安装 AD RMS 之前
首次在 Windows Server® 2008 R2 上安装 Active Directory 权限管理服务 (AD RMS) 之前,必须满足几个要求:
-
在将使用受权限保护的内容的用户帐户所在的同一 Active Directory 域服务 (AD DS) 域中,将 AD RMS 服务器安装为成员服务器。
-
创建一个可用作 AD RMS 服务帐户的没有额外权限的域用户帐户。
-
根据以下限制来选择用于安装 AD RMS 的用户帐户:
-
安装 AD RMS 的用户帐户必须不同于该 AD RMS 服务帐户。
-
如果在安装过程中注册 AD RMS 服务连接点 (SCP),则安装 AD RMS 的用户帐户必须是 AD DS Enterprise Admins 组或同等组的成员。
-
如果对 AD RMS 数据库使用外部数据库服务,则安装 AD RMS 的用户帐户必须具有创建新数据库的权限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008,则用户帐户必须是系统管理员数据库角色或同等角色的成员。
-
安装 AD RMS 的用户帐户必须有权查询 AD DS 域。
-
安装 AD RMS 的用户帐户必须不同于该 AD RMS 服务帐户。
-
为将在 AD RMS 安装的整个生存时间可用的 AD RMS 群集保留一个 URL。确保保留的 URL 不同于计算机名称。
除了 AD RMS 的预安装要求,我们强烈建议您执行以下操作:
-
在单独的计算机上安装用于承载 AD RMS 数据库的数据库服务器。有关 Windows Server 2008 R2 支持的数据库服务器的信息,请参阅系统需求。
-
使用安全套接字层 (SSL) 证书安装 AD RMS 群集。该证书应由受信任的根证书颁发机构颁发。
-
为 AD RMS 群集 URL 创建一个 DNS 别名 (CNAME) 记录,并为承载 AD RMS 配置数据库的计算机创建一个单独的 CNAME 记录。如果因硬件故障或计算机名称被更改而导致 AD RMS 服务器注销或丢失,可以更新 CNAME 记录,而无需重新发布所有受权限保护的文件。
-
如果对 AD RMS 配置数据库使用命名实例,则在安装 AD RMS 之前必须在数据库服务器上启动 SQL Server Browser 服务。否则,AD RMS 安装将无法找到配置数据库,安装将失败。
从 RMS 升级到 AD RMS 之前
如果从任何版本的 Rights Management Services (RMS) 升级到 AD RMS,请执行下列操作:
-
备份 RMS 数据库并将其存储在一个安全的位置。
-
如果将 RMS 群集配置为使用本地系统帐户作为群集的服务帐户,则从 RMS 升级到 AD RMS 之前,必须将服务帐户从本地系统帐户更改为域用户帐户。
-
如果已使用脱机注册选项来设置 RMS,请确保在升级到 AD RMS 之前注册已完成。
-
如果过去一直使用 MSDE 承载 RMS 数据库,在将 RMS 群集升级到 AD RMS 之前,必须将该数据库升级到 Microsoft SQL Server 2005 或更高版本。不支持使用 MSDE 数据库升级 RMS 版本。
-
如果过去一直使用 Microsoft SQL Server 2000 承载 RMS 数据库,在将 RMS 群集升级到 AD RMS 之前,必须将该数据库升级到 Microsoft SQL Server 2005 或更高版本。
-
刷新 RMS 消息队列以确保所有消息都写入 RMS 日志记录数据库。
安装 AD RMS 的重要注意事项
下面列出了安装 AD RMS 之前应该注意的事项:
-
自签名证书应仅用于测试环境。对于试生产和生产环境,建议使用由受信任的证书颁发机构颁发的 SSL 证书。
-
带有 AD RMS 的 Windows 内部数据库仅用于测试环境。由于 Windows 内部数据库不支持远程连接,因此,在此方案中无法将其他服务器添加到 AD RMS 群集。
-
如果安装 AD RMS 的 Active Directory 林中已经存在 SCP,请确保该 SCP 中的群集 URL 与新安装的群集 URL 相同。如果不同,则在 AD RMS 安装过程中不应注册 SCP。
-
安装 AD RMS 时,localhost 不是受支持的群集 URL。
-
在安装过程中指定 AD RMS 服务帐户时,请确保尚未将智能卡插入计算机中。如果已将智能卡连接到计算机,您将收到错误消息,指出安装 AD RMS 的用户帐户无权查询 AD DS。
-
如果将新服务器加入现有 AD RMS 群集,则在 AD RMS 安装开始之前,SSL 证书应该已经存在于新服务器上。
-
默认情况下,AD RMS 不支持 Kerberos 身份验证。有关将服务器配置为支持 Kerberos 身份验证时必须执行的步骤信息,请参阅启用 Kerberos 身份验证支持。
-
Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客户端版本 1。对此版本的客户端支持随着 RMS 客户端版本 1 的最新 Service Pack 的发行而结束。要继续创建和访问受 AD RMS 保护的内容,运行 RMS 客户端版本 1 的客户端必须安装最新的 Service Pack(位于
Windows Rights Management Services TechCenter on TechNet (https://go.microsoft.com/fwlink/?LinkId=140054)(可能为英文网页)。
安装带有标识联合身份验证支持的 AD RMS 的重要注意事项
下面列出了安装带有标识联合身份验证支持的 AD RMS 之前应该注意的事项:
-
安装标识联合身份验证支持之前,必须配置联合信任关系。在安装标识联合身份验证支持角色服务期间,系统会要求您指定联合身份验证服务的 URL。
-
Active Directory 联合身份验证服务 (AD FS) 要求在 AD RMS 和 AD FS 资源服务器之间进行安全通信。为了将联合身份验证支持用于 AD RMS,必须使用安全群集地址安装 AD RMS。
-
AD RMS 服务帐户必须具有“生成安全审核”权限。此权限通过使用本地安全策略控制台授予。
-
AD RMS Extranet 群集 URL 必须可由联合帐户伙伴访问。
安装带有 Microsoft Federation Gateway 支持的 AD RMS 的重要注意事项
下面列出了安装带有 Microsoft 联合身份验证网关的 AD RMS 之前应该注意的事项:
-
AD RMS 群集必须配置为使用一个 SSL 加密的连接,且该 SSL 加密连接必须使用 Microsoft 联合身份验证网关 信任的证书。要证明您拥有希望与 Microsoft 联合身份验证网关 联合的域,您必须拥有该域的 X.509 SSL 证书。该证书必须来自 Microsoft 联合身份验证网关 中配置的受信任根证书颁发机构 (CA) 之一。下表列出了这些 CA。
注册 Microsoft 联合身份验证网关 所使用的 SSL 证书必须是显示 AD RMS 群集的 Extranet URL 所有权的证书。如果 AD RMS 群集配置的 Intranet URL 不同于该 Extranet URL,且如果该 Intranet URL 不是一个可从 Internet 访问的域名,您必须在此 AD RMS 服务器上安装与 Extranet URL 关联的 SSL 证书,然后在注册 Microsoft 联合身份验证网关 时选择该证书。CA 证书友好名称
颁发给
预期目的
Entrust (https://go.microsoft.com/fwlink/?LinkId=162663)(可能为英文网页)Entrust.net Secure Server 证书颁发机构
服务器身份验证,客户端身份验证,代码签名,安全消息,IP 安全隧道终止,Internet 协议安全 (IPsec) 用户,Internet 协议安全 (IPsec) Internet 密钥交换 (IKE) 中级,时间戳,文件系统加密
Go Daddy Class 2 证书颁发机构 (https://go.microsoft.com/fwlink/?LinkId=162664)(可能为英文网页)Go Daddy Class 2 证书颁发机构
服务器身份验证,客户端身份验证,安全消息,代码签名
网络解决方案 (https://go.microsoft.com/fwlink/?LinkId=162665)(可能为英文网页)网络解决方案证书颁发机构
服务器身份验证,客户端身份验证,安全消息,代码签名,时间戳
VeriSign Class 3 Public Primary CA (https://go.microsoft.com/fwlink/?LinkId=162667)(可能为英文网页)Class 3 Public Primary 证书颁发机构
安全消息,客户端身份验证,代码签名,服务器身份验证
VeriSign
Class 3 公共主要证书颁发机构
安全消息,客户端身份验证,代码签名,服务器身份验证
VeriSign
VeriSign 信任网络
安全消息,客户端身份验证,代码签名,服务器身份验证
VeriSign
VeriSign Class 3 公共主要证书颁发机构 - G5
服务器身份验证,客户端身份验证,安全消息,代码签名
如果该 SSL 证书包含使用者备有名称 (SAN),则 SAN 列表中的最后一项必须是要注册 Microsoft 联合身份验证网关 的域的完全限定域名。
-
为供 Microsoft 联合身份验证网关支持 使用的虚拟目录使用的是 http://。因此,您的防火墙必须设置为启用要传递的 http:// 数据。但请注意,Microsoft 联合身份验证网关支持 的 http:// 事务使用的是消息级别的安全。
-
有关详细信息,请参阅了解 Microsoft Federation Gateway
 小心 |
|---|
|
在卸载用于 Windows Server® 2008 R2 的 Service Pack 1 之前,您必须从 AD RMS 群集中删除 Microsoft 联合身份验证网关支持。否则可能导致 AD RMS 群集出现配置不一致的情况。有关详细信息,请参阅删除 Microsoft Federation Gateway 支持。
|
系统要求
下表描述了运行具有 AD RMS 服务器角色的 Windows Server® 2008 R2 服务器的最低硬件要求和建议。
| 要求 | 建议 |
|---|---|
|
一个 Pentium 4 3 GHz 处理器或更高级处理器 |
两个 Pentium 4 3 GHz 处理器或更高级处理器 |
|
512 MB 的 RAM |
1024 MB 的 RAM |
|
40 GB 的可用硬盘空间 |
80 GB 的可用硬盘空间 |
下表描述了运行具有 AD RMS 服务器角色的 Windows Server 2008 R2 服务器的软件要求。对于通过启用操作系统上的功能可以满足的要求,可通过安装 AD RMS 服务器角色根据需要配置这些功能(如果尚未配置这些功能)。
| 软件 | 要求 |
|---|---|
|
操作系统 |
Windows Server 2008 R2 |
|
文件系统 |
建议使用 NTFS 文件系统 |
|
消息 |
消息队列 |
|
Web 服务 |
Internet 信息服务 (IIS) 必须启用 ASP.NET。 |
|
Active Directory 或 AD DS |
AD RMS 必须安装在 Active Directory 域中,其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server® 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。 |
|
数据库服务器 |
AD RMS 需要数据库服务器(如 Microsoft SQL Server 2005)和存储过程来执行操作。Windows Server 2008 R2 上的 AD RMS 服务角色不支持 Microsoft SQL Server 2000。 |