在分散式伺服器上安裝和設定 MBAM
本主題中的程式說明如何在分散式伺服器的獨立拓撲中安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 2.0。 若要查看建議架構的圖表,以及資料庫和功能的描述,請參閱 部署 MBAM 2.0 伺服器基礎結構。 若要使用Configuration Manager拓撲安裝 Microsoft BitLocker Administration and Monitoring,請參閱使用 Configuration Manager 部署 MBAM。
每個伺服器功能都有特定的必要條件。 若要確認您已符合必要條件和硬體和軟體需求,請參閱 MBAM 2.0 部署必要條件 和 MBAM 2.0 支援的設定。 此外,某些功能需要您在安裝程式期間提供特定資訊,才能成功部署功能。 您也應該先 檢閱規劃 MBAM 2.0 伺服器部署 ,再開始 MBAM 部署。
注意
若要取得安裝程式記錄檔,您必須使用 Msiexec 套件和/L< 位置 > 選項來安裝 MBAM。 記錄檔會建立在您指定的位置。
安裝 MBAM 之使用者伺服器上的 %temp% 資料夾中會建立其他安裝程式記錄檔。
部署 MBAM 伺服器功能
下列步驟說明如何安裝一般 MBAM 功能。
啟動 MBAM 伺服器安裝精靈
在您要安裝 Microsoft BitLocker Administration and Monitoring 的伺服器上,執行 MBAMSetup.exe 以啟動 MBAM 安裝精靈。
在 [ 歡迎使用 ] 頁面上,選擇性地選取 [客戶經驗改進計畫],然後按一下 [ 開始]。
閱讀並接受 Microsoft 軟體授權合約,然後按 [ 下一步 ] 繼續安裝。
在 [ 拓撲選取 ] 頁面上,選取 [獨立 拓撲],然後按 [ 下一步]。
注意
如果您想要使用Configuration Manager整合式拓撲安裝 MBAM,請參閱使用 Configuration Manager 部署 MBAM。選取您要安裝的功能。 根據預設,系統會選取所有 MBAM 功能進行安裝。 清除您想要在其他地方安裝的功能。 將安裝在同一部電腦上的功能必須同時一起安裝。 您必須依照下列順序安裝 MBAM 功能:
復原資料庫
合規性與稽核資料庫
合規性和稽核報告
Self-Service入口網站
管理與監視伺服器
MBAM 群組原則範本
注意
安裝精靈會檢查安裝的必要條件,並顯示缺少的必要條件。 如果符合所有必要條件,則會繼續安裝。 如果偵測到遺漏的必要條件,您必須解決遺漏的必要條件,然後再按一下 [ 檢查必要條件]。 如果這次符合所有必要條件,則會繼續安裝。
[MBAM 安裝精靈] 會顯示您所選取功能的安裝頁面。 下列各節說明每個功能的安裝程式。
注意
針對下列指示,假設每項功能都安裝在不同的伺服器上。 如果您在單一伺服器上安裝多個功能,您可以變更或排除一些步驟。
安裝復原資料庫
在 [ 設定復原資料庫 ] 頁面上,指定將執行 Administration and Monitoring Server 功能的電腦名稱稱。 部署 Administration and Monitoring Server 功能之後,它會使用其網域帳戶來連線到資料庫。
按 \[下一步\] 繼續。
指定SQL Server實例名稱,以及將儲存復原資料的資料庫名稱。 您也必須同時指定資料庫的所在位置,以及記錄資訊的所在位置。
按 [下一步 ] 繼續執行 MBAM 安裝精靈。
安裝合規性與稽核資料庫
在 [ 設定合規性與稽核資料庫 ] 頁面上,指定將用來存取報告資料庫的使用者帳戶。
指定將執行 Administration and Monitoring Server 之電腦的電腦名稱稱,以及合規性和稽核報告。 部署 Administration and Monitoring 和 Compliance and Audit Reports Server 之後,他們會使用其網域帳戶來連線到資料庫。
注意
如果您安裝的合規性和稽核資料庫沒有合規性和稽核報告功能,您必須在合規性和稽核資料庫電腦上新增例外狀況,才能在 Microsoft SQL Server 埠上啟用輸入流量。 預設埠號碼為 1433。指定SQL Server實例名稱,以及將儲存合規性和稽核資料的資料庫名稱。 您也必須指定資料庫和記錄資訊的所在位置。
按 [下一步 ] 繼續執行 Microsoft BitLocker 系統管理與監視安裝精靈。
安裝合規性和稽核報告
在 [設定合規性與稽核報告] 頁面上,指定遠端SQL Server實例名稱 (例如, < 安裝合規性與稽核資料庫的 ServerName >) 。
注意
如果您安裝的是不含 Administration and Monitoring Server 的合規性和稽核報告,則必須在合規性和稽核報告電腦上新增例外狀況,以啟用報表伺服器埠上的輸入流量, (預設埠為 80) 。指定合規性和稽核資料庫的名稱。 根據預設,資料庫名稱是 MBAM 合規性狀態,不過您可以在安裝合規性和稽核資料庫時變更名稱。
按 \[下一步\] 繼續。
選取將安裝合規性和稽核報告的SQL Server Reporting Services實例。 提供網域使用者帳戶和密碼以存取合規性和稽核資料庫。 將此帳戶的密碼設定為永不過期。 使用者帳戶應該能夠存取 MBAM 報表使用者群組可用的所有資料。
按 [下一步 ] 繼續執行 Microsoft BitLocker 系統管理與監視安裝精靈。
安裝 Self-Service 入口網站
在 [ 設定 Self-Service 入口網站] 頁面上,您可以選擇性地加密 Self-Service 入口網站與 Administration and Monitoring 伺服器之間的通訊。 如果您選擇加密通訊的選項,系統會提示您選取要用於加密的憑證授權單位單位布建的憑證。
按 \[下一步\] 繼續。
指定SQL Server (的遠端實例,例如ServerName <>) 安裝合規性和稽核資料庫的位置。
指定合規性和稽核資料庫的名稱。 根據預設,資料庫名稱為 MBAM 合規性狀態。 不過,您可以在安裝合規性和稽核資料庫時變更名稱。
按 \[下一步\] 繼續。
指定SQL Server (的遠端實例,例如,< 安裝復原資料庫的 ServerName >) 。
指定復原資料庫的名稱。 根據預設,資料庫名稱為 MBAM Recovery and Hardware。 不過,您可以在安裝復原資料庫功能時變更名稱。
按 \[下一步\] 繼續。
輸入 埠號碼、 主機名稱 (選用) ,以及 MBAM Administration and Monitoring Server 的 安裝路徑 。
注意
除非您指定唯一的主機標頭名稱,否則您指定的埠號碼必須是 Administration and Monitoring 伺服器上未使用的埠號碼。 如果您使用 Windows 防火牆,則會自動開啟埠。若要選擇性地為 Self-Service 入口網站註冊 SPN) (服務主體名稱,請選取 [使用 Windows 驗證) 所需的 Active Directory) 註冊此電腦的服務主體名稱 (SPN (。 如果您選取此核取方塊,MBAM 安裝程式將不會嘗試註冊現有的 SPN,而且您可以在 MBAM 安裝之前或之後手動註冊 SPN。 如需手動註冊 SPN 的指示,請 參閱手動 SPN 註冊。
按 [下一步 ] 繼續執行 Microsoft BitLocker 系統管理與監視安裝精靈。
指定是否要使用 Microsoft 更新來協助保護您的電腦安全性,然後按 [下一步]。
當選取的 MBAM 功能資訊完成時,您已準備好使用安裝精靈來啟動 MBAM 安裝。 如果您必須檢閱或變更安裝設定,請按一下 [上一步 ] 以移動精靈。 按一下 [安裝 ] 以開始安裝。 按一下 [取消 ] 結束精靈。 安裝程式會安裝您選取的 MBAM 功能,並通知您安裝已完成。
按一下 [完成 ] 結束精靈。
注意
若要在安裝Self-Service入口網站之後進行設定,請使用您的公司名稱和其他公司特定資訊為Self-Service入口網站建立商標,如需指示,請參閱 如何為Self-Service入口 網站建立商標。如果用戶端電腦可以存取 Microsoft 內容傳遞網路 (CDN) ,讓Self-Service入口網站能夠存取特定 JavaScript 檔案,則您已完成Self-Service入口網站安裝。 如果用戶端電腦無法存取 Microsoft CDN,請完成下一節中的步驟,將Self-Service入口網站設定為從可存取的來源參考 JavaScript 檔案。
若要在使用者無法存取 Microsoft 內容傳遞網路時設定Self-Service入口網站
如果用戶端電腦可以存取 Microsoft 內容傳遞網路 (CDN) ,讓Self-Service入口網站擁有特定 JavaScript 檔案的必要存取權,則會完成Self-Service入口網站安裝。 如果用戶端電腦無法存取 Microsoft CDN,請完成本節中的其餘步驟,以設定Self-Service入口網站從可存取的來源參考 JavaScript 檔案。
從 Microsoft CDN 下載四個 JavaScript 檔案:
jQuery-1.7.2.min.js - https://go.microsoft.com/p/fwlink/?LinkID=271736
MicrosoftAjax.js –https://go.microsoft.com/p/fwlink/?LinkId=272283
MicrosoftMvcAjax.js - https://go.microsoft.com/p/fwlink/?LinkId=272284
MicrosoftMvcValidation.js - https://go.microsoft.com/fwlink/p/?LinkId=272285
將 JavaScript 檔案複製到 Self-Service 入口網站的 Scripts 目錄。 此目錄位於< MBAM Self-Service Install Directory > \Self Service Website\Scripts。
開 啟 Internet Information Services (IIS) Manager。
展開[網站>][Microsoft BitLocker 系統管理與監視],並醒目提示[SelfService]。
注意
SelfService 是預設的虛擬目錄名稱。 如果您在安裝期間為此目錄選擇不同的名稱,請記得在這些指示的其餘部分中,將 SelfService 取代為您選擇的名稱。在中間窗格中,按兩下 [ 應用程式設定]。
針對下列清單中的每個專案,編輯應用程式設定以參考新的位置,方法是將虛擬目錄 > 取代 < 為 /SelfService/ (或您在安裝) 期間選擇的名稱。 例如,虛擬目錄路徑會類似于 /selfservice/scripts/jquery-1.7.2.min.js。
jQueryPath:/ < virtual directory > /Scripts/ jQuery-1.7.2.min.js
MicrosoftAjaxPath:/ < virtual directory > /Scripts/ MicrosoftAjax.js
MicrosoftMvcAjaxPath:/ < virtual directory > /Scripts/ MicrosoftMvcAjax.js
MicrosoftMvcValidationPath:/ < virtual directory > /Scripts/ MicrosoftMvcValidation.js
安裝 Administration and Monitoring Server 功能
MBAM 可以加密 Web 服務與 Administration and Monitoring 伺服器之間的通訊。 如果您選擇加密通訊的選項,系統會提示您選取要用於加密的憑證授權單位單位布建的憑證。
按 \[下一步\] 繼續。
指定SQL Server (的遠端實例,例如:< ServerName >) 安裝合規性和稽核資料庫的位置。
指定合規性和稽核資料庫的名稱。 根據預設,資料庫名稱為 MBAM 合規性狀態。 不過,您可以在安裝合規性和稽核資料庫時變更名稱。
按 \[下一步\] 繼續。
指定SQL Server (的遠端實例,例如:< 安裝復原資料庫) ServerName >。
指定復原資料庫的名稱。 根據預設,資料庫名稱為 MBAM Recovery and Hardware。 不過,您可以在安裝復原資料庫功能時變更名稱。
按 \[下一步\] 繼續。
指定SQL Server Reporting Services (SRS) 網站的 「首頁」URL。 SQL Server Reporting Services月臺實例的預設 [首頁] 位置位於:
< HTTP:// NameofMBAMReportsServer > /ReportServer
注意
如果SQL Server Reporting Services設定為具名實例,URL 會類似下列專案:HTTP:// < NameofMBAMReportsServer >/ReportServer_< SRSInstanceName >。按 \[下一步\] 繼續。
輸入 埠號碼、 主機名稱 (選用) ,以及 MBAM Administration and Monitoring Server 的 安裝路徑 。
注意
除非您指定唯一的主機標頭名稱,否則您指定的埠號碼必須是 Administration and Monitoring 伺服器上未使用的埠號碼。 如果您使用 Windows 防火牆,則會自動開啟埠。若要選擇性地為 Self-Service 入口網站註冊 SPN) (服務主體名稱,請選取 [使用 Windows 驗證) 所需的 Active Directory) 註冊此電腦的服務主體名稱 (SPN (。 如果您選取此核取方塊,MBAM 安裝程式將不會嘗試註冊現有的 SPN,而且您可以在 MBAM 安裝之前或之後手動註冊 SPN。 如需手動註冊 SPN 的指示,請 參閱手動 SPN 註冊。
按 [下一步 ] 繼續執行 Microsoft BitLocker 系統管理與監視安裝精靈。
指定是否要使用 Microsoft 更新來協助保護您的電腦安全性,然後按 [下一步]。
當選取的 MBAM 功能資訊完成時,您已準備好使用安裝精靈來啟動 MBAM 安裝。 如果您必須檢閱或變更安裝設定,請按一下 [上一步 ] 以移動精靈。 按一下 [安裝 ] 作為安裝。 按一下 [取消 ] 結束精靈。 安裝程式會安裝您選取的 MBAM 功能,並通知您安裝已完成。
按一下 [完成 ] 結束精靈。
執行安裝後設定
在 Administration and Monitoring Server 上,將使用者新增至下列本機群組,讓他們能夠存取 MBAM Administration and Monitoring 網站上的功能。
MBAM 技術服務人員使用者:此本機群組的成員可以存取 MBAM Administration and Monitoring 網站上的磁片磁碟機復原和管理 TPM 功能。 磁片磁碟機復原和管理 TPM 中的所有欄位都是技術服務人員使用者的必要欄位。
MBAM 進階技術服務人員使用者:此本機群組的成員可進階存取 MBAM Administration and Monitoring 網站上的磁片磁碟機復原和管理 TPM 功能。 對於進階技術服務人員使用者,磁片磁碟機復原中只需要 [金鑰識別碼] 欄位。 在 [管理 TPM]中,只需要 [ 電腦網域 ] 欄位和 [ 電腦名稱稱] 字 段。
在裝載 Administration and Monitoring Server 和合規性與稽核資料庫的伺服器上,以及裝載合規性和稽核報告的伺服器上,將使用者新增至下列本機群組,讓他們能夠存取 MBAM Administration and Monitoring 網站上的報表功能。
- MBAM 報表使用者:此本機群組的成員可以存取 MBAM Administration and Monitoring 網站上的報告。
注意
MBAM 報表使用者本機群組的相同使用者或群組成員資格,必須在已安裝 MBAM Administration and Monitoring Server 功能、合規性和稽核資料庫,以及合規性與稽核報告的所有電腦上維護。
驗證 MBAM 伺服器功能安裝
當 Microsoft BitLocker Administration and Monitoring Server 功能安裝完成時,建議您驗證安裝是否已成功設定 MBAM 的所有必要功能。 使用下列程式來確認 Microsoft BitLocker Administration and Monitoring 服務是否正常運作。
驗證 MBAM 伺服器安裝
在部署 MBAM 功能的每部伺服器上,開啟 [主控台],選取 [程式],然後選取 [程式和功能]。 確認 [程式和功能] 清單中顯示[Microsoft BitLocker 系統管理與監視]。
注意
若要驗證 MBAM 安裝,您必須在每部伺服器上使用具有本機電腦系統管理認證的網域帳戶。在安裝復原資料庫的伺服器上,開啟 SQL Server Management Studio,並確認已安裝MBAM Recovery and Hardware資料庫。
在安裝合規性與稽核資料庫的伺服器上,開啟 SQL Server Management Studio,並確認已安裝MBAM 合規性狀態資料庫。
在安裝合規性和稽核報告的伺服器上,使用系統管理認證開啟網頁瀏覽器,並流覽至SQL Server Reporting Services網站的 [首頁]。
您可以在 HTTP:// NameofMBAMReportsServer > /Reports.aspx 找到SQL Server Reporting Services <網站實例的預設 [首頁] 位置。 若要尋找實際的 URL,請使用Reporting Services Configuration Manager工具,然後選取安裝期間指定的實例。
確認名為 Microsoft BitLocker Administration and Monitoring 的 reports 資料夾包含名為一個名為一個 資料來源的許可權DataSource ,而且 en-us 資料夾包含四份報表。
注意
如果SQL Server Reporting Services設定為具名實例,URL 應該類似下列:HTTP://< NameofMBAMReportsServer >/Reports_< SRSInstanceName >
注意
如果 SSRS 未設定為使用安全通訊端層 (SSL) ,當您安裝 MBAM 伺服器時,報表的 URL 會設定為 HTTP,而不是 HTTPS。 如果您接著移至 Administration and Monitoring 網站並選取報告,則會出現下列訊息:「僅顯示安全內容」。 若要顯示報表,請按一下 [顯示所有內容]。
在安裝管理和監視功能的伺服器上,執行伺服器管理員並流覽至[角色]。 選 取 [Web Server (IIS) ],然後按一下 [ INTERNET Information Services (IIS) Manager]。
在 [聯機] 中,流覽至< [電腦名稱稱 >],選取 [網站],然後選取[Microsoft BitLocker 系統管理與監視]。 確認 已列出 MBAMAdministrationService、 MBAMComplianceStatusService和 MBAMRecoveryAndHardwareService 。
在安裝 Administration and Monitoring 功能和Self-Service入口網站的伺服器上,開啟具有系統管理認證的網頁瀏覽器,並流覽至下列位置,以確認其載入成功。
注意
結尾為 「.svc」 的 URL 不會顯示網站。 成功是以訊息「目前已停用此服務的中繼資料發行」或類似程式碼的資訊表示。 如果您看到一些其他錯誤訊息,或找不到頁面,則頁面未成功載入。
< HTTP:// hostname > /HelpDesk/default.aspx ,並確認導覽和報表的每個連結
<HTTP:// hostname > /SelfService > /
<HTTP:// computername > /MBAMAdministrationService/AdministrationService.svc
<HTTP:// hostname > /MBAMUserSupportService/UserSupportService.svc
<HTTP:// computername > /MBAMComplianceStatusService/StatusReportingService.svc
<HTTP:// computername > /MBAMRecoveryAndHardwareService/CoreService.svc
注意
假設伺服器功能已安裝在預設埠上,而不需要網路加密。 如果您在不同的埠或虛擬目錄上安裝伺服器功能,請變更 URL 以包含適當的埠,例如,HTTP:// hostname > : < port >< /HelpDesk/default.aspx或HTTP:// < hostname > : < port > / < virtualdirectory > /default.aspx
如果伺服器功能是以網路加密方式安裝,請將 HTTP:// 變更為 HTTPs://。
- 確認每個網頁都已成功載入。