Informatie voorafgaand aan de installatie van Active Directory Rights Management Services

Voordat u Active Directory Rights Management Services (AD RMS) voor de eerste keer installeert op Windows Server® 2008 R2, moet er aan verschillende vereisten worden voldaan:

• Installeer de AD RMS-server als lidserver in hetzelfde AD DS-domein (Active Directory Domain Services) als de gebruikersaccounts die gebruik zullen maken van de met rechten beveiligde inhoud.
  
  
• Maak een domeingebruikersaccount zonder extra machtigingen dat als het serviceaccount van AD RMS kan worden gebruikt.
  
  
• Selecteer het gebruikersaccount voor het installeren van AD RMS met de volgende beperkingen:
  
  
  • Het gebruikersaccount voor het installeren van AD RMS mag niet gelijk zijn aan het AD RMS-serviceaccount.
    
    
  • Als u tijdens de installatie het AD RMS-serviceverbindingspunt (SCP) registreert, moet het gebruikersaccount voor het installeren van AD RMS een lid zijn van de groep Ondernemingsadministrators van AD DS of een equivalente groep.
    
    
  • Als u een externe databaseserver gebruikt voor de AD RMS-databases, moet het gebruikersaccount voor het installeren van AD RMS het recht hebben nieuwe databases te maken. Als Microsoft SQL Server 2005 of Microsoft SQL Server 2008 wordt gebruikt, moet het gebruikersaccount lid zijn van de databaserol Systeembeheerder of een gelijkwaardige rol.
    
    
  • Het gebruikersaccount voor het installeren van AD RMS moet gemachtigd zijn query's uit te voeren voor het AD DS-domein.
    
    
• Reserveer een URL voor het AD RMS-cluster die de volledige duur van de AD RMS-installatie beschikbaar is. Zorg ervoor dat de gereserveerde URL niet gelijk is aan de computernaam.
  
  

Het is niet voldoende uitsluitend rekening te houden met de vereisten voorafgaand aan de installatie van AD RMS. Het wordt sterk aangeraden daarnaast rekening te houden met de volgende punten:

• Installeer de database voor het hosten van de AD RMS-databases op een aparte computer. Zie Systeemvereisten voor informatie over databaseservers die door Windows Server 2008 R2 worden ondersteund.
  
  
• Installeer het AD RMS-cluster met behulp van een SSL-certificaat (Secure Sockets Layer). Dit certificaat moet afkomstig zijn van een vertrouwde basiscertificeringsinstantie.
  
  
• Maak een DNS-aliasrecord (CNAME) voor de URL van het AD RMS-cluster en een aparte CNAME-record voor de computer die de AD RMS-configuratiedatabase host. Als AD RMS-servers buiten gebruik worden gesteld, wegvallen als gevolg van een hardwarefout of als de naam van de computer is gewijzigd, kan een CNAME-record worden bijgewerkt zonder dat alle met rechten beveiligde bestanden opnieuw moeten worden gepubliceerd.
  
  
• Als u een benoemd exemplaar gebruikt voor de AD RMS-configuratiedatabase, moet de SQL Server-browser op de databaseserver worden gestart voordat u AD RMS installeert. Anders kan de AD RMS-installatie de configuratiedatabase niet vinden en mislukt de installatie.
  
  

Als u een upgrade uitvoert van een willekeurige versie van Rights Management Services (RMS) naar AD RMS, gaat u als volgt te werk:

• Maak een back-up van de RMS-databases en sla deze op een veilige locatie op.
  
  
• Als uw RMS-cluster is geconfigureerd om het lokale systeemaccount als serviceaccount voor het cluster te gebruiken, moet u het serviceaccount wijzigen van het lokale systeemaccount in een domeingebruikersaccount voordat u een upgrade van RMS naar AD RMS uitvoert.
  
  
• Als u RMS hebt ingericht met behulp van de optie voor offline inschrijven, moet u controleren of de inschrijving voltooid is voordat u de upgrade naar AD RMS uitvoert.
  
  
• Als u MSDE hebt gebruikt voor het hosten van uw RMS-databases, moet u de databases upgraden naar Microsoft SQL Server 2005 of een nieuwere versie voordat u het RMS-cluster upgradet naar AD RMS. Het upgraden van RMS-versies met de MSDE-database wordt niet ondersteund.
  
  
• Als u Microsoft SQL Server 2000 hebt gebruikt voor het hosten van uw RMS-databases, moet u de databases upgraden naar Microsoft SQL Server 2005 of een nieuwere versie voordat u het RMS-cluster upgradet naar AD RMS.
  
  
• Schoon de RMS Message Queuing-wachtrij op zodat u er zeker van bent dat alle berichten naar de RMS-logboekdatabase worden geschreven.
  
  

Hieronder vindt u een lijst van aandachtspunten die u aandachtig moet doornemen voordat u AD RMS installeert:

• Gebruik zelfondertekende certificaten uitsluitend in een testomgeving. Voor proef- en productieomgevingen kunt u het beste een SSL-certificaat gebruiken dat is uitgegeven door een vertrouwde certificeringsinstantie.
  
  
• De interne database van Windows met AD RMS is uitsluitend bestemd voor testomgevingen. Omdat de interne database van Windows geen externe verbindingen ondersteunt, kunt u met dit scenario geen andere server aan het AD RMS-cluster toevoegen.
  
  
• Als er al een SCP aanwezig is in het Active Directory-forest waarvoor u AD RMS installeert, moet de cluster-URL in het SCP gelijk zijn aan de cluster-URL van de nieuwe installatie. Registreer het SCP niet tijdens de AD RMS-installatie als deze URL's niet hetzelfde zijn.
  
  
• Als u AD RMS installeert, is "localhost" geen ondersteunde cluster-URL.
  
  
• Zorg ervoor dat als u tijdens de installatie het AD RMS-serviceaccount opgeeft, er geen smartcard aangesloten is op de computer. Als er een smartcard aangesloten is op de computer, ontvangt u een foutbericht met de melding dat het gebruikersaccount dat AD RMS installeert, niet gemachtigd is tot het uitvoeren van query's voor AD DS.
  
  
• Als u een nieuwe server toevoegt aan een bestaand AD RMS-cluster, moet het SSL-certificaat op de nieuwe server aanwezig zijn voordat de installatie van AD RMS start.
  
  
• AD RMS ondersteunt standaard geen Kerberos-verificatie. Zie Ondersteuning voor Kerberos-verificatie inschakelen voor informatie over de stappen die u moet uitvoeren om Kerberos-verificatie te configureren op de server.
  
  
• Windows Rights Management Services (RMS) Client versie 1 wordt niet ondersteund door Windows Server 2008 R2. Met de uitgifte van het meest recente service pack voor RMS Client versie 1 is een einde gekomen aan de ondersteuning voor deze clientversie. Als u door AD RMS beveiligde inhoud wilt blijven maken en gebruiken, moet op clients met RMS Client versie 1 het meest recente service pack worden geïnstalleerd vanaf het Windows Rights Management Services TechCenter op TechNet (https://go.microsoft.com/fwlink/?LinkId=140054). (Deze pagina is mogelijk Engelstalig.)
  
  

Hieronder vindt u een lijst met aandachtspunten die u aandachtig dient door te nemen voordat u AD RMS met ondersteuning voor identiteitsfederatie installeert:

• Voordat u de functie voor ondersteuning van identiteitsfederatie installeert, moet een federatieve vertrouwensrelatie worden geconfigureerd. Tijdens de installatie van de functieservice van de functie voor ondersteuning van identiteitsfederatie, wordt u gevraagd de URL van de federatieve service op te geven
  
  
• Active Directory Federation Services (AD FS) vereist een beveiligde communicatie tussen AD RMS en de AD FS-resourceserver. Om ondersteuning voor identiteitsfederatie te kunnen gebruiken met AD RMS, moet AD RMS worden geïnstalleerd met een veilig clusteradres.
  
  
• Het AD RMS-serviceaccount moet het recht Beveiligingscontrole genereren hebben. Dit recht wordt verleend door de Lokaal beveiligingsbeleid-console.
  
  
• De extranetcluster-URL's van AD RMS moeten beschikbaar zijn voor de federatieve accountpartner.
  
  

Hieronder vindt u een lijst met aandachtspunten die u aandachtig moet doornemen voordat u AD RMS met Microsoft Federation Gateway installeert:

• Het AD RMS-cluster moet worden geconfigureerd voor het gebruik van een met SSL gecodeerde verbinding waar een certificaat wordt gebruikt dat door de Microsoft Federation Gateway wordt vertrouwd. U hebt het X.509 SSL-certificaat voor dat domein nodig om te kunnen bewijzen dat u eigenaar bent van het domein dat u wilt federeren met de Microsoft Federation Gateway. Dat certificaat moet zijn uitgegeven door een van de vertrouwde basiscertificeringsinstanties die zijn geconfigureerd in Microsoft Federation Gateway. Die basiscertificeringsinstanties staan in de volgende tabel.
  
  

  Beschrijvende naam van CA-certificaat	Verleend aan	Beoogde doeleinden
  Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)	Certificeringsinstantie Entrust.net voor veilige servers	Serververificatie, clientverificatie, handtekeningen bij programmacode, veilige berichten, beëindiging van de IP-beveiligingstunnel, IPSec-gebruiker (Internet Protocol security), IKE-tussenliggende IP-beveiliging, tijdstempel, bestandssysteemcodering
  Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664)	Go Daddy Class 2 Certification Authority	Serververificatie, clientverificatie, veilige berichten, handtekeningen bij programmacode
  Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)	Network Solutions Certificate Authority	Serververificatie, clientverificatie, veilige berichten, handtekeningen bij programmacode, tijdstempel
  VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667)	Class 3 Public Primary Certification Authority	Veilige berichten, clientverificatie, handtekeningen bij programmacode, serververificatie
  VeriSign	Class 3 Public Primary Certification Authority	Veilige berichten, clientverificatie, handtekeningen bij programmacode, serververificatie
  VeriSign	VeriSign Trust Network	Veilige berichten, clientverificatie, handtekeningen bij programmacode, serververificatie
  VeriSign	VeriSign Class 3 Public Primary Certification Authority - G5	Serververificatie, clientverificatie, veilige berichten, handtekeningen bij programmacode

  Het SSL-certificaat dat u gebruikt voor inschrijving bij Microsoft Federation Gateway, moet een certificaat zijn dat het bewijs is van het eigendom van de extranet-URL van het AD RMS-cluster. Als het AD RMS-cluster is geconfigureerd met een intranet-URL die een andere URL is dan de extranet-URL, en als de intranet-URL geen domeinnaam is die via internet kan worden benaderd, moet u het SSL-certificaat installeren dat aan de extranet-URL op deze AD RMS-server is gekoppeld, en vervolgens dat certificaat selecteren tijdens het inschrijven bij Microsoft Federation Gateway.
  
  Als het SSL-certificaat een alternatieve objectnaam (SAN) bevat, moet de laatste vermelding in de SAN-lijst de volledig gekwalificeerde domeinnaam zijn van het domein dat u bij Microsoft Federation Gateway wilt inschrijven.
  
  
• De virtuele mappen die zijn gemaakt voor gebruik door Ondersteuning voor Microsoft Federation Gateway, gebruiken http://. Daarom moet uw firewall zo zijn geconfigureerd dat http://-gegevens kunnen worden doorgelaten. Houd er echter wel rekening mee dat bij de http://-transacties voor Ondersteuning voor Microsoft Federation Gateway de beveiliging op berichtniveau wordt gebruikt.
  
  
• Zie Informatie over Microsoft Federation Gateway voor meer informatie.
  
  

	Waarschuwing
	Voordat u Service Pack 1 voor Windows Server® 2008 R2 verwijdert, moet u eerst Ondersteuning voor Microsoft Federation Gateway uit het AD RMS-cluster verwijderen. Als u dat niet doet, kan dit leiden tot een inconsistente configuratie van het AD RMS-cluster. Zie Ondersteuning voor Microsoft Federation Gateway verwijderen voor meer informatie.

In de volgende tabel treft u de minimale hardwarevereisten aan en aanbevelingen voor het werken met Windows Server® 2008 R2-servers met de AD RMS-serverfunctie.

In de volgende tabel treft u de softwarevereisten aan voor het werken met Windows Server 2008 R2-servers met de AD RMS-serverfunctie. Voor vereisten waaraan kan worden voldaan door functies van het besturingssysteem in te schakelen, geldt dat bij de installatie van de AD RMS-serverrol deze functies op de juiste wijze worden geconfigureerd (als ze niet al geconfigureerd zijn).