Antes de instalar o AD RMS
Antes de instalar o Serviços de Gestão de Direitos do Active Directory (AD RMS, Active Directory Rights Management Services) no Windows Server® 2008 R2 pela primeira vez, existem vários requisitos que têm de ser satisfeitos:
-
Instale o servidor de AD RMS como servidor membro no mesmo domínio dos Serviços de Domínio do Active Directory (AD DS) das contas de utilizador que irão utilizar conteúdo protegido por direitos.
-
Crie uma conta de utilizador de domínio sem permissões adicionais que possa ser utilizada como conta de serviço do AD RMS.
-
Seleccione a conta de utilizador para instalar o AD RMS com as seguintes restrições:
-
A conta de utilizador que instala o AD RMS tem de diferir da conta de serviço do AD RMS.
-
Se registar o ponto de ligação de serviço (SCP) do AD RMS durante a instalação, a conta de utilizador que instale o AD RMS tem de ser membro do grupo Administradores de Modelos de AD DS ou equivalente.
-
Se estiver a utilizar um servidor de bases de dados externo para as bases de dados do AD RMS, a conta de utilizador que instale o AD RMS tem de ter o direito para criar novas bases de dados. Se for utilizado o Microsoft SQL Server 2005 ou o Microsoft SQL Server 2008, a conta de utilizador terá de ser membro da função de base de dados Administradores de Sistema ou equivalente.
-
A conta de utilizador que instale o AD RMS tem de ter acesso para consultar o domínio do AD DS.
-
A conta de utilizador que instala o AD RMS tem de diferir da conta de serviço do AD RMS.
-
Reserve um URL para o cluster de AD RMS que estará disponível enquanto a instalação do AD RMS estiver activa. Certifique-se de que o URL reservado difere do nome do computador.
Além dos requisitos de pré-instalação do AD RMS, recomendamos vivamente o seguinte:
-
Instale o servidor de bases de dados utilizado para alojar as bases de dados do AD RMS num computador independente. Consulte Requisitos de sistema para obter informações sobre os servidores de bases de dados suportados pelo Windows Server 2008 R2.
-
Instale o cluster de AD RMS utilizando um certificado SSL (secure sockets layer). Este certificado deve ser emitido por uma autoridade de certificação de raiz fidedigna.
-
Crie um registo de alias de DNS (CNAME) para o URL do cluster de AD RMS e um registo CNAME separado para o computador que aloja a base de dados de configuração do AD RMS. No caso de os servidores de AD RMS serem extinguidos, perdidos devido a falha de hardware ou o nome do computador ser alterado, um registo CNAME poderá ser actualizado sem ter de publicar todos os ficheiros com protecção de direitos.
-
Se estiver a utilizar uma instância nomeada para a base de dados de configuração de AD RMS, o serviço SQL Server Browser tem de ser iniciado no servidor de bases de dados antes de instalar o AD RMS. Caso contrário, a instalação do AD RMS não conseguirá localizar a base de dados de configuração e não terá êxito.
Antes de actualizar do RMS para o AD RMS
Se estiver a actualizar de uma versão do RMS, Serviços de Gestão de Direitos, para o AD RMS, efectue os seguintes procedimentos:
-
Crie uma cópia de segurança das bases de dados do RMS e armazene-a numa localização segura.
-
Se o seu cluster RMS estiver configurado para utilizar a conta SYSTEM local como a conta de serviço para o cluster, terá de alterar a conta de serviço a partir da conta SYSTEM local para uma conta de utilizador de domínio antes de actualizar do RMS para o AD RMS.
-
Se tiver utilizado a opção de inscrição offline para aprovisionar o RMS, certifique-se de que a inscrição é concluída antes de actualizar para o AD RMS.
-
Se tiver utilizado o MSDE para alojar as bases de dados do RMS, terá de actualizar as bases de dados para o Microsoft SQL Server 2005, ou para uma versão posterior, antes de actualizar o cluster RMS para o AD RMS. Não é suportada a actualização de versões do RMS utilizando a base de dados MSDE.
-
Se tiver utilizado o Microsoft SQL Server 2000 para alojar as bases de dados do RMS, terá de actualizar as bases de dados para o Microsoft SQL Server 2005, ou para uma versão posterior, antes de actualizar o cluster RMS para o AD RMS.
-
Descarregue a fila Colocação de Mensagens em Fila do RMS para garantir que todas as mensagens são escritas na base de dados de registo do RMS.
Considerações importantes sobre a instalação do AD RMS
Segue-se uma lista de factores a ter em conta antes de instalar o AD RMS:
-
Os certificados auto-assinados só devem ser utilizados num ambiente de teste. Para ambientes piloto e de produção, recomendamos que utilize um certificado SSL emitido por uma autoridade de certificação fidedigna.
-
O Windows Internal Database com o AD RMS destina-se a ser utilizado apenas em ambientes de teste. Uma vez que o Windows Internal Database não suporta ligações remotas, não pode adicionar outro servidor ao cluster de AD RMS neste cenário.
-
Se já ocorrer um SCP na floresta do Active Directory para a qual está a instalar o AD RMS, certifique-se de que o URL do cluster no SCP é o mesmo que o URL do cluster da nova instalação. Se não forem iguais, não deve registar o SCP durante a instalação do AD RMS.
-
Ao instalar o AD RMS, localhost não é um URL de cluster suportado.
-
Ao especificar a conta de serviço do AD RMS durante a instalação, certifique-se de que não está inserido um smart card no computador. Caso exista um smart card ligado ao computador, será apresentada uma mensagem de erro a indicar que a conta de utilizador que está a instalar o AD RMS não tem acesso para consultar o AD DS.
-
Ao associar um novo servidor a um cluster AD RMS existente, o certificado SSL deverá existir no novo servidor antes do início da instalação do AD RMS.
-
Por predefinição, o AD RMS não suporta autenticação Kerberos. Para obter informações sobre os passos que terá de efectuar para configurar o servidor para suportar autenticação Kerberos, consulte Activar o suporte para autenticação Kerberos.
-
O Windows Server 2008 R2 não suporta o Cliente de Serviços de Gestão de Direitos do Windows (RMS) versão 1. O suporte para esta versão do cliente terminou com a disponibilização do service pack mais recente para o Cliente RMS versão 1. Para continuar a criar e a ter acesso ao conteúdo protegido do AD RMS, os clientes com o Cliente RMS versão 1 terão de instalar o service pack mais recente a partir do
TechCenter sobre os Serviços de Gestão de Direitos do Windows no TechNet (https://go.microsoft.com/fwlink/?LinkId=140054) (pode estar em inglês).
Considerações importantes sobre a instalação do AD RMS com suporte para federação de identidades
Segue-se uma lista de factores a ter em conta antes de instalar o AD RMS no suporte para federação de identidades:
-
Tem de ser configurada uma relação de fidedignidade federada antes de instalar o Suporte para Federação de Identidades. Durante a instalação do serviço de função Suporte para Federação de Identidades, ser-lhe-á pedido que especifique o URL do serviço de federação.
-
Os Serviços de Federação do Active Directory (AD FS) requerem comunicações seguras entre o AD RMS e o servidor de recursos do AD FS. Para utilizar o suporte para federação com o AD RMS, este tem de ser instalado utilizando um endereço de cluster seguro.
-
A conta de serviço do AD RMS tem de ter o direito Gerar Auditorias de Segurança. Este direito é concedido utilizando a consola Política de Segurança Local.
-
Os URLs de cluster de AD RMS da extranet têm de estar disponíveis para o parceiro de conta federada.
Considerações importantes sobre a instalação do AD RMS com o Suporte do Microsoft Federation Gateway
Segue-se uma lista de factores a ter em conta antes de instalar o AD RMS no Microsoft Federation Gateway:
-
O cluster de AD RMS tem de ser configurado para utilizar uma ligação com encriptação SSL que utilize um certificado considerado fidedigno pelo Microsoft Federation Gateway. Para comprovar a propriedade do domínio que pretende federar no Microsoft Federation Gateway, tem de ser proprietário do certificado X.509 SSL para esse domínio. Tem de ser proveniente de uma das autoridades de certificação (ACs) de raiz fidedignas configuradas no Microsoft Federation Gateway. A tabela seguinte lista as ACs em questão.
O certificado SSL utilizado para inscrever no Microsoft Federation Gateway tem de ser um certificado que mostre a propriedade do URL da extranet do cluster de AD RMS. Se o cluster de AD RMS estiver configurado com um URL de intranet diferente do URL da extranet e se o URL da intranet não for um nome de domínio que possa ser acedido a partir da Internet, é necessário instalar o certificado SSL associado ao URL da extranet neste servidor AD RMS e posteriormente seleccionar esse certificado ao fazer a inscrição no Microsoft Federation Gateway.Nome amigável do certificado de AC
Emitido para
Objectivos a que se destina
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663) (pode estar em inglês)Entrust.net Secure Server Certification Authority
Autenticação de servidor, autenticação de cliente, assinatura de código, mensagens seguras, Terminação de túnel de segurança IP, utilizador de segurança IPsec (Internet Protocol security), intermediário IKE (Internet Key Exchange) de segurança IPsec (Internet Protocol security), marca de data/hora, encriptação do sistema de ficheiros
Go Daddy Class 2 Certification Authority (https://go.microsoft.com/fwlink/?LinkId=162664) (pode estar em inglês)Go Daddy Class 2 Certification Authority
Autenticação de servidor, autenticação de cliente, mensagens seguras, assinatura de código
Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665) (pode estar em inglês)Network Solutions Certificate Authority
Autenticação de servidor, autenticação de cliente, mensagens seguras, assinatura de código, marca de data/hora
VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667) (pode estar em inglês)Class 3 Public Primary Certification Authority
Mensagens seguras, autenticação de cliente, assinatura de código, autenticação de servidor
VeriSign
Class 3 Public Primary Certification Authority
Mensagens seguras, autenticação de cliente, assinatura de código, autenticação de servidor
VeriSign
VeriSign Trust Network
Mensagens seguras, autenticação de cliente, assinatura de código, autenticação de servidor
VeriSign
VeriSign Class 3 Public Primary Certification Authority - G5
Autenticação de servidor, autenticação de cliente, mensagens seguras, assinatura de código
Se o certificado SSL contiver um nome alternativo de pessoa (SAN), a última entrada na lista SAN tem de ser o nome de domínio completamente qualificado do domínio que pretende inscrever no Microsoft Federation Gateway.
-
Os directórios virtuais criados para utilização pelo Suporte do Microsoft Federation Gateway utilizam http://. Por este motivo, é necessário que a firewall esteja configurada para permitir a passagem de dados http://. No entanto, tenha em atenção que as transacções http:// referentes ao Suporte do Microsoft Federation Gateway utilizam segurança ao nível da mensagem.
-
Para mais informações, consulte Noções Sobre o Microsoft Federation Gateway.
 | Atenção |
|
Antes de desinstalar o Service Pack 1 do Windows Server® 2008 R2, é necessário remover o Suporte do Microsoft Federation Gateway do cluster de AD RMS. Caso contrário, poderá verificar-se uma configuração inconsistente do cluster de AD RMS. Para mais informações, consulte Remover Suporte do Microsoft Federation Gateway. |
Requisitos do sistema
A tabela que se segue descreve os requisitos mínimos de hardware e as recomendações para a execução de servidores do Windows Server® 2008 R2 com a função de servidor AD RMS.
| Requisito | Recomendação |
|---|---|
|
Um processador Pentium 4 a 3 GHz ou superior |
Dois processadores Pentium 4 a 3 GHz ou superiores |
|
512 MB de RAM |
1024 MB de RAM |
|
40 GB de espaço livre no disco rígido |
80 GB de espaço livre no disco rígido |
A tabela que se segue descreve os requisitos mínimos de software para a execução de servidores do Windows Server 2008 R2 com a função de servidor AD RMS. Para requisitos que possam ser satisfeitos activando funcionalidades no sistema operativo, a instalação da função de servidor AD RMS configurará essas funcionalidades conforme adequado, caso ainda não estejam configuradas.
| Software | Requisito |
|---|---|
|
Sistema operativo |
Windows Server 2008 R2 |
|
Sistema de ficheiros |
É recomendado o sistema de ficheiros NTFS |
|
Mensagens |
Colocação de Mensagens em Fila |
|
Serviços Web |
Serviços de Informação Internet (IIS) O ASP.NET tem de estar activado. |
|
Active Directory ou AD DS |
O AD RMS tem de ser instalado num domínio do Active Directory em que os controladores de domínio utilizem o Windows Server 2000 com Service Pack 3 (SP3), Windows Server 2003, o Windows Server® 2008 ou o Windows Server 2008 R2. Todos os utilizadores e grupos que utilizem o AD RMS para adquirir licenças e publicar conteúdo têm de ter um endereço de correio electrónico configurado no Active Directory. |
|
Servidor de bases de dados |
O AD RMS requer um servidor de bases de dados, como o Microsoft SQL Server 2005, e procedimentos armazenados para efectuar operações. A função de servidor AD RMS num Windows Server 2008 R2 não suporta o Microsoft SQL Server 2000. |
Referências adicionais
-
Lista de Verificação: Implementar uma Instalação de Servidor Único
-
Lista de Verificação: Implementar o AD RMS numa Extranet
-
Lista de Verificação: Implementar o AD RMS numa Organização com Utilizadores em Várias Florestas
-
Lista de Verificação: Implementar um Cluster Só de Licenciamento do AD RMS
-
Lista de Verificação: Implementar o AD RMS com AD FS
-
Lista de Verificação: Implementar o AD RMS no Suporte do Microsoft Federation Gateway