Windows Server

MBAM Deep Dive – MBAM Stand Alone Mimarisi Nasıl Kurulur? – Bölüm1

Makalemin ilk bölümünde mimari ve kurulum gereksinimlerinden bahsetmiştim, bu bölümde ise kurulum adımları ile devam ediyor olacağız.

İlk olarak SQL Kurulumu ile başlıyoruz. Hatırlarsanız SQL Server 2008 R2 SP1 Standart ve üstü SQL sürümleri ile çalışabiliyordu. Ne yazık ki express sürümü ile çalışmamaktadır.

Gerekli olan bileşenler aşağıdaki gibidir;

SQL Server features:

·        Database Engine

·        Reporting Services

·        Client Tools Connectivity

·        Management Tools – Complete

 

clip_image001

 clip_image002

Bu bileşenleri seçtikten sonra aşağıdaki gibi instance seçiyoruz, ben bu SQL sunucusunun sadece MBAM için kullanacağımdan varsayılan instance’ ı değiştirmeden devam ediyorum.

clip_image003

Servislerin hangi hesaplar ile çalışacağını ayarladığımız bu bölümde varsayılan hesapları değiştirmiyorum.

clip_image004

Ancak yine bu sayfada üst bölümde Collation sekmesine tıklıyorum, bu bölümün SQL_Latin1_General_CP1_CI_AS olması gerekli.

clip_image005

Bir sonraki bölümde ise SQL kimlik doğrulama ayarlarını seçiyoruz

clip_image006

Ben Windows Authentication mode’ u seçiyorum ve gerek kurulum yaptığım kullanıcı hesabını, gerekse domain admins grubunu da yetkili yapıyorum.

clip_image007

SQL Server Reporting servisi için ise varsayılan ayarları değiştirmiyorum, yani yükleme ve sonrasında yapılandırma gerçekleştireceğim.

Bundan sonra kalan adımları next diyerek kurulumu tamamlayabilirsiniz.

clip_image009

SQL Kurulumu tamamlandıktan sonra Agent servisini otomatik çalışacak şekilde ayarlıyoruz

clip_image010

SQL ön gereksinimlerden biriydi, şimdi gerekli kullanıcı ve grupları tanımlayalım

Bu gruplar ve açıklamalarını makalemin ilk bölümünden kontrol edebilirsiniz. ( hepsini açmak zorunda değilsiniz, eğer tüm özellikleri ve grup bazında kullanırsanız açabilirsiniz.

·        MBAM Read Write Database Access Group

·        MBAM Read Only Database Access Group

·        MBAM Read Only Report Users Group

·        MBAM Helpdesk Users Group

·        MBAM Advanced Helpdesk Users Group

Ek olarak aşağıdaki hesaplara ihtiyacımız vardır

·        MBAMReportAccount – Username = MBAMROUser

·        MBAMDatabaseAccessAccount – Username = MBAMAppPool

 

clip_image012

Daha sonra ise Application Pool’ a tanımlayacağımız kullanıcı için bir SPN oluşturuyoruz. Ancak bundan önce ilgili sunucuda local security policy altında aşağıdaki iki ayarı gerçekleştirmemiz gerekli;

User Rights Assignment node altında  “Impersonate a client after Authentication” ve “Log on as a batch job”

clip_image014

MBAM için açtığım her iki kullanıcıyı da buraya ve aşağıdaki policy ayarına tanımladım.

 

clip_image016

Şimdi aşağıdaki komut ile SPN oluşturabiliriz.

setspn -s http://dc1.cozumpark.local cozumpark\MBAMAppPool

clip_image018

Daha sonra ise bu kullanıcı özelliklerinden delegasyon sekmesine geliyoruz ve ayarı aşağıdaki gibi değiştiriyoruz;

clip_image020

 

Bu işlemden sonra SQL tarafında yetkilendirme adımına geçebiliriz.

Application Pool için “MBAMAppPool” kullanacağız ve bu hesabı SQL tarafında yetkilendirmemiz gerekiyor.

clip_image021

Yetkilendirme işlemi için SQL Management Studio açıyoruz, daha sonra sol bölümde Logins kısmına sağ tıklıyoruz ve “New login” diyerek MBAMAppPool kullanıcısına dbcreator ile processadmin yetkisi veriyoruz.

clip_image023

clip_image024

 

Şimdi ise Yönetim konsolu için gereksinimleri gerçekleştirelim;

Common HTTP Features:

• Static Content

• Default Document

Application Development:

• ASP.NET

• .NET Extensibility

• ISAPI Extensions

• ISAPI Filters

Security:

• Windows Authentication

• Request Filtering

Ek olarak

.NET Framework 4.5 Features:

·        .NET Framework 4.5

·        WCF Activation

o   HTTP Activation

o   Non-HTTP Activation

o   TCP Activation

 

Windows Process Activation Service:

• Process Model

• .NET Framework Environment 3.5

• Configuration APIs

ve

ASP.NET MVC 4

Yüklü olmalıdır.

Bu yüklemeleri tamamladıktan sonra MDOP paketi ile beraber gelen MBAM kurulumunu indirmemiz gereklidir. ( MDOP ve dolayısıyla MBAM kullanabilmek için Microsoft Software Assurance yani yazılım anlaşmanız olması gereklidir, aksi halde bu ürünü kullanmazsınız. Sahip olduğunuz sözleşme yetkili kullanıcı bilgileri ile volume licensing sitesinden MDOP paketini indirmeniz alinde içerisinde MBAM çıkmaktadır.

clip_image025

MbamServerSetup dosyasını çalıştırıyoruz;

clip_image026

clip_image027

Sözleşmeyi kabul ediyoruz.

clip_image028

Windows Update ile beraber gelen güncelleştirmeler sayesinde ürünün güncel ve olası zafiyetlere karşı güvenli olmasını sağlayabiliriz. Bu nedenle update seçeneğini “use” olarak işaretliyoruz. Ancak Banka, Telekom veya benzeri değişiklik yönetimi olan sistemlerde otomatik güncelleme kullanılamayabilir.

clip_image029

Müşteri deneyimi programına katılıp katılmamak sizin elinizde.

clip_image030

Yüklemeye başlayabiliriz. Yükleme işi hızlı bir şekilde bitecektir. Daha sonra ise yapılandırma adımlarına geçiyoruz.

clip_image031

 

clip_image032

Yukarıdaki ekranda “Add New Features” linkine tıklayalım.

clip_image033

Ben bu sunucu üzerinde hem veri tabanı, hem yönetim konsolu hem de self-service portalı yapılandıracağım için 4 kutucuğu da işaretleyerek devam ediyorum.

Seçtiğim kurulumlar için gereksinimler kontrol ediliyor

clip_image034

 

clip_image035

Sistemim kuruluma hazır, tüm gereksinimleri önceden hazırladığım için sorunsuz bir şekilde kuruluma başlayabilirim.

clip_image037

İlk olarak “Compliance and Audit Database” ayarlarını yapalım. SQL sunucusu olarak mevcut DC yi kullandığım için SQL Server name kısmına DC’ nin ismini yazıyorum. Kurulumu default instance ile gerçekleştirdiğim için “SQL Server databases instance” bölümünü boş bırakıyorum. Database ismi zaten kurulum sihirbazında tanımlı geliyor, bu aynı şekilde bırakıyorum. Read/Write user için zaten makalemin içerisinde kullanıcı tanımlama ve sql için yetkilendirme yapmıştım. Şimdi bu kullanıcıyı seçiyoruz. Hemen altında ise Read-onyl access için yine açtığımız kullanıcıyı buraya tanımlıyorum.

clip_image039

Recovery Database içinde bilgiler yukarıdaki gibidir. Next diyerek bir sonraki ekrana geçiyorum. Bir sonraki bölümde ise raporlama ayarlarını tamamlıyoruz

clip_image041

Reporting için önceden tanımlamış olduğumuz grubu seçiyoruz.

clip_image043

Compliance and audit databases bağlantısı için ise ayarlar yukarıdaki gibidir. Kullanıcı olarak yine daha önceden tanımladığımız domain hesabını giriyoruz (MBAMROUser). Next diyerek bir sonraki yapılandırma sayfasına geçiyoruz.

clip_image045

Ben iletişim için bir sertifika seçmedim, ancak tavsiye edilen kurulum adımlarında mutlaka bir sertifika kullanmanız gereklidir. Buradaki sertifikanın kullanım amacı MBAM client ile “Administration and Monitoring” web sitesi ile “Self-Service Portal” web sitelerinin güvenli görüşmesini sağlar. Yani network katmanından bu bilgilerin çalınması için bir önlemdir. Yine self-signed dediğimiz bir sertifika yerine internal CA tarafından verilmiş bir sertifikayı tercih edebilirsiniz. Bu sertifikayı MMC konsolundan sunucuya yükledikten sonra browse bölümünden bunu seçmeniz yeterli olacaktır.

Host name bölümü otomatik olarak makine ismi ile gelir ve bu şekilde devam edebilirsiniz.

Hesap olarak önceden tanımladığım MBAMAppPool hesabını ve şifresini giriyorum.

clip_image047

Veri tabanı bağlantı ayarlarını olduğu gibi bırakıyorum.

clip_image049

Veri tabanı bağlantı ayarlarının hemen altında yine önceden tanımladığım gruplar için ilgili yerleri dolduruyorum. Data Migration bölümünü boş bırakabilirsiniz. Benim bu kurulum senaryomda SCCM entegrasyonu olmadığı için bu kutucuğu boş bırakıyorum. Yanlış şifre denemesi ve benzeri nedenlerden dolayı lock olan TPM çiplerinin otomatik MBAM tarafından unlock edilmesini istiyorsanız “Enable TPM lockout auto reset” kutucuğunu işaretleyebilirsiniz. Ben bu konuya ayrıca değineceğim için şu anda işaretlemeden kuruluma devam ediyorum.

clip_image051

Bu ayarların hemen altında ise reporting servisi için bir url adresi giriyoruz. Bu adreste otomatik olarak tanımlı gelir.

clip_image053

Self-Service portal ayarlarını da olduğu gibi bırakıp next diyerek ilerliyorum

Not: isterseniz burada Company Name kısmına şirketinizin adınız ve hemen alt bölüme de bilgi sistemleri departmanını yazabilirsiniz.

clip_image055

Son bölümde yaptığınız ayarların bir özeti ve bu ayarlar için PS çıktısı alabilirsiniz. Add diyerek ekleme işlemini başlatıyorum.

clip_image057

Ayarlarım başarılı bir şekilde uygulandı. Hemen veri tabanlarını kontrol edebiliriz, aşağıdaki resimde de gördüğünüz gibi ilgili veri tabanları SQL içerisinde açılmış durumda.

clip_image059

Report servis’ in aktif olup olmadığını kontrol etmek için aşağıdaki gibi örnek URL adresini kontrol edebilirsiniz;

http://dc1.cozumpark.local/reports

clip_image061

Klasör içeriği ise aşağıdaki gibi olmalıdır.

clip_image063

Diğer bir kontrol noktası ise web servisleridir, aşağıdaki url adreslerinin çalıştığını kontrol edebilirsiniz

http://dc1.cozumpark.local/MBAMAdministrationService/AdministrationService.svc

http://dc1.cozumpark.local/MBAMUserSupportService/UserSupportService.svc

http://dc1.cozumpark.local/MBAMComplianceStatusService/StatusReportingService.svc

http://dc1.cozumpark.local/MBAMRecoveryAndHardwareService/CoreService.svc

 

Ben sadece bir servis için ekran görüntüsü paylaşıyorum

clip_image065

Daha sonra IIS’ i kontrol edelim

clip_image067

Daha sonra bir istemciden self–services portala erişim deneyelim.

clip_image069

İlk olarak karşımıza standart bir karşılama mesajı çıkar, kutucuğu işaretleyip continue butonuna basınız.

Not: Self Servis portalı pek çok müşteri tarafından kişiselleştirilmektedir, bunun için aşağıdaki linkleri takip edebilirsiniz

https://technet.microsoft.com/en-us/library/dn656918.aspx

Erişim sorunları için

https://technet.microsoft.com/en-us/library/dn645350.aspx

Devamında aşağıdaki gibi portala erişim sağladığınızı görebilirsiniz.

clip_image071

Bu son kontrol ile kurulumu başarı ile tamamladığımı görüyoruz.

Not: Daha fazla kontrol noktası için aşağıdaki makalenin “Step 10: Validate the MBAM 2.5 server feature Configuration” başlığını takip edebilirsiniz.

https://support.microsoft.com/en-us/kb/3046555

Makalemin bu bölümünün sonuna geldim, bir sonraki bölümde kurulum sonrasın agent dağıtımı ve GPO ayarlarını anlatıyor olacağım.

 

Kaynaklar

https://support.microsoft.com/en-us/kb/3046555

 

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu