Serverové služby ve službě AD RMS umožňují serverovým aplikacím s povolenou službou AD RMS vyžadovat jménem jiných uživatelů certifikáty certifikáty RAC. Příkladem serverové aplikace s povolenou službou AD RMS je Microsoft Exchange Server 2007. Před konfigurací serverových služeb byste měli vědět několik věcí:
-
Volitelné seznamy řízení přístupu (DACL) v kanálech služby AD RMS používají ve výchozím nastavení nejvyšší zabezpečení. Volitelné seznamy řízení přístupu (DACL) je při použití serverových služeb AD RMS nutné upravit.
-
Pokud je klient služby AD RMS nainstalovaný na serveru se systémem Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 a je povoleno Rozšířené nastavení zabezpečení aplikace Internet Explorer, musíte přidat adresu URL clusteru AD RMS do zóny zabezpečení Místní intranet v aplikaci Internet Explorer.
-
Většina serverových služeb používá pokročilou funkci služby AD DS (Active Directory Domain Services), která je k dispozici pouze v případě, že všechny řadiče domény služby AD DS používají systém Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2. Jestliže používáte serverové služby, doporučujeme, aby všechny řadiče domény používaly systém Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 a aby úrovně funkčnosti domény a doménové struktury služby AD DS odpovídaly minimálně systému Windows Server 2003.
Při výchozí instalaci služby AD RMS je volitelný seznam řízení přístupu (DACL) pro kanál serverové certifikace služby AD RMS omezen, což znamená, že aplikace nemůže získat certifikáty a licence pro uživatele. Pokud však pro tyto počítače používáte aplikaci s povolenou službou AD RMS, můžete povolit jejich účast v systému služby AD RMS pomocí konfigurace volitelných seznamů řízení přístupu (DACL) v kanálu serverové certifikace služby AD RMS.
Serverové aplikace s povolenou službou AD RMS se mohou připojit k serveru pro serverovou certifikaci služby AD RMS prostřednictvím souboru ServerCertification.asmx.
 | Poznámka |
|
Pokud je v clusteru služby AD RMS více než jeden server služby AD RMS, je pro jednotlivé servery v clusteru nutné změnit volitelný seznam řízení přístupu (DACL) pro službu serverové certifikace. |
Členství v místní skupině Administrators či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.
 | Povolení certifikace serverových služeb |
Spusťte Průzkumníka Windows a přejděte do složky, kde byla nainstalována Internetová informační služba. Ve výchozím nastavení je cesta ke složce %systémová_jednotka%\Inetpub\wwwroot\_wmcs\certifikace.
Chcete-li povolit, aby serverové služby přijímaly certifikáty RAC, klikněte pravým tlačítkem myši na soubor ServerCertification.asmx a potom na příkaz Vlastnosti.
Na kartě Zabezpečení klikněte na tlačítko Přidat a potom přidejte objekt účtu počítače serveru s povolenou službou AD RMS a položku Skupina služeb AD RMS.
V seznamu skupin Oprávnění zaškrtněte políčko Povolit pro oprávnění Číst a Číst a spouštět a klikněte na tlačítko OK.
Poznámka Pokud několik serverů hostuje serverové aplikace s povolenou službou AD RMS, zvažte vytvoření skupiny, přidání všech objektů počítačů do této skupiny a přidání skupiny do volitelného seznamu řízení přístupu (DACL) v kanálu certifikace.
Restartujte Internetovou informační službu spuštěním příkazu IISRESET na příkazovém řádku. Tím aplikujete změny do volitelných seznamů řízení přístupu (DACL) ve webových službách AD RMS.