AD RMS をインストールする前に

Active Directory Rights Management サービス (AD RMS) を Windows Server® 2008 R2 に初めてインストールするときは、次の要件を満たしておく必要があります。

  • 権利が保護されたコンテンツを使用するユーザー アカウントと同じ Active Directory ドメイン サービス (AD DS) ドメインに、AD RMS サーバーをメンバー サーバーとしてインストールします。

  • AD RMS サービス アカウントとして使用可能な追加のアクセス許可を持たないドメイン ユーザー アカウントを作成します。

  • このユーザー アカウントを AD RMS のインストール用に選択します。ただし、次の制限事項があります。

    • AD RMS のインストールに使用されるユーザー アカウントは、AD RMS サービス アカウントとは別のアカウントであることが必要です。

    • インストール中に AD RMS サービス接続ポイント (SCP) を登録する場合、AD RMS のインストールに使用されるユーザー アカウントは、AD DS Enterprise Admins グループまたはそれと同等のグループのメンバーである必要があります。

    • AD RMS データベースとして外部データベース サーバーを使用する場合、AD RMS のインストールに使用されるユーザー アカウントは、新しいデータベースを作成する権限を持っている必要があります。Microsoft SQL Server 2005 または Microsoft SQL Server 2008 を使用する場合、ユーザー アカウントは "システム管理者" データベース ロールまたはそれと同等の役割のメンバーである必要があります。

    • AD RMS のインストールに使用されるユーザー アカウントは、AD DS ドメインを照会するためのアクセス許可を持っている必要があります。

  • インストールする AD RMS の有効期間全体にわたって利用可能な URL を AD RMS クラスター用に予約します。予約済みの URL は、コンピューター名とは異なるものを使用してください。

AD RMS のプレインストール要件を満たしたうえで、次に示す事項に従うことを強くお勧めします。

  • AD RMS データベースをホストするために使用するデータベース サーバーは、別のコンピューターにインストールしてください。Windows Server 2008 R2 でサポートされているデータベース サーバーの詳細については、「システム要件」を参照してください。

  • SSL (Secure Sockets Layer) 証明書を使用して、AD RMS クラスターをインストールしてください。この証明書は信頼されたルート証明機関から発行されたものである必要があります。

  • AD RMS クラスターの URL 用と、AD RMS 構成データベースをホストするコンピューター用に、個別の DNS エイリアス (CNAME) レコードを作成してください。AD RMS サーバーが再試行されたりハードウェア障害のために失われたりした場合、またはコンピューターの名前が変更された場合には、権利が保護されたすべてのファイルを再発行しなくても CNAME レコードを更新できます。

  • AD RMS 構成データベースの名前付きインスタンスを使用している場合は、AD RMS をインストールする前にデータベース サーバーで SQL Server ブラウザー サービスを開始する必要があります。そうしないと、インストールする AD RMS が構成データベースを検出できないため、インストールが失敗します。

RMS から AD RMS にアップグレードする前に

いずれかのバージョンの Rights Management サービス (RMS) から AD RMS にアップグレードする場合は、以下を実行してください。

  • RMS データベースをバックアップし、安全な場所に格納します。

  • Local System アカウントを RMS クラスターのサービス アカウントとして使用するようにクラスターを構成していた場合は、RMS を AD RMS にアップグレードする前に、サービス アカウントを Local System からドメイン ユーザー アカウントに変更する必要があります。

  • オフライン登録オプションを使用して RMS をプロビジョニングしていた場合は、AD RMS にアップグレードする前に登録を完了します。

  • MSDE を使用して RMS データベースをホストしていた場合は、RMS クラスターを AD RMS にアップグレードする前に、データベースを Microsoft SQL Server 2005 以降のバージョンにアップグレードする必要があります。いずれかのバージョンの RMS を MSDE データベースを使用してアップグレードすることはできません。

  • Microsoft SQL Server 2000 を使用して RMS データベースをホストしていた場合は、RMS クラスターを AD RMS にアップグレードする前に、データベースを Microsoft SQL Server 2005 以降のバージョンにアップグレードする必要があります。

  • RMS メッセージ キューのキューをフラッシュして、すべてのメッセージを RMS ログ データベースに書き込みます。

AD RMS のインストールに関する重要な考慮事項

AD RMS をインストールする前に考慮しておく必要がある事柄を次に示します。

  • 自己署名証明書はテスト環境でのみ使用してください。パイロット環境および運用環境では、信頼された証明機関が発行した SSL 証明書を使用することをお勧めします。

  • Windows Internal Database を AD RMS で使用する場合は、テスト環境のみで使用できます。Windows Internal Database はリモート接続をサポートしていないため、このシナリオでは、別のサーバーを AD RMS クラスターに追加することはできません。

  • AD RMS をインストールする Active Directory フォレストに SCP が既に存在する場合は、SCP のクラスターの URL が、新しいインストール環境のクラスターの URL と同じであることを確認してください。クラスターの URL が同じでない場合は、AD RMS のインストール中に SCP を登録しないでください。

  • AD RMS をインストールするときは、localhost がクラスターの URL としてサポートされません。

  • インストール中に AD RMS サービス アカウントを指定するときは、スマート カードがコンピューターに挿入されていないことを確認してください。スマート カードがコンピューターに装着されていると、"AD RMS のインストールに使用されているユーザー アカウントに AD DS を照会するためのアクセス許可が付与されていない" という内容のエラー メッセージが表示されます。

  • 既存の AD RMS クラスターに新しいサーバーを参加させるときは、AD RMS のインストールを開始する前に、SSL 証明書を新しいサーバーにインストールしてください。

  • 既定では、AD RMS は Kerberos 認証をサポートしていません。Kerberos 認証をサポートするようサーバーを構成するために必要な作業の手順については、「Kerberos 認証のサポートを有効にする」を参照してください。

  • Windows Server 2008 R2 は Windows Rights Management サービス (RMS) クライアント Version 1 をサポートしていません。このバージョンのサポートは、RMS クライアント Version 1 用の最新の Service Pack のリリースに伴い終了いたしました。AD RMS で保護されたコンテンツの作成およびアクセスが引き続き可能になるようにするには、TechNet の Windows Rights Management Services に関するページ (https://go.microsoft.com/fwlink/?LinkId=140054) で提供されている最新の Service Pack を、RMS クライアント Version 1 を実行しているクライアントにインストールする必要があります。

AD RMS と ID フェデレーション サポートをインストールする場合の重要な考慮事項

AD RMS と ID フェデレーション サポートをインストールする場合にあらかじめ考慮しておく必要がある事柄を次に示します。

  • ID フェデレーション サポートをインストールする前に、フェデレーションの信頼関係を構成する必要があります。ID フェデレーション サポート役割サービスのインストール中に、フェデレーション サービスの URL を指定するよう求められます。

  • Active Directory フェデレーション サービス (AD FS) では、AD RMS と AD FS リソース サーバーとの間にセキュリティで保護された通信が必要です。AD RMS でフェデレーション サポートを使用するには、安全なクラスター アドレスを使用して AD RMS をインストールする必要があります。

  • AD RMS サービス アカウントは、"セキュリティ監査の生成" 権利を保持している必要があります。この権利は、ローカル セキュリティ ポリシー コンソールを使用して付与されます。

  • フェデレーション アカウント パートナーは、エクストラネットの AD RMS クラスターの URL を使用できる必要があります。

AD RMS と Microsoft Federation Gateway のサポートをインストールする場合の重要な考慮事項

AD RMS と Microsoft Federation Gateway をインストールする場合にあらかじめ考慮しておく必要がある事柄を次に示します。

  • AD RMS クラスターは、Microsoft Federation Gateway が信頼する証明書を使用する、SSL で暗号化された接続を使用するように構成する必要があります。Microsoft Federation Gateway とフェデレーションするドメインの所有権を証明するには、そのドメインの X.509 SSL 証明書を所有している必要があります。証明書は、Microsoft Federation Gateway 内で構成されている信頼されたルート証明機関 (CA) の 1 つから発行されたものでなければなりません。次の表にこれらの CA を示します。

    CA の証明書のフレンドリ名

    発行先

    目的

    Entrust (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=162663)

    Entrust.net Secure Server Certification Authority

    サーバー認証、クライアント認証、コード署名、セキュリティで保護されたメッセージング、IP セキュリティ トンネル終端、インターネット プロトコル セキュリティ (IPsec) ユーザー、インターネット プロトコル セキュリティ (IPsec) インターネット キー交換 (IKE) 中間、タイムスタンプ、ファイル システム暗号化

    Go Daddy Class 2 Certification Authority (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=162664)

    Go Daddy Class 2 Certification Authority

    サーバー認証、クライアント認証、セキュリティで保護されたメッセージング、コード署名

    Network Solutions (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=162665)

    Network Solutions Certificate Authority

    サーバー認証、クライアント認証、セキュリティで保護されたメッセージング、コード署名、タイムスタンプ

    VeriSign Class 3 Public Primary CA (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=162667)

    Class 3 Public Primary Certification Authority

    セキュリティで保護されたメッセージング、クライアント認証、コード署名、サーバー認証

    VeriSign

    Class 3 Public Primary Certification Authority

    セキュリティで保護されたメッセージング、クライアント認証、コード署名、サーバー認証

    VeriSign

    VeriSign Trust Network

    セキュリティで保護されたメッセージング、クライアント認証、コード署名、サーバー認証

    VeriSign

    VeriSign Class 3 Public Primary Certification Authority - G5

    サーバー認証、クライアント認証、セキュリティで保護されたメッセージング、コード署名

    Microsoft Federation Gateway への登録で使用する SSL 証明書は、AD RMS クラスターのエクストラネット URL の所有権を示す証明書である必要があります。AD RMS クラスターにエクストラネット URL とは異なるイントラネット URL が構成され、そのイントラネット URL がインターネットからアクセス可能なドメイン名でない場合は、この AD RMS サーバーに、エクストラネット URL に関連付けられている SSL 証明書をインストールし、Microsoft Federation Gateway への登録時にその証明書を選択する必要があります。

    SSL 証明書にサブジェクト代替名 (SAN) が含まれている場合、SAN 一覧の最後のエントリは、Microsoft Federation Gateway への登録対象のドメインの完全修飾ドメイン名でなければなりません。

  • Microsoft Federation Gateway Supportで使用するために作成される仮想ディレクトリでは、http:// が使用されます。そのため、http:// データのパススルーが可能なようにファイアウォールを構成する必要があります。ただし、Microsoft Federation Gateway Supportの http:// トランザクションではメッセージレベルのセキュリティが使用されることに注意してください。

  • 詳細については、「Microsoft Federation Gateway とは」を参照してください。

注意
Windows Server® 2008 R2 Service Pack 1 をアンインストールする前に、AD RMS クラスターから Microsoft Federation Gateway Supportを削除する必要があります。そうしないと、AD RMS クラスターの構成に不整合が生じる可能性があります。詳細については、「Microsoft Federation Gateway のサポートを削除する」を参照してください。

システム要件

次の表に、Windows Server® 2008 R2 サーバーで AD RMS サーバーの役割を実行する場合のハードウェアの最小要件と推奨構成を示します。

要件 推奨構成

Pentium 4 3 GHz 以上のプロセッサ×1

Pentium 4 3 GHz 以上のプロセッサ×2

512 MB の RAM

1024 MB の RAM

40 GB のハード ディスク空き領域

80 GB のハード ディスク空き領域

次の表に、Windows Server 2008 R2 サーバーで AD RMS サーバーの役割を実行する場合のソフトウェアの要件を示します。オペレーティング システム上で機能を有効にすることで満たされる要件については、それらの機能がまだ構成されていない場合、AD RMS サーバーの役割をインストールすると適宜構成されます。

ソフトウェア 要件

オペレーティング システム

Windows Server 2008 R2

ファイル システム

NTFS ファイル システムを推奨

メッセージング

メッセージ キュー

Web サービス

インターネット インフォメーション サービス (IIS)

ASP.NET を有効にする必要があります。

Active Directory または AD DS

AD RMS は、ドメイン コントローラーで Windows Server 2000 Service Pack 3 (SP3)、Windows Server 2003、Windows Server® 2008、または Windows Server 2008 R2 を実行している Active Directory ドメインにインストールする必要があります。AD RMS を使用してライセンスを取得しコンテンツを発行するすべてのユーザーおよびグループは、Active Directory に電子メール アドレスが構成されている必要があります。

データベース サーバー

AD RMS には、Microsoft SQL Server 2005 などのデータベース サーバーと、操作を実行するためのストアド プロシージャが必要です。Windows Server 2008 R2 上の AD RMS サーバーの役割では、Microsoft SQL Server 2000 はサポートされていません。

目次