Innan du installerar AD RMS
Innan du installerar Active Directory Rights Management Services (AD RMS) på Windows Server® 2008 R2 för första gången finns det flera krav som måste uppfyllas:
-
Installera AD RMS-servern som medlemsserver i samma Active Directory Domain Services-domän (AD DS) som de användarkonton som kommer att använda rättighetsskyddat innehåll.
-
Skapa ett domänanvändarkonto som saknar ytterligare behörigheter för användning som AD RMS-tjänstkontot.
-
Markera användarkontot för att installera AD RMS med följande restriktioner:
-
Det användarkonto som installerar AD RMS måste vara ett annat än AD RMS-tjänstkontot.
-
Om du registrerar tjänstens anslutningspunkt för AD RMS under installationen måste det användarkonto som installerar AD RMS vara en medlem av gruppen Företagsadministratörer i AD DS eller likvärdigt.
-
Om du använder en extern databasserver för AD RMS-databaserna måste det användarkonto som installerar AD RMS ha rättigheten att skapa nya databaser. Om Microsoft SQL Server 2005 eller Microsoft SQL Server 2008 används måste användarkontot vara en medlem av databasrollen Systemadministratörer eller likvärdigt.
-
Användarkontot som installerar AD RMS måsta ha åtkomst att ställa frågor till AD DS-domänen.
-
Det användarkonto som installerar AD RMS måste vara ett annat än AD RMS-tjänstkontot.
-
Reservera ett URL för det AD RMS-kluster som ska finnas tillgängligt genom hela livslängden för AD RMS-installationen. Se till att den reserverade URL-adressen skiljer sig från datornamnet.
I tillägg till kraven för före installation för AD RMS rekommenderar vi följande:
-
Installera den databasserver som används för att vara värd för AD RMS-databaser på en separat dator. Mer information om databasservrar som stöds av Windows Server 2008 R2 finns i Systemkrav.
-
Installera AD RMS-klustret genom att använda ett SSL-certifikat. Det här certifikatet ska utfärdas från en betrodd rotcertifikatutfärdare.
-
Skapa en DNS-aliaspost (CNAME) för AD RMS-klustrets URL och en separat CNAME-post för den dator som är värd för AD RMS-konfigurationsdatabasen. Om det skulle hända att AD RMS-servrarna skulle dras tillbaka, förloras p.g.a. maskinvarufel eller att datornamnet ändras, går det att uppdatera en CNAME-post utan att behöva publicera alla rättighetsskyddade filer igen.
-
Om du använder en namngiven instans för konfigurationsdatabasen i AD RMS måste tjänsten SQL Server Browser startas på databasservern innan du installerar AD RMS. Annars kan AD RMS-installationen inte hitta konfigurationsdatabasen och installationen kan inte lyckas.
Innan du uppgraderar från RMS till AD RMS
Om du uppgraderar från valfri version av RMS (Rights Management Services) till AD RMS gör du så här:
-
Säkerhetskopiera RMS-databaserna och lagra kopiorna på ett säkert ställe.
-
Om RMS-klustret konfigurerades att använda det lokala systemkontot som tjänstkontot för klustret måste du ändra tjänstkontot till ett domänkonto innan du uppgraderar från RMS till AD RMS.
-
Om du har använt alternativet för offline-registrering för att konfigurera RMS ska du se till att registreringen är klar innan du uppgraderar till AD RMS.
-
Om du har använt MSDE för att vara värd för dina RMS-databaser måste du uppgradera databaserna till Microsoft SQL Server 2005 eller senare innan du uppgraderar RMS-klustret till AD RMS. En uppgradering från RMS-versioner genom att använda MSDE-databasen stöds inte.
-
Om du har använt Microsoft SQL Server 2000 för att vara värd för dina RMS-databaser måste du uppgradera databaserna till Microsoft SQL Server 2005 eller senare innan du uppgraderar RMS-klustret till AD RMS.
-
Töm kön RMS Meddelandeköer för att försäkra att alla meddelanden skrivs till RMS-loggningsdatabasen.
Viktiga överväganden vid installation av AD RMS
Här följer en lista med saker som du bör tänka på innan du installerar AD RMS:
-
Självsignerade certifikat ska endast användas i en testmiljö. För test- och produktionsmiljöer rekommenderar vi att du använder ett SSL-certifikat som har utfärdats av en betrodd certifikatutfärdare.
-
Windows Internal Database med AD RMS är endast avsedd för användning i testmiljöer. Eftersom Windows Internal Database inte stöder fjärranslutningar går det inte att lägga till ytterligare en server i AD RMS-klustret i detta scenario.
-
Om det redan förekommer en tjänstanslutningspunkt i den Active Directory-skog som du installerar AD RMS för, ska du se till att kluster-URL:en i tjänstanslutningspunkten är densamma som kluster-URL:en för den nya installationen. Om de inte är desamma ska du inte registrera tjänstanslutningspunkten under installationen av AD RMS.
-
När du installerar AD RMS är localhost inte ett kluster-URL som stöds.
-
När du anger tjänstkontot för AD RMS under installation ska du se till att ett smartkort inte har satts in i datorn. Om ett smartkort är anslutet till datorn får du ett felmeddelande om att det användarkonto som installerar AD RMS inte har åtkomst till att fråga AD DS.
-
När du ansluter en ny server till ett befintligt AD RMS-kluster ska SSL-certifikatet finnas på den nya servern innan AD RMS-installationen börjar.
-
AD RMS stöder som standard inte Kerberos-autentisering. Information om vilka steg du måste följa för att konfigurera servern så att den stöder Kerberos-autentisering finns i Aktivera support för Kerberos-autentisering.
-
Windows Server 2008 R2 stöder inte version 1 av Windows RMS-klient (Rights Management Services). Stöd för den här versionen av klienten upphörde med senaste Service Pack för version 1 av RMS-klienten. Om du även i framtiden vill kunna skapa och komma åt AD RMS-skyddat innehåll måste klienter som kör version 1 av RMS-klienten uppdateras med senaste Service Pack från
Windows Rights Management Services TechCenter på TechNet (https://go.microsoft.com/fwlink/?LinkId=140054). (Sidan kan vara på engelska.)
Viktiga överväganden när du installerar AD RMS med stöd för identitetsfederation.
Här följer en lista med saker som du bör tänka på innan du installerar AD RMS med stöd för identitetsfederation:
-
Det måste konfigureras en federerad betrodd relation innan du installerar Stöd för identitetsfederation. Under installationen av rolltjänsten Stöd för identitetsfederation ombeds du att ange URL för federationstjänsten.
-
Active Directory Federation Services (AD FS) kräver säker kommunikation mellan AD RMS och AD FS-resursservern. I syfte att använda federationsstöd med AD RMS måste du installera AD RMS genom att använda en säker klusteradress.
-
Tjänstkontot för AD RMS måste ha rättigheten Hantera granskning. Den här rättigheten beviljas genom att använda konsolen Lokal säkerhetsprincip.
-
AD RMS-extranätets kluster-URL måste vara tillgängligt för den federerade kontopartnern.
Viktiga överväganden när du installerar AD RMS med stöd för Microsoft Federation Gateway.
Här följer en lista med saker som du bör tänka på innan du installerar AD RMS med Microsoft Federation Gateway:
-
AD RMS-klustret måste konfigureras med en SSL-krypterad anslutning som använder ett certifikat som är betrott i Microsoft Federation Gateway. För att kunna bevisa att du äger domänen som du vill federera med Microsoft Federation Gateway, måste du Du måste äga X.509 SSL-certifikatet för domänen. Certifikatet måste vara utfärdat av en av de betrodda rotcertifikatutfärdare som finns konfigurerade i Microsoft Federation Gateway. I följande tabell beskrivs dessa certifikatutfärdare.
SSL-certifikatet som du använder för registrering i Microsoft Federation Gateway måste vara ett certifikat som bevisar ägarskap av AD RMS-klustrets extranät-URL. Om AD RMS-klustret konfigureras med en intranät-URL som skiljer sig från extranät-URL:en, och om intranät-URL:en inte är ett domännamn som kan kommas åt från Internet, måste du SSL-certifikatet som är kopplat till extranät-URL:en på denna AD RMS-server och sedan välja detta certifikat vid registreringen i Microsoft Federation Gateway.Certifikatutfärdaren egna namn.
Utfärdat till
Avsedda syften
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)Entrust.net, utfärdare av säkra servercertifikat
Serverautentisering, klientautentisering, kodsignering, säkra meddelanden, terminering av IP-säkerhetstunnlar, IPsec-användare (Internet Protocol security), IKE-mellanhand (Internet Key Exchange) för IPsec, tidsstämpling, kryptering av filsystem
Go Daddy Certifikatutfärdare, klass 2 (https://go.microsoft.com/fwlink/?LinkId=162664)Go Daddy, certifikatutfärdare av klass 2
Serverautentisering, klientautentisering, säkra meddelanden, kodsignering
Network Solutions (https://go.microsoft.com/fwlink/?LinkId=162665)Network Solutions, certifikatutfärdare
Serverautentisering, klientautentisering, säkra meddelanden, kodsignering, tidsstämpling
VeriSign Offentlig primär certifikatutfärdare, klass 3 (https://go.microsoft.com/fwlink/?LinkId=162667)Offentlig primär certifikatutfärdare, klass 3
Säkra meddelanden, klientautentisering, kodsignering, serverautentisering
VeriSign
Offentlig primär certifikatutfärdare, klass 3
Säkra meddelanden, klientautentisering, kodsignering, serverautentisering
VeriSign
VeriSign Trust Network
Säkra meddelanden, klientautentisering, kodsignering, serverautentisering
VeriSign
VeriSign, offentlig primär certifikatutfärdare, klass 3 - G5
Serverautentisering, klientautentisering, säkra meddelanden, kodsignering
Om SSL-certifikatet innehåller ett SAN (Subject Alternate Name) måste sista posten i SAN-listan vara det fullständiga domännamnet för domänen som du vill registrera i Microsoft Federation Gateway.
-
I de virtuella kataloger som skapas för användning i Stöd för Microsoft Federation Gateway används http://. På grund av detta måste brandväggen konfigureras så att http://-data släpps igenom. Observera dock att säkerhet på meddelandenivå används i http://-transaktionerna för Stöd för Microsoft Federation Gateway.
-
Mer information finns i Så fungerar Microsoft Federation Gateway.
Varning | |
Innan du avinstallerar Service Pack 1 för Windows Server® 2008 R2 måste du ta bort Stöd för Microsoft Federation Gateway från AD RMS-klustret. Om du inte gör det kan AD RMS-klustret få en inkonsekvent konfiguration. Mer information finns i Ta bort stöd för Microsoft Federation Gateway. |
Systemkrav
Följande tabell beskriver de lägsta maskinvarukraven och rekommendationerna för att köra Windows Server® 2008 R2-servrar med AD RMS-serverrollen.
Krav | Rekommendation |
---|---|
En Pentium 4 3 GHz-processor eller högre |
Två Pentium 4 3 GHz-processorer eller högre |
512 MB RAM |
1 024 MB RAM |
40 GB ledigt hårddiskutrymme |
80 GB ledigt hårddiskutrymme |
Följande tabell beskriver programvarukraven för att köra Windows Server 2008 R2-servrar med AD RMS-serverrollen. För krav som kan uppfyllas genom att aktivera funktioner i operativsystemet gäller att när du installerar AD RMS-serverrollen konfigureras de funktioner som lämpliga, om de inte redan har konfigurerats.
Programvara | Krav |
---|---|
Operativsystem |
Windows Server 2008 R2 |
Filsystem |
Filsystemet NTFS rekommenderas |
Meddelanden |
Meddelandekö |
Webbtjänster |
IIS (Internet Information Services) ASP.NET måste aktiveras. |
Active Directory eller AD DS |
AD RMS måste installeras i en Active Directory-domän i vilken domänkontrollanterna kör Windows Server 2000 med SP3 (Service Pack 3), Windows Server 2003, Windows Server® 2008 eller Windows Server 2008 R2. Alla användare och grupper som använder AD RMS för att erhålla licenser och publicera innehåll måste ha en e-postadress som har konfigurerats i Active Directory. |
Databasserver |
AD RMS kräver en databasserver, exempelvis Microsoft SQL Server 2005, och lagrade procedurer för att kunna utföra åtgärder. AD RMS-serverrollen på Windows Server 2008 R2 stöder inte Microsoft SQL Server 2000. |
Övriga referenser
-
Checklista: Distribuera en installation med en enda server
-
Checklista: Distribuera AD RMS i ett extranät
-
Checklista: Distribuera AD RMS i en organisation med användare i flera skogar
-
Checklista: Distribuera ett AD RMS-licenskluster
-
Checklista: Distribuera AD RMS med AD FS
-
Checklista: Distribuera AD RMS med Microsoft Federation Gateway-stöd