독립 실행형 구성에서 MBAM 2.5 배포

  • 아티클

이 문서에서는 독립 실행형 구성에서 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5를 설치하기 위한 단계별 지침을 제공합니다. 이 가이드에서는 두 서버 구성을 사용합니다. 두 서버 중 하나는 Microsoft SQL Server 2012를 실행하는 데이터베이스 서버입니다. 이 서버는 MBAM 데이터베이스 및 보고서를 호스트합니다. 추가 서버는 "관리 및 모니터링 서버" 및 "셀프 서비스 포털"을 호스트하는 Windows Server 2012 웹 서버가 됩니다.

MBAM 2.5 서버 소프트웨어를 설치하기 전 준비 단계

1단계: 서버 설치 및 구성

MBAM 2.5 구성을 시작하기 전에 두 서버가 MBAM 시스템 요구 사항에 따라 구성되었는지 확인해야 합니다. MBAM 최소 시스템 요구 사항을 확인하고 이러한 요구 사항을 충족하는 구성을 선택합니다.

1.1단계: 데이터베이스 및 보고 서버에 대한 필수 구성 요소 배포

  1. Windows Server 2008 R2 이상 운영 체제를 실행하는 서버를 설치하고 구성합니다.

  2. Windows PowerShell 3.0을 설치합니다.

  3. 최신 서비스 팩을 포함하는 Microsoft SQL Server 2008 R2 이상 버전을 설치합니다. MBAM용 SQL Server 새 인스턴스를 설치하는 경우 설치하는 SQL Server SQL_Latin1_General_CP1_CI_AS 데이터 정렬이 포함되어 있는지 확인합니다. 다음 SQL Server 기능을 설치해야 합니다.

    • 데이터베이스 엔진
    • Reporting Services
    • 클라이언트 도구 연결
    • 관리 도구 – 완료

    참고

    필요에 따라 SQL Server TDE(투명한 데이터 암호화) 기능을 설치할 수도 있습니다.

    SQL Server Reporting Services 구성되지 않았거나 "SharePoint" 모드가 아닌 "네이티브" 모드로 설치하고 구성해야 합니다.

    필요한 SQL Server 기능입니다.

  4. 관리 및 모니터링 웹 사이트에 SSL을 사용하려는 경우 관리 및 모니터링 웹 사이트를 구성하기 전에 SSL(Secure Sockets Layer) 프로토콜을 사용하도록 SSRS(SQL Server Reporting Services)를 구성해야 합니다. 그렇지 않으면 보고서 기능은 암호화되지 않은(HTTPS) 대신 암호화되지 않은(HTTP) 데이터 전송을 사용합니다.

    기본 모드 보고서 서버에서 SSL 연결 구성 에 따라 보고서 서버에서 SSL을 구성할 수 있습니다.

    참고

    해당 버전의 SQL Server 대한 SQL Server 설치 가이드에 따라 SQL Server 설치할 수 있습니다. 링크는 다음과 같습니다. > * SQL Server 2014> * SQL Server 2012> * SQL Server 2008 R2

  5. SQL Server 설치 후 SQL Server 사용자 계정을 프로비전하고 데이터베이스 서버에서 MBAM 데이터베이스 및 보고 역할을 구성할 사용자에게 다음 권한을 할당해야 합니다.

    SQL Server 인스턴스에 대한 역할:

    • Dbcreator
    • processadmin

    SQL Server Reporting Services 인스턴스에 대한 권한:

    • 폴더 만들기
    • 보고서 게시

데이터베이스 서버는 MBAM 2.5 역할을 구성할 준비가 된 것입니다. 다음 서버로 이동하겠습니다.

1.2단계: 관리 및 모니터링 서버에 대한 필수 구성 요소 배포

MBAM 시스템 요구 사항 문서에 설명된 대로 하드웨어 구성을 충족하는 서버를 선택합니다. Windows Server 2008 R2 이상 운영 체제를 최신 서비스 팩 및 업데이트와 함께 실행해야 합니다. 서버가 준비되면 다음 역할 및 기능을 설치합니다.

역할

  • 웹 서버(IIS) 관리 도구(IIS 관리 스크립트 및 도구 선택).

  • 웹 서버 역할 서비스

    • 일반적인 HTTP 기능
      정적 콘텐츠
      기본 문서

    • 응용 프로그램 개발
      ASP.NET
      .NET 확장성
      ISAPI 확장
      ISAPI 필터
      Security
      Windows 인증
      요청 필터링

    • 웹 서비스 IIS 관리 도구

기능

  • .NET Framework 4.5 기능

    • Microsoft .NET Framework 4.5

      Windows Server 2012 또는 Windows Server 2012 R2의 경우 이러한 버전의 Windows Server에 대해 .NET Framework 4.5가 이미 설치되어 있습니다. 그러나 사용하도록 설정해야 합니다.

      Windows Server 2008 R2의 경우 .NET Framework 4.5는 Windows Server 2008 R2에 포함되지 않습니다. 따라서 .NET Framework 4.5를 다운로드하고 별도로 설치해야 합니다.

    • WCF 활성화
      HTTP 활성화
      비 HTTP 활성화

    • TCP 활성화

    • Windows 프로세스 정품 인증 서비스:
      프로세스 모델
      .NET Framework 환경
      구성 API

셀프 서비스 포털이 작동하려면 MVC 4.0을 다운로드하여 ASP.NET 설치해야 합니다.

다음 단계는 Active Directory에서 필요한 MBAM 사용자 및 그룹을 만드는 것입니다.

2단계: Active Directory Domain Services 사용자 및 그룹 만들기

필수 구성 요소의 일부로 MBAM에서 사용되는 특정 역할 및 계정을 정의하여 SQL Server 인스턴스에서 실행되는 데이터베이스 및 관리 및 모니터링 서버에서 실행되는 웹 애플리케이션과 같은 특정 서버 및 기능에 대한 보안 및 액세스 권한을 제공해야 합니다.

Active Directory에서 다음 그룹 및 사용자를 만듭니다. (그룹 및 사용자의 이름을 사용할 수 있습니다.) 사용자에게 더 큰 사용자 권한이 있을 필요는 없습니다. 도메인 사용자 계정으로 충분합니다. MBAM 2.5를 구성하는 동안 이러한 그룹의 이름을 지정해야 합니다.

  • MBAMAppPool

    형식: 도메인 사용자

    설명: 웹 애플리케이션이 이러한 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스 및 복구 데이터베이스에 대한 읽기 또는 쓰기 권한이 있는 도메인 사용자입니다. 또한 웹 애플리케이션에 대한 애플리케이션 풀에서 사용됩니다.

    계정 역할(MBAM 구성 중):

    1. 웹 서비스 애플리케이션 풀 도메인 계정

    2. 보고서에 대한 데이터베이스 및 복구 데이터베이스 읽기/쓰기 사용자 준수 및 감사

  • MBAMROUser

    형식: 도메인 사용자

    설명: 보고서가 이 데이터베이스의 규정 준수 및 감사 데이터에 액세스할 수 있도록 규정 준수 및 감사 데이터베이스에 대한 Read-Only 액세스 권한이 있는 도메인 사용자입니다. 또한 로컬 SQL Server Reporting Services 인스턴스가 규정 준수 및 감사 데이터베이스에 액세스하는 데 사용하는 도메인 사용자 계정이기도 합니다.

    계정 역할(MBAM 구성 중):

    1. 보고서에 대한 준수 및 감사 데이터베이스 읽기 전용 사용자

    2. 규정 준수 및 감사 데이터베이스 도메인 사용자 계정

  • MBAMAdvHelpDsk

    형식: 도메인 그룹

    설명: MBAM 고급 기술 지원팀 사용자 액세스 그룹: 구성원이 관리 및 모니터링 웹 사이트의 모든 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 사용자는 사용자가 드라이브를 복구하도록 도울 때 사용자의 도메인 및 사용자 이름이 아닌 복구 키만 입력해야 합니다. 사용자가 MBAM 기술 지원팀 사용자 그룹과 MBAM 고급 기술 지원팀 사용자 그룹의 구성원인 경우 MBAM 고급 기술 지원팀 사용자 그룹 권한은 MBAM 기술 지원팀 그룹 권한을 재정의합니다.

    계정 역할(MBAM 구성 중): MBAM 고급 기술 지원팀 사용자

  • MBAMHelpDsk

    형식: 도메인 그룹

    설명: MBAM 기술 지원팀 사용자 액세스 그룹: 구성원이 MBAM 관리 및 모니터링 웹 사이트의 TPM 관리 및 드라이브 복구 영역에 액세스할 수 있는 도메인 사용자 그룹입니다. 이 역할이 있는 사람 두 옵션 중 하나를 사용할 때 모든 필드를 입력해야 합니다. 여기에는 사용자의 도메인 및 계정 이름이 포함됩니다.

    계정 역할(MBAM 구성 중): MBAM 기술 지원팀 사용자

  • MBAMRUGrp

    형식: 도메인 그룹

    설명: 구성원이 관리 및 모니터링 웹 사이트의 보고서 영역에 있는 보고서에 대한 읽기 전용 액세스 권한이 있는 도메인 사용자 그룹입니다.

    계정 역할(MBAM 구성 중):

    1. 읽기 전용 도메인 액세스 그룹 보고

    2. MBAM 보고서 사용자 액세스 그룹

3단계(선택 사항): 관리 및 모니터링 서버에 SSL 인증서 구성 및 설치

선택 사항이지만 인증서를 사용하여 MBAM 클라이언트와 관리 및 모니터링 웹 사이트와 Self-Service Portal 웹 사이트 간의 통신을 보호하는 것이 좋습니다. 명백한 보안상의 이유로 자체 서명된 인증서를 사용하지 않는 것이 좋습니다. 신뢰할 수 있는 인증 기관의 웹 서버 유형 인증서를 사용하는 것이 좋습니다. 이렇게 하려면 KB 2754259 "인증 기관에서 승인한 인증서 사용" 섹션을 참조하세요.

인증서를 발급한 후에는 관리 및 모니터링 서버의 개인 저장소에 인증서를 추가해야 합니다. 인증서를 추가하려면 로컬 컴퓨터에서 인증서 저장소를 엽니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 시작을 마우스 오른쪽 으로 선택한 다음 실행을 선택합니다.

    스크린샷은 실행을 선택할 위치를 보여줍니다.

  2. 따옴표 없이 "MMC.EXE"을 입력한 다음 확인을 선택합니다.

    실행 상자.

  3. 연 새 MMC에서 파일을 선택한 다음 스냅인 추가/제거를 선택합니다.

    선택.

  4. 인증서 스냅인 강조 표시한 다음 추가를 선택합니다.

    스냅인 추가 또는 제거 위치를 보여 줍니다.

  5. 컴퓨터 계정 옵션을 선택한 다음, 다음을 선택합니다.

    인증서 스냅인 창.

  6. 다음 화면에서 로컬 컴퓨터를 선택한 다음 마침을 선택합니다.

    컴퓨터 창을 선택합니다.

  7. 이제 인증서 스냅인을 추가했습니다. 이렇게 하면 컴퓨터의 인증서 저장소에 있는 모든 인증서로 작업할 수 있습니다.

    스냅인 창을 추가하거나 제거합니다.

  8. 웹 서버 인증서를 컴퓨터의 인증서 저장소로 가져옵니다.

    이제 인증서 스냅인에 액세스할 수 있으므로 웹 서버 인증서를 컴퓨터의 인증서 저장소로 가져올 수 있습니다. 이렇게 하려면 다음 단계를 수행합니다.

  9. 인증서(로컬 컴퓨터) 스냅인을 열고 개인인증서로 이동합니다.

    스크린샷은 인증서(로컬 컴퓨터) 스냅인 창을 보여줍니다.

    참고

    인증서 스냅인은 나열되지 않을 수 있습니다. 그렇지 않으면 인증서가 설치되지 않습니다.

  10. 인증서를 마우스 오른쪽 단추로 선택하고 모든 작업을선택한 다음 가져오기를 선택합니다.

    인증서(로컬 컴퓨터) 스냅인 창

  11. 마법사가 시작되면 다음을 선택합니다. 서버 인증서 및 프라이빗 키가 포함된 파일을 찾은 다음, 다음을 선택합니다.

    인증서 가져오기 마법사 창.

  12. 파일을 만들 때 파일에 대해 암호를 지정한 경우 암호를 입력합니다.

암호 창을 입력합니다.

참고

이 컴퓨터에서 키 쌍을 다시 내보낼 수 있도록 하려면 키를 내보낼 수 있는 것으로 표시 옵션이 선택되어 있는지 확인합니다. 추가된 보안 조치로, 아무도 프라이빗 키를 백업할 수 없도록 이 옵션을 지워 두는 것이 좋습니다.

  1. 다음을 선택한 다음 인증서를 저장할 인증서 저장소를 선택합니다.

    스크린샷은 인증서 가져오기 마법사 창을 보여줍니다.

    참고

    웹 서버 인증서이므로 개인을 선택해야 합니다. 인증서를 인증 계층 구조에 포함하면 이 저장소에도 추가됩니다.

  2. 다음을 선택한 다음 마침을 선택합니다.

    스크린샷은 인증서 가져오기 마법사 창에서 마침을 선택할 위치를 보여줍니다.

이제 개인 인증서 목록에 웹 서버에 대한 서버 인증서가 표시됩니다. 서버의 일반 이름으로 표시됩니다. (인증서의 주체 섹션에서 찾을 수 있습니다.)

자세한 내용은 다음을 참조하세요.

MBAM 2.5 보안 고려 사항

MBAM 웹 사이트를 보호하는 방법 계획

다음 단계는 애플리케이션 풀 계정에 대한 서비스 주체 이름을 등록하는 것입니다.

4단계: MBAM 웹 서버에 대한 SSL 인증서 구성

클라이언트와 서버 간의 SSL 통신을 사용하는 경우 인증서에 향상된 키 사용량 OID(1.3.6.1.5.5.7.3.1) 및 (1.3.6.1.5.5.7.3.2)가 있는지 확인해야 합니다. 즉, 서버 인증 및 클라이언트 인증이 추가되었는지 확인해야 합니다.

서비스 URL을 찾아보려고 할 때 인증서 오류가 발생하면 다른 이름으로 발급된 인증서를 사용하거나 잘못된 URL을 사용하여 검색하는 것입니다.

브라우저에서 인증서 오류 메시지를 표시할 수 있지만 계속할 수 있지만 MBAM 웹 서비스는 인증서 오류를 무시하지 않고 연결을 차단합니다. MBAM 클라이언트의 MBAM 관리 이벤트 로그에서 인증서 관련 오류가 표시됩니다. 별칭을 사용하여 관리 및 모니터링 서버에 연결하는 경우 별칭 이름에 인증서를 발급해야 합니다. 즉, 인증서의 주체 이름은 별칭 이름이어야 하며 로컬 서버의 DNS 이름은 인증서의 주체 대체 이름 필드에 추가되어야 합니다.

예제:

가상 이름이 "bitlocker.contoso.com"이고 MBAM 관리 및 모니터링 서버 이름이 "adminserver.contoso.com"인 경우 인증서를 bitlocker.contoso.com 발급해야 하며(주체 이름) 인증서의 주체 대체 이름 필드에 adminserver.contoso.com 추가해야 합니다.

마찬가지로 부하 분산 장치를 사용하여 부하를 분산하기 위해 여러 관리 및 모니터링 서버를 설치한 경우 가상 이름에 SSL 인증서를 발급해야 합니다. 즉, 인증서의 주체 이름 필드에는 가상 이름이 있어야 하며 모든 로컬 서버의 이름은 인증서의 주체 대체 이름 필드에 추가되어야 합니다.

예제:

가상 이름이 "bitlocker.contoso.com"이고 서버가 "adminserver1.contoso.com" 및 "adminiserver2.contoso.com"인 경우 인증서를 bitlocker.contoso.com(주체 이름) 및 adminserver1.contoso.com 발급해야 하며 인증서의 주체 대체 이름 필드에 adminiserver2.contoso.com 추가해야 합니다.

MBAM을 사용하여 SSL 통신을 구성하는 단계는 기술 자료 문서 KB 2754259 설명합니다.

5단계: 애플리케이션 풀 계정에 대한 SPNS 등록 및 제한된 위임 구성

참고

제한된 위임은 2.5에만 필요하며 2.5 서비스 팩 1 이상에는 필요하지 않습니다.

MBAM 서버가 관리 및 모니터링 웹 사이트 및 Self-Service 포털에서 통신을 인증할 수 있도록 하려면 웹 애플리케이션 풀에 사용 중인 도메인 계정 아래에 호스트 이름에 대한 SPN(서비스 사용자 이름)을 등록해야 합니다. 다음 문서에는 SPN을 등록하는 단계별 지침이 포함되어 있습니다. MBAM 웹 사이트를 보호하는 방법 계획

SPN을 구성한 후에는 SPN에서 제한된 위임을 설정해야 합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. Active Directory로 이동하여 이전 단계에서 MBAM 웹 사이트에 대해 구성한 앱 풀 자격 증명을 찾습니다.

  2. 자격 증명을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

  3. 위임 탭을 선택합니다.

  4. Kerberos 인증 옵션을 선택합니다.

  5. 찾아보기를 선택하고 앱 풀 자격 증명을 다시 찾습니다. 그러면 앱 풀 자격 증명 계정에 설정된 모든 SPN이 표시됩니다. SPN은 "http/bitlocker.fqdn.com"과 유사해야 합니다. MBAM 설치 중에 지정한 호스트 이름과 동일한 SPN을 강조 표시합니다.

  6. 확인을 선택합니다.

이제 필수 구성 요소를 잘 사용할 수 있습니다. 다음 단계에서는 서버에 MBAM 소프트웨어를 설치하고 구성합니다.

MBAM 2.5 서버 소프트웨어 설치 및 구성

6단계: MBAM 2.5 서버 소프트웨어 설치

데이터베이스 서버와 관리 및 모니터링 서버 모두에서 Microsoft BitLocker 관리 및 모니터링 설정 마법사를 사용하여 MBAM 서버 소프트웨어를 설치하려면 다음 단계를 수행합니다.

  1. MBAM을 설치하려는 서버에서 MBAMserversetup.exe 실행하여 Microsoft BitLocker 관리 및 모니터링 설정 마법사를 시작합니다.

  2. 시작 페이지에서 다음을 선택합니다.

  3. Microsoft 소프트웨어 사용권 계약을 읽고 동의한 다음 , 다음 을 선택하여 설치를 계속합니다.

  4. 업데이트를 확인할 때 Microsoft 업데이트를 사용할지 여부를 결정하고 다음을 선택합니다.

  5. 고객 환경 개선 프로그램에 참여할지 여부를 결정하고 다음을 선택합니다.

  6. 설치를 시작하려면 설치를 선택합니다.

  7. 마침을 선택합니다.

  8. MBAM 구성을 계속하기 전에 최신 MDOP 서비스 릴리스 업데이트를 설치합니다. 그렇지 않으면 데이터베이스 서버가 인식/지원되지 않으며 구성 마법사에서 데이터베이스 구성의 유효성을 검사할 때 오류가 보고됩니다. Microsoft Desktop Optimization Pack용 2020년 10월 서비스 릴리스

  9. 서버 설치가 시작 메뉴에서 만드는 MBAM 서버 구성 바로 가기를 사용하여 MBAM을 구성할 수 있습니다.

자세한 내용은 MBAM 2.5 서버 소프트웨어 설치를 참조하세요.

7단계: MBAM 2.5 데이터베이스 및 보고서 역할 구성

이 단계에서는 MBAM 마법사를 사용하여 MBAM 2.5 데이터베이스 및 보고 구성 요소를 구성합니다.

  1. 마법사를 사용하여 준수 및 감사 데이터베이스 및 복구 데이터베이스를 구성합니다.

    1. 데이터베이스를 구성하려는 서버에서 MBAM 서버 구성 마법사를 시작합니다. 시작 메뉴에서 MBAM 서버 구성을 선택하여 마법사를 열 수 있습니다.

    2. 새 기능 추가를 선택하고, 준수 및 감사 데이터베이스, 복구 데이터베이스 및 보고서를 선택한 다음, 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

    3. 필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 필수 구성 요소 확인을 다시 선택합니다.

    4. 다음 설명을 사용하여 마법사에 필드 값을 입력합니다.

  2. 규정 준수 및 감사 데이터베이스

    필드 설명
    SQL Server 이름 규정 준수 및 감사 데이터베이스를 구성하는 서버의 이름입니다.
    SQL Server 포트에서 들어오는 인바운드 트래픽을 사용하도록 설정하려면 준수 및 감사 데이터베이스 컴퓨터에 예외를 추가해야 합니다. 기본 포트 번호는 1433입니다.
    데이터베이스 인스턴스 SQL Server 규정 준수 및 감사 데이터가 저장될 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다. 데이터베이스 정보가 있는 위치도 지정해야 합니다.
    데이터베이스 이름 규정 준수 데이터를 저장할 데이터베이스의 이름입니다. 이후 단계에서 이 정보를 제공해야 하므로 여기서 지정하는 데이터베이스의 이름을 적어 두어야 합니다.
    읽기/쓰기 권한 도메인 사용자 또는 그룹 2단계에서 구성된 대로 MBAMAppPool 사용자의 이름을 지정합니다.
    읽기 전용 액세스 도메인 사용자 또는 그룹 2단계에서 구성된 대로 MBAMROUser 사용자의 이름을 지정합니다.

  3. 복구 데이터베이스.

    필드 설명
    SQL Server 이름 복구 데이터베이스를 구성하는 서버의 이름입니다. 복구 데이터베이스 컴퓨터에 예외를 추가하여 SQL Server 포트에서 들어오는 인바운드 트래픽을 사용하도록 설정해야 합니다. 기본 포트 번호는 1433입니다.
    데이터베이스 인스턴스 SQL Server 복구 데이터가 저장될 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다. 데이터베이스 정보가 있는 위치도 지정해야 합니다.
    데이터베이스 이름 복구 데이터를 저장할 데이터베이스의 이름입니다.
    읽기/쓰기 권한 도메인 사용자 또는 그룹 웹 애플리케이션이 이 데이터베이스의 데이터 및 보고서에 액세스할 수 있도록 이 데이터베이스에 대한 읽기/쓰기 권한이 있는 도메인 사용자 또는 그룹입니다.
    이 필드에 사용자를 입력하는 경우 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드의 값과 동일한 값이어야 합니다.
    이 필드에 그룹을 입력하는 경우 웹 애플리케이션 구성 페이지의 웹 서비스 애플리케이션 풀 도메인 계정 필드 값은 이 필드에 입력한 그룹의 구성원이어야 합니다.

    항목을 마치면 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

    필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 , 다음 을 다시 선택합니다.

  4. 보고서.

    필드 설명
    SQL Server Reporting Services 인스턴스 보고서가 구성될 SQL Server Reporting Services 인스턴스입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다.
    보고 역할 도메인 그룹 2단계에서 설명한 대로 MBAMRUGrp의 이름을 지정합니다.
    SQL Server 이름 규정 준수 및 감사 데이터베이스가 구성된 서버의 이름입니다.
    데이터베이스 인스턴스 SQL Server 규정 준수 및 감사 데이터가 구성된 데이터베이스 인스턴스의 이름입니다. 기본 인스턴스를 사용하는 경우 이 필드를 비워 두어야 합니다.
    Reporting Server 포트에서 들어오는 트래픽을 사용하도록 설정하려면 보고서 컴퓨터에 예외를 추가해야 합니다. (기본 포트는 80입니다.)
    데이터베이스 이름 준수 및 감사 데이터베이스의 이름입니다. 기본적으로 데이터베이스 이름은 MBAM 준수 상태입니다.
    규정 준수 및 감사 데이터베이스 도메인 계정 2단계에서 구성된 대로 MBAMROUser 사용자의 이름을 지정합니다.

    항목을 마치면 다음을 선택합니다. 마법사는 보고서 기능에 대한 모든 필수 구성 요소가 충족되는지 확인합니다. 계속하려면 다음을 선택합니다. 요약 페이지에서 추가될 기능을 검토합니다.

    자세한 내용은 MBAM 2.5 데이터베이스를 구성하는 방법 문서를 참조하세요.

8단계: MBAM 2.5 웹 애플리케이션 역할 구성

  1. 웹 애플리케이션을 구성하려는 서버에서 MBAM 서버 구성 마법사를 시작합니다. 시작 메뉴에서 MBAM 서버 구성을 선택하여 마법사를 열 수 있습니다.

  2. 새 기능 추가를 선택하고 관리 및 모니터링 웹 사이트셀프 서비스 포털을 선택한 다음, 다음을 선택합니다. 마법사는 데이터베이스에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

  3. 필수 구성 요소 확인에 성공하면 다음 을 선택하여 계속합니다. 그렇지 않으면 누락된 필수 구성 요소를 해결한 다음 필수 구성 요소 확인을 다시 선택합니다.

  4. 다음 설명을 사용하여 마법사에 필드 값을 입력합니다.

    필드 설명
    보안 인증서 3단계에서 이전에 만든 인증서를 선택하여 선택적으로 관리 및 모니터링 웹 사이트를 구성하는 웹 서비스와 서버 간의 통신을 암호화합니다. 인증서 사용 안 을 선택하면 웹 통신이 안전하지 않을 수 있습니다.
    호스트 이름 관리 및 모니터링 웹 사이트를 구성하는 호스트 컴퓨터의 이름입니다.
    컴퓨터의 호스트 이름이 아니어도 무엇이든 될 수 있습니다. 그러나 호스트 이름이 컴퓨터의 netbios 이름과 다른 경우 A 레코드를 만들고 SPN에서 netbios 이름이 아닌 사용자 지정 호스트 이름을 사용해야 합니다. 이는 부하 분산 시나리오에서 일반적입니다.
    설치 경로 관리 및 모니터링 웹 사이트를 설치하는 경로입니다.
    Port 웹 사이트 통신에 사용할 포트 번호입니다.
    지정된 포트를 통한 통신을 사용하도록 설정하려면 방화벽 예외를 설정해야 합니다.
    웹 서비스 애플리케이션 풀 도메인 계정 및 암호 2단계에서 구성된 대로 MBAMAppPool 사용자의 사용자 계정 및 암호를 지정합니다.
    보안 향상을 위해 자격 증명에 지정된 계정을 제한된 사용자 권한을 갖도록 설정합니다. 또한 계정의 암호가 만료되지 않도록 설정합니다.

  5. 기본 제공 IIS_IUSRS 계정 또는 애플리케이션 풀 계정이 인증 후 클라이언트 가장 및 일괄 작업 로컬 보안 설정 으로 로그온에 추가되었는지 확인합니다.

    계정이 로컬 보안 설정에 추가되었는지 확인하려면 로컬 보안 정책 편집기를 열고, 로컬정책 노드를 확장하고, 사용자 권한 할당 노드를 선택한 다음, 인증 후 클라이언트 가장 을 두 번 선택하고 오른쪽 창에서 일괄 처리 작업 정책으로 로그온 을 선택합니다.

  6. 다음 필드 설명을 사용하여 준수 및 감사 데이터베이스에 대한 마법사에서 연결 정보를 구성합니다.

    필드 설명
    SQL Server 이름 규정 준수 및 감사 데이터베이스가 구성된 서버의 이름입니다.
    데이터베이스 인스턴스 SQL Server SQL Server 인스턴스의 이름(예: <서버 이름>) 및 규정 준수 및 감사 데이터베이스가 구성된 이름입니다. 기본 인스턴스를 사용하는 경우 이 값을 비워 둡니다.
    데이터베이스 이름 준수 및 감사 데이터베이스의 이름입니다. 기본적으로 "MBAM 준수 상태"입니다.

  7. 다음 필드 설명을 사용하여 복구 데이터베이스에 대한 마법사에서 연결 정보를 구성합니다.

    필드 설명
    SQL Server 이름 복구 데이터베이스가 구성된 서버의 이름입니다.
    데이터베이스 인스턴스 SQL Server Recovery Database가 구성된 SQL Server 인스턴스의 이름(예: <서버 이름>)입니다. 기본 인스턴스를 사용하는 경우 이 값을 비워 둡니다.
    데이터베이스 이름 복구 데이터베이스의 이름입니다. 기본적으로 "MBAM 복구 및 하드웨어"입니다.

  8. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 관리 및 모니터링 웹 사이트를 구성합니다.

    필드 설명
    고급 기술 지원팀 역할 도메인 그룹 2단계에서 구성된 대로 MBAMAdvHelpDsk 그룹의 이름을 지정합니다.
    기술 지원팀 역할 도메인 그룹 2단계에서 구성된 대로 MBAMHelpDsk 그룹의 이름을 지정합니다.
    System Center Configuration Manager 통합 사용 이 확인란의 선택을 취소하려면 선택합니다.
    보고 역할 도메인 그룹 2단계에서 구성된 대로 MBAMRUGrp 그룹의 이름을 지정합니다.
    SQL Server Reporting Services URL MBAM 보고서가 구성된 SSRS 서버의 웹 서비스 URL을 지정합니다. 데이터베이스 서버에서 Reporting Services Configuration Manager 로그인하여 이 정보를 찾을 수 있습니다.
    정규화된 도메인 이름의 예: https://MyReportServer.Contoso.com/ReportServer
    사용자 지정 호스트 이름의 예: https://MyReportServer/ReportServer
    가상 디렉터리 관리 및 모니터링 웹 사이트의 가상 디렉터리입니다. 이 이름은 서버의 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예를 들어 다음과 같은 가치를 제공해야 합니다.
    http(s)://<host name>:<port>/HelpDesk/
    가상 디렉터리를 지정하지 않으면 HelpDesk 값이 사용됩니다.

  9. 다음 설명을 사용하여 마법사에서 필드 값을 입력하여 Self-Service 포털을 구성합니다.

    필드 설명
    가상 디렉터리 웹 애플리케이션의 가상 디렉터리입니다. 이 이름은 서버의 웹 사이트의 실제 디렉터리에 해당하며 웹 사이트의 호스트 이름에 추가됩니다. 예를 들어 다음과 같은 가치를 제공해야 합니다.
    http(s)://<host name>:<port>/SelfService/
    가상 디렉터리를 지정하지 않으면 "SelfService" 값이 사용됩니다.

  10. 항목을 마치면 다음을 선택합니다. 마법사는 웹 애플리케이션에 대한 모든 필수 구성 요소가 충족되는지 확인합니다.

  11. 다음을 선택하여 계속합니다.

  12. 요약 페이지에서 추가될 기능을 검토합니다.

  13. 추가를 선택하여 웹 애플리케이션을 서버에 추가한 다음, 닫기를 선택합니다.

MBAM 2.5 서버 소프트웨어를 설치한 후 단계 사용자 지정 및 유효성 검사

9단계: 조직의 자체 서버 포털 사용자 지정

사용자 지정 알림 텍스트, 회사 이름, 자세한 정보에 대한 포인터 등을 추가하여 Self-Service Portal을 사용자 지정하려면 조직용 Self-Service 포털 사용자 지정을 참조하세요.

10단계: 클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 자체 서버 포털 구성

클라이언트 컴퓨터가 Microsoft AJAX CDN(Content Delivery Network)에 액세스할 수 있는지 여부를 확인합니다. CDN은 Self-Service Portal에 특정 JavaScript 파일에 필요한 액세스를 제공합니다. 클라이언트 컴퓨터가 CDN에 액세스할 수 없는 경우 Self-Service Portal을 구성하지 않으면 사용자가 로그인한 회사 이름과 계정만 표시됩니다. 오류 메시지가 표시되지 않습니다.

다음 중 하나를 수행합니다.

11단계: MBAM 2.5 서버 기능 구성 유효성 검사

독립 실행형 토폴로지를 사용하도록 MBAM Server 배포의 유효성을 검사하려면 다음 단계를 수행합니다.

  1. MBAM 기능이 배포되는 각 서버에서 제어판>프로그램>프로그램 및 기능을 선택합니다. Microsoft BitLocker 관리 및 모니터링프로그램 및 기능 목록에 표시되는지 확인합니다.

    참고

    유효성 검사를 수행하려면 각 서버에 로컬 컴퓨터 관리 자격 증명이 있는 도메인 계정을 사용해야 합니다.

  2. 복구 데이터베이스가 구성된 서버에서 SQL Server Management Studio 열고 MBAM 복구 및 하드웨어 데이터베이스가 구성되어 있는지 확인합니다.

  3. 준수 및 감사 데이터베이스가 구성된 서버에서 SQL Server Management Studio 열고 MBAM 준수 상태 데이터베이스가 구성되었는지 확인합니다.

  4. 보고서 기능이 구성된 서버에서 관리 자격 증명을 사용하여 웹 브라우저를 열고 SQL Server Reporting Services 사이트의 홈페이지로 이동합니다.

    SQL Server Reporting Services 사이트 인스턴스의 기본 홈페이지 위치는 http(s)://<MBAM Reports 서버 이름>:<port>/Reports.aspx입니다.

    실제 URL을 찾으려면 Reporting Services Configuration Manager 도구를 사용하고 설치 중에 지정한 인스턴스를 선택합니다.

  5. Microsoft BitLocker 관리 및 모니터링이라는 보고서 폴더에 MaltaDataSource라는 데이터 원본이 포함되어 있는지 확인합니다. 이 데이터 원본에는 언어 로캘(예: en-us)을 나타내는 이름이 있는 폴더가 포함되어 있습니다. 보고서는 언어 폴더에 있습니다.

    참고

    SSRS(SQL Server Reporting Services)가 명명된 인스턴스로 구성된 경우 URL은 http(s)://<MBAM Reports 서버 이름:<port>/Reports_<SSRS 인스턴스 이름과> 유사해야 합니다.>

    SSRS가 SSL(Secure Socket Layer)을 사용하도록 구성되지 않은 경우 MBAM 서버를 설치할 때 보고서의 URL이 "HTTPS" 대신 "HTTP"로 설정됩니다. 그런 다음 관리 및 모니터링 웹 사이트(기술 지원팀이라고도 함)로 이동하여 보고서를 선택하면 "보안 콘텐츠만 표시됩니다."라는 메시지가 표시됩니다. 보고서를 표시하려면 모든 콘텐츠 표시를 선택합니다.

  6. 관리 및 모니터링 웹 사이트 기능이 구성된 서버에서 서버 관리자 실행하고 역할을 찾은 다음 웹 서버(IIS)>IIS(인터넷 정보 서비스) 관리자를 선택합니다.

  7. 연결에서 컴퓨터 이름을> 찾<은 다음 사이트>Microsoft BitLocker 관리 및 모니터링을 선택합니다. 다음이 나열되어 있는지 확인합니다.

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. 관리 및 모니터링 웹 사이트 및 Self-Service 포털이 구성된 서버에서 관리 자격 증명을 사용하여 웹 브라우저를 엽니다.

  9. 다음 웹 사이트로 이동하여 성공적으로 로드되었는지 확인합니다.

    • https(s)://<MBAM 관리 서버 이름>:<port>/HelpDesk/ (탐색 및 보고서에 대한 각 링크 확인)
    • http(s)://<MBAM 관리 서버 이름>:<port>/SelfService/

    참고

    네트워크 암호화 없이 기본 포트에서 서버 기능을 구성한 것으로 가정합니다. 다른 포트 또는 가상 디렉터리에 서버 기능을 구성한 경우 적절한 포트를 포함하도록 URL을 변경합니다. 예: http(s)://<host name>:<port>/HelpDesk/ http(s)://<host name>:<port>/<virtualdirectory>/ 서버 기능이 네트워크 암호화를 사용하도록 구성된 경우 http:// https:// 변경합니다.

  10. 다음 웹 서비스로 이동하여 성공적으로 로드되는지 확인합니다. 서비스가 실행 중임을 나타내는 페이지가 열립니다. 그러나 페이지에는 메타데이터가 표시되지 않습니다.

    • http(s)://<MBAM 관리 서버 이름>:<port>/MBAMAdministrationService/AdministrationService.svc
    • http(s)://<MBAM 관리 서버 이름>:<port>/MBAMUserSupportService/UserSupportService.svc
    • http(s)://<MBAM 관리 서버 이름>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • http(s)://<MBAM 관리 서버 이름>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

12단계: MBAM 그룹 정책 템플릿 구성

MBAM을 배포하려면 BitLocker 드라이브 암호화에 대한 MBAM 구현 설정을 정의하는 그룹 정책 설정을 설정해야 합니다. 이 작업을 완료하려면 GPMC(관리 콘솔) 또는 AGPM(고급 그룹 정책 관리)을 실행할 수 있는 서버 또는 워크스테이션에 그룹 정책 MBAM 그룹 정책 템플릿을 복사한 다음 설정을 편집해야 합니다.

중요

BitLocker 드라이브 암호화 노드 또는 MBAM의 그룹 정책 설정을 변경하지 마세요. MDOP MBAM(BitLocker Management) 노드에서 그룹 정책 설정을 구성하면 MBAM에서 자동으로 BitLocker 드라이브 암호화 설정을 구성합니다.

MBAM 2.5 그룹 정책 템플릿 복사

MBAM 클라이언트를 설치하기 전에 MBAM별 그룹 정책 개체(GPO)를 관리 워크스테이션에 복사해야 합니다. 이러한 GPO는 BitLocker에 대한 MBAM 구현 설정을 정의합니다. 지원되는 Windows 기반 서버 또는 클라이언트 컴퓨터이고 GPMC(그룹 정책 Management Console) 또는 AGPM(Advanced 그룹 정책 Management)을 실행할 수 있는 모든 서버 또는 워크스테이션에 그룹 정책 템플릿을 복사할 수 있습니다.

자세한 내용은 MBAM 2.5 그룹 정책 템플릿 복사를 참조하세요.

MBAM 2.5 GPO 설정 편집

필요한 GPO를 만든 후에는 조직의 클라이언트 컴퓨터에 MBAM 그룹 정책 설정을 배포해야 합니다. GPO를 보고 만들려면 GPMC(그룹 정책 관리 콘솔) 또는 AGPM(Advanced 그룹 정책 Management)이 설치되어 있어야 합니다.

자세한 내용은 MBAM 2.5 그룹 정책 설정 편집MBAM 2.5 그룹 정책 요구 사항 계획을 참조하세요.

13단계: MBAM 2.5 클라이언트 배포

Microsoft BitLocker 관리 및 모니터링 클라이언트 소프트웨어를 배포하는 경우에 따라 사용자가 컴퓨터를 받기 전에 또는 나중에 엔터프라이즈 소프트웨어 배포 시스템을 사용하여 그룹 정책 구성하고 MBAM 클라이언트 소프트웨어를 배포하여 조직의 컴퓨터에서 BitLocker를 사용하도록 설정할 수 있습니다.

데스크톱 또는 휴대용 컴퓨터에 MBAM 클라이언트 배포

그룹 정책 설정을 구성한 후 Microsoft System Center 2012 Configuration Manager 또는 AD DS(Active Directory Domain Services)와 같은 엔터프라이즈 소프트웨어 배포 시스템 제품을 사용하여 대상 컴퓨터에 MBAM 클라이언트 설치 Windows Installer 파일을 배포할 수 있습니다. 32비트 또는 64비트 MbamClientSetup.exe 파일 또는 32비트 또는 64비트 MBAMClient.msi 파일을 사용할 수 있습니다. MBAM 클라이언트 소프트웨어와 함께 제공됩니다.

자세한 내용은 데스크톱 또는 랩톱 컴퓨터에 MBAM 클라이언트를 배포하는 방법을 참조하세요.

Windows 배포의 일부로 MBAM 클라이언트 배포

컴퓨터를 중앙에서 수신하고 구성하는 조직에서는 사용자 데이터가 기록되기 전에 MBAM 클라이언트를 설치하여 각 컴퓨터에서 BitLocker 드라이브 암호화를 관리할 수 있습니다. 이 프로세스의 이점은 모든 컴퓨터가 BitLocker 규격이라는 것입니다. 관리자가 이미 컴퓨터를 암호화했기 때문에 이 메서드는 사용자 작업에 의존하지 않습니다. 이 시나리오의 주요 가정은 컴퓨터가 사용자에게 전달되기 전에 조직의 정책이 회사 Windows 이미지를 설치하는 것입니다. 그룹 정책 설정에 PIN이 필요하도록 구성된 경우 사용자는 정책을 받은 후 PIN을 설정하라는 메시지가 표시됩니다.

자세한 내용은 Windows 배포의 일부로 MBAM 클라이언트를 배포하는 방법을 참조하세요.

명령줄을 사용하여 MBAM 클라이언트를 배포하는 방법

자세한 내용은 명령줄을 사용하여 MBAM 클라이언트를 배포하는 방법을 참조하세요.

클라이언트 배포 후

이제 배포 작업을 완료했으므로 다음 로그를 검토하고 클라이언트가 MBAM 데이터베이스에 성공적으로 보고하고 있는지 확인해야 합니다.

FAQ

부하 분산된 IIS 서버를 만드는 방법

  • SPN은 식별 이름(예: bitlocker.corp.net)에만 등록되어야 하며 개별 IIS 서버에 등록해서는 안 됩니다.

  • 인증서를 사용하는 경우 인증서는 부하 분산 그룹의 모든 IIS 서버에 대한 주체 대체 이름 필드에 FQDN 및 NetBIOS 이름을 입력하고 식별 이름(예: bitlocker.corp.net)으로 입력해야 합니다. 그렇지 않으면 부하 분산된 주소를 찾아볼 때 브라우저에서 인증서를 신뢰할 수 없는 것으로 보고됩니다.

자세한 내용은 IIS 네트워크 부하 분산애플리케이션 풀 계정에 대한 SPN 등록을 참조하세요.

인증서를 구성하는 방법

  • 두 개의 인증서가 있어야 합니다. 한 인증서는 SQL Server에 사용되고 다른 인증서는 IIS에 사용됩니다. MBAM 설치를 시작하기 전에 설치해야 합니다.

  • web.config 파일을 수동으로 편집하는 대신 설치 관리자를 사용하여 IIS 구성에 인증서를 추가하는 것이 좋습니다.

  • 인증서의 "발급 대상" 필드가 서버 이름과 일치하지 않으면 MBAM Configurator에서 인증서를 수락하지 않습니다. 이 경우 IIS 콘솔에서 자체 서명된 인증서를 임시로 만들고 Configurator에서 사용합니다. 이렇게 하면 SSL 및 HTTPS에 대한 Web Apps 설치됩니다. 그런 다음 MBAM 웹 사이트에 대한 IIS 바인딩에서 인증서를 하나로 변경할 수 있습니다.

설치에 대한 SQL 권한 요구 사항

MBAM 앱 풀에 대한 계정을 만들고 SecurityAdmin, Public 및 DBCreator 권한만 제공합니다.

자세한 내용은 MBAM 데이터베이스 구성 – 최소 권한을 참조하세요.

참고

  • 경우에 따라 초기 설치 및 업그레이드 작업에 더 많은 권한이 필요합니다.
  • 설치에 임시 SA가 있는 계정을 사용합니다.
  • 설치 오류가 발생하므로 SQL Server 변경할 수 있는 충분한 권한이 없는 사용자 계정(실행)의 컨텍스트에서 Configurator를 시작하지 마세요.
  • SQL Server 대한 권한이 있는 계정을 사용하여 로그온해야 합니다. MBAM Configurator를 원격으로 실행하여 SQL Server 데이터베이스만 만들거나 업데이트할 수 있습니다. SSRS 서버의 경우 MBAM을 설치하고 Configurator를 로컬로 실행하여 MBAM SSRS 보고서를 설치하거나 업데이트해야 합니다.

SPN 등록에 필요한 권한

IIS 포털 설치에 사용되는 계정에는 Write ServicePrincipalName 및 Write Validated SPN 권한이 있어야 합니다. 이러한 권한이 없으면 설치 시 SPN을 등록할 수 없다는 경고 메시지가 반환됩니다.

참고

이 경고 메시지가 두 번 표시됩니다. SPN에 두 개의 개체가 등록되어 있어야 한다는 의미는 아닙니다.

ADMX 템플릿을 최신 버전으로 업데이트해야 하나요?

ADMX 템플릿을 최신 버전으로 업데이트한 후 GPO용 MBAM 루트 노드에 여러 OS 옵션이 표시됩니다. 예를 들어 Windows 7, Windows 8.1 및 Windows 10 버전 1511 이상 버전입니다.

ADMX 템플릿을 업데이트하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.