设置 BitLocker 门户

适用于: Configuration Manager(current branch)

若要在 Configuration Manager 中使用以下 BitLocker 管理组件，首先需要安装它们：

• 用户自助服务门户
• 管理和监视网站 (支持门户)

可以在安装了 IIS 的现有站点服务器或站点系统服务器上安装门户，也可以使用独立的 Web 服务器来托管门户。

注意

从版本 2006 开始，可以在管理中心站点上安装 BitLocker 自助服务门户以及管理和监视网站。

在版本 2002 及更早版本中，仅安装自助服务门户以及具有主站点数据库的管理和监视网站。 在层次结构中，为每个主站点安装这些网站。

在开始之前，请确认这些组件的 先决条件 。

运行脚本

在目标 Web 服务器上执行以下操作：

注意

根据网站设计，可能需要多次运行脚本。 例如，在管理点上运行脚本以安装管理和监视网站。 然后在独立 Web 服务器上再次运行它，以安装自助服务门户。

1. 将以下文件从 SMSSETUP\BIN\X64 站点服务器上的 Configuration Manager 安装文件夹中复制到目标服务器上的本地文件夹：

   • MBAMWebSite.cab
   • MBAMWebSiteInstaller.ps1

2. 以管理员身份运行 PowerShell，然后运行类似于以下命令行的脚本：

   .\MBAMWebSiteInstaller.ps1 -SqlServerName <ServerName> -SqlInstanceName <InstanceName> -SqlDatabaseName <DatabaseName> -ReportWebServiceUrl <ReportWebServiceUrl> -HelpdeskUsersGroupName <DomainUserGroup> -HelpdeskAdminsGroupName <DomainUserGroup> -MbamReportUsersGroupName <DomainUserGroup> -SiteInstall Both
   

   例如，

   .\MBAMWebSiteInstaller.ps1 -SqlServerName sql.contoso.com -SqlInstanceName instance1 -SqlDatabaseName CM_ABC -ReportWebServiceUrl https://rsp.contoso.com/ReportServer -HelpdeskUsersGroupName "contoso\BitLocker help desk users" -HelpdeskAdminsGroupName "contoso\BitLocker help desk admins" -MbamReportUsersGroupName "contoso\BitLocker report users" -SiteInstall Both
   

   重要

   此示例命令行使用所有可能的参数来显示其用法。 根据环境中的要求调整使用。

安装后，通过以下 URL 访问门户：

• 自助服务门户： https://webserver.contoso.com/SelfService
• 管理和监视网站： https://webserver.contoso.com/HelpDesk

注意

Microsoft建议使用 HTTPS，但不需要使用 HTTPS。 有关详细信息，请参阅 如何在 IIS 上设置 SSL。

脚本用法

此过程使用 PowerShell 脚本（MBAMWebSiteInstaller.ps1）在 Web 服务器上安装这些组件。 它接受以下参数：

• -SqlServerName <ServerName> (必需) ：主站点数据库服务器的完全限定域名。

• -SqlInstanceName <InstanceName>：主站点数据库的 SQL Server 实例名称。 如果 SQL Server 使用默认实例，则不要包含此参数。

• -SqlDatabaseName <DatabaseName> (必需) ：主站点数据库的名称，例如 CM_ABC。

• -ReportWebServiceUrl <ReportWebServiceUrl>：主站点的报告服务点的 Web 服务 URL。 它是 Reporting Services Configuration Manager 中的 Web 服务 URL 值。

  注意

  此参数用于安装从管理和监视网站链接的 恢复审核报告 。 默认情况下，Configuration Manager 包括其他 BitLocker 管理报表。

• -HelpdeskUsersGroupName <DomainUserGroup>：例如 contoso\BitLocker help desk users。 域用户组，其成员有权访问管理和监视网站的 “管理 TPM ”和 “驱动器恢复 ”区域。 使用这些选项时，此角色需要填写所有字段，包括用户的域和帐户名称。

• -HelpdeskAdminsGroupName <DomainUserGroup>：例如 contoso\BitLocker help desk admins。 域用户组，其成员有权访问管理和监视网站的所有恢复区域。 帮助用户恢复其驱动器时，此角色只需输入恢复密钥。

• -MbamReportUsersGroupName <DomainUserGroup>：例如 contoso\BitLocker report users。 域用户组，其成员对管理和监视网站的 “报表” 区域具有只读访问权限。

  注意

  安装程序脚本不会创建在 -HelpdeskUsersGroupName、 -HelpdeskAdminsGroupName 和 -MbamReportUsersGroupName 参数中指定的域用户组。 在运行脚本之前，请确保创建这些组。

  指定 -HelpdeskUsersGroupName、 -HelpdeskAdminsGroupName 和 -MbamReportUsersGroupName 参数时，请确保同时指定域名和组名称。 使用格式 "domain\user_group"。 不要排除域名。 如果域名或组名称包含空格或特殊字符，请将参数括在引号 (") 。

• -SiteInstall Both：指定要安装的组件。 有效选项包括：

  • Both：安装这两个组件
  • HelpDesk：仅安装管理和监视网站
  • SSP：仅安装自助服务门户

• -IISWebSite：脚本安装 MBAM Web 应用程序的网站。 默认情况下，它使用 IIS 默认网站。 使用此参数之前创建自定义网站。

• -InstallDirectory：脚本安装 Web 应用程序文件的路径。 默认情况下，此路径为 C:\inetpub。 使用此参数之前，请创建自定义目录。

• -DomainName 适用于版本 2002 及更高版本：使用技术支持或自助 Web 门户角色指定服务器的 NetBIOS 域名。 仅当 NetBIOS 域名与 DNS 域名不匹配时才是必需的。 此配置也称为不连续的域命名空间。 例如， -DomainName fabrikham 其中 DNS 域名为 contoso.com。

• -Uninstall：卸载之前已安装的 Web 服务器上的 BitLocker Management 技术支持/自助服务 Web 门户网站。

验证

使用以下日志进行监视和故障排除：

• Microsoft-Windows-MBAM-Web 下的 Windows 事件日志。 有关详细信息，请参阅 关于 BitLocker 事件日志 和 服务器事件日志。

• 每个组件的跟踪日志位于以下默认位置：

  • 自助服务门户： C:\inetpub\Microsoft BitLocker Management Solution\Logs\Self Service Website

  • 管理和监视网站： C:\inetpub\Microsoft BitLocker Management Solution\Logs\Help Desk Website

有关故障排除的详细信息，请参阅 BitLocker 疑难解答。

后续步骤

自定义自助服务门户

有关使用已安装的组件的详细信息，请参阅以下文章：

• BitLocker 管理和监视网站
• BitLocker 自助服务门户