MBAM Deep Dive – MBAM Stand Alone Mimarisi Nasıl Kurulur? – Bölüm1
Makalemin ilk bölümünde mimari ve kurulum gereksinimlerinden bahsetmiştim, bu bölümde ise kurulum adımları ile devam ediyor olacağız.
İlk olarak SQL Kurulumu ile başlıyoruz. Hatırlarsanız SQL Server 2008 R2 SP1 Standart ve üstü SQL sürümleri ile çalışabiliyordu. Ne yazık ki express sürümü ile çalışmamaktadır.
Gerekli olan bileşenler aşağıdaki gibidir;
SQL Server features:
· Database Engine
· Reporting Services
· Client Tools Connectivity
· Management Tools – Complete
Bu bileşenleri seçtikten sonra aşağıdaki gibi instance seçiyoruz, ben bu SQL sunucusunun sadece MBAM için kullanacağımdan varsayılan instance’ ı değiştirmeden devam ediyorum.
Servislerin hangi hesaplar ile çalışacağını ayarladığımız bu bölümde varsayılan hesapları değiştirmiyorum.
Ancak yine bu sayfada üst bölümde Collation sekmesine tıklıyorum, bu bölümün SQL_Latin1_General_CP1_CI_AS olması gerekli.
Bir sonraki bölümde ise SQL kimlik doğrulama ayarlarını seçiyoruz
Ben Windows Authentication mode’ u seçiyorum ve gerek kurulum yaptığım kullanıcı hesabını, gerekse domain admins grubunu da yetkili yapıyorum.
SQL Server Reporting servisi için ise varsayılan ayarları değiştirmiyorum, yani yükleme ve sonrasında yapılandırma gerçekleştireceğim.
Bundan sonra kalan adımları next diyerek kurulumu tamamlayabilirsiniz.
SQL Kurulumu tamamlandıktan sonra Agent servisini otomatik çalışacak şekilde ayarlıyoruz
SQL ön gereksinimlerden biriydi, şimdi gerekli kullanıcı ve grupları tanımlayalım
Bu gruplar ve açıklamalarını makalemin ilk bölümünden kontrol edebilirsiniz. ( hepsini açmak zorunda değilsiniz, eğer tüm özellikleri ve grup bazında kullanırsanız açabilirsiniz.
· MBAM Read Write Database Access Group
· MBAM Read Only Database Access Group
· MBAM Read Only Report Users Group
· MBAM Helpdesk Users Group
· MBAM Advanced Helpdesk Users Group
Ek olarak aşağıdaki hesaplara ihtiyacımız vardır
· MBAMReportAccount – Username = MBAMROUser
· MBAMDatabaseAccessAccount – Username = MBAMAppPool
Daha sonra ise Application Pool’ a tanımlayacağımız kullanıcı için bir SPN oluşturuyoruz. Ancak bundan önce ilgili sunucuda local security policy altında aşağıdaki iki ayarı gerçekleştirmemiz gerekli;
User Rights Assignment node altında “Impersonate a client after Authentication” ve “Log on as a batch job”
MBAM için açtığım her iki kullanıcıyı da buraya ve aşağıdaki policy ayarına tanımladım.
Şimdi aşağıdaki komut ile SPN oluşturabiliriz.
setspn -s http://dc1.cozumpark.local cozumpark\MBAMAppPool
Daha sonra ise bu kullanıcı özelliklerinden delegasyon sekmesine geliyoruz ve ayarı aşağıdaki gibi değiştiriyoruz;
Bu işlemden sonra SQL tarafında yetkilendirme adımına geçebiliriz.
Application Pool için “MBAMAppPool” kullanacağız ve bu hesabı SQL tarafında yetkilendirmemiz gerekiyor.
Yetkilendirme işlemi için SQL Management Studio açıyoruz, daha sonra sol bölümde Logins kısmına sağ tıklıyoruz ve “New login” diyerek MBAMAppPool kullanıcısına dbcreator ile processadmin yetkisi veriyoruz.
Şimdi ise Yönetim konsolu için gereksinimleri gerçekleştirelim;
Common HTTP Features:
• Static Content
• Default Document
Application Development:
• ASP.NET
• .NET Extensibility
• ISAPI Extensions
• ISAPI Filters
Security:
• Windows Authentication
• Request Filtering
Ek olarak
.NET Framework 4.5 Features:
· .NET Framework 4.5
· WCF Activation
o HTTP Activation
o Non-HTTP Activation
o TCP Activation
Windows Process Activation Service:
• Process Model
• .NET Framework Environment 3.5
• Configuration APIs
ve
Yüklü olmalıdır.
Bu yüklemeleri tamamladıktan sonra MDOP paketi ile beraber gelen MBAM kurulumunu indirmemiz gereklidir. ( MDOP ve dolayısıyla MBAM kullanabilmek için Microsoft Software Assurance yani yazılım anlaşmanız olması gereklidir, aksi halde bu ürünü kullanmazsınız. Sahip olduğunuz sözleşme yetkili kullanıcı bilgileri ile volume licensing sitesinden MDOP paketini indirmeniz alinde içerisinde MBAM çıkmaktadır.
MbamServerSetup dosyasını çalıştırıyoruz;
Sözleşmeyi kabul ediyoruz.
Windows Update ile beraber gelen güncelleştirmeler sayesinde ürünün güncel ve olası zafiyetlere karşı güvenli olmasını sağlayabiliriz. Bu nedenle update seçeneğini “use” olarak işaretliyoruz. Ancak Banka, Telekom veya benzeri değişiklik yönetimi olan sistemlerde otomatik güncelleme kullanılamayabilir.
Müşteri deneyimi programına katılıp katılmamak sizin elinizde.
Yüklemeye başlayabiliriz. Yükleme işi hızlı bir şekilde bitecektir. Daha sonra ise yapılandırma adımlarına geçiyoruz.
Yukarıdaki ekranda “Add New Features” linkine tıklayalım.
Ben bu sunucu üzerinde hem veri tabanı, hem yönetim konsolu hem de self-service portalı yapılandıracağım için 4 kutucuğu da işaretleyerek devam ediyorum.
Seçtiğim kurulumlar için gereksinimler kontrol ediliyor
Sistemim kuruluma hazır, tüm gereksinimleri önceden hazırladığım için sorunsuz bir şekilde kuruluma başlayabilirim.
İlk olarak “Compliance and Audit Database” ayarlarını yapalım. SQL sunucusu olarak mevcut DC yi kullandığım için SQL Server name kısmına DC’ nin ismini yazıyorum. Kurulumu default instance ile gerçekleştirdiğim için “SQL Server databases instance” bölümünü boş bırakıyorum. Database ismi zaten kurulum sihirbazında tanımlı geliyor, bu aynı şekilde bırakıyorum. Read/Write user için zaten makalemin içerisinde kullanıcı tanımlama ve sql için yetkilendirme yapmıştım. Şimdi bu kullanıcıyı seçiyoruz. Hemen altında ise Read-onyl access için yine açtığımız kullanıcıyı buraya tanımlıyorum.
Recovery Database içinde bilgiler yukarıdaki gibidir. Next diyerek bir sonraki ekrana geçiyorum. Bir sonraki bölümde ise raporlama ayarlarını tamamlıyoruz
Reporting için önceden tanımlamış olduğumuz grubu seçiyoruz.
Compliance and audit databases bağlantısı için ise ayarlar yukarıdaki gibidir. Kullanıcı olarak yine daha önceden tanımladığımız domain hesabını giriyoruz (MBAMROUser). Next diyerek bir sonraki yapılandırma sayfasına geçiyoruz.
Ben iletişim için bir sertifika seçmedim, ancak tavsiye edilen kurulum adımlarında mutlaka bir sertifika kullanmanız gereklidir. Buradaki sertifikanın kullanım amacı MBAM client ile “Administration and Monitoring” web sitesi ile “Self-Service Portal” web sitelerinin güvenli görüşmesini sağlar. Yani network katmanından bu bilgilerin çalınması için bir önlemdir. Yine self-signed dediğimiz bir sertifika yerine internal CA tarafından verilmiş bir sertifikayı tercih edebilirsiniz. Bu sertifikayı MMC konsolundan sunucuya yükledikten sonra browse bölümünden bunu seçmeniz yeterli olacaktır.
Host name bölümü otomatik olarak makine ismi ile gelir ve bu şekilde devam edebilirsiniz.
Hesap olarak önceden tanımladığım MBAMAppPool hesabını ve şifresini giriyorum.
Veri tabanı bağlantı ayarlarını olduğu gibi bırakıyorum.
Veri tabanı bağlantı ayarlarının hemen altında yine önceden tanımladığım gruplar için ilgili yerleri dolduruyorum. Data Migration bölümünü boş bırakabilirsiniz. Benim bu kurulum senaryomda SCCM entegrasyonu olmadığı için bu kutucuğu boş bırakıyorum. Yanlış şifre denemesi ve benzeri nedenlerden dolayı lock olan TPM çiplerinin otomatik MBAM tarafından unlock edilmesini istiyorsanız “Enable TPM lockout auto reset” kutucuğunu işaretleyebilirsiniz. Ben bu konuya ayrıca değineceğim için şu anda işaretlemeden kuruluma devam ediyorum.
Bu ayarların hemen altında ise reporting servisi için bir url adresi giriyoruz. Bu adreste otomatik olarak tanımlı gelir.
Self-Service portal ayarlarını da olduğu gibi bırakıp next diyerek ilerliyorum
Not: isterseniz burada Company Name kısmına şirketinizin adınız ve hemen alt bölüme de bilgi sistemleri departmanını yazabilirsiniz.
Son bölümde yaptığınız ayarların bir özeti ve bu ayarlar için PS çıktısı alabilirsiniz. Add diyerek ekleme işlemini başlatıyorum.
Ayarlarım başarılı bir şekilde uygulandı. Hemen veri tabanlarını kontrol edebiliriz, aşağıdaki resimde de gördüğünüz gibi ilgili veri tabanları SQL içerisinde açılmış durumda.
Report servis’ in aktif olup olmadığını kontrol etmek için aşağıdaki gibi örnek URL adresini kontrol edebilirsiniz;
http://dc1.cozumpark.local/reports
Klasör içeriği ise aşağıdaki gibi olmalıdır.
Diğer bir kontrol noktası ise web servisleridir, aşağıdaki url adreslerinin çalıştığını kontrol edebilirsiniz
http://dc1.cozumpark.local/MBAMAdministrationService/AdministrationService.svc
http://dc1.cozumpark.local/MBAMUserSupportService/UserSupportService.svc
http://dc1.cozumpark.local/MBAMComplianceStatusService/StatusReportingService.svc
http://dc1.cozumpark.local/MBAMRecoveryAndHardwareService/CoreService.svc
Ben sadece bir servis için ekran görüntüsü paylaşıyorum
Daha sonra IIS’ i kontrol edelim
Daha sonra bir istemciden self–services portala erişim deneyelim.
İlk olarak karşımıza standart bir karşılama mesajı çıkar, kutucuğu işaretleyip continue butonuna basınız.
Not: Self Servis portalı pek çok müşteri tarafından kişiselleştirilmektedir, bunun için aşağıdaki linkleri takip edebilirsiniz
https://technet.microsoft.com/en-us/library/dn656918.aspx
Erişim sorunları için
https://technet.microsoft.com/en-us/library/dn645350.aspx
Devamında aşağıdaki gibi portala erişim sağladığınızı görebilirsiniz.
Bu son kontrol ile kurulumu başarı ile tamamladığımı görüyoruz.
Not: Daha fazla kontrol noktası için aşağıdaki makalenin “Step 10: Validate the MBAM 2.5 server feature Configuration” başlığını takip edebilirsiniz.
https://support.microsoft.com/en-us/kb/3046555
Makalemin bu bölümünün sonuna geldim, bir sonraki bölümde kurulum sonrasın agent dağıtımı ve GPO ayarlarını anlatıyor olacağım.
Kaynaklar
https://support.microsoft.com/en-us/kb/3046555