MBAM 2.0 機能を別のコンピューターに移動する方法
このトピックでは、1 つ以上の Microsoft BitLocker 管理および監視 (MBAM) 機能を別のコンピューターに移動するために実行する必要がある手順について説明します。 複数の Microsoft BitLocker の管理と監視機能を移動する場合は、次の順序で移動する必要があります。
復旧データベース
コンプライアンスと監査データベース
コンプライアンスレポートと監査レポート
管理と監視
復旧データベースの移動
回復データベースをあるコンピューターから別のコンピューター (サーバー A からサーバー B など) に移動するには、次の手順に従います。
管理および監視 Web サイトのすべてのインスタンスを停止します。
サーバー B で MBAM セットアップを実行します。
サーバー A で MBAM 回復データベースをバックアップします。
MBAM 回復データベースをサーバー A から B に移動します。
サーバー B で MBAM 回復データベースを復元します。
サーバー B の MBAM 回復データベースへのアクセスを構成します。
MBAM 管理サーバーと監視サーバーでデータベース接続データを更新します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを再開します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを停止する
MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。
PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”
注
この PowerShell コマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトの実行を有効にするには、PowerShell 実行ポリシーを更新する必要があります。
サーバー B で MBAM セットアップを実行する
サーバー B で MBAM セットアップを実行し、インストール用の 回復データベース のみを選択します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=KeyDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ TOPOLOGY=$X$
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database を移動するサーバーとインスタンスの名前を入力します。
$DOMAIN$\$SERVERNAME$ - 復旧データベースに接続する各 MBAM 管理サーバーと監視サーバーのドメイン名とサーバー名を入力します。 セミコロンを使用して、リスト内の各ドメインとサーバーのペアを区切ります (たとえば、$DOMAIN\SERVERNAME$;$DOMAIN\$SERVERNAME$$)。 各サーバー名の後には、例 (MyDomain\MyServerName1$;MyDomain\MyServerName2$)。
$X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。
サーバー A 上の回復データベースをバックアップする
サーバー A 上の回復データベースをバックアップするには、SQL Server Management Studioとバックアップという名前のタスクを使用します。 既定では、データベース名は MBAM Recovery Database です。
この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。
完全復旧モードを使用するように MBAM 回復データベースを変更します。
USE master; GO ALTER DATABASE "MBAM Recovery and Hardware" SET RECOVERY FULL; GO -- Create MBAM Recovery Database Data and MBAM Recovery logical backup devices. USE master GO EXEC sp_addumpdevice 'disk', 'MBAM Recovery and Hardware Database Data Device', 'Z:\MBAM Recovery Database Data.bak'; GO -- Back up the full MBAM Recovery Database. BACKUP DATABASE [MBAM Recovery and Hardware] TO [MBAM Recovery and Hardware Database Data Device]; GO BACKUP CERTIFICATE [MBAM Recovery Encryption Certificate] TO FILE = 'Z:\SQLServerInstanceCertificateFile' WITH PRIVATE KEY ( FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey', ENCRYPTION BY PASSWORD = '$PASSWORD$' ); GO
注
上の例の次の値を、環境に一致する値に置き換えます。- $PASSWORD$ - 秘密キー ファイルの暗号化に使用するパスワードを入力します。
SQL Server PowerShell と次のようなコマンド ラインを使用して SQL ファイルを実行します。
PS C:\> Invoke-Sqlcmd -InputFile 'Z:\BackupMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database のバックアップ元となるサーバーとインスタンスの名前を入力します。
復旧データベースと証明書をサーバー A からサーバー B に移動する
Windows エクスプローラーを使用して、次のファイルをサーバー A からサーバー B に移動します。
- MBAM Recovery Database data.bak
暗号化されたデータベースの証明書を移動するには、次の自動化手順を使用します。 この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Copy-Item “Z:\MBAM Recovery Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$
PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFile” \\$SERVERNAME$\$DESTINATIONSHARE$
PS C:\> Copy-Item “Z:\SQLServerInstanceCertificateFilePrivateKey” \\$SERVERNAME$\$DESTINATIONSHARE$
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$ - ファイルのコピー先となるサーバーの名前を入力します。
$DESTINATIONSHARE$ - 共有の名前とファイルのコピー先のパスを入力します。
サーバー B の回復データベースを復元する
SQL Server Management Studioとデータベースの復元という名前のタスクを使用して、サーバー B 上の回復データベースを復元します。
タスクが完了したら、[ デバイスから ] オプションを選択してデータベース バックアップ ファイルを選択し、[ 追加] コマンドを使用して MBAM Recovery データベース Data.bak ファイルを選択します。
[OK] を選択して復元プロセスを完了します。
この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。
-- Restore MBAM Recovery Database. USE master GO -- Drop certificate created by MBAM Setup. DROP CERTIFICATE [MBAM Recovery Encryption Certificate] GO --Add certificate CREATE CERTIFICATE [MBAM Recovery Encryption Certificate] FROM FILE = 'Z: \SQLServerInstanceCertificateFile' WITH PRIVATE KEY ( FILE = ' Z:\SQLServerInstanceCertificateFilePrivateKey', DECRYPTION BY PASSWORD = '$PASSWORD$' ); GO -- Restore the MBAM Recovery Database data and log files. RESTORE DATABASE [MBAM Recovery and Hardware] FROM DISK = 'Z:\MBAM Recovery Database Data.bak' WITH REPLACE
注
上の例の次の値を、環境に一致する値に置き換えます。- $PASSWORD$ - 秘密キー ファイルの暗号化に使用したパスワードを入力します。
Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。
PS C:\> Invoke-Sqlcmd -InputFile 'Z:\RestoreMBAMRecoveryandHardwarDatabaseScript.sql' -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database を復元するサーバーとインスタンスの名前を入力します。
サーバー B 上の回復データベースへのアクセスを構成する
サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、MBAM 管理と監視機能を実行している各サーバーのコンピューター アカウントを、MBAM Recovery と Hardware DB Access という名前のローカル グループに追加します。
復元されたデータベースの SQL ログイン MBAM Recovery とハードウェア DB アクセスが、$\MBAM Recovery および Hardware DB Access$MachineNameログイン名にマップされていることを確認します。 説明どおりにマップされていない場合は、同様のグループ メンバーシップを持つ別のログインを作成し、それを ログイン名$MachineName $\MBAM Recovery および Hardware DB Access にマップします。
この手順を自動化するには、サーバー B のWindows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add
注
上の例の次の値を、環境に該当する値に置き換えます。- $DOMAIN$\$SERVERNAME$$ - MBAM 管理および監視サーバーのドメインとマシン名を入力します。 例に示すように、サーバー名の後に $が続く必要があります (たとえば、MyDomain\MyServerName1$)。
このコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。
MBAM 管理サーバーと監視サーバーで復旧データベース接続データを更新する
MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、管理および監視 Web サイトでホストされている次のアプリケーションの接続文字列情報を更新します。
MBAMAdministrationService
MBAMRecoveryAndHardwareService
各アプリケーションを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。
セクション リスト コントロールから configurationStrings オプションを選択します。
(Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。
コレクション エディターで、MBAMAdministrationService アプリケーションの構成を更新するときに KeyRecoveryConnectionString という名前の行または Microsoft.Mbam.RecoveryAndHardwareDataStore という名前の行を選択します。MBAMRecoveryAndHardwareService の構成を更新するときの ConnectionString。
configurationStrings プロパティの Data Source= 値を更新して、Recovery Database の移動先のサーバー名とインスタンス ($SERVERNAME$\$SQLINSTANCENAME$など) を一覧表示します。
この手順を自動化するには、Windows を使用して、各管理サーバーと監視サーバーで次のようなコマンド ラインを入力します。
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="KeyRecoveryConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value “Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;”
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Mbam.RecoveryAndHardwareDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMRecoveryAndHardwareService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Recovery and Hardware;Integrated Security=SSPI;"
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database があるサーバー名とインスタンスを入力します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する
MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker 管理と監視という名前の MBAM Web サイトを起動します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。
PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”
コンプライアンスと監査データベース機能の移動
MBAM コンプライアンスと監査データベースをコンピューター間で移動する (つまり、データベースをサーバー A からサーバー B に移動する) 場合は、次の手順に従います。 このプロセスには、次の大まかな手順が含まれます。
管理および監視 Web サイトのすべてのインスタンスを停止します。
サーバー B で MBAM セットアップを実行します。
サーバー A 上のデータベースをバックアップします。
データベースをサーバー A から B に移動します。
サーバー B 上のデータベースを復元します。
サーバー B 上のデータベースへのアクセスを構成します。
MBAM 管理サーバーと監視サーバーでデータベース接続データを更新します。
SSRS レポートのデータ ソース接続文字列を、コンプライアンスデータベースと監査データベースの新しい場所に更新します。
管理および監視 Web サイトのすべてのインスタンスを再開します。
管理および監視 Web サイトのすべてのインスタンスを停止する
MBAM 管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Stop-s “Microsoft BitLocker Administration and Monitoring”
注
このコマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトを実行できるように PowerShell 実行ポリシーを更新する必要があります。
サーバー B で MBAM セットアップを実行する
サーバー B で MBAM セットアップを実行し、インストールする コンプライアンスデータベースと監査データベース のみを選択します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal= ReportsDatabase ADMINANDMON_MACHINENAMES=$DOMAIN$\$SERVERNAME$ COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNT=$DOMAIN$\$USERNAME$ TOPOLOGY=$X$
注
注: 上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースの移動先となるサーバー名とインスタンスを入力します。
$DOMAIN$\$SERVERNAME$ - コンプライアンスと監査データベースに接続する各 MBAM 管理サーバーと監視サーバーのドメイン名とサーバー名を入力します。 セミコロンを使用して、一覧内の各ドメインとサーバーのペアを区切ります (たとえば、$DOMAIN\SERVERNAME$;$DOMAIN\$SERVERNAME$$)。 各サーバー名の後には、例 (MyDomain\MyServerName1$;MyDomain\MyServerName2$)。
$DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。
$X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。
サーバー A のコンプライアンスデータベースと監査データベースをバックアップする
サーバー A 上のコンプライアンスデータベースと監査データベースをバックアップするには、SQL Server Management Studioとバックアップという名前のタスクを使用します。 既定では、データベース名は MBAM コンプライアンス状態データベースです。
この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。
-- Modify the MBAM Compliance Status Database to use the full recovery model. USE master; GO ALTER DATABASE "MBAM Compliance Status" SET RECOVERY FULL; GO -- Create MBAM Compliance Status Data logical backup devices. USE master GO EXEC sp_addumpdevice 'disk', 'MBAM Compliance Status Database Data Device', 'Z: \MBAM Compliance Status Database Data.bak'; GO -- Back up the full MBAM Recovery database. BACKUP DATABASE [MBAM Compliance Status] TO [MBAM Compliance Status Database Data Device]; GO
次のようなWindows PowerShellコマンド ラインを使用して SQL ファイルを実行します。
PS C:\> Invoke-Sqlcmd -InputFile "Z:\BackupMBAMComplianceStatusDatabaseScript.sql" –ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースのバックアップ元となるサーバー名とインスタンスを入力します。
コンプライアンスデータベースと監査データベースをサーバー A から B に移動する
Windows エクスプローラーを使用して、次のファイルをサーバー A からサーバー B に移動します。
- MBAM コンプライアンス状態データベース Data.bak
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Copy-Item “Z:\MBAM Compliance Status Database Data.bak” \\$SERVERNAME$\$DESTINATIONSHARE$
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$ - ファイルのコピー先となるサーバー名を入力します。
$DESTINATIONSHARE$ - ファイルのコピー先となる共有の名前とパスを入力します。
サーバー B のコンプライアンスデータベースと監査データベースを復元する
SQL Server Management Studioとデータベースの復元という名前のタスクを使用して、サーバー B のコンプライアンスデータベースと監査データベースを復元します。
タスクが完了したら、[ デバイスから ] オプションを選択してデータベース バックアップ ファイルを選択し、[ 追加] コマンドを使用して MBAM コンプライアンス状態データベース Data.bak ファイルを選択します。 [OK] を選択して復元プロセスを完了します。
この手順を自動化するには、次の SQL スクリプトを含む SQL ファイル (.sql) を作成します。
-- Create MBAM Compliance Status Database Data logical backup devices. Use master GO -- Restore the MBAM Compliance Status database data files. RESTORE DATABASE [MBAM Compliance Status] FROM DISK = 'C:\test\MBAM Compliance Status Database Data.bak' WITH REPLACE
次のようなWindows PowerShellコマンド ラインを使用して SQL ファイルを実行します。
PS C:\> Invoke-Sqlcmd -InputFile "Z:\RestoreMBAMComplianceStatusDatabaseScript.sql" -ServerInstance $SERVERNAME$\$SQLINSTANCENAME$
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースの復元先となるサーバー名とインスタンスを入力します。
サーバー B のコンプライアンスデータベースと監査データベースへのアクセスを構成する
サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、MBAM の管理と監視機能を実行している各サーバーのコンピューター アカウントを、MBAM コンプライアンス状態 DB Access という名前のローカル グループに追加します。
復元されたデータベースの SQL ログイン MBAM コンプライアンス監査 DB アクセス が、ログイン名 $MachineName $\ MBAM コンプライアンス監査 DB Access にマップされていることを確認します。 説明どおりにマップされていない場合は、同様のグループ メンバーシップを持つ別のログインを作成し、それをログイン名 $MachineName $\ MBAM コンプライアンス監査 DB Access にマップします。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインをサーバー B に入力します。
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$REPORTSUSERNAME$ /add
注
上の例の次の値を、環境に該当する値に置き換えます。$DOMAIN$\$SERVERNAME$$ - MBAM 管理および監視サーバーのドメインとマシン名を入力します。 例に示すように、サーバー名の後に "$" が続く必要があります。 (たとえば、MyDomain\MyServerName1$)
$DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。
MBAM コンプライアンスおよび監査データベース アクセス ローカル グループにサーバーを追加するためのコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。
MBAM 管理サーバーと監視サーバーでデータベース接続データを更新する
MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、管理および監視 Web サイトでホストされている次のアプリケーションの接続文字列情報を更新します。
MBAMAdministrationService
MBAMComplianceStatusService
各アプリケーションを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。
セクション リスト コントロールから configurationStrings オプションを選択します。
(Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。
コレクション エディターで、MBAMAdministrationService アプリケーションの構成を更新するときに ComplianceStatusConnectionString という名前の行を選択するか、MBAMComplianceStatusService の構成を更新するときに Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString という名前の行を選択します。
configurationStrings プロパティの Data Source= 値を更新して、Recovery Database が移動されたサーバーとインスタンスの名前 (たとえば、$SERVERNAME$\$SQLINSTANCENAME) を一覧表示します。
この手順を自動化するには、Windows を使用して、次のような各管理サーバーと監視サーバーのコマンド ラインを入力します。
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="ComplianceStatusConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMAdministrationService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME$;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"
PS C:\> Set-WebConfigurationProperty '/connectionStrings/add[@name="Microsoft.Windows.Mdop.BitLockerManagement.StatusReportDataStore.ConnectionString"]' -PSPath "IIS:\sites\Microsoft Bitlocker Administration and Monitoring\MBAMComplianceStatusService" -Name "connectionString" -Value "Data Source=$SERVERNAME$\$SQLINSTANCENAME;Initial Catalog=MBAM Compliance Status;Integrated Security=SSPI;"
注
上の例の次の値を、環境に一致する値に置き換えます。- $SERVERNAME$\$SQLINSTANCENAME$ - Recovery Database が配置されているサーバー名とインスタンスを入力します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する
MBAM の管理と監視機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して 、Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを起動します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”
コンプライアンス レポートと監査レポートの移動
MBAM コンプライアンスレポートと監査レポートを別のコンピューターから別のコンピューターに移動する (つまり、サーバー A からサーバー B にレポートを移動する) 場合は、次の手順を使用します。これには、次の大まかな手順が含まれます。
サーバー B で MBAM セットアップを実行します。
サーバー B のコンプライアンスレポートと監査レポートへのアクセスを構成します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを停止します。
MBAM 管理サーバーと監視サーバーのレポート接続データを更新します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを再開します。
サーバー B で MBAM セットアップを実行する
サーバー B で MBAM セットアップを実行し、インストールの コンプライアンスと監査レポート の機能のみを選択します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=Reports COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ REPORTS_USERACCOUNTPW=$PASSWORD$ TOPOLOGY=$X$
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$\$SQLINSTANCENAME$ - コンプライアンスデータベースと監査データベースがあるサーバー名とインスタンスを入力します。
$DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。
$PASSWORD$ - コンプライアンスと監査データベースへの接続に使用するユーザー アカウントのパスワードを入力します。
$X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。
サーバー B のコンプライアンス レポートと監査レポートへのアクセスを構成する
サーバー B で、サーバー マネージャーのローカル ユーザーとグループ スナップインを使用して、コンプライアンス レポートと監査レポートにアクセスできるユーザー アカウントを追加します。 MBAM Report Users という名前のローカル グループにユーザー アカウントを追加します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインをサーバー B に入力します。
PS C:\> net localgroup "MBAM Report Users" $DOMAIN$\$REPORTSUSERNAME$ /add
注
上の例の次の値を、環境に該当する値に置き換えます。- $DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。
MBAM レポート ユーザーのローカル グループにユーザーを追加するためのコマンド ラインは、環境内のレポートにアクセスするユーザーごとに実行する必要があります。
MBAM 管理および監視 Web サイトのすべてのインスタンスを停止する
MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを停止します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Stop-Website “Microsoft BitLocker Administration and Monitoring”
MBAM 管理サーバーと監視サーバーでデータベース接続データを更新する
MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、コンプライアンスレポートと監査レポートの URL を更新します。
Microsoft BitLocker 管理および監視 Web サイトを選択し、機能ビューの [管理] セクションの下にある構成エディター機能を使用します。
セクション リスト コントロールから appSettings オプションを選択します。
(Collection) という名前の行を選択し、行の右側にあるボタンを選択してコレクション エディターを開きます。
コレクション エディターで、Microsoft.Mbam.Reports.Url という名前の行を選択します。
サーバー B のサーバー名を反映するように、Microsoft.Mbam.Reports.Url の値を更新します。名前付き SQL Reporting Services インスタンスにコンプライアンスレポートと監査レポート機能がインストールされている場合は、インスタンスの名前を URL に追加または更新してください (http://$SERVERNAME$/ReportServer_$SQLSRSINSTANCENAME$/Pages...など)。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを各管理サーバーと監視サーバーに入力できます。
PS C:\> Set-WebConfigurationProperty '/appSettings/add[@key="Microsoft.Mbam.Reports.Url"]' -PSPath "IIS:\ \sites\Microsoft Bitlocker Administration and Monitoring\HelpDesk" -Name "Value" -Value “http://$SERVERNAME$/ReportServer_$SRSINSTANCENAME$/Pages/ReportViewer.aspx?/ Microsoft+BitLocker+Administration+and+Monitoring/”
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$ - コンプライアンス レポートと監査レポートがインストールされたサーバー名の名前を入力します。
$SRSINSTANCENAME$ - コンプライアンス レポートと監査レポートがインストールされた SQL Reporting Services インスタンスの名前を入力します。
MBAM 管理および監視 Web サイトのすべてのインスタンスを再開する
MBAM 管理および監視サーバー機能を実行している各サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを使用して、 Microsoft BitLocker の管理と監視という名前の MBAM Web サイトを起動します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> Start-Website “Microsoft BitLocker Administration and Monitoring”
注
このコマンド ラインを実行するには、PowerShell の現在のインスタンスに PowerShell 用の IIS モジュールを追加する必要があります。 さらに、スクリプトを実行できるように PowerShell 実行ポリシーを更新する必要があります。
管理と監視機能の移動
MBAM 管理レポートと監視レポート機能を 1 つのコンピューターから別のコンピューターに移動する (つまり、サーバー A からサーバー B に機能を移動する) 場合は、次の手順に従います。これには、次の大まかな手順が含まれます。
サーバー B で MBAM セットアップを実行します。
サーバー B 上のデータベースへのアクセスを構成します。
サーバー B で MBAM セットアップを実行する
サーバー B で MBAM セットアップを実行し、インストールの 管理と監視サーバー の機能のみを選択します。
この手順を自動化するには、Windows PowerShellを使用して、次のようなコマンド ラインを入力します。
PS C:\> MbamSetup.exe /qn I_ACCEPT_ENDUSER_LICENSE_AGREEMENT=1 AddLocal=AdministrationMonitoringServer, COMPLIDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ RECOVERYANDHWDB_SQLINSTANCE=$SERVERNAME$\$SQLINSTANCENAME$ SRS_REPORTSITEURL=$REPORTSSERVERURL$ TOPOLOGY=$X$
注
上の例の次の値を、環境に一致する値に置き換えます。$SERVERNAME$\$SQLINSTANCENAME$ - COMPLIDB_SQLINSTANCE パラメーターには、コンプライアンスデータベースと監査データベースがあるサーバー名とインスタンスを入力します。 RECOVERYANDHWDB_SQLINSTANCE パラメーターに、Recovery Database が配置されているサーバー名とインスタンスを入力します。
$DOMAIN$\$USERNAME$ - コンプライアンスと監査データベースに接続するためにコンプライアンスと監査レポート機能で使用されるドメインとユーザー名を入力します。
$ REPORTSSERVERURL$ - SQL Reporting Service Web サイトのホームの場所の URL を入力します。 レポートが既定の SRS インスタンスにインストールされている場合、URL 形式は "http:// $SERVERNAME$/ReportServer" の形式になります。 レポートが既定の SRS インスタンスにインストールされている場合、URL 形式は "http://$SERVERNAME$/ReportServer_$SQLINSTANCENAME$" という形式になります。
$X$ - MBAM スタンドアロン トポロジをインストールする場合は 0、MBAM Configuration Manager トポロジをインストールする場合は 1 を入力します。
データベースへのアクセスを構成する
回復データベースとコンプライアンスおよび監査データベースが展開されているサーバーで、ローカル ユーザーとグループ スナップインをサーバー マネージャーから使用して、MBAM 管理と監視サーバー機能を実行している各サーバーのコンピューター アカウントを、MBAM Recovery および Hardware DB Access (Recovery DB Server) と MBAM コンプライアンスステータス DB アクセス (コンプライアンスと監査データベース サーバー) という名前のローカル グループに追加します。
この手順を自動化するには、Windows PowerShellを使用して、コンプライアンスデータベースと監査データベースがデプロイされたサーバーで、次のようなコマンド ラインを入力できます。
PS C:\> net localgroup "MBAM Compliance Auditing DB Access" $DOMAIN$\$SERVERNAME$$ /add
Recovery データベースがデプロイされたサーバーで、Windows PowerShellを使用して、次のようなコマンド ラインを入力できます。
PS C:\> net localgroup "MBAM Recovery and Hardware DB Access" $DOMAIN$\$SERVERNAME$$ /add
注
上の例の次の値を、環境に該当する値に置き換えます。$DOMAIN$\$SERVERNAME$$ - 管理サーバーと監視サーバーのドメインとマシン名を入力します。 例 (MyDomain\MyServerName1$など) に示すように、サーバー名の後に "$" 記号を付ける必要があります。
$DOMAIN$\$REPORTSUSERNAME$ - コンプライアンス レポートと監査レポートのデータ ソースの構成に使用されたユーザー アカウント名を入力します。
MBAM ローカル グループにサーバー コンピューター アカウントを追加するために一覧表示されているコマンド ラインは、環境内のデータベースにアクセスする管理サーバーと監視サーバーごとに実行する必要があります。