规划 MBAM 2.5 高可用性
Microsoft BitLocker 管理和监视 (MBAM) 可以通过使用一个或多个技术来保持高可用性。
使用以下部分中的信息来帮助你了解在高可用性配置中部署 MBAM 的选项。
支持 SQL Server AlwaysOn 可用性组
MBAM 使你能够配置和管理 Microsoft SQL Server 中数据库的可用性组。 MBAM 的可用性组支持故障转移环境,其中合规性和审核数据库以及恢复数据库一起进行故障转移,而不是单独故障转移。
可用性组支持一组读/写主数据库和一到四组相应的辅助数据库。 (可选)辅助数据库可用于只读权限和/或某些备份操作。
有关如何设置可用性组的信息,请参阅 AlwaysOn 可用性组。
Microsoft SQL Server 群集
可以在运行 SQL Server 群集的计算机上运行 MBAM 2.5 合规性和审核数据库以及恢复数据库。
IIS 网络负载均衡
可以使用网络负载均衡为运行管理和监视网站的计算机配置高度可用的环境, (也称为技术支持) 、Self-Service 门户和 Web 服务,这些服务通过 Internet 信息服务 (IIS) 部署。
必备条件
在配置负载均衡之前,请确保环境满足以下先决条件:
负载均衡器必须可用。 可以使用Microsoft或其他公司的负载均衡器。 有关Microsoft负载均衡器技术的详细信息,请参阅 使用 IIS 服务器生成 Web 场。
至少有两台服务器正在运行 IIS,并且服务器满足支持其 Web 功能(包括 ASP.NET MVC 4)的所有 MBAM 先决条件。
MBAM 数据库和报表在服务器上运行。
启用负载均衡所需的特定于 MBAM 的更改
完成以下任务:
在用于 Web 应用程序池的域帐户下为虚拟主机名注册服务主体名称 (SPN) 。 例如,如果虚拟主机名 mbamvirtual.contoso.com,并且用于 Web 应用程序池的域帐户是 contoso\mbamapppooluser,则以下命令会相应地注册 SPN。
Setspn -s http//mbamvirtual contoso\mbamapppooluserSetspn -s http//mbamvirtual.contoso.com contoso\mbamapppooluser配置以下 MBAM Web 功能:
在托管 MBAM Web 功能的每台服务器上,对应用程序池管理凭据使用相同的域帐户。
指定与负载均衡群集的虚拟主机名 (DNS 名称) 匹配的主机名。 例如,在名为“NLB1”且虚拟主机名为 mbamvirtual.contoso.com 的服务器上安装 MBAM 时,请确保在 Windows PowerShell cmdlet 中指定的主机名 mbamvirtual.contoso.com。
如果使用负载均衡器在 Web 场中配置网站,则必须将网站配置为使用相同的计算机密钥。
有关详细信息,请参阅 machineKey Element (ASP.NET Settings Schema) 中的以下部分:
计算机密钥说明
Web 场部署注意事项
有关如何自动生成密钥的说明,请参阅 (IIS 7) 生成计算机密钥 。
有关负载均衡的信息也适用于 Windows Server 2012 或 Windows Server 2008 R2 中的 IIS 网络负载均衡 (NLB) 群集。 Windows Server 2012 中的 IIS 网络负载均衡功能与 Windows Server 2008 R2 中的功能相同。 但是,某些任务详细信息在 Windows Server 2012 中有所不同。 有关执行任务的新方法的信息,请参阅 Windows Server 2012 R2 预览版和 Windows Server 2012 中的常见管理任务和导航。
SQL Server 中的数据库镜像
MBAM 支持使用 SQL Server 镜像,其中合规性和审核数据库以及恢复数据库通过使用每个数据库的两个 SQL Server 实例进行镜像。
注意
镜像正在逐步淘汰,转而使用可用性组。
若要为 MBAM 实现镜像,必须使用 Enable-MbamWebApplication Windows PowerShell cmdlet 为镜像数据库配置指定相应的连接字符串。 有关 MBAM 2.5 Windows PowerShell cmdlet 的详细信息,请参阅 使用 Windows PowerShell 配置 MBAM 2.5 服务器功能。
使用 Windows PowerShell 实现 SQL Server 镜像的示例
以下示例演示如何使用 Windows PowerShell cmdlet 实现 SQL Server 镜像。
示例 1
Enable-MbamWebApplication -AdministrationPortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -AdvancedHelpdeskAccessGroup "MyDomain\AdvancedUserGroup" -HelpdeskAccessGroup "MyDomain\StandardUserGroup" -ReportsReadOnlyAccessGroup "MyDomain\ReportUserGroup" -ReportUrl "https://MyReportServer/ReportServer" -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
示例 2
Enable-MbamWebApplication -SelfServicePortal -ComplianceAndAuditDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer; Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Compliance Status";' -RecoveryDBConnectionString 'Integrated Security=SSPI;Data Source=MyDatabaseServer;I Failover Partner=myMirrorServerAddress;Initial Catalog="MBAM Recovery and Hardware";' -Port 443 -WebServiceApplicationPoolCredential (Get-Credential) -Certificate (dir cert:\LocalMachine\My\E2A7EA5533890D6567E40DFC46F53B3D31D6B689)
有关 SQL Server 镜像的详细信息
有关配置 SQL Server 镜像的详细信息,请参阅以下文章:
使用卷影复制服务备份 MBAM 数据库 (VSS)
MBAM 提供卷影复制服务 (VSS) 编写器,称为 Microsoft BitLocker 管理编写器。 此 VSS 编写器有助于备份合规性和审核数据库以及恢复数据库。
VSS 编写器在启用 MBAM Web 应用程序的每个服务器上注册。 MBAM VSS 编写器依赖于作为 SQL Server 安装Microsoft一部分注册的 SQL Server VSS 编写器。 使用 VSS 编写器执行备份的任何备份技术都可以发现 MBAM VSS 编写器。