共用方式為

如何在單一伺服器上安裝及設定 MBAM

  • 發行項

適用於: Microsoft BitLocker Administration and Monitoring 1.0

本主題中的程序說明如何在單一伺服器上完整安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 功能。

每一項伺服器功能都有特定的必要條件。 若要確認您符合必要條件以及硬體和軟體需求,請參閱 MBAM 1.0 部署必要條件MBAM 1.0 支援的組態。 此外,某些功能要求您必須在安裝過程中提供資訊,才能順利部署功能。 在開始部署 MBAM 之前,您還應該先參閱 MBAM 1.0 的環境準備

注意

若要取得安裝記錄檔,您必須使用 msiexec 套件和 /l <位置> 選項安裝 MBAM。 系統會在您指定的位置建立記錄檔。

系統還會在安裝 MBAM 之使用者的 %temp% 資料夾中建立其他安裝記錄檔。

若要在單一伺服器上安裝 MBAM 伺服器功能

下列步驟說明如何安裝一般 MBAM 功能。

注意

請務必在 32 位元的伺服器上使用 32 位元的安裝程式,並在 64 位元的伺服器上使用 64 位元的安裝程式。

若要啟動 MBAM 伺服器功能安裝

  1. 啟動 MBAM 安裝精靈。 在歡迎頁面上按一下 [安裝]。

  2. 閱讀並接受 Microsoft 軟體授權合約,然後按 [下一步] 繼續安裝。

  3. 根據預設,系統會選取所有的 MBAM 功能以供安裝。 要安裝在同一部電腦上的功能必須同時一起安裝。 請清除您要安裝在其他電腦上的功能。 您必須按照下列順序安裝 MBAM 功能:

    • Recovery and Hardware 資料庫

    • 符合性與稽核資料庫

    • 符合性稽核與報告

    • Administration and Monitoring 伺服器

    • MBAM 群組原則範本

    注意

    安裝精靈會檢查安裝的必要條件,並顯示遺漏的必要條件。 如果符合所有必要條件,安裝作業便會繼續。 如果偵測到遺漏的必要條件,您必須解決遺漏必要條件的問題,然後按一下 [再次檢查必要條件]。 符合所有必要條件後,安裝作業便會繼續執行。

  4. 系統會提示您設定網路通訊安全性。MBAM 可以對 Recovery and Hardware 資料庫、Administration and Monitoring 伺服器以及用戶端之間的通訊進行加密。 如果您決定對通訊進行加密,系統將會要求您選取授權單位提供的憑證,以用於加密。

  5. 按 [下一步] 繼續。

  6. MBAM 安裝精靈將會顯示所選功能的安裝頁面。

若要部署 MBAM 伺服器功能

  1. 在 [設定復原與硬體資料庫] 視窗中,指定 SQL Server 的執行個體,以及用於儲存修復與硬體資料之資料庫的名稱。 您還必須指定資料庫檔案位置和記錄資訊位置。

  2. 按 [下一步] 繼續。

  3. 在 [設定符合性與稽核資料庫] 視窗中,指定 SQL Server 的執行個體,以及用於儲存符合性與稽核資料之資料庫的名稱。 接著,指定資料庫檔案位置和記錄資訊位置。

  4. 按 [下一步] 繼續。

  5. 在 [符合性與稽核報告] 視窗中,指定所要使用的報告服務執行個體,並提供用於存取資料庫的網域使用者帳戶。 這應該是專為此用途提供的使用者帳戶。 這個使用者帳戶應該能夠存取可供 MBAM 報告使用者群組使用的所有資料。

  6. 按 [下一步] 繼續。

  7. 在 [設定 Administration and Monitoring 伺服器] 視窗中,輸入 MBAM Administration and Monitoring 伺服器的 [連接埠繫結]、[主機名稱] (選用) 和 [安裝路徑]。

    警告

    除非指定唯一的主機標頭名稱,否則您指定的連接埠號碼必須是 Administration and Monitoring 伺服器上未使用的連接埠號碼。

  8. 按 [下一步] 繼續。

  9. 指定是否要使用 Microsoft Update 協助維護電腦安全,然後按 [下一步]。 Microsoft Update 選項並不會開啟 Windows 的 [自動更新]。

  10. 在安裝精靈收集到必要的功能資訊後,MBAM 安裝準備即告完成。 如果您要檢查或變更安裝設定,請按一下 [上一步] 回到此精靈前面的步驟。 按一下 [安裝] 可開始進行安裝。 按一下 [取消] 則可結束安裝。 安裝程式會安裝 MBAM 功能,並通知您安裝已完成。

  11. 按一下 [完成] 結束精靈。

  12. 安裝 MBAM 伺服器功能之後,您必須新增使用者到 MBAM 角色。 如需詳細資訊,請參閱 MBAM 1.0 系統管理員角色規劃

若要執行安裝後設定

  1. 在安裝完成之後,您必須新增使用者角色,讓您可以授與使用者在 MBAM 系統管理網站中存取功能的權限。 請在 Administration and Monitoring 伺服器上,將使用者新增到下列本機群組:

    • MBAM 硬體使用者: 此本機群組的成員可以存取 MBAM 系統管理網站中的 [硬體] 功能。

    • MBAM 技術支援使用者: 此本機群組的成員可以存取 MBAM 系統管理網站中的 [磁碟機修復] 和 [管理 TPM] 功能。 [磁碟機修復] 和 [管理 TPM] 中的所有欄位都是技術支援使用者的必要欄位。

    • MBAM 進階技術支援使用者: 此本機群組的成員擁有 MBAM 系統管理網站中 [磁碟機修復] 和 [管理 TPM] 功能的進階存取權。 對於進階技術支援使用者來說,[磁碟機修復] 中只有 [金鑰識別碼] 是必要欄位; 對於 [管理 TPM] 使用者來說,則只有 [電腦網域] 和 [電腦名稱] 是必要欄位。

  2. 在 Administration and Monitoring 伺服器、符合性與稽核資料庫,以及裝載符合性與稽核報告的電腦上,將使用者新增到下列本機群組中,讓他們可以存取 MBAM 系統管理網站中的 [報告] 功能:

    • MBAM 報告使用者: 此本機群組的成員可以存取 MBAM 系統管理網站中的 [報告] 功能。

    注意

    您必須在已安裝 Administration and Monitoring Server 功能、符合性與稽核資料庫以及符合性與稽核報告的所有電腦上,維護相同的 [MBAM 報告使用者] 本機群組使用者成員資格或群組成員資格。

    若要在所有電腦上維護相同的成員資格,您應該建立網域安全性群組,並將該網域群組新增到每個本機 MBAM 報告使用者群組。 如果這樣做,您就可以使用網域群組來管理群組成員資格。

驗證 MBAM 伺服器功能安裝

在 MBAM 安裝完成後,請驗證安裝作業是否已順利安裝 BitLocker 管理所需的所有必要 MBAM 功能。 請使用下列程序確認 MBAM 服務是否正常運作:

若要驗證 MBAM 伺服器功能安裝

  1. 在已部署 MBAM 功能的每一部伺服器上,開啟 [控制台]。 按一下 [程式集],然後按一下 [程式和功能]。 請確認 [Microsoft BitLocker Administration and Monitoring] 是否出現在 [程式和功能] 清單中。

    注意

    若要驗證安裝,您必須使用在每一部伺服器上都具有本機電腦系統管理認證的網域帳戶。

  2. 在安裝 Recovery and Hardware 資料庫的伺服器上,開啟 SQL Server Management Studio 並確認是否已安裝 [MBAM Recovery and Hardware] 資料庫。

  3. 在安裝符合性與稽核資料庫的伺服器上,開啟 SQL Server Management Studio 並確認是否已安裝 [MBAM Compliance and Audit Database]。

  4. 在安裝符合性與稽核報告的伺服器上,以系統管理權限開啟網頁瀏覽器,並瀏覽到 SQL Server Reporting Services 網站的 [首頁]。

    SQL Server Reporting Services 網站執行個體的預設首頁位置是 http://<NameofMBAMReportsServer>/Reports。 若要找出實際的 URL,請使用 Reporting Services Configuration Manager 工具,並選取安裝期間指定的執行個體。

    請確認畫面上列出一個名為 [Malta Compliance Reports] 的資料夾,且該資料夾中包含五份報告和一個資料來源。

    注意

    如果 SQL Server Reporting Services 已設定為具名執行個體,URL 應該與下例類似:http://<NameofMBAMReportsServer>/Reports_<SRSInstanceName>

  5. 在安裝 Administration and Monitoring 功能的伺服器上,執行 [伺服器管理員] 並瀏覽到 [角色],接著選取 [網頁伺服器 (IIS)],然後按一下 [Internet Information Services (IIS) 管理員]。

  6. 在 [連線] 中,瀏覽到 <電腦名稱>,選取 [站台],然後選取 [Microsoft BitLocker Administration and Monitoring]。 請確認畫面上是否列出 MBAMAdministrationServiceMBAMComplianceStatusServiceMBAMRecoveryAndHardwareService

  7. 在安裝 Administration and Monitoring 功能的伺服器上,以系統管理權限開啟網頁瀏覽器,然後瀏覽到 MBAM 網站中的下列位置,以確認這些服務是否順利載入:

    • http://<電腦名稱>/default.aspx,並確認用於導覽和報告的每個連結

    • http://<電腦名稱>/MBAMAdministrationService/AdministrationService.svc

    • http://<電腦名稱>/MBAMComplianceStatusService/StatusReportingService.svc

    • http://<電腦名稱>/MBAMRecoveryAndHardwareService/CoreService.svc

    注意

    這些服務通常會安裝在無網路加密的預設連接埠 80 上。 如果服務安裝在不同的連接埠,請變更 URL 以包括適當的連接埠。 例如,http://<電腦名稱>:<連接埠>/default.aspx 或 http://<主機標頭名稱>/default.aspx。

    如果這些服務使用網路加密進行安裝,請將 http:// 變更為 https://。

另請參閱

其他資源

部署 MBAM 1.0 伺服器基礎結構

-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 FacebookTwitter 追蹤我們的動態。
-----