【IT168 专稿】Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。
要部署 Microsof Windows Rights Management Services (RMS),需要建立适当的结构、在服务器上安装和设置 RMS、在组织的台式计算机上部署 RMS 客户端以及测试和修改部署以满足组织需要。
准备 RMS 部署
在部署 RMS 之前,请审核您的系统设计、测试 RMS 系统在受控试验环境中的连接、发布和授权,然后详细描述如何从测试环境迁移到您的企业。
(一)检查 RMS 设计
开始部署之前,确保您的 RMS 计划解决以下问题:
已选定支持 RMS 的客户端应用程序,并且首展计划正常。
已确定分发 RMS 客户端的方法。
数据库服务器已安装并且可访问。
已选定 RMS 拓扑(基本拓扑或分布式拓扑)。
Active Directory 已安装在运行 Windows 2000 Service Pack 3 (SP3) 或更高版本的域控制器中,并且所有用户均具有配置了电子邮件属性的联系对象。已安装 Windows Server 2003 并安装了最新的更新程序。已启用消息队列、Internet 信息服务和 ASP.NET 版本 1.1。
已定义负载平衡和服务器故障转移方法。
为 RMS 服务器配置了 DNS 注册。
备份和恢复计划正常。
适合您的组织的安全考虑事项已完成。
(二)设置测试环境
RMS 与现有 Active Directory 结构和数据库服务器集成在一起,如运行 Microsoft SQL Server(TM) 2000 的那些数据库服务器。由于这些支持组件非常重要,因此在组织中部署 RMS 之前,应当在隔离的测试环境中对其进行全面测试。这要求在测试环境中单独安装 Active Directory 和数据库服务器。
在具有一个数据库服务器和一个客户端的林中开始使用最基本的 RMS 服务器配置。在熟悉 RMS 之后,通过根据需要添加多个林和外部访问,您的配置可以逐渐变大并与将在组织的生产环境中部署的拓扑近似匹配。虽然测试环境可能不会包含组织部署计划中的全部冗余配置和多站点配置,但其中至少应包含一个运行需要部署的各个支持组件的服务器。
运行 Windows 2000 Server with Service Pack 3 (SP3) 或更高版本的域控制器,以及安装了 SP3a 的 SQL Server 2000。SQL Server 上存储有 RMS 日志数据库、配置数据库和目录服务数据库。如果数据库将与 RMS 位于同一服务器中,则 RMS 可以与 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) 发行版 A 或 SQL Server 一起使用。如果要使用远程服务器来提供数据库支持,则需要 SQL Server。您可以从 Microsoft 网站下载 MSDE 2000。
注意:Windows 2000 Server with Service Pack 3 (SP3) 是域控制器的最低要求,但建议使用 Windows Server 2003,因为其中的 Active Directory 组扩展的性能得到增强。建议仅在测试环境中使用 MSDE 2000 支持 RMS 数据库,因为 MSDE 2000 不支持任何网络接口。另外,MSDE 2000 的使用条款中规定不能使用 SQL Server 客户端工具对 MSDE 2000 数据库执行操作。由于此限制,您将无法查看日志信息或更改配置数据库中存储的数据。
运行 Windows Server 2003 的根认证服务器,其中安装和设置了 RMS。在测试过程中,可以根据需要添加多个服务器来创建根认证群集。
运行 Windows XP Professional 的客户端计算机、RMS 客户端和支持 RMS 的应用程序。
在 Active Directory 中拥有电子邮件地址属性的用户帐户。
(三)将试用 RMS 部署迁移到生产部署
许多组织选择在整个组织实施 RMS 技术之前,先在试验部署中部署该技术。试验程序的用户数目通常有限,且服务器可能是由本地专门的管理员维护,而不是由 IT 小组维护的数据中心的一部分。当组织在试验完成之后在数据库中心为所有客户端实施 RMS 时,将部署新的 RMS 服务器来支持更多数目的可能用户。
但是,受 RMS 保护的内容与用来创建它的 RMS 服务器有联系,因此如果删除或替换了服务器,必须采取措施以便可以使用生产 RMS 服务器解密和授权使用试验 RMS 服务器加密的内容。
如果已将 RMS 部署为试验程序并想将 RMS 服务器移到组织的生产环境中,且还想维护通过使用试验 RMS 服务器保护的内容的完整性,则应制订一个迁移计划,该计划将确保平滑过渡,并可以在需要的时候回滚到试验程序以恢复数据。
提供下列步骤作为您的迁移计划应包括的某些项目的示例,您的部署可能还有其他要求。
服务器 | 步骤 | 注 |
试验 | 备份 RMS 配置数据库。 | 这允许在需要的时候恢复试验服务器。 配置数据库包括 RMS 私钥。 确保您知道私钥密码。 |
试验 | 如果使用了硬件安全模块 (HSM) 来保护 RMS 私钥,请按照 HSM 制造商的指导来备份 HSM 的配置。 | 将在新服务器上恢复 HSM。 确保具备安装和配置 HSM 必需的所有组件。 |
试验 | 导出可信发布域文件。 | 这允许另一个 RMS 服务器解密此服务器创建的发布许可证和给受保护的内容颁发用户许可证。 可信发布域包括此服务器所建立的服务器许可方证书、RMS 私钥以及所有权限策略模板。 可信发布域文件是一个 XML 文件,已使用创建该文件时指定的强密码对它进行了加密。必须使用此密码来导入可信发布域文件。 |
试验 | 导出可信用户域。 | 这允许另一个 RMS 服务器给用户授予用户许可证,这些用户的权限帐户证书 (RAC) 以前是由试验 RMS 服务器授予的。 建立了可信用户域的方法是将此服务器的服务器许可方证书导入到另一个 RMS 服务器。 |
生产 | 准备让新服务器成为根认证服务器。 | 确保它可以访问数据库服务器,且已安装 IIS 和 Message Queuing。 尽可能使用与此服务器相同的服务器名。 |
生产 | 如果您使用 HSM,请安装 HSM 并使用在试验服务器上创建的备份恢复它的配置。 | 建立解密 RMS 私钥所需的凭据。 |
生产 | 安装 RMS。 | RMS 将验证是否正确安装和配置了所有必需的服务。 |
生产 | 使用新的私钥设置 RMS。如果使用联机注册,将在设置过程期间通过使用 Internet 连接到 Microsoft 注册服务来注册您的服务器。如果此服务器上没有 Internet 连接,则需要使用脱机注册。 | 如果此服务器名不同于试验服务器名,可以将群集 URL 设置修改为与试验服务器相同的 URL。 如果不修改,则需要设置一个从先前群集 URL 到新群集 URL 的 URL 重定向,以便用户能够使用现有内容获取用户许可证。 |
生产 | 如果使用脱 机注册,请完成新 RMS 服务器的手动注册过程。有关详细信息,请参阅本文档集中的“运行 RMS 服务器”中的“手动注册根认证服务器”。 | 直到注册了 RMS 服务器,才能使用它。 另外,直到注册了该服务器,才能访问 RMS 管理网页。 |
生产 | 导入在步骤 3 中导出的可信发布域文件。 | RMS 服务帐户必须对存储该文件的位置具有读取权限,才能成功导入该文件。 |
生产 | 重新签署随可信发布域一起导入的每个模板。 | 模板是用服务器私钥签署的。因为此服务器具有新的私钥,所以模板必须重新签署才会有效。有关详细信息,请参阅本文档集中的“运行 RMS 服务器”中的“重新签署权限策略模板”。 |
生产 | 将模板重新分发给参与过试验的客户端计算机。 | 需要删除旧模板并用此服务器签署的模板取代它们。 |
生产 | 导入在步骤 4 中导出的可信用户域文件。 | 启用要使用的旧客户端许可方证书和 RAC。 如果在此迁移过程中在林之间移动了用户帐户,请注意这些帐户必须具有匹配的 SMTP 代理服务器。 |
一旦完成了设置生产服务器,请验证试验用户是否仍可创建和读取先前保护的邮件。然后可以添加支持组织中的用户数所需的那样多 RMS 服务器到群集中。
