Informações de pré-instalação para Active Directory Rights Management Services

Antes de instalar o Active Directory Rights Management Services (AD RMS) no Windows Server® 2008 R2 pela primeira vez, há vários requisitos que devem ser atendidos:

• Instale o servidor AD RMS como um servidor membro no mesmo domínio AD DS (Serviços de Domínio Active Directory) que as contas de usuário que usarão o conteúdo protegido por direitos.
  
  
• Crie uma conta de usuário de domínio sem nenhuma permissão adicional que possa ser usada como a conta de serviço AD RMS.
  
  
• Selecione a conta de usuário para instalar o AD RMS com as seguintes restrições:
  
  
  • A conta de usuário utilizada para a instalação do AD RMS deve ser diferente da conta de serviço do AD RMS.
    
    
  • Se o SCP (ponto de conexão de serviço) do AD RMS for registrado durante a instalação, a conta de usuário utilizada para a instalação do AD RMS deverá ser membro do grupo Administradores de Empresa do AD DS, ou equivalente.
    
    
  • Se você estiver usando um servidor de banco de dados externo para os bancos de dados do AD RMS, a conta de usuário utilizada para a instalação do AD RMS deverá ter o direito de criar novos bancos de dados. Se o Microsoft SQL Server 2005 ou o Microsoft SQL Server 2008 for usado, a conta de usuário deverá ser membro da função de banco de dados Administradores de Sistema, ou equivalente.
    
    
  • A conta de usuário utilizada para a instalação do AD RMS deverá ter acesso à consulta do domínio AD DS.
    
    
• Reserve uma URL para o cluster AD RMS; essa URL deverá ficar disponível durante o tempo de vida da instalação do AD RMS. Verifique se a URL reservada é diferente do nome do computador.
  
  

Além dos requisitos de pré-instalação do AD RMS, é altamente recomendável:

• Instalar o servidor de banco de dados usado para hospedar os bancos de dados do AD RMS em um computador separado. Consulte Requisitos do sistema para obter informações sobre os servidores de banco de dados aos quais o Windows Server 2008 R2 oferece suporte.
  
  
• Instalar o cluster AD RMS usando um certificado SSL. Esse certificado deve ser emitido por uma autoridade de certificação raiz confiável.
  
  
• Crie um registro de alias do DNS (CNAME) para a URL do cluster AD RMS e um registro CNAME separado para o computador que está hospedando o banco de dados de configuração do AD RMS. Caso um dos servidores AD RMS seja desativado ou inutilizado por uma falha de hardware, ou o nome do computador seja alterado, você poderá atualizar um registro CNAME sem ter de publicar todos os arquivos protegidos por direitos novamente.
  
  
• Se você estiver usando uma instância nomeada para o banco de dados de configuração do AD RMS, o serviço Navegador do SQL Server deverá ser iniciado no servidor de banco de dados antes da instalação do AD RMS. Caso contrário, a instalação do AD RMS não poderá localizar o banco de dados de configuração e será malsucedida.
  
  

Se você estiver atualizando qualquer versão do RMS (Rights Management Services) para o AD RMS, faça o seguinte:

• Faça backup dos bancos de dados RMS e armazene-os em um local seguro.
  
  
• Se o cluster RMS tiver sido configurado para usar a conta Sistema local como conta de serviço do cluster, você deverá alterar a conta de serviço da conta Sistema local para uma conta de usuário de domínio antes de fazer a atualização do RMS para o AD RMS.
  
  
• Se tiver usado a opção de registro offline para provisionar o RMS, espere o registro ser concluído antes de atualizar para o AD RMS.
  
  
• Caso use o MSDE para hospedar os bancos de dados do RMS, você deverá atualizar os bancos de dados para o Microsoft SQL Server 2005 ou posterior antes de atualizar o cluster RMS para o AD RMS. Não é possível atualizar versões do RMS usando o banco de dados MSDE.
  
  
• Caso use o Microsoft SQL Server 2000 para hospedar os bancos de dados do RMS, você deverá atualizar os bancos de dados para o Microsoft SQL Server 2005 ou posterior antes de atualizar o cluster RMS para o AD RMS.
  
  
• Libere a fila do serviço de enfileiramento de mensagens RMS para que todas as mensagens sejam gravadas no banco de dados de log do RMS.
  
  

A lista a seguir mostra pontos que devem ser levados em consideração antes da instalação do AD RMS:

• Certificados autoassinados devem ser usados somente em ambientes de teste. Em ambientes piloto ou de produção, recomendamos que você use um certificado SSL emitido por uma autoridade de certificação confiável.
  
  
• O Windows Internal Database com o AD RMS foi criado para ser usado somente em ambientes de teste. Como o Windows Internal Database não oferece suporte a conexões remotas, você não pode adicionar outro servidor ao cluster AD RMS nesse cenário.
  
  
• Se a floresta do Active Directory para a qual você está instalando o AD RMS já possuir um SCP, verifique se a URL do cluster do SCP é igual à URL do cluster da nova instalação. Se as URLs forem diferentes, você não deverá registrar o SCP durante a instalação do AD RMS.
  
  
• Na instalação do AD RMS, não há suporte para a URL de cluster localhost.
  
  
• Ao especificar a conta de serviço do AD RMS durante a instalação, verifique se o cartão inteligente não foi inserido no computador. Se houver um cartão inteligente conectado ao computador, será exibida uma mensagem de erro informando que a conta de usuário de instalação do AD RMS não possui acesso para consultar o AD DS.
  
  
• Quando você adiciona um novo servidor a um cluster AD RMS existente, é necessário que o certificado SSL já esteja presente no novo servidor antes do início da instalação do AD RMS.
  
  
• Por padrão, o AD RMS não oferece suporte à autenticação Kerberos. Para obter informações sobre que etapas você precisa seguir para configurar o servidor para oferecer suporte à autenticação Kerberos, consulte Habilitar suporte para autenticação Kerberos.
  
  
• O Windows Server 2008 R2 não oferece suporte à versão 1 do RMS (Windows Rights Management Services) Client. O suporte a essa versão do cliente não é mais oferecido desde o lançamento do service pack mais recente da versão 1 do RMS Client. Se você desejar continuar criando e acessando conteúdo protegido do AD RMS, os clientes que estiverem executando a versão 1 do RMS Client deverão instalar o service pack mais recente a partir do Windows Rights Management Services TechCenter no TechNet (https://go.microsoft.com/fwlink/?LinkId=140054) (pode estar em inglês).
  
  

A lista a seguir mostra pontos que devem ser levados em consideração antes da instalação do AD RMS com suporte à federação de identidade:

• Uma relação federada confiável deve ser configurada antes da instalação do Suporte à Federação de Identidade. Durante a instalação do serviço de função Suporte à Federação de Identidade, você será solicitado a especificar a URL do serviço de federação.
  
  
• O AD FS (Serviços de Federação do Active Directory) requer uma comunicação segura entre o AD RMS e o servidor de recursos AD FS. Para poder usar o suporte à federação com o AD RMS, você deve instalar o AD RMS usando um endereço de cluster seguro.
  
  
• A conta de serviço do AD RMS deve ter o direito Gerar Auditoria de Segurança. Esse direito é concedido por meio do console Diretiva de Segurança Local.
  
  
• As URLs do cluster de extranet AD RMS devem estar disponíveis para o parceiro da conta federada.
  
  

A lista a seguir mostra pontos que devem ser levados em consideração antes da instalação do AD RMS com Microsoft Federation Gateway:

• O cluster AD RMS deve ser configurado para usar uma conexão criptografada por SSL que use um certificado no qual o Microsoft Federation Gateway confie. Para provar que você é o proprietário do domínio a ser federado com o Microsoft Federation Gateway, você deve ser proprietário do certificado SSL X.509 desse domínio. Esse certificado deve ser proveniente de uma das autoridades de certificação de raiz confiável configuradas no Microsoft Federation Gateway. A tabela a seguir lista essas autoridades de certificação.
  
  

  Nome amigável do certificado de autoridade de certificação	Emitido para	Finalidades
  Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)	Autoridade de Certificação de Servidor Seguro Entrust.net	Autenticação de servidor, autenticação de cliente, assinatura de código, sistema de mensagens seguro, término do túnel IPsec, usuários de protocolo IPsec, intermediário de protocolo IKE de protocolo IPsec, carimbo de data/hora, criptografia de sistema de arquivos
  Autoridade de Certificação Classe 2 Go Daddy (https://go.microsoft.com/fwlink/?LinkId=162664)	Autoridade de Certificação Classe 2 Go Daddy	Autenticação de servidor, autenticação de cliente, sistema de mensagens seguro, assinatura de código
  Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)	Autoridade de Certificação Network Solutions	Autenticação de servidor, autenticação de cliente, sistema de mensagens seguro, assinatura de código, carimbo de data/hora
  Autoridade de Certificação Primária Pública Classe 3 VeriSign (https://go.microsoft.com/fwlink/?LinkId=162667)	Autoridade de Certificação Primária Pública Classe 3	Sistema de mensagens seguro, autenticação de cliente, assinatura de código, autenticação de servidor
  VeriSign	Autoridade de Certificação Primária Pública Classe 3	Sistema de mensagens seguro, autenticação de cliente, assinatura de código, autenticação de servidor
  VeriSign	VeriSign Trust Network	Sistema de mensagens seguro, autenticação de cliente, assinatura de código, autenticação de servidor
  VeriSign	Autoridade de Certificação Primária Pública Classe 3 VeriSign - G5	Autenticação de servidor, autenticação de cliente, sistema de mensagens seguro, assinatura de código

  O certificado SSL que você usou para se registrar no Microsoft Federation Gateway deve mostrar propriedade da URL da extranet do cluster AD RMS. Se o cluster AD RMS for configurado com uma URL da intranet que seja diferente da URL da extranet e se a URL da intranet não for um nome de domínio que possa ser acessado na Internet, você deverá instalar o certificado SSL associado à URL da extranet nesse servidor AD RMS e selecionar esse certificado quando se registrar no Microsoft Federation Gateway.
  
  Se o certificado SSL contiver um nome alternativo da entidade (SAN), a última entrada na lista de SANs deve ser um nome de domínio totalmente qualificado do domínio que você deseja registrar no Microsoft Federation Gateway.
  
  
• Os diretórios virtuais criados para serem usados pelo Suporte ao Microsoft Federation Gateway utilizam http://. Em consequência disso, o firewall deve ser configurado para permitir a passagem de dados de http://. Observe, no entanto, que as transações de http:// do Suporte ao Microsoft Federation Gateway usam segurança de nível de mensagem.
  
  
• Para obter mais informações, consulte Noções básicas sobre o Microsoft Federation Gateway.
  
  

Cuidado
Antes de desinstalar o Service Pack 1 para Windows Server® 2008 R2, remova o Suporte ao Microsoft Federation Gateway do cluster AD RMS. Se você não fizer isso, o cluster AD RMS poderá apresentar uma configuração inconsistente. Para obter mais informações, consulte Remover Suporte ao Microsoft Federation Gateway.

A tabela a seguir descreve os requisitos mínimos de hardware e as recomendações para executar servidores do Windows Server® 2008 R2 com a função de servidor AD RMS.

A tabela a seguir descreve os requisitos de software para executar servidores Windows Server 2008 R2 com a função de servidor AD RMS. Para os requisitos que podem ser atendidos por meio da habilitação de recursos no sistema operacional, a instalação da função de servidor AD RMS configurará esses recursos conforme apropriado, caso eles ainda não tenham sido configurados.