Подготовка к установке службы управления правами Active Directory

Перед первой установкой Служба управления правами Active Directory (AD RMS) на компьютере с системой Windows Server® 2008 R2 необходимо выполнить ряд условий, которые указаны ниже.

  • Установите сервер AD RMS в качестве рядового сервера в том же домене доменных служб Active Directory, где расположены учетные записи пользователей, которые будут работать с содержимым, защищенным правами.

  • Создайте учетную запись пользователя домена без дополнительных разрешений, которую можно будет использовать в качестве учетной записи службы AD RMS.

  • Выберите учетную запись пользователя для установки AD RMS с указанными ниже ограничениями.

    • Учетная запись пользователя, выполняющего установку AD RMS, должна отличаться от учетной записи службы AD RMS.

    • Если во время установки регистрируется точка подключения службы AD RMS, учетная запись пользователя, выполняющего установку AD RMS, должна входить в группу администраторов предприятия доменных служб Active Directory или иметь аналогичные права.

    • Если для размещения баз данных AD RMS используется внешний сервер баз данных, учетная запись пользователя, выполняющего установку AD RMS, должна иметь право на создание баз данных. Если используется сервер Microsoft SQL Server 2005 или Microsoft SQL Server 2008, учетная запись пользователя должна быть членом роли базы данных «Системные администраторы» или иметь аналогичные права.

    • Учетная запись пользователя, устанавливающего AD RMS, должна иметь право на выполнение запросов домена доменных служб Active Directory.

  • Зарезервируйте URL-адрес для кластера AD RMS, который будет доступен в течение срока использования AD RMS. Убедитесь, что зарезервированный URL-адрес отличается от имени компьютера.

Кроме того, настоятельно рекомендуется выполнить указанные ниже действия.

  • Установите сервер баз данных, используемый для размещения баз данных AD RMS, на отдельном компьютере. Сведения о серверах баз данных, поддерживаемых Windows Server 2008 R2, см. в разделе Требования к системе.

  • Установите кластер AD RMS, используя SSL-сертификат. Этот сертификат должен быть выдан доверенным корневым центром сертификации.

  • Создайте запись псевдонима DNS (CNAME) для URL-адреса кластера AD RMS и отдельную запись CNAME для компьютера, на котором расположена база данных конфигурации AD RMS. При выведении серверов AD RMS из эксплуатации, их повреждении из-за сбоя оборудования или при изменении имени компьютера запись CNAME можно обновить без повторной публикации всего содержимого, защищенного правами.

  • Если для обслуживания базы данных конфигурации AD RMS используется именованный экземпляр, перед установкой AD RMS необходимо запустить службу «SQL Server, браузер» на сервере баз данных. В противном случае программа установки AD RMS не сможет найти базу данных конфигурации и выполнить установку.

Подготовка к обновлению службы управления правами до службы управления правами Active Directory

При обновлении любой версии службы управления правами до AD RMS выполните указанные ниже действия.

  • Создайте резервную копию баз данных службы управления правами и сохраните ее в надежном месте.

  • Если в качестве учетной записи службы для кластера служб управления правами используется локальная учетная запись SYSTEM, перед обновлением службы управления правами до AD RMS эту учетную запись необходимо изменить на учетную запись пользователя домена.

  • Если для подготовки службы управления правами к работе использовалась автономная заявка, перед обновлением до AD RMS убедитесь, что подача заявки завершена.

  • Если для размещения баз данных службы управления правами используется MSDE, перед обновлением кластера службы управления правами до AD RMS необходимо обновить базы данных до Microsoft SQL Server 2005 или более поздней версии. Обновление службы управления правами с помощью базы данных MSDE не поддерживается.

  • Если для размещения баз данных службы управления правами используется сервер Microsoft SQL Server 2000, перед обновлением кластера службы управления правами до AD RMS необходимо обновить базы данных до Microsoft SQL Server 2005 или более поздней версии.

  • Очистите очередь сообщений службы управления правами, чтобы обеспечить запись всех сообщений в базу данных журнала этой службы.

Важные сведения об установке службы управления правами Active Directory

Ниже приведен список требований, которые следует учесть перед установкой AD RMS.

  • Самозаверяющие сертификаты следует использовать только в тестовой среде. В пилотной и рабочей средах рекомендуется использовать SSL-сертификат, выданный доверенным центром сертификации.

  • Внутренняя база данных Windows с AD RMS предназначена для использования только в тестовых средах. Поскольку внутренняя база данных Windows не поддерживает удаленные подключения, в таком сценарии невозможно добавить в кластер AD RMS еще один сервер.

  • Если точка подключения службы уже существует в лесу Active Directory, для которого выполняется установка AD RMS, убедитесь, что URL-адрес кластера в точке подключения службы не отличается от URL-адреса кластера новой установки. Если эти URL-адреса разные, во время установки AD RMS не следует регистрировать точку подключения службы.

  • При установке AD RMS URL-адрес кластера localhost не поддерживается.

  • При указании учетной записи службы AD RMS во время установки убедитесь, что в компьютер не вставлена смарт-карта. В противном случае будет выведено сообщение о том, что у учетной записи пользователя, устанавливающего AD RMS, нет прав на выполнение запросов доменных служб Active Directory.

  • При присоединении нового сервера к существующему кластеру AD RMS SSL-сертификат должен уже существовать на новом сервере перед началом установки AD RMS.

  • По умолчанию служба управления правами Active Directory не поддерживает проверку подлинности Kerberos. Сведения о том, как настроить сервер для поддержки проверки подлинности Kerberos, см. в разделе Включение поддержки протокола проверки подлинности Kerberos.

  • В Windows Server 2008 R2 не поддерживается клиент службы управления правами Windows версии 1. Поддержка этой версии клиента была прекращена после выпуска последнего пакета обновления для него. Чтобы по-прежнему можно было создавать и использовать содержимое, защищенное с помощью AD RMS, на компьютерах с клиентом службы управления правами версии 1, необходимо установить последний пакет обновления, который можно загрузить с веб-сайта Технического центра службы управления правами Windows в сети TechNet (http://go.microsoft.com/fwlink/?LinkId=140054).

Важные сведения об установке службы управления правами Active Directory с поддержкой федерации удостоверений

Ниже приведен список требований, которые следует учесть перед установкой AD RMS с поддержкой удостоверений в службе федерации.

  • Перед установкой поддержки федерации удостоверений необходимо настроить федеративное доверительное отношение. Во время установки службы роли поддержки федерации удостоверений будет предложено указать URL-адрес службы федерации.

  • Для работы служб федерации Active Directory необходимо безопасное соединение между AD RMS и сервером ресурсов служб федерации Active Directory. Чтобы можно было использовать поддержку федерации с AD RMS, необходимо установить AD RMS с использованием надежного адреса кластера.

  • Учетная запись службы AD RMS должна иметь разрешение Создание аудитов безопасности. Это разрешение может быть предоставлено в консоли локальной политики безопасности.

  • Федеративный партнер по учетной записи должен иметь доступ к URL-адресам кластера экстрасети AD RMS.

Важные сведения об установке службы управления правами Active Directory с поддержкой шлюза Microsoft Federation Gateway

Ниже приведен список требований, которые следует учесть перед установкой AD RMS с Microsoft Federation Gateway.

  • Кластер AD RMS необходимо настроить для использования подключения с шифрованием по протоколу SSL с сертификатом, которому доверяет Microsoft Federation Gateway. Для доказательства прав на домен, с которым Microsoft Federation Gateway требуется установить федеративные отношения, необходимо владеть SSL-сертификатом X.509 для этого домена. Он должен быть выдан одним из доверенных корневых центров сертификации, настроенных в Microsoft Federation Gateway. В приведенной ниже таблице указаны эти центры.

    Понятное имя сертификата центра сертификации

    Кому выдан

    Предполагаемое назначение

    Entrust (http://go.microsoft.com/fwlink/?LinkId=162663)

    Центр сертификации Entrust.net Secure Server

    Проверка подлинности сервера, проверка подлинности клиента, подписание кода, безопасный обмен сообщениями, окончание туннеля IP-безопасности, пользователь IPsec, IKE-посредник IP-безопасности, установка отметки времени, шифрование файловых систем.

    Go Daddy — центр сертификации класса 2 (http://go.microsoft.com/fwlink/?LinkId=162664)

    Центр сертификации класса 2 Go Daddy

    Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода.

    Network Solutions (http://go.microsoft.com/fwlink/?LinkId=162665)

    Центр сертификации Network Solutions

    Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода, установка отметки времени.

    VeriSign — общий первичный центр сертификации класса 3 (http://go.microsoft.com/fwlink/?LinkId=162667)

    Общий первичный центр сертификации класса 3

    Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.

    VeriSign

    Общий первичный центр сертификации класса 3

    Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.

    VeriSign

    VeriSign Trust Network

    Безопасный обмен сообщениями, проверка подлинности клиента, подписание кода, проверка подлинности сервера.

    VeriSign

    Общий первичный центр сертификации VeriSign класса 3 — G5

    Проверка подлинности сервера, проверка подлинности клиента, безопасный обмен сообщениями, подписание кода.

    SSL-сертификат, используемый для подачи заявки на Microsoft Federation Gateway, должен быть сертификатом, предъявляющим право владения на URL-адрес экстрасети кластера AD RMS. Если кластер AD RMS настроен с URL-адресом интрасети, отличающимся от URL-адреса экстрасети, и если URL-адрес интрасети не является именем домена, доступного через Интернет, на сервере AD RMS необходимо установить SSL-сертификат, связанный с URL-адресом экстрасети, а затем выбрать этот сертификат при подаче заявки на Microsoft Federation Gateway.

    Если SSL-сертификат содержит альтернативное имя темы (SAN), последняя запись в списке SAN должна быть полным доменным именем домена, от которого требуется подать заявку на Microsoft Federation Gateway.

  • Виртуальные каталоги, созданные для Microsoft Federation Gateway Support, используют префикс http://. По этой причине брандмауэр необходимо настроить так, чтобы он пропускал данные по протоколу http://. Имейте, однако, в виду, что при передаче данных Microsoft Federation Gateway Support по этому протоколу безопасность обеспечивается на уровне сообщений.

  • Дополнительные сведения см. в разделе Общие сведения о шлюзе Microsoft Federation Gateway.

Внимание!
Прежде чем удалять пакет обновления 1 для Windows Server® 2008 R2, необходимо удалить Microsoft Federation Gateway Support из кластера AD RMS. Невыполнение этого требования может привести к несоответствиям в конфигурации кластера AD RMS. Дополнительные сведения см. в разделе Удаление поддержки шлюза Microsoft Federation Gateway.

Требования к системе

В приведенной ниже таблице представлены рекомендации и минимальные требования к оборудованию для запуска серверов Windows Server® 2008 R2 с ролью сервера AD RMS.

Требование Рекомендация

Один процессор Pentium 4 с частотой 3 ГГц или выше

Два процессора Pentium 4 с частотой 3 ГГц или выше

512 МБ ОЗУ

1024 МБ ОЗУ

40 ГБ свободного места на жестком диске

80 ГБ свободного места на жестком диске

В приведенной ниже таблице представлены минимальные требования к программному обеспечению для запуска серверов Windows Server 2008 R2 с ролью сервера AD RMS. Некоторые требования можно выполнить, включив определенные функции в операционной системе. При установке роли сервера AD RMS выполняется соответствующая настройка этих функций, если они не были настроены ранее.

Программное обеспечение Требование

Операционная система

Windows Server 2008 R2

Файловая система

Рекомендуется использовать файловую систему NTFS

Обмен сообщениями

Служба очереди сообщений

Веб-службы

Службы IIS

Необходимо включить ASP.NET.

Active Directory или доменные службы Active Directory

AD RMS необходимо установить в домене Active Directory, в котором расположены контроллеры домена с системой Windows Server 2000 с пакетом обновления 3 (SP3), Windows Server 2003, Windows Server® 2008 или Windows Server 2008 R2. Все пользователи и группы, использующие AD RMS для получения лицензий и публикации содержимого, должны иметь адрес электронной почты, настроенный в Active Directory.

Сервер баз данных

Для работы AD RMS требуется сервер баз данных, например Microsoft SQL Server 2005, и поддержка хранимых процедур. Роль сервера AD RMS на компьютере с Windows Server 2008 R2 не поддерживает Microsoft SQL Server 2000.