Planification de la haute disponibilité MBAM 2.5
Microsoft BitLocker Administration and Monitoring (MBAM) peut maintenir une haute disponibilité en utilisant une ou plusieurs technologies.
Utilisez les informations des sections suivantes pour vous aider à comprendre les options de déploiement de MBAM dans une configuration hautement disponible.
Prise en charge des groupes de disponibilité SQL Server AlwaysOn
MBAM vous permet de configurer et de gérer des groupes de disponibilité pour les bases de données dans Microsoft SQL Server. Un groupe de disponibilité pour MBAM prend en charge un environnement de basculement où la base de données de conformité et d’audit et la base de données de récupération basculent ensemble plutôt que séparément.
Un groupe de disponibilité prend en charge un ensemble de bases de données primaires en lecture/écriture et un à quatre ensembles de bases de données secondaires correspondantes. Si vous le souhaitez, les bases de données secondaires peuvent être mises à disposition pour l’autorisation en lecture seule, certaines opérations de sauvegarde ou pour les deux.
Pour plus d’informations sur la configuration des groupes de disponibilité, consultez Groupes de disponibilité AlwaysOn.
Clustering Microsoft SQL Server
Vous pouvez exécuter la base de données de conformité et d’audit MBAM 2.5 et la base de données de récupération sur les ordinateurs qui exécutent des clusters SQL Server.
Équilibrage de charge réseau IIS
Vous pouvez utiliser l’équilibrage de charge réseau pour configurer un environnement hautement disponible pour les ordinateurs qui exécutent le site web d’administration et de surveillance (également appelé support technique), le portail Self-Service et les services web, qui sont déployés via Internet Information Services (IIS).
Conditions préalables
Avant de configurer l’équilibrage de charge, vérifiez que votre environnement remplit les conditions préalables suivantes :
Un équilibreur de charge doit être disponible. Vous pouvez utiliser des équilibreurs de charge de Microsoft ou d’une autre entreprise. Pour plus d’informations sur la technologie d’équilibreur de charge Microsoft, consultez Créer une batterie de serveurs web avec des serveurs IIS.
Au moins deux serveurs exécutent IIS et les serveurs répondent à toutes les conditions préalables de MBAM pour prendre en charge ses fonctionnalités web, y compris ASP.NET MVC 4.
Les bases de données et les rapports MBAM s’exécutent sur un serveur.
Modifications spécifiques à MBAM requises pour activer l’équilibrage de charge
Effectuez les tâches suivantes :
Inscrivez un nom de principal de service (SPN) pour le nom d’hôte virtuel sous le compte de domaine que vous utilisez pour les pools d’applications web. Par exemple, si le nom d’hôte virtuel est mbamvirtual.contoso.com et que le compte de domaine utilisé pour les pools d’applications web est contoso\mbamapppooluser, la commande suivante inscrit le SPN de manière appropriée.
Setspn -s http//mbamvirtual contoso\mbamapppooluser
Setspn -s http//mbamvirtual.contoso.com contoso\mbamapppooluser
Configurez les fonctionnalités web MBAM suivantes :
Sur chaque serveur qui héberge les fonctionnalités web MBAM, utilisez le même compte de domaine pour les informations d’identification d’administration du pool d’applications.
Spécifiez un nom d’hôte qui correspond au nom d’hôte virtuel (nom DNS) du cluster d’équilibrage de charge. Par exemple, lorsque vous installez MBAM sur un serveur appelé « NLB1 » avec le nom d’hôte virtuel mbamvirtual.contoso.com, vérifiez que le nom d’hôte que vous spécifiez dans l’applet de commande Windows PowerShell est mbamvirtual.contoso.com.
Si vous configurez les sites web dans une batterie de serveurs web avec un équilibreur de charge, vous devez configurer les sites web pour qu’ils utilisent la même clé d’ordinateur.
Pour plus d’informations, consultez les sections suivantes dans machineKey, élément (schéma des paramètres ASP.NET) :
Explication de la clé de machine
Considérations relatives au déploiement de la batterie de serveurs web
Pour obtenir des instructions sur la génération automatique d’une clé, consultez Générer une clé de machine (IIS 7).
Les informations sur l’équilibrage de charge s’appliquent également aux clusters d’équilibrage de charge réseau IIS dans Windows Server 2012 ou Windows Server 2008 R2. La fonctionnalité d’équilibrage de charge réseau IIS dans Windows Server 2012 est identique à celle de Windows Server 2008 R2. Toutefois, certains détails des tâches sont différents dans Windows Server 2012. Pour plus d’informations sur les nouvelles façons d’effectuer des tâches, consultez Tâches de gestion courantes et navigation dans Windows Server 2012 R2 Preview et Windows Server 2012.
Mise en miroir de bases de données dans SQL Server
MBAM prend en charge l’utilisation de la mise en miroir SQL Server, où la base de données de conformité et d’audit et la base de données de récupération sont mises en miroir à l’aide de deux instances de SQL Server pour chaque base de données.
Remarque
La mise en miroir est progressivement supprimée, au profit des groupes de disponibilité.
Pour implémenter la mise en miroir pour MBAM, vous devez spécifier les chaînes de connexion appropriées pour la configuration de la base de données mise en miroir à l’aide de l’applet de commande Windows PowerShell Enable-MbamWebApplication . Pour plus d’informations sur les applets de commande Windows PowerShell MBAM 2.5, consultez Configuration des fonctionnalités du serveur MBAM 2.5 à l’aide de Windows PowerShell.
Exemples d’implémentation de la mise en miroir SQL Server à l’aide de Windows PowerShell
Les exemples suivants montrent comment implémenter la mise en miroir SQL Server à l’aide d’applets de commande Windows PowerShell.
Exemple 1
Enable-MbamWebApplication -AdministrationPortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -AdvancedHelpdeskAccessGroup "MyDomain\AdvancedUserGroup" -HelpdeskAccessGroup "MyDomain\StandardUserGroup" -ReportsReadOnlyAccessGroup "MyDomain\ReportUserGroup" -ReportUrl "https://MyReportServer/ReportServer" -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Exemple 2
Enable-MbamWebApplication -SelfServicePortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer; Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;I Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
Plus d’informations sur la mise en miroir SQL Server
Pour plus d’informations sur la configuration de la mise en miroir SQL Server, consultez les articles suivants :
Guide pratique pour préparer une base de données miroir pour la mise en miroir (Transact-SQL)
Établir une session de mise en miroir de bases de données - Authentification Windows
Sauvegarde de bases de données MBAM à l’aide du service VSS (Volume Shadow Copy Service)
MBAM fournit un enregistreur VSS (Volume Shadow Copy Service), appelé Enregistreur d’administration et de gestion Microsoft BitLocker. Cet enregistreur VSS facilite la sauvegarde de la base de données de conformité et d’audit et de la base de données de récupération.
L’enregistreur VSS est inscrit sur chaque serveur sur lequel vous activez une application web MBAM. L’enregistreur VSS MBAM dépend de l’enregistreur VSS SQL Server, qui est inscrit dans le cadre de l’installation de Microsoft SQL Server. Toute technologie de sauvegarde qui utilise des enregistreurs VSS pour effectuer une sauvegarde peut découvrir l’enregistreur VSS MBAM.