本文介绍如何排查独立配置中Microsoft BitLocker 管理和监视 (MBAM) 2.5 安装问题。
参考 MBAM 日志文件进行故障排除
MBAM 包括服务器安装、客户端安装和事件的日志记录。 应引用此日志记录进行故障排除。
MBAM 服务器安装日志文件
MBAMServerSetup.exe 在 MBAM 安装期间在用户的 %temp% 文件夹中生成以下日志文件:
Microsoft_BitLocker_Administration_and_Monitoring_<14 numbers>.log
MBAMServerSetup.exe 记录在 MBAM 设置和 MBAM 服务器功能安装期间执行的操作:
Microsoft_BitLocker_Administration_and_Monitoring_<14_numbers>_0_MBAMServer.msi.log
MBAMServerSetup.exe 记录在安装过程中执行的其他操作。
MBAM 客户端安装日志文件
客户端安装记录在 %temp% 文件夹或自定义位置的以下日志文件中,具体取决于客户端的安装方式:
MSI<five random characters>.log
此日志包含 MBAM 客户端安装期间执行的操作。
MBAM 客户端事件日志记录通道
MBAM 具有单独的事件日志记录通道。 管理员、分析和操作日志文件位于 事件查看器 的“应用程序和服务日志>”下,>MicrosoftWindows>MBAM。
下表提供了每个事件日志的简要说明。
| 事件日志 | 描述 |
|---|---|
| Microsoft-Windows-MBAM/管理员 | 包含错误消息 |
| Microsoft-Windows-MBAM/Analytic | 包含高级日志记录信息 |
| Microsoft-Windows-MBAM/Operational | 包含成功消息 |
MBAM 服务器事件日志记录通道
日志文件位于 事件查看器 的“应用程序和服务日志>”下,Microsoft>Windows>MBAM。 下表包含 MBAM 2.5 中引入的服务器事件日志:
| 事件日志 | 描述 |
|---|---|
| Microsoft-Windows-MBAM/管理员 | 包含错误消息 |
| Microsoft-Windows-MBAM/Analytic | 包含高级日志记录信息 |
| Microsoft-Windows-MBAM/Operational | 包含成功消息 |
MBAM Web 服务日志
每个 MBAM Web 服务日志将日志记录信息写入 SVCLOG 文件。 默认情况下,每个 Web 服务都将跟踪文件写入到文件夹中使用其名称的文件夹下 C:\inetpub\Microsoft BitLocker Management Solution\Logs 。
可以使用Microsoft Visual Studio) (部分的服务跟踪查看器工具来查看 svclog 跟踪。
排查加密和报告问题
本部分包含服务器功能、客户端功能、配置设置和已知问题的故障排除信息:
MBAM 客户端安装、组策略设置
确定是否在客户端计算机上安装 MBAM 代理。 安装 MBAM 后,它会创建名为 BitLocker 管理客户端服务的服务。 此服务配置为自动启动。 确定服务是否正在运行。
请确保在客户端计算机上应用 MBAM 组策略设置。 如果在客户端计算机上应用了组策略设置,则会创建以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
验证此密钥是否存在,并且是否使用每个组策略设置的值进行填充。
初始延迟期内的 MBAM 代理
MBAM 客户端不会在安装后立即启动操作。 在 MBAM 代理开始操作之前,初始随机延迟为 1-18 分钟。 除了初始延迟之外,还有至少 90 分钟的延迟。 (延迟取决于为检查客户端状态的频率配置的组策略设置。) 因此,客户端开始操作之前的总延迟是 随机启动延迟 + 客户端检查频率延迟。
如果操作和管理员事件日志为空,则客户端尚未启动操作,并且处于前面提到的延迟期。 如果要绕过延迟,请执行以下步骤:
停止 BitLocker Management 客户端服务。
在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM注册表子项下,创建NoStartupDelay注册表值,将其类型设置为 REG_DWORD,然后将其值设置为1。在 下
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement,将ClientWakeupFrequency和StatusReportingFrequency值设置为1。 在计算机上更新组策略后,这些值还原其原始设置。启动 BitLocker Management 客户端服务服务。
服务启动后,如果在计算机上本地登录且没有错误,则应在一分钟内收到加密计算机的请求。 如果未收到请求,则应查看 MBAM 管理员日志中是否有任何错误条目。
计算机没有 TPM 设备,或者 BIOS 中未启用 TPM 设备
查看 MBAM 管理员事件日志。 你将在 MBAM 管理员事件日志中看到类似于以下内容的事件条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 12:31:10 PM
Event ID: 9
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
The TPM hardware is missing.
TPM is needed to encrypt the operating system drive with any TPM protector.
打开 TPM 管理 (tpm.msc) ,检查计算机是否具有 TPM 设备。 如果 tpm.msc 未显示设备,请打开设备管理器 (devmgmt.msc) ,并在“安全设备”下检查受信任的平台模块。 如果未看到受信任的平台模块设备,可能是由于以下原因之一:
系统没有受信任的平台模块 (TPM/安全性) 设备。
在 BIOS 中禁用 TPM 设备。
在 BIOS 中启用了 TPM 设备,但在 BIOS 中禁用从操作系统设置管理 TPM 设备。
你未对 TPM 设备使用Microsoft驱动程序。 若要标识Microsoft TPM 设备驱动程序,请查看设备管理器中的设备。
如果 TPM 设备未使用该 C:\Windows\System32\tpm.sys 驱动程序,则应通过选择 C:\Windows\Inf\tpm.inf 文件来更新驱动程序。
计算机没有有效的系统分区
查看 MBAM 管理员事件日志。 你将在 MBAM 管理员事件日志中看到类似于以下内容的事件条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:37 AM
Event ID: 8
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: BITTESTVM.xtremelabs.com
Description:
The system volume is missing.
SystemVolume is needed to encrypt the operating system drive.
BitLocker 需要系统分区才能在 Windows 7 中启用加密 (BitLocker 驱动器加密: 常见问题) 。
MBAM 不会自动创建系统分区。 可以使用 BitLocker 驱动器准备实用工具 (bdehdcfg.exe) 创建系统分区并移动所需的启动文件。
例如,在部署 MBAM 以加密驱动器之前,可以使用 命令 %windir%\system32\bdeHdCfg.exe -target default -size 300 -quiet 以静默方式准备驱动器。 此命令需要重启。 如有必要,还可以编写操作脚本。 以下文档介绍了 BitLocker 驱动器准备工具:
驱动器的格式未设置为具有兼容的文件系统
有关详细信息,请参阅 Windows 7 中的 BitLocker 驱动器加密:常见问题。
组策略冲突
你将在 MBAM 管理员事件日志中看到类似于以下内容的事件条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 7/25/2013 9:27:58 PM
Event ID: 22
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Detected Fixed Data Drive volume encryption policies conflict.
Check BitLocker and MBAM policies related to FDD drive protectors.
验证组策略设置,确保 MBAM 组策略设置之间没有冲突的设置。
应使用 MDOP MBAM 模板而不是 BitLocker 驱动器加密模板来配置组策略。
例如,在“操作系统驱动器加密设置”下,选择了“TPM”作为保护程序,并且还选择了“ 允许增强型 PIN 启动”。 这些设置存在冲突,因为仅限 TPM 的保护不需要 PIN。 因此,应禁用增强型 PIN 设置。
用户可能有豁免
如果启用了计算机配置\管理模板\Windows 组件\MDOP MBAM (BitLocker Management) \客户端管理\配置用户豁免策略组策略设置,则为用户提供请求豁免的选项。
默认情况下,如果用户请求豁免,则豁免的有效期为 7 天,并且在此期间用户不会收到加密提示。 可以在策略配置期间增加或减少默认值。 豁免期结束后,系统会提示用户加密。
当计算机处于用户豁免之下时,你将在 MBAM 管理员事件日志中看到以下条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 3:06:40 PM
Event ID: 13
Task Category: None
Level: Warning
Keywords:
User: SYSTEM
Computer: MBAMCLIENT.contoso.com
Description:
The user is exempt from encryption.
如果要手动替代计算机的用户豁免,请执行以下步骤:
在以下注册表子项下,将 AllowUserExemption 值设置为 0 :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement删除以下注册表子项下的所有注册表值,但 、
EncodedComputerName和Installed除外AgentVersion:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM注意
要使更改生效,请重启 MBAM 代理。
将组策略应用到计算机后,这些值可能会还原其原始设置。
WMI 问题
MBAM 使用 类的方法 Win32_EncryptableVolume 来管理 BitLocker。 如果此模块未注册或损坏,则 MBAM 客户端无法正常运行,可以在 MBAM 管理员事件日志中看到以下事件条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 7/27/2013 11:18:51 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: BITTEST.xtremelabs.com
Description:
An error occurred while sending encryption status data.
Error code:
0x80041016
Details:
NULL
此外,你可能会注意到恢复和硬件策略不适用,错误代码 0x8007007e为:“找不到指定的模块。
若要解决此问题,应使用以下命令重新注册 Win32_EncryptableVolume 类:
mofcomp c:\Windows\System32\wbem\win32_encryptablevolume.mof
排查 MBAM 代理通信问题
本部分包含与 MBAM 代理通信相关的以下问题的故障排除信息:
MBAM 服务 URL 不正确
如果 MBAM 符合性状态服务或恢复和硬件服务的值不正确,则会在客户端计算机上的 MBAM 管理员事件日志中看到类似于以下内容的事件条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:36 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:33 PM
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:20:32 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:20:32 PM
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.
验证客户端计算机上以下注册表子项下的 和 StatusReportingServiceEndpoint 的值KeyRecoveryServiceEndPoint:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
默认情况下, (MBAM 恢复和硬件服务终结点) 的 URL KeyRecoveryServiceEndPoint 采用以下格式:
https://<servername>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc
默认情况下, (MBAM 状态报告服务终结点) 的 URL StatusReportingServiceEndpoint 采用以下格式:
https://<servername>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
注意
URL 中不应有任何空格。
如果服务 URL 不正确,请在以下组策略设置中更正它:
计算机配置>政策>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >客户端管理>配置 MBAM 服务
影响 MBAM 管理服务器的连接性问题
如果客户端代理与 MBAM 管理服务器之间存在连接问题,则 MBAM 代理无法将任何更新发布到数据库。 在这种情况下,你会注意到客户端计算机上的 MBAM 管理员事件日志中的连接失败条目:
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 29-04-2014 18:21:22
Event ID: 2
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 29-04-2014 23:06:48
Event ID: 2
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0006
Details:
The operation did not complete within the time allotted.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 02-09-2013 02:02:04
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.
基本检查:
通过按名称和 IP 对 MBAM 管理服务器执行 ping 操作来验证基本连接。 检查是否可以使用 telnet 或 portqry 连接到 MBAM 管理网站或服务端口。
验证 IIS 服务是否在 MBAM 管理和监视服务器上运行,以及 MBAM Web 服务是否侦听 MBAM 客户端计算机上配置的同一端口, (
netstat -ano | find "portnumber") 。验证为 MBAM 网站配置的端口号是否使用 IIS 管理器 (inetmgr) 。 确保端口号与客户端侦听的端口号相同。 确保端口号不由另一个应用程序共享。 例如,服务器上的另一个应用程序不应使用相同的端口。
如果有防火墙,请确保端口在防火墙或代理服务器中处于打开状态。
如果客户端和服务器之间的通信是安全的,请确保使用有效的 SSL 证书。
验证 Web 服务器与要向其发送数据以供插入的数据库服务器之间的网络连接。 可以使用 ODBC 数据源管理员检查从 Web 服务器到数据库服务器的数据库连接。
排查连接问题
确保客户端上配置的服务 URL 正确。 从注册表复制 (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) 的 URL KeyRecoveryServiceEndPoint 值,并在 Internet Explorer 中打开它。
同样,复制 (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) 的 URL StatusReportingServiceEndpoint 值,并在 Internet Explorer 中打开它。
注意
如果无法从客户端计算机浏览到 URL,则应测试从客户端到运行 IIS 的服务器的基本网络连接。 请参阅上一部分中的第 1、2、3 和 4 点。
此外,请查看管理和监视服务器上的应用程序日志,了解是否存在任何错误。
可以在客户端和服务器之间进行并发网络跟踪,并查看跟踪以确定客户端代理与 MBAM 管理服务器之间连接失败的原因。
注意
如果可以从客户端计算机浏览到服务 URL,并且 MBAM 管理事件日志中存在连接错误条目,则可能是因为管理服务器和数据库服务器之间的连接失败。
如果可以成功浏览到这两个服务 URL,并且客户端和正在运行的服务器之间存在连接,则 IIS 将正常工作。 但是,运行 IIS 的服务器与数据库服务器之间的通信可能存在问题。
由于网络问题或数据库连接字符串设置不正确,MBAM 服务可能无法连接到数据库服务器。 查看管理和监视服务器上的应用程序日志。 你可能会看到来自源 ASP.NET 2.0.50727.0 的错误条目或警告,类似于以下日志条目:
Log Name: Application
Source: ASP.NET 2.0.50727.0
Date: 7/11/2013 6:16:34 PM
Event ID: 1310
Task Category: Web Event
Level: Warning
Keywords: Classic
User: N/A
Computer: MBAM2-Admin.contoso.com
Description:
Event code: 100001
Event message: SQL error occurred
Event time: 7/11/2013 6:16:34 PM
Event time (UTC): 7/11/2013 12:46:34 PM
Event ID: 6615fb8eb9d54e778b933d5bb7ca91ed
Event sequence: 2
Event occurrence: 1
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/2/ROOT/MBAMAdministrationService-1-130180202570338699
Trust level: Full
Application Virtual Path: /MBAMAdministrationService
Application Path: C:\inetpub\Microsoft BitLocker Management Solution\Administration Service\
Machine name: MBAM2-ADMIN
Process information:
Process ID: 1940
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Exception information:
Exception type: SqlException
Exception message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
Request information:
Request URL:
Request path:
User host address:
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Thread information:
Thread ID: 7
Thread account name: NT AUTHORITY\NETWORK SERVICE
Is impersonating: False
Stack trace: at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj)
at System.Data.SqlClient.TdsParser.Connect(ServerInfo serverInfo, SqlInternalConnectionTds connHandler, Boolean ignoreSniOpenTimeout, Int64 timerExpire, Boolean encrypt, Boolean trustServerCert, Boolean integratedSecurity, SqlConnection owningObject)
at System.Data.SqlClient.SqlInternalConnectionTds.AttemptOneLogin(ServerInfo serverInfo, String newPassword, Boolean ignoreSniOpenTimeout, Int64 timerExpire, SqlConnection owningObject)
at System.Data.SqlClient.SqlInternalConnectionTds.LoginNoFailover(String host, String newPassword, Boolean redirectedUserInstance, SqlConnection owningObject, SqlConnectionString connectionOptions, Int64 timerStart)
at System.Data.SqlClient.SqlInternalConnectionTds.OpenLoginEnlist(SqlConnection owningObject, SqlConnectionString connectionOptions, String newPassword, Boolean redirectedUserInstance)
at System.Data.SqlClient.SqlInternalConnectionTds..ctor(DbConnectionPoolIdentity identity, SqlConnectionString connectionOptions, Object providerInfo, String newPassword, SqlConnection owningObject, Boolean redirectedUserInstance)
at System.Data.SqlClient.SqlConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionFactory.CreatePooledConnection(DbConnection owningConnection, DbConnectionPool pool, DbConnectionOptions options)
at System.Data.ProviderBase.DbConnectionPool.CreateObject(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionPool.UserCreateRequest(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionPool.GetConnection(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
at System.Data.SqlClient.SqlConnection.Open()
at System.Data.Linq.SqlClient.SqlConnectionManager.UseConnection(IConnectionUser user)
at System.Data.Linq.SqlClient.SqlProvider.get_IsSqlCe()
at System.Data.Linq.SqlClient.SqlProvider.InitializeProviderMode()
at System.Data.Linq.SqlClient.SqlProvider.System.Data.Linq.Provider.IProvider.Execute(Expression query)
at System.Data.Linq.DataContext.ExecuteMethodCall(Object instance, MethodInfo methodInfo, Object[] parameters)
at Microsoft.Mbam.Server.ServiceCommon.KeyRecoveryModelDataContext.GetRecoveryKeyIds(String partialRecoveryKeyId, String reason)
at Microsoft.Mbam.ApplicationSupportService.AdministrationService.GetRecoveryKeyIds(String partialRecoveryKeyId, String reasonCode)
Custom event details:
Application: MBAMAdministrationService
Sql Server:
Database: MBAM Recovery and Hardware
Database: MBAM Compliance Status
Sql ErrorCode: 5
Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
可能的原因
原因 1
在安装管理和监视服务器组件期间,管理员可能指定了无效的数据库实例名称/数据库名称。
可以使用 IIS 管理控制台验证和更正数据库连接字符串。 为此,请打开 IIS 管理器,并浏览到 Microsoft BitLocker 管理和监视。 对于左侧列出的每个服务,请按照以下步骤更改数据库连接字符串:
在 “功能视图”中,双击“ 连接字符串”。
在“连接字符串”页上,选择要更改连接字符串。
在 “操作 ”窗格中,选择“ 编辑”。
在 “编辑连接字符串 ”对话框中,更改要更改的属性,然后选择“ 确定”。
原因 2
SQL Server端口在防火墙中被阻止。 验证SQL Server配置为侦听的端口号,并确保端口在管理服务器和数据库服务器之间的防火墙中处于打开状态。
原因 3
SQL Server TCP/IP 绑定不正确。 验证数据库服务器上SQL Server 配置管理器中的 SQL TCP/IP 绑定。 MBAM 要求启用 TCP/IP 和命名管道协议才能连接到数据库。
原因 4
NT Authority\Network Service 帐户或 MBAM 管理服务器的计算机帐户没有连接到 SQL 数据库所需的权限。
在数据库服务器上安装数据库组件期间,安装程序会创建两个本地组:MBAM 合规性审核数据库访问和 MBAM 恢复和硬件数据库访问。
NT Authority\Network Service 帐户、MBAM 管理服务器的计算机帐户和安装数据库组件的用户会自动添加到这些组。
在安装期间,这些组将被授予对数据库所需的权限。 属于此组的所有用户都会自动获得数据库所需的权限。
如果满足以下一个或多个条件,则 Web 服务可能由于权限问题而无法连接到数据库服务器:
前面提到的组将从数据库服务器上的本地组中删除。
NT Authority\Network Service 帐户和 MBAM 管理服务器的计算机帐户不是这些组的成员。
这些组对数据库没有所需的权限。
如果上述任何条件为 true,则会注意到 MBAM 管理和监视服务器上的应用程序日志中与权限相关的错误。 在这种情况下,应手动添加 NT Authority\网络服务帐户和 MBAM 管理服务器的计算机帐户,并在使用 SQL Server Management Studio 的 SQL 数据库服务器上向其授予服务器范围的公共角色。 有关详细信息,请参阅 创建登录名。
查看 Web 服务日志
如果 MBAM 管理服务器上的应用程序日志中未记录任何事件,则是时候查看在 MBAM 管理和监视服务器上托管的 MBAM Web 服务的 web 服务日志 (.svclog) 。 若要查看日志文件,请使用 服务跟踪查看器工具 (SvcTraceViewer.exe) 。
应主要调查 和 ComplianceStatusService的服务RecoveryandHardwareService跟踪日志。 默认情况下,Web 服务日志位于 C:\inetpub\Microsoft BitLocker Management Solution\Logs 文件夹中。 每个服务在其自己的文件夹下写入其 .svclog 文件。
查看服务跟踪日志中的活动是否有任何错误或警告条目。 默认情况下,错误条目以红色突出显示。 若要查看有关错误条目的详细信息,请在跟踪查看器的右窗格中选择错误说明。 以下示例是跟踪日志中的示例错误条目:
<E2ETraceEvent xmlns="http://schemas.microsoft.com/2004/06/E2ETraceEvent">
<System xmlns="http://schemas.microsoft.com/2004/06/windows/eventlog/system">
<EventID>15183</EventID>
<Type>3</Type>
<SubType Name="Error">0</SubType>
<Level>2</Level>
<TimeCreated SystemTime="2013-07-05T14:48:06.2821550Z" />
<Source Name="Microsoft.Mbam.CoreService" />
<Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
<Execution ProcessName="w3wp" ProcessID="4332" ThreadID="11" />
<Channel />
<Computer>XXXXXXXXXXX</Computer>
</System>
<ApplicationData>AddUpdateVolume: While executing sql transaction for add volume to store exception occurred Key Recovery Data Store processing error: Violation of UNIQUE KEY constraint 'UniqueRecoveryKeyId'. Cannot insert duplicate key in object 'RecoveryAndHardwareCore.Keys'. The duplicate key value is (8637036e-b379-4798-bd9e-5a0b36296de3).
</ApplicationData>
</E2ETraceEvent>
重新安装或重新配置 MBAM 基础结构
若要重新安装或重新配置 MBAM 基础结构,必须了解以下事项:
应用程序池帐户
MBAM 组 (支持人员、高级、报表用户组)
MBAM 报告 URL
SQL Server名称和数据库名称
MBAM ReadWrite 和 ReadOnly 帐户
应用程序池帐户
若要查找应用程序池帐户,请登录 MBAM Web 服务器,打开 “Internet Information Services (IIS) 管理器”,然后选择“ 应用程序池”:
必须在此帐户中设置服务主体名称 (SPN) 。 此设置对 MBAM 的功能非常重要。
MBAM 组 (支持人员、高级组、报表用户组和报表 URL)
这会提供支持组、高级支持组、报表用户组和 MBAM 报告 URL 等信息。 MBAM 报告 URL 必须在 MBAM 设置中提供,并且应显示为: https://servername/ReportServer。
SQL Server名称和数据库 (DB) 名称
若要查找承载 MBAM DB 的SQL Server名称和实例,请登录到 MBAM Web (IIS) 服务器并浏览到以下注册表子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM Server\Web
突出显示的部分是连接字符串。 如果命名为) ,这些名称应具有SQL Server名称、数据库名称和实例 (。
MBAM ReadWrite 和 ReadOnly 帐户
此信息位于 SQL Server 数据库中,我们已从 Web 服务器中找到了名称。
ReadWrite 帐户
登录到 SQL Management Studio。
右键单击“ MBAM 恢复和硬件”,选择“ 属性”,然后选择“ 权限”。
例如,实验室帐户名称为 MBAMWrite。 应用程序池和 ReadWrite 帐户设置为相同。
浏览到 “安全性 ”,然后在 SQL Management Studio 中 浏览“登录名 ”。 浏览到上一屏幕截图中显示的帐户。
右键单击帐户,转到 “属性”“用户映射”,然后找到“MBAM 恢复和硬件”数据库:
ReadOnly 帐户
在 SSRS 服务器上打开SQL Server Reporting Services Configuration Manager。 选择“ 报表管理器 URL”,然后浏览 URL:
选择 “Microsoft Bitlocker 管理和监视” :
选择“ 马耳他”“数据源”:
MaltaDataSource 应具有 ReadOnly 帐户名称,并且应在 MBAM 设置中使用。