Ceci est le second billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Le premier billet de la série est visible à l’adresse suivante : http://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx

Dans ce billet nous allons voir l’installation du serveur MBAM dans une architecture mono-serveur (=l’ensemble des composants serveur MBAM installés sur une machine unique).

Ce scénario d’installation est supporté mais reste recommandé uniquement pour les plateformes de tests ou dans le cadre de petits parcs.

1- Les pré-requis

  • Windows Server 2008 SP2 (32bit ou 64bit) ou Windows Server 2008 R2 (64bit)
  • SQL Server 2008 R2 Entreprise, Datacenter ou Developper (seules versions supportant le Transparent Data Encryption)
  • Les composants suivants doivent également être installés via le gestionnaire de serveur de Windows Server 2008 R2 :

    Windows Server Web Server Role
    Web Server (IIS) Management Tools
    IIS Management Scripts and Tools
    Web Server Role Services
    Common HTTP Features:
    Static Content
    Default Document
    Application Development:
    ASP.NET
    .NET Extensibility
    ISAPI Extensions
    ISAPI Filters
    Security:
    Windows Authentication
    Request Filtering

    Windows Server Features
    .NET Framework 3.5.1 features
    .NET Framework 3.5.1
    WCF Activation
    HTTP Activation
    Non-HTTP Activation
    Windows Process Activation Service
    Process Model
    .NET Environment
    Configuration APIs

Informations complémentaires :

2- Installation des composants serveurs MBAM

Ma machine virtuelle a la configuration suivante :

  • 2 processeurs virtuels
  • 2 Go de RAM
  • Windows Server 2008 R2 Enterprise (US)
  • Les fonctionnalités suivantes ont été installées :
    • Remote Server Admin Tools
    • Group Policy Management Console
  • SQL Server 2008 R2 Enterprise (US)
    • Composants installés : SQL Server Database Engine, SQL Server Reporting Services et les outils d’administration de SQL Server 2008 R2

Elle est membre du domaine W2K8R2-demo.net et j’utilise un compte administrateur du domaine (et donc ayant également les privilèges administrateur local)

Lancement de l’installation depuis le CD de MDOP 2011 R2

Cliquer sur BitLocker Administration and Monitoring

Ici sélectionner Install MBAM Server 1.0 (64-bit) car le système est installé est un Windows Server 2008 R2 (donc forcément 64 bit)

Cliquer sur Start

Sélectionner I accept et Next

Comme dans cette plateforme le serveur héberge tous les composants de MBAM, tout cocher.

L’assistant fait alors une vérification des pré-requis

Et là c’est la première bonne (ou moins bonne) surprise : une erreur au niveau des pré-requis sur SQL Server !

Le message indique qu’il manque un master key password (clé principale de la base de données) pour pouvoir utiliser TDE.

Rappel : Dans le cas de MBAM, le stockage des clés de recovery BitLocker est effectué dans une base SQL qui est chiffrée avec une technologie baptisée TDE (Transparent Data Encryption) nécessitant SQL Server 2008 R2 édition Entreprise, Datacenter ou Developpeur

Personnellement, je n’ai trouvé nulle part ce pré-requis expliqué dans la documentation de MBAM et comme je suis “une truffe” en SQL Server, j’ai un peu galéré pour trouver l’explication à ce problème référencé sur ce blog :

MBAM Setup Fails with SQL Error: Error obtaining a certificate protected by the master key
http://blogs.technet.com/b/askcore/archive/2011/07/27/mbam-setup-fails-with-sql-error-error-obtaining-a-certificate-protected-by-the-master-key.aspx

Voici donc la procédure pour créer la clé principale de la base de données (qui est Master dans mon cas):

Ouvrir l’outil “SQL Server Management Studio” et exécuter une nouvelle requête

USE Master
CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘Password1!
   --> mettre ici un vrai mot de passe Winking smile (SQL Server 2008 R2 vous imposera une certe complexité sur ce mot de passe)

Ensuite revenir sur l’assistant d’installation de MBAM et cliquer sur Check Prerequisites Again

Ensuite sélectionner Do not encrypt network communication

Ce chiffrement des communications sera activé ultérieurement et je conseille de ne pas l’activer durant ce processus d’installation simplement parce qu’en lisant les releases notes, j’ai trouvé ce texte :

“If You Select the “Use a certificate to encrypt the network communication” Option During Setup, Existing Database Connections and Dependent Applications Can Stop Functioning . After you install either the Recovery and Hardware or the Compliance Status Database features, you can then configure Microsoft BitLocker Administration and Monitoring for Encrypted network communication.” –> Donc pas la peine de chercher les ennuis Smile

Informations complémentaires :

Là encore, ce n’est pas très bien documenté (mais l’assistant est aussi là pour cela) : il faut que le service SQL Server Agent soit démarré et en mode autostart

Aller, mettre le service en auto-start et le démarrer

Donner les paramètres du site Web d’administration et de supervision de MBAM

Là il y a un petit piège : le port 80 par défaut est déjà utilisé par un autre site de MBAM (je le rappelle : dans cette plateforme tous les composants serveur de MBAM sont installés sur le même serveur dont les SQL Reporting Services)

Premier port disponible : 81 Smile

Cliquer sur Install pour déclencher l’installation avec tous les paramètres définis précédemment

L’installation est terminée Smile

Prochains articles :

- Stanislas Quastana -