MBAM 2.5 SP1 的发行说明

  • 项目

在安装 Microsoft BitLocker 管理和监视 (MBAM) 2.5 SP1 之前,请仔细阅读这些发行说明。 这些发行说明包含成功安装 MBAM 所需的信息,并且可以包含产品文档中未提供的信息。 如果这些发行说明与其他 MBAM 2.5 SP1 文档不同,请考虑最新的更改具有权威性。 这些发行说明取代了此产品中包含的内容。

MBAM 2.5 SP1 已知问题

本部分包含 MBAM 2.5 SP1 的发行说明。

如果用户没有足够的权限,则 PowerShell Read-AD* cmdlet 不提供反馈

如果尝试为 MBAM 服务器使用 PowerShell Read-AD* cmdlet 的用户无权读取 Active Directory 恢复信息或读取 TPM 信息,则 cmdlet 不会向用户提供任何错误或警告。

解决 方案: 仅当你具有所需的用户权限时,才使用 PowerShell Read-AD* cmdlet。

MBAM Active Directory (AD) 迁移 cmdlet 不会检索卷恢复信息

MBAM Active Directory (AD) 迁移 cmdlet 无法检索组织单位中计算机的卷恢复信息, (OU) 如果正斜杠字符 (/) 是 OU 名称的一部分。 遇到此错误时,重复的 AD 拉取将失败并出现管道终止错误。

技术详细信息: 运行 命令时,会看到此错误:

Read-ADRecoveryInformation : Unknown error (0x80005000)
At line:1 char:1
+ Read-ADRecoveryInformation -Server "…" -SearchBase " ...
+ ~~
    + CategoryInfo          : NotSpecified: (:) [Read-ADRecoveryInformation], COMException
    + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADRecoveryInformationCommand

此外,异常堆栈跟踪 Error[0].Exception.StackTrace 如下所示:

   at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
   at System.DirectoryServices.DirectoryEntry.Bind()
   at System.DirectoryServices.DirectoryEntry.get_AdsObject()
   at System.DirectoryServices.PropertyValueCollection.PopulateList()
   at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
   at System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
   at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.VerifySettingsConnectivity()
   at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.ExecuteRead()
   at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADInformationBase.ProcessRecord()
   at System.Management.Automation.CommandProcessor.ProcessRecord()

解决 方案: 执行以下任务之一来解决此问题:

  • 重命名 OU 以删除正斜杠字符,然后运行脚本。

  • 若要从备份过程中排除任何有问题的 OU,请查找名称不包含正斜杠字符的 OU 列表。 在这些 OU 上运行脚本,一次一个 OU。

如果在平板电脑设备上设置 TPM + PIN 保护程序,MBAM 无法加密卷并报告错误

如果最终用户尝试在平板电脑设备上设置 TPM + PIN 保护程序,MBAM 无法加密,并报告错误。 出现此问题的原因是平板电脑设备没有预启动环境键盘。

解决 方案:启用“启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证组策略设置。 此设置是 BitLocker 组策略设置,在 MBAM 组策略模板中不可用。

所有服务帐户都需要用户主体名称

必须为 MBAM 中的所有服务帐户设置用户主体名称 (UPN) 。 如果无法为帐户创建 UPN,配置过程中会显示一条错误消息,指示无法在 Active Directory 中找到用户或组。

解决 方案: 将 UPN 添加到服务帐户。

Self-Service 门户和管理和监视网站在将 IIS 升级到 .NET Framework 4.5 后无法打开

将 Internet Information Services (IIS) 升级到 Microsoft .NET Framework 4.5 时,Self-Service 门户和管理与监视网站不会打开。

解决 方案:请参阅安装 .NET Framework 4.0 后的错误消息一文:“无法加载类型'System.ServiceModel.Activation.HttpModule'

未配置报表时,管理和监视网站显示“找不到报告”错误消息

如果配置了“管理和监视”网站,然后尝试在不先配置“报表”功能的情况下查看报表,则会显示一条错误消息,指示找不到报表。

解决 方案: 在配置 Web 应用程序之前配置“报表”功能。

如果未在 SSRS 中配置 SSL,则管理和监视网站中的报表会显示警告

如果SQL Server Reporting Services (SSRS) 未配置为使用安全套接字层 (SSL) ,则配置 MBAM 服务器时,报表功能的 URL 将设置为 HTTP 而不是 HTTPS。 如果随后打开“管理和监视”网站并选择报表,将显示以下错误消息:“仅显示安全内容。

解决 方案: 若要显示报表,请选择“ 显示所有内容”。 若要更正此问题,请转到安装了 SQL Server Reporting Services 的 MBAM 计算机,运行 Reporting Services Configuration Manager,然后选择“Web 服务 URL”。 为服务器选择适当的 SSL 证书,输入相应的 SSL 端口 (默认端口为 443) ,然后选择“ 应用”。

单击 BitLocker 符合性摘要报告中的“后退”可能会引发错误

如果向下钻取到 BitLocker 符合性摘要报表,然后在 SSRS 报告中选择 “后退” 链接,可能会引发错误。

解决 方案: 没有。

BitLocker 计算机符合性报告上未正确显示密码强度

如果未在“选择驱动器加密方法和加密强度组策略对象”中设置特定的密码强度,则 Configuration Manager集成拓扑中的 BitLocker 计算机符合性报告始终显示密码强度的“未知”,即使密码强度使用默认的 128 位加密也是如此。 如果在 组策略 对象中设置了特定的密码强度,则报告会显示正确的密码强度。

解决 方案:始终在“选择驱动器加密方法和加密强度组策略对象”中设置特定的密码强度。

更新配置项目后,按驱动器类型显示的符合性状态分布显示旧数据

更新 System Center 2012 Configuration Manager 中的 MBAM 配置项目后,BitLocker 企业合规性仪表板上的“合规性状态分布按驱动器类型”条形图显示基于旧版配置项目的信息的数据。

解决 方案: 没有。 不支持修改 MBAM 配置项,并且报告可能未按预期显示。

增强的安全配置可能会导致报表错误地显示错误消息

如果启用了 Internet Explorer 增强的安全配置 (ESC) ,则当你尝试在 MBAM 服务器上查看报表时,可能会显示“拒绝访问”错误消息。 默认情况下,ESC 处于打开状态,以通过减少服务器受到可能通过 Web 内容和应用程序脚本发生的潜在攻击的风险,从而保护服务器。

解决 方案:如果尝试在 MBAM 服务器上查看报表时出现“拒绝访问”错误消息,则可以设置组策略对象,或手动更改映像中的默认值以禁用增强的安全性配置。 或者,还可以查看未启用 ESC 的其他计算机上的报表。

支持 BitLocker XTS-AES 加密算法

BitLocker 在 Windows 10 版本 1511 中添加了对 XTS-AES 加密算法的支持。 通过 HF02,MBAM 添加了对此 BitLocker 选项的客户端支持,在 HF04 中,添加了服务器端支持。 但是,存在一个已知限制:

  • 客户必须对同一计算机上的 OS 和数据卷使用相同的加密强度。 如果使用不同的加密强度,MBAM 会将计算机报告为 不符合

Self-Service 门户自动在密钥 ID 条目上添加“-”

从 HF02 起,MBAM Self-Service 门户会自动在密钥 ID 条目上添加“-”。
注意: 必须重新配置服务器才能使 JavaScript 生效。

MBAM 2.5 SP1 报表无法正常工作/呈现

当 SSRS 托管在 SQL Server 2016 版本时,报表页无法正确呈现。 例如 - 浏览到支持人员 - 单击报表 - (突出显示部分具有 x) 使用 Fiddler 进一步挖掘此内容 - 它看起来就像我们在“报表”上选择一样 - 它调用具有 HTML 4.0 呈现格式的 SSRS 页面。

解决 方案: 查看 site.master 代码,发现 X-UA 模式被指定为 IE8。 由于 IE8 已过生命周期,客户正在使用 IE11。 将设置更新为以下代码。 这允许网站利用 IE11 呈现技术。

<meta http-equiv="X-UA-Compatible" content="IE=Edge" />

原始设置为:

<meta http-equiv="X-UA-Compatible" content="IE=8" />

这就是为什么在其他浏览器(如 Chrome、Firefox 等)中看不到此问题的原因。

关于 MBAM 2.5