Před instalací služby AD RMS (Active Directory Rights Management Services)

Než službu Active Directory Rights Management Services (služba AD RMS) poprvé nainstalujete do systému Windows Server® 2008 R2, je třeba splnit několik požadavků:

  • Nainstalujte server služby AD RMS jako členský server do stejné domény služby Active Directory Domain Services (AD DS) jako uživatelské účty, které budou používat obsah chráněný právy.

  • Vytvořte uživatelský účet domény, který nemá další oprávnění a může sloužit jako účet služby AD RMS.

  • Vyberte uživatelský účet pro instalaci služby AD RMS s následujícími omezeními:

    • Uživatelský účet pro instalaci služby AD RMS se musí lišit od účtu služby AD RMS.

    • Pokud během instalace registrujete spojovací bod služby (SCP) AD RMS, musí být uživatelský účet pro instalaci služby AD RMS členem skupiny Enterprise Admins služby AD DS nebo jí rovnocenné.

    • Pokud pro databáze služby AD RMS používáte server externí databáze, musí mít uživatelský účet pro instalaci služby AD RMS právo vytvářet nové databáze. Pokud používáte Microsoft SQL Server 2005 nebo Microsoft SQL Server 2008, musí být uživatelský účet členem databázové role System Administrators nebo rovnocenné.

    • Uživatelský účet pro instalaci služby AD RMS musí mít přístup k dotazům do domény služby AD DS.

  • Rezervujte adresu URL pro cluster služby AD RMS, který bude dostupný během doby životnosti instalace služby AD RMS. Zkontrolujte, zda se rezervovaná adresa URL liší od názvu počítače.

Kromě požadavků pro službu AD RMS, kterým je nutné vyhovět před instalací, důrazně doporučujeme:

  • Nainstalujte do samostatného počítače databázový server, který bude sloužit jako hostitel databází služby AD RMS. Nahlédněte do části Požadavky na systém, kde naleznete informace o databázových serverech podporovaných serverem Windows Server 2008 R2.

  • Nainstalujte cluster se službou AD RMS pomocí certifikátu protokolu SSL. Tento certifikát by měla vydat důvěryhodná kořenová certifikační autorita.

  • Vytvořte záznam aliasu (CNAME) DNS pro adresu URL clusteru se službou AD RMS a samostatný záznam CNAME pro počítač, který poskytuje hostitelské služby konfigurační databázi služby AD RMS. V případě vyřazení serverů služby AD RMS či jejich ztráty v důsledku selhání hardwaru nebo změny názvu počítače je možné aktualizovat záznam CNAME bez nutnosti znovu publikovat všechny soubory chráněné právy.

  • Pokud pro konfigurační databázi služby AD RMS používáte pojmenovanou instanci, je nutné před instalací služby AD RMS spustit na databázovém serveru službu Prohlížeč serveru SQL. V opačném případě nebude moci instalace služby AD RMS vyhledat konfigurační databázi a instalace se nezdaří.

Před upgradem ze služby RMS na službu AD RMS

Pokud provádíte upgrade z kterékoli verze služby RMS (Rights Management Services) na službu AD RMS, postupujte podle následujících pokynů:

  • Zálohujte databáze služby RMS a uložte je do bezpečného umístění.

  • Pokud byl cluster služby RMS nakonfigurován na používání místního účtu SYSTEM jako účtu služby pro daný cluster, je třeba účet služby změnit z místního účtu SYSTEM na uživatelský účet domény před upgradem ze služby RMS na službu AD RMS.

  • Pokud jste pro zřízení služby RMS použili možnost offline zápisu, je třeba tento zápis dokončit před upgradem na službu AD RMS.

  • Pokud jste jako hostitele pro své databáze služby RMS použili server MSDE, je třeba před upgradem clusteru služby RMS na službu AD RMS provést upgrade databází na verzi Microsoft SQL Server 2005 nebo vyšší. Upgrade z verzí služby RMS pomocí databáze MSDE není podporován.

  • Pokud jste jako hostitele pro své databáze služby RMS použili server Microsoft SQL Server 2000, je třeba před upgradem clusteru služby RMS na službu AD RMS provést upgrade databází na verzi Microsoft SQL Server 2005 nebo vyšší verzi.

  • Vyprázdněte frontu zpráv služby RMS, abyste měli jistotu, že byly všechny zprávy zapsány do databáze pro protokolování služby RMS.

Důležité informace týkající se instalace služby AD RMS

V následující části naleznete seznam skutečností, které je potřeba zvážit před instalací služby AD RMS:

  • Certifikáty podepsané svými držiteli (self-signed certificate) by měly být používány pouze v testovacím prostředí. V pilotních a výrobních prostředích doporučujeme použít certifikát protokolu SSL vydaný důvěryhodnou certifikační autoritou.

  • Interní databáze systému Windows se službou AD RMS je určena pouze pro použití v testovacích prostředích. Vzhledem k tomu, že interní databáze systému Windows nepodporuje vzdálená připojení, není možné v tomto scénáři přidat ke clusteru služby AD RMS jiný server.

  • Pokud již v doménové struktuře služby Active Directory existuje spojovací bod služby (SCP), pro který instalujete službu AD RMS, musí být adresa URL clusteru ve spojovacím bodu služby (SCP) stejná jako adresa URL pro tuto novou instalaci. Pokud stejné nejsou, neměli byste spojovací bod služby (SCP) během instalace služby AD RMS registrovat.

  • Když instalujete službu AD RMS, nepředstavuje počítač localhost podporovanou adresu URL clusteru.

  • Při zadávání účtu služby AD RMS během instalace nesmí být v počítači vložena čipová karta. Pokud je k počítači připojena čipová karta, zobrazí se chybová zpráva, že uživatelský účet, ze kterého se instaluje služba AD RMS, nemá přístup k dotazům do služby AD DS.

  • Při připojení nového serveru k existujícímu clusteru služby AD RMS by před zahájením instalace služby AD RMS měl na novém serveru existovat certifikát protokolu SSL.

  • Ve výchozím nastavení nepodporuje služba AD RMS ověřování protokolem Kerberos. Informace o postupu, kterým je třeba server nakonfigurovat tak, aby podporoval ověřování protokolem Kerberos, naleznete v tématu Povolení podpory pro ověřování modulem Kerberos.

  • Systém Windows Server 2008 R2 nepodporuje klienta služby WRMS (Windows Rights Management Services) verze 1. Podpora pro tuto verzi klienta skončila s vydáním poslední aktualizace Service Pack pro klienta služby RMS verze 1. Chcete-li si uchovat schopnost vytvářet obsah chráněný službou AD RMS a možnost k němu získat přístup, je nutné do klientů s klientem služby RMS verze 1 nainstalovat nejnovější aktualizaci Service Pack z webu Windows Rights Management Services TechCenter na webu TechNet (https://go.microsoft.com/fwlink/?LinkId=140054) (stránka může být v angličtině).

Důležité informace týkající se instalace služby AD RMS s podporou federace identit

V následující části naleznete seznam skutečností, které je potřeba zvážit před instalací služby AD RMS s podporou federace identit:

  • Před instalací podpory federace identit musí být konfigurován federovaný vztah důvěryhodnosti. Během instalace služby role podpory federace identit se zobrazí výzva k zadání adresy URL federační služby.

  • Služba AD FS (Active Directory Federation Services) vyžaduje zabezpečenou komunikaci mezi službou AD RMS a serverem prostředků služby AD FS. Aby bylo možné se službou AD RMS používat federační podporu, musí být služba AD RMS nainstalována pomocí adresy zabezpečeného clusteru.

  • Účet služby AD RMS musí mít právo Generovat audity zabezpečení. Toto právo je udělováno pomocí konzoly Místní zásady zabezpečení.

  • Adresy URL extranetového clusteru služby AD RMS musí být k dispozici pro federovaného partnera poskytujícího účty.

Důležité informace týkající se instalace služby AD RMS s podporou brány Microsoft Federation Gateway

V následující části naleznete seznam skutečností, které je potřeba zvážit před instalací služby AD RMS s bránou Microsoft Federation Gateway:

  • Cluster služby AD RMS musí být nakonfigurován pro použití připojení šifrovaného pomocí protokolu SSL, které používá certifikát, jemuž brána Microsoft Federation Gateway důvěřuje. Chcete-li prokázat své vlastnictví domény, jejíž federaci s bránou Microsoft Federation Gateway chcete vytvořit, je nutné, abyste vlastnili certifikát protokolu SSL X.509 pro danou doménu. Musí pocházet od jedné z důvěryhodných kořenových certifikačních autorit, které jsou konfigurovány v bráně Microsoft Federation Gateway. Certifikační autority jsou uvedeny v následující tabulce.

    Popisný název certifikátu certifikační autority

    Vystaveno pro

    Zamýšlené účely

    Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)

    Entrust.net Secure Server Certification Authority

    Ověření serveru, ověření klienta, podepisování kódu, zabezpečené zasílání zpráv, ukončení tunelu IPsec, uživatel protokolu IPsec (Internet Protocol security), zprostředkování protokolu IKE (Internet Key Exchange) protokolu IPsec (Internet Protocol security), časové razítko, šifrování systému souborů

    Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664)

    Go Daddy Class 2 Certification Authority

    Ověření serveru, ověření klienta, zabezpečené zasílání zpráv, podepisování kódu

    Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)

    Network Solutions Certificate Authority

    Ověření serveru, ověření klienta, zabezpečené zasílání zpráv, podepisování kódu, časové razítko

    VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667)

    Class 3 Public Primary Certification Authority

    Zabezpečené zasílání zpráv, ověření klienta, podepisování kódu, ověření serveru

    VeriSign

    Class 3 Public Primary Certification Authority

    Zabezpečené zasílání zpráv, ověření klienta, podepisování kódu, ověření serveru

    VeriSign

    VeriSign Trust Network

    Zabezpečené zasílání zpráv, ověření klienta, podepisování kódu, ověření serveru

    VeriSign

    VeriSign Class 3 Public Primary Certification Authority - G5

    Ověření serveru, ověření klienta, zabezpečené zasílání zpráv, podepisování kódu

    Certifikát protokolu SSL, který použijete k registraci u brány Microsoft Federation Gateway, musí být certifikát prokazující vlastnictví extranetové adresy URL clusteru služby AD RMS. Jestliže je cluster služby AD RMS nakonfigurován s intranetovou adresou URL, která se liší od extranetové adresy URL, a jestliže intranetová adresa URL nepředstavuje název domény, k níž lze získat přístup z Internetu, je nutné nainstalovat certifikát protokolu SSL přidružený k extranetové adrese URL na tomto serveru služby AD RMS a potom tento certifikát vybrat při registraci u brány Microsoft Federation Gateway.

    Pokud certifikát protokolu SSL obsahuje alternativní název subjektu, musí poslední položka v seznamu alternativních názvů subjektů představovat plně kvalifikovaný název domény, kterou chcete registrovat u brány Microsoft Federation Gateway.

  • Virtuální adresáře vytvořené k použití funkcí Technická podpora služby Microsoft Federation Gateway používají http://. Z toho důvodu musí být brána firewall nakonfigurována tak, aby umožňovala průchod dat http://. Pamatujte však, že transakce http:// pro funkci Technická podpora služby Microsoft Federation Gateway používají zabezpečení na úrovni zpráv.

  • Další informace naleznete v tématu Principy brány Microsoft Federation Gateway.

Upozornění

Před odinstalací aktualizace Service Pack 1 pro systém Windows Server® 2008 R2 je nutné odebrat funkci Technická podpora služby Microsoft Federation Gateway z clusteru služby AD RMS. Pokud tak neučiníte, může vzniknout nekonzistentní konfigurace clusteru služby AD RMS. Další informace naleznete v tématu Odebrání podpory služby Microsoft Federation Gateway.

Požadavky na systém

V následující tabulce jsou popsány minimální hardwarové požadavky a doporučení pro spuštění serverů se systémem Windows Server® 2008 R2 s rolí serveru služby AD RMS.

Požadavky Doporučení

Jeden procesor Pentium 4 3 GHz nebo vyšší

Dva procesory Pentium 4 3 GHz nebo vyšší

512 MB paměti RAM

1 024 MB paměti RAM

40 GB volného místa na pevném disku

80 GB volného místa na pevném disku

V následující tabulce jsou popsány softwarové požadavky pro spuštění serverů Windows Server 2008 R2 s rolí serveru služby AD RMS. U požadavků, které je možné splnit povolením funkcí v operačním systému a které nebyly dosud konfigurovány, budou tyto funkce podle potřeby nakonfigurovány při instalaci role serveru služby AD RMS.

Software Požadavky

Operační systém

Windows Server 2008 R2

Systém souborů

Doporučujeme systém souborů NTFS.

Zasílání zpráv

Řízení front zpráv

Webové služby

Internetová informační služba (IIS)

Musí být povolena technologie ASP.NET.

Služba Active Directory nebo AD DS

Služba AD RMS musí být nainstalována v doméně služby Active Directory, ve které používají řadiče domény systém Windows Server 2000 s aktualizací Service Pack 3 (SP3), Windows Server 2003, Windows Server® 2008 nebo Windows Server 2008 R2. Všichni uživatelé a skupiny, kteří používají službu AD RMS k získávání licencí a publikování obsahu, musejí mít e-mailovou adresu konfigurovanou ve službě Active Directory.

Databázový server

Služba AD RMS vyžaduje k provádění operací databázový server, například Microsoft SQL Server 2005, a uložené procedury. Role serveru služby AD RMS v systému Windows Server 2008 R2 nepodporuje Microsoft SQL Server 2000.

Obsah