Active Directory Merkezi Yönetim ile Bitlocker Disk Şifreleme (Microsoft BitLocker Administration and Monitoring MBAM) – Bölüm 3
İçerik: MBAM Sunucu rolleri kurulumu ve kurulum sonrası kontrol
Makalemizin 3 bölümü ile karşınızdayız. İlk iki bölümde temel olarak MBAM nedir? Neler sağlar? Kurulum gereksinimleri nedir ? Kurulum için gerekli altyapının sağlanması ( SQL ve sunucu rollerinin kurulumu vb ) konusunda paylaşımlarda bulunmuştum. Bu bölümde ise MBAM tek sunucu üzerine kurulumunun nasıl yapıldığından bahsedeceğim.
Makalemin bir önceki bölümüne aşağıdaki link üzerinden ulaşabilirsiniz.
Yine önceki makalelerimde belirttiğim gibi tek, üç veya beş sunucu üzerine kurulum yapma şansına sahibiz. Ben makale yazmak adına demo ortamını tek sunucu üzerinde kuruduğum için tek sunucu modelini anlatıyor olacağım. Ancak 3 sunucu modeli içinde detaylı bilgiler veriyor olacağım.
Kuruluma geçelim.
MDOP paketi içerisindeki yükleme dosyasını kullanıyoruz.
Start sonrası sözleşmeyi kabul ediyorum.
Tek sunucu yüklemesi olacağı için bütün kutucuklar işaretli bir şekilde devam ediyorum. Hatırlarsanız bu detayları MBAM mimari yapısında anlatmıştım.
Bir sonraki bölümde MBAM sunucu rolleri için ( seçtiğiniz ) sistem gereksinimleri kontrol edilmektedir.
Örneğin benim yüklememde yukarıdaki gibi bir sorun ile karşılaştım.
Çözüm olarak SQL Server Yönetim konsolunu açıyorum ve aşağıdaki komutu “master” veri tabanı için çalıştırıyorum
CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘Password1!’
Şimdi sistem gereksinimlerini yeniden kontrol ettiriyorum.
Sorun yok devam ediyoruz.
MBAM istemci, sunucu ve yine sunucu, sunucu arasındaki tüm trafiği şifrelemek ister. Bu güvenlik noktasında sizin için bir ihtiyaç ise eğer bu durumda bir sertifika ile bu tüm sunucu – istemci arasındaki trafiği şifreleyebilirsiniz.
Benim bulunduğum ortamdaki network trafiğinde sniff yani dinleme yapılmasını engelleyen sistemler olduğu için ek bir önlem alma ihtiyacı duymuyorum ve bu şekilde ( Do not encrypt network communication ) devam ediyorum.
Benim sunucum üzerinde başka instance olmadığı için direk makine ismi yani varsayılan sql kurulumu ile gelen instance’ ı seçiyorum.
Varsayılan SQL Server kurulumunda SQL Server Agent servisi yani bakım işlerinden ve zamanlanmış görevlerden sorumlu olan servisi başlangıç tipi otomatik olmalı. Bizde bunu ayarlıyor ve devam ediyoruz.
Bir sonraki ekranda ise reporting servis ayarlarını yapmamız isteniyor
Burada bir domain hesabı isteniyor, yetki ise db lere erişecek bir hesap olması. Bu aşamada henüz db olmadığı için aslında eğer ayrı sunucu kurulumu yapıyorsanız hali hazırda bir db olduğu ve buna yetki vermeniz gerektiğini vurgulamak istiyorum. Ancak tek sunucu kurulumu için açılmış bir Domain User hesabı yeterli olacaktır.
Bu bölümde ise monitoring servisi için bir port tanımlamamız gerekiyor. 80 çok kullanılan bir port olduğu için tavsiyem 81 nolu portu kullanmanız veya dns üzerinden bir host name tanımlaması ile beraber 80 nolu portu kullanmanız.
Güncelleştirmeleri almak her zaman için yararlı olacaktır .
Yükleme öncesi son bir özet
Yükleme başladı.
Kurulum tamamlandı ancak kurulumun sorunsuz bir şekilde tamamlandığını kontrol etmeliyiz.
Bunun için tabiki sunucu loglarını kontrol edebiliriz. Ardından program ekle kaldır menüsünde MBAM kurulumunu göreceğiz ve son olarak SQL veri tabanlarında aşağıdaki gibi seçtiğimiz sunucu rolleri yer alıyor olmalı
Buna ek olarak “Compliance and Audit Reports” rolü için Reporting servisinin düzgün çalışıp çalışmadığını kontrol etmeliyiz. Bunun için Reporting servisinin ana sayfasını açmanız yeterlidir.
Varsayılan olarak reporting servisi http://sunucu-ismi/reports şeklinde ulaşılabilir.
Eğer siz MBAM için gerekli olan SQL Server servisini var olan bir sunucuya yeni bir instance olarak eklemişseniz bu durumda report server için URL aşağıdaki gibi olacaktır.
http://sunucu-ismi/reports_instancename
Gördüğünüz gibi bu noktada da bizde sıkıntı bulunmuyor. Ancak raporlarında yerinde olduğunu kontrol etmekte fayda var
Evet buraya kadar sorunsuz ilerledik. Şimdi ise Administration and Monitoring sunucusu üzerindeki IIS ayarlarını kontrol edeceğiz. Malum bende hepsi tek bir sunucu olduğu için kontrol işleride kolay oluyor.
IIS altında aşağıdaki gibi 3 virtual directory görmemiz gerekiyor.
Son olarak bu web servislerinin çalıştığını kontrol edelim.
Sırası ile aşağıdaki adresleri kontrol ediyoruz
Not; benim port numaram 81 olduğu için bilgisayar isminden sonra 81 nolu portu kullanıyorum.
http://<computername>/default.aspx
http://<computername>/MBAMAdministrationService/AdministrationService.svc
http://<computername>/MBAMComplianceStatusService/StatusReportingService.svc
http://<computername>/MBAMRecoveryAndHardwareService/CoreService.svc
Evet tüm URL’ ler başarılı bir şekilde açıldı ve bu sayede kurulumu sorunsuz bir şekilde tamamladığımızı görebiliyoruz.
Makalemizin bu bölümünün de sonuna geldik.
Bir sonraki bölümde MBAM yönetimi, policy planlamasını, istemci dağıtımını anlatacağım.
Umarım faydalı bir makale olmuştur.
Bir sonraki makalemizde görüşmek üzere esen kalın.
Kaynak
Microsoft MBAM Administrator’S Guide
Makalemin bir sonraki bölümüne aşağıdaki link üzerinden ulaşabilirsiniz