转：手把手教你安装MBAM 2.5 SP1

本文转载自http://bbs.learnfuture.com/topic/1588，按照教程练手，并对其中部分描述不完整及环境差异部分做补充说明。

【前言】

BitLocker驱动器加密是一项数据保护功能，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的问题。针对该技术，微软专门推出了MBAM（Microsoft BitLocker Administration and Monitoring）产品，MBAM是微软MDOP解决方案中的套件，主要用于集中管理企业环境Bitlocker加密，提高IT人员工作效率，提供自助门户及IT管理门户，提供合规性报表等。

【正文】

一 环境规划与准备

1. 本实验采用简单部署，一台域控制器（同时作为证书服务器）、一台MBAM服务器（前后端均在同一台服务器）及一台测试客户端，其中域控服务器、MBAM服务器为server 2016系统，测试客户端为win10 企业版系统。

2. 准备相关用户和组

1. 在AD中创建域管理员账号administrator；
2. 在AD中创建数据库服务运行账号sqlservice（注意设置为密码永不过期）；
3. 在AD中创建MBAM用户：MBAMAppPool及MBAMROUser；
4. 在AD中创建MBAM全局安全组：MBAMAdvHelpDsk、MBAMHelpDsk、MBAMRUGrp。

二 安装组件

2.1服务器安装：

​ 过程省略

2.2AD、MBAM安装Net Framework 3.5

​

2.2 安装Web服务器（IIS角色）

1. 勾选Web服务器（IIS）

​

2. 按下图勾选相关组件；

​

​

​

3. 确认组件无误后点击安装；

​

4. 等待安装完成；

​

2.3 MBAM 服务器安装安装ASP.NET MVC 4.0

​

三 MBAM 服务器 安装及配置SQL server 2016 sp1

3.1 安装sql server 2016

1. 运行sql server 2014安装程序；

​

2. 选择全新安装；

​

3. 勾选以下功能；

​

4. 服务账号选择sqlservice并设置密码；

​

5. 排序规则选择SQL_Latin1_General_CP1_CI_AS；

​

6. 确认无误后点击安装；

​

7. 等待安装完成。

3.2 配置SQL server用户账号

3.2.1 配置SQL server实例角色

1. 打开SQL server管理工具；

2. 新建登录名；

3. 登录名选择MBAMAppPool账户；

​

4. 勾选dbcreator及processadmin角色；

​

3.2.2 配置实例的SQL Server报表服务权限

1. 在网页中打开http://192.168.1.100/reports，（数据库IP地址）点击+号创建文件夹设置；

​

2. 为MBAMAppPool添加全部角色；

​

四 安装SSL证书

4.1 在AD上部署CA证书服务器（部署过程略）；

4.2 SSL证书申请及下载；

1. 打开IIS管理器，在主页中选择服务器证书；

​

2. 点击创建证书申请；

​

3. 证书通用名称输入MBAM服务器名称或IP地址；

​

4. 默认选择下一步；

5. 选择证书申请文件存放路径及名称，点击完成；

6. 在浏览器中打开http://192.168.10.1/certsrv（192.168.10.1是证书服务器IP），点击申请证书；

​

7. 选择高级证书申请；

​

8. 选择使用base64编码；

​

9. 保存的申请处输入刚申请的证书文件内容，证书模板选择Web服务器；

​

10. 选择下载证书，完成证书申请；

​

4.3 导入SSL证书

1. 点击完成证书申请；

​

2. 选择申请的证书；

注意：这个好记名称要求写MBAM服务器的完整域名，（在2016中随意书写出现了不能绑定的问题）

​

3. 证书导入完成。

​

五 配置SPN账户

5.1 注册SPN账户

1. 以管理员身份打开powershell，输入setspn –s http/mbam.bbc.com bbc\mbamapppool；

5.2 设置SPN账户受约束的委派

1. 在域控上打开AD管理中心；

2. 选择MBAMAppPool账户，右键点击属性；

​

3. 切换到委派页面，选择“仅信任此用户作为制定服务器的委派”；

4. 点击添加，选择MBAMAppPool账号，在弹出的窗口中点击添加用户或计算机；

5. 添加完成后点击确定。

六 MBAM部署

6.1 安装MBAM安装向导；

1. 运行Mbamserversetup.exe；

​

2. 打开MBAM安装向导，点击下一步；

​

3. 接受许可协议；

4. 点击安装；

5. 等待安装完成。

​

6.2 安装MBAN数据库

1. 运行MBAM安装向导；

2. 勾选数据库和报告下面的选项；

​

3. 检查先决条件是否满足；

​

4. SQL Server名称处输入SQL服务器名称，读/写访问域用户组处输入MBAMAppPool用户，只读访问域用户组处输入MBAMROUser用户；

5. 报告角色域账户处输入MBAMRUGrp组，相容性和审核数据库域账户输入MBAMROUser并设置密码；

6. 摘要检查无误后，点击添加；

7. 等待安装完成。

​

6.3 安装MBAM WEB服务器

1. 打开MBAM安装向导；

2. 勾选Web应用程序下的选项；

​

3. 检查先决条件是否符合；

4. 选择安装的SSL证书，Web服务应用程序池域账户选择MBAMAppPool账户；

​

5. 输入SQL服务器名称；

​

6. 输入管理和监控网站的各账户；

​

7. 自定义自助服务门户；

注意： 此处虚拟目录为Helpdesk， 与步骤 Report配置时创建的文件名要求一致。

​

8. 检查摘要无误后点击添加；

​

9. 等待安装完成。

​

七 客户端测试

7.1 组策略配置

1. 导入组策略模板，确保组策略设置中有MDOP MBAM（BitLocker管理）；

​

2. 在客户端管理中打开配置MBAM服务，分别在恢复服务和状态报告服务中输入:

https://mk-mbam.mk.com/MBAMRecoveryAndHardwareService/CoreService.svc

https://mk-mbam.mk.com/MBAMComplianceStatusService/StatusReportingService.svc

3. 由于虚拟机中添加的硬盘会被识别为移动驱动器，所以这里只需要启用可移动驱动器中的控制对可移动驱动器使用BitLocker即可。

​

7.2 客户端磁盘加密

1. 如果测试机没有安装MBAM client，则需要安装；

2. 运行客户端安装程序；

​

3. 接受许可条款；

4. 安装完成后对磁盘进行BitLocker加密；

​

5. 设置密码；

​

6. 选择保存到文件；

7. 选择仅加密已用空间，下一步；

​

8. 开始加密磁盘；

​

9. 等待加密完成。

​

10. 双击加密的磁盘，提示需要密码解锁，输入设置的密码；

​

11. 可以正常解锁。

​

7.3 找回密码

1. 假如密码忘记，我们可以通过MBAM服务器找回密码；

2. 双击加密磁盘，选择更多选项；

​

3. 选择输入恢复秘钥；

​

4. 该秘钥需要从MBAM服务器获得；

​

5. 在网页中打开https://mk-mbam.mk.com/selfservice，输入账号密码；

​

6. 勾选同意后点击继续；

​

7. 输入恢复秘钥ID并选择原因，之后点击获取秘钥；

​

​

8. 输入获取的恢复秘钥并解锁。