部署 MBAM 2.0 服务器基础结构
Microsoft BitLocker 管理和监视 (MBAM) 独立拓扑的服务器功能可以在生产环境中的两台或更多台服务器上的不同配置中安装。 建议的配置是生产环境的两台服务器,具体取决于可伸缩性要求。 仅在测试环境中使用单个服务器进行 MBAM 安装。 有关规划 MBAM Server 功能部署的详细信息,请参阅 规划 MBAM 2.0 服务器部署。
下图显示了如何配置建议的双服务器 MBAM 部署的示例。 此配置在生产环境中最多支持 200,000 个 MBAM 客户端。 下一部分介绍了体系结构映像中的服务器功能和数据库,并列在建议安装它们的计算机或服务器下。
管理和监视服务器
此服务器上安装了以下功能:
管理和监视服务器。 管理和监视服务器功能安装在 Windows 服务器上,由技术支持部门网站和监视 Web 服务组成。
自助服务门户。 Self-Service门户安装在 Windows 服务器上。 Self-Service门户使客户端计算机上的最终用户能够独立登录到网站,他们可以在其中获取恢复密钥以恢复锁定的 BitLocker 卷。
数据库服务器
此服务器上安装了以下功能:
恢复数据库。 恢复数据库安装在 Windows 服务器和 Microsoft SQL Server 支持的实例上。 此数据库存储从 MBAM 客户端计算机收集的恢复数据。
合规性和审核数据库。 合规性和审核数据库安装在 Windows 服务器和受支持的SQL Server实例上。 此数据库存储 MBAM 客户端计算机的符合性数据。 此数据主要用于SQL Server Reporting Services (SSRS) 主机的报表。
合规性和审核报告。 合规性和审核报告安装在 Windows 服务器上,以及安装了 SQL Server Reporting Services (SSRS) 功能的受支持的SQL Server实例。 这些报表提供 MBAM 报表,你可以从技术支持部门网站或直接从 SSRS 服务器访问这些报表。
管理工作站
以下功能安装在管理工作站上,该工作站可以是 Windows 服务器或客户端计算机。
- 策略模板。 策略模板由组策略组成,这些策略定义 BitLocker 驱动器加密的 MBAM 实现设置。 可以在任何服务器或工作站上安装策略模板,但通常安装在管理工作站(受支持的 Windows 服务器或客户端计算机)上。 工作站不必是专用计算机。
MBAM 客户端
MBAM 客户端安装在 Windows 计算机上,具有以下特征:
使用组策略对企业中的客户端计算机强制执行 BitLocker 驱动器加密。
收集三种 BitLocker 数据驱动器类型的恢复密钥:操作系统驱动器、固定数据驱动器和可移动数据 (USB) 驱动器。
收集计算机的符合性数据,并将数据传递给报告系统。
用于部署 MBAM 2.0 服务器功能的其他资源