如何保護 MBAM 網站的規劃
本主題描述下列方法來保護 Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 Administration and Monitoring Website and Self-Service Portal:
| 方法 | 必要或選擇性? |
|---|---|
使用憑證保護 MBAM 網站 |
選擇性,但強烈建議使用 |
為應用程式集區帳戶註冊 SPN) (服務主體名稱 |
必要 |
如需如何保護 MBAM 部署的詳細資訊,請參閱 MBAM 2.5 安全性考慮。
使用憑證保護 MBAM 網站
建議您使用憑證來保護下列專案之間的通訊:
MBAM 用戶端和 Web 服務
瀏覽器、系統管理與監視網站,以及Self-Service入口網站
如需要求和安裝憑證的相關資訊,請參閱 設定網際網路伺服器憑證。
注意
只有當您使用 Windows PowerShell 時,才能在不同的伺服器上設定網站和 Web 服務。 如果您使用 MBAM 伺服器組態精靈來設定網站,您必須在相同的伺服器上設定網站和 Web 服務。
若要保護 Web 服務與資料庫之間的通訊,我們也建議您在SQL Server中強制加密。 如需保護所有連線至SQL Server的資訊,包括 Web 服務與SQL Server之間的通訊,請參閱MBAM 2.5 安全性考慮。
註冊應用程式集區帳戶的 SPN
若要讓 MBAM 伺服器從 Administration and Monitoring Website 和 Self-Service 入口網站驗證通訊,您必須在用於 Web 應用程式集區的網域帳戶底下,為主機名註冊服務主體名稱 (SPN) 。
本主題包含如何為下列類型的主機名稱註冊 SPN 的指示:
完整功能變數名稱
NetBIOS 名稱
虛擬名稱
建立初始 MBAM 安裝的 SPN 之前
開始建立 SPN 之前,請先檢閱下表中的資訊。
| 工作或專案 | 其他資訊 |
|---|---|
在 ACTIVE DIRECTORY 網域服務 (AD DS) 中建立服務帳戶。 |
服務帳戶是您在 AD DS 中建立的使用者帳戶,可為 MBAM 網站提供安全性。 MBAM 網站會在應用程式集區下執行,其身分識別是服務帳戶的名稱。 SPN 接著會在應用程式集區帳戶中註冊。
注意
所有網頁伺服器都必須使用相同的應用程式集區帳戶。 |
確認 IIS-IUSRS 群組帳戶或應用程式集區帳戶已獲授與必要的許可權。 |
若要檢查這一點,請遵循下列步驟:
|
如果您使用網域系統管理帳戶來設定 MBAM 網站,MBAM 會為您建立 SPN。 |
如果您使用網域系統管理帳戶來設定 MBAM 網站,請遵循本主題中的步驟,針對您使用的主機名稱類型手動註冊 SPN。 |
當您使用完整域主機名稱時註冊 SPN
如果您在設定 MBAM 時使用完整域主機名稱,則只需要註冊一個 SPN,如下列範例所示。
| 您需要執行的動作 | 範例和詳細資訊 |
|---|---|
註冊完整功能變數名稱的 SPN。 |
完整主機名稱 mybitlockerrecovery.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
為您為應用程式集區帳戶註冊的 SPN 設定限制委派。 |
這項需求僅適用于 MBAM 2.5;在 MBAM 2.5 SP1 中並非必要。 |
當您使用 NetBIOS 主機名稱時註冊 SPN
如果您在設定 MBAM 時使用 NetBIOS 主機名稱,請為 NetBIOS 名稱註冊一個 SPN,並為完整功能變數名稱註冊另一個 SPN,如下列範例所示。
| 您需要執行的動作 | 範例和詳細資訊 |
|---|---|
註冊 NetBIOS 主機名稱的 SPN。 |
NetBIOS 主機名稱是 nbname01,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
註冊完整功能變數名稱的 SPN。 |
完整功能變數名稱 nbname01.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
為您為應用程式集區帳戶註冊的 SPN 設定限制委派。 |
這項需求僅適用于 MBAM 2.5;在 MBAM 2.5 SP1 中並非必要。 |
當您使用虛擬主機名稱時註冊 SPN
如果您使用完整功能變數名稱的虛擬主機名稱來設定 MBAM,請只註冊一個 SPN 作為虛擬主機名稱。 如果您設定的虛擬主機名稱不是完整功能變數名稱,您必須建立第二個 SPN 來指定完整功能變數名稱,如下列範例所述。
| 您需要執行的動作 | 範例和詳細資訊 |
|---|---|
如果您的虛擬主機名稱是完整功能變數名稱,如本範例所示,請只註冊一個 SPN。 |
在此範例中,虛擬主機名稱 是 mbamvirtual.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
如果您的虛擬主機名稱不是完整功能變數名稱,請註冊這個額外的 SPN。 |
在此範例中,虛擬主機名稱是 mbamvirtual,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
如果您的虛擬主機名稱不是完整功能變數名稱,請註冊這個額外的 SPN。 |
在此範例中,虛擬主機名稱 是 mbamvirtual.contoso.com,而用於 Web 應用程式集區的網域帳戶是 contoso\mbamapppooluser。 |
在 [功能變數名稱伺服器] (DNS) 伺服器上,建立自訂主機名稱的「A 記錄」,並將其指向網頁伺服器或負載平衡器。 |
See the “To configure DNS Host A Records” section in Configure DNS Host Records. 建議您使用 A 記錄,而不是 CNAMES。 如果您使用 CNAMES 指向網域位址,您也必須在應用程式集區帳戶中註冊 Web 服務器名稱的 SPN。 |
為您為應用程式集區帳戶註冊的 SPN 設定限制委派。 |
這項需求僅適用于 MBAM 2.5;在 MBAM 2.5 SP1 中並非必要。 |
從舊版 MBAM 升級時註冊 SPN
只有在您想要下列情況下,才完成本節中的步驟:
從舊版 MBAM 升級。
以負載平衡或分散式組態在 MBAM 2.5 中執行網站,而您目前執行的設定不是負載平衡。
如果您已在電腦帳戶上註冊 SPN,而不是在應用程式集區帳戶中註冊 SPN,則 MBAM 會使用現有的 SPN,而且您無法在負載平衡或分散式設定中設定網站。
| 您需要執行的動作 | 範例和詳細資訊 | ||||||
|---|---|---|---|---|---|---|---|
在 ACTIVE DIRECTORY 網域服務 (AD DS) 中建立應用程式集區帳戶。 |
|||||||
移除目前安裝的網站和 Web 服務。 |
|||||||
從電腦帳戶移除 SPN。 |
|
||||||
在應用程式集區帳戶中註冊 SPN。 |
|||||||
重新設定 Web 應用程式和 Web 服務。 |
|||||||
視您用於設定的方法而定,執行下列其中一項:
|
重要
您輸入的主機名稱必須與您要建立 SPN 的虛擬主機名稱同名。 此外,在 Web 伺服陣列中,主機名稱和應用程式集區認證在您設定的每部伺服器上都必須相同。 當 MBAM 設定 Web 應用程式時,它會嘗試為您註冊 SPN,但只有當您在安裝 MBAM 的伺服器上具有網域管理員許可權時,才能這麼做。 如果您沒有這些許可權,您可以完成設定,但必須在設定 MBAM 之前或之後設定 SPN。 |
必要的要求篩選設定
應用程式需要「允許未列出的副檔名」,才能如預期般運作。 流覽至 [Microsoft BitLocker 系統管理與監視] - 要求篩選 - >> 編輯功能設定,即可找到此資訊。
相關主題
有 MBAM 的建議嗎?
針對 MBAM 問題,請使用 MBAM TechNet 論壇。