Información de preinstalación de Active Directory Rights Management Services

Antes de instalar Active Directory Rights Management Services (AD RMS) en Windows Server® 2008 R2 por primera vez, es necesario cumplir varios requisitos:

• Instale el servidor de AD RMS como un servidor miembro en el mismo dominio de Servicios de dominio de Active Directory (AD DS) que las cuentas de usuario que van a usar contenido protegido por derechos.
  
  
• Cree una cuenta de usuario de dominio sin permisos adicionales que se pueda usar como cuenta de servicio de AD RMS.
  
  
• Seleccione la cuenta de usuario para instalar AD RMS con las siguientes restricciones:
  
  
  • La cuenta de usuario que realice la instalación de AD RMS debe ser distinta de la cuenta de servicio de AD RMS.
    
    
  • Si durante la instalación registra el punto de conexión de servicio de AD RMS, la cuenta de usuario que realice la instalación de AD RMS deberá ser miembro del grupo Administradores de organización de AD DS o similar.
    
    
  • Si usa un servidor de base de datos externo para las bases de datos de AD RMS, la cuenta de usuario que realice la instalación de AD RMS deberá poseer el derecho correspondiente para crear bases de datos nuevas. Si usa Microsoft SQL Server 2005 o Microsoft SQL Server 2008, la cuenta de usuario deberá pertenecer al rol de base de datos Administradores del sistema o similar.
    
    
  • La cuenta de usuario que realice la instalación de AD RMS debe tener acceso para efectuar consultas al dominio de AD DS.
    
    
• Dedique una dirección URL para el clúster de AD RMS que va a estar disponible durante toda la duración de la instalación de AD RMS. Asegúrese de que esta dirección URL es distinta al nombre del equipo.
  
  

Aparte de los requisitos de preinstalación de AD RMS, se recomienda encarecidamente realizar lo siguiente:

• Instale el servidor de base de datos que se usa para hospedar las bases de datos de AD RMS en otro equipo. Vea el tema Requisitos del sistema para obtener información acerca de los servidores de bases de datos compatibles con Windows Server 2008 R2.
  
  
• Instale el clúster de AD RMS con un certificado de capa de sockets seguros (SSL). Este certificado se obtiene de una entidad de certificación raíz.
  
  
• Cree un registro de alias DNS (CNAME) para la dirección URL del clúster de AD RMS, así como un registro CNAME independiente para el equipo que hospeda la base de datos de configuración de AD RMS. En caso de que se retiren los servidores de AD RMS, se produzcan pérdidas debido a un error de hardware o se altere el nombre del equipo, un registro CNAME se puede actualizar sin que sea necesario volver a publicar todos los archivos protegidos por derechos.
  
  
• Si usa una instancia con nombre para la base de datos de configuración de AD RMS, el servicio de explorador de SQL Server deberá iniciarse en el servidor de la base de datos antes de instalar AD RMS. De lo contrario, la instalación de AD RMS no podrá encontrar la base de datos de configuración y la instalación no se realizará correctamente.
  
  

Si actualiza desde cualquier versión de Rights Management Services (RMS) a AD RMS, lleve a cabo las siguientes tareas:

• Realice una copia de seguridad de las bases de datos de RMS y almacénelas en una ubicación segura.
  
  
• Si el clúster de RMS se configuró para usar la cuenta del sistema local como cuenta de servicio para el clúster, deberá cambiar la cuenta de servicio de la cuenta del sistema local a una cuenta de usuario de dominio antes de actualizar de RMS a AD RMS.
  
  
• Si ha usado la opción de inscripción sin conexión para aprovisionar RMS, asegúrese de que la inscripción se ha completado antes de proceder a la actualización de AD RMS.
  
  
• Si ha usado MSDE para hospedar las bases de datos de RMS, deberá actualizar las bases de datos a Microsoft SQL Server 2005 o posterior antes de actualizar el clúster de RMS a AD RMS. No se puede realizar una actualización desde versiones de RMS usando la base de datos de MSDE.
  
  
• Si ha usado Microsoft SQL Server 2000 para hospedar las bases de datos de RMS, deberá actualizar las bases de datos a Microsoft SQL Server 2005 o posterior antes de actualizar el clúster de RMS a AD RMS.
  
  
• Vacíe la cola de Message Queue Server de RMS a fin de confirmar que todos los mensajes están registrados en la base de datos de registro de RMS.
  
  

A continuación, se incluye una lista de los aspectos que se deben tener en cuenta antes de instalar AD RMS:

• Los certificados autofirmados sólo se deben usar en un entorno de prueba. En el caso de entornos piloto o entornos de producción, es recomendable usar un certificado SSL emitido por una entidad de certificación.
  
  
• Windows Internal Database con AD RMS sólo se debe usar en entornos de prueba. Puesto que Windows Internal Database no admite las conexiones remotas, en este escenario no es posible agregar otro servidor al clúster de AD RMS.
  
  
• En caso de que ya haya un punto de conexión de servicio en el bosque de Active Directory para el cual está instalando AD RMS, asegúrese de que la dirección URL del clúster del punto de conexión de servicio es la misma que la de la instalación. Si no es así, no debe registrar el punto de conexión de servicio durante la instalación de AD RMS.
  
  
• Al instalar AD RMS, localhost no es una dirección URL de clúster compatible.
  
  
• Al especificar la cuenta de servicio de AD RMS durante la instalación, asegúrese de que no hay insertada una tarjeta inteligente en el equipo. De haberla, recibirá un mensaje de error que indica que la cuenta de usuario que realiza la instalación de AD RMS no tiene acceso para efectuar consultas a AD DS.
  
  
• Al unir un nuevo servidor a un clúster de AD RMS existente, debe haber un certificado SSL en el nuevo servidor antes de que comience la instalación de AD RMS.
  
  
• AD RMS no admite la autenticación Kerberos de forma predeterminada. Para obtener información acerca de los pasos que deben seguirse para configurar el servidor de modo que admita la autenticación Kerberos, vea Habilitar la compatibilidad con la autenticación Kerberos.
  
  
• Windows Server 2008 R2 no es compatible con el cliente de Windows Rights Management (RMS) versión 1. La compatibilidad con esta versión del cliente finalizó con el lanzamiento del último Service Pack para el cliente de RMS versión 1. Para poder seguir creando y obteniendo acceso al contenido protegido de AD RMS, los clientes que ejecuten el cliente de RMS versión 1 deberán instalar el último Service Pack disponible en el TechCenter de Windows Rights Management Services en TechNet (https://go.microsoft.com/fwlink/?LinkId=140054).
  
  

A continuación, se incluye una lista de los aspectos que se deben tener en cuenta antes de instalar AD RMS con Compatibilidad con la federación de identidades:

• Debe haber configurada una relación de confianza federada antes de instalar la Compatibilidad con la federación de identidades. Durante la instalación del servicio de función de Compatibilidad con la federación de identidades, se le pedirá que especifique la dirección URL del servicio de federación.
  
  
• Los Servicios de federación de Active Directory (AD FS) requieren una comunicación segura entre AD RMS y el servidor de recursos de AD FS. Para poder usar la compatibilidad de federación con AD RMS, AD RMS debe haberse instalado mediante una dirección de clúster segura.
  
  
• La cuenta de servicio de AD RMS debe tener el permiso Generar auditorías de seguridad. Este permiso se concede mediante la consola de Directiva de seguridad local.
  
  
• Es preciso que las direcciones URL de clúster de extranet de AD RMS puedan estar disponibles para el asociado de cuenta federado.
  
  

A continuación, se incluye una lista de los aspectos que se deben tener en cuenta antes de instalar AD RMS con Microsoft Federation Gateway:

• El clúster de AD RMS debe estar configurado para usar una conexión cifrada con SSL que use un certificado en el que Microsoft Federation Gateway confíe. Para acreditar que es propietario del dominio que desea federar con Microsoft Federation Gateway, debe tener el certificado SSL X.509 para ese dominio. Debe ser de una de las entidades de certificación raíz de confianza configuradas en Microsoft Federation Gateway. En la siguiente tabla se enumeran dichas entidades de certificación.
  
  

  Nombre descriptivo del certificado de la entidad de certificación	Emitido para	Propósitos planteados
  Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)	Entidad de certificación de servidor seguro Entrust.net	Autenticación del servidor, autenticación del cliente, firma de código, mensajería segura, terminación de túnel de seguridad IP, usuario del Protocolo de seguridad de Internet (IPsec), funcionalidad intermedia de Intercambio de claves por red (IKE) y Protocolo de seguridad de Internet (IPsec), marca de tiempo, cifrado de sistema de archivos
  Go Daddy Entidad de certificación de clase 2 (https://go.microsoft.com/fwlink/?LinkId=162664)	Entidad de certificación de clase 2 Go Daddy	Autenticación del servidor, autenticación del cliente, mensajería segura, firma de código
  Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)	Entidad de certificación Network Solutions	Autenticación del servidor, autenticación del cliente, mensajería segura, firma de código, marca de tiempo
  VeriSign Entidad de certificación primaria pública de clase 3 (https://go.microsoft.com/fwlink/?LinkId=162667)	Entidad de certificación primaria pública de clase 3	Mensajería segura, autenticación del cliente, firma de código, autenticación del servidor
  VeriSign	Entidad de certificación primaria pública de clase 3	Mensajería segura, autenticación del cliente, firma de código, autenticación del servidor
  VeriSign	VeriSign Trust Network	Mensajería segura, autenticación del cliente, firma de código, autenticación del servidor
  VeriSign	Entidad de certificación primaria pública de clase 3 VeriSign - G5	Autenticación del servidor, autenticación del cliente, mensajería segura, firma de código

  El certificado SSL usado para el registro con Microsoft Federation Gateway debe ser un certificado que muestre la propiedad de la dirección URL de la extranet del clúster de AD RMS. Si el clúster de AD RMS está configurado con una dirección URL de intranet distinta a la dirección URL de extranet, y si la dirección URL de intranet no es un nombre de dominio al que se pueda obtener acceso por Internet, debe instalar el certificado SSL asociado con la dirección URL de extranet en este servidor de AD RMS y seleccionar a continuación ese certificado durante el registro con Microsoft Federation Gateway.
  
  Si el certificado SSL contiene un nombre de sujeto alternativo (SAN), la última entrada de la lista de SAN debe ser un nombre de dominio completo del dominio que desee registrar con Microsoft Federation Gateway.
  
  
• Los directorios virtuales creados para su uso con Soporte de Microsoft Federation Gateway usan http://. Por esta razón, se debe configurar el firewall para que permita el paso de los datos de http://. No obstante, tenga en cuenta que las transacciones de http:// para Soporte de Microsoft Federation Gateway usan seguridad a nivel de mensaje.
  
  
• Para obtener más información, vea el tema que sirve de Descripción de Microsoft Federation Gateway.
  
  

Precaución
Antes de desinstalar el Service Pack 1 para Windows Server® 2008 R2, debe quitar Soporte de Microsoft Federation Gateway del clúster de AD RMS. De lo contrario, la configuración del clúster de AD RMS podría ser incoherente. Para obtener más información, vea el tema acerca de cómo Quitar Microsoft Federation Gateway Support.

En la siguiente tabla se describen los requisitos y recomendaciones de hardware mínimos para ejecutar los servidores de Windows Server® 2008 R2 con el rol de servidor de AD RMS.

En la siguiente tabla se describen los requisitos de software para ejecutar los servidores de Windows Server 2008 R2 con el rol de servidor de AD RMS. En relación con los requisitos que se pueden cumplir habilitando características del sistema operativo, éstas se configurarán correctamente (si aún no lo están) instalando el rol de servidor de AD RMS.