Als u Active Directory Rights Management Services (AD RMS) met Kerberos-verificatie wilt gebruiken, moet u na het installeren van de AD RMS-serverfunctie en het inrichten van de server extra stappen uitvoeren om de server met AD RMS te configureren. U moet met name deze procedures uitvoeren:

  • De IIS-variabele (Internet Information Services) useAppPoolCredentials op True instellen

  • De SPN-waarde (Service Principal Name) voor het AD RMS-serviceaccount instellen

Lidmaatschap van de groep AD RMS Enterprise Administrators van Microsoft.com en de Enterprise Admins in AD DS, of daaraan gelijk, is minimaal vereist om deze procedure te voltooien.

De IIS-waarde useAppPoolCredentials op True instellen

  1. Open een opdrachtpromptvenster met verhoogde bevoegdheid. Dit doet u als volgt: klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires, klik met de rechtermuisknop op Opdrachtprompt en klik op Als administrator uitvoeren.

  2. Navigeer naar %windir%\system32\inetsrv.

  3. Typ appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.
Belangrijk

U kunt de volgende procedure alleen correct uitvoeren als het AD RMS-serviceaccount zich in hetzelfde forest bevindt als het AD RMS-cluster. Als u het AD RMS-serviceaccount wijzigt, moet u bovendien de SPN-registraties voor het vorige serviceaccount verwijderen en deze procedure vervolgens voor het nieuwe serviceaccount uitvoeren.

De SPN-waarde (Service Principal Name) voor het AD RMS-serviceaccount instellen

  1. Open een opdrachtpromptvenster met verhoogde bevoegdheid. Dit doet u als volgt: klik op Start, wijs Alle programma's aan, klik op Bureau-accessoires, klik met de rechtermuisknop op Opdrachtprompt en klik op Als administrator uitvoeren.

  2. Typ setspn -a HTTP/<Servernaam> <Serviceaccountdomein>\<Serviceaccount>, waarbij <Servernaam> staat voor de naam van de server, <Serviceaccountdomein> voor de naam van het domein met het AD RMS-serviceaccount, en <Serviceaccount> voor de naam van het AD RMS-serviceaccount.

  3. Typ setspn -a HTTP/<ServerFQDN> <Serviceaccountdomein>\<Serviceaccount>, waarbij <ServerFQDN> staat voor de FQDN-naam (Fully Qualified Domain Name) van de server.

  4. Typ setspn -a HTTP/<Clusternaam> <Serviceaccountdomein>\<Serviceaccount>, waarbij <Clusternaam> staat voor de naam van het AD RMS-cluster.

  5. Typ setspn -a HTTP/<ClusterFQDN> <Serviceaccountdomein>\<Serviceaccount>, waarbij <ClusterFQDN> staat voor de FQDN-naam (Fully Qualified Domain Name) van het cluster.

Opmerking

Als het cluster SSL (Secure Sockets Layer) gebruikt, herhaalt u stap 2 tot en met 5, waarbij u niet HTTP maar HTTPS typt.

Aanvullende naslaginformatie

Een AD RMS-cluster installeren

Inhoudsopgave