Informacje istotne przed instalacją usług zarządzania prawami dostępu w usłudze Active Directory

Przed pierwszą instalacją składnika Usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS) w systemie Windows Server® 2008 R2 musi zostać spełnionych kilka wymagań:

• Serwer składnika Usługi AD RMS należy zainstalować jako serwer członkowski w tej samej domenie usług domenowych w usłudze Active Directory (AD DS), do której należą konta użytkowników mających korzystać z zawartości chronionej prawami.
  
  
• Należy utworzyć konto użytkownika domeny bez żadnych dodatkowych uprawnień, które może być używane w charakterze konta usługi składnika Usługi AD RMS.
  
  
• Konto użytkownika do zainstalowania składnika Usługi AD RMS należy wybrać, uwzględniając poniższe ograniczenia:
  
  
  • Konto użytkownika stosowane do zainstalowania składnika Usługi AD RMS musi być kontem innym niż konto usługi składnika Usługi AD RMS.
    
    
  • Jeśli podczas instalacji jest rejestrowany punkt połączenia usługi (SCP) składnika Usługi AD RMS, konto użytkownika stosowane do zainstalowania składnika Usługi AD RMS musi należeć do grupy Administratorzy przedsiębiorstwa usług AD DS lub grupy równoważnej.
    
    
  • Jeśli dla baz danych składnika Usługi AD RMS jest używany zewnętrzny serwer baz danych, konto użytkownika stosowane do zainstalowania składnika Usługi AD RMS musi mieć prawo do tworzenia nowych baz danych. Jeśli jest używany program Microsoft SQL Server 2005 lub Microsoft SQL Server 2008, konto użytkownika musi być elementem członkowskim roli bazy danych Administratorzy systemu lub równoważnej.
    
    
  • Konto użytkownika stosowane do zainstalowania składnika Usługi AD RMS musi mieć prawo wysyłania kwerend dotyczących domeny usług AD DS.
    
    
• Należy zarezerwować adres URL dla klastra Usługi AD RMS, który będzie dostępny w całym okresie istnienia instalacji składnika Usługi AD RMS. Należy upewnić się, że zarezerwowany adres URL różni się od nazwy komputera.
  
  

Oprócz spełnienia wymagań przedinstalacyjnych dotyczących składnika Usługi AD RMS zdecydowanie warto stosować się do poniższych instrukcji:

• Serwer bazy danych używany do obsługi baz danych składnika Usługi AD RMS należy zainstalować na oddzielnym komputerze. Zobacz temat Wymagania systemowe, aby uzyskać informacje na temat serwerów baz danych obsługiwanych w systemie Windows Server 2008 R2.
  
  
• Klaster Usługi AD RMS należy zainstalować przy użyciu certyfikatu SSL. Certyfikat ten powinien zostać wystawiony przez zaufany główny urząd certyfikacji.
  
  
• Należy utworzyć rekord aliasu DNS (CNAME) dla adresu URL klastra Usługi AD RMS i oddzielny rekord CNAME dla komputera obsługującego bazę danych konfiguracji składnika Usługi AD RMS. Jeśli serwery składnika Usługi AD RMS przestaną działać lub zostaną utracone z powodu awarii sprzętu albo nazwa komputera zmieni się, rekord CNAME będzie można zaktualizować bez ponownego publikowania wszystkich plików chronionych prawami.
  
  
• Jeśli jest używane nazwane wystąpienie bazy danych konfiguracji składnika Usługi AD RMS, usługa przeglądarki programu SQL Server musi zostać uruchomiona na serwerze bazy danych przed zainstalowaniem składnika Usługi AD RMS. W przeciwnym wypadku instalacja składnika Usługi AD RMS nie będzie mogła zlokalizować bazy danych konfiguracji i zakończy się niepowodzeniem.
  
  

Jeśli jest wykonywane uaktualnienie z dowolnej wersji usług zarządzania prawami dostępu (RMS) do składnika Usługi AD RMS, należy wykonać poniższe czynności:

• Należy utworzyć kopie zapasowe baz danych usług zarządzania prawami dostępu i magazynu w bezpiecznej lokalizacji.
  
  
• Jeśli klaster RMS został skonfigurowany do używania lokalnego konta SYSTEM jako konta usługi dla klastra, należy zmienić konto usługi z lokalnego konta SYSTEM na konto użytkownika domeny przed uaktualnieniem usług RMS do składnika Usługi AD RMS.
  
  
• Jeśli w celu zapewnienia obsługi administracyjnej usług zarządzania prawami dostępu została użyta opcja rejestrowania w trybie offline, przed przeprowadzeniem uaktualnienia do składnika Usługi AD RMS należy się upewnić, że rejestrowanie zostało ukończone.
  
  
• Jeśli do obsługi baz danych usług zarządzania prawami dostępu był używany aparat MSDE, przed uaktualnieniem klastra usług zarządzania prawami dostępu do składnika Usługi AD RMS należy uaktualnić te bazy danych do programu Microsoft SQL Server 2005 lub nowszego. Uaktualnianie z wersji usług zarządzania prawami dostępu za pomocą bazy danych aparatu MSDE nie jest obsługiwane.
  
  
• Jeśli do obsługi baz danych usług zarządzania prawami dostępu był używany program Microsoft SQL Server 2000, przed uaktualnieniem klastra usług zarządzania prawami dostępu do składnika Usługi AD RMS należy uaktualnić te bazy danych do wersji programu Microsoft SQL Server 2005 lub nowszego.
  
  
• Należy opróżnić kolejkę usługi kolejkowania wiadomości usług zarządzania prawami dostępu, aby zagwarantować, że wszystkie komunikaty zostaną zapisane w bazie danych rejestrowania usług zarządzania prawami dostępu.
  
  

Przed zainstalowaniem składnika Usługi AD RMS należy rozpatrzyć poniższe zagadnienia:

• Certyfikaty z podpisem własnym powinny być używane tylko w środowisku testowym. W przypadku środowisk pilotażowych i produkcyjnych zaleca się używanie certyfikatu SSL wystawionego przez zaufany urząd certyfikacji.
  
  
• Wewnętrzna baza danych systemu Windows ze składnikiem Usługi AD RMS jest przeznaczona do użycia tylko w środowiskach testowych. Ponieważ wewnętrzna baza danych systemu Windows nie obsługuje połączeń zdalnych, w tym scenariuszu nie jest możliwe dodanie następnego serwera do klastra Usługi AD RMS.
  
  
• Jeśli w lesie usługi Active Directory, dla którego jest instalowany składnik Usługi AD RMS, istnieje już punkt połączenia usługi, należy się upewnić, że adres URL klastra w tym punkcie połączenia usługi jest taki sam jak adres URL klastra dla nowej instalacji. Jeśli te adresy się różnią, nie należy rejestrować punktu połączenia usługi podczas instalacji składnika Usługi AD RMS.
  
  
• Podczas instalowania składnika Usługi AD RMS adres localhost nie jest obsługiwanym adresem URL klastra.
  
  
• Podczas określania konta usługi składnika Usługi AD RMS w trakcie instalacji należy się upewnić, że do komputera nie została włożona karta inteligentna. Jeśli do komputera jest podłączona karta inteligentna, zostanie wyświetlony komunikat o błędzie informujący, że konto użytkownika stosowane do zainstalowania składnika Usługi AD RMS nie ma prawa wysyłania kwerend do usług AD DS.
  
  
• Podczas przyłączania nowego serwera do istniejącego klastra Usługi AD RMS certyfikat SSL powinien istnieć na nowym serwerze przed uruchomieniem instalacji składnika Usługi AD RMS.
  
  
• Domyślnie usługi AD RMS nie obsługują uwierzytelniania Kerberos. Aby uzyskać informacje na temat czynności, które należy wykonać w celu skonfigurowania serwera do obsługi uwierzytelniania Kerberos, zobacz Włączanie obsługi uwierzytelniania Kerberos.
  
  
• System Windows Server 2008 R2 nie obsługuje klienta usług zarządzania prawami dostępu (RMS) systemu Windows w wersji 1. Obsługa klienta w tej wersji została zakończona wraz z wydaniem najnowszego dodatku Service Pack dla klienta RMS w wersji 1. Aby móc nadal tworzyć zawartość chronioną przy użyciu składnika Usługi AD RMS i uzyskiwać do niej dostęp, dla klientów RMS w wersji 1 należy zainstalować najnowszy dodatek Service Pack dostępny w witrynie TechCenter usług zarządzania prawami dostępu w systemie Windows w witrynie TechNet (https://go.microsoft.com/fwlink/?LinkId=140054) (strona może zostać wyświetlona w języku angielskim).
  
  

Przed zainstalowaniem składnika Usługi AD RMS z obsługą federacji tożsamości należy rozpatrzyć poniższe zagadnienia:

• Przed zainstalowaniem obsługi federacji tożsamości należy skonfigurować federacyjną relację zaufania. Podczas instalacji usługi roli obsługi federacji tożsamości zostanie wyświetlony monit o określenie adresu URL usługi federacyjnej.
  
  
• Program Active Directory Federation Services (AD FS) wymaga bezpiecznej komunikacji między składnikiem Usługi AD RMS a serwerem zasobów programu AD FS. Aby móc korzystać z obsługi federacji za pomocą składnika Usługi AD RMS, należy zainstalować składnik Usługi AD RMS przy użyciu bezpiecznego adresu klastra.
  
  
• Konto usługi składnika Usługi AD RMS musi mieć uprawnienie Generowanie inspekcji zabezpieczeń. To uprawnienie można przyznać za pomocą konsoli Zasady zabezpieczeń lokalnych.
  
  
• Adresy URL klastrów ekstranetowych składnika Usługi AD RMS muszą być dostępne dla partnera kont federacyjnych.
  
  

Przed zainstalowaniem składnika Usługi AD RMS z programem Microsoft Federation Gateway należy rozpatrzyć poniższe zagadnienia:

• W klastrze składnika Usługi AD RMS należy skonfigurować połączenie szyfrowane z zastosowaniem protokołu SSL, korzystające z certyfikatu zaufanego przez program Microsoft Federation Gateway. W celu potwierdzenia własności domeny, dla której ma zostać utworzona federacja z programem Microsoft Federation Gateway, konieczne jest posiadanie certyfikatu X.509 protokołu SSL dla tej domeny. Ten certyfikat musi pochodzić z jednego z zaufanych głównych urzędów certyfikacji skonfigurowanych w programie Microsoft Federation Gateway. W poniższej tabeli wymieniono te urzędy certyfikacji.
  
  

  Przyjazna nazwa certyfikatu urzędu certyfikacji	Wystawiony dla	Zamierzone cele
  Entrust (https://go.microsoft.com/fwlink/?LinkId=162663) (strona może zostać wyświetlona w języku angielskim)	Urząd certyfikacji bezpiecznych serwerów Entrust.net	Uwierzytelnianie serwerów i klientów, podpisywanie kodu, bezpieczna obsługa wiadomości, zamykanie zabezpieczonych tunelów IP, obsługa użytkowników protokołu IPsec, obsługa połączeń między protokołami IPsec i IKE, tworzenie sygnatur czasowych, szyfrowanie systemu plików
  Urząd certyfikacji klasy 2 Go Daddy (https://go.microsoft.com/fwlink/?LinkId=162664) (strona może zostać wyświetlona w języku angielskim)	Urząd certyfikacji klasy 2 Go Daddy	Uwierzytelnianie serwerów i klientów, bezpieczna obsługa wiadomości, podpisywanie kodu
  Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665) (strona może zostać wyświetlona w języku angielskim)	Urząd certyfikacji Network Solutions	Uwierzytelnianie serwerów i klientów, bezpieczna obsługa wiadomości, podpisywanie kodu, tworzenie sygnatur czasowych
  Publiczny główny urząd certyfikacji klasy 3 VeriSign (https://go.microsoft.com/fwlink/?LinkId=162667) (strona może zostać wyświetlona w języku angielskim)	Publiczny główny urząd certyfikacji klasy 3	Bezpieczna obsługa wiadomości, uwierzytelnianie klientów i serwerów, podpisywanie kodu
  VeriSign	Publiczny główny urząd certyfikacji klasy 3	Bezpieczna obsługa wiadomości, uwierzytelnianie klientów i serwerów, podpisywanie kodu
  VeriSign	VeriSign Trust Network	Bezpieczna obsługa wiadomości, uwierzytelnianie klientów i serwerów, podpisywanie kodu
  VeriSign	Publiczny główny urząd certyfikacji klasy 3 VeriSign — G5	Uwierzytelnianie serwerów i klientów, bezpieczna obsługa wiadomości, podpisywanie kodu

  Certyfikat SSL używany podczas rejestrowania w programie Microsoft Federation Gateway musi określać własność adresu URL klastra Usługi AD RMS w ekstranecie. Jeśli w klastrze Usługi AD RMS skonfigurowano adres URL w intranecie różniący się od adresu URL w ekstranecie i adres URL w intranecie nie stanowi nazwy domeny dostępnej za pośrednictwem Internetu, należy zainstalować certyfikat SSL skojarzony z adresem URL w ekstranecie na tym serwerze składnika Usługi AD RMS, a następnie wybrać ten certyfikat podczas rejestrowania w programie Microsoft Federation Gateway.
  
  Jeśli certyfikat SSL zawiera alternatywną nazwę podmiotu (SAN), ostatni wpis na liście SAN musi zawierać w pełni kwalifikowaną nazwę domeny, która ma zostać zarejestrowana w programie Microsoft Federation Gateway.
  
  
• W katalogach wirtualnych tworzonych na potrzeby składnika Obsługa programu Microsoft Federation Gateway jest używany prefiks http://. Z tego względu należy skonfigurować zaporę w celu zezwalania na przekazywanie danych http://. Jednak należy przy tym pamiętać, że transakcje http:// składnika Obsługa programu Microsoft Federation Gateway korzystają z zabezpieczeń na poziomie komunikatu.
  
  
• Aby uzyskać więcej informacji, zobacz Opis programu Microsoft Federation Gateway.
  
  

	Przestroga
	Przed odinstalowaniem dodatku Service Pack 1 dla systemu Windows Server® 2008 R2 należy usunąć składnik Obsługa programu Microsoft Federation Gateway z klastra Usługi AD RMS. Jeśli ta czynność nie zostanie wykonana, mogą powstać niespójności w konfiguracji klastra Usługi AD RMS. Więcej informacji zawiera artykuł Usuwanie funkcji obsługi programu Microsoft Federation Gateway.

W poniższej tabeli opisano minimalne wymagania sprzętowe i podano zalecania dotyczące uruchamiania serwerów systemu Windows Server® 2008 R2 z rolą serwera Usługi AD RMS.

W poniższej tabeli opisano wymagania programowe dotyczące uruchamiania serwerów systemu Windows Server 2008 R2 z rolą serwera Usługi AD RMS. W przypadku wymagań, które można spełnić przez włączenie funkcji w systemie operacyjnym, zainstalowanie roli serwera Usługi AD RMS spowoduje odpowiednie skonfigurowanie tych funkcji, jeśli nie są jeszcze skonfigurowane.