Előtelepítési információk az Active Directory tartalomvédelmi szolgáltatásokhoz

Néhány követelménynek eleget kell tennie, mielőtt elvégzi az Active Directory tartalomvédelmi szolgáltatások (AD RMS) telepítését a Windows Server® 2008 R2 operációs rendszeren:

• Telepítse az AD RMS kiszolgálóját az Active Directory tartományi szolgáltatások ugyanazon tartományának tagkiszolgálójaként, amelybe a védett tartalmat használó felhasználói fiókok is tartoznak.
  
  
• Hozzon létre egy tartományi felhasználói fiókot további engedélyek nélkül, amelyet az AD RMS szolgáltatásfiókjaként használhat.
  
  
• Válassza ki az AD RMS telepítéséhez használandó felhasználói fiókot az alábbi megkötésekkel:
  
  
  • Az AD RMS telepítéséhez használt felhasználói fiók nem lehet azonos az AD RMS szolgáltatásfiókjával.
    
    
  • Ha a telepítés során regisztrálja az AD RMS kapcsolódási pontját, az AD RMS telepítéséhez használt felhasználói fióknak az Active Directory tartományi szolgáltatások vállalati rendszergazdák csoportjába vagy azzal egyenértékű csoportba kell tartoznia.
    
    
  • Ha külső adatbázis-kiszolgálót használ az AD RMS adatbázisai számára, az AD RMS telepítéséhez használt felhasználói fióknak rendelkeznie kell az új adatbázisok létrehozásának engedélyével. Ha a Microsoft SQL Server 2005 vagy a Microsoft SQL Server 2008 alkalmazást használja, a felhasználói fióknak a Rendszergazdák adatbázis-szerepkörbe vagy azzal egyenértékű szerepkörbe kell tartoznia.
    
    
  • Az AD RMS telepítéséhez használt felhasználói fióknak képesnek kell lennie az Active Directory tartományi szolgáltatások tartományának lekérdezésére.
    
    
• Tartson fenn egy URL-címet az AD RMS fürtje számára, amely hozzáférhető marad az AD RMS telepített példányának teljes élettartama alatt. A fenntartott URL nem egyezhet meg a számítógép nevével.
  
  

Az AD RMS telepítését megelőző követelmények teljesítése mellett az alábbiak elvégzése is kifejezetten ajánlott:

• Telepítse az AD RMS adatbázisait tároló adatbázis-kiszolgálót egy külön számítógépre. A Windows Server 2008 R2 rendszer által támogatott adatbázis-kiszolgálókról a Rendszerkövetelmények című témakörben tájékozódhat.
  
  
• Telepítse az AD RMS fürtjét SSL-tanúsítvány használatával. A tanúsítványt egy megbízható legfelső szintű hitelesítésszolgáltatónak kell kibocsátania.
  
  
• Hozzon létre egy DNS-alias (CNAME) rekordot az AD RMS fürtje URL-címének és egy külön CNAME rekordot az AD RMS konfigurációs adatbázisát tároló számítógépnek. Ha az AD RMS kiszolgálói használaton kívül kerülnek, a hardver hibája miatt üzemképtelenné válnak, vagy a számítógép neve megváltozik, a CNAME rekord frissíthető a védett fájlok ismételt közzétételének kényszere nélkül.
  
  
• Ha az AD RMS konfigurációs adatbázisának nevesített példányát használja, az AD RMS telepítése előtt az adatbázis-kiszolgálón el kell indítania az SQL Server tallózószolgáltatást. Ellenkező esetben az AD RMS telepítése nem találja meg a konfigurációs adatbázist, és a telepítés nem sikerül.
  
  

Ha az AD RMS telepítése a tartalomvédelmi szolgáltatások bármely verziójáról való frissítéssel történik, végezze el az alábbiakat:

• Készítsen biztonsági mentést a tartalomvédelmi szolgáltatások adatbázisairól, és tárolja azt biztonságos helyen.
  
  
• Ha az RMS-fürt konfigurációja a helyi rendszerfiókot használja szolgáltatásfiókként, akkor azt egy tartományi felhasználói fiókra kell módosítania, mielőtt az AD RMS szolgáltatásra frissítene.
  
  
• Ha a tartalomvédelmi szolgáltatások létesítéséhez az offline beiktatást használta, ellenőrizze a beiktatás befejeződését, mielőtt az AD RMS frissítéses telepítését elvégzi.
  
  
• Ha a tartalomvédelmi szolgáltatások adatbázisainak tárolására az MSDE eszközt használja, először frissítsen a Microsoft SQL Server 2005-ös vagy újabb verziójára, mielőtt frissítené a tartalomvédelmi szolgáltatás fürtjét az AD RMS verzióra. Ha a tartalomvédelmi szolgáltatásokat az MSDE adatbázisával használja, a frissítés nem lehetséges.
  
  
• Ha a tartalomvédelmi szolgáltatások adatbázisainak tárolására a Microsoft SQL Server 2000 alkalmazást használta, először frissítsen a Microsoft SQL Server 2005-ös vagy újabb verziójára, mielőtt frissítené a tartalomvédelmi szolgáltatás fürtjét az AD RMS verzióra.
  
  
• Ürítse ki a tartalomvédelmi szolgáltatások Message Queuing-várólistáját, ezzel biztosítva, hogy az üzenetek a tartalomvédelmi szolgáltatások naplózási adatbázisába kerülnek.
  
  

Az AD RMS telepítése előtt vegye figyelembe a következőket:

• Önaláírt tanúsítványokat csak tesztkörnyezetekben tanácsos használni. Próbatelepítések során vagy üzemi környezetben feltétlenül ajánlott egy megbízható hitelesítésszolgáltató által kibocsátott SSL-tanúsítvány használata.
  
  
• A belső Windows-adatbázis és az AD RMS együttes használata csak tesztkörnyezetben ajánlott. A belső Windows-adatbázis nem teszi lehetővé távoli kapcsolatok létrehozását, ezért ebben az esetben nem adhat további kiszolgálót az AD RMS fürtjéhez.
  
  
• Ha már van szolgáltatáskapcsolódási pont az Active Directory-erdőben, melynek részére az AD RMS telepítését végzi, ellenőrizze, hogy a szolgáltatáskapcsolódási pontban megadott fürt-URL cím megegyezik-e az új telepítés fürt-URL címével. Ha nem egyeznek, ne regisztrálja a szolgáltatáskapcsolódási pontot az AD RMS telepítése során.
  
  
• Az AD RMS telepítése során a localhost használata nem támogatott a fürt URL címeként.
  
  
• Az AD RMS telepítése alatt, a szolgáltatásfiók megadásakor ellenőrizze, hogy a számítógépbe nincs-e behelyezve intelligens kártya. Ha a számítógéphez intelligens kártyát csatlakoztatott, hibaüzenet jelenik meg, miszerint az AD RMS telepítéséhez használt fiók nem tudja lekérdezni az Active Directory tartományi szolgáltatásokat.
  
  
• Ha az AD RMS meglévő fürtjébe léptet be egy új kiszolgálót, az AD RMS telepítésének megkezdése előtt az új kiszolgálónak rendelkeznie kell SSL-tanúsítvánnyal.
  
  
• Alapértelmezés szerint az AD RMS szolgáltatás nem támogatja a Kerberos-hitelesítést. A Kerberos típusú hitelesítés támogatásának engedélyezése című témakörben olvashat arról, hogy miként konfigurálhatja a kiszolgálót a Kerberos-hitelesítés támogatásához.
  
  
• A Windows Server 2008 R2 rendszer nem támogatja a Microsoft Windows tartalomvédelmi szolgáltatások (RMS) ügyfél 1-es verzióját. Ennek a verziónak a támogatása az 1-es verziójú tartalomvédelmi ügyfél legújabb szervizcsomagjának kiadásával megszűnt. Ahhoz, hogy továbbra is létrehozhasson AD RMS-védett tartalmat, illetve elérhesse azt, telepítenie kell a legfrissebb szervizcsomagot az 1-es verziójú tartalomvédelmi ügyfelekhez a Windows tartalomvédelmi szolgáltatások TechCenter webhelyéről (https://go.microsoft.com/fwlink/?LinkId=140054 – előfordulhat, hogy a lap angol nyelven jelenik meg).
  
  

Az identitás-összevonást támogató AD RMS telepítése előtt fontolja meg a következőket:

• Az identitás-összevonás támogatásának telepítése előtt konfiguráljon egy összevont megbízhatósági kapcsolatot. Az Identitás-összevonás támogatása szerepkör-szolgáltatás telepítése során a telepítő kéri az összevonási szolgáltatás URL-címének megadását.
  
  
• Az Active Directory összevonási szolgáltatásokhoz biztonságos kommunikáció szükséges az AD RMS és az Active Directory összevonási szolgáltatások erőforrás-kiszolgálója között. Ha az AD RMS és az összevonás támogatásának együttes használatát szeretné, az AD RMS telepítésének biztonságos fürtcímre kell történnie.
  
  
• Az AD RMS szolgáltatásfiókjának rendelkeznie kell a Biztonsági naplózás létrehozása jogosultsággal. A jogosultság a Helyi biztonsági házirend konzollal adható meg.
  
  
• Az AD RMS fürtjéhez tartozó extranetes URL-címnek elérhetőnek kell lennie az összevont fiókpartner számára.
  
  

Az AD RMS és a Microsoft Federation Gateway telepítése előtt vegye figyelembe a következőket:

• Az AD RMS fürtjét olyan SSL-titkosítású kapcsolat használatára kell konfigurálni, amelyben a Microsoft Federation Gateway szolgáltatás megbízik. A Microsoft Federation Gateway szolgáltatással összevonni kívánt tartomány tulajdonjogának bizonyításához rendelkeznie kell az adott tartománynak a Microsoft Federation Gateway szolgáltatásban konfigurált megbízható legfelső szintű hitelesítésszolgáltatók egyikétől származó X.509 szabványú tanúsítványával. Ezeket a hitelesítésszolgáltatókat az alábbi táblázat tartalmazza.
  
  

  Hitelesítésszolgáltatói tanúsítvány rövid neve	Tulajdonos	Kívánt célok
  Entrust (https://go.microsoft.com/fwlink/?LinkId=162663 – előfordulhat, hogy a lap angol nyelven jelenik meg)	Entrust.net Secure Server Certification Authority	Kiszolgáló-hitelesítés, ügyfélhitelesítés, kód aláírása, biztonságos üzenetkezelés, IP-alagútvég, felhasználói IP-biztonsági szolgáltatás (IPsec), IP-biztonsági szolgáltatás (IPsec), közbenső internetes kulcscsere (IKE), időbélyegzők használata, fájlrendszer-titkosítás
  Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664 – előfordulhat, hogy a lap angol nyelven jelenik meg)	Go Daddy Class 2 Certification Authority	Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása
  Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665 – előfordulhat, hogy a lap angol nyelven jelenik meg)	Network Solutions Certificate Authority	Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása, időbélyegzés
  VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667 – előfordulhat, hogy a lap angol nyelven jelenik meg)	Class 3 Public Primary Certification Authority	Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
  VeriSign	Class 3 Public Primary Certification Authority	Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
  VeriSign	VeriSign Trust Network	Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
  VeriSign	VeriSign Class 3 Public Primary Certification Authority - G5	Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása

  A Microsoft Federation Gateway szolgáltatásban való bejegyzéshez használt SSL-tanúsítványnak mutatnia kell az AD RMS fürtjéhez tartozó extranetes URL-cím tulajdonjogát. Amennyiben az AD RMS fürtjéhez olyan intranetes URL-cím van beállítva, amely eltér az extranetes URL-címtől, és ha az intranetes URL-cím nem az internetről is elérhető tartománynév, akkor telepítenie kell az extranetes URL-címhez kapcsolódó SSL-tanúsítványt az AD RMS ezen kiszolgálóján, majd ezt a tanúsítványt kell kijelölnie a Microsoft Federation Gateway szolgáltatásban való bejegyzéskor.
  
  Ha az SSL-tanúsítvány tartalmaz alternatív tulajdonosnevet (SAN), a SAN lista utolsó bejegyzése annak a tartománynak a teljesen minősített tartományneve kell, hogy legyen, amelyet be szeretne jegyeztetni a Microsoft Federation Gateway szolgáltatásban.
  
  
• A Microsoft Federation Gateway-támogatás szolgáltatással való használatra létrehozott virtuális könyvtárak a http:// előtagot használják, ezért a tűzfalat úgy kell konfigurálni, hogy átengedje a http:// típusú adatforgalmat. Ugyanakkor a Microsoft Federation Gateway-támogatás szolgáltatás üzenetszintű biztonságot használ a http:// típusú tranzakciók esetén.
  
  
• További információ A Microsoft Federation Gateway ismertetése című témakörben található.
  
  

	Figyelem!
	A Windows Server® 2008 R2 Service Pack 1 szervizcsomagjának eltávolítása előtt el kell távolítania a Microsoft Federation Gateway-támogatás szolgáltatást az AD RMS fürtjéből. Ennek elmulasztása az AD RMS fürtjének inkonzisztens konfigurációjához vezethet. További információt A Microsoft Federation Gateway-támogatás eltávolítása című témakörben talál.

Az alábbi táblázat azokat a minimális hardverkövetelményeket, illetve hardverrel kapcsolatos ajánlásokat ismerteti, amelyeket a Windows Server® 2008 R2 operációs rendszerre épülő kiszolgálók AD RMS kiszolgálói szerepkörrel való futtatásához kell vagy javasolt kielégíteni.

Az alábbi táblázat azokat a szoftverkövetelményeket ismerteti, amelyeket a Windows Server 2008 R2 operációs rendszerű kiszolgálóknak a AD RMS kiszolgálói szerepkörrel való futtatásához kell kielégíteni. Egyes követelmények kielégítéséhez szolgáltatásokat kell engedélyezni az operációs rendszerben. Az AD RMS kiszolgálói szerepkör telepítése megfelelő módon konfigurálja ezeket a szolgáltatásokat, amennyiben azok nem voltak eleve konfigurálva.