具有獨立拓撲的 MBAM 2.5 高階架構
本文說明使用 Configuration Manager 獨立拓撲部署 Microsoft BitLocker Administration and Monitoring (MBAM) 的建議架構。 在此拓撲中,MBAM 會部署為獨立產品。 您也可以使用整合 MBAM 與 Configuration Manager 的 Configuration Manager 整合拓撲來部署 MBAM。 如需詳細資訊,請 參閱 MBAM 2.5 與 Configuration Manager 整合拓撲的高階架構。
如需本文所述軟體支援的版本清單,請參閱 MBAM 2.5 支援的設定。
注意
建議您只在測試環境中使用單一伺服器架構。
建議的伺服器數目和支援的用戶端數目
下表列出生產環境中建議的伺服器數目和支援的用戶端數目:
| 生產環境中的建議架構 | 詳細資料 |
|---|---|
| 伺服器和其他計算機的數目 | 兩部伺服器 一個工作站 |
| 支援的用戶端電腦數目 | 500,000 |
建議使用獨立拓撲的 MBAM 高階架構
下圖和各節說明使用獨立拓撲之 MBAM 的建議高階雙伺服器架構。 MBAM 多樹系部署需要單向或雙向信任。 單向信任需要伺服器網域信任用戶端網域。
合規性與稽核資料庫
這項功能是在執行 Windows Server 和支援 SQL Server 實例的伺服器上設定。 合規性和稽核資料庫會儲存合規性數據,主要用於 SQL Server Reporting Services 裝載的報表。
復原資料庫
這項功能是在執行 Windows Server 和支援 SQL Server 實例的伺服器上設定。 復原資料庫會儲存從MBAM用戶端計算機收集的復原數據。
報告
這項功能是在執行 Windows Server 和支援 SQL Server 實例的伺服器上設定。 報告提供有關您企業中用戶端計算機的復原稽核和合規性狀態數據。 您可以從系統管理與監視網站,或直接從 SQL Server Reporting Services 存取報告。
管理與監視伺服器
管理和監視網站
這項功能是在執行 Windows Server 的電腦上設定。 系統管理與監視網站可用來:
協助使用者在電腦遭到鎖定時重新取得其計算機的存取權。網站的這個區域通常稱為技術支援中心。
檢視顯示用戶端計算機合規性狀態和復原活動的報表。
Self-Service 入口網站
這項功能是在執行 Windows Server 的電腦上設定。 自助入口網站是一個網站,可讓用戶端電腦上的終端用戶在遺失或忘記 BitLocker 密碼時,獨立登入網站以取得修復密鑰。
監視此網站的Web服務
這項功能是在執行 Windows Server 的電腦上設定。 MBAM 用戶端和網站會使用 監視 Web 服務 來與資料庫通訊。
注意
由於 MBAM 網站直接與復原資料庫通訊,因此 MBAM (MBAM) 2.5 SP1 Microsoft不再提供監視 Web 服務。
管理工作站
MBAM 組策略範本
MBAM 組策略範本是組策略設定,可定義 MBAM 的實作設定,可讓您管理 BitLocker 磁碟驅動器加密。
執行 MBAM 之前,您必須先從 如何下載及部署 MDOP 組策略 (.admx) 範本 下載組策略範本,並將其複製到執行受支援 Windows Server 或 Windows 操作系統的伺服器或工作站。
工作站不需要是專用計算機。
MBAM 用戶端和 Configuration Manager 用戶端電腦
MBAM 用戶端軟體
MBAM 用戶端:
使用組策略 物件,在企業中的用戶端計算機上強制執行 BitLocker 磁碟驅動器加密。
收集三種數據磁碟驅動器類型的 BitLocker 修復金鑰:操作系統磁碟驅動器、固定數據磁碟驅動器和卸載式 (USB) 數據磁碟驅動器。
收集有關用戶端電腦的復原資訊和計算機資訊。