通过

如何配置 MBAM 2.5 Web 应用程序

  • 项目

本文介绍如何使用以下方法之一为 MBAM 2.5 的建议高级体系结构配置 Microsoft BitLocker 管理和监视 (MBAM) 2.5 Web 应用程序:

  • Windows PowerShell cmdlet。

  • MBAM 服务器配置向导。

Web 应用程序包括以下网站及其相应的 Web 服务:

  • 管理和监视网站:指定用户可以在其中查看报告并帮助用户在忘记其 PIN 或密码时恢复其计算机的网站。
  • 自助服务门户:用户可以访问的网站,以便在忘记 PIN 或密码时独立重新获得对其计算机的访问权限。

开始配置之前

使用 Windows PowerShell 配置 Web 应用程序

  1. 在开始配置之前,请参阅 使用 Windows PowerShell 配置 MBAM 2.5 服务器功能 ,以查看使用 Windows PowerShell 的先决条件。

  2. 使用 Enable-MbamWebApplication cmdlet 使用 Windows PowerShell 配置 Web 应用程序。 若要获取有关此 cmdlet 的信息,请键入 Get-Help Enable-MbamWebApplication

使用向导配置所有 Web 应用程序的设置

  1. 在要配置 Web 应用程序的服务器上,启动 MBAM 服务器配置向导。 可以从“开始”菜单中选择“MBAM 服务器配置”以打开向导。

  2. 依次选择“ 添加新功能”、“ 管理和监视网站自助服务门户”,然后选择“ 下一步”。 向导将检查服务器是否满足 Web 应用程序的所有先决条件。

  3. 如果先决条件检查成功,请选择“ 下一步 ”以继续。 否则,请解决任何缺少的先决条件,然后再次选择“ 检查先决条件”。

  4. 使用以下说明在向导中输入字段值。

    字段 说明
    安全证书 选择以前创建的证书,选择性地加密 Web 服务与要配置网站的服务器之间的通信。 如果选择 “不使用证书”,则 Web 通信可能不安全。
    主机名 要在其中配置网站的主计算机的名称。
    安装路径 要在其中安装网站的路径。
    端口 用于网站和服务通信的端口号。 注意: 必须设置防火墙例外才能通过指定的端口启用通信。
    Web 服务应用程序池域帐户和密码 Web 服务应用程序池的域用户帐户和密码。 如果在“配置数据库”页上的“读取/写入访问域用户或组”字段中输入用户名,则必须在此字段中输入相同的值。 如果在“配置数据库”页上的“读取/写入访问域用户或组”字段中输入组名称,则在此字段中输入的值必须是该组的成员。 如果未指定凭据,它将使用你为以前启用的任何 Web 应用程序指定的凭据。 所有 Web 应用程序都必须使用相同的应用程序池凭据。 如果为不同的 Web 应用程序指定不同的凭据,它将使用最近指定的值。 重要: 为了提高安全性,请将凭据中指定的帐户设置为具有有限的用户权限。 此外,将帐户的密码设置为永不过期。

  5. 验证内置IIS_IUSRS帐户或应用程序池帐户是否已在 身份验证后添加到模拟客户端 ,并 验证作为批处理作业登录 本地安全设置。

    若要检查是否已将其添加到本地安全设置,请打开 “本地安全策略”编辑器,展开“ 本地策略” 节点,选择“ 用户权限分配 ”节点,然后双击“ 身份验证后模拟客户端 ”,并在右窗格中 作为批处理作业策略登录

使用向导配置数据库的连接信息

  1. 使用以下字段说明在向导中为合规性和审核数据库配置连接信息。
字段 说明
SQL Server 名称 配置合规性和审核数据库的服务器的名称。
SQL Server 数据库实例 配置合规性和审核数据库的 SQL Server 实例名称。
数据库名称 合规性和审核数据库的名称。
  1. 使用以下字段说明在向导中为恢复数据库配置连接信息。
字段 说明
SQL Server 名称 在其中配置恢复数据库的服务器的名称。
SQL Server 数据库实例 配置恢复数据库的 SQL Server 实例名称。
数据库名称 恢复数据库的名称。

使用向导配置 Web 应用程序

  1. 使用以下说明在向导中输入字段值,以配置管理和监视网站。

    • 高级支持人员角色域组:其成员有权访问“管理和监视”网站的所有区域(“报表”区域除外)的域用户组。

    • 支持人员角色域组:其成员有权访问管理和监视网站的 “管理 TPM ”和 “驱动器恢复 ”区域的域用户组。

    • 使用 System Center Configuration Manager 集成:如果要使用 Configuration Manager 集成拓扑配置 MBAM,请选择此选项。 它使除恢复审核报告之外的所有报表都显示在 Configuration Manager 中,而不是显示在“管理和监视”网站中。

    • 报告角色域组:其成员对“管理和监视”网站的“报表”区域具有只读访问权限的域用户组。

    • SQL Server Reporting Services URL:配置 MBAM 报表的 SSRS 服务器的 URL。 报表 URL 的示例:

      主机名的类型 示例
      具有完全限定域名的示例 https://MyReportServer.Contoso.com/ReportServer
      具有自定义主机名的示例 https://MyReportServer/ReportServer

    • 虚拟目录:管理和监视网站的虚拟目录。 此名称对应于服务器上的网站物理目录,并追加到网站的主机名,例如:

      • https://<hostname>:<port>/HelpDesk/
      • 如果未指定虚拟目录,它将使用值 HelpDesk

    • 数据迁移角色域组 (可选) :其成员有权通过此终结点使用 Write-Mbam*Information Cmdlet 写入恢复信息的域用户组。

  2. 使用以下说明在向导中输入字段值,以配置 Self-Service 门户。

    字段 说明
    虚拟目录 Web 应用程序的虚拟目录。 此名称对应于服务器上的网站物理目录,并追加到网站的主机名,例如: https://<hostname>:<port>/SelfService/。 如果未指定虚拟目录,它将使用值 SelfService
    公司名称 指定 Self-Service 门户的公司名称,例如:Contoso IT。 所有 Self-Service 门户用户都会看到此公司名称。
    支持人员 URL 文本 指定将用户定向到组织的支持人员网站的文本语句,例如:联系支持人员或 IT 部门。
    支持人员 URL 指定组织的支持人员网站的 URL,例如: https://<companyHelpdeskURL>/
    注意文本文件 选择要在门户登录页上向用户显示的通知的文件 Self-Service。
    不向用户显示通知文本 选中此复选框可指定不向用户显示通知文本。

  3. 完成输入后,选择“ 下一步”。

    向导将检查服务器是否满足 Web 应用程序的所有先决条件。

  4. 选择“ 下一步 ”以继续。

  5. “摘要 ”页上,查看将添加的功能。

    注意

    若要为创建的条目创建 Windows PowerShell 脚本,请单击“ 导出 PowerShell 脚本 ”并保存该脚本。

  6. 选择“ 添加 ”将 Web 应用程序添加到服务器,然后选择“ 关闭”。

    若要通过添加自定义通知文本、公司名称、指向详细信息的指针等来自定义 Self-Service 门户,请参阅为组织自定义 Self-Service 门户

配置 Self-Service 门户(如果客户端计算机无法访问 CDN)

  1. 确定是否运行 Microsoft BitLocker 管理和监视 (MBAM) 2.5 SP1。 如果是这样,则不执行任何操作。 Self-Service 门户配置已完成。

    注意

    Microsoft BitLocker 管理和监视 (MBAM) 2.5 SP1 安装 JavaScript 文件,因此无需连接到Microsoft内容分发网络即可配置 Self-Service 门户。 仅当使用的是 MICROSOFT BitLocker Administration and Monitoring (MBAM) SP1 之前的 2.5 版本时,才需要执行以下步骤。

  2. 确定客户端计算机是否有权访问Microsoft内容分发网络 (CDN) 。

    CDN 为 Self-Service 门户提供对某些 JavaScript 文件所需的访问权限。 如果未在客户端计算机无法访问 CDN 时配置 Self-Service 门户,则仅显示公司名称和最终用户登录的帐户。 未显示错误消息。

  3. 执行以下操作之一:

服务器事件日志

配置 MBAM 2.5 服务器功能

当客户端计算机无法访问Microsoft内容分发网络时如何配置 Self-Service 门户

为组织自定义 Self-Service 门户

验证 MBAM 2.5 服务器功能配置