Подготовка к установке службы управления правами Active Directory
Перед первой установкой Служба управления правами Active Directory (AD RMS) на компьютере с системой Windows Server® 2008 R2 необходимо выполнить ряд условий, которые указаны ниже.
- Установите сервер AD RMS в качестве
рядового сервера в том же домене доменных служб Active Directory,
где расположены учетные записи пользователей, которые будут
работать с содержимым, защищенным правами.
- Создайте учетную запись пользователя домена
без дополнительных разрешений, которую можно будет использовать в
качестве учетной записи службы AD RMS.
- Выберите учетную запись пользователя для
установки AD RMS с указанными ниже ограничениями.
- Учетная запись пользователя, выполняющего
установку AD RMS, должна отличаться от учетной записи службы
AD RMS.
- Если во время установки регистрируется точка
подключения службы AD RMS, учетная запись пользователя,
выполняющего установку AD RMS, должна входить в группу
администраторов предприятия доменных служб Active Directory или
иметь аналогичные права.
- Если для размещения баз данных AD RMS
используется внешний сервер баз данных, учетная запись
пользователя, выполняющего установку AD RMS, должна иметь
право на создание баз данных. Если используется сервер Microsoft
SQL Server 2005 или Microsoft SQL Server 2008, учетная
запись пользователя должна быть членом роли базы данных «Системные
администраторы» или иметь аналогичные права.
- Учетная запись пользователя, устанавливающего
AD RMS, должна иметь право на выполнение запросов домена
доменных служб Active Directory.
- Учетная запись пользователя, выполняющего
установку AD RMS, должна отличаться от учетной записи службы
AD RMS.
- Зарезервируйте URL-адрес для кластера
AD RMS, который будет доступен в течение срока использования
AD RMS. Убедитесь, что зарезервированный URL-адрес отличается
от имени компьютера.
Кроме того, настоятельно рекомендуется выполнить указанные ниже действия.
- Установите сервер баз данных, используемый
для размещения баз данных AD RMS, на отдельном компьютере.
Сведения о серверах баз данных, поддерживаемых Windows
Server 2008 R2, см. в разделе Требования к системе.
- Установите кластер AD RMS, используя
SSL-сертификат. Этот сертификат должен быть выдан доверенным
корневым центром сертификации.
- Создайте запись псевдонима DNS (CNAME) для
URL-адреса кластера AD RMS и отдельную запись CNAME для
компьютера, на котором расположена база данных конфигурации
AD RMS. При выведении серверов AD RMS из эксплуатации, их
повреждении из-за сбоя оборудования или при изменении имени
компьютера запись CNAME можно обновить без повторной публикации
всего содержимого, защищенного правами.
- Если для обслуживания базы данных
конфигурации AD RMS используется именованный экземпляр, перед
установкой AD RMS необходимо запустить службу «SQL Server,
браузер» на сервере баз данных. В противном случае программа
установки AD RMS не сможет найти базу данных конфигурации и
выполнить установку.
Подготовка к обновлению службы управления правами до службы управления правами Active Directory
При обновлении любой версии службы управления правами до AD RMS выполните указанные ниже действия.
- Создайте резервную копию баз данных службы
управления правами и сохраните ее в надежном месте.
- Если в качестве учетной записи службы для
кластера служб управления правами используется локальная учетная
запись SYSTEM, перед обновлением службы управления правами до
AD RMS эту учетную запись необходимо изменить на учетную
запись пользователя домена.
- Если для подготовки службы управления правами
к работе использовалась автономная заявка, перед обновлением до
AD RMS убедитесь, что подача заявки завершена.
- Если для размещения баз данных службы
управления правами используется MSDE, перед обновлением кластера
службы управления правами до AD RMS необходимо обновить базы
данных до Microsoft SQL Server 2005 или более поздней версии.
Обновление службы управления правами с помощью базы данных MSDE не
поддерживается.
- Если для размещения баз данных службы
управления правами используется сервер Microsoft SQL
Server 2000, перед обновлением кластера службы управления
правами до AD RMS необходимо обновить базы данных до Microsoft
SQL Server 2005 или более поздней версии.
- Очистите очередь сообщений службы управления
правами, чтобы обеспечить запись всех сообщений в базу данных
журнала этой службы.
Важные сведения об установке службы управления правами Active Directory
Ниже приведен список требований, которые следует учесть перед установкой AD RMS.
- Самозаверяющие сертификаты следует
использовать только в тестовой среде. В пилотной и рабочей средах
рекомендуется использовать SSL-сертификат, выданный доверенным
центром сертификации.
- Внутренняя база данных Windows с AD RMS
предназначена для использования только в тестовых средах. Поскольку
внутренняя база данных Windows не поддерживает удаленные
подключения, в таком сценарии невозможно добавить в кластер
AD RMS еще один сервер.
- Если точка подключения службы уже существует
в лесу Active Directory, для которого выполняется установка
AD RMS, убедитесь, что URL-адрес кластера в точке подключения
службы не отличается от URL-адреса кластера новой установки. Если
эти URL-адреса разные, во время установки AD RMS не следует
регистрировать точку подключения службы.
- При установке AD RMS URL-адрес кластера
localhost не поддерживается.
- При указании учетной записи службы
AD RMS во время установки убедитесь, что в компьютер не
вставлена смарт-карта. В противном случае будет выведено сообщение
о том, что у учетной записи пользователя, устанавливающего
AD RMS, нет прав на выполнение запросов доменных служб Active
Directory.
- При присоединении нового сервера к
существующему кластеру AD RMS SSL-сертификат должен уже
существовать на новом сервере перед началом установки
AD RMS.
- По умолчанию служба управления правами
Active Directory не поддерживает проверку подлинности
Kerberos. Сведения о том, как настроить сервер для поддержки
проверки подлинности Kerberos, см. в разделе Включение поддержки
протокола проверки подлинности Kerberos.
- В Windows Server 2008 R2 не
поддерживается клиент службы управления правами Windows версии 1.
Поддержка этой версии клиента была прекращена после выпуска
последнего пакета обновления для него. Чтобы по-прежнему можно было
создавать и использовать содержимое, защищенное с помощью
AD RMS, на компьютерах с клиентом службы управления правами
версии 1, необходимо установить последний пакет обновления, который
можно загрузить с веб-сайта Технического центра службы управления правами Windows в
сети TechNet
(http://go.microsoft.com/fwlink/?LinkId=140054).
Важные сведения об установке службы управления правами Active Directory с поддержкой федерации удостоверений
Ниже приведен список требований, которые следует учесть перед установкой AD RMS с поддержкой удостоверений в службе федерации.
- Перед установкой поддержки федерации
удостоверений необходимо настроить федеративное доверительное
отношение. Во время установки службы роли поддержки федерации
удостоверений будет предложено указать URL-адрес службы
федерации.
- Для работы служб федерации Active Directory
необходимо безопасное соединение между AD RMS и сервером
ресурсов служб федерации Active Directory. Чтобы можно было
использовать поддержку федерации с AD RMS, необходимо
установить AD RMS с использованием надежного адреса
кластера.
- Учетная запись службы AD RMS должна
иметь разрешение Создание аудитов безопасности. Это
разрешение может быть предоставлено в консоли локальной политики
безопасности.
- Федеративный партнер по учетной записи должен
иметь доступ к URL-адресам кластера экстрасети AD RMS.
Важные сведения об установке службы управления правами Active Directory с поддержкой шлюза Microsoft Federation Gateway
Ниже приведен список требований, которые следует учесть перед установкой AD RMS с Microsoft Federation Gateway.
- Кластер AD RMS необходимо настроить для
использования подключения с шифрованием по протоколу SSL с
сертификатом, которому доверяет Microsoft Federation Gateway. Для
доказательства прав на домен, с которым Microsoft Federation
Gateway требуется установить федеративные отношения, необходимо
владеть SSL-сертификатом X.509 для этого домена. Он должен быть
выдан одним из доверенных корневых центров сертификации,
настроенных в Microsoft Federation Gateway. В приведенной ниже
таблице указаны эти центры.
Понятное имя сертификата центра сертификации
Кому выдан
Предполагаемое назначение
Entrust (http://go.microsoft.com/fwlink/?LinkId=162663)
Центр сертификации Entrust.net Secure Server
Проверка подлинности сервера, проверка подлинности клиента, подписание кода, безопасный обмен сообщениями, окончание туннеля IP-безопасности, пользователь IPsec, IKE-посредник IP-безопасности, установка отметки времени, шифрование файловых систем.
Go Daddy — центр сертификации класса 2 (http://go.microsoft.com/fwlink/?LinkId=162664)
Центр сертификации класса 2 Go Daddy
Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода.
Network Solutions (http://go.microsoft.com/fwlink/?LinkId=162665)
Центр сертификации Network Solutions
Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода, установка отметки времени.
VeriSign — общий первичный центр сертификации класса 3 (http://go.microsoft.com/fwlink/?LinkId=162667)
Общий первичный центр сертификации класса 3
Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.
VeriSign
Общий первичный центр сертификации класса 3
Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.
VeriSign
VeriSign Trust Network
Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.
VeriSign
Общий первичный центр сертификации VeriSign класса 3 — G5
Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода.
Если SSL-сертификат содержит альтернативное имя темы (SAN), последняя запись в списке SAN должна быть полным доменным именем домена, от которого требуется подать заявку на Microsoft Federation Gateway.
- Виртуальные каталоги, созданные для Microsoft
Federation Gateway Support, используют префикс http://. По этой
причине брандмауэр необходимо настроить так, чтобы он пропускал
данные по протоколу http://. Имейте, однако, в виду, что при
передаче данных Microsoft Federation Gateway Support по этому
протоколу безопасность обеспечивается на уровне сообщений.
- Дополнительные сведения см. в разделе
Общие сведения о
шлюзе Microsoft Federation Gateway.
Внимание! |
---|
Прежде чем удалять пакет обновления 1 для Windows Server® 2008 R2, необходимо удалить Microsoft Federation Gateway Support из кластера AD RMS. Невыполнение этого требования может привести к несоответствиям в конфигурации кластера AD RMS. Дополнительные сведения см. в разделе Удаление поддержки шлюза Microsoft Federation Gateway. |
Требования к системе
В приведенной ниже таблице представлены рекомендации и минимальные требования к оборудованию для запуска серверов Windows Server® 2008 R2 с ролью сервера AD RMS.
Требование | Рекомендация |
---|---|
Один процессор Pentium 4 с частотой 3 ГГц или выше |
Два процессора Pentium 4 с частотой 3 ГГц или выше |
512 МБ ОЗУ |
1024 МБ ОЗУ |
40 ГБ свободного места на жестком диске |
80 ГБ свободного места на жестком диске |
В приведенной ниже таблице представлены минимальные требования к программному обеспечению для запуска серверов Windows Server 2008 R2 с ролью сервера AD RMS. Некоторые требования можно выполнить, включив определенные функции в операционной системе. При установке роли сервера AD RMS выполняется соответствующая настройка этих функций, если они не были настроены ранее.
Программное обеспечение | Требование |
---|---|
Операционная система |
Windows Server 2008 R2 |
Файловая система |
Рекомендуется использовать файловую систему NTFS |
Обмен сообщениями |
Служба очереди сообщений |
Веб-службы |
Службы IIS Необходимо включить ASP.NET. |
Active Directory или доменные службы Active Directory |
AD RMS необходимо установить в домене Active Directory, в котором расположены контроллеры домена с системой Windows Server 2000 с пакетом обновления 3 (SP3), Windows Server 2003, Windows Server® 2008 или Windows Server 2008 R2. Все пользователи и группы, использующие AD RMS для получения лицензий и публикации содержимого, должны иметь адрес электронной почты, настроенный в Active Directory. |
Сервер баз данных |
Для работы AD RMS требуется сервер баз данных, например Microsoft SQL Server 2005, и поддержка хранимых процедур. Роль сервера AD RMS на компьютере с Windows Server 2008 R2 не поддерживает Microsoft SQL Server 2000. |
Дополнительные сведения
- Контрольный список:
Развертывание установки на одном сервере
- Контрольный список:
Развертывание службы управления правами AD в экстрасети
- Контрольный список:
Развертывание службы управления правами Active Directory в
организации с пользователями в нескольких лесах
- Контрольный список:
Развертывание кластера лицензирования службы управления правами
AD
- Контрольный список:
Развертывание службы управления правами Active Directory со
службами федерации Active Directory
- Контрольный список:
Развертывание службы управления правами Active Directory с
поддержкой шлюза Microsoft Federation Gateway