Если планируется применение служб управления правами Active Directory (AD RMS) совместно с проверкой подлинности Kerberos, после установки роли AD RMS и подготовки к работе сервера, на котором выполняются службы AD RMS, необходимо выполнить его дополнительную настройку. В частности, необходимо выполнить следующие действия.
- Присвойте переменной useAppPoolCredentials
информационных служб Интернета (IIS) значение True.
- Присвойте учетной записи служб AD RMS
значения имен участников служб (SPN).
Членство в группе "Администраторы предприятия AD RMS" и "Администраторы предприятия" в AD DS (или аналогичной) является минимальным необходимым условием для выполнения этой процедуры.
Присвойте переменной useAppPoolCredentials информационных служб Интернета (IIS) значение True.
-
Откройте окно командной строки с повышенными привилегиями. Чтобы открыть окно командной строки с повышенными привилегиями, нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
-
Перейдите в папку %windir%\system32\inetsrv.
-
Введите команду appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true.
Важно! |
---|
Для успешного выполнения следующих действий учетная запись служб AD RMS должна быть установлена в том же лесу, что и кластер AD RMS. Кроме того, перед выполнением этих действий для измененной учетной записи служб AD RMS необходимо удалить регистрации SPN для предыдущей учетной записи. |
Присвойте учетной записи служб AD RMS значения имен участников служб (SPN).
-
Откройте окно командной строки с повышенными привилегиями. Чтобы открыть окно командной строки с повышенными привилегиями, нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
-
Введите команду setspn -a HTTP/<имя_сервера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <имя_сервера> - это имя сервера, <домен_учетной_записи_службы> - имя домена, которому принадлежит учетная запись служб AD RMS, а <учетная_запись_службы> - имя соответствующей учетной записи служб AD RMS.
-
Введите команду setspn -a HTTP/<полное_доменное_имя_сервера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <полное_доменное_имя_сервера> - это полное доменное имя сервера.
-
Введите команду setspn -a HTTP/<имя_кластера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <имя_кластера> - имя кластера служб AD RMS.
-
Введите команду setspn -a HTTP/<полное_доменное_имя_кластера> <домен_учетной_записи_службы>\<учетная_запись_службы>, где <полное_доменное_имя_кластера> - полное доменное имя кластера.
Примечание |
---|
Если в кластере используется протокол SSL, повторите действия со 2 по 5, вводя HTTPS вместо HTTP. |