Перемещение компонентов MBAM 1.0 на другой компьютер
Назначение: Microsoft BitLocker Administration and Monitoring 1.0
В этом разделе описываются действия, которые необходимо выполнять для перемещения одного или нескольких компонентов Администрирование и мониторинг Microsoft BitLocker (MBAM) на другой компьютер. При перемещении нескольких компонентов MBAM на другой компьютер необходимо соблюдать следующий порядок.
База данных восстановления и оборудования
База данных соответствия и аудита
Отчеты о соответствии и аудите
Средства администрирования и наблюдения
Перемещение базы данных восстановления и оборудования
С помощью следующей процедуры можно перенести базу данных восстановления и оборудования MBAM с одного компьютера на другой (данный компонент сервера MBAM может быть перенесен с сервера A на сервер B).
Остановите все экземпляры веб-сайта администрирования и наблюдения MBAM.
Запустите установке MBAM на сервере B.
Выполните резервное копирование базы данных восстановления и оборудования MBAM на сервере A.
Перенос базы данных восстановления и оборудования MBAM с сервера A на сервер B
Восстановите базу данных восстановления и оборудования MBAM на сервере B.
Настройте доступ к базе данных восстановления и оборудования MBAM на сервере B.
Обновите данные подключения к базе данных на серверах администрирования и наблюдения MBAM
Возобновите все экземпляры веб-сайта администрирования и наблюдения MBAM
Остановка всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом сервере с компонентом администрирования и наблюдения MBAM остановите веб-сайт MBAM с помощью консоли диспетчера IIS. Веб-сайт MBAM имеет имя Microsoft BitLocker Administration and Monitoring.
Для автоматизации этого процесса можно выполнить следующую команду в командной строке, используя Windows PowerShell.
PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”
Примечание
Для выполнения этой команды PowerShell необходимо добавить модуль IIS для PowerShell в текущий экземпляр PowerShell. Кроме того, необходимо обновить политику выполнения PowerShell, чтобы включить выполнение сценариев.
Запуск установки MBAM на сервере B.
Запустите установку MBAM на сервере B и выберите установку базы данных восстановления и оборудования.
Для автоматизации этого процесса можно выполнить следующую команду в командной строке, используя Windows PowerShell.
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=KeyDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, на который будет перемещена база данных восстановления и оборудования.
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$ - введите имена домена и сервера каждого сервера приложений и наблюдения MBAM, который будет обращаться к базе данных восстановления и оборудования. Если имеется несколько имен домена и сервера, разделите их в списке с помощью точки с запятой. Например, $ДОМЕН$\$ИМЯ_СЕРВЕРА$;$ДОМЕН$\$ИМЯ_СЕРВЕРА$$. Кроме того, после каждого имени сервера должен быть указан знак $. Например, МойДомен\ИмяМоегоСервера1$, МойДомен\ИмяМоегоСервера2$.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, на который будет перемещена база данных восстановления и оборудования.
Резервное копирование базы данных на сервере A
Чтобы выполнить резервное копирование базы данных восстановления и оборудования на сервере A, используйте SQL Server Management Studio и задачу с именем Создать резервную копию.... По умолчанию именем базы данных является База данных восстановления и оборудования MBAM.
Для автоматизации этой процедуры создайте файл SQL (.sql), содержащий следующий сценарий SQL:
Настройте базу данных восстановления и оборудования MBAM на использование режима полного восстановления.
USE master;
GO
ALTER DATABASE "MBAM Recovery and Hardware"
SET RECOVERY FULL;
GO
Создайте логический диск для резервного копирования данных из базы данных восстановления и оборудования MBAM и логический диск восстановления MBAM.
USE master
GO
EXEC sp_addumpdevice 'disk', 'MBAM Recovery and Hardware Database Data Device',
'Z:\MBAM Recovery and Hardware Database Data.bak';
GO
Выполните резервное копирование всей базы данных восстановления и оборудования MBAM.
BACKUP DATABASE [MBAM Recovery and Hardware] TO [MBAM Recovery and Hardware Database Data Device];
GO
BACKUP CERTIFICATE [MBAM Recovery Encryption Certificate]
TO FILE = 'Z:\SQLServerInstanceCertificateFile'
WITH PRIVATE KEY
(
FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey',
ENCRYPTION BY PASSWORD = '$PASSWORD$'
);
GO
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ПАРОЛЬ$ - введите пароль, который будет использоваться для шифрования файла закрытого ключа.
- $ПАРОЛЬ$ - введите пароль, который будет использоваться для шифрования файла закрытого ключа.
Запустите SQL-файл, используя SQL Server PowerShell и выполните команду, аналогичную следующей.
PS C:\> Invoke-Sqlcmd -InputFile 'Z:\BackupMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляра, с которого будет выполнено резервное копирование базы данных восстановления и оборудования.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляра, с которого будет выполнено резервное копирование базы данных восстановления и оборудования.
Перенос базы данных и сертификата с сервера A на сервер B
Переместите файл data.bak базы данных восстановления и оборудования MBAM с сервера A на сервер B, используя проводник.
Чтобы перенести сертификат зашифрованной базы данных, вам понадобится выполнить следующие шаги по автоматизации. Для автоматизации этой процедуры откройте Windows PowerShell и введите команду, аналогичную следующей.
PS C:\> Copy-Item “Z:\MBAM Recovery and Hardware Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$
PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFile” \\$SERVERNAME$\$DESTINATIONSHARE$
PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFilePrivateKey” \\$SERVERNAME$\$DESTINATIONSHARE$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который будут копироваться файлы.
- $КОНЕЧНЫЙ_ОБЩИЙ_РЕСУРС$ - введите имя общего ресурса и путь для копирования файлов.
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который будут копироваться файлы.
Восстановление базы данных на сервере B
Восстановите базу данных восстановления и оборудования на сервере B, используя SQL Server Management Studio и задачу с именем Восстановить базу данных.
После выполнения задачи выберите файл резервной копии базы данных, используя параметр С устройства, после чего с помощью команды Добавить выберите файл Data.bak базы данных восстановления и оборудования MBAM.
Нажмите OK, чтобы завершить процесс восстановления.
Для автоматизации этой процедуры создайте файл SQL (.sql), содержащий следующий сценарий SQL:
-- Restore MBAM Recovery and Hardware Database.
USE master
GO
Выполните сброс сертификата, созданного программой установки MBAM.
DROP CERTIFICATE [MBAM Recovery Encryption Certificate]
GO
Добавьте сертификат
CREATE CERTIFICATE [MBAM Recovery Encryption Certificate]
FROM FILE = 'Z: \SQLServerInstanceCertificateFile'
WITH PRIVATE KEY
(
FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey',
DECRYPTION BY PASSWORD = '$PASSWORD$'
);
GO
Восстановите данные базы данных восстановления и оборудования MBAM и файлы журналов.
RESTORE DATABASE [MBAM Recovery and Hardware]
FROM DISK = 'Z:\MBAM Recovery and Hardware Database Data.bak'
WITH REPLACE
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ПАРОЛЬ$ - введите пароль, который использовался для шифрования файла закрытого ключа.
- $ПАРОЛЬ$ - введите пароль, который использовался для шифрования файла закрытого ключа.
С помощью Windows PowerShell введите командную строку, аналогичную следующей:
PS C:\> Invoke-Sqlcmd -InputFile 'Z:\RestoreMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, на котором будет восстановлена база данных восстановления и оборудования.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, на котором будет восстановлена база данных восстановления и оборудования.
Настройте доступ к базе данных на сервере B
На сервере B с помощью оснастки "Локальные пользователи и группы" в диспетчере сервера добавьте учетные записи компьютеров с каждого сервера, на котором функционирует компонент администрирования и наблюдения MBAM, в локальную группу с именем Доступ к базе данных восстановления и оборудования MBAM.
Для автоматизации этой процедуры откройте Windows PowerShell на сервере B и введите команду, аналогичную следующей.
PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите имя домена и имя компьютера сервера администрирования и наблюдения MBAM. После имени сервера должен быть указан символ $, например MyDomain\MyServerName1$.
Команду необходимо выполнить для каждого сервера администрирования и наблюдения, который будет осуществлять доступ к базе данных в вашей среде.
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите имя домена и имя компьютера сервера администрирования и наблюдения MBAM. После имени сервера должен быть указан символ $, например MyDomain\MyServerName1$.
Обновление данных о подключении к базе данных на серверах администрирования и наблюдения MBAM
На каждом сервере, на котором функционирует компонент администрирования и наблюдения MBAM следует с помощью консоли диспетчера IIS обновите строку подключения для следующих приложений, размещенных на веб-сайте Microsoft BitLocker Administration and Monitoring:
Служба администрирования MBAM
Служба восстановления и оборудования MBAM
Выберите каждое приложение и используйте компонент Редактор конфигураций, расположенный в разделе Управление представления Обзор компонента.
Выберите параметр configurationStrings в элементе управления списка раздела.
Выберите строку с именем (Коллекция) и откройте Редактор конфигураций, нажав кнопку справа от строки.
В Редакторе коллекций выберите строку с именем KeyRecoveryConnectionString при обновлении конфигурации приложения ‘MBAMAdministrationService’ или выберите строку с именем **Microsoft.Mbam.RecoveryAndHardwareDataStore.**ConnectionString при обновлении конфигурации ‘MBAMRecoveryAndHardwareService’.
Обновите значение Data Source= свойства configurationStrings, чтобы включить в список имя сервера и экземпляр, в который перемещена база данных восстановления и оборудования. Например, $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$.
Для автоматизации этой процедуры откройте Windows PowerShell на сервере администрирования и наблюдения и выполните команду следующего вида:
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="KeyRecoveryConnectionString"]' -PSPath "IIS:\sites\Microsoft BitLocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value “Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;”
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Mbam.RecoveryAndHardwareDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft BitLocker Administration and Monitoring\MBAMRecoveryAndHardwareService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;"
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в котором размещена база данных восстановления и оборудования.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в котором размещена база данных восстановления и оборудования.
Возобновление работы всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом из серверов, где запущен компонент администрирования и наблюдения MBAM, запустите веб-сайт MBAM с именем Microsoft BitLocker Administration and Monitoring с помощью консоли управления IIS.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”
Перемещение компонента базы данных состояния соответствия
Для перемещения компонента базы данных состояния соответствия MBAM с одного компьютера на другой (в частности, с сервера А на сервер В), используется следующая процедура:
Остановка всех экземпляров веб-сайта администрирования и наблюдения MBAM
Запуск установки MBAM на сервере B
Резервное копирование базы данных на сервере A
Перенос базы данных с сервера A на сервер B
Восстановление базы данных на сервере B
Настройка доступа к базе данных на сервере B
Обновление данных подключения к базе данных на серверах администрирования и наблюдения MBAM
Возобновление работы всех экземпляров веб-сайта администрирования и наблюдения MBAM
Остановка всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом из серверов, где запущен компонент администрирования и наблюдения MBAM, остановите веб-сайт MBAM с именем Microsoft BitLocker Administration and Monitoring с помощью консоли управления IIS.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”
Примечание
Для выполнения этой команды необходимо добавить модуль IIS для PowerShell в текущий экземпляр PowerShell. Кроме того, необходимо обновить политику выполнения PowerShell, чтобы включить выполнение сценариев.
Запуск установки MBAM на сервере B
Запустите установку MBAM на сервере B и выберите только установку компонента базы данных состояния соответствия.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal= ReportsDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$ COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNT=$DOMAIN$\$USERNAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в который будет перемещена база данных состояния соответствия.
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$ - введите доменные имена и имена всех серверов приложений и наблюдения MBAM, которые будут обращаться к базе данных состояния соответствия. Если имеется несколько доменных имен и имен серверов, разделите их в списке с помощью точки с запятой. Например, $ДОМЕН$\$ИМЯ_СЕРВЕРА$;$ДОМЕН$\$ИМЯ_СЕРВЕРА$$. После имени сервера должен быть указан знак $, например МойДомен\ИмяМоегоСервера1$. Например, МойДомен\ИмяМоегоСервера1$, МойДомен\ИмяМоегоСервера2$.
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ$ - введите доменное имя и имя пользователя, которое будет использоваться компонентом отчетов по соответствию и аудиту для подключения к базе данных состояния соответствия.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в который будет перемещена база данных состояния соответствия.
Резервное копирование базы данных соответствия на сервере A
Чтобы выполнить резервное копирование базы данных соответствия на сервере A, используйте SQL Server Management Studio и задачу с именем Создать резервную копию.... По умолчанию именем базы данных является База данных состояния соответствия MBAM.
Для автоматизации этой процедуры создайте файл SQL (.sql), содержащий следующий сценарий SQL:
-- Modify the MBAM Compliance Status Database to use the full recovery model.
USE master;
GO
ALTER DATABASE "MBAM Compliance Status"
SET RECOVERY FULL;
GO
-- Create MBAM Compliance Status Data logical backup devices.
USE master
GO
EXEC sp_addumpdevice 'disk', 'MBAM Compliance Status Database Data Device',
'Z: \MBAM Compliance Status Database Data.bak';
GO
-- Выполните резервное копирование всей базы данных восстановления и оборудования MBAM.
BACKUP DATABASE [MBAM Compliance Status] TO [MBAM Compliance Status Database Data Device];
GO
Запустите SQL-файл, используя SQL Server PowerShell, и выполните команду следующего вида:
PS C:\> Invoke-Sqlcmd -InputFile "Z:\BackupMBAMComplianceStatusDatabaseScript.sql" –ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, из которого будет создана резервная копия базы данных состояния соответствия.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, из которого будет создана резервная копия базы данных состояния соответствия.
Перенос базы данных с сервера A на сервер B
Перенесите следующие файлы с сервера А на сервер В с помощью проводника Windows:
- Data.bak базы данных состояния соответствия MBAM
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> Copy-Item “Z:\MBAM Compliance Status Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который будут копироваться файлы.
- $КОНЕЧНЫЙ_ОБЩИЙ_РЕСУРС$ - введите имя общего ресурса и путь для копирования файлов.
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который будут копироваться файлы.
Восстановление базы данных на сервере B
Восстановите базу данных состояния соответствия на сервере B, используя SQL Server Management Studio и задачу с именем Восстановить базу данных.
После выполнения задачи выберите файл резервной копии базы данных, используя параметр "С устройства", после чего с помощью команды "Добавить" выберите файл Data.bak базы данных состояния соответствия MBAM. Нажмите "OK", чтобы завершить процедуру восстановления.
Для автоматизации этой процедуры создайте файл SQL (.sql), содержащий следующий сценарий SQL:
-- Create MBAM Compliance Status Database Data logical backup devices.
Use master
GO
-- Восстановите файлы базы данных состояния соответствия MBAM.
RESTORE DATABASE [MBAM Compliance Status Database]
FROM DISK = 'C:\test\MBAM Compliance Status Database Data.bak'
WITH REPLACE
Запустите SQL-файл, используя SQL Server PowerShell, и выполните команду следующего вида:
PS C:\> Invoke-Sqlcmd -InputFile "Z:\RestoreMBAMComplianceStatusDatabaseScript.sql" -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в который будет восстановлена база данных состояния соответствия.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в который будет восстановлена база данных состояния соответствия.
Настройка доступа к базе данных на сервере B
На сервере B с помощью оснастки "Локальные пользователи и группы" в диспетчере сервера добавьте учетные записи компьютеров с каждого сервера, на котором функционирует компонент администрирования и наблюдения MBAM, в локальную группу с именем Доступ к базе данных состояния соответствия MBAM.
Для автоматизации этой процедуры откройте Windows PowerShell на сервере B и введите команду следующего вида:
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$REPORTSUSERNAME$ /add
Примечание
Замените значение из предыдущего примера значениями, соответствующими вашей среде:
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите доменное имя и имя сервера администрирования и наблюдения MBAM. После имени сервера должен быть указан знак$, например МойДомен\ИмяМоегоСервера1$.
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ_ОТЧЕТОВ$ - введите имя учетной записи пользователя, которая использовалась для настройки источника данных для отчетов по соответствию и аудиту.
Для каждого сервера администрирования и наблюдения, который будет осуществлять доступ к базе данных среды, необходимо выполнить команду, которая добавляет серверы в локальную группу "Доступ к базе данных аудита соответствия MBAM".
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите доменное имя и имя сервера администрирования и наблюдения MBAM. После имени сервера должен быть указан знак$, например МойДомен\ИмяМоегоСервера1$.
Обновление данных о подключении к базе данных на серверах администрирования и наблюдения MBAM
На каждом сервере, на котором функционирует компонент администрирования и наблюдения MBAM следует с помощью консоли диспетчера IIS обновите строку подключения для следующих приложений, размещенных на веб-сайте Microsoft BitLocker Administration and Monitoring:
MBAMAdministrationService
MBAMComplianceStatusService
Выберите каждое приложение и используйте компонент Редактор конфигураций, расположенный в разделе Управление представления Обзор компонента.
Выберите параметр configurationStrings в элементе управления списка раздела.
Выберите строку с именем (Коллекция) и откройте редактор коллекции, нажав кнопку справа от строки.
В Редакторе коллекций выберите строку с именем ComplianceStatusConnectionString при обновлении конфигурации приложения "MBAMAdministrationService" или выберите строку с именем Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString при обновлении конфигурации "MBAMComplianceStatusService".
Обновите значение Data Source= свойства configurationStrings, чтобы включить в список имя сервера и имя экземпляра. Например, $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL, в который перемещена база данных восстановления и оборудования.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида на каждом из серверов администрирования и наблюдения:
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="ComplianceStatusConnectionString"]' -PSPath "IIS:\sites\Microsoft BitLocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft BitLocker Administration and Monitoring\MBAMComplianceStatusService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и имя экземпляра, в котором размещена база данных восстановления и оборудования.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и имя экземпляра, в котором размещена база данных восстановления и оборудования.
Возобновление работы всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом из серверов, на котором запущен компонент MBAM Administration and Monitoring, используйте консоль диспетчера IIS для запуска веб-сайта MBAM, имеющего название Microsoft BitLocker Administration and Monitoring.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду, аналогичную следующей.
PS C:\> Начальный веб-сайт "Администрирование и наблюдение Microsoft BitLocker"
Перемещение отчетов по соответствию и аудиту
Для перемещения отчетов по соответствию и аудиту MBAM с одного компьютера на другой (в частности, для перемещения компонента с сервера А на сервер В), используется следующая процедура и операции:
Запуск установки MBAM на сервере B
Настройка доступа к отчетам по соответствию и аудиту на сервере В
Остановка всех экземпляров веб-сайта администрирования и наблюдения MBAM
Обновление данных подключения к базе данных на серверах администрирования и наблюдения MBAM
Возобновление работы всех экземпляров веб-сайта администрирования и наблюдения MBAM
Запуск установки MBAM на сервере B.
Запустите установку MBAM на сервере B и выберите только установку компонента соответствия и аудита.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=Reports COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNTPW=$PASSWORD$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в котором размещена база данных состояния соответствия.
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ$ - введите доменное имя и имя пользователя, которое будет использоваться компонентом отчетов по соответствию и аудиту для подключения к базе данных состояния соответствия.
- $ПАРОЛЬ$ - введите пароль учетной записи пользователя, которая будет использоваться для подключения к базе данных состояния соответствия.
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - введите имя сервера и экземпляр, в котором размещена база данных состояния соответствия.
Настройка доступа к отчетам по соответствию и аудиту на сервере В
На сервере B с помощью оснастки "Локальные пользователи и группы" в диспетчере сервера добавьте учетные записи пользователей, которые будут иметь доступ к отчетам по соответствию и аудиту. Добавьте учетные записи пользователей в локальную группу с именем "Пользователи отчетов MBAM".
Для автоматизации этой процедуры откройте Windows PowerShell на сервере B и введите команду следующего вида.
PS C:\> net localgroup "MBAM Report Users" $DOMAIN$\$REPORTSUSERNAME$ /add
Примечание
Замените значение из предыдущего примера значениями, соответствующими вашей среде:
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ_ОТЧЕТОВ$ - введите имя учетной записи пользователя, которая использовалась для настройки источника данных для отчетов по соответствию и аудиту.
Необходимо выполнить команду для добавления пользователей в локальную группу "Пользователи отчетов MBAM" для каждого из пользователей, которые будут осуществлять доступ к отчетам в вашей среде.
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ_ОТЧЕТОВ$ - введите имя учетной записи пользователя, которая использовалась для настройки источника данных для отчетов по соответствию и аудиту.
Остановка всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом из серверов, где запущен компонент администрирования и наблюдения MBAM, остановите веб-сайт MBAM с именем Microsoft BitLocker Administration and Monitoring с помощью консоли управления IIS.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”
Обновление данных о подключении к базе данных на серверах администрирования и наблюдения MBAM
На каждом из серверов, где запущен компонент администрирования и наблюдения MBAM, обновите URL-адрес отчетов по соответствию с помощью консоли управления IIS.
Выберите веб-сайт Microsoft BitLocker Administration and Monitoring и используйте компонент Редактор конфигурации в разделе Управление представления Обзор компонента.
Выберите параметр appSettings в элементе управления списка раздела.
Выберите здесь строку с именем (Коллекция) и откройте Редактор коллекции, нажав кнопку справа от строки.
В Редакторе коллекции выберите строку с именем "Microsoft.Mbam.Reports.Url".
Обновите значение Microsoft.Mbam.Reports.Url, включив имя сервера B. Если компонент отчетов по соответствию и аудиту установлен на именованном экземпляре служб отчетов SQL Reporting Services, обязательно добавьте или обновите имя экземпляра в URL-адресе. Например, http://$ИМЯ_СЕРВЕРА$/СерверОтчетов_$ИМЯ_ЭКЗЕМПЛЯРА_SQL$/Страницы....
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида на каждом из серверов администрирования и наблюдения:
PS C:\> Set-WebConfigurationProperty '/appSettings/add[@key="Microsoft.Mbam.Reports.Url"]' -PSPath "IIS:\sites\Microsoft BitLocker Administration and Monitoring" -Name "Value" -Value “http://$SERVERNAME$/ReportServer_$SRSINSTANCENAME$/Pages/ReportViewer.aspx?/Malta+Compliance+Reports/”
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который установлены отчеты по соответствию и аудиту.
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который установлен компонент отчетов по соответствию и аудиту.
- $ИМЯ_СЕРВЕРА$ - введите имя сервера, на который установлены отчеты по соответствию и аудиту.
Возобновление работы всех экземпляров веб-сайта администрирования и наблюдения MBAM
На каждом из серверов, где запущен компонент администрирования и наблюдения MBAM, запустите веб-сайт MBAM с именем Microsoft BitLocker Administration and Monitoring с помощью консоли управления IIS.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”
Примечание
Для выполнения этой команды необходимо добавить модуль IIS для PowerShell в текущий экземпляр PowerShell. Кроме того, необходимо обновить политику выполнения PowerShell, чтобы включить выполнение сценариев.
Перемещение компонента администрирования и наблюдения
Для перемещения компонента отчетов по администрированию и наблюдению MBAM с одного компьютера на другой (в частности, для перемещения компонента с сервера А на сервер В), используется следующая процедура и операции: Процедура включает следующие операции:
Запуск установки MBAM на сервере B
Настройка доступа к базе данных на сервере B
Запуск установки MBAM на сервере B.
Запустите установку MBAM на сервере B и выберите только установку компонента администрирования.
Для автоматизации этой процедуры откройте Windows PowerShell и введите команду следующего вида:
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=AdministrationMonitoringServer,HardwareCompatibility COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ SRS_REPORTSITEURL=$REPORTSSERVERURL$
Примечание
Замените следующие значения из примера выше теми значениями, которые соответствуют вашей среде:
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - для параметра COMPLIDB_SQLINSTANCE введите имя сервера и экземпляр, в котором размещена база данных состояния соответствия. Для параметра RECOVERYANDHWDB_SQLINSTANCE введите имя сервера и экземпляр, в котором размещена база данных восстановления и оборудования.
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ$ - введите доменное имя и имя пользователя, которое будет использоваться компонентом отчетов по соответствию и аудиту для подключения к базе данных состояния соответствия.
- $ URL_СЕРВЕРА_ОТЧЕТОВ$ - введите URL-адрес расположения домашней страницы веб-сайта служб отчетов SQL Reporting Service. Если отчеты установлены в экземпляр SRS по умолчанию, URL-адреса будет указан в следующем формате: "http:// $ИМЯ_СЕРВЕРА$/СерверОтчетов". Если отчеты установлены в экземпляр SRS по умолчанию, URL-адреса будет указан в следующем формате: "http://$ИМЯ_СЕРВЕРА$/СерверОтчетов_$ИМЯ_ЭКЗЕМПЛЯРА_SQL$".
- $ИМЯ_СЕРВЕРА$\$ИМЯ_ЭКЗЕМПЛЯРА_SQL$ - для параметра COMPLIDB_SQLINSTANCE введите имя сервера и экземпляр, в котором размещена база данных состояния соответствия. Для параметра RECOVERYANDHWDB_SQLINSTANCE введите имя сервера и экземпляр, в котором размещена база данных восстановления и оборудования.
Настройка доступа к базам данных
На сервере или серверах, где развернуты базы данных восстановления и оборудования и соответствия и аудита, с помощью оснастки "Локальные пользователи и группы" в диспетчере сервера добавьте учетные записи компьютеров с каждого сервера, на котором функционирует компонент администрирования и наблюдения MBAM, в локальную группу с именем "Доступ к базе данных восстановления и оборудования MBAM" (сервер базы данных восстановления и оборудования) и "Доступ к базе данных состояния соответствия MBAM" (сервер базы данных соответствия и аудита).
Для автоматизации этой процедуры откройте Windows PowerShell на сервере, где выполнено развертывание баз данных соответствия и аудита, и введите команду следующего вида:
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$REPORTSUSERNAME$ /add
На сервере, где выполнено развертывание баз данных восстановления и оборудования, откройте Windows PowerShell и выполните команду следующего вида.
PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add
Примечание
Замените значение из предыдущего примера значениями, соответствующими вашей среде:
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите доменное имя и имя сервера администрирования и наблюдения MBAM. Кроме того, после имени сервера должен быть указан знак $. Например, МойДомен\ИмяМоегоСервера1$)
- $ДОМЕН$\$ИМЯ_ПОЛЬЗОВАТЕЛЯ_ОТЧЕТОВ$ - введите имя учетной записи пользователя, которая использовалась для настройки источника данных для отчетов по соответствию и аудиту.
Команды, указанные для добавления учетных записей сервера в локальные группы MBAM, должны быть выполнены для каждого из серверов администрирования и наблюдения, которые будут осуществлять доступ к базам данных в вашей среде.
- $ДОМЕН$\$ИМЯ_СЕРВЕРА$$ - введите доменное имя и имя сервера администрирования и наблюдения MBAM. Кроме того, после имени сервера должен быть указан знак $. Например, МойДомен\ИмяМоегоСервера1$)
См. также
Другие ресурсы
Администрирование компонентов MBAM 1.0
-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----