Se pretende utilizar os Serviços de Gestão de Direitos do Active Directory (AD RMS) com autenticação Kerberos, terá de efectuar passos adicionais para configurar o servidor com o AD RMS após a instalação da função de servidor AD RMS e aprovisionamento do servidor. Especificamente, tem de efectuar estes procedimentos:
- Definir a variável useAppPoolCredentials do IIS (Internet Information Services) como True
- Definir o valor do SPN (Service Principal Names) para a conta de serviço AD RMS
Ser membro do grupo Administradores da empresa AD RMS e ter o papel de Admins da Empresa no AD DS, ou equivalente, é o requisito mínimo para concluir este procedimento.
Definir o valor useAppPoolCredentials do IIS como True |
Abra uma janela da linha de comandos com privilégios elevados. Para abrir uma janela da Linha de Comandos com privilégios elevados, clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador.
Navegue para %windir%\system32\inetsrv.
Escreva appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.
Importante | |
Para efectuar o seguinte procedimento com êxito, a conta de serviço AD RMS deverá estar na mesma floresta que o cluster AD RMS. Do mesmo modo, se alterar a conta de serviço AD RMS, terá de eliminar os registos SPN relativos à conta de serviço anterior e efectuar este procedimento para a nova conta de serviço. |
Definir o valor do SPN (Service Principal Names) para a conta de serviço AD RMS |
Abra uma janela da linha de comandos com privilégios elevados. Para abrir uma janela da Linha de Comandos com privilégios elevados, clique em Iniciar, clique em Todos os Programas, clique em Acessórios, clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador.
Escreva setspn -a HTTP/<NomeServidor> <DomínioContaServiço>\<ContaServiço>, em que <NomeServidor> corresponde ao nome do servidor, <DomínioContaServiço> corresponde ao nome do domínio que contém a conta de serviço AD RMS e <ContaServiço> corresponde ao nome da conta de serviço AD RMS.
Escreva setspn -a HTTP/<FQDNServidor> <DomínioContaServiço>\<ContaServiço>, em que <FQDNServidor> corresponde ao nome de domínio completamente qualificado (FQDN) do servidor.
Escreva setspn -a HTTP/<NomeCluster> <DomínioContaServiço>\<ContaServiço>, em que <NomeCluster> corresponde ao nome do cluster AD RMS.
Escreva setspn -a HTTP/<FQDNCluster> <DomínioContaServiço>\<ContaServiço>, em que <FQDNCluster> corresponde ao nome de domínio completamente qualificado (FQDN) do cluster.
Nota | |
Se o cluster estiver a utilizar o SSL (Secure Sockets Layer), repita os passos 2 até 5, substituindo HTTPS por HTTP. |