Настройка веб-приложений MBAM 2.5
В этом разделе объясняется, как настроить веб-приложения Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 для рекомендуемой высокоуровневой архитектуры для MBAM 2.5 с помощью одного из следующих методов:
Командлет Windows PowerShell
Мастер настройки сервера MBAM
Веб-приложения включают следующие веб-сайты и соответствующие им веб-службы:
| Веб-сайт | Описание |
|---|---|
Веб-сайт администрирования и мониторинга |
Веб-сайт, где указанные пользователи могут просматривать отчеты и помогать конечным пользователям восстанавливать свои компьютеры, когда они забывают СВОЙ ПИН-код или пароль |
портал Self-Service |
Веб-сайт, к которому пользователи могут получить доступ независимо, восстановить доступ к своим компьютерам, если они забыли СВОЙ ПИН-код или пароль |
Перед началом настройки:
| Шаг | Где получить инструкции |
|---|---|
Ознакомьтесь с рекомендуемой архитектурой для MBAM. |
|
Просмотрите поддерживаемые конфигурации для MBAM. |
|
Выполните необходимые предварительные требования на каждом сервере.
Примечание
Перед настройкой веб-сайта администрирования и мониторинга убедитесь, что службы SQL ServerReporting Services (SSRS) настроены для использования протокола SSL. В противном случае функция "Отчеты" будет использовать HTTP вместо HTTPS. |
|
Регистрация имен субъектов-служб (SPN) для учетной записи пула приложений для веб-сайтов. Этот шаг необходимо выполнить только в том случае, если у вас нет прав администратора домена в доменных службах Active Directory (AD DS). Если у вас есть эти права в AD DS, MBAM создаст имена субъектов-служб. |
|
Установите программное обеспечение MBAM Server на каждом сервере, где будет настроен компонент СЕРВЕРА MBAM.
Примечание
Если вы планируете установить веб-сайты на одном сервере, а веб-службы — на другом, вы сможете настроить их только с помощью командлета Windows PowerShell Enable-MbamWebApplication . Мастер настройки сервера MBAM не поддерживает настройку этих элементов на отдельных серверах. |
|
Ознакомьтесь с предварительными условиями для использования Windows PowerShell, если вы планируете использовать командлеты для настройки функций сервера MBAM. |
Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell |
Настройка веб-приложений с помощью Windows PowerShell
Прежде чем приступить к настройке, ознакомьтесь с разделом Настройка компонентов сервера MBAM 2.5 с помощью Windows PowerShell , чтобы просмотреть предварительные требования для использования Windows PowerShell.
Используйте командлет Enable-MbamWebApplication для настройки веб-приложений с помощью Windows PowerShell. Чтобы получить сведения об этом командлете, введите Get-Help Enable-MbamWebApplication.
Настройка параметров для всех веб-приложений с помощью мастера
На сервере, на котором вы хотите настроить веб-приложения, запустите мастер настройки сервера MBAM. Чтобы открыть мастер, выберите MbAM Server Configuration (Конфигурация сервера MBAM ) в меню Пуск .
Щелкните Добавить новые функции, выберите Администрирование и мониторинг веб-сайт и портал самообслуживания, а затем нажмите кнопку Далее. Мастер проверяет, выполнены ли все предварительные требования для веб-приложений.
Если проверка готовности выполнена успешно, нажмите кнопку Далее , чтобы продолжить. В противном случае устраните все отсутствующие предварительные требования и нажмите кнопку Проверить предварительные требования еще раз.
Используйте следующие описания, чтобы ввести значения полей в мастере.
Поле Описание Сертификат безопасности
Выберите ранее созданный сертификат, чтобы при необходимости зашифровать обмен данными между веб-службами и сервером, на котором настраиваются веб-сайты. Если вы выберете Не использовать сертификат, веб-связь может оказаться небезопасной.
Имя узла
Имя главного компьютера, на котором настраиваются веб-сайты.
Путь установки
Путь к установке веб-сайтов.
Port
Номер порта для связи с веб-сайтом и службой.
ПримечаниеНеобходимо задать исключение брандмауэра, чтобы включить обмен данными через указанный порт.
Учетная запись домена и пароль пула приложений веб-служб
Учетная запись пользователя домена и пароль для пула приложений веб-службы.
Если вы введете имя пользователя в поле Пользователь домена или группа доступа для чтения и записи на странице Настройка баз данных , необходимо ввести это же значение в этом поле.
Если ввести имя группы в поле Пользователь домена или группа для чтения и записи на странице Настройка баз данных , то значение, введенное в этом поле, должно быть членом этой группы.
Если учетные данные не указаны, будут использоваться учетные данные, указанные для любого ранее включенного веб-приложения. Все веб-приложения должны использовать одни и те же учетные данные пула приложений. Если указать разные учетные данные для разных веб-приложений, будет использоваться последнее указанное значение.
Важно!Для повышения безопасности задайте для учетной записи, указанной в учетных данных, ограниченные права пользователя. Кроме того, задайте пароль учетной записи так, чтобы срок действия не истекал.
Убедитесь, что встроенная учетная запись IIS_IUSRS или учетная запись пула приложений добавлены в параметр олицетворения клиента после проверки подлинности и локальные параметры безопасности вход в качестве пакетного задания .
Чтобы проверить, добавлен ли он в локальные параметры безопасности, откройте редактор локальной политики безопасности, разверните узел Локальные политики , щелкните узел Назначение прав пользователя и дважды щелкните Олицетворение клиента после проверки подлинности и Вход в качестве политик пакетного задания в правой области.
Настройка сведений о подключении для баз данных с помощью мастера
Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных соответствия и аудита.
Поле Описание Имя SQL Server
Имя сервера, на котором настроена база данных соответствия и аудита.
Экземпляр базы данных SQL Server
Имя экземпляра SQL Server, в котором настроена база данных соответствия и аудита.
Имя базы данных
Имя базы данных соответствия и аудита.
Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных восстановления.
Поле Описание Имя SQL Server
Имя сервера, на котором настроена база данных восстановления.
Экземпляр базы данных SQL Server
Имя экземпляра SQL Server, в котором настроена база данных восстановления.
Имя базы данных
Имя базы данных восстановления.
Настройка веб-приложений с помощью мастера
Используйте следующие описания, чтобы ввести значения полей в мастере для настройки веб-сайта администрирования и мониторинга.
Поле Описание Расширенная группа доменов ролей службы технической поддержки
Группа пользователей домена, участники которой имеют доступ ко всем областям веб-сайта администрирования и мониторинга, кроме области "Отчеты".
Группа доменов роли службы поддержки
Группа пользователей домена, члены которой имеют доступ к областям Управление доверенным платформенный модуль и восстановление диска веб-сайта администрирования и мониторинга.
Использование интеграции System Center Configuration Manager
Установите этот флажок, если вы настраиваете MBAM с помощью топологии интеграции Configuration Manager. Если установить этот флажок, все отчеты, кроме отчета об аудите восстановления, отображаются в Configuration Manager, а не на веб-сайте администрирования и мониторинга.
Группа доменов ролей отчетов
Группа пользователей домена, члены которой имеют доступ только для чтения к области "Отчеты" веб-сайта администрирования и мониторинга.
URL-адрес служб SQL Server Reporting Services
URL-адрес сервера SSRS, на котором настроены отчеты MBAM.
Примеры URL-адресов отчетов:
Тип имени узла Пример Пример с полным доменным именем
https://MyReportServer.Contoso.com/ReportServer
Пример с пользовательским именем узла
https://MyReportServer/ReportServer
Виртуальный каталог
Виртуальный каталог веб-сайта администрирования и мониторинга. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:
http(s)://<имя_>узла:<port>/HelpDesk/
Если не указать виртуальный каталог, будет использоваться значение HelpDesk .
Группа доменов ролей переноса данных (необязательно)
Группа пользователей домена, члены которой имеют доступ к использованию командлетов Write-Mbam*Information для записи сведений о восстановлении через эту конечную точку.
Используйте следующее описание, чтобы ввести значения полей в мастере настройки портала Self-Service.
Поле Описание Виртуальный каталог
Виртуальный каталог веб-приложения. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:
http(s)://<имя_>узла:<port>/SelfService/
Если не указать виртуальный каталог, будет использоваться значение SelfService .
Название организации
Укажите название компании для портала Self-Service, например:
ИТ-отдел Contoso
Это название компании просматривается всеми пользователями портала Self-Service.
Текст URL-адреса службы поддержки
Укажите текстовый оператор, который направляет пользователей на веб-сайт службы технической поддержки вашей организации, например:
Обратитесь в службу поддержки или ИТ-отдел
URL-адрес службы поддержки
Укажите URL-адрес веб-сайта службы технической поддержки вашей организации, например:
http(s)://<companyHelpdeskURL>/
Текстовый файл уведомления
Выберите файл, содержащий уведомление, которое вы хотите отобразить пользователям на целевой странице портала Self-Service.
Не отображать текст уведомления для пользователей
Установите этот флажок, чтобы указать, что текст уведомления не отображается для пользователей.
Завершив работу с записями, нажмите кнопку Далее.
Мастер проверяет, выполнены ли все предварительные требования для веб-приложений.
Чтобы продолжить, нажмите Далее.
На странице Сводка просмотрите функции, которые будут добавлены.
Заметка Чтобы создать сценарий Windows PowerShell для сделанных записей, щелкните Экспорт скрипта PowerShell и сохраните скрипт.
Нажмите кнопку Добавить , чтобы добавить веб-приложения на сервер, а затем нажмите кнопку Закрыть.
Сведения о настройке портала Self-Service путем добавления пользовательского текста уведомления, названия компании, указателей на дополнительные сведения и т. д. см. в статье Настройка портала Self-Service для вашей организации.
Настройка портала Self-Service, если клиентские компьютеры не могут получить доступ к CDN
Определите, используете ли вы Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1). Если да, ничего не делать. Настройка портала Self-Service завершена.
Заметка Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1) устанавливает файлы JavaScript в программе установки, поэтому для настройки портала Self-Service не требуется подключаться к сети доставки содержимого Microsoft Ajax. Следующие действия необходимы, только если вы используете версию Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, предыдущую версии с пакетом обновления 1 (SP1).
Определите, имеют ли клиентские компьютеры доступ к сети доставки содержимого Microsoft Ajax (CDN).
CdN предоставляет порталу Self-Service доступ к определенным файлам JavaScript. Если вы не настроите портал Self-Service, когда клиентские компьютеры не могут получить доступ к СЕТИ CDN, будут отображаться только название компании и учетная запись, под которой пользователь выполнил вход. Сообщение об ошибке не отображается.
Выполните одно из следующих действий.
Если клиентские компьютеры имеют доступ к СЕТИ CDN, ничего не делайте. Настройка портала Self-Service завершена.
Если у ваших клиентских компьютеров нет доступа к сети CDN, выполните действия, описанные в статье Настройка портала Self-Service, когда клиентские компьютеры не могут получить доступ к сети доставки содержимого Майкрософт.
Связанные темы
Настройка компонентов сервера MBAM 2.5 Server
Настройка портала самообслуживания для организации
Проверка конфигурации компонентов MBAM 2.5 Server
Есть предложение для MBAM?
Для устранения проблем с MBAM используйте MBAM TechNet Forum.