本来想写配置AD RMS支持Extranet的文章,之前必须说明RMS 客户端服务发现的工作机制。
什么是 AD RMS 客户端服务发现(RMS文档中的词汇)?说白了,就是安装了RMS的客户端如何找到RMS服务器。
RMS的客户端找到RMS服务器的途径有三种:
1. 在AD中查找SCP。在Windows域网络环境中,客户端要使用RMS功能时,会在AD中查询SCP(服务连接点),SCP的属性记录着森林中RMS服务的URL。这是部署 AD RMS 环境的推荐方法,无需在RMS 客户端上进行任何其他配置。
2. RMS 客户端注册表替代。可以直接在RMS 客户端注册表创建RMS服务URL的键值,位置如下:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation
在下面创建两项:
- Activation。此项用于替代在 SCP 中配置的默认 AD RMS 证书服务。此项的语法是 http(s)://<your cluster>/_wmcs/certification,其中 <your cluster> 是应该用于证书的根群集的 URL。
- EnterprisePublishing。此项用于替代 AD RMS 客户端连接到的默认 AD RMS 授权服务。此项的语法是 http(s)://<your cluster>/_wmcs/licensing,其中 <your cluster> 是仅授权群集的 URL。
这种方法适用于不加入在Windows域的客户端,或者离开Windows网络域环境(如EXTRANET),不能访问AD的场景。当然对于即能访问AD的SCP,客户端注册表也有这些替代项的情况,则注册表替代项的优先级高于AD的SCP。
下面是这些注册表项的注册表样例文件。
代码
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\Activation]
@=https://rms.rmstest.com/_wmcs/certification
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing]
@=https://rms.rmstest.com/_wmcs/licensing
3. 在受RMS权限保护的文档中查找Intranet 和 Extranet 授权服务 URL。文档创建者在发布受权限保护的文档时,会将Intranet 和 Extranet 授权服务 URL 添加到该文档中。当 RMS 客户端首次打开受权限保护的文档且其他服务发现方法不可用时,该客户端可以从文档中检索授权 URL。
我们用Notepad打开一个受RMS权限保护的WORD文档,就可以看到这些URL,如下图。
下面针对不同场景说明激活RMS权限限制功能的电脑画面。
场景1: 未加入域的电脑,注册表未做过改动,第一次在MS OFFICE应用程序里点击权限限制的菜单时,会弹出MS的“信息权限管理”服务(Windows Live ID账户)免费注册向导(如下图)。因为,RMS客户端即不能注册表找到RMS服务的地址,也不会去AD中查找SCP,只能建议用户使用MS的“信息权限管理”服务。
场景2: 未加入域的电脑,注册表已添加RMS服务替代项,第一次在MS OFFICE应用程序里点击权限限制的菜单时,会弹出“选择服务”窗口(如下图)。
第一个选项同场景1;
第二个选项即要使用企业的AD RMS服务,选择第二个选项按“确定”后,RMS客户端会连接到注册表中记录的RMS服务地址,如果是SSL加密的https服务,可能会弹出证书安全警报(如下图)。
点击“是”继续,可能会弹出该网站不在可信任区域(可以添加到信任区域)的提示(如下图)。
点击“是”继续,会弹出登录窗口。
登录后可出现设置读取和更改权限的窗口。
场景3: 未加入域的电脑,注册表未做过改动,首次打开受权限保护的文档时,RMS客户端会在该文档中首先查找Intranet 授权服务URL并尝试连接 ,如果连接不上,会尝试连接Extranet 授权服务URL。会出现下面提示。
连接Intranet 授权服务URL提示:
连接Extranet 授权服务URL提示:
对于加入域的电脑查找RMS服务的场景是常见情况,这里就不详述了。
