Vor dem Installieren von AD RMS
Bevor Sie die Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) unter Windows Server® 2008 R2 zum ersten Mal installieren können, müssen mehrere Bedingungen erfüllt sein:
-
Installieren Sie den AD RMS-Server als Mitgliedsserver in derselben AD DS-Domäne (Active Directory Domain Services, Active Directory-Domänendienste) wie die Benutzerkonten, die den durch Rechte geschützten Inhalt verwenden werden.
-
Erstellen Sie ein Domänenbenutzerkonto ohne zusätzliche Berechtigungen, das als AD RMS-Dienstkonto verwendet werden kann.
-
Wählen Sie das Benutzerkonto für die Installation von AD RMS mit den folgenden Einschränkungen aus:
-
Das Benutzerkonto, mit dessen Hilfe AD RMS installiert wird, muss sich vom AD RMS-Dienstkonto unterscheiden.
-
Wenn Sie den AD RMS-Dienstverbindungspunkt (Service Connection Point, SCP) während der Installation registrieren, muss das für die Installation von AD RMS verwendete Benutzerkonto ein Mitglied der AD DS-Gruppe Organisations-Admins oder einer entsprechenden Gruppe sein.
-
Wenn Sie für die AD RMS-Datenbanken einen externen Datenbankserver verwenden, muss das für die Installation von AD RMS verwendete Benutzerkonto über das Recht zur Erstellung neuer Datenbanken verfügen. Bei Verwendung von Microsoft SQL Server 2005 oder Microsoft SQL Server 2008 muss das Benutzerkonto ein Mitglied der Systemadministratoren-Datenbankrolle oder einer entsprechenden Rolle sein.
-
Das für die Installation von AD RMS verwendete Benutzerkonto muss Zugriff auf die Abfrage der AD DS-Domäne haben.
-
Das Benutzerkonto, mit dessen Hilfe AD RMS installiert wird, muss sich vom AD RMS-Dienstkonto unterscheiden.
-
Reservieren Sie eine URL für den AD RMS-Cluster, die während der gesamten Gültigkeitsdauer der AD RMS-Installation verfügbar ist. Stellen Sie sicher, dass sich die reservierte URL vom Computernamen unterscheidet.
Zusätzlich zu den Vorinstallationsanforderungen für AD RMS wird Folgendes dringend empfohlen:
-
Installieren Sie den zum Hosten der AD RMS-Datenbanken verwendeten Datenbankserver auf einem separaten Computer. Unter Systemanforderungen finden Sie Informationen zu den Datenbankservern, die von Windows Server 2008 R2 unterstützt werden.
-
Installieren Sie den AD RMS-Cluster mithilfe eines SSL-Zertifikats (Secure Sockets Layer). Dieses Zertifikat sollte von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt werden.
-
Erstellen Sie einen DNS-Aliaseintrag (CNAME) für die AD RMS-Cluster-URL und einen separaten CNAME-Eintrag für den Computer, der die AD RMS-Konfigurationsdatenbank hostet. Falls die AD RMS-Server zurückgezogen werden, aufgrund eines Hardwarefehlers verloren gehen oder der Name des Computers geändert wird, kann ein CNAME-Eintrag aktualisiert werden, ohne alle durch Rechte geschützten Dateien erneut veröffentlichen zu müssen.
-
Wenn Sie für die AD RMS-Konfigurationsdatenbank eine benannte Instanz verwenden, muss vor der Installation von AD RMS der SQL Server-Browserdienst auf dem Datenbankserver gestartet werden. Andernfalls kann die AD RMS-Installation die Konfigurationsdatenbank nicht finden, und die Installation wird nicht erfolgreich abgeschlossen.
Vor dem Aktualisieren von RMS auf AD RMS
Wenn Sie eine Aktualisierung von einer beliebigen Rechteverwaltungsdienste-Version (Rights Management Services, RMS) auf AD RMS vornehmen, führen Sie die folgenden Schritte aus:
-
Erstellen Sie eine Sicherungskopie der Rechteverwaltungsdienste-Datenbanken, und speichern Sie diese unter einem sicheren Speicherort.
-
Wenn für den RMS-Cluster das lokale SYSTEM-Kontos als Dienstkonto konfiguriert war, müssen Sie für den RMS-Cluster ein Domänenbenutzerkonto als Dienstkonto konfigurieren, bevor Sie eine Aktualisierung von RMS auf AD RMS durchführen.
-
Wenn Sie für die Rechteverwaltungsdienste-Bereitstellung die Offlineregistrierungsoption verwendet haben, stellen Sie sicher, dass die Registrierung vor der Aktualisierung auf AD RMS abgeschlossen ist.
-
Wenn Sie Ihre Rechteverwaltungsdienste-Datenbanken mit Microsoft SQL Server 2000 Desktop Engine (MSDE) gehostet haben, müssen Sie die Datenbanken auf Microsoft SQL Server 2005 oder eine höhere Version aktualisieren, bevor Sie den Rechteverwaltungsdienste-Cluster auf AD RMS aktualisieren. Eine Aktualisierung von Rechteverwaltungsdienste-Versionen mithilfe der MSDE-Datenbank wird nicht unterstützt.
-
Wenn Sie Ihre Rechteverwaltungsdienste-Datenbanken mit Microsoft SQL Server 2000 gehostet haben, müssen Sie die Datenbanken auf Microsoft SQL Server 2005 oder eine höhere Version aktualisieren, bevor Sie den Rechteverwaltungsdienste-Cluster auf AD RMS aktualisieren.
-
Leeren Sie die Message Queuing-Warteschlange der Rechteverwaltungsdienste, um sicherzustellen, dass alle Nachrichten in die Rechteverwaltungsdienste-Protokollierungsdatenbank geschrieben werden.
Wichtige Überlegungen zur Installation von AD RMS
Nachfolgend finden Sie eine Auflistung von Überlegungen, die vor der Installation von AD RMS beachtet werden sollten:
-
Selbstsignierte Zertifikate sollten nur in einer Testumgebung verwendet werden. Für Pilot- und Produktionsumgebungen wird die Verwendung eines von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten SSL-Zertifikats empfohlen.
-
Die interne Windows-Datenbank mit AD RMS ist nur für die Verwendung in Testumgebungen vorgesehen. Da die interne Windows-Datenbank keine Remoteverbindungen unterstützt, können Sie in diesem Szenario keinen anderen Server zum AD RMS-Cluster hinzufügen.
-
Wenn in der Active Directory-Gesamtstruktur, für die Sie AD RMS installieren, bereits ein Dienstverbindungspunkt (Service Connection Point, SCP) vorhanden ist, stellen Sie sicher, dass die Cluster-URL des Dienstverbindungspunkts mit der Cluster-URL für die neue Installation übereinstimmt. Wenn die URLs nicht übereinstimmen, sollten Sie den Dienstverbindungspunkt während der AD RMS-Installation nicht registrieren.
-
Beim Installieren von AD RMS ist Localhost keine unterstützte Cluster-URL.
-
Stellen Sie beim Angeben des AD RMS-Dienstkontos während der Installation sicher, dass in den Computer keine Smartcard eingelegt wurde. Wenn sich eine Smartcard im Computer befindet, wird eine Fehlermeldung mit dem Hinweis angezeigt, dass das zur Installation von AD RMS verwendete Benutzerkonto keinen Zugriff auf die AD DS-Abfrage hat.
-
Wenn Sie einem bereits vorhandenen AD RMS-Cluster einen neuen Server hinzufügen, sollte das SSL-Zertifikat auf dem neuen Server vorhanden sein, bevor die AD RMS-Installation gestartet wird.
-
AD RMS unterstützt standardmäßig keine Kerberos-Authentifizierung. Informationen zu den Schritten, die erforderlich sind, um den Server für die Unterstützung der Kerberos-Authentifizierung zu konfigurieren, finden Sie unter Aktivieren der Unterstützung für die Kerberos-Authentifizierung.
-
Windows Server 2008 R2 unterstützt nicht Version 1 des Windows-Rechteverwaltungsdienste-Clients (Rights Management Services, RMS). Die Unterstützung für diese Version wurde mit der Veröffentlichung des letzten Service Packs für Version 1 des RMS-Clients eingestellt. Um weiterhin AD RMS-geschützten Inhalt erstellen und darauf zugreifen zu können, muss auf Clients, auf denen Version 1 des RMS-Clients ausgeführt wird, das neueste Service Pack installiert werden, das im
TechCenter zu Windows Rights Management Services unter (https://go.microsoft.com/fwlink/?LinkId=140054) verfügbar ist.
Wichtige Überlegungen zur Installation von AD RMS mit Unterstützung für Identitätsverbund
Nachfolgend finden Sie eine Auflistung von Überlegungen, die vor der Installation von AD RMS mit Unterstützung für Identitätsverbund beachtet werden sollten:
-
Vor der Installation der Unterstützung für Identitätsverbund muss eine Verbundvertrauensstellung konfiguriert werden. Bei der Installation des Rollendiensts für die Unterstützung für Identitätsverbund werden Sie zur Angabe der URL des Verbunddiensts aufgefordert.
-
Für die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) ist eine sichere Kommunikation zwischen AD RMS und dem AD FS-Ressourcenserver erforderlich. Wenn Sie die Verbundunterstützung mit AD RMS verwenden möchten, muss AD RMS mithilfe einer sicheren Clusteradresse installiert werden.
-
Dem AD RMS-Dienstkonto muss das Recht Generieren von Sicherheitsüberwachungen zugewiesen sein. Dieses Recht wird mithilfe der Konsole für die lokale Sicherheitsrichtlinie erteilt.
-
Der Verbundkontopartner muss auf die AD RMS-Extranetcluster-URLs zugreifen können.
Wichtige Überlegungen zur Installation von AD RMS mit Microsoft Federation Gateway-Unterstützung
Nachfolgend finden Sie eine Auflistung von Überlegungen, die vor der Installation von AD RMS mit Microsoft Federation Gateway beachtet werden sollten:
-
Der AD RMS-Cluster muss für die Verwendung einer SSL-verschlüsselten Verbindung konfiguriert sein, die ein Zertifikat verwendet, dem Microsoft Federation Gateway vertraut. Um Ihren Besitz der Domäne, die Sie in den Verbund mit Microsoft Federation Gateway aufnehmen möchten, nachzuweisen, müssen Sie das X.509 SSL-Zertifikat für diese Domäne besitzen. Dieses muss von einer der in Microsoft Federation Gateway konfigurierten vertrauenswürdigen Stammzertifizierungsstellen stammen. Diese Zertifizierungsstellen sind in der folgenden Tabelle ausgeführt.
Das SSL-Zertifikat, das Sie zum Registrieren bei Microsoft Federation Gateway verwenden, muss ein Zertifikat sein, aus dem der Besitzer der Extranet-URL des AD RMS-Clusters hervorgeht. Wenn der AD RMS-Cluster mit einer Intranet-URL konfiguriert ist, die sich von der Extranet-URL unterscheidet, und wenn die Intranet-URL kein Domänenname ist, auf den über das Internet zugegriffen werden kann, müssen Sie das der Extranet-URL zugeordnete SSL-Zertifikat auf diesem AD RMS-Server installieren und das Zertifikat dann während der Registrierung bei Microsoft Federation Gateway auswählen.Anzeigename des Zertifizierungsstellenzertifikats
Ausgestellt für
Beabsichtigte Zwecke
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)Entrust.net Secure Server Certification Authority
Serverauthentifizierung, Clientauthentifizierung, Codesignierung, sicheres Messaging, IP-Sicherheitstunnelabschluss, IP-Sicherheitsbenutzer, IP-Sicherheits-IKE, dazwischenliegend, Zeitstempel, Dateisystemverschlüsselung
Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664)Go Daddy Class 2 Certification Authority
Serverauthentifizierung, Clientauthentifizierung, sicheres Messaging, Codesignierung
Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)Network Solutions Certificate Authority
Serverauthentifizierung, Clientauthentifizierung, sicheres Messaging, Codesignierung, Zeitstempel
VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667)Class 3 Public Primary Certification Authority
Sicheres Messaging, Clientauthentifizierung, Codesignierung, Serverauthentifizierung
VeriSign
Class 3 Public Primary Certification Authority
Sicheres Messaging, Clientauthentifizierung, Codesignierung, Serverauthentifizierung
VeriSign
VeriSign Trust Network
Sicheres Messaging, Clientauthentifizierung, Codesignierung, Serverauthentifizierung
VeriSign
VeriSign Class 3 Public Primary Certification Authority - G5
Serverauthentifizierung, Clientauthentifizierung, sicheres Messaging, Codesignierung
Wenn das SSL-Zertifikat einen alternativen Antragstellernamen (SAN) enthält, muss der letzte Eintrag in der SAN-Liste der vollqualifizierte Domänenname der Domäne sein, die Sie bei Microsoft Federation Gateway registrieren möchten.
-
Die für die Verwendung durch Microsoft Federation Gateway-Support erstellten virtuellen Verzeichnisse verwenden "http://". Daher muss die Firewall so konfiguriert sein, dass "http://"-Daten ausgetauscht werden können. Beachten Sie aber, dass die "http://"-Transaktionen für Microsoft Federation Gateway-Support Sicherheit auf Nachrichtenebene verwenden.
-
Weitere Informationen finden Sie unter Grundlegendes zu Microsoft Federation Gateway.
 Vorsicht |
|---|
|
Vor der Deinstallation von Service Pack 1 für Windows Server® 2008 R2 müssen Sie Microsoft Federation Gateway-Support aus dem AD RMS-Cluster entfernen. Geschieht dies nicht, kann es zu einer inkonsistenten Konfiguration des AD RMS-Clusters kommen. Weitere Informationen finden Sie unter Entfernen von Microsoft Federation Gateway-Unterstützung.
|
Systemanforderungen
In der folgenden Tabelle werden die minimalen Hardwareanforderungen und -empfehlungen zum Ausführen von Windows Server® 2008 R2-Servern mit der AD RMS-Serverrolle beschrieben.
| Anforderung | Empfehlung |
|---|---|
|
Ein Pentium 4-Prozessor mit 3 GHz oder mehr |
Zwei Pentium 4-Prozessoren mit 3 GHz oder mehr |
|
512 MB RAM |
1024 MB RAM |
|
40 GB freier Festplattenspeicher |
80 GB freier Festplattenspeicher |
In der folgenden Tabelle werden die Softwareanforderungen zum Ausführen von Servern mit Windows Server 2008 R2 mit der AD RMS-Serverrolle beschrieben. Bei Anforderungen, die durch Aktivierung von Features im Betriebssystem erfüllt werden können, erfolgt die Konfiguration dieser Features je nach Bedarf beim Installieren der AD RMS-Serverrolle, wenn diese noch nicht konfiguriert sind.
| Software | Anforderung |
|---|---|
|
Betriebssystem |
Windows Server 2008 R2 |
|
Dateisystem |
Es wird das NTFS-Dateisystem empfohlen. |
|
Messaging |
Message Queuing |
|
Webdienste |
Internetinformationsdienste (Internet Information Services, IIS) ASP.NET muss aktiviert werden. |
|
Active Directory oder AD DS |
AD RMS muss in einer Active Directory-Domäne installiert werden, in der Windows Server 2000 mit Service Pack 3 (SP3), Windows Server 2003, Windows Server® 2008 oder Windows Server 2008 R2 auf den Domänencontrollern ausgeführt wird. Alle Benutzer und Gruppen, die mithilfe von AD RMS Lizenzen erwerben und Inhalte veröffentlichen, benötigen eine in Active Directory konfigurierte E-Mail-Adresse. |
|
Datenbankserver |
Für AD RMS sind ein Datenbankserver (z. B. Microsoft SQL Server 2005) und gespeicherte Prozeduren erforderlich, um Vorgänge ausführen zu können. Die AD RMS-Serverrolle unter Windows Server 2008 R2 unterstützt Microsoft SQL Server 2000 nicht. |
Weitere Verweise
-
Prüfliste: Bereitstellen einer Einzelserverinstallation
-
Prüfliste: Bereitstellen von AD RMS in einem Extranet
-
Prüfliste: Bereitstellen von AD RMS in einer Organisation mit Benutzern in mehreren Gesamtstrukturen
-
Prüfliste: Bereitstellen eines reinen AD RMS-Lizenzierungsclusters
-
Prüfliste: Bereitstellen von AD RMS mit AD FS
-
Prüfliste: Bereitstellen von AD RMS mit Microsoft Federation Gateway-Unterstützung