AD RMS'yi yüklemeden önce
Active Directory Rights Management Services (AD RMS)'yi Windows Server® 2008 R2 işletim sistemine ilk kez yüklemeden önce, sağlanması gereken bazı gereksinimler vardır:
-
AD RMS sunucusunu, hakları korunan içeriği kullanacak kullanıcı hesaplarının bulunduğu Active Directory Etki Alanı Hizmetleri (AD DS) etki alanına üye sunucu olarak yükleyin.
-
AD RMS hizmet hesabı olarak kullanılabilecek bir ek izni olmayan etki alanı kullanıcısı hesabı oluşturun.
-
Aşağıdaki kısıtlamalara uyarak AD RMS'yi yükleyecek kullanıcı hesabını seçin:
-
AD RMS'yi yükleyen kullanıcı hesabının AD RMS hizmet hesabından farklı olması gerekir.
-
Yükleme sırasında AD RMS hizmet bağlantı noktasını (SCP) kaydettiriyorsanız, AD RMS'yi yükleyen kullanıcı hesabının AD DS Enterprise Admins grubunun veya eşdeğer bir grubun üyesi olması gerekir.
-
AD RMS veritabanları için dış veritabanı sunucusu kullanıyorsanız, AD RMS'yi yükleyen kullanıcı hesabının yeni veritabanları oluşturma hakkına sahip olması gerekir. Microsoft SQL Server 2005 veya Microsoft SQL Server 2008 kullanılıyorsa, kullanıcı hesabının Sistem Yöneticileri veritabanı rolünün veya eşdeğer bir rolün üyesi olması gerekir
-
AD RMS'yi yükleyen kullanıcı hesabının AD DS etki alanını sorgulayacak erişime sahip olması gerekir.
-
AD RMS'yi yükleyen kullanıcı hesabının AD RMS hizmet hesabından farklı olması gerekir.
-
AD RMS kümesi için AD RMS yüklemesi süresince kullanılabilecek bir URL ayırın. Ayrılan URL'nin bilgisayarın adından farklı olduğundan emin olun.
AD RMS için önkurulum gereksinimlerine ek olarak, şunları da önemle öneririz:
-
AD RMS veritabanlarını barındırmak için kullanılan veritabanı sunucusunu farklı bir bilgisayara yükleyin. Windows Server 2008 R2'nin desteklediği veritabanı sunucuları hakkında bilgi için, Sistem gereksinimleri konusuna bakın.
-
AD RMS kümesini güvenli yuva katmanı (SSL) sertifikası kullanarak yükleyin. Bu sertifika güvenilen bir kök sertifika yetkilisi tarafından verilmelidir.
-
AD RMS kümesi URL'si için bir DNS diğer adı (CNAME) kaydı ve AD RMS yapılandırma veritabanını barındıran bilgisayar için ayrı bir CNAME kaydı oluşturun. AD RMS sunucularının bırakılması, donanım hatasından kaynaklanan kayıp veya bilgisayarın adının değişmesi gibi durumlarda, CNAME kaydı, hakları korunan tüm dosyaların yeniden yayımlanmasına gerek olmadan güncelleştirilebilir.
-
AD RMS yapılandırma veritabanı için adlandırılmış bir örnek kullanıyorsanız, AD RMS yüklenmeden önce veritabanı sunucusunda SQL Server Browser hizmetinin başlatılmış olması gerekir. Aksi takdirde, AD RMS yüklemesi yapılandırma veritabanını bulamaz ve yükleme başarılı olmaz.
RMS'den AD RMS'ye yükseltme yapmadan önce
Rights Management Services'in (RMS) herhangi bir sürümünden AD RMS'ye yükseltme yapıyorsanız, aşağıdakileri yapın:
-
RMS veritabanlarını yedekleyin ve güvenli bir yerde depolayın.
-
RMS kümeniz yerel SYSTEM hesabını küme için hizmet hesabı olarak kullanacak biçimde yapılandırıldıysa, RMS'den AD RMS'ye yükseltme yapmadan önce, hizmet hesabını yerel SYSTEM hesabından bir etki alanı kullanıcısı hesabına değiştirmeniz gerekir.
-
RMS'yi hazırlamak için çevrimdışı kayıt seçeneğini kullandıysanız, AD RMS'ye yükseltme yapmadan önce kayıt işleminin tamamlandığından emin olun.
-
RMS veritabanlarınızı barındırmak için MSDE kullanıyorsanız, RMS kümesini AD RMS'ye yükseltmeden önce, veritabanlarını Microsoft SQL Server 2005 veya sonraki bir sürüme yükseltmeniz gerekir. RMS'nin sürümlerinden MSDE veritabanını kullanarak yükseltme yapılması desteklenmez.
-
RMS veritabanlarınızı barındırmak için Microsoft SQL Server 2000 kullanıyorsanız, RMS kümesini AD RMS'ye yükseltmeden önce, veritabanlarını Microsoft SQL Server 2005 veya sonraki bir sürüme yükseltmeniz gerekir.
-
Tüm iletilerin RMS günlük veritabanına yazıldığından emin olmak için RMS Message Queuing sırasını temizleyin.
AD RMS'yi yüklemeyle ilgili önemli noktalar
Aşağıda AD RMS'yi yüklemeden önce dikkat edilmesi gereken konuları içeren bir liste verilmiştir:
-
Otomatik olarak imzalanan sertifikalar yalnızca sınama ortamında kullanılmalıdır. Pilot ve üretim ortamlarında, güvenilen bir sertifika yetkilisi tarafından verilen bir SSL sertifikasının kullanılmasını öneririz.
-
AD RMS ile birlikte Windows İç Veritabanı yalnızca sınama ortamlarında kullanıma yöneliktir. Windows İç Veritabanı uzak bağlantıları desteklemediğinden, bu senaryoda AD RMS kümesine başka bir sunucu eklenemez.
-
AD RMS'yi yüklediğiniz Active Directory ormanında zaten bir SCP varsa, SCP'deki küme URL'sinin yeni yüklemedeki küme URL'si ile aynı olduğundan emin olun. Aynı değillerse, AD RMS yüklemesi sırasında SCP'yi kaydettirmemelisiniz.
-
AD RMS'yi yüklerken, localhost desteklenen bir küme URL'si değildir.
-
Yükleme sırasında AD RMS hizmet hesabını belirtirken, bilgisayara bir akıllı kart takılı olmadığından emin olun. Bilgisayara akıllı kart takılıysa, AD RMS'yi yükleyen kullanıcı hesabının AD DS'yi sorgulama erişimine sahip olmadığını belirten bir hata iletisi alırsınız.
-
Varolan AD RMS kümesine yeni bir sunucu eklerken, AD RMS yüklemesi başlamadan önce yeni sunucuda SSL sertifikasının olması gerekir.
-
Varsayılan olarak AD RMS, Kerberos kimlik doğrulamasını desteklemez. Sunucuyu Kerberos kimlik doğrulamasını destekleyecek şekilde yapılandırmak için uygulamanız gereken adımlar hakkında bilgi için bkz. Kerberos kimlik doğrulaması desteğini etkinleştirme.
-
Windows Server 2008 R2, Windows Rights Management Services (RMS) İstemcisi sürüm 1'i desteklemez. İstemcinin bu sürümü için destek, RMS İstemcisi sürüm 1'e ilişkin en son hizmet paketinin yayımlanmasıyla sona ermiştir. AD RMS korumalı içerik oluşturmaya ve bu içeriğe erişmeye devam edebilmek için, RMS İstemcisi sürüm 1 çalışan istemcilerin en son hizmet paketini
TechNet üzerindeki Windows Rights Management Services TechCenter (https://go.microsoft.com/fwlink/?LinkId=140054) adresinden yüklemeleri gerekir (bu sayfa İngilizce içeriğe sahip olabilir).
Kimlik federasyonunu destekleyen AD RMS'yi yüklemeyle ilgili önemli noktalar
Aşağıda kimlik federasyonunu destekleyen AD RMS'yi yüklemeden önce dikkat edilmesi gereken konuları içeren bir liste verilmiştir:
-
Kimlik Federasyonu Desteği'ni yüklemeden önce bir federe güvenlik ilişkisinin yapılandırılması gerekir. Kimlik Federasyonu Desteği rol hizmetinin yüklenmesi sırasında, federasyon hizmetinin URL'sini belirtmeniz istenir.
-
Active Directory Federasyon Hizmetleri (AD FS), AD RMS ve AD DS kaynak sunucusu arasında güvenli iletişim gerektirir. AD RMS ile federasyon desteğini kullanabilmek için, AD RMS'nin güvenli bir küme adresi kullanılarak yüklenmesi gerekir.
-
AD RMS hizmet hesabının Güvenlik Denetimleri Oluştur hakkına sahip olması gerekir. Bu hak Yerel Güvenlik İlkesi konsolu kullanılarak verilir.
-
AD RMS extranet kümesi URL'lerinin federe hesap ortağı tarafından kullanılabilmesi gerekir.
AD RMS'yi Microsoft Federation Gateway Desteği ile yükleme hakkında önemli noktalar
Aşağıda AD RMS'yi Microsoft Federation Gateway ile birlikte yüklemeden önce dikkat edilmesi gereken konuları içeren bir liste verilmiştir:
-
AD RMS kümesi, Microsoft Federation Gateway tarafından güvenilen bir sertifikayı kullanan SSL şifreli bir bağlantıyı kullanmak üzere yapılandırılmalıdır. Microsoft Federation Gateway ile federasyon oluşturmak istediğiniz etki alanının sahibi olduğunuzu kanıtlamak için o etki alanının X.509 SSL sertifikasına sahip olmanız gerekir. Bunun, Microsoft Federation Gateway içinde yapılandırılmış güvenilen kök sertifika yetkililerinden (CA) birinden alınmış olması gerekir. Aşağıdaki tabloda bu CA'lar listelenmektedir.
Microsoft Federation Gateway kaydı için kullandığınız SSL sertifikası, AD RMS kümesinin extranet URL'sinin sahibini gösteren sertifika olmalıdır. AD RMS kümesi extranet URL'sinden farklı bir intranet URL'si ile yapılandırılmışsa ve bu intranet URL'si Internet'ten erişilebilen bir etki alanı adı değilse, extranet URL'si ile ilişkilendirilmiş SSL sertifikasını bu AD RMS sunucusuna yüklemeniz ve ardından Microsoft Federation Gateway kaydını yaparken o sertifikayı seçmeniz gerekir.CA sertifikası kolay adı
Verilen
Hedeflenen amaçlar
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)Entrust.net Güvenli Sunucu Sertifika Yetkilisi
Sunucu kimlik doğrulaması, istemci kimlik doğrulaması, kod imzalama, güvenli ileti, IP güvenlik tüneli sonlandırma, Internet Protokolü güvenliği (IPsec) kullanıcısı, Internet Protokolü güvenliği (IPsec) Internet Anahtar Değişimi (IKE) aracısı, zaman damgası, dosya sistemi şifreleme
Go Daddy Sınıf 2 Sertifika Yetkilisi (https://go.microsoft.com/fwlink/?LinkId=162664)Go Daddy Sınıf 2 Sertifika Yetkilisi
Sunucu kimlik doğrulaması, istemci kimlik doğrulaması, güvenli ileti, kod imzalama
Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)Network Solutions Sertifika Yetkilisi
Sunucu kimlik doğrulaması, istemci kimlik doğrulaması, güvenli ileti, kod imzalama, zaman damgası
VeriSign Sınıf 3 Ortak Birincil CA (https://go.microsoft.com/fwlink/?LinkId=162667)Sınıf 3 Ortak Birincil Sertifika Yetkilisi
Güvenli ileti, istemci kimlik doğrulaması, kod imzalama, sunucu kimlik doğrulaması
VeriSign
Sınıf 3 Ortak Birincil Sertifika Yetkilisi
Güvenli ileti, istemci kimlik doğrulaması, kod imzalama, sunucu kimlik doğrulaması
VeriSign
VeriSign Trust Network
Güvenli ileti, istemci kimlik doğrulaması, kod imzalama, sunucu kimlik doğrulaması
VeriSign
VeriSign Sınıf 3 Ortak Birincil Sertifika Yetkilisi - G5
Sunucu kimlik doğrulaması, istemci kimlik doğrulaması, güvenli ileti, kod imzalama
SSL sertifikası bir konu diğer adı (SAN) içeriyorsa, SAN listesindeki son girdinin, Microsoft Federation Gateway kaydının yapılmasını istediğiniz etki alanının tam etki alanı adı olması gerekir.
-
Microsoft Federation Gateway Desteği tarafından kullanılmak üzere oluşturulan sanal dizinler http:// kullanır. Bu nedenle, güvenlik duvarınızın http:// verilerinin geçmesine izin verecek şekilde yapılandırılması gerekir. Bununla birlikte, Microsoft Federation Gateway Desteği özelliğine yönelik http:// işlemlerinin ileti düzeyinde güvenlik kullandığına dikkat edin.
-
Daha fazla bilgi için bkz. Microsoft Federation Gateway'i Anlama.
 | Dikkat |
|
Windows Server® 2008 R2 için Service Pack 1'i kaldırmadan önce, AD RMS kümesinden Microsoft Federation Gateway Desteği özelliğini kaldırmanız gerekir. Bunun yapılamaması, AD RMS kümenizin tutarsız yapılandırılmasına neden olabilir. Daha fazla bilgi için bkz. Microsoft Federation Gateway Desteği'ni Kaldırma. |
Sistem gereksinimleri
Aşağıdaki tabloda, Windows Server® 2008 R2 sunucularını AD RMS sunucu rolüyle çalıştırmak için en düşük donanım gereksinimleri ve öneriler açıklanmaktadır.
| Gereksinim | Öneri |
|---|---|
|
Bir Pentium 4 3 GHz işlemci veya üstü |
İki Pentium 4 3 GHz işlemci veya üstü |
|
512 MB RAM |
1024 MB RAM |
|
40 GB boş sabit disk alanı |
80 GB boş sabit disk alanı |
Aşağıdaki tabloda, Windows Server 2008 R2 sunucularını AD RMS sunucu rolüyle çalıştırmak için yazılım gereksinimleri açıklanmaktadır. AD RMS sunucu rolü yüklendiğinde, işletim sistemine ait özelliklerin etkinleştirilmesiyle karşılanabilecek gereksinimler önceden yapılandırılmadıysa, yükleme işlemi bunları uygun şekilde yapılandırır.
| Yazılım | Gereksinim |
|---|---|
|
İşletim sistemi |
Windows Server 2008 R2 |
|
Dosya sistemi |
NTFS dosya sistemi önerilir |
|
İleti Gönderme |
Message Queuing |
|
Web hizmetleri |
Internet Information Services (IIS) ASP.NET'in etkinleştirilmesi gerekir. |
|
Active Directory veya AD DS |
AD RMS, etki alanı denetleyicilerinde Windows Server 2000 Service Pack 3 (SP3), Windows Server 2003, Windows Server® 2008 veya Windows Server 2008 R2 çalıştırılan bir Active Directory etki alanına yüklenmelidir. Lisans almak ve içerik yayınlamak için AD RMS'yi kullanan tüm kullanıcıların ve grupların Active Directory'de yapılandırılmış bir e-posta adresi olmalıdır. |
|
Veritabanı sunucusu |
AD RMS'nin, Microsoft SQL Server 2005 gibi bir veritabanı sunucusuna ve işlemleri gerçekleştirmek için saklı yordamlara gereksinimi vardır. Windows Server 2008 R2'deki AD RMS sunucu rolü, Microsoft SQL Server 2000'i desteklemez. |
Ek başvurular
-
Denetim Listesi: Tekli Sunucu Yüklemesi Dağıtımını Yapma
-
Denetim Listesi: AD RMS'yi Extranet'te Dağıtma
-
Denetim Listesi: AD RMS'yi Birden Çok Ormanda Kullanıcıları Olan Bir Kuruluşta Dağıtma
-
Denetim Listesi: AD RMS Salt Lisans Kümesini Dağıtma
-
Denetim Listesi: AD RMS'yi AD FS ile Dağıtma
-
Denetim Listesi: AD RMS'yi Microsoft Federation Gateway Desteği ile Dağıtma