Pokud máte v úmyslu používat službu AD RMS (Active Directory Rights Management Services) s ověřováním modulem Kerberos, je třeba po instalaci role serveru služby AD RMS a zajištění serveru provést další kroky, kterými server se službou AD RMS nakonfigurujete. Konkrétně je třeba provést tyto postupy:

  • Nastavit proměnnou useAppPoolCredentials Internetové informační služby (IIS) na hodnotu True

  • Nastavit hodnotu hlavních názvů služeb (SPN) pro účet služby AD RMS

Členství ve skupině AD RMS Enterprise Administrators a Enterprise Admins ve službě AD DS či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.

Nastavení proměnné useAppPoolCredentials služby IIS na True
  1. Otevřete příkazový řádek se zvýšenými oprávněními. Okno příkazového řádku se zvýšenými oprávněními otevřete tak, že kliknete na tlačítko Start, přejdete na příkaz Všechny programy, kliknete na položku Příslušenství, pravým tlačítkem myši kliknete na položku Příkazový řádek a pak kliknete na příkaz Spustit jako správce.

  2. Přejděte do umístění %windir%\system32\inetsrv.

  3. Zadejte příkaz appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.

Důležité informace

Úspěšné provedení následujícího postupu vyžaduje, aby byl účet služby AD RMS ve stejné doménové struktuře jako cluster služby AD RMS. Dále platí, že pokud změníte účet služby AD RMS, je třeba odstranit registrace názvů SPN z předchozího účtu služby a potom provést tento postup pro nový účet služby.

Nastavení hodnoty hlavních názvů služeb (SPN) pro účet služby AD RMS
  1. Otevřete příkazový řádek se zvýšenými oprávněními. Okno příkazového řádku se zvýšenými oprávněními otevřete tak, že kliknete na tlačítko Start, přejdete na příkaz Všechny programy, kliknete na položku Příslušenství, pravým tlačítkem myši kliknete na položku Příkazový řádek a pak kliknete na příkaz Spustit jako správce.

  2. Zadejte příkaz setspn -a HTTP/<Název_serveru> <Doména_účtu_služby>\<Účet_služby>, kde <Název_serveru> představuje název serveru, <Doména_účtu_služby> název domény obsahující účet služby AD RMS a <Účet_služby> název účet služby AD RMS.

  3. Zadejte příkaz setspn -a HTTP/<Úplný_název_serveru> <Doména_účtu_služby>\<Účet_služby>, kde <Úplný_název_serveru> představuje úplný název (FQDN) serveru.

  4. Zadejte příkaz setspn -a HTTP/<Název_clusteru> <Doména_účtu_služby>\<Účet_služby>, kde <Název_clusteru> představuje název clusteru služby AD RMS.

  5. Zadejte příkaz setspn -a HTTP/<Úplný_název_clusteru> <Doména_účtu_služby>\<Účet_služby>, kde <Úplný_název_clusteru> představuje úplný název (FQDN) clusteru.

Poznámka

Pokud cluster používá protokol SSL (Secure Sockets Layer), opakujte kroky 2 až 5, přičemž položku HTTP nahraďte zápisem HTTPS.

Další odkazy

Obsah