Если планируется применение служб управления правами Active Directory (AD RMS) совместно с проверкой подлинности Kerberos, после установки роли AD RMS и подготовки к работе сервера, на котором выполняются службы AD RMS, необходимо выполнить его дополнительную настройку. В частности, необходимо выполнить следующие действия.

  • Присвойте переменной useAppPoolCredentials информационных служб Интернета (IIS) значение True.

  • Присвойте учетной записи служб AD RMS значения имен участников служб (SPN).

Членство в группе "Администраторы предприятия AD RMS" и "Администраторы предприятия" в AD DS (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.

Присвойте переменной useAppPoolCredentials информационных служб Интернета (IIS) значение True.

  1. Откройте окно командной строки с повышенными привилегиями. Чтобы открыть окно командной строки с повышенными привилегиями, нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

  2. Перейдите в папку %windir%\system32\inetsrv.

  3. Введите команду appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.

Важно!
Для успешного выполнения следующих действий учетная запись служб AD RMS должна быть установлена в том же лесу, что и кластер AD RMS. Кроме того, перед выполнением этих действий для измененной учетной записи служб AD RMS необходимо удалить регистрации SPN для предыдущей учетной записи.

Присвойте учетной записи служб AD RMS значения имен участников служб (SPN).

  1. Откройте окно командной строки с повышенными привилегиями. Чтобы открыть окно командной строки с повышенными привилегиями, нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

  2. Введите команду setspn -a HTTP/<имя_сервера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <имя_сервера> - это имя сервера, <домен_учетной_записи_службы> - имя домена, которому принадлежит учетная запись служб AD RMS, а <учетная_запись_службы> - имя соответствующей учетной записи служб AD RMS.

  3. Введите команду setspn -a HTTP/<полное_доменное_имя_сервера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <полное_доменное_имя_сервера> - это полное доменное имя сервера.

  4. Введите команду setspn -a HTTP/<имя_кластера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <имя_кластера> - имя кластера служб AD RMS.

  5. Введите команду setspn -a HTTP/<полное_доменное_имя_кластера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <полное_доменное_имя_кластера> - полное доменное имя кластера.

Примечание
Если в кластере используется протокол SSL, повторите действия со 2 по 5, вводя HTTPS вместо HTTP.

Дополнительные ссылки