Az Active Directory tartalomvédelmi szolgáltatások telepítése előtti teendők
Néhány követelménynek eleget kell tennie, mielőtt elvégzi az Active Directory tartalomvédelmi szolgáltatások (AD RMS) telepítését a Windows Server® 2008 R2 operációs rendszeren:
-
Telepítse az AD RMS kiszolgálóját az Active Directory tartományi szolgáltatások ugyanazon tartományának tagkiszolgálójaként, amelybe a védett tartalmat használó felhasználói fiókok is tartoznak.
-
Hozzon létre egy tartományi felhasználói fiókot további engedélyek nélkül, amelyet az AD RMS szolgáltatásfiókjaként használhat.
-
Válassza ki az AD RMS telepítéséhez használandó felhasználói fiókot az alábbi megkötésekkel:
-
Az AD RMS telepítéséhez használt felhasználói fiók nem lehet azonos az AD RMS szolgáltatásfiókjával.
-
Ha a telepítés során regisztrálja az AD RMS kapcsolódási pontját, az AD RMS telepítéséhez használt felhasználói fióknak az Active Directory tartományi szolgáltatások vállalati rendszergazdák csoportjába vagy azzal egyenértékű csoportba kell tartoznia.
-
Ha külső adatbázis-kiszolgálót használ az AD RMS adatbázisai számára, az AD RMS telepítéséhez használt felhasználói fióknak rendelkeznie kell az új adatbázisok létrehozásának engedélyével. Ha a Microsoft SQL Server 2005 vagy a Microsoft SQL Server 2008 alkalmazást használja, a felhasználói fióknak a Rendszergazdák adatbázis-szerepkörbe vagy azzal egyenértékű szerepkörbe kell tartoznia.
-
Az AD RMS telepítéséhez használt felhasználói fióknak képesnek kell lennie az Active Directory tartományi szolgáltatások tartományának lekérdezésére.
-
Az AD RMS telepítéséhez használt felhasználói fiók nem lehet azonos az AD RMS szolgáltatásfiókjával.
-
Tartson fenn egy URL-címet az AD RMS fürtje számára, amely hozzáférhető marad az AD RMS telepített példányának teljes élettartama alatt. A fenntartott URL nem egyezhet meg a számítógép nevével.
Az AD RMS telepítését megelőző követelmények teljesítése mellett az alábbiak elvégzése is kifejezetten ajánlott:
-
Telepítse az AD RMS adatbázisait tároló adatbázis-kiszolgálót egy külön számítógépre. A Windows Server 2008 R2 rendszer által támogatott adatbázis-kiszolgálókról a Rendszerkövetelmények című témakörben tájékozódhat.
-
Telepítse az AD RMS fürtjét SSL-tanúsítvány használatával. A tanúsítványt egy megbízható legfelső szintű hitelesítésszolgáltatónak kell kibocsátania.
-
Hozzon létre egy DNS-alias (CNAME) rekordot az AD RMS fürtje URL-címének és egy külön CNAME rekordot az AD RMS konfigurációs adatbázisát tároló számítógépnek. Ha az AD RMS kiszolgálói használaton kívül kerülnek, a hardver hibája miatt üzemképtelenné válnak, vagy a számítógép neve megváltozik, a CNAME rekord frissíthető a védett fájlok ismételt közzétételének kényszere nélkül.
-
Ha az AD RMS konfigurációs adatbázisának nevesített példányát használja, az AD RMS telepítése előtt az adatbázis-kiszolgálón el kell indítania az SQL Server tallózószolgáltatást. Ellenkező esetben az AD RMS telepítése nem találja meg a konfigurációs adatbázist, és a telepítés nem sikerül.
A tartalomvédelmi szolgáltatásoknak az Active Directory tartalomvédelmi szolgáltatásokra való frissítése előtti teendők
Ha az AD RMS telepítése a tartalomvédelmi szolgáltatások bármely verziójáról való frissítéssel történik, végezze el az alábbiakat:
-
Készítsen biztonsági mentést a tartalomvédelmi szolgáltatások adatbázisairól, és tárolja azt biztonságos helyen.
-
Ha az RMS-fürt konfigurációja a helyi rendszerfiókot használja szolgáltatásfiókként, akkor azt egy tartományi felhasználói fiókra kell módosítania, mielőtt az AD RMS szolgáltatásra frissítene.
-
Ha a tartalomvédelmi szolgáltatások létesítéséhez az offline beiktatást használta, ellenőrizze a beiktatás befejeződését, mielőtt az AD RMS frissítéses telepítését elvégzi.
-
Ha a tartalomvédelmi szolgáltatások adatbázisainak tárolására az MSDE eszközt használja, először frissítsen a Microsoft SQL Server 2005-ös vagy újabb verziójára, mielőtt frissítené a tartalomvédelmi szolgáltatás fürtjét az AD RMS verzióra. Ha a tartalomvédelmi szolgáltatásokat az MSDE adatbázisával használja, a frissítés nem lehetséges.
-
Ha a tartalomvédelmi szolgáltatások adatbázisainak tárolására a Microsoft SQL Server 2000 alkalmazást használta, először frissítsen a Microsoft SQL Server 2005-ös vagy újabb verziójára, mielőtt frissítené a tartalomvédelmi szolgáltatás fürtjét az AD RMS verzióra.
-
Ürítse ki a tartalomvédelmi szolgáltatások Message Queuing-várólistáját, ezzel biztosítva, hogy az üzenetek a tartalomvédelmi szolgáltatások naplózási adatbázisába kerülnek.
Fontos szempontok az Active Directory tartalomvédelmi szolgáltatások telepítése esetén
Az AD RMS telepítése előtt vegye figyelembe a következőket:
-
Önaláírt tanúsítványokat csak tesztkörnyezetekben tanácsos használni. Próbatelepítések során vagy üzemi környezetben feltétlenül ajánlott egy megbízható hitelesítésszolgáltató által kibocsátott SSL-tanúsítvány használata.
-
A belső Windows-adatbázis és az AD RMS együttes használata csak tesztkörnyezetben ajánlott. A belső Windows-adatbázis nem teszi lehetővé távoli kapcsolatok létrehozását, ezért ebben az esetben nem adhat további kiszolgálót az AD RMS fürtjéhez.
-
Ha már van szolgáltatáskapcsolódási pont az Active Directory-erdőben, melynek részére az AD RMS telepítését végzi, ellenőrizze, hogy a szolgáltatáskapcsolódási pontban megadott fürt-URL cím megegyezik-e az új telepítés fürt-URL címével. Ha nem egyeznek, ne regisztrálja a szolgáltatáskapcsolódási pontot az AD RMS telepítése során.
-
Az AD RMS telepítése során a localhost használata nem támogatott a fürt URL címeként.
-
Az AD RMS telepítése alatt, a szolgáltatásfiók megadásakor ellenőrizze, hogy a számítógépbe nincs-e behelyezve intelligens kártya. Ha a számítógéphez intelligens kártyát csatlakoztatott, hibaüzenet jelenik meg, miszerint az AD RMS telepítéséhez használt fiók nem tudja lekérdezni az Active Directory tartományi szolgáltatásokat.
-
Ha az AD RMS meglévő fürtjébe léptet be egy új kiszolgálót, az AD RMS telepítésének megkezdése előtt az új kiszolgálónak rendelkeznie kell SSL-tanúsítvánnyal.
-
Alapértelmezés szerint az AD RMS szolgáltatás nem támogatja a Kerberos-hitelesítést. A Kerberos típusú hitelesítés támogatásának engedélyezése című témakörben olvashat arról, hogy miként konfigurálhatja a kiszolgálót a Kerberos-hitelesítés támogatásához.
-
A Windows Server 2008 R2 rendszer nem támogatja a Microsoft Windows tartalomvédelmi szolgáltatások (RMS) ügyfél 1-es verzióját. Ennek a verziónak a támogatása az 1-es verziójú tartalomvédelmi ügyfél legújabb szervizcsomagjának kiadásával megszűnt. Ahhoz, hogy továbbra is létrehozhasson AD RMS-védett tartalmat, illetve elérhesse azt, telepítenie kell a legfrissebb szervizcsomagot az 1-es verziójú tartalomvédelmi ügyfelekhez
a Windows tartalomvédelmi szolgáltatások TechCenter webhelyéről (https://go.microsoft.com/fwlink/?LinkId=140054 – előfordulhat, hogy a lap angol nyelven jelenik meg).
Fontos szempontok az identitás-összevonást támogató Active Directory tartalomvédelmi szolgáltatások telepítése esetén
Az identitás-összevonást támogató AD RMS telepítése előtt fontolja meg a következőket:
-
Az identitás-összevonás támogatásának telepítése előtt konfiguráljon egy összevont megbízhatósági kapcsolatot. Az Identitás-összevonás támogatása szerepkör-szolgáltatás telepítése során a telepítő kéri az összevonási szolgáltatás URL-címének megadását.
-
Az Active Directory összevonási szolgáltatásokhoz biztonságos kommunikáció szükséges az AD RMS és az Active Directory összevonási szolgáltatások erőforrás-kiszolgálója között. Ha az AD RMS és az összevonás támogatásának együttes használatát szeretné, az AD RMS telepítésének biztonságos fürtcímre kell történnie.
-
Az AD RMS szolgáltatásfiókjának rendelkeznie kell a Biztonsági naplózás létrehozása jogosultsággal. A jogosultság a Helyi biztonsági házirend konzollal adható meg.
-
Az AD RMS fürtjéhez tartozó extranetes URL-címnek elérhetőnek kell lennie az összevont fiókpartner számára.
Fontos szempontok a Microsoft Federation Gateway szolgáltatást támogató Active Directory tartalomvédelmi szolgáltatások telepítése esetén
Az AD RMS és a Microsoft Federation Gateway telepítése előtt vegye figyelembe a következőket:
-
Az AD RMS fürtjét olyan SSL-titkosítású kapcsolat használatára kell konfigurálni, amelyben a Microsoft Federation Gateway szolgáltatás megbízik. A Microsoft Federation Gateway szolgáltatással összevonni kívánt tartomány tulajdonjogának bizonyításához rendelkeznie kell az adott tartománynak a Microsoft Federation Gateway szolgáltatásban konfigurált megbízható legfelső szintű hitelesítésszolgáltatók egyikétől származó X.509 szabványú tanúsítványával. Ezeket a hitelesítésszolgáltatókat az alábbi táblázat tartalmazza.
A Microsoft Federation Gateway szolgáltatásban való bejegyzéshez használt SSL-tanúsítványnak mutatnia kell az AD RMS fürtjéhez tartozó extranetes URL-cím tulajdonjogát. Amennyiben az AD RMS fürtjéhez olyan intranetes URL-cím van beállítva, amely eltér az extranetes URL-címtől, és ha az intranetes URL-cím nem az internetről is elérhető tartománynév, akkor telepítenie kell az extranetes URL-címhez kapcsolódó SSL-tanúsítványt az AD RMS ezen kiszolgálóján, majd ezt a tanúsítványt kell kijelölnie a Microsoft Federation Gateway szolgáltatásban való bejegyzéskor.Hitelesítésszolgáltatói tanúsítvány rövid neve
Tulajdonos
Kívánt célok
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663 – előfordulhat, hogy a lap angol nyelven jelenik meg)Entrust.net Secure Server Certification Authority
Kiszolgáló-hitelesítés, ügyfélhitelesítés, kód aláírása, biztonságos üzenetkezelés, IP-alagútvég, felhasználói IP-biztonsági szolgáltatás (IPsec), IP-biztonsági szolgáltatás (IPsec), közbenső internetes kulcscsere (IKE), időbélyegzők használata, fájlrendszer-titkosítás
Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664 – előfordulhat, hogy a lap angol nyelven jelenik meg)Go Daddy Class 2 Certification Authority
Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása
Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665 – előfordulhat, hogy a lap angol nyelven jelenik meg)Network Solutions Certificate Authority
Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása, időbélyegzés
VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667 – előfordulhat, hogy a lap angol nyelven jelenik meg)Class 3 Public Primary Certification Authority
Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
VeriSign
Class 3 Public Primary Certification Authority
Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
VeriSign
VeriSign Trust Network
Biztonságos üzenetkezelés, ügyfél hitelesítése, kód aláírása, kiszolgáló hitelesítése
VeriSign
VeriSign Class 3 Public Primary Certification Authority - G5
Kiszolgáló hitelesítése, ügyfél hitelesítése, biztonságos üzenetkezelés, kód aláírása
Ha az SSL-tanúsítvány tartalmaz alternatív tulajdonosnevet (SAN), a SAN lista utolsó bejegyzése annak a tartománynak a teljesen minősített tartományneve kell, hogy legyen, amelyet be szeretne jegyeztetni a Microsoft Federation Gateway szolgáltatásban.
-
A Microsoft Federation Gateway-támogatás szolgáltatással való használatra létrehozott virtuális könyvtárak a http:// előtagot használják, ezért a tűzfalat úgy kell konfigurálni, hogy átengedje a http:// típusú adatforgalmat. Ugyanakkor a Microsoft Federation Gateway-támogatás szolgáltatás üzenetszintű biztonságot használ a http:// típusú tranzakciók esetén.
-
További információ A Microsoft Federation Gateway ismertetése című témakörben található.
Figyelem! | |
A Windows Server® 2008 R2 Service Pack 1 szervizcsomagjának eltávolítása előtt el kell távolítania a Microsoft Federation Gateway-támogatás szolgáltatást az AD RMS fürtjéből. Ennek elmulasztása az AD RMS fürtjének inkonzisztens konfigurációjához vezethet. További információt A Microsoft Federation Gateway-támogatás eltávolítása című témakörben talál. |
Rendszerkövetelmények
Az alábbi táblázat azokat a minimális hardverkövetelményeket, illetve hardverrel kapcsolatos ajánlásokat ismerteti, amelyeket a Windows Server® 2008 R2 operációs rendszerre épülő kiszolgálók AD RMS kiszolgálói szerepkörrel való futtatásához kell vagy javasolt kielégíteni.
Követelmény | Ajánlás |
---|---|
Egy Pentium 4 3 GHz-es vagy nagyobb teljesítményű processzor |
Két Pentium 4 3 GHz-es vagy nagyobb teljesítményű processzor |
512 MB RAM |
1024 MB RAM |
40 GB szabad terület a merevlemezen |
80 GB szabad terület a merevlemezen |
Az alábbi táblázat azokat a szoftverkövetelményeket ismerteti, amelyeket a Windows Server 2008 R2 operációs rendszerű kiszolgálóknak a AD RMS kiszolgálói szerepkörrel való futtatásához kell kielégíteni. Egyes követelmények kielégítéséhez szolgáltatásokat kell engedélyezni az operációs rendszerben. Az AD RMS kiszolgálói szerepkör telepítése megfelelő módon konfigurálja ezeket a szolgáltatásokat, amennyiben azok nem voltak eleve konfigurálva.
Szoftver | Követelmény |
---|---|
Operációs rendszer |
Windows Server 2008 R2 |
Fájlrendszer |
Az NTFS fájlrendszer ajánlott. |
Üzenetküldés |
Üzenetsor-kezelés |
Webszolgáltatások |
Internet Information Services (IIS) Engedélyezni kell az ASP.NET használatát. |
Active Directory vagy Active Directory tartományi szolgáltatások |
Az AD RMS szolgáltatást egy olyan Active Directory tartományban kell telepíteni, amelyben a tartományvezérlők a következő rendszerek valamelyikét futtatják: Windows Server 2000 a Service Pack 3 szervizcsomaggal, Windows Server 2003 Windows Server® 2008 vagy Windows Server 2008 R2. Minden olyan felhasználónak és csoportnak, amelyek az AD RMS rendszert használják licencek megszerzéséhez és tartalmak közzétételéhez, rendelkeznie kell az Active Directoryban konfigurált e-mail címmel. |
Adatbázis-kiszolgáló |
Az AD RMS adatbázis-kiszolgálót – például Microsoft SQL Server 2005 – igényel, valamint tárolt eljárásokat a műveletek végrehajtásához. Az AD RMS kiszolgálói szerepkör Windows Server 2008 R2 rendszerben nem támogatja a Microsoft SQL Server 2000 alkalmazást. |
További források
-
Feladatlista: Egykiszolgálós telepítés végrehajtása
-
Feladatlista: Az Active Directory tartalomvédelmi szolgáltatások telepítése extraneten
-
Feladatlista: Az Active Directory tartalomvédelmi szolgáltatások telepítése különböző erdőkben található felhasználókat alkalmazó vállalatoknál
-
Feladatlista: Csak licencelési Active Directory tartalomvédelmi fürt telepítése
-
Feladatlista: Az Active Directory tartalomvédelmi szolgáltatások telepítése az Active Directory összevonási szolgáltatásokkal
-
Feladatlista: A Microsoft Federation Gateway szolgáltatást támogató Active Directory tartalomvédelmi szolgáltatások telepítése