在安裝 AD RMS 之前

第一次在 Windows Server® 2008 R2 上安裝 Active Directory Rights Management Services (AD RMS) 之前,必須符合下列需求:

  • 在將要使用受權限保護內容的使用者帳戶所在的 Active Directory 網域服務 (AD DS) 網域中,安裝 AD RMS 伺服器作為成員伺服器。

  • 建立未含其他使用權限的網域使用者帳戶,做為 AD RMS 服務帳戶。

  • 選取用以安裝 AD RMS 的使用者帳戶,但要注意下列限制:

    • 用以安裝 AD RMS 的使用者帳戶必須與 AD RMS 服務帳戶不同。

    • 如果在安裝期間登錄 AD RMS 服務連線點 (SCP),則用以安裝 AD RMS 的使用者帳戶必須是 AD DS Enterprise Admins 群組成員或具有同等權限。

    • 如果要用外部資料庫伺服器來提供 AD RMS 資料庫,則用以安裝 AD RMS 的使用者帳戶必須有建立新資料庫的權限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008,則使用者帳戶必須是系統管理員資料庫角色成員或具有同等權限。

    • 用以安裝 AD RMS 的使用者帳戶必須查詢 AD DS 網域的權限。

  • 保留 AD RMS 叢集的 URL,以用於 AD RMS 安裝的整個存留期。請確定保留的 URL 與電腦名稱不同。

除了 AD RMS 的安裝前需求之外,我們也強烈建議下列需求:

  • 在與用於裝載 AD RMS 資料庫不同的電腦上安裝資料庫伺服器。如需 Windows Server 2008 R2 所支援之資料庫伺服器的相關資訊,請參閱系統需求

  • 使用安全通訊端層 (SSL) 憑證安裝 AD RMS 叢集。此憑證應該是由受信任的根憑證授權單位發出。

  • 為 AD RMS 叢集 URL 建立 DNS 別名 (CNAME) 記錄,並為裝載 AD RMS 設定資料庫的電腦建立專用的 CNAME 記錄。如果 AD RMS 伺服器被淘汰、因硬體失敗而無法連線,或電腦名稱變更,則可以更新 CNAME 記錄,而不需要重新發佈所有受權限保護的檔案。

  • 如果要使用 AD RMS 設定資料庫的具名執行個體,則必須先啟動資料庫伺服器上的 SQL Server Browser 服務,再安裝 AD RMS。否則,AD RMS 安裝作業會因為找不到設定資料庫而失敗。

從 RMS 升級至 AD RMS 之前

如果要從任何版本的 Rights Management Services (RMS) 升級至 AD RMS,請執行下列動作:

  • 備份 RMS 資料庫,並儲存於安全的位置。

  • 如果 RMS 叢集設定為使用本機系統帳戶做為叢集的服務帳戶,您必須先將服務帳戶從本機系統帳戶變更為網域使用者帳戶,才能從 RMS 升級至 AD RMS。

  • 如果使用離線註冊選項來佈建 RMS,請先確定註冊完成,再升級至 AD RMS。

  • 如果使用 MSDE 來裝載 RMS 資料庫,則必須先將資料庫升級至 Microsoft SQL Server 2005 或更新的版本,才能將 RMS 叢集升級至 AD RMS。不支援使用 MSDE 資料庫從 RMS 版本進行升級。

  • 如果使用 Microsoft SQL Server 2000 來裝載 RMS 資料庫,則必須先將資料庫升級至 Microsoft SQL Server 2005 或更新的版本,才能將 RMS 叢集升級至 AD RMS。

  • 排清「RMS 訊息佇列」佇列,以確保所有訊息都會寫入至 RMS 記錄資料庫。

安裝 AD RMS 的重要考量

下列是安裝 AD RMS 之前應該考慮的事項清單:

  • 自我簽署憑證只應該用於測試環境。在試驗和生產環境中,建議您使用由信任的憑證授權單位發出的 SSL 憑證。

  • 搭配 AD RMS 使用的 Windows Internal Database 僅適用於測試環境。因為 Windows Internal Database 不支援遠端連線,所以在此情況下無法將另一部伺服器新增至 AD RMS 叢集。

  • 如果要安裝 AD RMS 的 Active Directory 樹系中已經有 SCP,請確定 SCP 中的叢集 URL 與新安裝的叢集 URL 相同。如果不同,則不應該在 AD RMS 安裝期間登錄 SCP。

  • 安裝 AD RMS 時,localhost 不是支援的叢集 URL。

  • 在安裝期間指定 AD RMS 服務帳戶時,請確定智慧卡未插入電腦中。如果有智慧卡連接至電腦,則會收到錯誤訊息,指出用以安裝 AD RMS 的使用者帳戶沒有查詢 AD DS 的權限。

  • 將新的伺服器加入現有 AD RMS 叢集時,必須先確定新伺服器上已經有 SSL 憑證,才能開始安裝 AD RMS。

  • AD RMS 預設不支援 Kerberos 驗證。如需將伺服器設定為支援 Kerberos 驗證所必須採取之步驟的相關資訊,請參閱啟用支援 Kerberos 驗證

  • Windows Server 2008 R2 不支援 Windows Rights Management Services (RMS) Client 版本 1。隨著 RMS Client 版本 1 的最新 Service Pack 的發行,已不再支援此版用戶端。若要繼續建立和存取受 AD RMS 保護的內容,執行 RMS Client 版本 1 的用戶端必須從 TechNet 上的 Windows Rights Management Services TechCenter (https://go.microsoft.com/fwlink/?LinkId=140054) 安裝最新的 Service Pack。

安裝含識別身分同盟支援之 AD RMS 的重要考量

下列是使用識別身分同盟支援安裝 AD RMS 之前應該考慮的事項清單:

  • 必須先設定同盟信任關係,才能安裝「識別身分同盟支援」。在安裝「識別身分同盟支援」角色服務期間,系統會要求您指定 Federation Service 的 URL。

  • Active Directory Federation Services (AD FS) 需要在 AD RMS 與 AD FS 資源伺服器之間進行安全通訊。若要搭配使用同盟支援與 AD RMS,則必須使用安全叢集位址安裝 AD RMS。

  • AD RMS 服務帳戶必須具備「產生安全性稽核」權限。此權限是使用 [本機安全性原則] 主控台進行授與。

  • 同盟帳戶夥伴必須可以存取 AD RMS 外部網路叢集 URL。

安裝含 Microsoft Federation Gateway 支援之 AD RMS 的重要考量

下列是安裝 AD RMS 以搭配 Microsoft Federation Gateway 使用之前應該考慮的事項清單:

  • AD RMS 叢集必須設定為使用以 SSL 加密的連線 (使用 Microsoft Federation Gateway 信任的憑證)。為證明您對想要與 Microsoft Federation Gateway 建立同盟關係之網域的擁有權,您必須有該網域的 X.509 SSL 憑證。該憑證必須來自在 Microsoft Federation Gateway 中設定的其中一個信任的根憑證授權單位 (CA)。下表列出這些 CA。

    CA 憑證好記的名稱

    發給

    使用目的

    Entrust (https://go.microsoft.com/fwlink/?LinkId=162663) (可能為英文網頁)

    Entrust.net 安全伺服器憑證授權單位

    伺服器驗證、用戶端驗證、程式碼簽署、安全傳訊、IP 安全性通道終止、網際網路通訊協定安全性 (IPsec) 使用者、網際網路通訊協定安全性 (IPsec) 網際網路金鑰交換 (IKE) 中介、時間戳記處理、檔案系統加密

    Go Daddy 類別 2 憑證授權單位 (https://go.microsoft.com/fwlink/?LinkId=162664) (可能為英文網頁)

    Go Daddy 類別 2 憑證授權單位

    伺服器驗證、用戶端驗證、安全傳訊、程式碼簽署

    Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665) (可能為英文網頁)

    Network Solutions 憑證授權單位

    伺服器驗證、用戶端驗證、安全傳訊、程式碼簽署、時間戳記處理

    VeriSign 類別 3 公開主要 CA (https://go.microsoft.com/fwlink/?LinkId=162667) (可能為英文網頁)

    類別 3 公開主要憑證授權單位

    安全傳訊、用戶端驗證、程式碼簽署、伺服器驗證

    VeriSign

    類別 3 公開主要憑證授權單位

    安全傳訊、用戶端驗證、程式碼簽署、伺服器驗證

    VeriSign

    VeriSign Trust Network

    安全傳訊、用戶端驗證、程式碼簽署、伺服器驗證

    VeriSign

    VeriSign 類別 3 公開主要憑證授權單位 - G5

    伺服器驗證、用戶端驗證、安全傳訊、程式碼簽署
    您用來向 Microsoft Federation Gateway 註冊的 SSL 憑證必須可證明您對 AD RMS 叢集之外部網路 URL 的擁有權。若使用與外部網路 URL 不同的內部網路 URL 來設定 AD RMS 叢集,且該內部網路 URL 不是可從網際網路存取的網域名稱,則向 Microsoft Federation Gateway 註冊時,您必須在此 AD RMS 伺服器上安裝與該外部網路 URL 關聯的 SSL 憑證。

    若 SSL 憑證包含主體替代名稱 (SAN),則 SAN 清單中的最後一個項目必須是您要向 Microsoft Federation Gateway 註冊之網域的完整網域名稱。

  • 建立來供 Microsoft Federation Gateway 支援 使用的虛擬目錄使用 http://。因此,您必須將防火牆設定為允許 http:// 資料通過。但請注意,Microsoft Federation Gateway 支援 的 http:// 交易使用訊息層級安全性。

  • 如需詳細資訊,請參閱了解 Microsoft Federation Gateway

注意
解除安裝 Windows Server® 2008 R2 的 Service Pack 1 之前,您必須先將「Microsoft Federation Gateway 支援」從 AD RMS 叢集移除。若未這樣做,可能導致 AD RMS 叢集的設定不一致。如需詳細資訊,請參閱移除 Microsoft Federation Gateway 支援

系統需求

下表說明執行具有 AD RMS 伺服器角色之 Windows Server® 2008 R2 伺服器的最低硬體需求和建議。

需求 建議

一顆 Pentium 4 3 GHz 或更高規格的處理器

兩顆 Pentium 4 3 GHz 或更高規格的處理器

512 MB RAM

1024 MB RAM

40 GB 可用硬碟空間

80 GB 可用硬碟空間

下表說明執行具有 AD RMS 伺服器角色之 Windows Server 2008 R2 伺服器的軟體需求。對於啟用作業系統上的功能就能滿足的需求,安裝 AD RMS 伺服器角色將會適當地設定這些功能 (如果尚未設定)。

軟體 需求

作業系統

Windows Server 2008 R2

檔案系統

建議使用 NTFS 檔案系統

訊息

訊息佇列

Web 服務

網際網路資訊服務 (IIS)

必須啟用 ASP.NET。

Active Directory 或 AD DS

AD RMS 必須安裝在 Active Directory 網域中,網域中的網域控制站必須執行 Windows Server 2000 (含 Service Pack 3 (SP3))、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 來取得授權並發佈內容的所有使用者和群組,在 Active Directory 中都必須設定好電子郵件地址。

資料庫伺服器

AD RMS 需要資料庫伺服器 (例如 Microsoft SQL Server 2005) 和預存程序,才能執行作業。Windows Server 2008 R2 上的 AD RMS 伺服器角色不支援 Microsoft SQL Server 2000。

其他參考資料

目錄