MBAM 2.5 웹 응용 프로그램을 구성하는 방법

  • 아티클

이 항목에서는 다음 방법 중 하나를 사용하여 권장되는 MBAM 2.5용 고급 아키텍처에 대해 Microsoft BitLocker 관리 및 모니터링( MBAM) 2.5 웹 애플리케이션을 구성하는 방법을 설명합니다.

  • Windows PowerShell cmdlet

  • MBAM 서버 구성 마법사

웹 애플리케이션은 다음 웹 사이트 및 해당 웹 서비스로 구성됩니다.

Website 설명

관리 및 모니터링 웹 사이트

지정된 사용자가 보고서를 보고 PIN 또는 암호를 잊어버린 경우 최종 사용자가 컴퓨터를 복구하는 데 도움을 줄 수 있는 웹 사이트

Self-Service Portal

최종 사용자가 PIN 또는 암호를 잊어버린 경우 독립적으로 컴퓨터에 대한 액세스 권한을 다시 얻을 수 있는 웹 사이트

구성을 시작하기 전에 다음을 수행합니다.

단계 지침을 얻을 수 있는 위치

MBAM에 권장되는 아키텍처를 검토합니다.

MBAM 2.5의 개략적인 아키텍처

MBAM에 대해 지원되는 구성을 검토합니다.

MBAM 2.5 지원되는 구성

각 서버에서 필요한 필수 구성 요소를 완료합니다.

참고

관리 및 모니터링 웹 사이트를 구성하기 전에 SSL(Secure Sockets Layer)을 사용하도록 SSRS(SQL ServerReporting Services)를 구성해야 합니다. 그렇지 않으면 보고서 기능은 HTTPS 대신 HTTP를 사용합니다.

웹 사이트의 애플리케이션 풀 계정에 대한 SPN(서비스 사용자 이름)을 등록합니다. AD DS(Active Directory Domain Services)에 관리 도메인 권한이 없는 경우에만 이 단계를 수행해야 합니다. AD DS에서 이러한 권한이 있는 경우 MBAM에서 SPN을 만듭니다.

MBAM 웹 사이트를 보호하는 방법 계획

MBAM 서버 기능을 구성할 각 서버에 MBAM Server 소프트웨어를 설치합니다.

참고

한 서버에 웹 사이트를 설치하고 다른 서버에 웹 서비스를 설치하려는 경우 Enable-MbamWebApplication Windows PowerShell cmdlet을 사용하여 웹 사이트를 구성할 수 있습니다. MBAM 서버 구성 마법사는 별도의 서버에서 이러한 항목을 구성하는 것을 지원하지 않습니다.

MBAM 2.5 서버 소프트웨어 설치

cmdlet을 사용하여 MBAM Server 기능을 구성하려는 경우 Windows PowerShell 사용하기 위한 필수 구성 요소를 검토합니다.

Windows PowerShell을 사용하여 MBAM 2.5 서버 기능 구성

Windows PowerShell 사용하여 웹 애플리케이션을 구성하려면

  1. 구성을 시작하기 전에 Windows PowerShell 사용하여 MBAM 2.5 서버 기능 구성을 참조하여 Windows PowerShell 사용하기 위한 필수 구성 요소를 검토하세요.

  2. Enable-MbamWebApplication cmdlet을 사용하여 Windows PowerShell 사용하여 웹 애플리케이션을 구성합니다. 이 cmdlet에 대한 정보를 얻으려면 Get-Help Enable-MbamWebApplication을 입력합니다.

마법사를 사용하여 모든 웹 애플리케이션에 대한 설정을 구성하려면

  1. 웹 애플리케이션을 구성하려는 서버에서 MBAM 서버 구성 마법사를 시작합니다. 시작 메뉴에서 MBAM 서버 구성을 선택하여 마법사를 열 수 있습니다.

  2. 새 기능 추가를 클릭하고 관리 및 모니터링 웹 사이트 및셀프 서비스 포털을 선택한 다음 다음을 클릭합니다. 마법사는 웹 애플리케이션에 대한 모든 필수 구성 요소가 충족되었는지 확인합니다.

  3. 필수 구성 요소 확인에 성공하면 다음 을 클릭하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 필수 구성 요소 확인을 다시 클릭합니다.

  4. 마법사에서 필드 값을 입력하려면 다음 설명을 사용합니다.

    필드 설명

    보안 인증서

    웹 사이트를 구성하는 서버와 웹 서비스 간의 통신을 선택적으로 암호화하려면 이전에 만든 인증서를 선택합니다. 인증서 사용 안 을 선택하면 웹 통신이 안전하지 않을 수 있습니다.

    호스트 이름

    웹 사이트를 구성하는 호스트 컴퓨터의 이름입니다.

    설치 경로

    웹 사이트를 설치하는 경로입니다.

    Port

    웹 사이트 및 서비스 통신에 사용할 포트 번호입니다.

    참고

    지정된 포트를 통한 통신을 사용하도록 설정하려면 방화벽 예외를 설정해야 합니다.

    웹 서비스 애플리케이션 풀 도메인 계정 및 암호

    웹 서비스 애플리케이션 풀의 도메인 사용자 계정 및 암호입니다.

    데이터베이스 구성 페이지의 읽기/쓰기 액세스 도메인 사용자 또는 그룹 필드에 사용자 이름을 입력하는 경우 이 필드에 동일한 값을 입력해야 합니다.

    데이터베이스 구성 페이지의 읽기/쓰기 액세스 도메인 사용자 또는 그룹 필드에 그룹 이름을 입력하는 경우 이 필드에 입력하는 값은 해당 그룹의 구성원이어야 합니다.

    자격 증명을 지정하지 않으면 이전에 사용하도록 설정된 웹 애플리케이션에 대해 지정된 자격 증명이 사용됩니다. 모든 웹 애플리케이션은 동일한 애플리케이션 풀 자격 증명을 사용해야 합니다. 다른 웹 애플리케이션에 대해 다른 자격 증명을 지정하는 경우 가장 최근에 지정된 값이 사용됩니다.

    중요

    보안을 향상하려면 자격 증명에 지정된 계정을 제한된 사용자 권한으로 설정합니다. 또한 계정의 암호가 만료되지 않도록 설정합니다.

  5. 인증 후 기본 제공 IIS_IUSRS 계정 또는 애플리케이션 풀 계정이 클라이언트 가장 에 추가되었는지 확인하고 일괄 작업 로컬 보안 설정 으로 로그온 합니다.

    로컬 보안 설정에 추가되었는지 확인하려면 로컬 보안 정책 편집기를 열고 로컬정책 노드를 확장하고 사용자 권한 할당 노드를 클릭한 다음 인증 후 클라이언트 가장 을 두 번 클릭하고 오른쪽 창에서 일괄 처리 작업 정책으로 로그온 합니다.

마법사를 사용하여 데이터베이스에 대한 연결 정보를 구성하려면

  1. 다음 필드 설명을 사용하여 준수 및 감사 데이터베이스에 대한 마법사의 연결 정보를 구성합니다.

    필드 설명

    SQL Server 이름

    준수 및 감사 데이터베이스가 구성된 서버의 이름입니다.

    SQL Server 데이터베이스 인스턴스

    준수 및 감사 데이터베이스가 구성된 SQL Server 인스턴스 이름입니다.

    데이터베이스 이름

    준수 및 감사 데이터베이스의 이름입니다.

  2. 다음 필드 설명을 사용하여 복구 데이터베이스에 대한 마법사에서 연결 정보를 구성합니다.

    필드 설명

    SQL Server 이름

    복구 데이터베이스가 구성된 서버의 이름입니다.

    SQL Server 데이터베이스 인스턴스

    복구 데이터베이스가 구성된 인스턴스 이름을 SQL Server.

    데이터베이스 이름

    복구 데이터베이스의 이름입니다.

마법사를 사용하여 웹 애플리케이션을 구성하려면

  1. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 관리 및 모니터링 웹 사이트를 구성합니다.

    필드 설명

    고급 기술 지원팀 역할 도메인 그룹

    구성원이 보고서 영역을 제외한 관리 및 모니터링 웹 사이트의 모든 영역에 액세스할 수 있는 도메인 사용자 그룹입니다.

    기술 지원팀 역할 도메인 그룹

    구성원이 관리 및 모니터링 웹 사이트의 TPM 관리드라이브 복구 영역에 액세스할 수 있는 도메인 사용자 그룹입니다.

    System Center Configuration Manager 통합 사용

    Configuration Manager 통합 토폴로지로 MBAM을 구성하는 경우 이 확인란을 선택합니다. 이 확인란을 선택하면 복구 감사 보고서를 제외한 모든 보고서가 관리 및 모니터링 웹 사이트가 아닌 Configuration Manager 표시됩니다.

    보고 역할 도메인 그룹

    구성원이 관리 및 모니터링 웹 사이트의 보고서 영역에 대한 읽기 전용 액세스 권한이 있는 도메인 사용자 그룹입니다.

    SQL Server Reporting Services URL

    MBAM 보고서가 구성된 SSRS 서버의 URL입니다.

    보고서 URL의 예:

    호스트 이름 유형 예제

    정규화된 도메인 이름을 사용하는 예제

    https://MyReportServer.Contoso.com/ReportServer

    사용자 지정 호스트 이름을 사용하는 예제

    https://MyReportServer/ReportServer

    가상 디렉터리

    관리 및 모니터링 웹 사이트의 가상 디렉터리입니다. 이 이름은 서버에서 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예를 들면 다음과 같습니다.

    http(s)://<hostname>:<port>/HelpDesk/

    가상 디렉터리를 지정하지 않으면 HelpDesk 값이 사용됩니다.

    데이터 마이그레이션 역할 도메인 그룹 (선택 사항)

    멤버가 Write-Mbam*Information Cmdlet을 사용하여 이 엔드포인트를 통해 복구 정보를 작성할 수 있는 액세스 권한이 있는 도메인 사용자 그룹입니다.

  2. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 Self-Service Portal을 구성합니다.

    필드 설명

    가상 디렉터리

    웹 애플리케이션의 가상 디렉터리입니다. 이 이름은 서버에 있는 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예를 들면 다음과 같습니다.

    http(s)://<hostname>:<port>/SelfService/

    가상 디렉터리를 지정하지 않으면 SelfService 값이 사용됩니다.

    회사 이름

    Self-Service Portal의 회사 이름을 지정합니다. 예를 들면 다음과 같습니다.

    Contoso IT

    이 회사 이름은 모든 Self-Service Portal 사용자가 볼 수 있습니다.

    기술 지원팀 URL 텍스트

    예를 들어 사용자를 조직의 기술 지원팀 웹 사이트로 안내하는 텍스트 문을 지정합니다.

    기술 지원팀 또는 IT 부서에 문의

    기술 지원팀 URL

    조직의 기술 지원팀 웹 사이트에 대한 URL을 지정합니다. 예를 들면 다음과 같습니다.

    http(s)://<companyHelpdeskURL>/

    텍스트 파일 확인

    Self-Service Portal 방문 페이지에서 사용자에게 표시하려는 알림이 포함된 파일을 선택합니다.

    사용자에게 알림 텍스트 표시 안 함

    알림 텍스트가 사용자에게 표시되지 않도록 지정하려면 이 확인란을 선택합니다.

  3. 항목을 마치면 다음을 클릭합니다.

    마법사는 웹 애플리케이션에 대한 모든 필수 구성 요소가 충족되었는지 확인합니다.

  4. Next(다음)를 클릭하여 계속합니다.

  5. 요약 페이지에서 추가될 기능을 검토합니다.

    참고
    만든 항목에 대한 Windows PowerShell 스크립트를 만들려면 PowerShell 스크립트 내보내기를 클릭하고 스크립트를 저장합니다.

  6. 추가를 클릭하여 서버에 웹 애플리케이션을 추가한 다음 닫기를 클릭합니다.

    사용자 지정 알림 텍스트, 회사 이름, 추가 정보에 대한 포인터 등을 추가하여 Self-Service Portal을 사용자 지정하려면 조직의 Self-Service 포털 사용자 지정을 참조하세요.

클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 Self-Service Portal을 구성하려면

  1. Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1을 실행하고 있는지 확인합니다. 그렇다면 아무 것도 하지 마십시오. Self-Service Portal 구성이 완료되었습니다.

    참고
    Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1은 설치 시 JavaScript 파일을 설치하므로 Self-Service 포털을 구성하기 위해 Microsoft Ajax Content Delivery Network에 연결할 필요가 없습니다. 다음 단계는 SP1 이전의 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 버전을 사용하는 경우에만 필요합니다.

  2. 클라이언트 컴퓨터가 Microsoft Ajax CDN(Content Delivery Network)에 액세스할 수 있는지 확인합니다.

    CDN은 Self-Service Portal에 특정 JavaScript 파일에 필요한 액세스 권한을 제공합니다. 클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 Self-Service Portal을 구성하지 않으면 최종 사용자가 로그인한 회사 이름과 계정만 표시됩니다. 오류 메시지가 표시되지 않습니다.

  3. 다음 중 하나를 수행합니다.

서버 이벤트 로그

MBAM 2.5 서버 기능 구성

클라이언트 컴퓨터에서 Microsoft 콘텐츠 배달 네트워크에 액세스할 수 없는 경우 셀프 서비스 포털을 구성하는 방법

조직에 대한 셀프 서비스 포털 사용자 지정

MBAM 2.5 서버 기능 구성의 유효성 검사

MBAM에 대한 제안이 있나요?

MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.