服务器 频道

微软RMS服务器部署之跨林部署

  (二)在第一台服务器上设置认证和授权服务

  要在林中设置 RMS,请首先安装并设置一台服务器。部署的第一台服务器称为根认证服务器。此服务器提供认证支持和授权支持,而且可用作单服务器配置中的唯一服务器或者根认证群集中的第一台服务器。

  安装和设置其他 RMS 服务器时所需的角色、权限和权利

  要安装 RMS,必须使用具有本地管理员权限的帐户登录计算机。另外,还必须使用有效的域帐户登录到域,以允许 Active Directory 对 RMS 进行身份验证。如果是在 Active Directory 结构使用 Windows 2000 本地模式的环境中部署 RMS,则当 Active Directory 尝试扩展组成员身份时,RMS 可能无法读取 Active Directory 对象上的 memberOf 属性。要使 RMS 能够读取 memberOf 属性,RMS 服务帐户必须是域帐户,且该域帐户是林中与 Windows 2000 以前版本兼容的访问组的成员。如果部署了具有隐藏成员身份的组,则还需要配置 RMS 服务帐户具有能够读取隐藏成员身份的权限。

  注意:RMS 服务帐户不能与安装 RMS 时所用的域帐户相同。

  第一台服务器的安装和设置过程

  部署 RMS 服务器包括两个步骤。首先,安装 RMS 服务器软件时必须同时安装所有支持软件,如 IIS、Message Queuing 和 ASP.NET。有关安装的详细信息,请参阅本文档集中的"运行 RMS 服务器"中的"安装带 Service Pack 1 的 RMS"。

  注意:也可以在命令提示符下安装 RMS。有关详细信息,请参阅本文档集中的"运行 RMS 服务器"中的"从命令提示符窗口安装 RMS"。

  在服务器上安装 RMS 后,必须对其进行设置,使其能够在服务器上的某个网站上使用。在设置此网站时,将修改多项网站设置并添加虚拟目录。有关这些更改的详细信息,请参阅本文档集中的"RMS 技术参考"中的"RMS 的 Internet 信息服务支持"。

  您既可以使用 IIS 中的默认网站,也可以创建一个新网站。要在默认网站以外的网站上设置 RMS,必须先创建网站,然后才能开始设置过程。如果要将默认网站用于其他用途,就应当为 RMS 创建一个新站点,从而保留默认网站的默认配置。

  在"开始"菜单上单击"Windows RMS 管理"时,将显示"全局管理"页。在此页上,可以开始网站上的设置过程。要设置第一个 RMS 服务器,必须提供以下信息:

  指定 RMS 配置数据库、日志数据库和目录服务数据库要使用的数据库名称。

  如果 SQL Server 实例的名称与本地服务器的名称不同,则必须将其设置为远程 SQL Server 实例,即使所有程序都安装在一台服务器上,也是如此。

  在设置过程中,当前登录的用户帐户必须有权在数据库服务器上创建数据库。

  指定要用于 RMS 服务帐户的帐户。对于本地配置,可使用本地系统帐户,虽然我们建议不要这样做,因为运行具有本地系统权限的服务时本身就存在安全问题。

  对于包括远程 SQL Server 实例或多个 RMS 服务器的安装,必须指定域帐户。您所使用的域帐户必须具有 Active Directory 查找权限,且该帐户将用于创建 IIS 应用程序池(管理控制台在其中运行)。如果不是升级或使用现有数据库,则 RMS 服务帐户需要具有数据库创建权限。如果是使用现有的数据库,则该帐户需要具有每个 RMS 数据库的读写权限。

  指定将用于访问此网站的 URL。默认值是您正在设置的网站的名称(例如,如果您正使用默认安装的 IIS 设置服务器,则该 URL 为"默认网站")。您可以指定一个自定义的 URL 来访问另外一个网站,以便执行其他操作,例如,支持负载均衡 URL 或同时支持 Intranet 访问和 Internet 访问。必须验证该自定义 URL 是否可用,而且必须在 DNS 中添加此网站名称,以确保"全局管理"页和"设置"页都能找到虚拟根。如果此 URL 是用于可支持 Internet 的部署,请确保该新的 URL 对 Internet 和公司网络都可用。

  选择一种保护机制,以用于保护注册时所使用的根配置私钥。默认情况下,将使用基于软件的加密并将经过加密的私钥存储在 RMS 配置数据库中。如果使用默认配置,则必须提供一个难破解的密码,对该数据库中的值进行加密。

  不过,如果计算机中安装并配置了硬件安全模块 (HSM),则您还可以选择加密服务提供程序 (CSP) 来用于硬件安全模块,并将私钥存储在硬件(如智能卡)中。RMS 要求完整的 RSA 提供程序,而 CSP 列表中只包括这类提供程序。强烈建议使用 HSM 保护 RMS 私钥。

  如果使用基于软件的 CSP 选项并通过密码来保护 RMS 私钥,应当将该密码存放在安全位置,以备后用。还应当连同密码一起存储配置数据库的一个备份副本。这样,就可以在 SQL 数据库遭到破坏时恢复 RMS。不论出于何种原因更改了该密码,请务必重新备份其中存储了用该密码加密的私钥的那个配置数据库,然后将数据库副本和密码一起存放在安全位置。有关如何备份和恢复配置数据库的详细信息,请参阅本文档集中的"规划 RMS 部署"中的"备份和恢复 RMS 的系统"。

  指定将在服务器许可方证书内使用的名称。默认情况下,该名称为服务器名。

  如果适用,指定用于连接到 Internet 的代理服务器(包括地址和端口)。

  指定一个电子邮件地址,如果其他 RMS 管理员试图通过注册子过程注册授权服务器时遇到问题,则可以利用此电子邮件地址来与管理员联系。设置根配置后,可以更改该地址。

  选择服务器许可方证书的吊销方法,以控制除 Microsoft 注册服务外,谁还能够吊销根配置的服务器许可方证书。要使用第三方吊销,必须指定包含该第三方实体公钥的那个文件的路径和名称。

  如果选择了联机注册选项,则当(配置所有适当选项之后)在"设置"页上单击"提交"时,RMS 将生成一个密钥对,并将公钥发送到 Microsoft 注册服务。(如果收到错误消息,请不要关闭错误显示页。纠正错误后,打开命令提示符窗口并键入 IISReset 以停止并重新启动 IIS,返回到上一屏幕,在设置屏幕上重新键入信息,然后再次单击"提交"。Microsoft 注册服务创建一个服务器许可方证书,并在数分钟之内将该证书返回给配置数据库。因为这是域中第一台安装 RMS 的服务器,所以此步骤是组成注册根认证服务器过程的一部分。

  如果选择了脱机注册选项,则将在设置过程完成之后手动向 Microsoft 注册服务注册服务器。必须完成注册过程,才能使用该服务器。

  完成设置和注册服务器之后,"全局管理"页上的链接将改变。该页中的"在此网站上设置 RMS"链接变为"在此网站上管理 RMS"链接,而"将此服务器添加到群集"链接被"更改 RMS 服务帐户"链接取代,并增加了"从此网站中删除 RMS"链接。

  第一台服务器将建立 RMS 的根配置。根配置可以包含一台服务器或一个群集。安装并设置好第一台服务器之后,可以设置其他服务器,以便为认证服务和授权服务提供冗余支持和负载均衡支持。

  完成配置后,必须在 Active Directory 中注册根认证群集的服务连接点以允许支持 RMS 的客户端发现服务。如果未注册服务连接点,将不能与 RMS 一起使用您的 RMS 客户端。

  要点:必须先在第一台服务器上完成安装和设置 RMS,然后才能开始在其他服务器上安装 RMS。 RMS 对全体成员跨越多个林的 Active Directory 组提供内容保护支持。如果您的组织没有多个林或跨越多个林的组,则可以通过修改 RMS 配置数据库中的 MaxCrossForestCalls 群集策略,来优化 RMS 服务器上的用户许可证颁发过程的性能。 该策略指定了组成员身份可跨越林边界的最大次数。默认值为 10。要将该值更改为 0,请使用以下 SQL 命令:update DRMS_ClusterPolicies set PolicyData=0 where PolicyName='MaxCrossForestCalls'

 

0
相关文章