【IT168 专稿】Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护数字信息避免未经授权的使用--不管是联机还是脱机、在防火墙内还是在防火墙外。结合 Windows Server 2003 功能、开发工具和久经考验的安全技术(包括加密、证书和身份验证),RMS 可帮助组织创建可靠的信息保护解决方案。通过持久的使用策略提供始终与信息相随(无论信息到达何处)的信息保护,RMS 扩充了组织的安全战略。
设置 RMS 的支持结构
部署 RMS 不仅需要安装产品组件,还需要设置服务器端结构和客户端结构以支持安装和测试所有组件。
还应确定需要对现有结构中的哪些部分进行修改,以便支持 RMS 安装和使用。这可能与添加适当帐户一样简单,但也可能涉及大量的结构更改工作,如数据库和 Active Directory 的集成。
(一)设置基本结构
设置结构的方式取决于安装 RMS 的系统需求,以及该结构的非常好的设置方法。支持 RMS 所需的基本服务器端环境包括域控制器、数据库服务器和配置为根认证服务器的 RMS 服务器。下列主题介绍了设置结构的这些组件的过程,以及与部署这些组件相关的附加信息。
注意:部署 RMS 时,要求在 RMS 服务器所要使用的客户端计算机上先安装好 RMS 客户端软件。您可以从 Microsoft 网站下载 RMS 客户端软件。
1、设置域控制器和数据库服务器
在安装根认证服务器或授权服务器之前,确保已使用 Active Directory 和数据库服务器(如 SQL Server 2000 with Service Pack 3 (SP3) 或 Microsoft? SQL Server 2000 Desktop Engine (MSDE 2000) 发行版 A 实现了适当的域支持和数据库支持。虽然您的生产环境可能已经在运行必需组件,但建议不要使用生产环境进行测试。
下列过程将在隔离网络中的一台计算机上设置域控制器和数据库服务器,以进行服务器端测试。
注意:在本示例中,数据库服务器在域控制器上运行。在生产环境中,一般建议不要在域控制器上存放其他组件。在本示例中,Active Directory 和数据库服务器安装在同一台计算机上,其目的是为了能在最少的计算机上安装完整的结构。
如果选择使用 MSDE 2000 作为您的数据库服务器,应特别注意它不支持任何网络接口且MSDE 2000 的使用条款中规定不能使用 SQL Server 客户端工具对 MSDE 数据库执行操作。由于此限制,您将无法查看日志信息或更改配置数据库中存储的数据。因此,建议仅在测试环境中使用 MSDE 2000 支持 RMS 数据库。
结构组件 | 设置域控制器和数据库服务器的步骤 | 在生产环境中进行部署的有关说明 |
操作系统 | 在满足 RMS 硬件要求但尚未连接到网络的计算机上,安装 Windows 2000 Server with SP3 或更高版本或 Windows Server 2003。在分区上使用 NTFS 文件系统。 | 强烈建议您始终安装最新的 Service Pack 和更新。使用 NTFS 格式的分区。 |
网络连接 | 连接到能提供 Internet 连接但又与生产环境隔离的网络。 | 连接到 Internet 时应具有合适的防火墙。 |
IP 地址 | 为此计算机指定一个静态 IP 地址。 | 始终让服务器使用静态 IP 地址。 |
Active Directory | 以本地管理员的身份登录。 | |
| 依次单击“开始”和“运行”,并在“打开”框中键入 dcpromo,然后单击“确定”。 | |
| 启动 Active Directory 安装向导后,按照提示逐步完成所需的步骤,以在新林中创建新域,在此过程中,接受默认选项,但以下选项除外: 指定域名,例如 contoso.com。 让安装向导在计算机上配置 DNS。 如果所有域控制器运行的是 Windows 2000 或更高版本,请选择“仅与 Windows 2000 服务器兼容的权限”。 为本地管理员提供强密码。 | 如果实现 RMS 时需要新域,请在 Active Directory 中设置它们。 始终对所有帐户使用难破解的密码。 |
| 根据系统提示重新启动计算机。 | |
| 验证功能级别,方法是打开“Active Directory 用户和计算机”管理单元,右键单击域名,单击“属性”,然后验证“域操作模式”框中的设置。如果没有一个域控制器是版本低于 Windows 2000 的域控制器,则单击“更改模式”以使该域在“本地模式”下运行。 注:在 Windows Server 2003 中,“域操作模式”设置被“域功能级别”所取代。 | 为获得非常好的的安全性和可管理性,不应使用 Windows 2000 混合功能级别来提供 RMS 支持。 |
用户帐户 | 创建一个域用户帐户,用作 RMS 的 RMS 服务帐户,如 ContosoRMS@contoso.com。然后,指定一个强密码。请确保为该用户指定一个电子邮件地址。如果没有在 Active Directory 中指定电子邮件地址,则用户将不能获得来自 RMS 的许可证和证书。 注:RMS 服务帐户不能与安装 RMS 时所用的域帐户相同。 | 应当在 Active Directory 中另外创建一个帐户,供 RMS 服务帐户使用。在其中包括一个电子邮件地址。不向该帐户授予任何特殊权限。 |
SQL Server 2000 | 登录到打算安装数据库的服务器。如果该服务器就是用作域控制器的服务器,则您必须以域管理员的身份登录。 | |
| 按照随数据库软件一起提供的操作说明安装数据库服务器软件。 | |
| 使用服务器非常好的做法来安装数据库服务器,如: · 提供数据库系统管理员帐户的名称和组织名称,例如 Contoso。 · 提供强系统管理员密码。 · 使用集成的 Windows 身份验证方法。 | 应当使用集成的 Windows 身份验证模式。如果不能在此模式下运行您的数据库服务器,请与域管理员和数据库服务器管理员联系,以确定需要在 RMS 设置中进行哪些更改。 |
| 验证数据库服务是否已停止。 | |
| 安装数据库服务器的任何软件更新。当系统提示您输入密码时,请输入您在安装过程中指定的那个密码。 | |
| 重新启动计算机。验证数据库服务是否已启动。 | |
| 验证用户帐户在 Active Directory 中是否拥有有效的电子邮件地址属性。 | |
| 确保将负责管理 RMS(并设置根认证服务器和授权服务器)的域用户具有必需的数据库服务器权限。如果使用 SQL Server 作为您的数据库服务器,则可以为正在使用 SQL Server Enterprise Manager 管理单元的用户添加登录标识符。在该管理单元中,展开服务器和服务器组,然后展开“安全”项。单击“登录项”,为该用户的域帐户添加新登录,单击“服务器角色”选项卡,然后选择“服务器管理员”复选框。 | 重要提示:对于使用 RMS 来获得许可证和发布内容的所有用户和组,都必须在“Active Directory 用户和组”MMC 管理单元中用户“属性”的“常规”选项卡上配置了电子邮件地址。 |
Internet 连接 (可选) | 验证是否已正确配置您的浏览器和服务器(包括任何必需的代理服务器配置)、TCP/IP 和 LMHOSTS/HOSTS,以便访问 Internet。通过访问 http://uddi.microsoft.com/ 进行上述测试。如果可以打开此网页,则 RMS 能够连接到 Microsoft 注册服务。 | 访问 http://uddi.microsoft.com 验证可连接至 Internet。 |
软件更新 | 为此计算机上安装的软件下载并安装最新的更新程序(包括从 www.microsoft.com 下载最新 Windows 更新程序)。 | 始终下载并安装最新的服务更新程序。 |
完成上述所有步骤之后,就可以在将运行 RMS 的计算机上进行初始安装了(包括安装必需的软件)。
2、准备安装根认证服务器
在示范性的测试安装中,只有一台根认证服务器。如果需要,可以安装其他服务器,作为根认证群集的一部分或作为独立的授权服务器群集。所有这些服务器的结构设置都相同,因此,您需要在其中的每台服务器上执行本主题中介绍的过程。
安装域控制器并设置数据库服务器(如前一部分所述)之后,再完成下表中的步骤,就可以开始安装 RMS。
结构组件 | 让服务器做好安装 RMS 的准备 | 在生产环境中进行部署的有关说明 |
操作系统 | 在满足 RMS 硬件要求但未连接到网络的计算机上,安装 Windows Server 2003 操作系统并使用 NTFS 文件系统进行分区。 | 强烈建议您始终安装最新的 Service Pack 和修补程序。使用 NTFS 格式的分区。 |
Internet 连接 (可选) | 通过以太网连接到能提供 Internet 连接但又与生产环境相互分隔的网络。如果作为设置过程的一部分您将使用联机注册来注册 RMS 服务器,您的服务器必须具备 Internet 连接能力。 | 如果使用联机注册,请确保 Internet 连接具有合适的防火墙。 |
IP 地址 | 为此计算机指定一个静态 IP 地址。 | 始终让服务器使用静态 IP 地址。 |
将此计算机添加到域中 | 以本地管理员身份登录到该计算机。单击“开始”,右键单击“我的电脑”,依次单击“属性”和“计算机名称”选项卡,然后单击“更改”。 | 对所有服务器使用同一个域。 |
| 保持计算机名称不变,单击“域”,键入域名(例如,键入 Contoso.com),然后单击“确定”。提供允许您加入该域的用户凭据,单击“确定”,然后按照提示重新启动计算机。计算机重新启动后当系统提示您输入登录凭据时,提供正确的域、用户名和密码。 | |
用户和登录 | 右键单击“我的电脑”,单击“管理”,展开“本地用户和组”,单击“组”,然后双击“Administrators”。 单击“添加”,指定要添加的用户帐户的名称(如 Michael@contoso.com),然后单击“确定”。向该用户帐户授予管理员权限。提示您输入凭据时,提供正确的凭据,例如 Contoso\Administrator。 以具有管理员权限的域用户的身份登录计算机。 | 要将组件添加到此计算机中,必须具有管理员权限。有些安装步骤无法使用本地管理员帐户来完成。在此服务器上,必须至少有一个域用户是管理员。同样,在 SQL Server 中,也需要具有系统管理员权限才能创建新的数据库。 |
Internet 连接 (可选) | 使用 Internet 浏览器,访问 http://uddi.microsoft.com/ 验证可连接至 Internet。在运行 Windows Server 2003 的计算机上,可能需要更改 LMHOSTS 和 HOSTS 文件,使其包含域控制器。 | 访问 http://uddi.microsoft.com 验证可连接至 Internet。 |
Windows 激活 | 可以使用激活向导通过使用 Internet 连接通知 Microsoft 激活 Windows,或者可以通过电话联系激活 Windows。有关 Windows Server 2003 产品激活的详细信息,请参阅 Windows Server 2003 帮助和支持中心。 | Windows Server 2003 必须在安装后的 14 天之内激活。 |
软件更新 | 确保为此计算机上安装的软件安装最新的软件更新。 | 安装最新的软件更新。 |
配置 Internet Explorer | RMS 使用 Web 界面进行管理。某些默认安全设置可能阻止页面正确显示。RMS 管理网站中的某些页面为某些配置选项使用弹出窗口。 |
在两台服务器上都完成上述所有步骤后,就可以在这些服务器上安装和设置 RMS 了。
3、创建 RMS 服务帐户
在安装过程中,RMS 在本地计算机上创建称作"RMS 服务组"的安全组,并授予该组对运行 RMS 时所需的所有资源拥有适当权限。
在服务器上设置 RMS 时,可指定一个用户帐户作为 RMS 服务帐户。所指定的帐户将成为 RMS 服务组的成员,所以被授予此组拥有的相应权限。在正常操作过程中,RMS 将在该 RMS 服务帐户下运行,以完成大部分操作。
注意:RMS 服务帐户不能与安装 RMS 时所用的域帐户相同。
为确保安全,强烈建议您创建一个专用用户帐户作为 RMS 服务帐户,且不将此帐户用于其他目的。另外,不应向此帐户授予任何其他权限。
要点:应当在安装和设置 RMS 之前创建此专用用户帐户。
4、设置硬件加密设备
RMS 可使用任一标准 Windows 加密服务提供程序 (CSP),如基本 CSP 和增强 CSP,来生成将存储在配置数据库中并用于保护内容的公钥和私钥。因为这些密钥存储在软件中,所以建议对它们应用附加的保护。为了提供更高级别的密钥保护,可以使用硬件安全模块 (HSM) 提供的基于硬件的 CSP。
如果要使用 HSM 为服务器密钥提供附加的安全性,请在开始安装 RMS 之前在服务器上安装和配置该硬件。
(二)扩展基本结构以支持群集
若要为更大规模的部署而实现群集,则请确保对结构进行设置,使之能够满足群集要求。您的部署计划应包括以下各项。
DNS 注册:确保向 Extranet 公开虚拟 IP 地址的所有 DNS 注册也同时向 Intranet 公开此地址。
如果没有为 Intranet 进行 DNS 注册,内部客户端许可证请求将失败。如果无法修改 DNS 设置,则可以对群集中每个服务器的主机表进行修改,以将群集的 URL 映射为该群集的虚拟 IP 地址。需要在设置服务之前进行 DNS 注册,如果已设置服务,则必须从服务器中删除 RMS,然后重复执行该设置过程。
负载均衡:设置必需的硬件和软件,以便适当部署负载均衡服务器、网络负载均衡服务或硬件负载均衡功能,从而实现在群集中分发请求。
