Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 2 - installation du serveur MBAM
Ceci est le second billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).
Le premier billet de la série est visible à l’adresse suivante : https://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx
Dans ce billet nous allons voir l’installation du serveur MBAM dans une architecture mono-serveur (=l’ensemble des composants serveur MBAM installés sur une machine unique).
Ce scénario d’installation est supporté mais reste recommandé uniquement pour les plateformes de tests ou dans le cadre de petits parcs.
1- Les pré-requis
Windows Server 2008 SP2 (32bit ou 64bit) ou Windows Server 2008 R2 (64bit)
SQL Server 2008 R2 Entreprise, Datacenter ou Developper (seules versions supportant le Transparent Data Encryption)
Les composants suivants doivent également être installés via le gestionnaire de serveur de Windows Server 2008 R2 :
Windows Server Web Server Role
Web Server (IIS) Management Tools
IIS Management Scripts and Tools
Web Server Role Services
Common HTTP Features:
Static Content
Default Document
Application Development:
ASP.NET
.NET Extensibility
ISAPI Extensions
ISAPI Filters
Security:
Windows Authentication
Request FilteringWindows Server Features
.NET Framework 3.5.1 features
.NET Framework 3.5.1
WCF Activation
HTTP Activation
Non-HTTP Activation
Windows Process Activation Service
Process Model
.NET Environment
Configuration APIs
Informations complémentaires :
- Source : MBAM Supported Configurations
https://onlinehelp.microsoft.com/mdop/hh285641.aspx - Installation mono serveur
https://onlinehelp.microsoft.com/en-us/mdop/hh285660.aspx
2- Installation des composants serveurs MBAM
Ma machine virtuelle a la configuration suivante :
- 2 processeurs virtuels
- 2 Go de RAM
- Windows Server 2008 R2 Enterprise (US)
- Les fonctionnalités suivantes ont été installées :
- Remote Server Admin Tools
- Group Policy Management Console
- SQL Server 2008 R2 Enterprise (US)
- Composants installés : SQL Server Database Engine, SQL Server Reporting Services et les outils d’administration de SQL Server 2008 R2
Elle est membre du domaine W2K8R2-demo.net et j’utilise un compte administrateur du domaine (et donc ayant également les privilèges administrateur local)
Lancement de l’installation depuis le CD de MDOP 2011 R2
Cliquer sur BitLocker Administration and Monitoring
Ici sélectionner Install MBAM Server 1.0 (64-bit) car le système est installé est un Windows Server 2008 R2 (donc forcément 64 bit)
Cliquer sur Start
Sélectionner I accept et Next
Comme dans cette plateforme le serveur héberge tous les composants de MBAM, tout cocher.
L’assistant fait alors une vérification des pré-requis
Et là c’est la première bonne (ou moins bonne) surprise : une erreur au niveau des pré-requis sur SQL Server !
Le message indique qu’il manque un master key password (clé principale de la base de données) pour pouvoir utiliser TDE.
Rappel : Dans le cas de MBAM, le stockage des clés de recovery BitLocker est effectué dans une base SQL qui est chiffrée avec une technologie baptisée TDE (Transparent Data Encryption) nécessitant SQL Server 2008 R2 édition Entreprise, Datacenter ou Developpeur
Personnellement, je n’ai trouvé nulle part ce pré-requis expliqué dans la documentation de MBAM et comme je suis “une truffe” en SQL Server, j’ai un peu galéré pour trouver l’explication à ce problème référencé sur ce blog :
MBAM Setup Fails with SQL Error: Error obtaining a certificate protected by the master key
https://blogs.technet.com/b/askcore/archive/2011/07/27/mbam-setup-fails-with-sql-error-error-obtaining-a-certificate-protected-by-the-master-key.aspx
Voici donc la procédure pour créer la clé principale de la base de données (qui est Master dans mon cas):
Ouvrir l’outil “SQL Server Management Studio” et exécuter une nouvelle requête
USE Master
CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘Password1!’ --> mettre ici un vrai mot de passe (SQL Server 2008 R2 vous imposera une certe complexité sur ce mot de passe)
Ensuite revenir sur l’assistant d’installation de MBAM et cliquer sur Check Prerequisites Again
Ensuite sélectionner Do not encrypt network communication
Ce chiffrement des communications sera activé ultérieurement et je conseille de ne pas l’activer durant ce processus d’installation simplement parce qu’en lisant les releases notes, j’ai trouvé ce texte :
“If You Select the “Use a certificate to encrypt the network communication” Option During Setup, Existing Database Connections and Dependent Applications Can Stop Functioning . After you install either the Recovery and Hardware or the Compliance Status Database features, you can then configure Microsoft BitLocker Administration and Monitoring for Encrypted network communication.” –> Donc pas la peine de chercher les ennuis
Informations complémentaires :
- Microsoft BitLocker Administration and Monitoring (MBAM) Release Notes
https://onlinehelp.microsoft.com/de-de/mdop/hh338665.aspx
Là encore, ce n’est pas très bien documenté (mais l’assistant est aussi là pour cela) : il faut que le service SQL Server Agent soit démarré et en mode autostart
Aller, mettre le service en auto-start et le démarrer
Donner les paramètres du site Web d’administration et de supervision de MBAM
Là il y a un petit piège : le port 80 par défaut est déjà utilisé par un autre site de MBAM (je le rappelle : dans cette plateforme tous les composants serveur de MBAM sont installés sur le même serveur dont les SQL Reporting Services)
Premier port disponible : 81
Cliquer sur Install pour déclencher l’installation avec tous les paramètres définis précédemment
L’installation est terminée
Prochains articles :
- La gestion des différents rôles d’administration dans MBAM
- La vérification de la bonne installation de MBAM
- Le déploiement du client MBAM sur les postes de travail Windows 7
- La configuration du client MBAM via stratégie de groupe
- Le test de fonctionnement sur le poste client
- Les améliorations possibles de cette plateforme