如何在分散式伺服器上安裝及設定 MBAM
適用於: Microsoft BitLocker Administration and Monitoring 1.0
本主題的程序說明如何在分散式伺服器上完整安裝 Microsoft BitLocker Administration and Monitoring (MBAM) 功能。
每一項伺服器功能都有特定的必要條件。 若要確認您符合必要條件以及硬體和軟體需求,請參閱 MBAM 1.0 部署必要條件和 MBAM 1.0 支援的組態。 此外,某些功能要求您必須在安裝過程中提供特定資訊,才能順利部署功能。 在開始部署 MBAM 之前,您還應該先參閱 Planning the Server Infrastructure for MBAM。
注意
若要取得安裝記錄檔,您必須使用 msiexec 套件和 /l <位置> 選項安裝 MBAM。 系統會在您指定的位置建立記錄檔。
系統還會在執行 MBAM 安裝之使用者的 %temp% 資料夾中建立其他安裝記錄檔。部署 MBAM 伺服器功能
下列步驟說明如何安裝一般 MBAM 功能。
注意
請務必在 32 位元的伺服器上使用 32 位元的安裝程式,並在 64 位元的伺服器上使用 64 位元的安裝程式。
若要部署 MBAM 伺服器功能
啟動 MBAM 安裝精靈,然後在 [歡迎] 頁面上按一下 [安裝]。
閱讀並接受 Microsoft 軟體授權合約,然後按 [下一步] 繼續安裝。
根據預設,系統會選取所有的 MBAM 功能以供安裝。 請清除您要安裝在其他電腦上的功能。 您要安裝在同一部電腦上的功能必須全部同時安裝。MBAM 功能必須按照下列順序安裝:
Recovery and Hardware 資料庫
符合性與稽核資料庫
符合性稽核與報告
Administration and Monitoring 伺服器
MBAM 群組原則範本
注意
安裝精靈會檢查安裝的必要條件,並顯示遺漏的必要條件。 如果符合所有必要條件,安裝作業便會繼續。 如果偵測到遺漏的必要條件,您必須解決遺漏必要條件的問題,然後按一下 [再次檢查必要條件]。 如果這次符合所有必要條件,安裝就會繼續進行。
MBAM 安裝精靈將會顯示所選功能的安裝頁面。 下面幾節說明各項功能的安裝程序。
注意
一般情況下,每項功能會安裝在個別的伺服器上。 如果您想在單一伺服器上安裝多項功能,可以變更或省略下列部分步驟。
若要安裝 Recovery and Hardware 資料庫
選擇 MBAM 通訊加密的選項。 MBAM 可以對 Recovery and Hardware 資料庫與 Administration and Monitoring 伺服器之間的通訊進行加密。 如果您選擇對通訊進行加密的選項,系統將會要求您選取授權單位提供的憑證,以用於加密。
按 [下一步] 繼續。
指定將執行 Administration and Monitoring 伺服器功能的電腦名稱,以設定對 Recovery and Hardware 資料庫的存取權。 部署 Administration and Monitoring 伺服器功能之後,它就會使用其網域帳戶連線到資料庫。
按 [下一步] 繼續。
指定儲存 Recovery and Hardware 資料之 SQL Server 執行個體的 [資料庫組態]。 您還必須指定資料庫所在位置,以及記錄資訊的所在位置。
按 [下一步] 繼續執行 MBAM 安裝精靈。
若要安裝符合性與稽核資料庫
選擇 MBAM 通訊加密的選項。 MBAM 可以對符合性與稽核資料庫以及 Administration and Monitoring 伺服器之間的通訊進行加密。 如果您選擇對通訊進行加密的選項,系統將會要求您選取授權單位提供的憑證,以用於加密。
按 [下一步] 繼續。
指定將用來存取報告資料庫的使用者帳戶。
按 [下一步] 繼續。
指定要執行 Administration and Monitoring 伺服器和符合性與稽核報告之電腦的電腦名稱,以設定對符合性與稽核資料庫的存取權。 部署 Administration and Monitoring 和符合性與稽核報告伺服器之後,這兩項功能就會使用其網域帳戶連線到資料庫。
指定將儲存符合性與稽核資料之 SQL Server 執行個體的 [資料庫組態]。 您還必須指定資料庫所在位置,以及記錄資訊的所在位置。
按 [下一步] 繼續執行 MBAM 安裝精靈。
若要安裝符合性與稽核報告
指定遠端 SQL Server 執行個體。 例如,安裝符合性與稽核資料庫的 <ServerName>。
指定符合性與稽核資料庫的名稱。 根據預設,資料庫名稱為 “MBAM Compliance Status”,不過您可以在安裝符合性與稽核資料庫時變更此名稱。
按 [下一步] 繼續。
選取將安裝符合性與稽核報告的 SQL Server Reporting Services 執行個體。 提供用來存取符合性資料庫的使用者名稱和密碼。
按 [下一步] 繼續執行 MBAM 安裝精靈。
若要安裝 Administration and Monitoring 伺服器功能
選擇 MBAM 通訊加密的選項。 MBAM 可以對 Recovery and Hardware 資料庫與 Administration and Monitoring 伺服器之間的通訊進行加密。 如果您選擇對通訊進行加密的選項,系統將會要求您選取授權單位提供的憑證,以用於加密。
按 [下一步] 繼續。
指定遠端 SQL Server 執行個體,例如,安裝符合性與稽核資料庫的 <ServerName>。
指定符合性與稽核資料庫的名稱。 根據預設,資料庫名稱為 MBAM Compliance Status,不過您可以在安裝符合性與稽核資料庫時變更此名稱。
按 [下一步] 繼續。
指定遠端 SQL Server 執行個體。 例如,安裝 Recovery and Hardware 資料庫的 <ServerName>。
指定 Recovery and Hardware 資料庫的名稱。 根據預設,資料庫名稱為 MBAM Recovery and Hardware,不過您可以在安裝 Recovery and Hardware 資料庫功能時變更此名稱。
按 [下一步] 繼續。
指定 SQL Server Reporting Services (SRS) 網站「首頁」的 URL。 SQL Server Reporting Services 網站執行個體的預設首頁位置為:
http://*<NameofMBAMReportsServer>/*ReportServer
注意
如果您已將 SQL Server Reporting Services 設定為具名執行個體,URL 會與下例類似:http://<NameofMBAMReportsServer>/ReportServer_<SRSInstanceName>
按 [下一步] 繼續。
輸入 MBAM Administration and Monitoring 伺服器的 [連接埠號碼]、[主機名稱] (選用) 和 [安裝路徑]
警告
除非指定唯一的主機標頭名稱,否則您指定的連接埠號碼必須是 Administration and Monitoring 伺服器上未使用的連接埠號碼。
按 [下一步] 繼續執行 MBAM 安裝精靈。
指定是否要使用 Microsoft Update 協助維護電腦安全,然後按 [下一步]。
當選取的 MBAM 功能資訊完成時,您就可以準備開始使用安裝精靈安裝 MBAM。 如果必須檢查或變更安裝設定,請按 [上一步] 在精靈中移動。 按一下 [安裝] 可開始進行安裝。 按一下 [取消] 則可結束精靈。 安裝程式會安裝您所選取的 MBAM 功能,並通知您安裝已完成。
按一下 [完成] 結束精靈。
在安裝 MBAM 伺服器功能後,將使用者新增到適當的 MBAM 角色。 如需詳細資訊,請參閱MBAM 1.0 系統管理員角色規劃。
後續安裝組態
在 MBAM 安裝完成之後,您必須新增使用者角色,使用者才能存取 MBAM 系統管理網站中的功能。 請在 Administration and Monitoring 伺服器上,將使用者新增到下列本機群組。
MBAM 硬體使用者: 此本機群組的成員可以存取 MBAM 系統管理網站中的 [硬體] 功能。
MBAM 技術支援使用者: 此本機群組的成員可存取 MBAM 系統管理網站中的 [磁碟機修復] 和 [管理信賴平台模組 (TPM)] 功能。 [磁碟機修復] 和 [管理 TPM] 中的所有欄位都是技術支援使用者的必要欄位。
MBAM 進階技術支援使用者: 此本機群組的成員擁有 MBAM 系統管理網站中 [磁碟機修復] 和 [管理 TPM] 功能的進階存取權。 對於進階技術支援使用者來說,[磁碟機修復] 中只有 [金鑰識別碼] 是必要欄位; 在 [管理 TPM] 中,只有 [電腦網域] 和 [電腦名稱] 是必要欄位。
在 Administration and Monitoring 伺服器、符合性與稽核資料庫,以及裝載符合性與稽核報告的伺服器上,將使用者新增到下列本機群組,以提供他們存取 MBAM 系統管理網站中 [報告] 功能的權限。
- MBAM 報告使用者: 此本機群組的成員可以存取 MBAM 系統管理網站中的 [報告]。
注意
在安裝 MBAM Administration and Monitoring 伺服器功能、符合性與稽核資料庫以及符合性與稽核報告的所有電腦上,都必須維護 [MBAM 報告使用者] 本機群組的相同使用者或群組成員資格。
驗證 MBAM 伺服器功能安裝
當 MBAM 伺服器功能安裝完成時,您應驗證安裝作業是否順利安裝 MBAM 的所有必要功能。 請使用下列程序確認 MBAM 服務是否正常運作。
若要驗證 MBAM 安裝
在部署 MBAM 功能的每一部伺服器上,開啟 [控制台],按一下 [程式集],然後按一下 [程式和功能]。 請確認 [Microsoft BitLocker Administration and Monitoring] 是否出現在 [程式和功能] 清單中。
注意
若要驗證 MBAM 安裝,您必須使用在每一部伺服器上都具有本機電腦系統管理認證的網域帳戶。
在安裝 Recovery and Hardware 資料庫的伺服器上,開啟 SQL Server Management Studio 並確認是否已安裝 [MBAM Recovery and Hardware] 資料庫。
在安裝符合性與稽核資料庫的伺服器上,開啟 SQL Server Management Studio 並確認是否已安裝 [MBAM 符合性狀態] 資料庫。
在安裝符合性與稽核報告的伺服器上,以系統管理權限開啟網頁瀏覽器,並瀏覽到 SQL Server Reporting Services 網站的 [首頁]。
SQL Server Reporting Services 網站執行個體的預設首頁位置可以在 http://<NameofMBAMReportsServer>/Reports.aspx 找到。若要找出實際的 URL,請使用 Reporting Services Configuration Manager 工具,並選取安裝期間指定的執行個體。
請確認畫面上列出一個名為 [Malta Compliance Reports] 的資料夾,且該資料夾中包含五份報告和一個資料來源。
注意
如果 SQL Server Reporting Services 已設定為具名執行個體,URL 應該與下例類似:http://<NameofMBAMReportsServer>/Reports_<SRSInstanceName>
在安裝 Administration and Monitoring 功能的伺服器上,執行 [伺服器管理員] 並瀏覽到 [角色],接著選取 [網頁伺服器 (IIS)],然後按一下 [Internet Information Services (IIS) 管理員]。 在 [連線] 中,瀏覽到 <電腦名稱>,按一下 [站台],然後按一下 [Microsoft BitLocker Administration and Monitoring]。 請確認畫面上是否列出 MBAMAdministrationService、MBAMComplianceStatusService 和 MBAMRecoveryAndHardwareService。
在安裝 Administration and Monitoring 功能的伺服器上,以系統管理權限開啟網頁瀏覽器,然後瀏覽到 MBAM 網站中的下列位置,確認這些服務是否順利載入:
http://<電腦名稱>/default.aspx,並確認用於導覽和報告的每個連結
http://<電腦名稱>/MBAMAdministrationService/AdministrationService.svc
http://<電腦名稱>/MBAMComplianceStatusService/StatusReportingService.svc
http://<電腦名稱>/MBAMRecoveryAndHardwareService/CoreService.svc
注意
服務通常會安裝在無網路加密的預設連接埠 80 上。 如果服務安裝在不同的連接埠,請變更 URL 以包括適當的連接埠。 例如,http://<電腦名稱>:<連接埠>/default.aspx 或 http://<主機標頭名稱>/default.aspx。
如果這些服務使用網路加密進行安裝,請將 http:// 變更為 https://。請確認每個網頁都可順利載入。
另請參閱
其他資源
-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 Facebook 或 Twitter 追蹤我們的動態。
-----