Настройка веб-приложений MBAM 2.5

Статья
06/16/2016

В этой статье объясняется, как настроить веб-приложения Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 для рекомендуемой высокоуровневой архитектуры для MBAM 2.5 с помощью одного из следующих методов:

Командлет Windows PowerShell.
Мастер настройки сервера MBAM.

Веб-приложения включают следующие веб-сайты и соответствующие им веб-службы:

Веб-сайт администрирования и мониторинга: веб-сайт, на котором указанные пользователи могут просматривать отчеты и помогать пользователям восстанавливать свои компьютеры, когда они забывают СВОЙ ПИН-код или пароль.
Портал самообслуживания: веб-сайт, к которому пользователи могут самостоятельно восстановить доступ к своим компьютерам, если забудут СВОЙ ПИН-код или пароль.

Перед началом настройки

Ознакомьтесь с рекомендуемой архитектурой для MBAM. Дополнительные сведения см. в статье Высокоуровневая архитектура для MBAM 2.5.
Просмотрите поддерживаемые конфигурации для MBAM. Дополнительные сведения см. в статье Поддерживаемые конфигурации MBAM 2.5.
Выполните необходимые предварительные требования на каждом сервере. Перед настройкой веб-сайта администрирования и мониторинга убедитесь, что вы настроите SQL Server Reporting Services (SSRS) для использования протокола SSL. В противном случае функция "Отчеты" использует http вместо HTTPS. Дополнительные сведения см. в статье Предварительные требования к серверу MBAM 2.5 для автономных и Configuration Manager топологий интеграции, а также предварительные требования к серверу MBAM 2.5, которые применяются только к топологии интеграции Configuration Manager (если применимо).
Регистрация имен субъектов-служб (SPN) для учетной записи пула приложений для веб-сайтов. Этот шаг необходимо выполнить только в том случае, если у вас нет прав администратора домена в доменные службы Active Directory (ADDS). Если у вас есть эти права в ADD, MBAM создает имена субъектов-служб. Дополнительные сведения см. в разделе Планирование защиты веб-сайтов MBAM.
Установите программное обеспечение MBAM Server на каждом сервере, где будет настроен компонент СЕРВЕРА MBAM. Если вы планируете установить веб-сайты на одном сервере, а веб-службы — на другом, их можно настроить только с помощью командлета Enable-MbamWebApplication Windows PowerShell. Мастер настройки сервера MBAM не поддерживает настройку этих элементов на отдельных серверах. Дополнительные сведения см. в статье Установка программного обеспечения сервера MBAM 2.5.
Ознакомьтесь с предварительными условиями для использования Windows PowerShell если вы планируете использовать командлеты для настройки функций сервера MBAM. Дополнительные сведения см. в статье Настройка функций сервера MBAM 2.5 с помощью Windows PowerShell.

Настройка веб-приложений с помощью Windows PowerShell

Перед началом настройки ознакомьтесь с разделом Настройка функций сервера MBAM 2.5 с помощью Windows PowerShell, чтобы просмотреть предварительные требования для использования Windows PowerShell.
Используйте командлет Enable-MbamWebApplication, чтобы настроить веб-приложения с помощью Windows PowerShell. Чтобы получить сведения об этом командлете, введите Get-Help Enable-MbamWebApplication.

Настройка параметров для всех веб-приложений с помощью мастера

На сервере, на котором вы хотите настроить веб-приложения, запустите мастер настройки сервера MBAM. Чтобы открыть мастер, выберите MbAM Server Configuration (Конфигурация сервера MBAM ) в меню Пуск .
Выберите Добавить новые функции, администрирование и мониторинг веб-сайт и портал самообслуживания, а затем нажмите кнопку Далее. Мастер проверяет, соответствует ли сервер всем предварительным требованиям для веб-приложений.
Если предварительный проверка выполнен успешно, нажмите кнопку Далее, чтобы продолжить. В противном случае устраните все отсутствующие предварительные требования, а затем снова выберите Проверить предварительные требования.

Используйте следующие описания, чтобы ввести значения полей в мастере.

Поле	Описание
Сертификат безопасности	Выберите ранее созданный сертификат, чтобы при необходимости зашифровать обмен данными между веб-службами и сервером, на котором настраиваются веб-сайты. Если вы выберете Не использовать сертификат, веб-связь может оказаться небезопасной.
Имя узла	Имя главного компьютера, на котором настраивается веб-сайт.
Путь установки	Путь к установке веб-сайтов.
Port	Номер порта для связи с веб-сайтом и службой. Заметка: Необходимо задать исключение брандмауэра, чтобы включить обмен данными через указанный порт.
Учетная запись домена и пароль пула приложений веб-служб	Учетная запись пользователя домена и пароль для пула приложений веб-службы. Если вы введете имя пользователя в поле Пользователь домена или группа доступа для чтения и записи на странице Настройка баз данных , необходимо ввести это же значение в этом поле. Если ввести имя группы в поле Пользователь домена или группа для чтения и записи на странице Настройка баз данных , то значение, введенное в этом поле, должно быть членом этой группы. Если учетные данные не указаны, используются учетные данные, указанные для любого ранее включенного веб-приложения. Все веб-приложения должны использовать одни и те же учетные данные пула приложений. При указании разных учетных данных для разных веб-приложений используется последнее указанное значение. Важный: Для повышения безопасности задайте для учетной записи, указанной в учетных данных, ограниченные права пользователя. Кроме того, задайте пароль учетной записи так, чтобы срок действия не истекал.

Убедитесь, что встроенная учетная запись IIS_IUSRS или учетная запись пула приложений добавлены в параметр олицетворения клиента после проверки подлинности и локальные параметры безопасности вход в качестве пакетного задания .

Чтобы проверка, добавлен ли он в локальные параметры безопасности, откройте редактор локальной политики безопасности, разверните узел Локальные политики, выберите узел Назначение прав пользователя и дважды щелкните олицетворение клиента после проверки подлинности и войдите в систему как политики пакетного задания в правой области.

Настройка сведений о подключении для баз данных с помощью мастера

Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных соответствия и аудита.

Поле	Описание
имя SQL Server	Имя сервера, на котором настроена база данных соответствия и аудита.
экземпляр базы данных SQL Server	SQL Server имя экземпляра, в котором настроена база данных соответствия и аудита.
Имя базы данных	Имя базы данных соответствия и аудита.

Используйте следующие описания полей, чтобы настроить сведения о подключении в мастере для базы данных восстановления.

Поле	Описание
имя SQL Server	Имя сервера, на котором настроена база данных восстановления.
экземпляр базы данных SQL Server	SQL Server имя экземпляра, в котором настроена база данных восстановления.
Имя базы данных	Имя базы данных восстановления.

Настройка веб-приложений с помощью мастера

Используйте следующие описания, чтобы ввести значения полей в мастере настройки веб-сайта администрирования и мониторинга.

Расширенная группа доменных ролей службы поддержки: группа пользователей домена, члены которой имеют доступ ко всем областям веб-сайта администрирования и мониторинга, кроме области "Отчеты".
Группа доменов ролей службы поддержки: группа пользователей домена, члены которой имеют доступ к областям Управление доверенным платформенный платформенный платформой и восстановлением диска на веб-сайте администрирования и мониторинга.
Использование Интеграции Configuration Manager System Center. Если вы настраиваете MBAM с топологией интеграции Configuration Manager, выберите этот параметр. Все отчеты, кроме отчета об аудите восстановления, отображаются в Configuration Manager, а не на веб-сайте администрирования и мониторинга.
Доменная группа ролей отчетов. Группа пользователей домена, члены которой имеют доступ только для чтения к области "Отчеты" веб-сайта "Администрирование и мониторинг".

SQL SERVER REPORTING SERVICES URL-адрес: URL-адрес сервера SSRS, на котором настроены отчеты MBAM. Примеры URL-адресов отчетов:

Тип имени узла	Пример
Пример с полным доменным именем	`https://MyReportServer.Contoso.com/ReportServer`
Пример с пользовательским именем узла	`https://MyReportServer/ReportServer`

Виртуальный каталог: виртуальный каталог веб-сайта администрирования и мониторинга. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например:
- https://<hostname>:<port>/HelpDesk/
- Если не указать виртуальный каталог, он использует значение HelpDesk.
Группа домена ролей переноса данных (необязательно): группа пользователей домена, члены которой имеют доступ к использованию Write-Mbam*Information командлетов для записи сведений о восстановлении через эту конечную точку.

Используйте следующее описание, чтобы ввести значения полей в мастере настройки портала Self-Service.

Поле	Описание
Виртуальный каталог	Виртуальный каталог веб-приложения. Это имя соответствует физическому каталогу веб-сайта на сервере и добавляется к имени узла веб-сайта, например: `https://<hostname>:<port>/SelfService/`. Если не указать виртуальный каталог, он использует значение SelfService.
Название организации	Укажите название компании для портала Self-Service, например Contoso IT. Все пользователи портала Self-Service видят это название компании.
Текст URL-адреса службы поддержки	Укажите текстовую инструкцию, которая направляет пользователей на веб-сайт службы технической поддержки вашей организации, например Обращение в службу поддержки или ИТ-отдел.
URL-адрес службы поддержки	Укажите URL-адрес веб-сайта службы поддержки вашей организации, например . `https://<companyHelpdeskURL>/`
Текстовый файл уведомления	Выберите файл, содержащий уведомление, которое вы хотите отобразить пользователям на целевой странице портала Self-Service.
Не отображать текст уведомления для пользователей	Выберите это поле проверка, чтобы указать, что текст уведомления не отображается для пользователей.

Завершив работу с записями, нажмите кнопку Далее.

Мастер проверяет, соответствует ли сервер всем предварительным требованиям для веб-приложений.
Нажмите кнопку Далее , чтобы продолжить.
На странице Сводка просмотрите функции, которые будут добавлены.

Примечание.

Чтобы создать скрипт Windows PowerShell для внесенных записей, щелкните Экспорт скрипта PowerShell и сохраните скрипт.
Нажмите кнопку Добавить , чтобы добавить веб-приложения на сервер, а затем нажмите кнопку Закрыть.

Сведения о настройке портала Self-Service путем добавления пользовательского текста уведомления, названия компании, указателей на дополнительные сведения и т. д. см. в статье Настройка портала Self-Service для организации.

Настройка портала Self-Service, если клиентские компьютеры не могут получить доступ к СЕТИ CDN

Определите, используете ли вы Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1). Если да, ничего не делать. Настройка портала Self-Service завершена.

Примечание.

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1) устанавливает файлы JavaScript в программе установки, поэтому для настройки портала Self-Service не требуется подключаться к сети доставки содержимого Майкрософт. Следующие действия необходимы, только если вы используете версию Microsoft BitLocker Administration and Monitoring (MBAM) 2.5, предыдущую версии с пакетом обновления 1 (SP1).
Определите, имеют ли клиентские компьютеры доступ к сети доставки содержимого (CDN) Майкрософт.

CdN предоставляет порталу Self-Service доступ к определенным файлам JavaScript. Если вы не настроите портал Self-Service, когда клиентские компьютеры не могут получить доступ к СЕТИ CDN, будут отображаться только название компании и учетная запись, под которой выполнен вход конечного пользователя. Сообщение об ошибке не отображается.
Выполните одно из следующих действий:
- Если клиентские компьютеры имеют доступ к СЕТИ CDN, ничего не делайте. Настройка портала Self-Service завершена.
- Если у ваших клиентских компьютеров нет доступа к СЕТИ CDN, выполните действия, описанные в статье Настройка портала Self-Service, если клиентские компьютеры не могут получить доступ к сети доставки содержимого Майкрософт.