AD RMS(Active Directory Rights Management Services) 사전 설치 정보

Windows Server® 2008 R2에 처음으로 Active Directory Rights Management Services(ADRMS)를 설치하기 전에 다음과 같은 몇 가지 요구 사항을 충족해야 합니다.

• 권한으로 보호된 콘텐츠를 사용할 사용자 계정과 동일한 AD DS(Active Directory 도메인 서비스) 도메인에 ADRMS 서버를 구성원 서버로 설치합니다.
  
  
• 추가 사용 권한을 부여하지 않고 ADRMS 서비스 계정으로 사용할 수 있는 도메인 사용자 계정을 만듭니다.
  
  
• 다음 제한 사항을 고려하여 ADRMS를 설치하기 위한 사용자 계정을 선택합니다.
  
  
  • ADRMS를 설치하는 사용자 계정은 ADRMS 서비스 계정과 달라야 합니다.
    
    
  • 설치 중에 ADRMS SCP(서비스 연결 지점)를 등록하려는 경우 ADRMS를 설치하는 사용자 계정은 AD DS Enterprise Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다.
    
    
  • ADRMS 데이터베이스에 대한 외부 데이터베이스 서버를 사용하려는 경우 ADRMS를 설치하는 사용자 계정에는 새 데이터베이스를 만들 수 있는 권한이 있어야 합니다. Microsoft SQL Server 2005 또는 Microsoft SQL Server 2008을 사용할 경우 사용자 계정은 System Administrators 또는 이와 동등한 데이터베이스 역할의 구성원이어야 합니다.
    
    
  • ADRMS를 설치하는 사용자 계정에는 AD DS 도메인을 쿼리할 수 있는 액세스 권한이 있어야 합니다.
    
    
• ADRMS 설치 수명 동안 내내 사용할 수 있는 ADRMS 클러스터에 대한 URL을 예약합니다. 예약된 URL은 컴퓨터 이름과 달라야 합니다.
  
  

ADRMS에 대한 사전 설치 요구 사항 외에 다음을 수행하는 것이 좋습니다.

• ADRMS 데이터베이스를 호스팅하는 데 사용하는 데이터베이스 서버를 별도의 컴퓨터에 설치합니다. Windows Server 2008 R2에서 지원하는 데이터베이스 서버에 대한 정보는 시스템 요구 사항을 참조하십시오.
  
  
• SSL(Secure Sockets Layer) 인증서를 사용하여 ADRMS 클러스터를 설치합니다. 이 인증서는 신뢰할 수 있는 루트 인증 기관에서 발급되어야 합니다.
  
  
• ADRMS 클러스터 URL에 대한 DNS 별칭(CNAME) 레코드를 만들고, ADRMS 구성 데이터베이스를 호스팅하는 컴퓨터에 대한 별도의 CNAME 레코드를 만듭니다. ADRMS 서버가 더 이상 사용되지 않고, 해당 서버가 하드웨어 장애로 인해 손실되거나 컴퓨터의 이름이 변경된 경우, 권한으로 보호된 모든 파일을 다시 게시하지 않고도 CNAME 레코드를 업데이트할 수 있습니다.
  
  
• ADRMS 구성 데이터베이스의 명명된 인스턴스를 사용할 경우 데이터베이스 서버에서 SQL Server Browser 서비스를 시작한 후에 ADRMS를 설치해야 합니다. 이렇게 하지 않으면 ADRMS 설치에서 구성 데이터베이스를 찾을 수 없게 되어 설치가 완료되지 않습니다.
  
  

임의의 RMS(Rights Management Services) 버전을 ADRMS로 업그레이드할 경우 다음을 수행합니다.

• RMS 데이터베이스를 백업하고 안전한 위치에 보관합니다.
  
  
• 로컬 SYSTEM 계정을 클러스터의 서비스 계정으로 사용하도록 RMS 클러스터를 구성한 경우 RMS에서 ADRMS로 업그레이드하기 전에 서비스 계정을 로컬 SYSTEM 계정에서 도메인 사용자 계정으로 변경해야 합니다.
  
  
• RMS를 구축할 때 오프라인 등록 옵션을 사용한 경우 등록을 완료한 후에 ADRMS로 업그레이드해야 합니다.
  
  
• MSDE를 사용하여 RMS 데이터베이스를 호스팅하고 있는 경우 해당 데이터베이스를 Microsoft SQL Server 2005 또는 이후 버전으로 업그레이드한 후 RMS 클러스터를 ADRMS로 업그레이드해야 합니다. MSDE 데이터베이스를 사용하여 RMS 버전에서 업그레이드하는 것은 지원되지 않습니다.
  
  
• Microsoft SQL Server 2000을 사용하여 RMS 데이터베이스를 호스트하고 있는 경우 해당 데이터베이스를 Microsoft SQL Server 2005 또는 이후 버전으로 업그레이드한 후 RMS 클러스터를 ADRMS로 업그레이드해야 합니다.
  
  
• RMS 메시지 큐의 큐를 플러시하여 RMS 로깅 데이터베이스에 모든 메시지를 기록합니다.
  
  

다음은 ADRMS를 설치하기 전에 고려해야 하는 몇 가지 사항입니다.

• 자체 서명된 인증서는 테스트 환경에서만 사용해야 합니다. 파일럿 및 프로덕션 환경의 경우 신뢰할 수 있는 인증 기관에서 발급한 SSL 인증서를 사용하는 것이 좋습니다.
  
  
• ADRMS가 있는 Windows 내부 데이터베이스는 테스트 환경에서만 사용해야 합니다. Windows 내부 데이터베이스는 원격 연결을 지원하지 않으므로 이 시나리오에서는 다른 서버를 ADRMS 클러스터에 추가할 수 없습니다.
  
  
• ADRMS를 설치할 Active Directory 포리스트에 SCP가 이미 있는 경우 SCP의 클러스터 URL이 새 설치에 대한 클러스터 URL과 같아야 합니다. 두 개의 URL이 같지 않으면 ADRMS 설치 중에 SCP를 등록해서는 안 됩니다.
  
  
• ADRMS를 설치할 때 로컬 호스트는 지원되는 클러스터 URL이 아닙니다.
  
  
• 설치 중에 ADRMS 서비스 계정을 지정할 경우 스마트 카드가 컴퓨터에 삽입되어 있으면 안 됩니다. 스마트 카드가 컴퓨터에 연결되어 있으면 ADRMS를 설치하는 사용자 계정이 AD DS를 쿼리할 수 있는 액세스 권한이 없음을 나타내는 오류 메시지가 표시됩니다.
  
  
• 새 서버를 기존 ADRMS 클러스터에 가입시킬 경우 새 서버에 SSL 인증서가 있어야 ADRMS 설치가 시작됩니다.
  
  
• AD RMS에서는 기본적으로 Kerberos 인증을 지원하지 않습니다. Kerberos 인증을 지원하도록 서버를 구성하기 위해 수행해야 할 단계에 대한 자세한 내용은 Kerberos 인증 지원 사용을 참조하십시오.
  
  
• Windows Server 2008 R2은 Windows RMS(Rights Management Services) Client 버전 1을 지원하지 않습니다. 이 버전의 클라이언트에 대한 지원은 RMS Client 버전 1의 최신 서비스 팩 릴리스로 종결되었습니다. ADRMS-보호된 콘텐츠를 계속 만들고 액세스할 수 있으려면 RMS Client 버전 1을 실행하는 클라이언트가 TechNet의 Windows Rights Management Services TechCenter(https://go.microsoft.com/fwlink/?LinkId=140054)(영문)에서 최신 서비스 팩을 설치해야 합니다.
  
  

다음은 ID 페더레이션 지원이 있는 ADRMS를 설치하기 전에 고려해야 할 몇 가지 사항입니다.

• 페더레이션 트러스트된 관계를 구성한 후에 ID 페더레이션 지원을 설치해야 합니다. ID 페더레이션 지원 역할 서비스를 설치하는 동안 페더레이션 서비스의 URL을 지정하라는 메시지가 표시됩니다.
  
  
• ADFS(Active Directory Federation Services)를 사용하려면 ADRMS와 ADFS 리소스 서버 간에 보안 통신이 필요합니다. ADRMS에서 페더레이션 지원을 사용하려면 보안 클러스터 주소를 사용하여 ADRMS를 설치해야 합니다.
  
  
• ADRMS 서비스 계정에는 보안 감사 생성 권한이 있어야 합니다. 이 권한은 로컬 보안 정책 콘솔을 사용하여 부여됩니다.
  
  
• ADRMS 엑스트라넷 클러스터 URL은 페더레이션 계정 파트너가 사용할 수 있어야 합니다.
  
  

다음은 ADRMS를 Microsoft Federation Gateway와 함께 설치하기 전에 고려해야 하는 몇 가지 사항입니다.

• Microsoft Federation Gateway가 신뢰하는 인증서를 사용하는 SSL로 암호화된 연결을 사용하도록 ADRMS 클러스터를 구성해야 합니다. Microsoft Federation Gateway와 페더레이션할 도메인의 소유권을 증명하려면 해당 도메인의 X.509 SSL 인증서를 소유하고 있어야 합니다. 이 인증서는 Microsoft Federation Gateway에 구성된 신뢰할 수 있는 루트 CA(인증 기관) 중 하나로부터 받은 인증서여야 합니다. 다음 표에서는 해당 CA를 보여 줍니다.
  
  

  CA 인증서 이름	발급 대상	용도
  Entrust(https://go.microsoft.com/fwlink/?LinkId=162663)(영문)	Entrust.net 보안 서버 인증 기관	서버 인증, 클라이언트 인증, 코드 서명, 보안 메시징, IP 보안 터널 종료, IPsec(인터넷 프로토콜 보안) 사용자, IPsec(인터넷 프로토콜 보안) IKE(Internet Key Exchange) 중개, 타임스탬프, 파일 시스템 암호화
  Go Daddy 클래스 2 인증 기관(https://go.microsoft.com/fwlink/?LinkId=162664)(영문)	Go Daddy 클래스 2 인증 기관	서버 인증, 클라이언트 인증, 보안 메시징, 코드 서명
  Network Solutions(https://go.microsoft.com/fwlink/?LinkId=162665)(영문)	Network Solutions 인증 기관	서버 인증, 클라이언트 인증, 보안 메시징, 코드 서명, 타임스탬프
  VeriSign 클래스 3 공식 기본 CA(https://go.microsoft.com/fwlink/?LinkId=162667)(영문)	클래스 3 공식 기본 인증 기관	보안 메시징, 클라이언트 인증, 코드 서명, 서버 인증
  VeriSign	클래스 3 공식 기본 인증 기관	보안 메시징, 클라이언트 인증, 코드 서명, 서버 인증
  VeriSign	VeriSign Trust Network	보안 메시징, 클라이언트 인증, 코드 서명, 서버 인증
  VeriSign	VeriSign 클래스 3 공식 기본 인증 기관 - G5	서버 인증, 클라이언트 인증, 보안 메시징, 코드 서명

  Microsoft Federation Gateway에 등록하는 데 사용하는 SSL 인증서는 ADRMS 클러스터의 엑스트라넷 URL의 소유권을 나타내는 인증서여야 합니다. ADRMS 클러스터가 엑스트라넷 URL과 다른 인트라넷 URL로 구성되고 인트라넷 URL이 인트라넷에서 액세스할 수 있는 도메인 이름이 아닌 경우, 이 ADRMS 서버의 엑스트라넷 URL과 관련된 SSL 인증서를 설치한 다음 Microsoft Federation Gateway에 등록할 때 해당 인증서를 선택해야 합니다.
  
  SSL 인증서에 SAN(주체 대체 이름)이 포함되어 있는 경우 SAN 목록의 마지막 항목은 Microsoft Federation Gateway에 등록하려는 도메인의 정규화된 도메인 이름이어야 합니다.
  
  
• Microsoft Federation Gateway 지원에서 사용하도록 만든 가상 디렉터리는 http://를 사용합니다. 따라서 http:// 데이터를 통과하도록 방화벽을 구성해야 합니다. 하지만 Microsoft Federation Gateway 지원의 http:// 트랜잭션은 메시지 수준 보안을 사용합니다.
  
  
• 자세한 내용은 Microsoft Federation Gateway 이해를 참조하십시오.
  
  

주의
Windows Server® 2008 R2 서비스 팩 1을 제거하기 전에 ADRMS 클러스터에서 Microsoft Federation Gateway 지원을 제거해야 합니다. 올바르게 제거하지 못한 경우 ADRMS 클러스터의 구성이 일관되지 않을 수 있습니다. 자세한 내용은 Microsoft Federation Gateway 지원 제거를 참조하십시오.

다음 표에서는 ADRMS 서버 역할이 있는 Windows Server® 2008 R2 서버를 실행하기 위한 최소 하드웨어 요구 사항 및 권장 사항에 대해 설명합니다.

다음 표에서는 ADRMS 서버 역할이 있는 Windows Server 2008 R2 서버를 실행하기 위한 소프트웨어 요구 사항에 대해 설명합니다. 운영 체제의 기능을 사용하도록 설정하여 충족할 수 있는 요구 사항의 경우, ADRMS 서버 역할을 설치하면 이러한 기능이 아직 구성되어 있지 않은 경우 적절히 구성됩니다.