Jeśli planowane jest używanie usług zarządzania prawami dostępu w usłudze Active Directory (AD RMS, Active Directory Rights Management Services) z uwierzytelnianiem Kerberos, po zainstalowaniu roli serwera usług AD RMS i zastrzeżeniu serwera należy wykonać dodatkowe czynności w celu skonfigurowania serwera z uruchomionymi usługami AD RMS. W szczególności należy wykonać następujące procedury:
- Ustawianie zmiennej useAppPoolCredentials usług IIS (Internet Information Services) na wartość True
- Ustawianie wartości głównej nazwy usługi (SPN) dla konta usługi AD RMS
Do wykonania tej procedury jest wymagana przynależność użytkownika do grupy Administratorzy usług AD RMS Enterprise oraz grupy Administratorzy przedsiębiorstwa w usłudze AD DS lub do grupy im równoważnej.
Ustawianie zmiennej useAppPoolCredentials usług IIS na wartość True |
Otwórz okno wiersza polecenia z pełnymi uprawnieniami. Aby otworzyć okno wiersza polecenia z pełnymi uprawnieniami, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następne kliknij polecenie Uruchom jako administrator.
Przejdź do katalogu %windir%\system32\inetsrv.
Wpisz polecenie appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.
Ważne | |
Aby pomyślnie wykonać tę procedurę, konto usługi AD RMS musi znajdować się w tym samym lesie, co klaster AD RMS. Dodatkowo, jeśli zmienione zostanie konto usługi AD RMS, należy usunąć rejestracje SPN dla poprzedniego konta usługi, a następnie wykonać tę procedurę dla nowego konta usługi. |
Ustawianie wartości głównej nazwy usługi (SPN) dla konta usługi AD RMS |
Otwórz okno wiersza polecenia z pełnymi uprawnieniami. Aby otworzyć okno wiersza polecenia z pełnymi uprawnieniami, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, kliknij prawym przyciskiem myszy polecenie Wiersz polecenia, a następne kliknij polecenie Uruchom jako administrator.
Wpisz polecenie setspn -a HTTP/<nazwa_serwera> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_serwera> jest nazwą serwera, <domena_konta_usługi> to nazwa domeny zawierającej konto usługi AD RMS, a <konto_usługi> to nazwa konta usługi AD RMS.
Wpisz polecenie setspn -a HTTP/<nazwa_FQDN_serwera> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_FQDN_serwera> to w pełni kwalifikowana nazwa domeny (FQDN) serwera.
Wpisz polecenie setspn -a HTTP/<nazwa_klastra> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_klastra> to nazwa klastra AD RMS.
Wpisz polecenie setspn -a HTTP/<nazwa_FQDN_klastra> <domena_konta_usługi>\<konto_usługi>, gdzie <nazwa_FQDN_klastra> to w pełni kwalifikowana nazwa domeny (FQDN) klastra.
Uwaga | |
Jeśli klaster używa protokołu SSL (Secure Sockets Layer), powtórz czynności od 2 do 5, wstawiając ciąg „HTTPS” zamiast „HTTP”. |