设置 BitLocker 门户

适用于: Configuration Manager(current branch)

若要在 Configuration Manager 中使用以下 BitLocker 管理组件,首先需要安装它们:

  • 用户自助服务门户
  • 管理和监视网站 (支持门户)

可以在安装了 IIS 的现有站点服务器或站点系统服务器上安装门户,也可以使用独立的 Web 服务器来托管门户。

注意

从版本 2006 开始,可以在管理中心站点上安装 BitLocker 自助服务门户以及管理和监视网站。

在版本 2002 及更早版本中,仅安装自助服务门户以及具有主站点数据库的管理和监视网站。 在层次结构中,为每个主站点安装这些网站。

在开始之前,请确认这些组件的 先决条件

运行脚本

在目标 Web 服务器上执行以下操作:

注意

根据网站设计,可能需要多次运行脚本。 例如,在管理点上运行脚本以安装管理和监视网站。 然后在独立 Web 服务器上再次运行它,以安装自助服务门户。

  1. 将以下文件从 SMSSETUP\BIN\X64 站点服务器上的 Configuration Manager 安装文件夹中复制到目标服务器上的本地文件夹:

    • MBAMWebSite.cab
    • MBAMWebSiteInstaller.ps1
  2. 以管理员身份运行 PowerShell,然后运行类似于以下命令行的脚本:

    .\MBAMWebSiteInstaller.ps1 -SqlServerName <ServerName> -SqlInstanceName <InstanceName> -SqlDatabaseName <DatabaseName> -ReportWebServiceUrl <ReportWebServiceUrl> -HelpdeskUsersGroupName <DomainUserGroup> -HelpdeskAdminsGroupName <DomainUserGroup> -MbamReportUsersGroupName <DomainUserGroup> -SiteInstall Both
    

    例如,

    .\MBAMWebSiteInstaller.ps1 -SqlServerName sql.contoso.com -SqlInstanceName instance1 -SqlDatabaseName CM_ABC -ReportWebServiceUrl https://rsp.contoso.com/ReportServer -HelpdeskUsersGroupName "contoso\BitLocker help desk users" -HelpdeskAdminsGroupName "contoso\BitLocker help desk admins" -MbamReportUsersGroupName "contoso\BitLocker report users" -SiteInstall Both
    

    重要

    此示例命令行使用所有可能的参数来显示其用法。 根据环境中的要求调整使用。

安装后,通过以下 URL 访问门户:

  • 自助服务门户: https://webserver.contoso.com/SelfService
  • 管理和监视网站: https://webserver.contoso.com/HelpDesk

注意

Microsoft建议使用 HTTPS,但不需要使用 HTTPS。 有关详细信息,请参阅 如何在 IIS 上设置 SSL

脚本用法

此过程使用 PowerShell 脚本(MBAMWebSiteInstaller.ps1)在 Web 服务器上安装这些组件。 它接受以下参数:

  • -SqlServerName <ServerName> (必需) :主站点数据库服务器的完全限定域名。

  • -SqlInstanceName <InstanceName>:主站点数据库的 SQL Server 实例名称。 如果 SQL Server 使用默认实例,则不要包含此参数。

  • -SqlDatabaseName <DatabaseName> (必需) :主站点数据库的名称,例如 CM_ABC

  • -ReportWebServiceUrl <ReportWebServiceUrl>:主站点的报告服务点的 Web 服务 URL。 它是 Reporting Services Configuration Manager 中的 Web 服务 URL 值。

    注意

    此参数用于安装从管理和监视网站链接的 恢复审核报告 。 默认情况下,Configuration Manager 包括其他 BitLocker 管理报表。

  • -HelpdeskUsersGroupName <DomainUserGroup>:例如 contoso\BitLocker help desk users。 域用户组,其成员有权访问管理和监视网站的 “管理 TPM ”和 “驱动器恢复 ”区域。 使用这些选项时,此角色需要填写所有字段,包括用户的域和帐户名称。

  • -HelpdeskAdminsGroupName <DomainUserGroup>:例如 contoso\BitLocker help desk admins。 域用户组,其成员有权访问管理和监视网站的所有恢复区域。 帮助用户恢复其驱动器时,此角色只需输入恢复密钥。

  • -MbamReportUsersGroupName <DomainUserGroup>:例如 contoso\BitLocker report users。 域用户组,其成员对管理和监视网站的 “报表” 区域具有只读访问权限。

    注意

    安装程序脚本不会创建在 -HelpdeskUsersGroupName-HelpdeskAdminsGroupName-MbamReportUsersGroupName 参数中指定的域用户组。 在运行脚本之前,请确保创建这些组。

    指定 -HelpdeskUsersGroupName-HelpdeskAdminsGroupName-MbamReportUsersGroupName 参数时,请确保同时指定域名和组名称。 使用格式 "domain\user_group"。 不要排除域名。 如果域名或组名称包含空格或特殊字符,请将参数括在引号 (") 。

  • -SiteInstall Both:指定要安装的组件。 有效选项包括:

    • Both:安装这两个组件
    • HelpDesk:仅安装管理和监视网站
    • SSP:仅安装自助服务门户
  • -IISWebSite:脚本安装 MBAM Web 应用程序的网站。 默认情况下,它使用 IIS 默认网站。 使用此参数之前创建自定义网站。

  • -InstallDirectory:脚本安装 Web 应用程序文件的路径。 默认情况下,此路径为 C:\inetpub。 使用此参数之前,请创建自定义目录。

  • -DomainName 适用于版本 2002 及更高版本:使用技术支持或自助 Web 门户角色指定服务器的 NetBIOS 域名。 仅当 NetBIOS 域名与 DNS 域名不匹配时才是必需的。 此配置也称为不连续的域命名空间。 例如, -DomainName fabrikham 其中 DNS 域名为 contoso.com

  • -Uninstall:卸载之前已安装的 Web 服务器上的 BitLocker Management 技术支持/自助服务 Web 门户网站。

验证

使用以下日志进行监视和故障排除:

  • Microsoft-Windows-MBAM-Web 下的 Windows 事件日志。 有关详细信息,请参阅 关于 BitLocker 事件日志服务器事件日志

  • 每个组件的跟踪日志位于以下默认位置:

    • 自助服务门户: C:\inetpub\Microsoft BitLocker Management Solution\Logs\Self Service Website

    • 管理和监视网站: C:\inetpub\Microsoft BitLocker Management Solution\Logs\Help Desk Website

有关故障排除的详细信息,请参阅 BitLocker 疑难解答

后续步骤

自定义自助服务门户

有关使用已安装的组件的详细信息,请参阅以下文章: