MBAM 2.0 的高级别体系结构
Microsoft BitLocker 管理和监视 (MBAM) 是一种客户端/服务器解决方案,可帮助你简化 BitLocker 预配和部署,改进 BitLocker 的合规性和报告,并降低支持成本。 Microsoft BitLocker 管理和监视包括本主题中所述的功能。
Microsoft BitLocker 管理和监视可以部署在独立拓扑中,也可以部署在与 Microsoft System Center Configuration Manager 2007 或 Microsoft System Center 2012 Configuration Manager集成的拓扑中。 本主题介绍独立拓扑的体系结构。 有关在集成Configuration Manager拓扑中部署的信息,请参阅将 MBAM 与Configuration Manager配合使用。
下图显示了生产环境的 MBAM 建议体系结构,该体系结构由两台服务器和管理工作站组成。 此体系结构最多支持 200,000 个 MBAM 客户端。 下一部分介绍了体系结构映像中的服务器功能和数据库,并列在建议安装它们的计算机或服务器下。
注意 单服务器体系结构应仅在测试环境中使用。
管理和监视服务器
此服务器上安装了以下功能:
管理和监视服务器。 管理和监视服务器功能安装在 Windows 服务器上,由管理和监视网站(包括报表和技术支持服务门户)以及监视 Web 服务组成。
自助服务门户。 Self-Service门户安装在 Windows 服务器上。 Self-Service门户使客户端计算机上的最终用户能够独立登录到网站,他们可以在其中获取恢复密钥以恢复锁定的 BitLocker 卷。
数据库服务器
此服务器上安装了以下功能:
恢复数据库。 恢复数据库安装在 Windows 服务器和 Microsoft SQL Server 支持的实例上。 此数据库存储从 MBAM 客户端计算机收集的恢复数据。
合规性和审核数据库。 合规性和审核数据库安装在 Windows 服务器和受支持的SQL Server实例上。 此数据库存储 MBAM 客户端计算机的符合性数据。 此数据主要用于SQL Server Reporting Services (SSRS) 主机的报表。
合规性和审核报告。 合规性和审核报告安装在 Windows 服务器上,以及安装了 SQL Server Reporting Services (SSRS) 功能的受支持的SQL Server实例。 这些报表提供 MBAM 报告,你可以从管理和监视网站或直接从 SSRS 服务器访问。
管理工作站
以下功能安装在管理工作站上,该工作站可以是 Windows 服务器或客户端计算机。
- 策略模板。 策略模板由定义 BitLocker 驱动器加密的 MBAM 实现设置的组策略设置组成。 可以在任何服务器或工作站上安装策略模板,但通常安装在管理工作站(受支持的 Windows 服务器或客户端计算机)上。 工作站不必是专用计算机。
MBAM 客户端
MBAM 客户端安装在 Windows 计算机上,具有以下特征:
使用组策略对企业中的客户端计算机强制执行 BitLocker 驱动器加密。
收集三种 BitLocker 数据驱动器类型的恢复密钥:操作系统驱动器、固定数据驱动器和可移动数据 (USB) 驱动器。
收集计算机的符合性数据,并将数据传递给报告系统。