[转译] AD RMS 安装最佳实践
在安装活动目录权限管理服务(ADRMS)时,请牢记以下几点:
将 AD RMS服务单独安装在一台服务器上——将 AD RMS与域控制器、微软邮件服务器(Microsoft Exchange Server)、证书颁发中心(Certification Authority)或者微软 Office SharePoint等产品安装在同一台服务器上会大大降低AD RMS的安全性。
请勿将 AD RMS安装在域控制器上。如果一定要这么做,那么您必须将 AD RMS服务账号添加到域管理员用户组中(将AD RMS服务安装在域成员服务器时,该服务账号只需要是普通域用户即可,无需额外权限)。
请勿在部署活动目录联合服务(Active Directory Federation Services, AD FS)服务器之前安装 “联合身份认证支持”服务。如果您安装 AD RMS时,AD FS还未完成配置,那么请在您完成AD FS配置后再安装该服务。
Windows服务器上的内部数据库服务(Windows Internal Database)仅适用于测试环境,它不支持远程连接,因此,如果使用内部数据库,您将无法向您的群集中添加额外的AD RMS服务器。在生产环境部署AD RMS 时,请使用微软的SQL Server产品。
ADRMS服务器连接 SQL数据库服务器时,请使用数据库服务器的 DNS别名记录或DNS主机记录,即CNAME 记录和 A记录。这样您将来有数据库迁移需求时,将会非常容易。
为 ADRMS群集服务 URL 命名时,请同样使用 DNS别名记录或 DNS主机记录。这样您以后可以向 AD RMS群集中添加多台成员服务器,以实现快速的灾难恢复,解决大量客户端请求时的负载均衡问题。
如果您计划将 AD RMS安装在一个已经设置好的 Web站点服务器上,那么请务必保证 Web站点已经设置了HTTP绑定,即使您的AD RMS服务仅仅使用HTTPS。
如果您准备部署 AD RMS到非默认站点的 Web服务器上,请在部署前先安装“IIS 6 Management Capability”角色服务。
使用 SSL协议增强客户端到 AD RMS群集之间网络连接的安全性,AD RMS与 AD FS 集成时也需要使用 SSL。此外,您需要注意的是,一旦确定使用 HTTPS,以后不能随意更改,否则会影响到所有加密文档。
如果计划启用 AD RMS联合身份验证支持,那么请将 AD RMS服务 URL的 FQDN(域名)全部设置为小写,因为 AD FS 是区分大小写的。
您最好在安装 AD RMS服务后,尽快在服务器上设置外部访问 URL,这个 URL可以与内部 URL不同。我们建议您设置为与内部 URL相同,除非您内部的URL不是标准的域名或有其他的原因。如果您使用AD RMS服务器一段时间后才配置外部访问URL,那么您需要将所有加密过的文档保护手动去除,清除客户端DRM缓存,配置外部URL,之后再将之前的文档重新加密。
自签发的文档仅适用于测试环境;在生产环境,您应该选择由内部根证书服务器 CA颁发的SSL 证书或者直接购买受信任的第三方机构签发的SSL证书。
ADRMS初次安装完成或者初次升级后,请先注销,再重新登陆并管理 AD RMS服务器。
一旦 AD RMS服务器安装完毕,请第一时间备份 TPD(包括服务器授权证书的公钥和私钥),并牢记您的群集密钥密码。
将 Win2003上的 RMS升级至 Win2008上的 AD RMS有两个途径:迁移和直接升级。我们推荐您使用迁移的步骤完成升级。如果您一定要选择直接升级,请确保 OS升级完毕后执行升级向导,升级向导的链接需要从服务器的管理器中找到。详情请参照文档:http://technet.microsoft.com/en-us/library/cc770876(v=ws.10).aspx
对于 AD RMS安装前的准备工作,请参照文档:http://technet.microsoft.com/en-us/library/dd772659(v=ws.10).aspx;关于AD RMS的详细安装步骤,请参照文档:http://technet.microsoft.com/en-us/library/cc753531(v=ws.10).aspx,建议您在生产环境部署AD RMS之前,请先按照上面的文档安装一遍测试环境。
英文原文链接:http://blogs.technet.com/b/rms/archive/2012/04/28/ad-rms-installation-best-practices.aspx