Planeamiento de la alta disponibilidad de MBAM 2.5
La administración y supervisión de Microsoft BitLocker (MBAM) puede mantener la alta disponibilidad mediante el uso de una o varias tecnologías.
Use la información de las secciones siguientes para ayudarle a comprender las opciones para implementar MBAM en una configuración de alta disponibilidad.
Compatibilidad con grupos de disponibilidad AlwaysOn de SQL Server
MBAM permite configurar y administrar grupos de disponibilidad para las bases de datos de Microsoft SQL Server. Un grupo de disponibilidad para MBAM admite un entorno de conmutación por error donde la base de datos de cumplimiento y auditoría y la base de datos de recuperación conmutan por error juntas en lugar de por separado.
Un grupo de disponibilidad admite un conjunto de bases de datos principales de lectura y escritura y de uno a cuatro conjuntos de bases de datos secundarias correspondientes. Opcionalmente, las bases de datos secundarias pueden estar disponibles para permisos de solo lectura, algunas operaciones de copia de seguridad o para ambas.
Para obtener información sobre cómo configurar grupos de disponibilidad, consulte Grupos de disponibilidad AlwaysOn.
Agrupación en clústeres de Microsoft SQL Server
Puede ejecutar la base de datos de cumplimiento y auditoría de MBAM 2.5 y la base de datos de recuperación en equipos que ejecutan clústeres de SQL Server.
Equilibrio de carga de red de IIS
Puede usar el equilibrio de carga de red para configurar un entorno de alta disponibilidad para los equipos que ejecutan el sitio web de administración y supervisión (también conocido como Help Desk), el portal de Self-Service y los servicios web, que se implementan a través de Internet Information Services (IIS).
Requisitos previos
Antes de configurar el equilibrio de carga, asegúrese de que el entorno cumple los siguientes requisitos previos:
Un equilibrador de carga debe estar disponible. Puede usar equilibradores de carga de Microsoft u otra empresa. Para obtener más información sobre la tecnología del equilibrador de carga de Microsoft, consulte Compilación de una granja de servidores web con servidores IIS.
Al menos dos servidores ejecutan IIS y los servidores cumplen todos los requisitos previos de MBAM para admitir sus características web, incluido ASP.NET MVC 4.
Las bases de datos e informes de MBAM se ejecutan en un servidor.
Cambios específicos de MBAM necesarios para habilitar el equilibrio de carga
Complete las siguientes tareas:
Registre un nombre de entidad de seguridad de servicio (SPN) para el nombre de host virtual en la cuenta de dominio que use para los grupos de aplicaciones web. Por ejemplo, si el nombre de host virtual está mbamvirtual.contoso.com y la cuenta de dominio usada para los grupos de aplicaciones web es contoso\mbamapppooluser, el siguiente comando registra el SPN correctamente.
Setspn -s http//mbamvirtual contoso\mbamapppooluserSetspn -s http//mbamvirtual.contoso.com contoso\mbamapppooluserConfigure las siguientes características web de MBAM:
En cada servidor que hospede las características web de MBAM, use la misma cuenta de dominio para las credenciales administrativas del grupo de aplicaciones.
Especifique un nombre de host que coincida con el nombre de host virtual (nombre DNS) del clúster de equilibrio de carga. Por ejemplo, al instalar MBAM en un servidor denominado "NLB1" con un nombre de host virtual de mbamvirtual.contoso.com, asegúrese de que el nombre de host que especifique en el cmdlet de Windows PowerShell esté mbamvirtual.contoso.com.
Si configura los sitios web en una granja de servidores web con un equilibrador de carga, debe configurar los sitios web para que usen la misma clave de máquina.
Para obtener más información, vea las secciones siguientes en machineKey Element (ASP.NET Settings Schema):
Explicación de la clave de máquina
Consideraciones sobre la implementación de granjas de servidores web
Para obtener instrucciones sobre cómo generar automáticamente una clave, consulte Generación de una clave de máquina (IIS 7).
La información sobre el equilibrio de carga también se aplica a los clústeres de equilibrio de carga de red (NLB) de IIS en Windows Server 2012 o Windows Server 2008 R2. La funcionalidad de equilibrio de carga de red de IIS en Windows Server 2012 es la misma que en Windows Server 2008 R2. Sin embargo, algunos detalles de la tarea son diferentes en Windows Server 2012. Para obtener información sobre las nuevas formas de realizar tareas, consulta Tareas de administración comunes y navegación en Windows Server 2012 R2 Preview y Windows Server 2012.
Creación de reflejo de la base de datos en SQL Server
MBAM admite el uso de la creación de reflejo de SQL Server, donde la base de datos de cumplimiento y auditoría y la base de datos de recuperación se reflejan mediante dos instancias de SQL Server para cada base de datos.
Nota
La creación de reflejo se está eliminando lentamente, en favor de los grupos de disponibilidad.
Para implementar la creación de reflejo para MBAM, debe especificar las cadenas de conexión adecuadas para la configuración de base de datos reflejada mediante el cmdlet Enable-MbamWebApplication de Windows PowerShell. Para obtener más información sobre los cmdlets de Windows PowerShell de MBAM 2.5, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell.
Ejemplos de implementación de la creación de reflejo de SQL Server mediante Windows PowerShell
En los ejemplos siguientes se muestra cómo implementar la creación de reflejo de SQL Server mediante cmdlets de Windows PowerShell.
Ejemplo 1
Enable-MbamWebApplication -AdministrationPortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -AdvancedHelpdeskAccessGroup "MyDomain\AdvancedUserGroup" -HelpdeskAccessGroup "MyDomain\StandardUserGroup" -ReportsReadOnlyAccessGroup "MyDomain\ReportUserGroup" -ReportUrl "https://MyReportServer/ReportServer" -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Ejemplo 2
Enable-MbamWebApplication -SelfServicePortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer; Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;I Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Más información sobre la creación de reflejo de SQL Server
Para obtener más información sobre cómo configurar la creación de reflejo de SQL Server, consulte los artículos siguientes:
Preparación de una base de datos reflejada para la creación de reflejo (Transact-SQL)
Establecer una sesión de creación de reflejo de la base de datos: autenticación de Windows
Copia de seguridad de bases de datos MBAM mediante el servicio de instantáneas de volumen (VSS)
MBAM proporciona un escritor de Servicio de instantáneas de volumen (VSS), denominado Escritor de administración y administración de Microsoft BitLocker. Este sistema de escritura de VSS facilita la copia de seguridad de la base de datos de cumplimiento y auditoría y la base de datos de recuperación.
El escritor de VSS se registra en todos los servidores en los que se habilita una aplicación web de MBAM. El escritor de VSS de MBAM depende del escritor de VSS de SQL Server, que se registra como parte de la instalación de Microsoft SQL Server. Cualquier tecnología de copia de seguridad que use escritores de VSS para realizar copias de seguridad puede detectar el escritor de VSS de MBAM.