具有独立拓扑的 MBAM 2.5 的高级体系结构
本文介绍使用 Configuration Manager 独立拓扑部署 Microsoft BitLocker 管理和监视 (MBAM) 的建议体系结构。 在此拓扑中,MBAM 部署为独立产品。 或者,可以使用 Configuration Manager 集成拓扑部署 MBAM,该拓扑将 MBAM 与 Configuration Manager 集成。 有关详细信息,请参阅 具有 Configuration Manager 集成拓扑的 MBAM 2.5 的高级体系结构。
有关本文中提到的受支持版本的软件的列表,请参阅 MBAM 2.5 支持的配置。
注意
建议仅在测试环境中使用单服务器体系结构。
建议的服务器数和支持的客户端数
下表列出了生产环境中建议的服务器数和支持的客户端数:
| 生产环境中建议的体系结构 | 详细信息 |
|---|---|
| 服务器和其他计算机的数量 | 两个服务器 一个工作站 |
| 支持的客户端计算机数 | 500,000 |
建议使用独立拓扑的 MBAM 高级体系结构
下图和部分介绍了使用独立拓扑的 MBAM 推荐的高级双服务器体系结构。 MBAM 多林部署需要单向或双向信任。 单向信任要求服务器域信任客户端域。
合规性和审核数据库
此功能是在运行 Windows Server 和支持的 SQL Server 实例的服务器上配置的。 合规性和审核数据库存储合规性数据,该数据主要用于 SQL Server Reporting Services 托管的报表。
恢复数据库
此功能是在运行 Windows Server 和支持的 SQL Server 实例的服务器上配置的。 恢复数据库存储从 MBAM 客户端计算机收集的恢复数据。
报告
此功能是在运行 Windows Server 和支持的 SQL Server 实例的服务器上配置的。 报告提供有关企业中客户端计算机的恢复审核和符合性状态数据。 可以从管理和监视网站或直接从 SQL Server Reporting Services 访问报表。
管理和监视服务器
管理和监视网站
此功能在运行 Windows Server 的计算机上配置。 管理和监视网站用于:
帮助用户在被锁定时重新获得对其计算机的访问权限。网站的此区域通常称为技术支持。
查看显示客户端计算机的符合性状态和恢复活动的报告。
Self-Service 门户
此功能在运行 Windows Server 的计算机上配置。 自助服务门户是一个网站,使客户端计算机上的最终用户能够独立登录到网站,以便在丢失或忘记 BitLocker 密码时获取恢复密钥。
监视此网站的 Web 服务
此功能在运行 Windows Server 的计算机上配置。 MBAM 客户端和网站使用 监视 Web 服务 与数据库通信。
注意
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 中不再提供监视 Web 服务,因为 MBAM 网站直接与恢复数据库通信。
管理工作站
MBAM 组策略模板
MBAM 组策略模板是定义 MBAM 实现设置的组策略设置,可用于管理 BitLocker 驱动器加密。
在运行 MBAM 之前,必须从 如何下载和部署 MDOP 组策略 (.admx) 模板 下载组策略模板,并将其复制到运行受支持的 Windows Server 或 Windows 操作系统的服务器或工作站。
工作站不必是专用计算机。
MBAM 客户端和 Configuration Manager 客户端计算机
MBAM 客户端软件
MBAM 客户端:
使用组策略对象在企业中的客户端计算机上强制实施 BitLocker 驱动器加密。
收集三种数据驱动器类型的 BitLocker 恢复密钥:操作系统驱动器、固定数据驱动器和可移动 (USB) 数据驱动器。
收集有关客户端计算机的恢复信息和计算机信息。