Usługi serwera w aplikacji Usługi AD RMS umożliwiają aplikacjom serwera obsługującym Usługi AD RMS żądanie w imieniu innych użytkowników, by przyznano im Certyfikaty kont praw dostępu (RAC). Przykładem aplikacji serwerowej obsługującej Usługi AD RMS jest program Microsoft Exchange Server 2007. Podczas konfigurowania usług serwera należy pamiętać o kilku zagadnieniach:

  • Poufne listy kontroli dostępu (DACL) w potokach aplikacji Usługi AD RMS używają domyślnie najbezpieczniejszych ustawień. Poufną listę kontroli dostępu należy zmodyfikować w przypadku korzystania z usług serwera aplikacji Usługi AD RMS.

  • Jeśli klient aplikacji Usługi AD RMS jest zainstalowany na serwerze z systemem Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 i jest włączona konfiguracja zwiększonych zabezpieczeń programu Internet Explorer, należy w programie Internet Explorer dodać adres URL klastra aplikacji Usługi AD RMS do strefy zabezpieczeń Lokalny intranet.

  • Wiele usług serwera korzysta z zaawansowanych funkcji usług domenowych w usłudze Active Directory (AD DS), które są dostępne tylko wtedy, gdy na kontrolerach domeny usług AD DS jest uruchomiony system Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2. Jeśli są używane jakiekolwiek inne usługi serwera, jest zalecane, aby na wszystkich kontrolerach domeny był uruchomiony system Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 i aby poziomami funkcjonalnymi zarówno domeny, jak i usług AD DS lasu był co najmniej system Windows Server 2003.

W domyślnej instalacji aplikacji Usługi AD RMS poufna lista kontroli dostępu (DACL) potoku certyfikacji serwerów aplikacji Usługi AD RMS jest ograniczona, co oznacza, że dana aplikacja nie może uzyskiwać certyfikatów ani licencji dla swoich użytkowników. Jeśli jednak użytkownik ma aplikację obsługującą Usługi AD RMS dla tych komputerów, może im umożliwić uczestniczenie w systemie aplikacji Usługi AD RMS, konfigurując poufne listy kontroli dostępu (DACL) w potoku certyfikacji serwerów aplikacji Usługi AD RMS.

Aplikacje serwera obsługujące Usługi AD RMS mogą się łączyć z usługą certyfikacji serwerów aplikacji Usługi AD RMS za pomocą pliku ServerCertification.asmx.

Uwaga

Jeśli w klastrze aplikacji Usługi AD RMS jest kilka serwerów aplikacji Usługi AD RMS, poufną listę kontroli dostępu (DACL) w usłudze certyfikacji serwerów należy zmienić na każdym serwerze w tym klastrze.

Do wykonania tej procedury wymagana jest przynależność użytkownika do lokalnej grupy Administratorzy albo do grupy równoważnej.

Aby włączyć certyfikację usług serwera
  1. Otwórz Eksploratora Windows i przejdź do folderu, w którym są zainstalowane Internetowe usługi informacyjne. Domyślnie ścieżka tego folderu to %systemdrive%\Inetpub\wwwroot\_wmcs\Certification.

  2. Aby włączyć w usługach serwera funkcję odbierania certyfikatów RAC, kliknij prawym przyciskiem myszy plik ServerCertification.asmx, a następnie kliknij polecenie Właściwości.

  3. Na karcie Zabezpieczenia kliknij przycisk Dodaj, a następnie dodaj obiekt konta komputera aplikacji serwera obsługującej Usługi AD RMS oraz Grupę usług AD RMS.

  4. Na listach Uprawnienia dla tych grup zaznacz pola wyboru Zezwalaj dla uprawnień Odczyt oraz Odczyt i wykonywanie, a następnie kliknij przycisk OK.

    Uwaga

    Jeśli kilka serwerów obsługuje aplikacje serwera obsługujące Usługi AD RMS, należy zamiast tego rozważyć utworzenie grupy, dodanie wszystkich obiektów typu komputer do grupy, a następnie dodanie tej grupy do poufnej listy kontroli dostępu (DACL) potoku certyfikacji.

  5. Ponownie uruchom usługi Internet Information Services, uruchamiając program IISRESET w wierszu polecenia w celu zaimplementowania zmian w poufnych listach kontroli dostępu (DACL) w usługach sieci Web składnika Usługi AD RMS.

Dodatkowe informacje

Spis treści