独立和 Configuration Manager 集成拓扑的 MBAM 2.5 服务器先决条件

在开始Microsoft BitLocker 管理和监视 (MBAM) 安装之前,必须完成本文中列出的先决条件。 这些先决条件适用于 MBAM 独立拓扑和 System Center Configuration Manager 集成拓扑。

如果要使用 System Center Configuration Manager 部署 MBAM,则必须完成其他先决条件,这些先决条件 列在 MBAM 2.5 服务器先决条件中,这些先决条件仅适用于 Configuration Manager 集成拓扑

有关 MBAM 支持的硬件和操作系统的列表,请参阅 MBAM 2.5 支持的配置

重要提示

如果在不使用 MBAM 的情况下使用 BitLocker,则必须解密驱动器,然后使用 tpm.msc 清除 TPM。 如果设备已加密并创建了 TPM 所有者密码,则 MBAM 无法获取 TPM 的所有权。

所需的 MBAM 角色和帐户

有关 Active Directory 域服务 (ADDS) 中创建的组的详细信息,请参阅 规划 MBAM 2.5 组和帐户

恢复数据库的先决条件

先决条件 详细信息
支持的 SQL Server 版本 使用SQL_Latin1_General_CP1_CI_AS排序规则安装Microsoft SQL Server。
有关 受支持的版本,请参阅 MBAM 2.5 支持的配置
所需的 SQL Server 权限 所需权限:
- SQL Server 实例登录服务器角色:
- dbcreator
- processadmin
- SQL Server Reporting Services 实例权限:
- 创建文件夹
- 发布报表
可选 - 安装 SQL Server 中提供的透明数据加密 (TDE) 功能 TDE SQL Server 功能对数据和日志文件执行实时 I/O 加密和解密,这有助于遵守适用于各个行业的法律、法规和准则。
注意: TDE 对数据库信息执行实时解密。 如果在 SQL Server 数据库中查看恢复密钥信息,并且使用具有数据库权限的帐户登录,则恢复密钥信息可见。 若要详细了解 TDE,请参阅 MBAM 2.5 安全注意事项
SQL Server 数据库引擎服务 在 MBAM 服务器安装期间,必须安装并运行 SQL Server 数据库引擎服务。
Windows PowerShell 3.0 或更高版本 如果使用 Windows PowerShell 从远程计算机配置数据库,则无需在恢复数据库服务器上安装 Windows PowerShell。

合规性和审核数据库的先决条件

先决条件 详细信息
支持的 SQL Server 版本 使用SQL_Latin1_General_CP1_CI_AS排序规则安装 SQL Server。
有关 受支持的版本,请参阅 MBAM 2.5 支持的配置
所需的 SQL Server 权限 所需权限:
- SQL Server 实例登录服务器角色:
- dbcreator
- processadmin
- SQL Server Reporting Services 实例权限:
- 创建文件夹
- 发布报表
可选 - 在 SQL Server 中安装透明数据加密 (TDE) 功能 TDE SQL Server 功能对数据和日志文件执行实时 I/O 加密和解密,这有助于遵守适用于各个行业的法律、法规和准则。
TDE 对数据库信息执行实时解密。 这意味着,如果在 SQL Server 数据库中查看恢复密钥信息,并且使用对数据库具有权限的帐户登录,则恢复密钥信息可见。 若要详细了解 TDE,请参阅 MBAM 2.5 安全注意事项
SQL Server 数据库引擎服务 在 MBAM 服务器安装期间,必须安装并运行 SQL Server 数据库引擎服务。 但是,SQL Server 可以远程运行;它不必位于要安装 MBAM 服务器软件的同一台服务器上。
Windows PowerShell 3.0 或更高版本 如果使用 Windows PowerShell 从远程计算机配置数据库,则无需在合规性和审核数据库服务器上安装 Windows PowerShell。

报表的先决条件

先决条件 详细信息
支持的 SQL Server 版本 使用SQL_Latin1_General_CP1_CI_AS排序规则安装 SQL Server。
有关 受支持的版本,请参阅 MBAM 2.5 支持的配置
SQL Server Reporting Services (SSRS) 必须在 MBAM 服务器安装期间安装并运行 SSRS。
在“本机”模式下配置 SSRS,而不是在未配置或“SharePoint”模式下配置 SSRS。
SSRS 实例权限 - 仅当在与配置报表的服务器不同的服务器上安装数据库时,才需要配置报表。 所需的实例权限:
- 创建文件夹
- 发布报表
Windows PowerShell 3.0 或更高版本 如果使用 Windows PowerShell 从远程计算机配置数据库,则不必在此数据库服务器上安装 Windows PowerShell。

管理和监视服务器的先决条件

以下部分列出了 MBAM 管理和监视服务器的安装先决条件。

Windows Server Web 服务器角色

必须将此角色添加到管理和监视服务器功能支持的服务器操作系统。

Web 服务器 (IIS) 管理工具

选择 “IIS 管理脚本和工具”。

SSL 证书

可选。 若要保护客户端计算机与 Web 服务之间的通信,必须获取并安装受信任的安全机构签名的证书。

Web 服务器角色服务

常用 HTTP 功能

  • 静态内容
  • 默认文档

应用程序开发

  • ASP.NET
  • .NET 扩展性
  • ISAPI 扩展
  • ISAPI 筛选器

安全性

  • Windows 身份验证
  • 请求筛选

Windows Server 功能

.NET Framework 4.5 功能

  • .NET Framework 4.5 或 4.6

    • Windows Server 2016 - 已为这些版本的 Windows Server 安装 .NET Framework 4.6,但必须启用它。
    • Windows Server 2012 或 Windows Server 2012 R2 - 已为这些版本的 Windows Server 安装 .NET Framework 4.5,但必须启用它。
    • Windows Server 2008 R2 - .NET Framework 4.5 未包含在 Windows Server 2008 R2 中,因此必须 下载Microsoft .NET Framework 4.5 并单独安装。
  • WCF 激活

    • HTTP 激活
    • 非 HTTP 激活 (仅适用于 Windows Server 2008、2012 和 2012 R2)
  • TCP 激活

Windows Process Activation Service

  • 进程模型
  • .NET Framework 环境
  • 配置 API

ASP.NET MVC 4.0

ASP.NET MVC 4 下载

注意

ASP.NET 2023 年 1 月服务更新 (HF08) 之后,不再需要 MVC 4.0。

服务主体名称 (SPN)

Web 应用程序需要用于 Web 应用程序池的域帐户下的虚拟主机名的 SPN。

如果管理权限允许你在 Active Directory 域服务中创建 SPN,则 MBAM 会为你创建 SPN。 有关创建 SPN 所需的权限的信息,请参阅 Setspn

如果你没有创建 SPN 的管理权限,则必须要求组织中的 Active Directory 管理员使用以下命令为你创建 SPN:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

在代码示例中,虚拟主机名为 mbamvirtual.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser

注意

如果设置了负载均衡,请在所有服务器上使用相同的应用程序池帐户。

有关为完全限定的、NetBIOS 和自定义主机名注册 SPN 的详细信息,请参阅 规划如何保护 MBAM 网站

Self-Service 门户的先决条件

受支持的 Windows Server 版本

有关支持的版本列表,请参阅 MBAM 2.5 支持的配置

ASP.NET MVC 4.0

ASP.NET MVC 4 下载

注意

ASP.NET 2023 年 1 月服务更新 (HF08) 之后,不再需要 MVC 4.0。

Web 服务 IIS 管理工具

选择 “IIS 管理脚本和工具”。

服务主体名称 (SPN)

Web 应用程序需要用于 Web 应用程序池的域帐户下的虚拟主机名的 SPN。

如果管理权限允许你在 Active Directory 域服务中创建 SPN,则 MBAM 会为你创建 SPN。 有关创建 SPN 所需的权限的信息,请参阅 Setspn

如果你没有创建 SPN 的管理权限,则必须要求组织中的 Active Directory 管理员使用以下命令为你创建 SPN:

Setspn -s http/mbamvirtual contoso\mbamapppooluser

Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

在代码示例中,虚拟主机名为 mbamvirtual.contoso.com,用于 Web 应用程序池的域帐户为 contoso\mbamapppooluser

注意

如果设置了负载均衡,请在所有服务器上使用相同的应用程序池帐户。

有关为完全限定的、NetBIOS 和自定义主机名注册 SPN 的详细信息,请参阅 规划如何保护 MBAM 网站

管理工作站的先决条件

在安装 MBAM 客户端之前, 请下载 MBAM 组策略模板。 使用要在 BitLocker 驱动器加密的环境中实现的设置配置它们。

在安装 MBAM 客户端之前,还要执行以下步骤:

为 MBAM 2.5 准备环境

计划部署 MBAM 2.5

MBAM 2.5 支持的配置