Prima di installare AD RMS

Prima di installare Servizi Microsoft Windows Rights Management di Active Directory (RMS di AD) in Windows Server® 2008 R2 per la prima volta, è necessario che vengano soddisfatti alcuni requisiti:

  • Installare il server RMS di AD come server membro nello stesso dominio di Servizi di dominio Active Directory allo stesso modo degli account utente che utilizzeranno il contenuto protetto con RMS.

  • Creare un account utente di dominio senza autorizzazioni aggiuntive che può essere utilizzato come account del servizio RMS di AD.

  • Selezionare l'account utente per l'installazione di RMS di AD con le restrizioni seguenti:

    • L'account utente utilizzato per l'installazione di RMS di AD deve essere diverso dall'account del servizio RMS di AD.

    • Se si registra il punto di connessione del servizio (SCP) RMS di AD durante l'installazione, l'account utente utilizzato per l'installazione di RMS di AD deve essere membro del gruppo Enterprise Admins di Servizi di dominio Active Directory o di un gruppo equivalente.

    • Se si utilizza un server database esterno per i database RMS di AD, l'account utente utilizzato per l'installazione di RMS di AD deve disporre del diritto di creare nuovi database. Se si utilizza Microsoft SQL Server 2005 o Microsoft SQL Server 2008, l'account utente deve essere membro del ruolo del database degli amministratori di sistema o di un ruolo equivalente.

    • L'account utente utilizzato per l'installazione di RMS di AD deve poter eseguire una query sul dominio di Servizi di dominio Active Directory.

  • Riservare un URL per il cluster RMS di AD che sarà disponibile per tutta la durata dell'installazione di RMS di AD. Verificare che l'URL riservato sia diverso dal nome del computer.

Oltre ai requisiti di preinstallazione per RMS di AD, è inoltre consigliabile:

  • Installare il server database utilizzato per l'hosting dei database RMS di AD in un computer separato. Per informazioni sui server database supportati da Windows Server 2008 R2, vedere Requisiti di sistema.

  • Installare il cluster RMS di AD utilizzando un certificato SSL (Secure Socket Layer). È consigliabile che questo certificato venga rilasciato da un'autorità di certificazione (CA) radice attendibile.

  • Creare un record di alias DNS (CNAME) per l'URL del cluster RMS di AD e un record CNAME separato per il computer che ospita il database di configurazione di RMS di AD. Nel caso in cui i server RMS di AD vengano ritirati oppure persi a causa di un errore hardware o il nome del computer venga modificato, sarà possibile aggiornare un record CNAME senza dover pubblicare di nuovo tutti i file protetti con RMS.

  • Se si utilizza un'istanza denominata per il database di configurazione di RMS di AD, sarà necessario che il servizio Browser SQL Server venga avviato nel server database prima dell'installazione di RMS di AD. In caso contrario, l'installazione di RMS di AD non sarà in grado di individuare il database di configurazione e l'installazione non verrà completata.

Prima di eseguire l'aggiornamento da RMS ad AD RMS

Se si sta eseguendo l'aggiornamento da una versione qualsiasi di Rights Management Services (RMS) a RMS di AD, eseguire le operazioni seguenti:

  • Eseguire il backup dei database RMS e archiviarli in un percorso sicuro.

  • Se il cluster RMS è stato configurato in modo da utilizzare l'account SYSTEM locale come account del servizio per il cluster, sarà necessario cambiare l'account del servizio passando dall'account SYSTEM locale a un account utente di dominio prima di eseguire l'aggiornamento da RMS a RMS di AD.

  • Se è stata utilizzata l'opzione relativa alla registrazione offline per il provisioning di RMS, assicurarsi che la registrazione sia stata completata prima di eseguire l'aggiornamento a RMS di AD.

  • Se è stato utilizzato MSDE per l'hosting dei database RMS, sarà necessario aggiornare i database a Microsoft SQL Server 2005 o a una versione successiva prima di aggiornare il cluster RMS a RMS di AD. Non è supportato l'aggiornamento da versioni di RMS mediante il database MSDE.

  • Se è stato utilizzato Microsoft SQL Server 2000 per l'hosting dei database RMS, sarà necessario aggiornare i database a Microsoft SQL Server 2005 o a una versione successiva prima di aggiornare il cluster RMS a RMS di AD.

  • Scaricare la coda Accodamento messaggi di RMS per assicurarsi che tutti i messaggi vengano scritti nel database di registrazione RMS.

Considerazioni importanti per l'installazione di AD RMS

Prima di installare RMS di AD, è consigliabile tenere presente quanto segue:

  • È consigliabile utilizzare i certificati autofirmati solo in un ambiente di prova. In ambienti pilota e di produzione, è consigliabile utilizzare un certificato SSL rilasciato da un'autorità di certificazione attendibile.

  • Database interno di Windows con RMS di AD è destinato esclusivamente all'utilizzo in ambienti di prova. Poiché il Database interno di Windows non supporta le connessioni remote, non è possibile aggiungere un altro server al cluster RMS di AD in questo scenario.

  • Se esiste già un punto di connessione nella foresta di Active Directory per cui si sta installando RMS di AD, assicurarsi che l'URL del cluster nel punto di connessione sia uguale all'URL del cluster per la nuova connessione. Se non sono uguali, è consigliabile non registrare il punto di connessione durante l'installazione di RMS di AD.

  • Durante l'installazione di RMS di AD, localhost non corrisponde a un URL cluster supportato.

  • Quando si specifica l'account del servizio RMS di AD durante l'installazione, verificare che nel computer non sia stata inserita una smart card. Se al computer è collegata una smart card, si riceverà un messaggio di errore per informare che l'account utente utilizzato per l'installazione di RMS di AD non è in grado di eseguire una query su Servizi di dominio Active Directory.

  • Quando si aggiunge un nuovo server a un cluster RMS di AD esistente, è necessario che il certificato SSL sia presente nel nuovo server prima che l'installazione di RMS di AD venga avviata.

  • Per impostazione predefinita, AD RMS non supporta l'autenticazione Kerberos. Per informazioni sulle operazioni da eseguire per configurare il server per supportare l'autenticazione Kerberos, vedere Attivare il supporto per l'autenticazione Kerberos.

  • Windows Server 2008 R2 non supporta Windows Rights Management Services (RMS) Client versione 1. Il supporto per tale versione del client è terminato con l'uscita dell'ultimo Service Pack per RMS Client versione 1. Per poter continuare a creare e ad accedere a contenuto protetto con RMS di AD, i client che eseguono RMS Client versione 1 devono installare l'ultimo Service Pack scaricandolo dal sito Web TechCenter di Windows Rights Management Services in TechNet (https://go.microsoft.com/fwlink/?LinkId=140054).

Considerazioni importanti per l'installazione di AD RMS con Supporto federazione identità

Prima di installare RMS di AD con Supporto federazione identità, è consigliabile tenere presente quanto segue:

  • Prima di installare Supporto federazione identità è necessario che sia configurata una relazione di trust federativa. Durante l'installazione del servizio ruolo Supporto federazione identità, verrà chiesto di specificare l'URL del servizio federativo.

  • Active Directory Federation Services (ADFS) richiede una connessione sicura tra RMS di AD e il server di risorse di ADFS. Per poter utilizzare il supporto federativo con RMS di AD, è necessario che RMS di AD venga installato utilizzando un indirizzo cluster sicuro.

  • L'account del servizio RMS di AD deve disporre del diritto Generazione di controlli di sicurezza. Questo diritto viene concesso mediante la console Criteri di sicurezza locali.

  • È necessario che gli URL del cluster Extranet RMS di AD siano disponibili per il partner account federato.

Considerazioni importanti per l'installazione di AD RMS con il Supporto per Microsoft Federation Gateway

Prima di installare RMS di AD con Microsoft Federation Gateway, è consigliabile tenere presente quanto segue:

  • È necessario configurare il cluster RMS di AD per l'utilizzo di una connessione crittografata con SSL che utilizza un certificato che Microsoft Federation Gateway considera attendibile. Per dimostrare la proprietà del dominio per creare una federazione con Microsoft Federation Gateway, è necessario essere proprietari del certificato X.509 SSL per tale dominio. Il certificato deve essere rilasciato da una delle autorità di certificazione (CA) radice attendibili configurate in Microsoft Federation Gateway. Nella tabella seguente sono riportate queste CA.

    Nome descrittivo del certificato CA

    Rilasciato a

    Scopi designati

    Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)

    Autorità di certificazione dei server protetti Entrust.net

    Autenticazione server, autenticazione client, firma codice, messaggistica protetta, fine del tunnel di protezione IP, utente Internet Protocol Security (IPsec), Internet Protocol Security (IPsec) Internet Key Exchange (IKE) intermedio, timestamp, crittografia file system

    Autorità di certificazione di Classe 2 Go Daddy (https://go.microsoft.com/fwlink/?LinkId=162664)

    Autorità di certificazione di Classe 2 Go Daddy

    Autenticazione server, autenticazione client, messaggistica protetta, firma codice

    Soluzioni di rete (https://go.microsoft.com/fwlink/?LinkId=162665)

    Autorità di certificazione delle soluzioni di rete

    Autenticazione server, autenticazione client, messaggistica protetta, firma codice, timestamp

    CA primaria pubblica di Classe 3 VeriSign (https://go.microsoft.com/fwlink/?LinkId=162667)

    Autorità di certificazione primaria pubblica di Classe 3

    Messaggistica protetta, autenticazione client, firma codice, autenticazione server

    VeriSign

    Autorità di certificazione primaria pubblica di Classe 3

    Messaggistica protetta, autenticazione client, firma codice, autenticazione server

    VeriSign

    Rete attendibile VeriSign

    Messaggistica protetta, autenticazione client, firma codice, autenticazione server

    VeriSign

    Autorità di certificazione primaria pubblica di Classe 3 VeriSign - G5

    Autenticazione server, autenticazione client, messaggistica protetta, firma codice

    Il certificato SSL utilizzato per la registrazione in Microsoft Federation Gateway deve essere un certificato in cui è riportata la proprietà dell'URL Extranet del cluster RMS di AD. Se il cluster RMS di AD è configurato con un URL Intranet diverso dall'URL Extranet, se l'URL Intranet non è un nome di dominio accessibile da Internet, è necessario installare il certificato SSL associato all'URL Extranet su questo server RMS di AD e selezionare il certificato quando si effettua la registrazione in Microsoft Federation Gateway.

    Se il certificato SSL contiene un nome soggetto alternativo (SAN), l'ultima voce nell'elenco SAN deve essere un nome di dominio completo del dominio da registrare in Microsoft Federation Gateway.

  • Le directory virtuali create per l'utilizzo da parte di Supporto di Microsoft Federation Gateway utilizzano http://. Di conseguenza, è necessario configurare il firewall affinché consenta il passaggio di dati http://. Si noti, tuttavia, che le transazioni http:// per Supporto di Microsoft Federation Gateway utilizzano la sicurezza a livello di messaggio.

  • Per ulteriori informazioni, vedere Informazioni su Microsoft Federation Gateway

Attenzione
Prima di disinstallare il Service Pack 1 per Windows Server® 2008 R2, è necessario rimuovere Supporto di Microsoft Federation Gateway dal cluster RMS di AD. In caso contrario, si potrebbe provocare una configurazione incoerente del cluster RMS di AD. Per ulteriori informazioni, vedere Rimuovere il Supporto per Microsoft Federation Gateway

Requisiti di sistema

Nella tabella seguente sono riportati i requisiti hardware minimi e i consigli per l'esecuzione di server Windows Server® 2008 R2 con il ruolo server RMS di AD.

Requisito Consiglio

Un processore Pentium 4 a 3 GHz o superiore

Due processori Pentium 4 a 3 GHz o superiori

512 MB di RAM

1.024 MB di RAM

40 GB di spazio libero sul disco rigido

80 GB di spazio libero sul disco rigido

Nella tabella seguente sono riportati i requisiti software per l'esecuzione di server Windows Server 2008 R2 con il ruolo server RMS di AD. Per i requisiti che possono essere soddisfatti attivando funzionalità del sistema operativo, l'installazione del ruolo server RMS di AD determinerà la configurazione appropriata di tali funzionalità, nel caso non siano già configurate.

Software Requisito

Sistema operativo

Windows Server 2008 R2

File system

È consigliato il file system NTFS

Messaggistica

Accodamento messaggi

Servizi Web

Internet Information Services (IIS)

È necessario attivare ASP.NET.

Active Directory o Servizi di dominio Active Directory

RMS di AD deve essere installato in un dominio Active Directory in cui i controller di dominio eseguono Windows Server 2000 con Service Pack 3 (SP3), Windows Server 2003, Windows Server® 2008 o Windows Server 2008 R2. Tutti gli utenti e i gruppi che utilizzano RMS di AD per acquisire licenze e pubblicare contenuto devono disporre di un indirizzo di posta elettronica configurato in Active Directory.

Server database

RMS di AD richiede un server database, ad esempio Microsoft SQL Server 2005, e stored procedure per eseguire le operazioni. Il ruolo server RMS di AD in Windows Server 2008 R2 non supporta Microsoft SQL Server 2000.

Argomenti della Guida