Настройка веб-приложений MBAM 2.5
В этом разделе объясняется, как настроить веб-приложения администрирования и мониторинга Microsoft BitLocker (MBAM) 2.5 для рекомендуемой высокоуровневой архитектуры для MBAM 2.5 с помощью одного из следующих методов:
Командлет Windows PowerShell
Мастер настройки сервера MBAM
Веб-приложения включают следующие веб-сайты и соответствующие веб-службы:
Веб-сайт | Описание |
---|---|
Веб-сайт администрирования и мониторинга |
Веб-сайт, на котором указанные пользователи могут просматривать отчеты и помочь конечным пользователям восстановить свои компьютеры, когда они забыли ПИН-код или пароль |
Self-Service портала |
Веб-сайт, на котором конечные пользователи могут независимо восстановить доступ к своим компьютерам, если они забыли СВОЙ ПИН-код или пароль |
Перед началом настройки:
Шаг | Где получить инструкции |
---|---|
Ознакомьтесь с рекомендуемой архитектурой для MBAM. |
|
Просмотрите поддерживаемые конфигурации для MBAM. |
|
Выполните необходимые условия на каждом сервере.
Примечание.
Перед настройкой веб-сайта администрирования и мониторинга убедитесь, что службы SQL ServerReporting Services (SSRS) используют протокол SSL. В противном случае функция отчетов будет использовать HTTP вместо HTTPS. |
|
Зарегистрируйте имена субъектов-служб (SPN) для учетной записи пула приложений для веб-сайтов. Этот шаг необходимо выполнить только в том случае, если у вас нет прав администратора в доменные службы Active Directory (AD DS). Если у вас есть эти права в AD DS, MBAM создаст имена субъектов-служб для вас. |
|
Установите программное обеспечение сервера MBAM на каждом сервере, на котором будет настроена функция сервера MBAM.
Примечание.
Если вы планируете установить веб-сайты на одном сервере и веб-службы на другом, вы сможете настроить их только с помощью командлета Enable-MbamWebApplication Windows PowerShell. Мастер настройки сервера MBAM не поддерживает настройку этих элементов на отдельных серверах. |
|
Ознакомьтесь с предварительными требованиями для использования Windows PowerShell, если вы планируете использовать командлеты для настройки функций сервера MBAM. |
Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell |
Настройка веб-приложений с помощью Windows PowerShell
Перед началом настройки ознакомьтесь с разделом "Настройка компонентов сервера MBAM 2.5 с помощью Windows PowerShell для проверки предварительных условий использования Windows PowerShell.
Используйте командлет Enable-MbamWebApplication для настройки веб-приложений с помощью Windows PowerShell. Чтобы получить сведения об этом командлете, введите Get-Help Enable-MbamWebApplication.
Настройка параметров для всех веб-приложений с помощью мастера
На сервере, где необходимо настроить веб-приложения, запустите мастер настройки сервера MBAM. Вы можете выбрать конфигурацию сервера MBAMв меню " Пуск", чтобы открыть мастер.
Щелкните "Добавить новые компоненты", выберите веб-сайт администрирования и мониторинга и портал самообслуживания, а затем нажмите кнопку "Далее". Мастер проверяет, выполнены ли все необходимые условия для веб-приложений.
Если проверка готовности выполнена успешно, нажмите кнопку "Далее ", чтобы продолжить. В противном случае устраните все отсутствующие предварительные требования и снова нажмите кнопку "Проверить предварительные требования".
Используйте следующие описания, чтобы ввести значения полей в мастере.
Поле Описание Сертификат безопасности
Выберите ранее созданный сертификат, чтобы при необходимости зашифровать связь между веб-службами и сервером, на котором настраиваются веб-сайты. Если выбрать " Не использовать сертификат", веб-связь может быть не защищена.
Имя узла
Имя главного компьютера, на котором настраиваются веб-сайты.
Путь установки
Путь, по которому вы устанавливаете веб-сайты.
Port
Номер порта, используемый для обмена данными с веб-сайтом и службой.
Примечание.Чтобы включить обмен данными через указанный порт, необходимо задать исключение брандмауэра.
Учетная запись домена и пароль пула приложений веб-службы
Учетная запись пользователя домена и пароль для пула приложений веб-службы.
При вводе имени пользователя в поле "Пользователь или группа доступа для чтения и записи" на странице "Настройка баз данных" необходимо ввести то же значение в этом поле.
При вводе имени группы в поле "Пользователь или группа доступа для чтения и записи" на странице "Настройка баз данных" значение, указанное в этом поле, должно быть членом этой группы.
Если учетные данные не указаны, будут использоваться учетные данные, указанные для любого ранее включенного веб-приложения. Все веб-приложения должны использовать одинаковые учетные данные пула приложений. Если указать разные учетные данные для разных веб-приложений, будет использоваться самое последнее указанное значение.
Важно.Для повышения безопасности задайте для учетной записи, указанной в учетных данных, ограниченные права пользователя. Кроме того, задайте срок действия пароля учетной записи.
Убедитесь, что встроенная IIS_IUSRS учетная запись или учетная запись пула приложений была добавлена в клиент Impersonate после проверки подлинности и локальных параметров безопасности для пакетного задания.
Чтобы проверить, добавлен ли он в локальные параметры безопасности, откройте редактор локальной политики безопасности, разверните узел "Локальные политики", щелкните узел назначения прав пользователей и дважды щелкните "Олицетворение клиента" после проверки подлинности и войдите в качестве политик пакетных заданий на правой панели.
Настройка сведений о подключении для баз данных с помощью мастера
Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных соответствия и аудита.
Поле Описание SQL Server имени
Имя сервера, на котором настроена база данных соответствия и аудита.
SQL Server базы данных
SQL Server экземпляра, в котором настроена база данных соответствия и аудита.
Имя базы данных
Имя базы данных соответствия и аудита.
Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных восстановления.
Поле Описание SQL Server имени
Имя сервера, на котором настроена база данных восстановления.
SQL Server базы данных
SQL Server экземпляра, в котором настроена база данных восстановления.
Имя базы данных
Имя базы данных восстановления.
Настройка веб-приложений с помощью мастера
Используйте следующие описания, чтобы ввести значения полей в мастере, чтобы настроить веб-сайт администрирования и мониторинга.
Поле Описание Группа доменов расширенной службы технической поддержки
Группа пользователей домена, члены которой имеют доступ ко всем областям веб-сайта администрирования и мониторинга, кроме области отчетов.
Группа доменов роли службы технической поддержки
Группа пользователей домена, члены которой имеют доступ к областям "Управление TPM " и " Восстановление диска" на веб-сайте администрирования и мониторинга.
Использование System Center Configuration Manager интеграции
Установите этот флажок, если вы настраиваете MBAM с Configuration Manager интеграции. При выборе этого флажка все отчеты, кроме отчета аудита восстановления, отображаются Configuration Manager, а не на веб-сайте администрирования и мониторинга.
Группа доменов роли отчетов
Группа пользователей домена, члены которой имеют доступ только для чтения к области отчетов веб-сайта администрирования и мониторинга.
SQL Server Reporting Services URL-адрес
URL-адрес сервера SSRS, на котором настроены отчеты MBAM.
Примеры URL-адресов отчетов:
Тип имени узла Пример Пример с полным доменным именем
https://MyReportServer.Contoso.com/ReportServer
Пример с пользовательским именем узла
https://MyReportServer/ReportServer
Виртуальный каталог
Виртуальный каталог веб-сайта администрирования и мониторинга. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:
http(s)://<hostname>:<port>/HelpDesk/
Если виртуальный каталог не указан, будет использоваться значение HelpDesk .
Группа доменов роли миграции данных (необязательно)
Группа пользователей домена, члены которой имеют доступ к использованию командлетов Write-Mbam*Information для записи сведений о восстановлении через эту конечную точку.
Используйте следующее описание, чтобы ввести значения полей в мастере, чтобы настроить Self-Service Портале.
Поле Описание Виртуальный каталог
Виртуальный каталог веб-приложения. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:
http(s)://<hostname>:<port>/SelfService/
Если виртуальный каталог не указан, будет использоваться значение SelfService .
Название организации
Укажите название компании для портала Self-Service, например:
ИТ-специалисты Компании Contoso
Название этой компании просматриваются всеми пользователями Self-Service портала.
Текст URL-адреса службы технической поддержки
Укажите текстовое заявление, которое направляет пользователей на веб-сайт службы технической поддержки вашей организации, например:
Обратитесь в службу технической поддержки или ВТ-отдел
URL-адрес службы технической поддержки
Укажите URL-адрес веб-сайта службы технической поддержки вашей организации, например:
http(s)://<companyHelpdeskURL>/
Текстовый файл уведомления
Выберите файл, содержащий уведомление, которое вы хотите отобразить для пользователей на целевой Self-Service портала.
Не показывать пользователям текст уведомления
Установите этот флажок, чтобы указать, что текст уведомления не отображается для пользователей.
Завершив запись, нажмите кнопку " Далее".
Мастер проверяет, выполнены ли все необходимые условия для веб-приложений.
Чтобы продолжить, нажмите Далее.
На странице "Сводка " просмотрите функции, которые будут добавлены.
Примечание.
Чтобы создать Windows PowerShell для записей, нажмите кнопку "Экспорт скрипта PowerShell" и сохраните скрипт.Нажмите кнопку "Добавить", чтобы добавить веб-приложения на сервер, а затем нажмите кнопку "Закрыть".
Чтобы настроить портал Self-Service, добавив пользовательский текст уведомления, название организации, указатели на дополнительные сведения и т. д., см. раздел "Настройка портала Self-Service для вашей организации".
Настройка портала Self-Service, если клиентские компьютеры не могут получить доступ к СЕТИ CDN
Определите, используете ли вы microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1). Если да, ничего не делать. Настройка Self-Service портала завершена.
Примечание.
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1) устанавливает файлы JavaScript во время установки, поэтому для настройки портала Self-Service не требуется подключение к сети доставки содержимого Microsoft Ajax. Следующие действия необходимы только в том случае, если вы используете версию Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 до пакета обновления 1 (SP1).Определите, имеют ли клиентские компьютеры доступ к сети доставки содержимого (CDN) Microsoft Ajax.
CDN предоставляет порталу Self-Service доступ к определенным файлам JavaScript. Если вы не настроите портал Self-Service, когда клиентские компьютеры не смогут получить доступ к СЕТИ CDN, будут отображаться только название компании и учетная запись, с помощью которой пользователь выполнил вход. Сообщение об ошибке не отображается.
Выполните одно из следующих действий.
Если клиентские компьютеры имеют доступ к СЕТИ CDN, ничего не делать. Настройка Self-Service портала завершена.
Если клиентские компьютеры не имеют доступа к сети CDN, выполните действия, описанные в разделе "Настройка портала Self-Service, когда клиентские компьютеры не могут получить доступ к сети доставки содержимого Майкрософт".
Связанные статьи
Настройка компонентов сервера MBAM 2.5 Server
Настройка портала самообслуживания для организации
Проверка конфигурации компонентов MBAM 2.5 Server
Есть предложение по MBAM?
Для решения проблем MBAM используйте форум TechNet MBAM.