MBAM 2.0 機能を別のコンピューターに移動する方法

このトピックでは、1 つ以上の Microsoft BitLocker 管理および監視 (MBAM) 機能を別のコンピューターに移動するために実行する必要がある手順について説明します。 複数の Microsoft BitLocker の管理と監視機能を移動する場合は、次の順序で移動する必要があります。

1. 復旧データベース

2. コンプライアンスと監査データベース

3. コンプライアンスレポートと監査レポート

4. 管理と監視

復旧データベースの移動

回復データベースをあるコンピューターから別のコンピューター (サーバー A からサーバー B など) に移動するには、次の手順に従います。

1. 管理および監視 Web サイトのすべてのインスタンスを停止します。

2. サーバー B で MBAM セットアップを実行します。

3. サーバー A で MBAM 回復データベースをバックアップします。

4. MBAM 回復データベースをサーバー A から B に移動します。

5. サーバー B で MBAM 回復データベースを復元します。

6. サーバー B の MBAM 回復データベースへのアクセスを構成します。

7. MBAM 管理サーバーと監視サーバーでデータベース接続データを更新します。

8. MBAM 管理および監視 Web サイトのすべてのインスタンスを再開します。

MBAM 管理および監視 Web サイトのすべてのインスタンスを停止する

1. MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。

   PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”

   注
   この PowerShell コマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトの実行を有効にするには、PowerShell 実行ポリシーを更新する必要があります。

サーバー B で MBAM セットアップを実行する

1. サーバー B で MBAM セットアップを実行し、インストール用の 回復データベース のみを選択します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=KeyDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ TOPOLOGY=$X$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database を移動するサーバーとインスタンスの名前を入力します。

   • $DOMAIN$\$SERVERNAME$ - 復旧データベースに接続する各 MBAM 管理サーバーと監視サーバーのドメイン名とサーバー名を入力します。 セミコロンを使用して、リスト内の各ドメインとサーバーのペアを区切ります (たとえば、$DOMAIN\SERVERNAME$;$DOMAIN\$SERVERNAME$$)。 各サーバー名の後には、例 (MyDomain\MyServerName1$;MyDomain\MyServerName2$)。

   • $X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。

サーバー A 上の回復データベースをバックアップする

1. サーバー A 上の回復データベースをバックアップするには、SQL Server Management Studioとバックアップという名前のタスクを使用します。 既定では、データベース名は MBAM Recovery Database です。

2. この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。

   完全復旧モードを使用するように MBAM 回復データベースを変更します。

   USE master;
   
   GO
   
   ALTER DATABASE "MBAM Recovery and Hardware"
   
      SET RECOVERY FULL;
   
   GO
   
   -- Create MBAM Recovery Database Data and MBAM Recovery logical backup devices.
   
   USE master
   
   GO
   
   EXEC sp_addumpdevice 'disk', 'MBAM Recovery and Hardware Database Data Device',
   
   'Z:\MBAM Recovery Database Data.bak';
   
   GO
   
   -- Back up the full MBAM Recovery Database.
   
   BACKUP DATABASE [MBAM Recovery and Hardware] TO [MBAM Recovery and Hardware Database Data Device];
   
   GO
   
   BACKUP CERTIFICATE [MBAM Recovery Encryption Certificate]
   
   TO FILE = 'Z:\SQLServerInstanceCertificateFile'
   
   WITH PRIVATE KEY
   
   (
   
       FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey',
   
       ENCRYPTION BY PASSWORD = '$PASSWORD$'
   
   );
   
   GO
   

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $PASSWORD$ - 秘密キー ファイルの暗号化に使用するパスワードを入力します。

3. SQL Server PowerShell と次のようなコマンド ラインを使用して SQL ファイルを実行します。

   PS C:\> Invoke-Sqlcmd -InputFile 'Z:\BackupMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database のバックアップ元となるサーバーとインスタンスの名前を入力します。

復旧データベースと証明書をサーバー A からサーバー B に移動する

1. Windows エクスプローラーを使用して、次のファイルをサーバー A からサーバー B に移動します。

   • MBAM Recovery Database data.bak

2. 暗号化されたデータベースの証明書を移動するには、次の自動化手順を使用します。 この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Copy-Item “Z:\MBAM Recovery Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$

   PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFile” \\$SERVERNAME$\$DESTINATIONSHARE$

   PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFilePrivateKey” \\$SERVERNAME$\$DESTINATIONSHARE$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$ - ファイルのコピー先となるサーバーの名前を入力します。

   • $DESTINATIONSHARE$ - 共有の名前とファイルのコピー先のパスを入力します。

サーバー B の回復データベースを復元する

1. SQL Server Management Studioとデータベースの復元という名前のタスクを使用して、サーバー B 上の回復データベースを復元します。

2. タスクが完了したら、[ デバイスから ] オプションを選択してデータベース バックアップ ファイルを選択し、[ 追加] コマンドを使用して MBAM Recovery データベース Data.bak ファイルを選択します。

3. [OK] を選択して復元プロセスを完了します。

4. この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。

   -- Restore MBAM Recovery Database. 
   
   USE master
   
   GO
   
   -- Drop certificate created by MBAM Setup.
   
   DROP CERTIFICATE [MBAM Recovery Encryption Certificate]
   
   GO
   
   --Add certificate
   
   CREATE CERTIFICATE [MBAM Recovery Encryption Certificate]
   
   FROM FILE = 'Z: \SQLServerInstanceCertificateFile'
   
   WITH PRIVATE KEY
   
   (
   
       FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey',
   
       DECRYPTION BY PASSWORD = '$PASSWORD$'
   
   );
   
   GO
   
   -- Restore the MBAM Recovery Database data and log files.
   
   RESTORE DATABASE [MBAM Recovery and Hardware]
   
      FROM DISK = 'Z:\MBAM Recovery Database Data.bak'
   
      WITH REPLACE
   

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $PASSWORD$ - 秘密キー ファイルの暗号化に使用したパスワードを入力します。

5. Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。

   PS C:\> Invoke-Sqlcmd -InputFile 'Z:\RestoreMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database を復元するサーバーとインスタンスの名前を入力します。

サーバー B 上の回復データベースへのアクセスを構成する

1. サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、MBAM 管理と監視機能を実行している各サーバーのコンピューター アカウントを、MBAM Recovery と Hardware DB Access という名前のローカル グループに追加します。

2. 復元されたデータベースの SQL ログイン MBAM Recovery とハードウェア DB アクセスが、$\MBAM Recovery および Hardware DB Access$MachineNameログイン名にマップされていることを確認します。 説明どおりにマップされていない場合は、同様のグループ メンバーシップを持つ別のログインを作成し、それを ログイン名$MachineName $\MBAM Recovery および Hardware DB Access にマップします。

3. この手順を自動化するには、サーバー B のWindows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add

   注
   上の例の次の値を、環境に該当する値に置き換えます。

   • $DOMAIN$\$SERVERNAME$$ - MBAM 管理および監視サーバーのドメインとマシン名を入力します。 例に示すように、サーバー名の後に $が続く必要があります (たとえば、MyDomain\MyServerName1$)。

このコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。

MBAM 管理サーバーと監視サーバーで復旧データベース接続データを更新する

1. MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、管理および監視 Web サイトでホストされている次のアプリケーションの接続文字列情報を更新します。

   • MBAMAdministrationService

   • MBAMRecoveryAndHardwareService

2. 各アプリケーションを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。

3. セクション リスト コントロールから configurationStrings オプションを選択します。

4. (Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。

5. コレクション エディターで、MBAMAdministrationService アプリケーションの構成を更新するときに KeyRecoveryConnectionString という名前の行または Microsoft.Mbam.RecoveryAndHardwareDataStore という名前の行を選択します。MBAMRecoveryAndHardwareService の構成を更新するときの ConnectionString。

6. configurationStrings プロパティの Data Source= 値を更新して、Recovery Database の移動先のサーバー名とインスタンス ($SERVERNAME$\$SQLINSTANCENAME$など) を一覧表示します。

7. この手順を自動化するには、Windows を使用して、各管理サーバーと監視サーバーで次のようなコマンド ラインを入力します。

   PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="KeyRecoveryConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value “Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;”

   PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Mbam.RecoveryAndHardwareDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMRecoveryAndHardwareService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;"

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database があるサーバー名とインスタンスを入力します。

MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する

1. MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker 管理と監視という名前の MBAM Web サイトを起動します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。

   PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”

コンプライアンスと監査データベース機能の移動

MBAM コンプライアンスと監査データベースをコンピューター間で移動する (つまり、データベースをサーバー A からサーバー B に移動する) 場合は、次の手順に従います。 このプロセスには、次の大まかな手順が含まれます。

1. 管理および監視 Web サイトのすべてのインスタンスを停止します。

2. サーバー B で MBAM セットアップを実行します。

3. サーバー A 上のデータベースをバックアップします。

4. データベースをサーバー A から B に移動します。

5. サーバー B 上のデータベースを復元します。

6. サーバー B 上のデータベースへのアクセスを構成します。

7. MBAM 管理サーバーと監視サーバーでデータベース接続データを更新します。

8. SSRS レポートのデータ ソース接続文字列を、コンプライアンスデータベースと監査データベースの新しい場所に更新します。

9. 管理および監視 Web サイトのすべてのインスタンスを再開します。

管理および監視 Web サイトのすべてのインスタンスを停止する

1. MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Stop-s “Microsoft BitLocker Administration and Monitoring”

   注
   このコマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトを実行できるように PowerShell 実行ポリシーを更新する必要があります。

サーバー B で MBAM セットアップを実行する

1. サーバー B で MBAM セットアップを実行し、インストールする コンプライアンスデータベースと監査データベース のみを選択します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal= ReportsDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$ COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNT=$DOMAIN$\$USERNAME$ TOPOLOGY=$X$

   注
   注: 上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースの移動先となるサーバー名とインスタンスを入力します。

   • $DOMAIN$\$SERVERNAME$ - コンプライアンスと監査データベースに接続する各 MBAM 管理サーバーと監視サーバーのドメイン名とサーバー名を入力します。 セミコロンを使用して、一覧内の各ドメインとサーバーのペアを区切ります (たとえば、$DOMAIN\SERVERNAME$;$DOMAIN\$SERVERNAME$$)。 各サーバー名の後には、例 (MyDomain\MyServerName1$;MyDomain\MyServerName2$)。

   • $DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。

   • $X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。

サーバー A のコンプライアンスデータベースと監査データベースをバックアップする

1. サーバー A 上のコンプライアンスデータベースと監査データベースをバックアップするには、SQL Server Management Studioとバックアップという名前のタスクを使用します。 既定では、データベース名は MBAM コンプライアンス状態データベースです。

2. この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。

   -- Modify the MBAM Compliance Status Database to use the full recovery model.
   
   USE master;
   
   GO
   
   ALTER DATABASE "MBAM Compliance Status"
   
      SET RECOVERY FULL;
   
   GO
   
   -- Create MBAM Compliance Status Data logical backup devices.
   
   USE master
   
   GO
   
   EXEC sp_addumpdevice 'disk', 'MBAM Compliance Status Database Data Device',
   
   'Z: \MBAM Compliance Status Database Data.bak';
   
   GO
   
   -- Back up the full MBAM Recovery database.
   
   BACKUP DATABASE [MBAM Compliance Status] TO [MBAM Compliance Status Database Data Device];
   
   GO
   

3. 次のようなWindows PowerShellコマンド ラインを使用して SQL ファイルを実行します。

   PS C:\> Invoke-Sqlcmd -InputFile "Z:\BackupMBAMComplianceStatusDatabaseScript.sql" –ServerInstance $SERVERNAME$\$SQLINSTANCENAME$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースのバックアップ元となるサーバー名とインスタンスを入力します。

コンプライアンスデータベースと監査データベースをサーバー A から B に移動する

1. Windows エクスプローラーを使用して、次のファイルをサーバー A からサーバー B に移動します。

   • MBAM コンプライアンス状態データベース Data.bak

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Copy-Item “Z:\MBAM Compliance Status Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$ - ファイルのコピー先となるサーバー名を入力します。

   • $DESTINATIONSHARE$ - ファイルのコピー先となる共有の名前とパスを入力します。

サーバー B のコンプライアンスデータベースと監査データベースを復元する

1. SQL Server Management Studioとデータベースの復元という名前のタスクを使用して、サーバー B のコンプライアンスデータベースと監査データベースを復元します。

2. タスクが完了したら、[ デバイスから ] オプションを選択してデータベース バックアップ ファイルを選択し、[ 追加] コマンドを使用して MBAM コンプライアンス状態データベース Data.bak ファイルを選択します。 [OK] を選択して復元プロセスを完了します。

3. この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。

   -- Create MBAM Compliance Status Database Data logical backup devices. 
   
   Use master
   
   GO
   
   -- Restore the MBAM Compliance Status database data files.
   
   RESTORE DATABASE [MBAM Compliance Status]
   
      FROM DISK = 'C:\test\MBAM Compliance Status Database Data.bak'
   
      WITH REPLACE
   

4. 次のようなWindows PowerShellコマンド ラインを使用して SQL ファイルを実行します。

   PS C:\> Invoke-Sqlcmd -InputFile "Z:\RestoreMBAMComplianceStatusDatabaseScript.sql" -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースの復元先となるサーバー名とインスタンスを入力します。

サーバー B のコンプライアンスデータベースと監査データベースへのアクセスを構成する

1. サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、MBAM の管理と監視機能を実行している各サーバーのコンピューター アカウントを、MBAM コンプライアンス状態 DB Access という名前のローカル グループに追加します。

2. 復元されたデータベースの SQL ログイン MBAM コンプライアンス監査 DB アクセス が、ログイン名 $MachineName $\ MBAM コンプライアンス監査 DB Access にマップされていることを確認します。 説明どおりにマップされていない場合は、同様のグループ メンバーシップを持つ別のログインを作成し、それをログイン名 $MachineName $\ MBAM コンプライアンス監査 DB Access にマップします。

3. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインをサーバー B に入力します。

   PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add

   PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$REPORTSUSERNAME$ /add

   注
   上の例の次の値を、環境に該当する値に置き換えます。

   • $DOMAIN$\$SERVERNAME$$ - MBAM 管理および監視サーバーのドメインとマシン名を入力します。 例に示すように、サーバー名の後に "$" が続く必要があります。 (たとえば、MyDomain\MyServerName1$)

   • $DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。

MBAM コンプライアンスおよび監査データベース アクセス ローカル グループにサーバーを追加するためのコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。

MBAM 管理サーバーと監視サーバーでデータベース接続データを更新する

1. MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、管理および監視 Web サイトでホストされている次のアプリケーションの接続文字列情報を更新します。

   • MBAMAdministrationService

   • MBAMComplianceStatusService

2. 各アプリケーションを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。

3. セクション リスト コントロールから configurationStrings オプションを選択します。

4. (Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。

5. コレクション エディターで、MBAMAdministrationService アプリケーションの構成を更新するときに ComplianceStatusConnectionString という名前の行を選択するか、MBAMComplianceStatusService の構成を更新するときに Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString という名前の行を選択します。

6. configurationStrings プロパティの Data Source= 値を更新して、Recovery Database が移動されたサーバーとインスタンスの名前 (たとえば、$SERVERNAME$\$SQLINSTANCENAME) を一覧表示します。

7. この手順を自動化するには、Windows を使用して、次のような各管理サーバーと監視サーバーのコマンド ラインを入力します。

   PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="ComplianceStatusConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"

   PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMComplianceStatusService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database が配置されているサーバー名とインスタンスを入力します。

MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する

1. MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して 、Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを起動します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”

コンプライアンス レポートと監査レポートの移動

MBAM コンプライアンスレポートと監査レポートを別のコンピューターから別のコンピューターに移動する (つまり、サーバー A からサーバー B にレポートを移動する) 場合は、次の手順を使用します。これには、次の大まかな手順が含まれます。

1. サーバー B で MBAM セットアップを実行します。

2. サーバー B のコンプライアンスレポートと監査レポートへのアクセスを構成します。

3. MBAM 管理および監視 Web サイトのすべてのインスタンスを停止します。

4. MBAM 管理サーバーと監視サーバーのレポート接続データを更新します。

5. MBAM 管理および監視 Web サイトのすべてのインスタンスを再開します。

サーバー B で MBAM セットアップを実行する

1. サーバー B で MBAM セットアップを実行し、インストールの コンプライアンスと監査レポート の機能のみを選択します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=Reports COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNTPW=$PASSWORD$ TOPOLOGY=$X$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースがあるサーバー名とインスタンスを入力します。

   • $DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。

   • $PASSWORD$ - コンプライアンスと監査データベースへの接続に使用するユーザー アカウントのパスワードを入力します。

   • $X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。

サーバー B のコンプライアンス レポートと監査レポートへのアクセスを構成する

1. サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、コンプライアンス レポートと監査レポートにアクセスできるユーザー アカウントを追加します。 MBAM Report Users という名前のローカル グループにユーザー アカウントを追加します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインをサーバー B に入力します。

   PS C:\> net localgroup "MBAM Report Users" $DOMAIN$\$REPORTSUSERNAME$ /add

   注
   上の例の次の値を、環境に該当する値に置き換えます。

   • $DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。

MBAM レポート ユーザーのローカル グループにユーザーを追加するためのコマンド ラインは、環境内のレポートにアクセスするユーザーごとに実行する必要があります。

MBAM 管理および監視 Web サイトのすべてのインスタンスを停止する

1. MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”

MBAM 管理サーバーと監視サーバーでデータベース接続データを更新する

1. MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、コンプライアンスレポートと監査レポートの URL を更新します。

2. Microsoft BitLocker 管理および監視 Web サイトを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。

3. セクション リスト コントロールから appSettings オプションを選択します。

4. (Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。

5. コレクション エディターで、Microsoft.Mbam.Reports.Url という名前の行を選択します。

6. サーバー B のサーバー名を反映するように、Microsoft.Mbam.Reports.Url の値を更新します。名前付き SQL Reporting Services インスタンスにコンプライアンスレポートと監査レポート機能がインストールされている場合は、インスタンスの名前を URL に追加または更新してください (http://$SERVERNAME$/ReportServer_$SQLSRSINSTANCENAME$/Pages...など)。

7. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを各管理サーバーと監視サーバーに入力できます。

   PS C:\> Set-WebConfigurationProperty '/appSettings/add[@key="Microsoft.Mbam.Reports.Url"]' -PSPath "IIS:\ \sites\Microsoft Bitlocker Administration and Monitoring\HelpDesk" -Name "Value" -Value “http://$SERVERNAME$/ReportServer_$SRSINSTANCENAME$/Pages/ReportViewer.aspx?/ Microsoft+BitLocker+Administration+and+Monitoring/”

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$ - コンプライアンス レポートと監査レポートがインストールされたサーバー名の名前を入力します。

   • $SRSINSTANCENAME$ - コンプライアンス レポートと監査レポートがインストールされた SQL Reporting Services インスタンスの名前を入力します。

MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する

1. MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを起動します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”

   注
   このコマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトを実行できるように PowerShell 実行ポリシーを更新する必要があります。

管理と監視機能の移動

MBAM 管理レポートと監視レポート機能を 1 つのコンピューターから別のコンピューターに移動する (つまり、サーバー A からサーバー B に機能を移動する) 場合は、次の手順に従います。これには、次の大まかな手順が含まれます。

1. サーバー B で MBAM セットアップを実行します。

2. サーバー B 上のデータベースへのアクセスを構成します。

サーバー B で MBAM セットアップを実行する

1. サーバー B で MBAM セットアップを実行し、インストールの 管理と監視サーバー の機能のみを選択します。

2. この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。

   PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=AdministrationMonitoringServer, COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ SRS_REPORTSITEURL=$REPORTSSERVERURL$ TOPOLOGY=$X$

   注
   上の例の次の値を、環境に一致する値に置き換えます。

   • $SERVERNAME$\$SQLINSTANCENAME$ - COMPLIDB_SQLINSTANCE パラメーターには、コンプライアンスデータベースと監査データベースがあるサーバー名とインスタンスを入力します。 RECOVERYANDHWDB_SQLINSTANCE パラメーターに、Recovery Database が配置されているサーバー名とインスタンスを入力します。

   • $DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。

   • $ REPORTSSERVERURL$ - SQL Reporting Service Web サイトのホームの場所の URL を入力します。 レポートが既定の SRS インスタンスにインストールされている場合、URL 形式は "http:// $SERVERNAME$/ReportServer" の形式になります。 レポートが既定の SRS インスタンスにインストールされている場合、URL 形式は "http://$SERVERNAME$/ReportServer_$SQLINSTANCENAME$" という形式になります。

   • $X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。

データベースへのアクセスを構成する

1. 回復データベースとコンプライアンスおよび監査データベースが展開されているサーバーで、ローカル ユーザーとグループ スナップインをサーバー マネージャーから使用して、MBAM 管理と監視サーバー機能を実行している各サーバーのコンピューター アカウントを、MBAM Recovery および Hardware DB Access (Recovery DB Server) と MBAM コンプライアンスステータス DB アクセス (コンプライアンスと監査データベース サーバー) という名前のローカル グループに追加します。

2. この手順を自動化するには、Windows PowerShellを使用して、コンプライアンスデータベースと監査データベースがデプロイされたサーバーで、次のようなコマンド ラインを入力できます。

   PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add

3. Recovery データベースがデプロイされたサーバーで、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。

   PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add

   注
   上の例の次の値を、環境に該当する値に置き換えます。

   • $DOMAIN$\$SERVERNAME$$ - 管理サーバーと監視サーバーのドメインとマシン名を入力します。 例 (MyDomain\MyServerName1$など) に示すように、サーバー名の後に "$" 記号を付ける必要があります。

   • $DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。

MBAM ローカル グループにサーバー コンピューター アカウントを追加するために一覧表示されているコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。

関連トピック

MBAM 2.0 の保守