: 보고서가 이 데이터베이스의 규정 준수 및 감사 데이터에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스에 대한 Read-Only 액세스 권한이 있는 도메인 사용자입니다. 또한 로컬 SQL Server Reporting Services 인스턴스가 규정 준수 및 감사 데이터베이스에 액세스하는 데 사용하는 도메인 사용자 계정이기도 합니다.

계정 역할(MBAM 구성 중):

  1. 보고서에 대한 준수 및 감사 데이터베이스 읽기 전용 사용자
  2. 규정 준수 및 감사 데이터베이스 도메인 사용자 계정

MBAMAdvHelpDsk

형식: 도메인 그룹

설명: MBAM 고급 기술 지원팀 사용자 액세스 그룹: 구성원이 관리 및 모니터링 웹 사이트의 모든 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 사용자는 사용자가 드라이브를 복구하는 데 도움이 될 때 사용자의 도메인 및 사용자 이름이 아닌 복구 키만 입력해야 합니다. 사용자가 MBAM 기술 지원팀 사용자 그룹과 MBAM 고급 기술 지원팀 사용자 그룹의 구성원인 경우 MBAM 고급 기술 지원팀 사용자 그룹 권한은 MBAM 기술 지원팀 그룹 권한을 재정의합니다.

계정 역할(MBAM 구성 중): MBAM 고급 기술 지원팀 사용자

MBAMHelpDsk

형식: 도메인 그룹

설명: MBAM 기술 지원팀 사용자 액세스 그룹: 구성원이 MBAM 관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 사용자는 두 옵션 중 하나를 사용할 때 모든 필드를 입력해야 합니다. 이러한 필드에는 사용자의 도메인 및 계정 이름이 포함됩니다.

계정 역할(MBAM 구성 중): MBAM 기술 지원팀 사용자

MBAMRUGrp

형식: 도메인 그룹

설명: 구성원이 관리 및 모니터링 웹 사이트의 보고서 영역에 있는 보고서에 대한 읽기 전용 액세스 권한이 있는 도메인 사용자 그룹입니다.

계정 역할(MBAM 구성 중):

  1. 읽기 전용 도메인 액세스 그룹 보고
  2. MBAM 보고서 사용자 액세스 그룹

3단계(선택 사항): 관리 및 모니터링 서버에 SSL 인증서 구성 및 설치

선택 사항이지만 인증서를 사용하여 MBAM 클라이언트와 관리 및 모니터링 웹 사이트와 Self-Service Portal 웹 사이트 간의 통신을 보호하는 것이 좋습니다. 명백한 보안상의 이유로 자체 서명된 인증서를 사용하지 않는 것이 좋습니다. 신뢰할 수 있는 인증 기관의 웹 서버 유형 인증서를 사용하는 것이 좋습니다. 자세한 내용은 MBAM 및 보안 네트워크 통신을 참조하세요.

인증서를 발급한 후에는 관리 및 모니터링 서버의 개인 저장소에 인증서를 추가해야 합니다. 인증서를 추가하려면 로컬 컴퓨터에서 인증서 저장소를 엽니다. 이 작업을 완료하려면 다음 단계를 수행합니다.

  1. 시작을 마우스 오른쪽 으로 선택한 다음 실행을 선택합니다.

    시작 메뉴에서 실행을 선택할 위치를 보여 주는 스크린샷

  2. 따옴표 없이 "MMC.EXE"을 입력한 다음 확인을 선택합니다.

    'mmc.exe' 명령이 있는 실행 상자의 스크린샷

  3. 연 새 MMC에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.

  4. 인증서 스냅인 강조 표시한 다음 추가를 선택합니다.

    스냅인 추가 또는 제거 창의 스크린샷으로, 인증서 스냅인을 추가합니다.

  5. 컴퓨터 계정 옵션을 선택한 다음, 다음을 선택합니다.

    컴퓨터 계정 옵션을 선택하는 인증서 스냅인 창의 스크린샷

  6. 다음 화면에서 로컬 컴퓨터를 선택한 다음 마침을 선택합니다.

    로컬 컴퓨터 옵션을 선택하는 컴퓨터 선택 창의 스크린샷.

  7. 인증서 스냅인을 추가했습니다. 이를 통해 컴퓨터의 인증서 저장소에 있는 모든 인증서로 작업할 수 있습니다.

    인증서(로컬 컴퓨터) 스냅인이 추가된 스냅인 추가 또는 제거 창의 스크린샷

  8. 웹 서버 인증서를 컴퓨터의 인증서 저장소로 가져옵니다.

    이제 인증서 스냅인에 액세스할 수 있으므로 웹 서버 인증서를 컴퓨터의 인증서 저장소로 가져올 수 있습니다.

  9. 인증서(로컬 컴퓨터) 스냅인을 열고 개인인증서로 이동합니다.

    개인 노드가 확장되고 인증서 노드가 선택된 인증서(로컬 컴퓨터) 스냅인 창의 스크린샷

    참고

    인증서 스냅인이 나열되지 않을 수 있습니다. 그렇지 않으면 인증서가 설치되지 않습니다.

  10. 인증서를 마우스 오른쪽 단추로 선택하고 모든 작업을선택한 다음 가져오기를 선택합니다.

    인증서 노드의 상황에 맞는 메뉴를 보여 주는 인증서(로컬 컴퓨터) 스냅인 창의 스크린샷 모든 작업을 선택한 다음 가져오기 옵션을 선택합니다.

  11. 마법사가 시작되면 다음을 선택합니다. 서버 인증서 및 프라이빗 키가 포함된 파일을 찾은 다음, 다음을 선택합니다.

    찾아보기 단추가 강조 표시된 인증서 가져오기 마법사 창의 스크린샷

  12. 파일을 만들 때 파일에 대해 암호를 지정한 경우 암호를 입력합니다.

암호 입력 창의 스크린샷. 암호를 지정하고 가져오기 옵션을 강조 표시하여

참고

이 컴퓨터에서 키 쌍을 다시 내보내려면 키를 내보낼 수 있는 것으로 표시 옵션이 선택되어 있는지 확인합니다. 추가된 보안 조치로, 아무도 프라이빗 키를 백업할 수 없도록 이 옵션을 지워 두는 것이 좋습니다.

  1. 다음을 선택한 다음 인증서를 저장할 인증서 저장소를 선택합니다.

    개인 저장소에 모든 인증서를 배치하는 옵션을 선택하는 인증서 가져오기 마법사 창의 스크린샷

    참고

    웹 서버 인증서이므로 개인을 선택해야 합니다. 인증서를 인증 계층 구조에 포함하면 이 저장소에도 추가됩니다.

  2. 다음을 선택한 다음 마침을 선택합니다.

    마법사를 완료하고 설정을 요약하는 인증서 가져오기 마법사 창의 스크린샷.

이제 개인 인증서 목록에 웹 서버에 대한 서버 인증서가 표시됩니다. 서버의 일반 이름으로 나열됩니다. 인증서의 주체 섹션에서 이 이름을 찾을 수 있습니다.

자세한 내용은 다음 문서를 참조하세요.

다음 단계는 애플리케이션 풀 계정에 대한 서비스 주체 이름을 등록하는 것입니다.

4단계: MBAM 웹 서버에 대한 SSL 인증서 구성

클라이언트와 서버 간에 SSL 통신을 사용하는 경우 인증서에 향상된 키 사용 OID() 및 (1.3.6.1.5.5.7.3.11.3.6.1.5.5.7.3.2)가 있는지 확인해야 합니다. 즉, 서버 인증 및 클라이언트 인증이 추가되었는지 확인해야 합니다.

서비스 URL을 찾아보려고 할 때 인증서 오류가 표시되면 인증서가 다른 이름으로 발급되거나 잘못된 URL을 사용하여 검색할 수 있습니다.

브라우저에서 인증서 오류 메시지를 표시하지만 계속하도록 할 수 있지만 MBAM 웹 서비스는 인증서 오류를 무시하지 않고 연결을 차단합니다. MBAM 클라이언트의 MBAM 관리자 이벤트 로그에는 인증서 관련 오류가 표시됩니다. 별칭을 사용하여 관리 및 모니터링 서버에 연결하는 경우 별칭 이름에 인증서를 발급해야 합니다. 즉, 인증서의 주체 이름은 별칭 이름이어야 하며 로컬 서버의 DNS 이름은 인증서의 주체 대체 이름 필드에 추가되어야 합니다.

예제 1

가상 이름이 "bitlocker.contoso.com"이고 MBAM 관리 및 모니터링 서버 이름이 "adminserver.contoso.com"인 경우 인증서를 bitlocker.contoso.com(주체 이름)에 발급해야 하며 인증서의 주체 대체 이름 필드에 adminserver.contoso.com 추가해야 합니다.

마찬가지로 부하 분산 장치를 사용하여 부하를 분산하기 위해 여러 관리 및 모니터링 서버를 설치한 경우 가상 이름에 SSL 인증서를 발급해야 합니다. 즉, 인증서의 주체 이름 필드에는 가상 이름이 있어야 하며 모든 로컬 서버의 이름은 인증서의 주체 대체 이름 필드에 추가되어야 합니다.

예제 2

가상 이름이 "bitlocker.contoso.com"이고 서버가 "adminserver1.contoso.com" 및 "adminiserver2.contoso.com"인 경우 인증서를 bitlocker.contoso.com(주체 이름) 및 adminserver1.contoso.com 발급해야 하며 인증서의 주체 대체 이름 필드에 adminiserver2.contoso.com 추가해야 합니다.

MBAM에 대한 SSL 통신을 구성하는 방법에 대한 자세한 내용은 MBAM 및 보안 네트워크 통신을 참조하세요.

5단계: 애플리케이션 풀 계정에 대한 SPN 등록 및 제한된 위임 구성

참고

제한된 위임은 2.5에만 필요하며 2.5 서비스 팩 1 이상에는 필요하지 않습니다.

MBAM 서버가 관리 및 모니터링 웹 사이트 및 Self-Service 포털에서 통신을 인증할 수 있도록 하려면 웹 애플리케이션 풀에 사용하는 도메인 계정 아래에 호스트 이름에 대한 SPN(서비스 사용자 이름)을 등록해야 합니다. SPN을 등록하는 단계별 지침에 대한 자세한 내용은 MBAM 웹 사이트를 보호하는 방법 계획을 참조하세요.

SPN을 구성한 후에는 SPN에서 제한된 위임을 설정해야 합니다. 이 작업을 완료하려면 다음 단계를 수행합니다.

  1. Active Directory로 이동하여 이전 단계에서 MBAM 웹 사이트에 대해 구성한 앱 풀 자격 증명을 찾습니다.

  2. 자격 증명을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  3. 위임 탭을 선택합니다.

  4. Kerberos 인증 옵션을 선택합니다.

  5. 찾아보기를 선택하고 앱 풀 자격 증명을 다시 찾습니다. 그러면 앱 풀 자격 증명 계정에 설정된 모든 SPN이 표시됩니다. SPN은 과 유사 http/bitlocker.fqdn.com해야 합니다. MBAM 설치 중에 지정한 호스트 이름과 동일한 SPN을 강조 표시합니다.

  6. 확인을 선택합니다.

필수 구성 요소가 완료되었습니다. 다음 단계에서는 서버에 MBAM 소프트웨어를 설치하고 구성합니다.

MBAM 2.5 서버 소프트웨어 설치 및 구성

6단계: MBAM 2.5 서버 소프트웨어 설치

데이터베이스 서버와 관리 및 모니터링 서버 모두에서 Microsoft BitLocker 관리 및 모니터링 설정 마법사를 사용하여 MBAM 서버 소프트웨어를 설치하려면 다음 단계를 수행합니다.

  1. MBAM을 설치하려는 서버에서 MBAMserversetup.exe 실행하여 Microsoft BitLocker 관리 및 모니터링 설정 마법사를 시작합니다.

  2. 시작 페이지에서 다음을 선택합니다.

  3. Microsoft 소프트웨어 사용권 계약을 읽고 동의한 다음 , 다음 을 선택하여 설치를 계속합니다.

  4. 업데이트를 확인할 때 Microsoft 업데이트를 사용할지 여부를 결정하고 다음을 선택합니다.

  5. 고객 환경 개선 프로그램에 참여할지 여부를 결정하고 다음을 선택합니다.

  6. 설치를 시작하려면 설치를 선택합니다.

  7. 마침을 선택합니다.

  8. MBAM 구성을 계속하기 전에 최신 MDOP 서비스 릴리스 업데이트를 설치합니다. 그렇지 않으면 데이터베이스 서버가 인식되거나 지원되지 않습니다. 데이터베이스 구성의 유효성을 검사하려고 하면 구성 마법사에서 오류를 보고합니다.

    Microsoft 데스크톱 최적화 팩용 2020년 10월 서비스 릴리스

  9. 서버 설치가 시작 메뉴에서 만드는 MBAM 서버 구성 바로 가기를 사용하여 MBAM을 구성할 수 있습니다.

자세한 내용은 MBAM 2.5 서버 소프트웨어 설치를 참조하세요.

7단계: MBAM 2.5 데이터베이스 및 보고서 역할 구성

MBAM 마법사를 사용하여 MBAM 2.5 데이터베이스 및 보고 구성 요소를 구성합니다.

  1. 마법사를 사용하여 준수 및 감사 데이터베이스 및 복구 데이터베이스를 구성합니다.

    1. 데이터베이스를 구성하려는 서버에서 MBAM 서버 구성 마법사를 시작합니다. 시작 메뉴에서 MBAM 서버 구성을 선택하여 마법사를 열 수 있습니다.

    2. 새 기능 추가를 선택하고, 준수 및 감사 데이터베이스, 복구 데이터베이스 및 보고서를 선택한 다음, 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

    3. 필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 필수 구성 요소 확인을 다시 선택합니다.

    4. 다음 설명을 사용하여 마법사에 필드 값을 입력합니다.

  2. 규정 준수 및 감사 데이터베이스

    필드 설명
    SQL Server 이름 준수 및 감사 데이터베이스를 구성하는 서버의 이름입니다.
    SQL Server 포트에서 들어오는 인바운드 트래픽을 사용하도록 설정하려면 준수 및 감사 데이터베이스 컴퓨터에 예외를 추가해야 합니다. 기본 포트 번호는 1433입니다.
    SQL Server 데이터베이스 인스턴스 MBAM이 규정 준수 및 감사 데이터를 저장하는 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다. 데이터베이스 정보가 있는 위치도 지정해야 합니다.
    데이터베이스 이름 규정 준수 데이터를 저장하는 데이터베이스의 이름입니다. 이후 단계에서 이 정보를 제공해야 하므로 여기에 지정한 데이터베이스의 이름을 확인합니다.
    읽기/쓰기 권한 도메인 사용자 또는 그룹 2단계에서 구성된 대로 MBAMAppPool 사용자의 이름을 지정합니다.
    읽기 전용 액세스 도메인 사용자 또는 그룹 2단계에서 구성된 대로 MBAMROUser 사용자의 이름을 지정합니다.

  3. 복구 데이터베이스.

    필드 설명
    SQL Server 이름 복구 데이터베이스를 구성하는 서버의 이름입니다. SQL Server 포트에서 들어오는 인바운드 트래픽을 사용하도록 설정하려면 Recovery Database 컴퓨터에 예외를 추가해야 합니다. 기본 포트 번호는 1433입니다.
    SQL Server 데이터베이스 인스턴스 복구 데이터를 저장하는 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다. 데이터베이스 정보가 있는 위치도 지정해야 합니다.
    데이터베이스 이름 복구 데이터를 저장하는 데이터베이스의 이름입니다.
    읽기/쓰기 권한 도메인 사용자 또는 그룹 웹 애플리케이션이 이 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 이 데이터베이스에 대한 읽기/쓰기 권한이 있는 도메인 사용자 또는 그룹입니다.
    이 필드에 사용자를 입력하는 경우 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드의 값과 동일한 값이어야 합니다.
    이 필드에 그룹을 입력하는 경우 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드 값은 이 필드에 입력한 그룹의 구성원이어야 합니다.

    항목을 마치면 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

    필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 , 다음 을 다시 선택합니다.

  4. 보고서.

    필드 설명
    SQL Server Reporting Services 인스턴스 보고서를 구성하는 SQL Server Reporting Services 인스턴스입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다.
    보고 역할 도메인 그룹 2단계에서 설명한 대로 MBAMRUGrp의 이름을 지정합니다.
    SQL Server 이름 규정 준수 및 감사 데이터베이스가 구성된 서버의 이름입니다.
    SQL Server 데이터베이스 인스턴스 규정 준수 및 감사 데이터가 구성된 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다.
    Reporting Server 포트에서 들어오는 트래픽을 사용하도록 설정하려면 보고서 컴퓨터에 예외를 추가해야 합니다. (기본 포트는 80입니다.)
    데이터베이스 이름 준수 및 감사 데이터베이스의 이름입니다. 기본적으로 데이터베이스 이름은 MBAM 준수 상태입니다.
    규정 준수 및 감사 데이터베이스 도메인 계정 2단계에서 구성된 대로 MBAMROUser 사용자의 이름을 지정합니다.

    항목을 마치면 다음을 선택합니다. 마법사는 보고서 기능에 대한 모든 필수 구성 요소가 충족되는지 확인합니다. 계속하려면 다음을 선택합니다. 요약 페이지에서 추가된 기능을 검토합니다.

    자세한 내용은 다음 문서를 참조 하세요. MBAM 2.5 데이터베이스를 구성하는 방법.

8단계: MBAM 2.5 웹 애플리케이션 역할 구성

  1. 웹 애플리케이션을 구성하려는 서버에서 MBAM 서버 구성 마법사를 시작합니다. 시작 메뉴에서 MBAM 서버 구성을 선택하여 마법사를 열 수 있습니다.

  2. 새 기능 추가를 선택하고 관리 및 모니터링 웹 사이트셀프 서비스 포털을 선택한 다음, 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

  3. 필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 필수 구성 요소 확인을 다시 선택합니다.

  4. 다음 설명을 사용하여 마법사에 필드 값을 입력합니다.

    필드 설명
    보안 인증서 3단계에서 이전에 만든 인증서를 선택하여 선택적으로 관리 및 모니터링 웹 사이트를 구성하는 웹 서비스와 서버 간의 통신을 암호화합니다. 인증서 사용 안 을 선택하면 웹 통신이 안전하지 않을 수 있습니다.
    호스트 이름 관리 및 모니터링 웹 사이트를 구성하는 호스트 컴퓨터의 이름입니다.
    컴퓨터의 호스트 이름이 될 필요는 없으며 무엇이든 될 수 있습니다. 그러나 호스트 이름이 컴퓨터의 netbios 이름과 다른 경우 A 레코드를 만들고 SPN에서 netbios 이름이 아닌 사용자 지정 호스트 이름을 사용해야 합니다. 이 구성은 부하 분산 시나리오에서 일반적입니다.
    설치 경로 관리 및 모니터링 웹 사이트를 설치하는 경로입니다.
    Port 웹 사이트 통신에 사용할 포트 번호입니다.
    지정된 포트를 통한 통신을 사용하도록 설정하려면 방화벽 예외를 설정해야 합니다.
    웹 서비스 애플리케이션 풀 도메인 계정 및 암호 2단계에서 구성된 대로 MBAMAppPool 사용자의 사용자 계정 및 암호를 지정합니다.
    보안 향상을 위해 자격 증명에 지정된 계정을 제한된 사용자 권한을 갖도록 설정합니다. 또한 계정의 암호가 만료되지 않도록 설정합니다.

  5. 기본 제공 IIS_IUSRS 계정 또는 애플리케이션 풀 계정이 인증 후 클라이언트 가장 및 일괄 작업 로컬 보안 설정 으로 로그온에 추가되었는지 확인합니다.

    계정이 로컬 보안 설정에 추가되었는지 확인하려면 로컬 보안 정책 편집기를 열고, 로컬정책 노드를 확장하고, 사용자 권한 할당 노드를 선택한 다음, 인증 후 클라이언트 가장 을 두 번 선택하고 오른쪽 창에서 일괄 작업 정책으로 로그온 을 선택합니다.

  6. 다음 필드 설명을 사용하여 준수 및 감사 데이터베이스에 대한 마법사에서 연결 정보를 구성합니다.

    필드 설명
    SQL Server 이름 규정 준수 및 감사 데이터베이스가 구성된 서버의 이름입니다.
    SQL Server 데이터베이스 인스턴스 SQL Server 인스턴스의 이름(예: <서버 이름>) 및 규정 준수 및 감사 데이터베이스가 구성된 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 둡니다.
    데이터베이스 이름 준수 및 감사 데이터베이스의 이름입니다. 기본적으로 "MBAM 준수 상태"입니다.

  7. 다음 필드 설명을 사용하여 복구 데이터베이스에 대한 마법사에서 연결 정보를 구성합니다.

    필드 설명
    SQL Server 이름 복구 데이터베이스가 구성된 서버의 이름입니다.
    SQL Server 데이터베이스 인스턴스 복구 데이터베이스가 구성된 SQL Server 인스턴스의 이름(예 <: 서버 이름>)입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 둡니다.
    데이터베이스 이름 복구 데이터베이스의 이름입니다. 기본적으로 "MBAM 복구 및 하드웨어"입니다.

  8. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 관리 및 모니터링 웹 사이트를 구성합니다.

    필드 설명
    고급 기술 지원팀 역할 도메인 그룹 2단계에서 구성된 대로 MBAMAdvHelpDsk 그룹의 이름을 지정합니다.
    기술 지원팀 역할 도메인 그룹 2단계에서 구성된 대로 MBAMHelpDsk 그룹의 이름을 지정합니다.
    System Center Configuration Manager 통합 사용 이 확인란의 선택을 취소하려면 선택합니다.
    보고 역할 도메인 그룹 2단계에서 구성된 대로 MBAMRUGrp 그룹의 이름을 지정합니다.
    SQL Server Reporting Services URL MBAM 보고서가 구성된 SSRS 서버의 웹 서비스 URL을 지정합니다. 데이터베이스 서버에서 Reporting Services 구성 관리자에 로그인하여 이 정보를 찾을 수 있습니다.
    정규화된 도메인 이름의 예: https://MyReportServer.Contoso.com/ReportServer
    사용자 지정 호스트 이름의 예: https://MyReportServer/ReportServer
    가상 디렉터리 관리 및 모니터링 웹 사이트의 가상 디렉터리입니다. 이 이름은 서버의 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예시:
    https://<host name>:<port>/HelpDesk/
    가상 디렉터리를 지정하지 않으면 "HelpDesk" 값을 사용합니다.

  9. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 Self-Service 포털을 구성합니다.

    필드 설명
    가상 디렉터리 웹 애플리케이션의 가상 디렉터리입니다. 이 이름은 서버의 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예시:
    https://<host name>:<port>/SelfService/
    가상 디렉터리를 지정하지 않으면 "SelfService" 값을 사용합니다.

  10. 항목을 마치면 다음을 선택합니다. 마법사는 웹 애플리케이션에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

  11. 다음을 선택하여 계속합니다.

  12. 요약 페이지에서 추가된 기능을 검토합니다.

  13. 추가를 선택하여 웹 애플리케이션을 서버에 추가한 다음, 닫기를 선택합니다.

MBAM 2.5 서버 소프트웨어를 설치한 후 단계 사용자 지정 및 유효성 검사

9단계: 조직의 자체 서버 포털 사용자 지정

사용자 지정 알림 텍스트, 회사 이름, 자세한 정보에 대한 포인터 등을 추가하여 Self-Service Portal을 사용자 지정하려면 조직의 Self-Service 포털 사용자 지정을 참조하세요.

10단계: 클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 자체 서버 포털 구성

클라이언트 컴퓨터가 Microsoft AJAX CDN(콘텐츠 배달 네트워크)에 액세스할 수 있는지 여부를 확인합니다. CDN은 Self-Service Portal에 특정 JavaScript 파일에 필요한 액세스를 제공합니다. 클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 Self-Service Portal을 구성하지 않으면 사용자가 로그인한 회사 이름과 계정만 표시됩니다. 오류 메시지가 표시되지 않습니다.

다음 작업 중 하나를 수행합니다.

11단계: MBAM 2.5 서버 기능 구성 유효성 검사

독립 실행형 토폴로지를 사용하도록 MBAM 서버 배포의 유효성을 검사하려면 다음 단계를 수행합니다.

  1. MBAM 기능이 배포되는 각 서버에서 제어판>프로그램 프로그램>및 기능을 선택합니다. Microsoft BitLocker 관리 및 모니터링프로그램 및 기능 목록에 표시되는지 확인합니다.

    참고

    유효성 검사를 수행하려면 각 서버에 로컬 컴퓨터 관리 자격 증명이 있는 도메인 계정을 사용해야 합니다.

  2. 복구 데이터베이스가 구성된 서버에서 SQL Server Management Studio를 열고 MBAM 복구 및 하드웨어 데이터베이스가 구성되어 있는지 확인합니다.

  3. 준수 및 감사 데이터베이스가 구성된 서버에서 SQL Server Management Studio를 열고 MBAM 준수 상태 데이터베이스가 구성되어 있는지 확인합니다.

  4. 보고서 기능이 구성된 서버에서 관리 자격 증명을 사용하여 웹 브라우저를 열고 SQL Server Reporting Services 사이트의 홈페이지로 이동합니다.

    SQL Server Reporting Services 사이트 인스턴스의 기본 홈페이지 위치는 다음과 같습니다.

    https://<MBAM Reports Server Name>:<port>/Reports.aspx

    실제 URL을 찾으려면 Reporting Services 구성 관리자 도구를 사용하고 설치 중에 지정한 인스턴스를 선택합니다.

  5. Microsoft BitLocker 관리 및 모니터링이라는 보고서 폴더에 MaltaDataSource라는 데이터 원본이 포함되어 있는지 확인합니다. 이 데이터 원본에는 언어 로캘(예: en-us)을 나타내는 이름이 있는 폴더가 포함되어 있습니다. 보고서는 언어 폴더에 있습니다.

    참고

    SSRS(SQL Server Reporting Services)를 명명된 인스턴스로 구성하는 경우 URL은 다음 예제와 유사해야 합니다.

    https://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    SSL(Secure Socket Layer)을 사용하도록 SSRS를 구성하지 않은 경우 MBAM 서버를 설치할 때 보고서의 URL이 "HTTPS" 대신 "HTTP"로 설정됩니다. 그런 다음 관리 및 모니터링 웹 사이트(기술 지원팀이라고도 함)로 이동하여 보고서를 선택하면 "보안 콘텐츠만 표시됩니다."라는 메시지가 표시됩니다. 보고서를 표시하려면 모든 콘텐츠 표시를 선택합니다.

  6. 관리 및 모니터링 웹 사이트 기능이 구성된 서버에서 서버 관리자를 실행하고 역할을 찾은 다음 웹 서버(IIS)>IIS(인터넷 정보 서비스) 관리자를 선택합니다.

  7. 연결에서 컴퓨터 이름을> 찾<은 다음 사이트>Microsoft BitLocker 관리 및 모니터링을 선택합니다. 다음이 나열되어 있는지 확인합니다.

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. 관리 및 모니터링 웹 사이트 및 Self-Service 포털이 구성된 서버에서 관리 자격 증명을 사용하여 웹 브라우저를 엽니다.

  9. 다음 웹 사이트로 이동하여 성공적으로 로드되었는지 확인합니다.

    • httpss://<MBAM Administration Server Name>:<port>/HelpDesk/ (탐색 및 보고서에 대한 각 링크 확인)
    • https://<MBAM Administration Server Name>:<port>/SelfService/

    참고

    네트워크 암호화 없이 기본 포트에서 서버 기능을 구성한 것으로 가정합니다. 다른 포트 또는 가상 디렉터리에 서버 기능을 구성한 경우 적절한 포트를 포함하도록 URL을 변경합니다. 예시:

    • https://<host name>:<port>/HelpDesk/
    • https://<host name>:<port>/<virtualdirectory>/

    네트워크 암호화 없이 서버 기능을 구성한 경우 를 로 변경 https:// 합니다 http://.

  10. 다음 웹 서비스로 이동하여 성공적으로 로드되는지 확인합니다. 서비스가 실행 중임을 나타내는 페이지가 열립니다. 그러나 페이지에는 메타데이터가 표시되지 않습니다.

    • https://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

12단계: MBAM 그룹 정책 템플릿 구성

MBAM을 배포하려면 BitLocker 드라이브 암호화에 대한 MBAM 구현 설정을 정의하는 그룹 정책 설정을 설정해야 합니다. 이 작업을 완료하려면 MBAM 그룹 정책 템플릿을 GPMC(그룹 정책 관리 콘솔) 또는 AGPM(고급 그룹 정책 관리)을 실행할 수 있는 서버 또는 워크스테이션에 복사한 다음 설정을 편집해야 합니다.

중요

BitLocker 드라이브 암호화 노드 또는 MBAM에서 그룹 정책 설정을 변경하지 마세요. MDOP MBAM(BitLocker Management) 노드에서 그룹 정책 설정을 구성하면 MBAM에서 자동으로 BitLocker 드라이브 암호화 설정을 구성합니다.

MBAM 2.5 그룹 정책 템플릿 복사

MBAM 클라이언트를 설치하기 전에 MBAM 관련 GPO(그룹 정책 개체)를 관리 워크스테이션에 복사해야 합니다. 이러한 GPO는 BitLocker에 대한 MBAM 구현 설정을 정의합니다. 그룹 정책 템플릿을 지원되는 Windows 기반 서버 또는 클라이언트 컴퓨터이고 GPMC(그룹 정책 관리 콘솔) 또는 AGPM(고급 그룹 정책 관리)을 실행할 수 있는 모든 서버 또는 워크스테이션에 복사할 수 있습니다.

자세한 내용은 MBAM 2.5 그룹 정책 템플릿 복사를 참조하세요.

MBAM 2.5 GPO 설정 편집

필요한 GPO를 만든 후에는 조직의 클라이언트 컴퓨터에 MBAM 그룹 정책 설정을 배포해야 합니다. GPO를 보고 만들려면 GPMC(그룹 정책 관리 콘솔) 또는 AGPM(고급 그룹 정책 관리)이 설치되어 있어야 합니다.

자세한 내용은 MBAM 2.5 그룹 정책 설정 편집MBAM 2.5 그룹 정책 요구 사항 계획을 참조하세요.

13단계: MBAM 2.5 클라이언트 배포

MBAM 클라이언트 소프트웨어를 배포하는 경우에 따라 사용자가 컴퓨터를 받기 전에 또는 나중에 그룹 정책을 구성하고 엔터프라이즈 소프트웨어 배포 시스템을 사용하여 MBAM 클라이언트 소프트웨어를 배포하여 조직의 컴퓨터에서 BitLocker를 사용하도록 설정할 수 있습니다.

데스크톱 또는 휴대용 컴퓨터에 MBAM 클라이언트 배포

그룹 정책 설정을 구성한 후 Microsoft System Center 2012 Configuration Manager 또는 AD DS(Active Directory Domain Services)와 같은 엔터프라이즈 소프트웨어 배포 시스템 제품을 사용하여 대상 컴퓨터에 MBAM 클라이언트 설치 Windows Installer 파일을 배포할 수 있습니다. 32비트 또는 64비트 MbamClientSetup.exe 파일 또는 32비트 또는 64비트 MBAMClient.msi 파일을 사용할 수 있습니다. 이러한 파일은 MBAM 클라이언트 소프트웨어와 함께 제공됩니다.

자세한 내용은 데스크톱 또는 랩톱 컴퓨터에 MBAM 클라이언트를 배포하는 방법을 참조하세요.

Windows 배포의 일부로 MBAM 클라이언트 배포

컴퓨터를 중앙에서 수신하고 구성하는 조직에서는 사용자 데이터가 기록되기 전에 각 컴퓨터에서 BitLocker 드라이브 암호화를 관리하는 MBAM 클라이언트를 설치할 수 있습니다. 이 프로세스의 이점은 모든 컴퓨터가 BitLocker 규격이라는 것입니다. 관리자가 이미 컴퓨터를 암호화했기 때문에 이 메서드는 사용자 작업에 의존하지 않습니다. 이 시나리오의 주요 가정은 컴퓨터가 사용자에게 전달되기 전에 조직의 정책이 회사 Windows 이미지를 설치하는 것입니다. 그룹 정책 설정에 PIN이 필요하도록 구성된 경우 사용자는 정책을 받은 후 PIN을 설정하라는 메시지가 표시됩니다.

자세한 내용은 Windows 배포의 일부로 MBAM 클라이언트를 배포하는 방법을 참조하세요.

명령줄을 사용하여 MBAM 클라이언트를 배포하는 방법

자세한 내용은 명령줄을 사용하여 MBAM 클라이언트를 배포하는 방법을 참조하세요.

클라이언트 배포 후

다음으로, 다음 로그를 검토하고 클라이언트가 MBAM 데이터베이스에 성공적으로 보고하고 있는지 확인합니다.

질문과 대답(FAQ)

부하 분산된 IIS 서버를 만드는 방법

  • SPN은 식별 이름(예: bitlocker.corp.net)에만 등록되어야 하며 개별 IIS 서버에 등록해서는 안 됩니다.

  • 인증서를 사용하는 경우 인증서는 부하 분산 그룹의 모든 IIS 서버에 대한 주체 대체 이름 필드에 FQDN 및 NetBIOS 이름을 입력하고 식별 이름(예: bitlocker.corp.net)으로 입력해야 합니다. 그렇지 않으면 부하 분산된 주소를 찾아볼 때 브라우저에서 인증서를 신뢰하지 않습니다.

자세한 내용은 IIS 네트워크 부하 분산애플리케이션 풀 계정에 대한 SPN 등록을 참조하세요.

인증서를 구성하는 방법

  • 두 개의 인증서가 필요합니다. 한 인증서는 SQL Server에 사용되고 다른 인증서는 IIS에 사용됩니다. MBAM 설치를 시작하기 전에 설치해야 합니다.

  • web.config 파일을 수동으로 편집하는 대신 설치 관리자를 사용하여 IIS 구성에 인증서를 추가하는 것이 좋습니다.

  • 인증서의 "발급 대상" 필드가 서버 이름과 일치하지 않으면 MBAM Configurator는 인증서를 수락하지 않습니다. IIS 콘솔에서 자체 서명된 인증서를 임시로 만들고 Configurator에서 사용합니다. 이 작업을 수행하면 웹앱이 SSL 및 HTTPS용으로 설치됩니다. 그런 다음 MBAM 웹 사이트에 대한 IIS 바인딩에서 인증서를 하나로 변경할 수 있습니다.

설치에 대한 SQL 권한 요구 사항

MBAM 앱 풀에 대한 계정을 만들고 , PublicDBCreator 권한만 SecurityAdmin제공합니다.

자세한 내용은 MBAM 데이터베이스 구성 - 최소 권한을 참조하세요.

참고

  • 경우에 따라 초기 설치 및 업그레이드 작업에 더 많은 권한이 필요합니다.
  • 설치에 임시 SA가 있는 계정을 사용합니다.
  • SQL Server를 변경할 수 있는 충분한 권한이 없는 사용자 계정(실행)의 컨텍스트에서 Configurator를 시작하지 마세요. 이 작업을 수행하면 설치 오류가 발생합니다.
  • SQL Server에 대한 권한이 있는 계정으로 로그인해야 합니다. MBAM Configurator를 원격으로 실행하여 SQL Server 데이터베이스만 만들거나 업데이트할 수 있습니다. SSRS 서버의 경우 MBAM을 설치하고 Configurator를 로컬로 실행하여 MBAM SSRS 보고서를 설치하거나 업데이트해야 합니다.

SPN 등록에 필요한 권한

IIS 포털 설치에 사용되는 계정에는 Write ServicePrincipalName 및 Write Validated SPN 권한이 있어야 합니다. 이러한 권한이 없으면 설치는 SPN을 등록할 수 없다는 경고 메시지를 반환합니다.

참고

이 경고 메시지가 두 번 표시됩니다. SPN에 두 개의 개체가 등록되어 있어야 한다는 의미는 아닙니다.

ADMX 템플릿을 최신 버전으로 업데이트해야 하나요?

ADMX 템플릿을 최신 버전으로 업데이트한 후 GPO용 MBAM 루트 노드에 여러 OS 옵션이 표시됩니다. 예를 들어 Windows 7, Windows 8.1 및 Windows 10 버전 1511 이상 버전입니다.

ADMX 템플릿을 업데이트하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.