MBAM 2.5 のインストールに関する問題のトラブルシューティング
この記事では、スタンドアロン構成での Microsoft BitLocker の管理と監視 (MBAM) 2.5 のインストールに関する問題のトラブルシューティング方法について説明します。
トラブルシューティングのために MBAM ログ ファイルを参照する
MBAM には、サーバーのインストール、クライアントのインストール、イベントのログ記録が含まれています。 このログ記録は、トラブルシューティングのために参照する必要があります。
MBAM サーバーのインストール ログ ファイル
MBAMServerSetup.exeは、MBAM のインストール中にユーザーの %temp% フォルダーに次のログ ファイルを生成します。
<Microsoft_BitLocker_Administration_and_Monitoring_14 numbers.log>
MBAMServerSetup.exeは、MBAM セットアップと MBAM サーバー機能のインストール中に実行されたアクションをログに記録します。
<Microsoft_BitLocker_Administration_and_Monitoring_14_numbers>_0_MBAMServer.msi.log
MBAMServerSetup.exeは、インストール中に実行された追加のアクションをログに記録します。
MBAM クライアント インストール ログ ファイル
クライアントのインストールは、%temp% フォルダー内の次のログ ファイル (または、クライアントのインストール方法に応じてカスタムの場所) に記録されます。
MSI<5 個のランダム文字>.log
このログには、MBAM クライアントのインストール中に実行されるアクションが含まれています。
MBAM クライアント イベント ログ チャネル
MBAM には、個別のイベント ログ チャネルがあります。 管理、分析、運用の各ログ ファイルは、イベント ビューアーの [アプリケーションとサービス ログ>] Microsoft>Windows>MBAM にあります。
次の表に、各イベント ログの簡単な説明を示します。
| イベント ログ | 説明 |
|---|---|
| Microsoft-Windows-MBAM/管理 | エラー メッセージが含まれています |
| Microsoft-Windows-MBAM/Analytic | 高度なログ情報が含まれています |
| Microsoft-Windows-MBAM/Operational | 成功メッセージが含まれています |
MBAM サーバーのイベント ログ チャネル
ログ ファイルは、イベント ビューアーの [アプリケーションとサービス ログ>] Microsoft>Windows>MBAM にあります。 次の表に、MBAM 2.5 で導入されたサーバー イベント ログを示します。
| イベント ログ | 説明 |
|---|---|
| Microsoft-Windows-MBAM/管理 | エラー メッセージが含まれています |
| Microsoft-Windows-MBAM/Analytic | 高度なログ情報が含まれています |
| Microsoft-Windows-MBAM/Operational | 成功メッセージが含まれています |
MBAM Web サービス ログ
各 MBAM Web サービス ログは、ログ情報を SVCLOG ファイルに書き込みます。 既定では、各 Web サービスは、C:\inetpub\Microsoft BitLocker Management Solution\Logs フォルダー内の名前を使用するフォルダーの下にトレース ファイルを書き込みます。
サービス トレース ビューアー ツール (Microsoft Visual Studio の一部) を使用して、svclog トレースを確認できます。
暗号化とレポートに関する問題のトラブルシューティング
このセクションでは、サーバー機能、クライアント機能、構成設定、既知の問題のトラブルシューティング情報について説明します。
MBAM クライアントのインストール、グループ ポリシー設定
MBAM エージェントがクライアント コンピューターにインストールされているかどうかを確認します。 MBAM がインストールされると、BitLocker Management Client Service という名前のサービスが作成されます。 このサービスは、自動的に開始するように構成されます。 サービスが実行されているかどうかを判断します。
クライアント コンピューターに MBAM グループ ポリシー設定が適用されていることを確認します。 クライアント コンピューターにグループ ポリシー設定が適用された場合、次のレジストリ サブキーが作成されます: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
このキーが存在し、グループ ポリシー設定ごとの値を使用して設定されていることを確認します。
初期遅延期間の MBAM エージェント
MBAM クライアントは、インストール直後に操作を開始しません。 MBAM エージェントが操作を開始するまでの最初のランダム遅延は 1 から 18 分です。 初期遅延に加えて、少なくとも 90 分の遅延があります。 (遅延は、クライアントの状態を確認する頻度に対して構成されているグループ ポリシー設定によって異なります)。したがって、クライアントが操作を開始するまでの合計遅延は、ランダムスタートアップ遅延 + クライアントチェック頻度遅延です。
Operational イベント ログと 管理 イベント ログが空白の場合、クライアントはまだ操作を開始しておらず、前述の遅延期間内です。 遅延をバイパスする場合は、次の手順に従います。
BitLocker 管理クライアント サービス サービスを停止します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM レジストリ サブキーで、NoStartupDelay レジストリ値を作成し、その型を REG_DWORD に設定し、その値を 1 に設定します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement] で、[ClientWakeupFrequency] と [StatusReportingFrequency] の値を 1 に設定します。 これらの値は、グループ ポリシー更新プログラムがコンピューター上にあると、元の設定に戻ります。
BitLocker 管理クライアント サービス サービスを開始します。
サービスの開始後、コンピューターでローカルにログインし、エラーがない場合は、1 分以内にコンピューターを暗号化する要求を受け取る必要があります。 要求を受け取らない場合は、エラー エントリの MBAM 管理 ログを確認する必要があります。
コンピューターに TPM デバイスがないか、BIOS で TPM デバイスが有効になっていない
MBAM 管理 イベント ログを確認します。 MBAM 管理 イベント ログには、次のようなイベント エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 12:31:10 PM
Event ID: 9
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
The TPM hardware is missing.
TPM is needed to encrypt the operating system drive with any TPM protector.
TPM Management (tpm.msc) を開き、コンピューターに TPM デバイスがあるかどうかを確認します。 tpm.msc にデバイスが表示されない場合は、デバイス マネージャー (devmgmt.msc) を開き、[セキュリティ デバイス] で信頼できるプラットフォーム モジュールを確認します。 信頼されたプラットフォーム モジュール デバイスが表示されない場合は、次のいずれかの理由でこれが当てはまる可能性があります。
システムにトラステッド プラットフォーム モジュール (TPM/セキュリティ) デバイスがありません。
BIOS で TPM デバイスが無効になっています。
TPM デバイスは BIOS で有効になっていますが、オペレーティング システム設定からの TPM デバイスの管理は BIOS で無効になっています。
TPM デバイスに Microsoft ドライバーを使用していません。 デバイス マネージャーに一覧表示されているデバイスを確認して、Microsoft TPM デバイス ドライバーを特定します。
TPM デバイスがC:\Windows\System32\tpm.sys ドライバーを使用していない場合は、C:\Windows\Inf\tpm.inf ファイルを選択してドライバーを更新する必要があります。
コンピューターに有効な SYSTEM パーティションがありません
MBAM 管理 イベント ログを確認します。 MBAM 管理 イベント ログには、次のようなイベント エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:37 AM
Event ID: 8
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: BITTESTVM.xtremelabs.com
Description:
The system volume is missing.
SystemVolume is needed to encrypt the operating system drive.
BitLocker では、暗号化を有効にするために SYSTEM パーティションが必要です (Windows 7 の BitLocker ドライブ暗号化: よく寄せられる質問)。
MBAM では、システム パーティションは自動的に作成されません。 BitLocker ドライブ準備ユーティリティ (bdehdcfg.exe) を使用して、システム パーティションを作成し、必要なスタートアップ ファイルを移動できます。
たとえば、% windir%\system32\bdeHdCfg.exe -target default -size 300 –quiet コマンドを使用して、ドライブを暗号化するために MBAM をデプロイする前に、ドライブをサイレントに準備できます。 これには再起動が必要です。 必要に応じて、アクションをスクリプト化することもできます。 次のドキュメントでは、BitLocker ドライブ準備ツールについて説明します。
ドライブは互換性のあるファイル システムを持つ形式ではありません
BitLocker のファイル システム要件については、TechNet の記事を参照してください。
グループ ポリシー競合
MBAM 管理 イベント ログには、次のようなイベント エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 7/25/2013 9:27:58 PM
Event ID: 22
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Detected Fixed Data Drive volume encryption policies conflict.
Check BitLocker and MBAM policies related to FDD drive protectors.
グループ ポリシー設定を確認して、MBAM グループ ポリシー設定の間で競合する設定がないことを確認します。
グループ ポリシーは、BitLocker ドライブ暗号化テンプレートではなく MDOP MBAM テンプレートを使用して構成する必要があります。
次に、例を示します。
[オペレーティング システム ドライブの暗号化設定] で、保護機能として [TPM] を選択し、[ スタートアップに拡張 PIN を許可する] も選択しました。 TPM のみの保護には PIN が必要ないため、これらの設定は競合しています。 そのため、拡張 PIN 設定を無効にする必要があります。
ユーザーが免除を要求した可能性がある
コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)\Client Management\Configure user exemption policy グループ ポリシー設定を有効にした場合、ユーザーには除外を要求するオプションが提供されます。
既定では、ユーザーが除外を要求した場合、適用除外は 7 日間有効であり、この期間中に暗号化を求めるプロンプトはユーザーに表示されません。 (既定値は、ポリシー構成中に増減できます)。除外期間が終了すると、ユーザーは暗号化を求められます。
コンピューターがユーザーの除外の下にある場合、MBAM 管理 イベント ログに次のエントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 3:06:40 PM
Event ID: 13
Task Category: None
Level: Warning
Keywords:
User: SYSTEM
Computer: MBAMCLIENT.contoso.com
Description:
The user is exempt from encryption.
コンピューターのユーザー除外を手動でオーバーライドする場合は、次の手順に従います。
次のレジストリ サブキーで AllowUserExemption 値を 0 に設定します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementAgentVersion、EncodedComputerName、Installed を除き、次のレジストリ サブキーのすべてのレジストリ値を削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAMメモ 変更を有効にするには、MBAM エージェントを再起動する必要があります。
コンピューターにグループ ポリシーを適用すると、これらの値が元の設定に戻る可能性があることに注意してください。
WMI の問題
MBAM では、win32_encryptablevolume クラスのメソッドを使用して BitLocker を管理します。 このモジュールの登録が解除されているか破損している場合、MBAM クライアントは正しく動作せず、MBAM 管理 イベント ログに次のイベント エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 7/27/2013 11:18:51 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: BITTEST.xtremelabs.com
Description:
An error occurred while sending encryption status data.
Error code:
0x80041016
Details:
NULL
さらに、エラー コード 0x8007007eでは、回復ポリシーとハードウェア ポリシーが適用されないことに気付く場合があります。 これにより、"指定されたモジュールが見つかりませんでした" に変換されます。
この問題を解決するには、次のコマンドを使用して 、win32_encryptablevolume クラスを再登録する必要があります。
mofcomp c:\Windows\System32\wbem\win32_encryptablevolume.mof
MBAM エージェントの通信に関する問題のトラブルシューティング
このセクションでは、MBAM エージェント通信に関連する次の問題のトラブルシューティング情報について説明します。
MBAM サービス URL が正しくありません
MBAM コンプライアンス状態サービスまたは回復およびハードウェア サービスの値が正しくない場合は、クライアント コンピューターの MBAM 管理 イベント ログに次のようなイベント エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:36 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:13:33 PM
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:20:32 PM
Event ID: 4
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
An error occurred while sending encryption status data.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 8/3/2013 4:20:32 PM
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: Mbamclient.contoso.com
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803d0020
Details:
The endpoint address URL is invalid.
クライアント コンピューターの次のレジストリ サブキーの下にある KeyRecoveryServiceEndPoint と StatusReportingServiceEndpoint の値を確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
既定では、KeyRecoveryServiceEndPoint (MBAM Recovery およびハードウェア サービス エンドポイント) の URL は次の形式です。
<http:// servername>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc
既定では、StatusReportingServiceEndpoint (MBAM Status reporting Service endpoint) の URL は次の形式です。
<http:// servername>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
注
URL にはスペースを含めてはいけません。
サービス URL が正しくない場合は、次のグループ ポリシー設定でサービス URL を修正する必要があります。
コンピューターの構成>ポリシー>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>クライアント管理>MBAM サービスを構成する
MBAM 管理サーバーに影響する接続の問題
クライアント エージェントと MBAM 管理サーバーの間に接続の問題が存在する場合、MBAM エージェントはデータベースに更新プログラムを投稿できません。 この場合、クライアント コンピューターの MBAM 管理 イベント ログに接続エラー エントリが表示されます。
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 29-04-2014 18:21:22
Event ID: 2
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 29-04-2014 23:06:48
Event ID: 2
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
An error occurred while applying MBAM policies.
Volume ID:\\?\Volume{871c5858-2467-4d0b-8c83-d68af8ce10e5}\
Error code:
0x803D0006
Details:
The operation did not complete within the time allotted.
Log Name: Microsoft-Windows-MBAM/Admin
Source: Microsoft-Windows-MBAM
Date: 02-09-2013 02:02:04
Event ID: 18
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Computer: TESTLABS.CONTOSO.COM
Description:
Unable to connect to the MBAM Recovery and Hardware service.
Error code:
0x803D0010
Details:
The remote endpoint was not reachable.
Basic checks:
* Verify basic connectivity by pinging the MBAM administration server by name and IP. Check whether you can connect to the MBAM administration website or service port by using telnet or portqry.
* Verify that the IIS service is running on the MBAM administration and monitoring server and that the MBAM web service is listening on the same port that is configured on the MBAM client computer (`netstat –ano | find "portnumber"`).
* Verify that the port number that is configured for the MBAM website is using IIS Manager (inetmgr). Make sure that the port number is the same as the port number on which the client is listening. Make sure that the port number is not shared by another application. For example, another application on the server should not be using the same port.
* If there is a firewall, make sure that the port is open in the firewall or proxy server.
* If the communication between client and server is secure, make sure that you are using a valid SSL certificate.
* Verify network connectivity between the web server and the database server to which the data is sent for insertion. You can check database connectivity from the web server to the database server by using ODBC Data Source Administrator. Detailed SQL Server connection troubleshooting information is available in [How to Troubleshoot Connecting to the SQL Server Database Engine](https://social.technet.microsoft.com/wiki/contents/articles/2102.how-to-troubleshoot-connecting-to-the-sql-server-database-engine.aspx).
接続の問題のトラブルシューティング
クライアントで構成されているサービス URL が正しいことを確認します。 レジストリから KeyRecoveryServiceEndPoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) の URL の値をコピーし、Internet Explorer で開きます。
同様に、StatusReportingServiceEndpoint (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement) の URL の値をコピーし、Internet Explorer で開きます。
注
クライアント コンピューターから URL を参照できない場合は、クライアントから IIS を実行しているサーバーへの基本的なネットワーク接続をテストする必要があります。 前のセクションのポイント 1、2、3、および 4 を参照してください。
さらに、管理サーバーと監視サーバーのアプリケーション ログでエラーがないか確認します。
クライアントとサーバーの間で同時にネットワーク トレースを作成し、そのトレースを確認して、クライアント エージェントと MBAM 管理サーバー間の接続エラーの原因を特定できます。
注
クライアント コンピューターからサービス URL を参照でき、MBAM 管理者イベント ログに接続エラー エントリがある場合は、管理サーバーとデータベース サーバー間の接続エラーが原因である可能性があります。
両方のサービス URL を正常に参照でき、クライアントと実行中のサーバーの間に接続がある場合、IIS は動作しています。 ただし、IIS を実行しているサーバーとデータベース サーバー間の通信に問題がある可能性があります。
ネットワークの問題またはデータベース接続文字列の設定が正しくないため、MBAM サービスがデータベース サーバーに接続できない可能性があります。 管理サーバーと監視サーバーのアプリケーション ログを確認します。 ソース ASP.NET 2.0.50727.0 から次のようなエラー エントリまたは警告が表示される場合があります。
Log Name: Application
Source: ASP.NET 2.0.50727.0
Date: 7/11/2013 6:16:34 PM
Event ID: 1310
Task Category: Web Event
Level: Warning
Keywords: Classic
User: N/A
Computer: MBAM2-Admin.contoso.com
Description:
Event code: 100001
Event message: SQL error occurred
Event time: 7/11/2013 6:16:34 PM
Event time (UTC): 7/11/2013 12:46:34 PM
Event ID: 6615fb8eb9d54e778b933d5bb7ca91ed
Event sequence: 2
Event occurrence: 1
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/2/ROOT/MBAMAdministrationService-1-130180202570338699
Trust level: Full
Application Virtual Path: /MBAMAdministrationService
Application Path: C:\inetpub\Microsoft BitLocker Management Solution\Administration Service\
Machine name: MBAM2-ADMIN
Process information:
Process ID: 1940
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Exception information:
Exception type: SqlException
Exception message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
Request information:
Request URL:
Request path:
User host address:
User:
Is authenticated: False
Authentication Type:
Thread account name: NT AUTHORITY\NETWORK SERVICE
Thread information:
Thread ID: 7
Thread account name: NT AUTHORITY\NETWORK SERVICE
Is impersonating: False
Stack trace: at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj)
at System.Data.SqlClient.TdsParser.Connect(ServerInfo serverInfo, SqlInternalConnectionTds connHandler, Boolean ignoreSniOpenTimeout, Int64 timerExpire, Boolean encrypt, Boolean trustServerCert, Boolean integratedSecurity, SqlConnection owningObject)
at System.Data.SqlClient.SqlInternalConnectionTds.AttemptOneLogin(ServerInfo serverInfo, String newPassword, Boolean ignoreSniOpenTimeout, Int64 timerExpire, SqlConnection owningObject)
at System.Data.SqlClient.SqlInternalConnectionTds.LoginNoFailover(String host, String newPassword, Boolean redirectedUserInstance, SqlConnection owningObject, SqlConnectionString connectionOptions, Int64 timerStart)
at System.Data.SqlClient.SqlInternalConnectionTds.OpenLoginEnlist(SqlConnection owningObject, SqlConnectionString connectionOptions, String newPassword, Boolean redirectedUserInstance)
at System.Data.SqlClient.SqlInternalConnectionTds..ctor(DbConnectionPoolIdentity identity, SqlConnectionString connectionOptions, Object providerInfo, String newPassword, SqlConnection owningObject, Boolean redirectedUserInstance)
at System.Data.SqlClient.SqlConnectionFactory.CreateConnection(DbConnectionOptions options, Object poolGroupProviderInfo, DbConnectionPool pool, DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionFactory.CreatePooledConnection(DbConnection owningConnection, DbConnectionPool pool, DbConnectionOptions options)
at System.Data.ProviderBase.DbConnectionPool.CreateObject(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionPool.UserCreateRequest(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionPool.GetConnection(DbConnection owningObject)
at System.Data.ProviderBase.DbConnectionFactory.GetConnection(DbConnection owningConnection)
at System.Data.ProviderBase.DbConnectionClosed.OpenConnection(DbConnection outerConnection, DbConnectionFactory connectionFactory)
at System.Data.SqlClient.SqlConnection.Open()
at System.Data.Linq.SqlClient.SqlConnectionManager.UseConnection(IConnectionUser user)
at System.Data.Linq.SqlClient.SqlProvider.get_IsSqlCe()
at System.Data.Linq.SqlClient.SqlProvider.InitializeProviderMode()
at System.Data.Linq.SqlClient.SqlProvider.System.Data.Linq.Provider.IProvider.Execute(Expression query)
at System.Data.Linq.DataContext.ExecuteMethodCall(Object instance, MethodInfo methodInfo, Object[] parameters)
at Microsoft.Mbam.Server.ServiceCommon.KeyRecoveryModelDataContext.GetRecoveryKeyIds(String partialRecoveryKeyId, String reason)
at Microsoft.Mbam.ApplicationSupportService.AdministrationService.GetRecoveryKeyIds(String partialRecoveryKeyId, String reasonCode)
Custom event details:
Application: MBAMAdministrationService
Sql Server:
Database: MBAM Recovery and Hardware
Database: MBAM Compliance Status
Sql ErrorCode: 5
Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
考えられる原因
原因 1
管理者は、管理および監視サーバー コンポーネントのインストール中に無効なデータベース インスタンス名/データベース名を指定している可能性があります。
IIS 管理コンソールを使用して、データベース接続文字列を確認して修正できます。 これを行うには、IIS マネージャーを開き、[Microsoft BitLocker の管理と監視] を参照します。 左側に表示されるサービスごとに、次の手順に従ってデータベース接続文字列を変更します。
[機能ビュー] で、[接続文字列] をダブルクリックします。
[接続文字列] ページ で 、変更する接続文字列を選択します。
[ 操作 ] ウィンドウで、[ 編集] を選択します。
[ 接続文字列の編集 ] ダイアログ ボックスで、変更するプロパティを変更し、[OK] を選択 します。
原因 2
ファイアウォールでブロックされたポートSQL Server。 SQL Serverがリッスンするように構成されているポート番号を確認し、管理サーバーとデータベース サーバーの間のファイアウォールでポートが開いていることを確認します。
原因 3
SQL サーバーの TCP/IP バインドが正しくありません。 データベース サーバー上のSQL Server 構成マネージャーで SQL TCP/IP バインドを確認します。 MBAM では、データベースに接続するために TCP/IP プロトコルと名前付きパイプ プロトコルが有効になっている必要があります。
原因 4
NT Authority\Network Service アカウントまたは MBAM 管理サーバーのコンピューター アカウントには、SQL データベースに接続するために必要なアクセス許可がありません。
データベース サーバーへのデータベース コンポーネントのインストール中に、インストーラーによって、MBAM コンプライアンス監査 DB アクセスと MBAM Recovery と Hardware DB Access の 2 つのローカル グループが作成されます。
NT Authority\Network Service アカウント、MBAM 管理サーバーのコンピューター アカウント、およびデータベース コンポーネントをインストールするユーザーは、これらのグループに自動的に追加されます。
これらのグループには、インストール中にデータベースに必要なアクセス許可が付与されます。 このグループに属するすべてのユーザーは、データベースに対して必要なアクセス許可を自動的に受け取ります。
次の条件の 1 つ以上が当てはまる場合、アクセス許可の問題により、Web サービスがデータベース サーバーに接続しない可能性があります。
前述のグループは、データベース サーバー上のローカル グループから削除されます。
NT Authority\Network Service アカウントと MBAM 管理サーバーのコンピューター アカウントは、これらのグループのメンバーではありません。
これらのグループには、データベースに対する必要なアクセス許可がありません。
以前の条件のいずれかが当てはまる場合、MBAM 管理および監視サーバーのアプリケーション ログにアクセス許可関連のエラーが表示されます。 その場合は、NT Authority\Network Service アカウントと MBAM 管理サーバーのコンピューター アカウントを手動で追加し、SQL Server Management Studio (https://msdn.microsoft.com/library/aa337562.aspx) を使用している SQL データベース サーバーでサーバー全体のパブリック ロールを付与する必要があります。
Web サービス ログを確認する
MBAM 管理サーバーのアプリケーション ログにイベントが記録されない場合は、MBAM 管理および監視サーバーでホストされている MBAM Web サービスの Web サービス ログ (.svclog) を確認します。 ログ ファイルを表示するには、サービス トレース ビューアー ツール (SvcTraceViewer.exe) https://msdn.microsoft.com/library/ms732023.aspx を使用する必要があります。
主に RecoveryandHardwareService と ComplianceStatusService のサービス トレース ログを調査する必要があります。 既定では、Web サービス ログは C:\inetpub\Microsoft BitLocker Management Solution\Logs フォルダーにあります。 そこで、各サービスは.svclog ファイルを独自のフォルダーに書き込みます。
エラーまたは警告エントリがないか、サービス トレース ログのアクティビティを確認します。 既定では、エラー エントリは赤で強調表示されます。 トレース ビューアーの右側のウィンドウでエラーの説明を選択して、エラー エントリに関する詳細情報を表示します。 トレース ログからのサンプル エラー エントリを次に示します。
<E2ETraceEvent xmlns="http://schemas.microsoft.com/2004/06/E2ETraceEvent">
<System xmlns="http://schemas.microsoft.com/2004/06/windows/eventlog/system">
<EventID>15183</EventID>
<Type>3</Type>
<SubType Name="Error">0</SubType>
<Level>2</Level>
<TimeCreated SystemTime="2013-07-05T14:48:06.2821550Z" />
<Source Name="Microsoft.Mbam.CoreService" />
<Correlation ActivityID="{00000000-0000-0000-0000-000000000000}" />
<Execution ProcessName="w3wp" ProcessID="4332" ThreadID="11" />
<Channel />
<Computer>XXXXXXXXXXX</Computer>
</System>
<ApplicationData>AddUpdateVolume: While executing sql transaction for add volume to store exception occurred Key Recovery Data Store processing error: Violation of UNIQUE KEY constraint 'UniqueRecoveryKeyId'. Cannot insert duplicate key in object 'RecoveryAndHardwareCore.Keys'. The duplicate key value is (8637036e-b379-4798-bd9e-5a0b36296de3).
</ApplicationData>
</E2ETraceEvent>
MBAM インフラストラクチャの再インストールまたは再構成
MBAM インフラストラクチャを再インストールまたは再構成するには、次のことを知っている必要があります。
アプリケーション プール アカウント
MBAM グループ (ヘルプデスク、詳細、レポート ユーザー グループ)
MBAM レポート URL
SQL Server名とデータベース名
MBAM ReadWrite アカウントと ReadOnly アカウント
アプリケーション プール アカウント
アプリケーション プール アカウントを見つけるには、MBAM Web サーバーにログオンし、 インターネット インフォメーション サービス (IIS) マネージャーを開き、[ アプリケーション プール] を選択します。
このアカウントでは、サービス プリンシパル名 (SPN) を設定する必要があります。 この設定は、MBAM の機能にとって非常に重要です。
MBAM グループ (ヘルプデスク、詳細、レポート ユーザー グループ、レポート URL)
ヘルプデスク グループ、高度なヘルプデスク グループ、レポート ユーザー グループ、MBAM レポート URL などの情報が提供されます。 MBAM レポート URL は MBAM セットアップで指定する必要があり、http(s)://servername/ReportServer と読み取る必要があります。
SQL Server名とデータベース (DB) 名
MBAM DB をホストしているSQL Server名とインスタンスを見つけるには、MBAM Web (IIS) サーバーにログオンし、フォロウリング レジストリ サブキーを参照します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MBAM Server\Web
強調表示されている部分は接続文字列です。 これには、SQL Server名、データベース名、インスタンス (名前が付いている場合) が必要です。
MBAM ReadWrite アカウントと ReadOnly アカウント
この情報は、Web サーバーから名前が既に見つかった SQL Server データベースにあります。
ReadWrite アカウント
SQL Management Studio にログインします。
[MBAM 回復とハードウェア] を右クリックし、[プロパティ] を選択し、[アクセス許可] を選択します。
たとえば、ラボ アカウント名は MBAMWrite です。 アプリケーション プールと ReadWrite アカウントは同じに設定されます。
[ セキュリティ ] に移動し、SQL Management Studio の [ログイン] に移動 します。 前のスクリーンショットに示したアカウントを参照します。
アカウントを右クリックし、[ プロパティ] [ユーザー マッピング] に移動し、MBAM Recovery と Hardware データベースを見つけます。
ReadOnly アカウント
SSRS サーバーでSQL Server Reporting Services Configuration Managerを開きます。 [ レポート マネージャー URL] を選択し、 URL を参照します。
[Microsoft Bitlocker の管理と監視] を選択します。
[マルタ][データソース] の順に選択します。
MaltaDataSource には ReadOnly アカウント名が必要であり、MBAM セットアップで使用する必要があります。
リファレンス
詳細については、次の記事を参照してください。