Поделиться через

Устранение неполадок, возникающих при установке MBAM 2.5

В этой статье описывается, как устранять неполадки с установкой Microsoft BitLocker администрирования и мониторинга (MBAM) 2.5 в автономной конфигурации.

Ссылка на файлы журнала MBAM для устранения неполадок

MBAM включает ведение журнала для установки сервера, установки клиента и событий. Это ведение журнала должно быть передано для устранения неполадок.

Файлы журнала установки сервера MBAM

MBAMServerSetup.exe создает следующие файлы журнала в папке пользователя %temp% во время установки MBAM:

Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log

MBAMServerSetup.exe регистрирует действия, выполненные во время установки MBAM и установки компонентов сервера MBAM:

Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log

MBAMServerSetup.exe регистрирует другие действия, выполненные во время установки.

Файл журнала установки клиента MBAM

Установка клиента записывается в следующий файл журнала в папке %temp% или в пользовательском расположении в зависимости от способа установки клиента:

MSI<five random characters>.log

Этот журнал содержит действия, выполняемые во время установки клиента MBAM.

Канал ведения журнала событий клиента MBAM

MBAM имеет отдельные каналы ведения журнала событий. Файлы журналов Администратор, аналитических и операционных журналов находятся в Просмотр событий в разделе Журналы> приложений и службMicrosoft>Windows>MBAM.

В следующей таблице представлено краткое описание каждого журнала событий.

Журнал событий Описание
Microsoft-Windows-MBAM/Администратор Содержит сообщения об ошибках
Microsoft-Windows-MBAM/Analytic Содержит дополнительные сведения для ведения журнала
Microsoft-Windows-MBAM/Operational Содержит сообщения об успешном выполнении

Канал ведения журнала событий сервера MBAM

Файлы журнала находятся в Просмотр событий в разделе Журналы> приложений и службMicrosoft>Windows>MBAM. В следующей таблице приведены журналы событий сервера, которые появились в MBAM 2.5:

Журнал событий Описание
Microsoft-Windows-MBAM/Администратор Содержит сообщения об ошибках
Microsoft-Windows-MBAM/Analytic Содержит дополнительные сведения для ведения журнала
Microsoft-Windows-MBAM/Operational Содержит сообщения об успешном выполнении

Журналы веб-службы MBAM

Каждый журнал веб-службы MBAM записывает данные журнала в файл SVCLOG. По умолчанию каждая веб-служба записывает файл трассировки в папку, которая использует его имя в папке C:\inetpub\Microsoft BitLocker Management Solution\Logs .

Вы можете использовать средство просмотра трассировки службы (в составе Microsoft Visual Studio) для просмотра трассировок svclog.

Устранение неполадок с шифрованием и отчетностью

В этом разделе содержатся сведения об устранении неполадок для функциональных возможностей сервера, функций клиента, параметров конфигурации и известных проблем:

Установка клиента MBAM, параметры групповой политики

Определите, установлен ли агент MBAM на клиентском компьютере. При установке MBAM создается служба с именем BitLocker Management Client Service. Эта служба настроена для автоматического запуска. Определите, запущена ли служба.

Убедитесь, что параметры групповой политики MBAM применяются на клиентском компьютере. Следующий подраздел реестра создается, если параметры групповой политики были применены на клиентском компьютере:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

Убедитесь, что этот ключ существует и заполняется с помощью значений для параметров групповой политики.

Агент MBAM в начальном периоде задержки

Клиент MBAM не запускает операцию сразу после установки. Начальная случайная задержка в 1–18 минут до начала работы агента MBAM. В дополнение к начальной задержке существует задержка не менее 90 минут. (Задержка зависит от параметров групповой политики, настроенных для частоты проверки состояния клиента.) Таким образом, общая задержка перед началом операции клиента является случайной задержкой + запускаклиента, проверяя частоту задержки.

Если журналы событий Operational и Администратор пусты, клиент еще не запустил операцию и находится в периоде задержки, о котором говорилось ранее. Если вы хотите обойти задержку, выполните следующие действия.

  1. Остановите службу клиента управления BitLocker.

  2. В подразделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM реестра создайте NoStartupDelay значение реестра, присвойте его типу REG_DWORD, а затем задайте значение 1.

  3. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementзадайте для значений ClientWakeupFrequency и StatusReportingFrequency значение 1. После обновления групповой политики на компьютере эти значения отменить изменения с исходными параметрами.

  4. Запустите службу службы клиента управления BitLocker.

Если после запуска службы выполняется локальный вход на компьютере и ошибки отсутствуют, вы должны получить запрос на шифрование компьютера в течение одной минуты. Если вы не получили запрос, просмотрите журналы Администратор MBAM на наличие записей об ошибках.

На компьютере нет устройства доверенного платформенного модуля или устройство TPM не включено в BIOS

Просмотрите журнал событий Администратор MBAM. В журнале событий MBAM Администратор появится запись события, похожая на следующую:

    Log Name:      Microsoft-Windows-MBAM/Admin
    Source:        Microsoft-Windows-MBAM
    Date:          8/3/2013 12:31:10 PM
    Event ID:      9
    Task Category: None
    Level:         Error
    Keywords:
    User:          SYSTEM
    Computer:      Mbamclient.contoso.com
    Description:
    The TPM hardware is missing.
    TPM is needed to encrypt the operating system drive with any TPM protector.

Откройте управление TPM (tpm.msc) и проверка, есть ли на компьютере устройство доверенного платформенного модуля. Если tpm.msc не отображает устройство, откройте диспетчер устройств (devmgmt.msc) и проверка для доверенного платформенного модуля в разделе Устройства безопасности. Если вы не видите устройство доверенного платформенного модуля, это может быть вызвано одной из следующих причин:

  • В вашей системе нет устройства доверенного платформенного модуля (TPM/Security).

  • Устройство доверенного платформенного модуля отключено в BIOS.

  • Устройство доверенного платформенного модуля включено в BIOS, но управление устройством доверенного платформенного модуля из параметра операционной системы в BIOS отключено.

  • Вы не используете драйвер Майкрософт для устройства доверенного платформенного модуля. Чтобы определить драйвер устройства Microsoft TPM, просмотрите устройства в диспетчере устройств.

Если устройство TPM не использует C:\Windows\System32\tpm.sys драйвер, обновите драйвер, выбрав C:\Windows\Inf\tpm.inf файл .

На компьютере нет допустимого раздела SYSTEM

Просмотрите журнал событий Администратор MBAM. В журнале событий MBAM Администратор появится запись события, похожая на следующую:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:37 AM
Event ID:      8
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      BITTESTVM.xtremelabs.com
Description:
The system volume is missing.
SystemVolume is needed to encrypt the operating system drive.

Для включения шифрования bitLocker требуется раздел SYSTEM (Шифрование диска BitLocker в Windows 7: часто задаваемые вопросы).

MBAM не создает системный раздел автоматически. С помощью программы подготовки диска BitLocker (bdehdcfg.exe) можно создать системный раздел и переместить необходимые файлы запуска.

Например, можно использовать команду %windir%\system32\bdeHdCfg.exe -target default -size 300 -quiet для автоматической подготовки диска перед развертыванием MBAM для шифрования дисков. Для выполнения этой команды требуется перезагрузка. При необходимости можно также создать скрипт для действия. В следующем документе описывается средство подготовки диска BitLocker:

Описание средства подготовки диска BitLocker

Диски не форматируются для совместимой файловой системы

Дополнительные сведения см. в статье Шифрование диска BitLocker в Windows 7: часто задаваемые вопросы.

Конфликт групповой политики

В журнале событий MBAM Администратор появится запись события, похожая на следующую:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          7/25/2013 9:27:58 PM
Event ID:      22
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Detected Fixed Data Drive volume encryption policies conflict.
Check BitLocker and MBAM policies related to FDD drive protectors.

Проверьте параметры групповой политики, чтобы убедиться, что у вас нет конфликтующих параметров групповой политики MBAM.

Групповую политику следует настраивать с помощью шаблона MDOP MBAM, а не шаблона шифрования диска BitLocker.

Например, в разделе Параметры шифрования диска операционной системы в качестве предохранителя выбран доверенный платформенный модуль, а также параметр Разрешить расширенные ПИН-коды для запуска. Эти параметры конфликтуют, так как защита только доверенного платформенного модуля не требует ПИН-кода. Поэтому следует отключить параметр расширенных ПИН-кодов.

Пользователь может иметь исключение

Если вы включили параметр групповой политики конфигурации компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker)\Управление клиентом\Настройка исключения пользователей, пользователям будет предложено запросить исключение.

По умолчанию, если пользователь запрашивает исключение, исключение действует в течение семи дней, и пользователь не получает запросы на шифрование в течение этого периода. Во время настройки политики можно увеличить или уменьшить значение по умолчанию. По истечении периода исключения пользователю будет предложено зашифровать.

Вы увидите следующую запись в журнале событий MBAM Администратор, если компьютер находится под исключением пользователя:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 3:06:40 PM
Event ID:      13
Task Category: None
Level:         Warning
Keywords:
User:          SYSTEM
Computer:      MBAMCLIENT.contoso.com
Description:
The user is exempt from encryption.

Если вы хотите вручную переопределить исключение пользователя для компьютера, выполните следующие действия.

  1. Задайте для параметра AllowUserExemption значение 0 в следующем подразделе реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

  2. Удалите все значения реестра в следующем подразделе реестра, AgentVersionкроме , EncodedComputerNameи Installed:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM

    Примечание.

    Чтобы изменения вступили в силу, перезапустите агент MBAM.

После применения групповой политики к компьютеру эти значения могут отменить изменения исходных параметров.

Проблема С WMI

MBAM использует методы класса для Win32_EncryptableVolume управления BitLocker. Если этот модуль не зарегистрирован или поврежден, клиент MBAM работает неправильно, и в журнале событий АДМИНИСТРАТОР MBAM отображается следующая запись события:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          7/27/2013 11:18:51 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      BITTEST.xtremelabs.com
Description:
An error occurred while sending encryption status data.
Error code:
0x80041016
Details:
NULL

Кроме того, вы можете заметить, что политики восстановления и оборудования не применяются с кодом 0x8007007eошибки : "Не удалось найти указанный модуль".

Чтобы устранить эту проблему, необходимо повторно зарегистрировать Win32_EncryptableVolume класс с помощью следующей команды:

mofcomp c:\Windows\System32\wbem\win32_encryptablevolume.mof

Устранение неполадок с обменом данными с агентом MBAM

В этом разделе содержатся сведения об устранении следующих проблем, связанных с взаимодействием агента MBAM:

Неправильный URL-адрес службы MBAM

Если неверное значение службы состояния соответствия MBAM или Службы восстановления и оборудования, в журнале событий АДМИНИСТРАТОР MBAM на клиентском компьютере отображается запись события, похожая на следующую:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:36 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:13:33 PM
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:20:32 PM
Event ID:      4
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          8/3/2013 4:20:32 PM
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.

Проверьте значения KeyRecoveryServiceEndPoint и StatusReportingServiceEndpoint в следующем подразделе реестра на клиентском компьютере:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement

По умолчанию URL-адрес ( KeyRecoveryServiceEndPoint конечная точка службы восстановления и оборудования MBAM) имеет следующий формат:

https://<servername>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

По умолчанию URL-адрес ( StatusReportingServiceEndpoint конечная точка службы отчетов о состоянии MBAM) имеет следующий формат:

https://<servername>:<port>/MBAMComplianceStatusService/StatusReportingService.svc

Примечание.

В URL-адресе не должно быть пробелов.

Если URL-адрес службы неправильный, исправьте его в следующем параметре групповой политики:

Конфигурация> компьютераПолитики>Административные шаблоны>Компоненты> WindowsMDOP MBAM (управление BitLocker)>Управление клиентами>Настройка служб MBAM

Проблема с подключением, влияющая на сервер администрирования MBAM

Агент MBAM не может опубликовать обновления в базе данных, если между агентом клиента и сервером администрирования MBAM возникли проблемы с подключением. В этом случае вы заметите записи о сбоях подключения в журнале событий MBAM Администратор на клиентском компьютере:

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          29-04-2014 18:21:22
Event ID:      2
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          29-04-2014 23:06:48
Event ID:      2
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0006
Details:
The operation did not complete within the time allotted.

Log Name:      Microsoft-Windows-MBAM/Admin
Source:        Microsoft-Windows-MBAM
Date:          02-09-2013 02:02:04
Event ID:      18
Task Category: None
Level:         Error
Keywords:
User:          SYSTEM
Computer:      TESTLABS.CONTOSO.COM
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.

Основные проверки:

  • Проверьте базовое подключение, связавшись с сервером администрирования MBAM по имени и IP-адресу. Проверьте, можно ли подключиться к веб-сайту администрирования MBAM или порту службы с помощью telnet или portqry.

  • Убедитесь, что служба IIS работает на сервере администрирования и мониторинга MBAM и что веб-служба MBAM прослушивает тот же порт, который настроен на клиентском компьютере MBAM (netstat -ano | find "portnumber").

  • Убедитесь, что номер порта, настроенный для веб-сайта MBAM, использует диспетчер IIS (inetmgr). Убедитесь, что номер порта совпадает с номером порта, на котором прослушивается клиент. Убедитесь, что номер порта не используется другим приложением. Например, другое приложение на сервере не должно использовать тот же порт.

  • При наличии брандмауэра убедитесь, что порт открыт на брандмауэре или прокси-сервере.

  • Если обмен данными между клиентом и сервером является безопасным, убедитесь, что используется действительный SSL-сертификат.

  • Проверьте сетевое подключение между веб-сервером и сервером базы данных, на который отправляются данные для вставки. Вы можете проверка подключение к базе данных с веб-сервера к серверу базы данных с помощью администратора источника данных ODBC.

Устранение неполадок с подключением

Убедитесь, что url-адрес службы, настроенный на клиенте, правильный. Скопируйте значение URL-адреса для KeyRecoveryServiceEndPoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) из реестра и откройте его в Интернете Обозреватель.

Аналогичным образом скопируйте значение URL-адреса для StatusReportingServiceEndpoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) и откройте его в Интернете Обозреватель.

Примечание.

Если вы не можете перейти по URL-адресу с клиентского компьютера, необходимо проверить базовое сетевое подключение клиента к серверу, на котором запущены службы IIS. См. пункты 1, 2, 3 и 4 в предыдущем разделе.

Кроме того, просмотрите журналы приложений на сервере администрирования и мониторинга на наличие ошибок.

Вы можете выполнить параллельную трассировку сети между клиентом и сервером и проверить трассировку, чтобы определить причину сбоя подключения между агентом клиента и сервером администрирования MBAM.

Примечание.

Если вы можете перейти к URL-адресам службы с клиентского компьютера и в журналах событий администрирования MBAM есть записи об ошибках подключения, это может быть вызвано сбоем подключения между сервером администрирования и сервером базы данных.

Если вы можете успешно перейти к обоим URL-адресам службы и есть подключение между клиентом и запущенным сервером, iis работает. Однако может возникнуть проблема в обмене данными между сервером, на котором выполняются службы IIS, и сервером базы данных.

Службам MBAM может не удается подключиться к серверу базы данных из-за проблемы с сетью или неправильного параметра строка подключения базы данных. Просмотрите журналы приложений на сервере администрирования и мониторинга. Вы можете увидеть записи об ошибках или предупреждения из исходного ASP.NET 2.0.50727.0, которые похожи на следующую запись журнала:

    Log Name:      Application
    Source:        ASP.NET 2.0.50727.0
    Date:          7/11/2013 6:16:34 PM
    Event ID:      1310
    Task Category: Web Event
    Level:         Warning
    Keywords:      Classic
    User:          N/A
    Computer:      MBAM2-Admin.contoso.com
    Description:
    Event code: 100001
    Event message: SQL error occurred
    Event time: 7/11/2013 6:16:34 PM
    Event time (UTC): 7/11/2013 12:46:34 PM
    Event ID: 6615fb8eb9d54e778b933d5bb7ca91ed
    Event sequence: 2
    Event occurrence: 1
    Event detail code: 0
    Application information:
        Application domain: /LM/W3SVC/2/ROOT/MBAMAdministrationService-1-130180202570338699
        Trust level: Full
        Application Virtual Path: /MBAMAdministrationService
        Application Path: C:\inetpub\Microsoft BitLocker Management Solution\Administration Service\
        Machine name: MBAM2-ADMIN

    Process information:
        Process ID: 1940
        Process name: w3wp.exe
        Account name: NT AUTHORITY\NETWORK SERVICE

    Exception information:
        Exception type: SqlException
        Exception message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)

    Request information:
        Request URL:
        Request path:
        User host address:
        User:
        Is authenticated: False
        Authentication Type:
        Thread account name: NT AUTHORITY\NETWORK SERVICE

    Thread information:
        Thread ID: 7
        Thread account name: NT AUTHORITY\NETWORK SERVICE
        Is impersonating: False
        Stack trace:    at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
       at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj)
       at System.Data.SqlClient.TdsParser.Connect(ServerInfo serverInfo, SqlInternalConnectionTds connHandler, Boolean ignoreSniOpenTimeout, Int64 timerExpire, Boolean encrypt, Boolean trustServerCert, Boolean integratedSecurity, SqlConnection owningObject)
       at System.Data.SqlClient.SqlInternalConnectionTds.AttemptOneLogin(ServerInfo serverInfo, String newPassword, Boolean ignoreSniOpenTimeout, Int64 timerExpire, SqlConnection owningObject)
       at System.Data.SqlClient.SqlInternalConnectionTds.LoginNoFailover(String host, String newPassword, Boolean redirectedUserInstance, SqlConnection owningObject, SqlConnectionString connectionOptions, Int64 timerStart)
       at System.Data.SqlClient.SqlInternalConnectionTds.OpenLoginEnlist(SqlConnection owningObject, SqlConnectionString connectionOptions, String newPassword, Boolean redirectedUserInstance)
       at System.Data.SqlClient.SqlInternalConnectionTds..ctor(DbConnectionPoolIdentity identity, SqlConnectionString connectionOptions, Object providerInfo, String newPassword, SqlConnection owningObject, Boolean redirectedUserInstance)
       at System.Data.SqlClient.SqlConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningConnection)
       at System.Data.ProviderBase.DbConnectionFactory.CreatePooledConnection(DbConnection owningConnection, DbConnectionPool pool, DbConnectionOptions options)
       at System.Data.ProviderBase.DbConnectionPool.CreateObject(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionPool.UserCreateRequest(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionPool.GetConnection(DbConnection owningObject)
       at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
       at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
       at System.Data.SqlClient.SqlConnection.Open()
       at System.Data.Linq.SqlClient.SqlConnectionManager.UseConnection(IConnectionUser user)
       at System.Data.Linq.SqlClient.SqlProvider.get_IsSqlCe()
       at System.Data.Linq.SqlClient.SqlProvider.InitializeProviderMode()
       at System.Data.Linq.SqlClient.SqlProvider.System.Data.Linq.Provider.IProvider.Execute(Expression query)
       at System.Data.Linq.DataContext.ExecuteMethodCall(Object instance, MethodInfo methodInfo, Object[] parameters)
       at Microsoft.Mbam.Server.ServiceCommon.KeyRecoveryModelDataContext.GetRecoveryKeyIds(String partialRecoveryKeyId, String reason)
       at Microsoft.Mbam.ApplicationSupportService.AdministrationService.GetRecoveryKeyIds(String partialRecoveryKeyId, String reasonCode)

    Custom event details:
        Application: MBAMAdministrationService
        Sql Server:
        Database: MBAM Recovery and Hardware
        Database: MBAM Compliance Status
        Sql ErrorCode: 5
        Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)

Возможные причины

Причина 1

Администратор мог указать недопустимое имя или имя экземпляра базы данных во время установки компонентов сервера администрирования и мониторинга.

Вы можете проверить и исправить строки подключения к базе данных с помощью консоли управления IIS. Для этого откройте диспетчер IIS и перейдите в раздел Администрирование и мониторинг Microsoft BitLocker. Для каждой службы, которая указана слева, выполните следующие действия, чтобы изменить строки подключения к базе данных:

  1. В представлении компонентов дважды выберите Строки подключения.

  2. На странице Строки подключения выберите строка подключения, которую нужно изменить.

  3. В области Действия выберите Изменить.

  4. В диалоговом окне Изменение строки подключения измените свойства, которые нужно изменить, а затем нажмите кнопку ОК.

Причина 2

SQL Server порт заблокирован в брандмауэре. Проверьте номер порта, для которого SQL Server настроено прослушивание, и убедитесь, что порт открыт в брандмауэре между сервером администрирования и сервером базы данных.

Причина 3

Неправильные привязки TCP/IP сервера SQL Server. Проверьте привязки TCP/IP SQL в диспетчер конфигурации SQL Server на сервере базы данных. MBAM требует, чтобы протоколы TCP/IP и именованные каналы были включены для подключения к базе данных.

Причина 4

Учетная запись NT Authority\Network Service или учетная запись компьютера сервера администрирования MBAM не имеют необходимых разрешений для подключения к базе данных SQL.

Во время установки компонентов базы данных на сервере базы данных установщик создает две локальные группы: доступ к базе данных для аудита соответствия требованиям MBAM и восстановление MBAM и доступ к аппаратной базе данных.

В эти группы автоматически добавляются учетная запись NT Authority\Network Service, учетная запись компьютера сервера администрирования MBAM и пользователь, устанавливающий компоненты базы данных.

Этим группам предоставляются необходимые разрешения на базу данных во время установки. Все пользователи, входящие в эту группу, автоматически получают необходимые разрешения для базы данных.

Веб-служба может не подключиться к серверу базы данных из-за проблемы с разрешениями, если выполняется одно или несколько из следующих условий:

  • Упомянутые ранее группы удаляются из локальных групп на сервере базы данных.

  • Учетная запись NT Authority\Network Service и учетная запись компьютера сервера администрирования MBAM не являются членами этих групп.

  • У этих групп нет необходимых разрешений для базы данных.

Вы заметите ошибки, связанные с разрешениями, в журналах приложений на сервере администрирования и мониторинга MBAM, если выполняются какие-либо из предыдущих условий. В этом случае необходимо вручную добавить учетную запись NT Authority\Network Service и учетную запись компьютера сервера администрирования MBAM и предоставить им общесерверную общедоступную роль на сервере базы данных SQL, который использует SQL Server Management Studio. Дополнительные сведения см. в разделе Создание имени входа.

Просмотр журналов веб-службы

Если события не регистрируются в журналах приложений на сервере администрирования MBAM, пришло время просмотреть журналы веб-службы (SVCLOG) веб-службы MBAM, размещенной на сервере администрирования и мониторинга MBAM. Чтобы просмотреть файл журнала, используйте средство просмотра трассировки служб (SvcTraceViewer.exe).

В первую очередь следует исследовать журналы трассировки RecoveryandHardwareService служб для и ComplianceStatusService. По умолчанию журналы веб-службы находятся в папке C:\inetpub\Microsoft BitLocker Management Solution\Logs . Каждая служба записывает свой .svclog файл в собственную папку.

Проверьте действия в журнале трассировки служб на наличие ошибок или предупреждений. По умолчанию записи ошибок выделены красным цветом. Чтобы просмотреть подробные сведения об ошибке, выберите описание ошибки в правой области средства просмотра трассировки. Ниже приведен пример записи об ошибке из журнала трассировки.


    <E2ETraceEvent xmlns="http://schemas.microsoft.com/2004/06/E2ETraceEvent">
    <System xmlns="http://schemas.microsoft.com/2004/06/windows/eventlog/system">
    <EventID>15183</EventID>
    <Type>3</Type>
    <SubType Name="Error">0</SubType>
    <Level>2</Level>
    <TimeCreated SystemTime="2013-07-05T14:48:06.2821550Z" />
    <Source Name="Microsoft.Mbam.CoreService" />
    <Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
    <Execution ProcessName="w3wp" ProcessID="4332" ThreadID="11" />
    <Channel />
    <Computer>XXXXXXXXXXX</Computer>
    </System>
    <ApplicationData>AddUpdateVolume: While executing sql transaction for add volume to store exception occurred Key Recovery Data Store processing error: Violation of UNIQUE KEY constraint 'UniqueRecoveryKeyId'. Cannot insert duplicate key in object 'RecoveryAndHardwareCore.Keys'. The duplicate key value is (8637036e-b379-4798-bd9e-5a0b36296de3).
    </ApplicationData>
    </E2ETraceEvent>

Переустановка или перенастройка инфраструктуры MBAM

Чтобы переустановить или перенастроить инфраструктуру MBAM, необходимо знать следующее:

  • Учетная запись пула приложений

  • MBAM Группы (служба поддержки, дополнительно, группа пользователей отчетов)

  • URL-адрес отчетов MBAM

  • имя SQL Server и имена баз данных

  • MbAM ReadWrite и ReadOnly Учетные записи

Учетная запись пула приложений

Чтобы найти учетную запись пула приложений, войдите на веб-сервер MBAM, откройте диспетчер служб IIS и выберите Пулы приложений:

Снимок экрана: диспетчер IIS с выделенными пулами приложений и, в частности, пулом приложений MBAM.

Имя субъекта-службы (SPN) должно быть задано в этой учетной записи. Этот параметр важен для функциональности MBAM.

Группы MBAM (служба поддержки, дополнительно, группа пользователей отчетов и URL-адрес отчетов)

Снимок экрана: диспетчер IIS с выделенными группами MBAM в разделе

В ней содержатся такие сведения, как группа поддержки, расширенная группа технической поддержки, группа пользователей отчетов и URL-адрес отчетов MBAM. URL-адрес отчетов MBAM должен быть указан в настройке MBAM и должен выглядеть так: https://servername/ReportServer.

имя SQL Server и имена баз данных (DB)

Чтобы найти имена и экземпляры SQL Server, на котором размещены базы данных MBAM, войдите на веб-сервер MBAM (IIS) и перейдите к следующему подразделу реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM Server\Web

Снимок экрана: Редактор реестра, на котором показан ключ СЕРВЕРА-веб-сайта MBAM с двумя выделенными значениями.

Выделенные части являются строками подключения. Они должны иметь имя SQL Server, имена баз данных и экземпляры (если они именованы).

Учетные записи MBAM ReadWrite и ReadOnly

Эти сведения находятся в базе данных SQL Server, для которой мы уже нашли имя с веб-сервера.

Учетная запись ReadWrite

  1. Войдите в SQL Management Studio.

  2. Щелкните правой кнопкой мыши пункт Восстановление и оборудование MBAM, выберите Свойства, а затем — Разрешения.

Например, имя учетной записи лаборатории — MBAMWrite. Учетные записи пула приложений и ReadWrite совпадают.

Снимок экрана: база данных для восстановления и оборудования MBAM.

Снимок экрана: свойства базы данных на странице Разрешения с выделенным пользователем MBAMWrite.

Перейдите в пункт Безопасность , а затем — Входы в SQL Management Studio. Перейдите к учетной записи, показанной на предыдущем снимке экрана.

Снимок экрана: имена входа безопасности SQL с выделенным пользователем MBAMWrite.

Щелкните правой кнопкой мыши учетные записи, перейдите в раздел Свойства Сопоставление пользователей и найдите базу данных MBAM Recovery and Hardware:

Снимок экрана: свойства входа для MBAMWrite на странице Сопоставление пользователей, где выделена база данных для восстановления и оборудования MBAM.

Учетная запись ReadOnly

Откройте SQL Server Reporting Services Configuration Manager на сервере SSRS. Выберите URL-адрес диспетчера отчетов и просмотрите URL-адреса:

Снимок экрана: Reporting Services Configuration Manager с выделенным URL-адресом диспетчера отчетов.

Выберите Администрирование и мониторинг Microsoft Bitlocker:

Снимок экрана: выбор администрирования и мониторинга Bitlocker в диспетчере отчетов.

Выберите MaltaDatasource:

Снимок экрана: список диспетчера отчетов с выделенным параметром MaltaDataSource.

Снимок экрана: отчет MaltaDatasource, страница

MaltaDataSource должен иметь имя учетной записи Только для чтения и должен использоваться при настройке MBAM.