[转译] AD RMS 安装最佳实践

在安装活动目录权限管理服务(ADRMS)时,请牢记以下几点

 

AD RMS服务单独安装在一台服务器上——AD RMS与域控制器、微软邮件服务器(Microsoft Exchange Server)、证书颁发中心(Certification Authority)或者微软 Office SharePoint等产品安装在同一台服务器上会大大降低AD RMS的安全性。

请勿将 AD RMS安装在域控制器上。如果一定要这么做,那么您必须将 AD RMS服务账号添加到域管理员用户组中(将AD RMS服务安装在域成员服务器时,该服务账号只需要是普通域用户即可,无需额外权限)。

请勿在部署活动目录联合服务(Active Directory Federation Services, AD FS)服务器之前安装联合身份认证支持服务。如果您安装 AD RMS时,AD FS还未完成配置,那么请在您完成AD FS配置后再安装该服务。

Windows服务器上的内部数据库服务(Windows Internal Database)仅适用于测试环境,它不支持远程连接,因此,如果使用内部数据库,您将无法向您的群集中添加额外的AD RMS服务器。在生产环境部署AD RMS 时,请使用微软的SQL Server产品。

ADRMS服务器连接 SQL数据库服务器时,请使用数据库服务器的 DNS别名记录或DNS主机记录,即CNAME 记录和 A记录。这样您将来有数据库迁移需求时,将会非常容易。

ADRMS群集服务 URL 命名时,请同样使用 DNS别名记录或 DNS主机记录。这样您以后可以向 AD RMS群集中添加多台成员服务器,以实现快速的灾难恢复,解决大量客户端请求时的负载均衡问题。

如果您计划将 AD RMS安装在一个已经设置好的 Web站点服务器上,那么请务必保证 Web站点已经设置了HTTP绑定,即使您的AD RMS服务仅仅使用HTTPS

如果您准备部署 AD RMS到非默认站点的 Web服务器上,请在部署前先安装IIS 6 Management Capability角色服务。

使用 SSL协议增强客户端到 AD RMS群集之间网络连接的安全性,AD RMSAD FS 集成时也需要使用 SSL。此外,您需要注意的是,一旦确定使用 HTTPS,以后不能随意更改,否则会影响到所有加密文档。

如果计划启用 AD RMS联合身份验证支持,那么请将 AD RMS服务 URLFQDN(域名)全部设置为小写,因为 AD FS 是区分大小写的。

您最好在安装 AD RMS服务后,尽快在服务器上设置外部访问 URL,这个 URL可以与内部 URL不同。我们建议您设置为与内部 URL相同,除非您内部的URL不是标准的域名或有其他的原因。如果您使用AD RMS服务器一段时间后才配置外部访问URL,那么您需要将所有加密过的文档保护手动去除,清除客户端DRM缓存,配置外部URL,之后再将之前的文档重新加密。

自签发的文档仅适用于测试环境;在生产环境,您应该选择由内部根证书服务器 CA颁发的SSL 证书或者直接购买受信任的第三方机构签发的SSL证书。

ADRMS初次安装完成或者初次升级后,请先注销,再重新登陆并管理 AD RMS服务器。

一旦 AD RMS服务器安装完毕,请第一时间备份 TPD(包括服务器授权证书的公钥和私钥),并牢记您的群集密钥密码。

Win2003上的 RMS升级至 Win2008上的 AD RMS有两个途径:迁移和直接升级。我们推荐您使用迁移的步骤完成升级。如果您一定要选择直接升级,请确保 OS升级完毕后执行升级向导,升级向导的链接需要从服务器的管理器中找到。详情请参照文档:http://technet.microsoft.com/en-us/library/cc770876(v=ws.10).aspx

对于 AD RMS安装前的准备工作,请参照文档:http://technet.microsoft.com/en-us/library/dd772659(v=ws.10).aspx关于AD RMS的详细安装步骤,请参照文档:http://technet.microsoft.com/en-us/library/cc753531(v=ws.10).aspx,建议您在生产环境部署AD RMS之前,请先按照上面的文档安装一遍测试环境。

 

英文原文链接:http://blogs.technet.com/b/rms/archive/2012/04/28/ad-rms-installation-best-practices.aspx

posted @ 2013-08-06 19:02  jlins  阅读(571)  评论(0编辑  收藏  举报