Como instalar e configurar o MBAM em servidores distribuídos

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0

Os procedimentos contidos neste tópico descrevem como instalar o Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 na topologia Autônoma em servidores distribuídos. Para ver um diagrama da arquitetura recomendada, junto com uma descrição dos bancos de dados e dos recursos, consulte Implantando a infraestrutura de Servidor do MBAM 2.0. Para instalar o Microsoft BitLocker Administration and Monitoring com a topologia do Configuration Manager, consulte Implantando o MBAM com o Configuration Manager.

Cada recurso do servidor tem determinados pré-requisitos. Para verificar se você atende aos pré-requisitos e aos requisitos de hardware e software, consulte Pré-requisitos de implantação do MBAM 2.0 e Configurações com suporte do MBAM 2.0. Além disso, alguns recursos requerem que você forneça determinadas informações durante o processo de instalação para implantar o recurso com êxito. Você também deve examinar Planejar a implantação de Server 2.0 MBAM antes de iniciar a implantação do MBAM.

Dica

Para obter os arquivos de log de configuração, é preciso usar o pacote Msiexec e a opção /L <local> para instalar o MBAM. Os arquivos de log são criados no local que você especifica.

Os arquivos de log de instalação adicionais são criados na pasta %temp% no servidor do usuário que estiver instalando o MBAM.

Implantando de recursos de servidor do MBAM

As etapas a seguir descrevem como instalar os recursos gerais do MBAM.

Para iniciar o assistente de instalação do Servidor do MBAM

1. No servidor em que deseja instalar o Microsoft BitLocker Administration and Monitoring, execute MBAMSetup.exe para iniciar o assistente de instalação do MBAM.

2. Na página Bem-vindo, selecione opcionalmente Programa de Aperfeiçoamento da Experiência do Usuário e clique em Iniciar.

3. Leia e aceite o Contrato de Licença para Software Microsoft e clique em Avançar para continuar a instalação.

4. Na página Seleção de Topologia, selecione a topologia Autônomo e clique em Avançar.

   Dica

   Se deseja instalar o MBAM com a topologia integrada do Configuration Manager, consulte Implantando o MBAM com o Configuration Manager.

5. Selecione os recursos que você deseja instalar. Por padrão, todos os recursos do MBAM são selecionados para instalação. Desmarque os recursos que você deseja instalar em outro lugar. Recursos que serão instalados no mesmo computador devem ser instalados juntos, ao mesmo tempo. Você deve instalar os recursos do MBAM na seguinte ordem:

   • Banco de Dados de Recuperação

   • Banco de Dados de Conformidade e Auditoria

   • Relatórios de Conformidade e Auditoria

   • Portal de Autoatendimento

   • Servidor de Administração e Monitoramento

   • Modelo de Política de Grupo do MBAM

   Dica

   O Assistente de Instalação verifica os pré-requisitos da sua instalação e exibe os pré-requisitos que estão faltando. Se todos os pré-requisitos forem atendidos, a instalação continuará. Se for detectado um pré-requisito ausente, você terá que resolver os pré-requisitos ausentes e depois clicar em Verificar pré-requisitos novamente. Se todos os pré-requisitos forem atendidos desta vez, a instalação continuará.

   O Assistente de Instalação do MBAM exibe as páginas de instalação dos recursos selecionados. As seções a seguir descrevem os procedimentos de instalação de cada recurso.

   Dica

   Para as seguintes instruções, é levado em consideração que cada recurso seja instalado em um servidor separado. Se instalar vários recursos em um único servidor, você poderá alterar ou eliminar algumas etapas.

Para instalar o Banco de Dados de Recuperação

1. Na página Configurar o Banco de Dados de Recuperação, especifique os nomes dos computadores que estarão em execução no recurso Servidor de Administração e Monitoramento. Após o recurso Servidor de Administração e Monitoramento ser implantado, ele usará sua conta de domínio para se conectar ao banco de dados.

2. Clique em Avançar para continuar.

3. Especifique o nome da instância do SQL Server e o nome do banco de dados que armazenará os dados de recuperação. Você também deve especificar onde o banco de dados e as informações de log estarão localizados.

4. Clique em Avançar para continuar com o Assistente de Instalação do MBAM.

Para instalar o Banco de Dados de Conformidade e Auditoria

1. Na página Configurar o Banco de Dados de Conformidade e Auditoria, especifique a conta de usuário que será usada para acessar o banco de dados para relatórios.

2. Especifique os nomes dos computadores que executarão o Servidor de Administração e Monitoramento e o Relatórios de Conformidade e Auditoria. Após o Servidor de Administração e Monitoramento e os Relatórios de Conformidade e Auditoria serem implantados, eles usarão suas contas de domínio para se conectar ao banco de dados.

   Dica

   Se estiver instalando o Banco de Dados de Conformidade e Auditoria sem o recurso de Relatórios de Conformidade e Auditoria, você deverá adicionar uma exceção ao computador do Banco de Dados de Conformidade e Auditoria para habilitar o tráfego de entrada na porta do Microsoft SQL Server. O número de porta padrão é 1433.

3. Especifique o nome da instância do SQL Server e o nome do banco de dados que armazenará os dados de conformidade e auditoria. Você também deve especificar onde as informações de log e banco de dados estarão localizadas.

4. Clique em Avançar para continuar com o Assistente de Instalação do Microsoft BitLocker Administration and Monitoring.

Para instalar os Relatórios de Conformidade e Auditoria

1. Na página Configurar os Relatórios de Conformidade e Auditoria, especifique o nome da instância do SQL Server remota (por exemplo, <ServerName>) onde o Banco de Dados de Conformidade e Auditoria foi instalado.

   Dica

   Se estiver instalando os Relatórios de Conformidade e Auditoria sem o Servidor de Administração e Monitoramento, você deverá adicionar uma exceção no computador do Relatório de Conformidade e Auditoria para habilitar o tráfego de entrada na porta do Servidor de Relatórios (a porta padrão é 80).

2. Especifique o nome do Banco de Dados de Conformidade e Auditoria. Por padrão, o nome do banco de dados é Status de Conformidade do MBAM, mas você pode alterá-lo ao instalar o Banco de Dados de Conformidade e Auditoria.

3. Clique em Avançar para continuar.

4. Selecione a instância do SQL Server Reporting Services em que os Relatórios de Conformidade e Auditoria serão instalados. Forneça uma conta de usuário e senha de domínio para acessar o Banco de Dados de Conformidade e Auditoria. Configure a senha para esta conta nunca expirar. A conta de usuário deve ter acesso a todos os dados disponíveis para o grupo Usuários de Relatórios do MBAM.

5. Clique em Avançar para continuar com o Assistente de Instalação do Microsoft BitLocker Administration and Monitoring.

Para instalar o Portal de Autoatendimento

1. Na página Configurar o Portal de Autoatendimento, você poderá opcionalmente criptografar a comunicação entre o Portal de Autoatendimento e os servidores de Administração e Monitoramento. Se optar por criptografar a comunicação, você será solicitado a selecionar o certificado provisionado de autoridade de certificação para uso com criptografia.

2. Clique em Avançar para continuar.

3. Especifique a instância remota do SQL Server (por exemplo, <ServerName>) em que o Banco de Dados de Conformidade e Auditoria foi instalado.

4. Especifique o nome do Banco de Dados de Conformidade e Auditoria. Por padrão, o nome do banco de dados é Status de Conformidade do MBAM. No entanto, você pode alterar o nome ao instalar o Banco de Dados de Conformidade e Auditoria.

5. Clique em Avançar para continuar.

6. Especifique a instância remota do SQL Server (por exemplo, <ServerName>) em que o Banco de Dados de Recuperação foi instalado.

7. Especifique o nome do Banco de Dados de Recuperação. Por padrão, o nome do banco de dados é Recuperação e Hardware do MBAM. No entanto, você pode alterar o nome ao instalar o recurso de Recuperação de Banco de Dados.

8. Clique em Avançar para continuar.

9. Insira o Número da Porta, o Nome do Host (opcional) e o Caminho de Instalação do Servidor de Administração e Monitoramento do MBAM.

   Dica

   O número da porta que você especificar deve ser um número de porta não utilizado no servidor de Administração e Monitoramento, a menos que você especifique um nome de cabeçalho de host exclusivo. Se você estiver usando o Firewall do Windows, a porta será aberta automaticamente.

10. Para opcionalmente registrar um SPN (Nome da Entidade de Serviço) para o Portal de Autoatendimento, selecione Registrar SPNs (Nomes da Entidade de Serviço) com o Active Directory (Obrigatório para Autenticação do Windows). Se você marcar esta caixa de seleção, a Instalação do MBAM não tentará registrar os SPNs existentes, e você poderá registrar manualmente o SPN antes ou depois da instalação do MBAM. Para instruções sobre como registrar o SPN manualmente, consulte Registro manual de SPN.

11. Clique em Avançar para continuar com o Assistente de Instalação do Microsoft BitLocker Administration and Monitoring.

12. Especifique se deseja usar as Atualizações da Microsoft para ajudar a manter seu computador seguro e clique em Avançar.

13. Quando as informações do recurso MBAM selecionado estiverem concluídas, você estará pronto para iniciar a instalação do MBAM usando o Assistente de Instalação. Clique em Voltar para percorrer o assistente se precisar revisar ou alterar as configurações de instalação. Clique em Instalar para iniciar a instalação. Clique em Cancelar para sair do assistente. A Instalação instala os recursos do MBAM selecionados e informa quando a instalação terminar.

14. Clique em Concluir para sair do assistente.

    Dica

    Para configurar o Portal de Autoatendimento após tê-lo instalado, defina a marca do Portal de Autoatendimento com o nome de sua empresa e outras informações específicas da empresa, consulte Como definir a marca do Portal de Autoatendimento para obter instruções.

15. Se os computadores clientes tiverem acesso à CDN (Rede de Distribuição de Conteúdo da Microsoft), que fornece ao Portal de Autoatendimento o acesso necessário a certos arquivos JavaScript, isso significa que você concluiu a instalação do Portal de Autoatendimento. Se os computadores clientes não tiverem acesso à CDN da Microsoft, conclua as etapas na próxima seção para configurar o Portal de Autoatendimento para fazer referência ao arquivos JavaScript a partir de uma fonte acessível.

Para configurar o Portal de Autoatendimento quando os usuários finais não puderem acessar a Rede de Distribuição de Conteúdo da Microsoft

1. Se os computadores clientes tiverem acesso à CDN (Rede de Distribuição de Conteúdo da Microsoft), que fornece ao Portal de Autoatendimento o acesso necessário a certos arquivos JavaScript, isso significa que a instalação do Portal de Autoatendimento foi concluída. Se os computadores clientes não tiverem acesso à CDN da Microsoft, conclua as etapas restante desta seção para configurar o Portal de Autoatendimento para fazer referência ao arquivos JavaScript a partir de uma fonte acessível.

2. Baixe os quatro arquivos JavaScript da CDN da Microsoft:

   • jQuery-1.7.2.min.js - https://go.microsoft.com/p/fwlink/?LinkID=271736

   • MicrosoftAjax.js –https://go.microsoft.com/p/fwlink/?LinkId=272283

   • MicrosoftMvcAjax.js - https://go.microsoft.com/p/fwlink/?LinkId=272284

   • MicrosoftMvcValidation.js - https://go.microsoft.com/fwlink/p/?LinkId=272285

3. Copie os arquivos JavaScript para o diretório Scripts do Portal de Autoatendimento. Esse diretório está localizado em *<Diretório de Instalação de Autoatendimento do MBAM>\*Self Service Website\Scripts.

4. Edite o AppSettings dos Serviços de Informações da Internet (IIS) para fazer referência ao novo local.

   • jQueryPath: /<diretório virtual>/Scripts/ jQuery-1.7.2.min.js

   • MicrosoftAjaxPath: /<diretório virtual>/Scripts/ MicrosoftAjax.js

   • MicrosoftMvcAjaxPath: /<diretório virtual>/Scripts/ MicrosoftMvcAjax.js

   • MicrosoftMvcValidationPath: /<diretório virtual>/Scripts/ MicrosoftMvcValidation.js

Para instalar o recurso Servidor de Administração e Monitoramento

1. O MBAM pode criptografar a comunicação entre os Serviços Web e os servidores de Administração e Monitoramento. Se optar por criptografar a comunicação, você será solicitado a selecionar o certificado provisionado de autoridade de certificação para uso com criptografia.

2. Clique em Avançar para continuar.

3. Especifique a instância remota do SQL Server (por exemplo: <ServerName>) em que o Banco de Dados de Conformidade e Auditoria foi instalado.

4. Especifique o nome do Banco de Dados de Conformidade e Auditoria. Por padrão, o nome do banco de dados é Status de Conformidade do MBAM. No entanto, você pode alterar o nome ao instalar o Banco de Dados de Conformidade e Auditoria.

5. Clique em Avançar para continuar.

6. Especifique a instância remota do SQL Server (por exemplo: <ServerName>) em que o Banco de Dados de Recuperação foi instalado.

7. Especifique o nome do Banco de Dados de Recuperação. Por padrão, o nome do banco de dados é Recuperação e Hardware do MBAM. No entanto, você pode alterar o nome ao instalar o recurso de Recuperação de Banco de Dados.

8. Clique em Avançar para continuar.

9. Especifique a URL como a “Página Inicial” do site do SQL Server Reporting Services (SRS). O local da Página Inicial padrão de uma instância de site do SQL Server Reporting Services está em:

   http://*<NameofMBAMReportsServer>/*ReportServer

   Dica

   Se o SQL Server Reporting Services tiver sido configurado como uma instância nomeada, a URL deverá ser semelhante ao seguinte: http://<NameofMBAMReportsServer>/ReportServer_<SRSInstanceName>.

10. Clique em Avançar para continuar.

11. Insira o Número da Porta, o Nome do Host (opcional) e o Caminho de Instalação do Servidor de Administração e Monitoramento do MBAM.

    Dica

    O número da porta que você especificar deve ser um número de porta não utilizado no servidor de Administração e Monitoramento, a menos que você especifique um nome de cabeçalho de host exclusivo. Se você estiver usando o Firewall do Windows, a porta será aberta automaticamente.

12. Para opcionalmente registrar um SPN (Nome da Entidade de Serviço) para o Portal de Autoatendimento, selecione Registrar SPNs (Nomes da Entidade de Serviço) com o Active Directory (Obrigatório para Autenticação do Windows). Se você marcar esta caixa de seleção, a Instalação do MBAM não tentará registrar os SPNs existentes, e você poderá registrar manualmente o SPN antes ou depois da instalação do MBAM. Para instruções sobre como registrar o SPN manualmente, consulte Registro manual de SPN.

13. Clique em Avançar para continuar com o Assistente de Instalação do Microsoft BitLocker Administration and Monitoring.

14. Especifique se deseja usar as Atualizações da Microsoft para ajudar a manter seu computador seguro e clique em Avançar.

15. Quando as informações do recurso MBAM selecionado estiverem concluídas, você estará pronto para iniciar a instalação do MBAM usando o Assistente de Instalação. Clique em Voltar para percorrer o assistente se precisar revisar ou alterar as configurações de instalação. Clique em Instalar para iniciar a instalação. Clique em Cancelar para sair do assistente. A Instalação instala os recursos do MBAM selecionados e informa quando a instalação terminar.

16. Clique em Concluir para sair do assistente.

Para executar as configurações após a instalação

1. No Servidor de Administração e Monitoramento, adicione usuários aos seguintes grupos locais para lhes conceder acesso aos recursos no site de Administração e Monitoramento do MBAM.

   • Usuários de Assistência Técnica do MBAM: Os membros deste grupo local podem acessar os recursos de Recuperação de Unidade e Gerenciar TPM no site de Administração e Monitoramento do MBAM. Todos os campos em Recuperação de Unidade e Gerenciar TPM são obrigatórios para um Usuário de Assistência Técnica.

   • Usuários Avançados de Assistência Técnica do MBAM: Os membros deste grupo local podem ter acesso aos recursos de Recuperação de Unidade e Gerenciar TPM no site de Administração e Monitoramento do MBAM. Para os Usuários Avançados de Assistência Técnica, somente o campo ID da Chave é obrigatório na Recuperação de Unidade. Em Gerenciar TPM, somente os campos Domínio do Computador e Nome do Computador são obrigatórios.

2. No servidor que hospeda o Servidor de Administração e Monitoramento e o Banco de Dados de Conformidade e Auditoria e no servidor que hospeda os Relatórios de Conformidade e Auditoria, adicione usuários ao seguinte grupo local para dar a eles acesso ao recurso Relatórios no site de Administração e Monitoramento do MBAM.

   • Usuários de Relatório do MBAM: Os membros deste grupo local podem acessar os relatórios no site de Administração e Monitoramento do MBAM.

   Dica

   A associação idêntica de usuário ou grupo do grupo local Usuários de Relatório do MBAM deve ser mantida em todos os computadores nos quais os recursos do Servidor de Administração e Monitoramento do MBAM, o Banco de Dados de Conformidade e Auditoria e os Relatórios de Conformidade e Auditoria estão instalados.

Validando a instalação do recurso do Servidor do MBAM

Quando a instalação do recurso do Servidor do Microsoft BitLocker Administration and Monitoring estiver concluída, recomendamos validar se a instalação instalou com êxito todos os recursos necessários do MBAM. Use o procedimento a seguir para confirmar se o serviço Microsoft BitLocker Administration and Monitoring está funcionando.

Para validar uma instalação do Servidor do MBAM

1. Em cada servidor onde um recurso MBAM foi implantando, abra o Painel de Controle, selecione Programas e depois selecione Programas e Recursos. Verifique se o Microsoft BitLocker Administration and Monitoring aparece na lista em Programas e Recursos.

   Dica

   Para validar a instalação do MBAM, você precisa usar uma conta de domínio que tenha credenciais administrativas do computador local em cada servidor.

2. No servidor onde o Banco de Dados de Recuperação está instalado, abra o SQL Server Management Studio e verifique se o banco de dados de Recuperação e Hardware do MBAM está instalado.

3. No servidor onde o Banco de Dados de Conformidade e Auditoria está instalado, abra o SQL Server Management Studio e verifique se o Banco de Dados de Status de Conformidade do MBAM está instalado.

4. No servidor onde os Relatórios de Conformidade e Auditoria estão instalados, abra um navegador da Web com credenciais administrativas e vá para a “página inicial” do site do SQL Server Reporting Services.

   O local padrão da página inicial de uma instância de um site do SQL Server Reporting Services pode ser encontrado em http://<NameofMBAMReportsServer>/Reports.aspx. Para encontrar a URL real, use a ferramenta Configuration Manager do Reporting Services e selecione as instâncias especificadas durante a instalação.

   Confirme se uma pasta de relatórios com o nome Microsoft BitLocker Administration and Monitoring contém uma fonte de dados chamada MaltaDataSource e se uma pasta pt-br contém quatro relatórios.

   Dica

   Se o SQL Server Reporting Services foi configurado como uma instância nomeada, a URL deverá ficar assim:http://<NameofMBAMReportsServer>/ReportServer_<SRSInstanceName>

   Dica

   Se o SSRS não tiver sido configurado para usar SSL (Secure Socket Layer), a URL dos relatórios será definida como HTTP em vez de HTTPS quando você instalar o Servidor do MBAM. Se você for ao site de Administração e Monitoramento e selecionar um relatório, a seguinte mensagem será exibida: "Somente o conteúdo seguro é exibido." Para mostrar o relatório, clique em Mostrar todo o conteúdo.

5. No servidor, onde o recurso de Administração e Monitoramento está instalado, execute o Gerenciador de Servidores, navegue até Funções. Selecione Servidor Web (IIS) e clique em Gerenciador dos Serviços de Informações da Internet (IIS).

6. Em Conexões, navegue até <nomedocomputador>, selecione Sites e selecione Microsoft BitLocker Administration and Monitoring. Verifique se MBAMAdministrationService, MBAMComplianceStatusService e MBAMRecoveryAndHardwareService aparecem listados.

7. No servidor onde os recursos de Administração e Monitoramento e o Portal de Autoatendimento estão instalados, abra um navegador com credenciais administrativas e vá até os locais a seguir para verificar se foram instalados com êxito:

   • http://<nomedohost>/HelpDesk/default.aspx e confirme cada um dos links de navegação e relatórios

   • http://<nomedohost>/SelfService>/

   • http://<nomedocomputador>/MBAMAdministrationService/AdministrationService.svc

   • http://<nomedohost>/MBAMUserSupportService/UserSupportService.svc

   • http://<nomedocomputador>/MBAMComplianceStatusService/StatusReportingService.svc

   • http://<nomedocomputador>/MBAMRecoveryAndHardwareService/CoreService.svc

   Dica

   É levado em consideração que os recursos do servidor foram instalados na porta padrão sem criptografia de rede. Se você tiver instalado os recursos de servidor em uma porta ou um diretório virtual diferente, altere as URLs para incluir a porta apropriada, por exemplo,
   http://<nomedohost>:<porta>/HelpDesk/default.aspx ou
   http://<nomedohost>:<porta>/<diretóriovirtual>/default.aspx

   Se os recursos de servidor tiverem sido instalados com a criptografia de rede, altere http:// para https://.

8. Verifique se cada página da Web é carregada com êxito.

Consulte Também

Outros Recursos

Implantando a infraestrutura de Servidor do MBAM 2.0

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----