Om du vill använda Active Directory Rights Management Services (AD RMS) med Kerberos-autentisering, måste du utföra ytterligare steg för att konfigurera servern som kör AD RMS när du har installerat AD RMS-serverrollen och konfigurerat servern. Du måste särskilt utföra de här procedurerna:
- Tilldela Internet Information Services (IIS) useAppPoolCredentials-variabeln värdet Sant
- Tilldela Service Principal Names (SPN)-värdet för AD RMS-tjänstkontot
Medlemskap i gruppen AD RMS Enterprise-administratörer och gruppen Företagsadministratörer i AD DS eller liknande är minimikravet för att kunna slutföra den här proceduren.
Tilldela IIS useAppPoolCredentials värdet Sant |
Öppna ett förhöjt kommandotolkfönster. Du öppnar ett förhöjt kommandotolkfönster genom att klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken och sedan klicka på Kör som administratör.
Navigera till %windir%\system32\inetsrv.
Skriv appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.
Viktigt! | |
För att lyckas med nedanstående procedur måste AD RMS-tjänstkontot vara i samma skog som AD RMS-klustret. Om du dessutom ändrar AD RMS-tjänstkontot, måste du ta bort SPN-registreringarna för det tidigare tjänstkontot och sedan utföra den här proceduren för det nya tjänstkontot. |
Tilldela Service Principal Names (SPN)-värdet för AD RMS-tjänstkontot |
Öppna ett förhöjt kommandotolkfönster. Du öppnar ett förhöjt kommandotolkfönster genom att klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken och sedan klicka på Kör som administratör.
Skriv setspn -a HTTP/<Servernamn> <Tjänstkontodomän>\<Tjänstkonto>, där <Servernamn> är namnet på servern, <Tjänstkontodomän> är namnet på den domän som innehåller AD RMS-tjänstkontot och <Tjänstkonto> är namnet på AD RMS-tjänstkontot.
Skriv setspn -a HTTP/<Server-FQDN> <Tjänstkontodomän>\<Tjänstkonto>, där <Server-FQDN> är det fullständiga domännamnet (FQDN) för servern.
Skriv setspn -a HTTP/<Klusternamn> <Tjänstkontodomän>\<Tjänstkonto>, där <Klusternamn> är namnet på AD RMS-klustret.
Skriv setspn -a HTTP/<Kluster-FQDN> <Tjänstkontodomän>\<Tjänstkonto>, där <Kluster-FQDN> är det fullständiga domännamnet (FQDN) för klustret.
OBS | |
Om klustret använder Secure Sockets Layer (SSL), upprepar du stegen 2 till och med 5 och byter ut HTTPS mot HTTP. |