Planen der Hochverfügbarkeit von MBAM 2.5
Microsoft BitLocker Administration and Monitoring (MBAM) kann Hochverfügbarkeit durch die Verwendung einer oder mehrerer Technologien aufrechterhalten.
Verwenden Sie die Informationen in den folgenden Abschnitten, um die Optionen zum Bereitstellen von MBAM in einer hochverfügbaren Konfiguration zu verstehen.
Unterstützung für SQL Server AlwaysOn-Verfügbarkeitsgruppen
MIT MBAM können Sie Verfügbarkeitsgruppen für die Datenbanken in Microsoft SQL Server konfigurieren und verwalten. Eine Verfügbarkeitsgruppe für MBAM unterstützt eine Failoverumgebung, in der die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank zusammen und nicht separat ausgeführt werden.
Eine Verfügbarkeitsgruppe unterstützt einen Satz von primären Datenbanken mit Lese-/Schreibzugriff und ein bis vier Sätze entsprechender sekundärer Datenbanken. Optional können sekundäre Datenbanken für schreibgeschützte Berechtigungen, einige Sicherungsvorgänge oder für beides verfügbar gemacht werden.
Informationen zum Einrichten von Verfügbarkeitsgruppen finden Sie unter AlwaysOn-Verfügbarkeitsgruppen.
Microsoft SQL Server-Clustering
Sie können die MBAM 2.5-Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank auf Computern ausführen, auf denen SQL Server-Cluster ausgeführt werden.
IIS-Netzwerklastenausgleich
Sie können den Netzwerklastenausgleich verwenden, um eine hoch verfügbare Umgebung für Computer zu konfigurieren, auf denen die Verwaltungs- und Überwachungswebsite (auch als Helpdesk bezeichnet), das Self-Service-Portal und die Webdienste ausgeführt werden, die über Internetinformationsdienste (IIS) bereitgestellt werden.
Voraussetzungen
Stellen Sie vor dem Konfigurieren des Lastenausgleichs sicher, dass Ihre Umgebung die folgenden Voraussetzungen erfüllt:
Ein Lastenausgleich muss verfügbar sein. Sie können Lastenausgleichsmodule von Microsoft oder einem anderen Unternehmen verwenden. Weitere Informationen zur Microsoft Load Balancer-Technologie finden Sie unter Erstellen einer Webfarm mit IIS-Servern.
Mindestens zwei Server führen IIS aus, und die Server erfüllen alle MBAM-Voraussetzungen zur Unterstützung der Webfeatures, einschließlich ASP.NET MVC 4.
MBAM-Datenbanken und -Berichte werden auf einem Server ausgeführt.
MBAM-spezifische Änderungen, die zum Aktivieren des Lastenausgleichs erforderlich sind
Führen Sie die folgenden Aufgaben aus:
Registrieren Sie einen Dienstprinzipalnamen (Service Principal Name, SPN) für den virtuellen Hostnamen unter dem Domänenkonto, das Sie für die Webanwendungspools verwenden. Wenn der virtuelle Hostname z. B. mbamvirtual.contoso.com ist und das Domänenkonto für die Webanwendungspools contoso\mbamapppooluser lautet, wird der SPN mit dem folgenden Befehl ordnungsgemäß registriert.
Setspn -s http//mbamvirtual contoso\mbamapppooluser
Setspn -s http//mbamvirtual.contoso.com contoso\mbamapppooluser
Konfigurieren Sie die folgenden MBAM-Webfeatures:
Verwenden Sie auf jedem Server, der die MBAM-Webfeatures hostet, dasselbe Domänenkonto für die Administratoranmeldeinformationen des Anwendungspools.
Geben Sie einen Hostnamen an, der mit dem virtuellen Hostnamen (DNS-Name) des Lastenausgleichsclusters übereinstimmt. Wenn Sie beispielsweise MBAM auf einem Server namens "NLB1" mit dem virtuellen Hostnamen mbamvirtual.contoso.com installieren, stellen Sie sicher, dass der Hostname, den Sie im Windows PowerShell-Cmdlet angeben, mbamvirtual.contoso.com ist.
Wenn Sie die Websites in einer Webfarm mit einem Lastenausgleich konfigurieren, müssen Sie die Websites so konfigurieren, dass sie denselben Computerschlüssel verwenden.
Weitere Informationen finden Sie in den folgenden Abschnitten in machineKey Element (ASP.NET Settings Schema):
Computerschlüssel erklärt
Überlegungen zur Bereitstellung von Webfarmen
Anweisungen zum automatischen Generieren eines Schlüssels finden Sie unter Generieren eines Computerschlüssels (IIS 7).
Die Informationen zum Lastenausgleich gelten auch für IIS-NlB-Cluster (Netzwerklastenausgleich) in Windows Server 2012 oder Windows Server 2008 R2. Die IIS-Netzwerklastenausgleichsfunktionalität in Windows Server 2012 ist die gleiche wie in Windows Server 2008 R2. Einige Aufgabendetails unterscheiden sich jedoch in Windows Server 2012. Informationen zu neuen Möglichkeiten zum Ausführen von Aufgaben finden Sie unter Allgemeine Verwaltungsaufgaben und Navigation in Windows Server 2012 R2 Preview und Windows Server 2012.
Datenbankspiegelung in SQL Server
MBAM unterstützt die Verwendung der SQL Server-Spiegelung, bei der die Kompatibilitäts- und Überwachungsdatenbank und die Wiederherstellungsdatenbank mithilfe von zwei Instanzen von SQL Server für jede Datenbank gespiegelt werden.
Hinweis
Die Spiegelung wird zugunsten von Verfügbarkeitsgruppen langsam eingestellt.
Um die Spiegelung für MBAM zu implementieren, müssen Sie die entsprechenden Verbindungszeichenfolgen für die Konfiguration der gespiegelten Datenbank mithilfe des Windows PowerShell-Cmdlets Enable-MbamWebApplication angeben. Weitere Informationen zu den MBAM 2.5 Windows PowerShell-Cmdlets finden Sie unter Konfigurieren von MBAM 2.5-Serverfeatures mithilfe von Windows PowerShell.
Beispiele für die Implementierung der SQL Server-Spiegelung mithilfe von Windows PowerShell
Die folgenden Beispiele zeigen, wie Sie die SQL Server-Spiegelung mithilfe von Windows PowerShell-Cmdlets implementieren können.
Beispiel 1
Enable-MbamWebApplication -AdministrationPortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -AdvancedHelpdeskAccessGroup "MyDomain\AdvancedUserGroup" -HelpdeskAccessGroup "MyDomain\StandardUserGroup" -ReportsReadOnlyAccessGroup "MyDomain\ReportUserGroup" -ReportUrl "https://MyReportServer/ReportServer" -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Beispiel 2
Enable-MbamWebApplication -SelfServicePortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer; Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;I Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Weitere Informationen zur SQL Server-Spiegelung
Weitere Informationen zum Konfigurieren der SQL Server-Spiegelung finden Sie in den folgenden Artikeln:
Vorgehensweise: Vorbereiten einer Spiegeldatenbank für die Spiegelung (Transact-SQL)
Einrichten einer Datenbankspiegelungssitzung – Windows-Authentifizierung
Sichern von MBAM-Datenbanken mithilfe des Volumeschattenkopie-Diensts (Volume Shadow Copy Service, VSS)
MBAM stellt einen VSS-Writer (Volume Shadow Copy Service) bereit, der als Microsoft BitLocker Administration and Management Writer bezeichnet wird. Dieser VSS Writer erleichtert die Sicherung der Kompatibilitäts- und Überwachungsdatenbank und der Wiederherstellungsdatenbank.
Der VSS Writer wird auf jedem Server registriert, auf dem Sie eine MBAM-Webanwendung aktivieren. Der MBAM VSS Writer hängt vom SQL Server VSS Writer ab, der als Teil der Microsoft SQL Server-Installation registriert ist. Jede Sicherungstechnologie, die VSS-Writer zum Ausführen der Sicherung verwendet, kann den MBAM VSS Writer ermitteln.