RMSDeploying文档格式.docx
《RMSDeploying文档格式.docx》由会员分享,可在线阅读,更多相关《RMSDeploying文档格式.docx(36页珍藏版)》请在冰豆网上搜索。
设置SMS或组策略以支持客户端部署11
如何部署RMS客户端11
提取安装文件12
使用SMS部署RMS客户端12
使用组策略部署RMS客户端14
设置RMS的支持结构15
设置基本结构15
设置域控制器和数据库服务器16
准备安装根认证服务器19
创建RMS服务帐户21
设置硬件加密设备22
扩展基本结构以支持群集22
DNS注册22
负载均衡22
设置RMS23
RMS的FIPS符合性问题23
在第一台服务器上设置认证和授权服务24
安装和设置其他RMS服务器时所需的角色、权限和权利24
第一台服务器的安装和设置过程25
添加服务器以支持认证和授权28
安装和设置时所需的角色、权限和权利28
其他认证服务器和授权服务器的设置过程29
设置群集和负载均衡29
跨林部署RMS30
使用RMS信任策略32
保证RMS部署安全33
取消RMS配置34
了解取消配置过程35
启用取消配置服务35
设置虚拟目录权限36
解除对内容的RMS保护37
删除Web服务(取消设置RMS)37
删除RMS程序文件38
取消RMS配置的替代方法38
部署RMS系统
要部署Microsoft®
Windows®
RightsManagementServices(RMS),需要建立适当的结构、在服务器上安装和设置RMS、在组织的台式计算机上部署RMS客户端以及测试和修改部署以满足组织需要。
。
在本主题中
∙准备RMS部署
∙分发RMS客户端
∙设置RMS的支持结构
∙设置RMS
∙跨林部署RMS
∙保证RMS部署安全
∙取消RMS配置
准备RMS部署
在部署RMS之前,请审核您的系统设计、测试RMS系统在受控试验环境中的连接、发布和授权,然后详细描述如何从测试环境迁移到您的企业。
本部分涉及以下主题:
∙检查RMS设计
∙设置测试环境
∙将试用RMS部署迁移到生产部署
检查RMS设计
开始部署之前,确保您的RMS计划解决以下问题:
∙已选定支持RMS的客户端应用程序,并且首展计划正常。
∙已确定分发RMS客户端的方法。
∙数据库服务器已安装并且可访问。
∙已选定RMS拓扑(基本拓扑或分布式拓扑)。
∙ActiveDirectory已安装在运行Windows2000ServicePack3(SP3)或更高版本的域控制器中,并且所有用户均具有配置了电子邮件属性的联系对象。
已安装WindowsServer2003并安装了最新的更新程序。
已启用消息队列、Internet信息服务和ASP.NET版本1.1。
注意:
如果您计划将RMS安装在64位计算机上,请阅读此文档集的“规划RMS部署”中的“RMS的软件要求”,了解特殊配置说明。
∙已定义负载平衡和服务器故障转移方法。
∙为RMS服务器配置了DNS注册。
∙备份和恢复计划正常。
∙适合您的组织的安全考虑事项已完成。
设置测试环境
RMS与现有ActiveDirectory结构和数据库服务器集成在一起,如运行MicrosoftSQLServer(TM)2000的那些数据库服务器。
由于这些支持组件非常重要,因此在组织中部署RMS之前,应当在隔离的测试环境中对其进行全面测试。
这要求在测试环境中单独安装ActiveDirectory和数据库服务器。
在具有一个数据库服务器和一个客户端的林中开始使用最基本的RMS服务器配置。
在熟悉RMS之后,通过根据需要添加多个林和外部访问,您的配置可以逐渐变大并与将在组织的生产环境中部署的拓扑近似匹配。
虽然测试环境可能不会包含组织部署计划中的全部冗余配置和多站点配置,但其中至少应包含一个运行需要部署的各个支持组件的服务器。
下表描述可用于测试RMS基本配置的测试环境的最低可能配置:
∙运行Windows2000ServerwithServicePack3(SP3)或更高版本的域控制器,以及安装了SP3a的SQLServer2000。
SQLServer上存储有RMS日志数据库、配置数据库和目录服务数据库。
如果数据库将与RMS位于同一服务器中,则RMS可以与MicrosoftSQLServer2000DesktopEngine(MSDE2000)发行版A或SQLServer一起使用。
如果要使用远程服务器来提供数据库支持,则需要SQLServer。
您可以从Microsoft网站下载MSDE2000。
Windows2000ServerwithServicePack3(SP3)是域控制器的最低要求,但建议使用WindowsServer2003,因为其中的ActiveDirectory组扩展的性能得到增强。
建议仅在测试环境中使用MSDE2000支持RMS数据库,因为MSDE2000不支持任何网络接口。
另外,MSDE2000的使用条款中规定不能使用SQLServer客户端工具对MSDE2000数据库执行操作。
由于此限制,您将无法查看日志信息或更改配置数据库中存储的数据。
∙运行WindowsServer2003的根认证服务器,其中安装和设置了RMS。
在测试过程中,可以根据需要添加多个服务器来创建根认证群集。
∙运行WindowsXPProfessional的客户端计算机、RMS客户端和支持RMS的应用程序。
∙在ActiveDirectory中拥有电子邮件地址属性的用户帐户。
有关基本RMS结构的安装和配置的信息,以及如何对生产环境应用结构要求,请参阅本主题中稍后的“设置基本结构”。
将试用RMS部署迁移到生产部署
许多组织选择在整个组织实施RMS技术之前,先在试验部署中部署该技术。
试验程序的用户数目通常有限,且服务器可能是由本地专门的管理员维护,而不是由IT小组维护的数据中心的一部分。
当组织在试验完成之后在数据库中心为所有客户端实施RMS时,将部署新的RMS服务器来支持更多数目的可能用户。
但是,受RMS保护的内容与用来创建它的RMS服务器有联系,因此如果删除或替换了服务器,必须采取措施以便可以使用生产RMS服务器解密和授权使用试验RMS服务器加密的内容。
如果已将RMS部署为试验程序并想将RMS服务器移到组织的生产环境中,且还想维护通过使用试验RMS服务器保护的内容的完整性,则应制订一个迁移计划,该计划将确保平滑过渡,并可以在需要的时候回滚到试验程序以恢复数据。
提供下列步骤作为您的迁移计划应包括的某些项目的示例,您的部署可能还有其他要求。
服务器
步骤
注
试验
备份RMS配置数据库。
这允许在需要的时候恢复试验服务器。
配置数据库包括RMS私钥。
确保您知道私钥密码。
如果使用了硬件安全模块(HSM)来保护RMS私钥,请按照HSM制造商的指导来备份HSM的配置。
将在新服务器上恢复HSM。
确保具备安装和配置HSM必需的所有组件。
导出可信发布域文件。
这允许另一个RMS服务器解密此服务器创建的发布许可证和给受保护的内容颁发用户许可证。
可信发布域包括此服务器所建立的服务器许可方证书、RMS私钥以及所有权限策略模板。
可信发布域文件是一个XML文件,已使用创建该文件时指定的强密码对它进行了加密。
必须使用此密码来导入可信发布域文件。
导出可信用户域。
这允许另一个RMS服务器给用户授予用户许可证,这些用户的权限帐户证书(RAC)以前是由试验RMS服务器授予的。
建立了可信用户域的方法是将此服务器的服务器许可方证书导入到另一个RMS服务器。
生产
准备让新服务器成为根认证服务器。
确保它可以访问数据库服务器,且已安装IIS和MessageQueuing。
尽可能使用与此服务器相同的服务器名。
如果您使用HSM,请安装HSM并使用在试验服务器上创建的备份恢复它的配置。
建立解密RMS私钥所需的凭据。
安装RMS。
RMS将验证是否正确安装和配置了所有必需的服务。
使用新的私钥设置RMS。
如果使用联机注册,将在设置过程期间通过使用Internet连接到Microsoft注册服务来注册您的服务器。
如果此服务器上没有Internet连接,则需要使用脱机注册。
如果此服务器名不同于试验服务器名,可以将群集URL设置修改为与试验服务器相同的URL。
如果不修改,则需要设置一个从先前群集URL到新群集URL的URL重定向,以便用户能够使用现有内容获取用户许可证。
如果使用脱机注册,请完成新RMS服务器的手动注册过程。
有关详细信息,请参阅本文档集中的“运行RMS服务器”中的“手动注册根认证服务器”。
直到注册了RMS服务器,才能使用它。
另外,直到注册了该服务器,才能访问RMS管理网页。
导入在步骤3中导出的可信发布域文件。
RMS服务帐户必须对存储该文件的位置具有读取权限,才能成功导入该文件。
生产
重新签署随可信发布域一起导入的每个模板。
模板是用服务器私钥签署的。
因为此服务器具有新的私钥,所以模板必须重新签署才会有效。
有关详细信息,请参阅本文档集中的“运行RMS服务器”中的“重新签署权限策略模板”。
将模板重新分发给参与过试验的客户端计算机。
需要删除旧模板并用此服务器签署的模板取代它们。
导入在步骤4中导出的可信用户域文件。
启用要使用的旧客户端许可方证书和RAC。
如果在此迁移过程中在林之间移动了用户帐户,请注意这些帐户必须具有匹配的SMTP代理服务器。
一旦完成了设置生产服务器,请验证试验用户是否仍可创建和读取先前保护的邮件。
然后可以添加支持组织中的用户数所需的那样多RMS服务器到群集中。
分发RMS客户端
在客户端计算机可以参与RMS环境之前,它们需要安装RMSSP1客户端软件,并需要激活该软件。
激活过程为当前登录的用户建立密码箱和计算机证书。
激活是本地过程,不需要网络连接。
一旦激活成功,支持RMS的应用程序第一次使用RMS时将为该用户获取用户证书。
通过使用组策略、WindowsUpdate或管理脚本,可以在组织中的每个客户端计算机上安装RMS客户端。
无论使用哪种客户端分发方法,RMS客户端都会使用端口80或端口443与RMS服务器通信。
应确保客户端计算机能通过那些端口向RMS服务器发送出站请求。
使用软件分发
如果您的组织通过使用组策略来分发软件,则可以使用这种方法来分发RMS客户端。
如果使用这种方法分发RMS客户端,则用户不需要管理员权限,且可通过使用“控制面板”中的“添加/删除程序”或通过使用支持RMS的应用程序打开受RMS保护的内容来安装RMS客户端。
使用WindowsUpdate
WindowsUpdate为在计算机上安装RMS客户端提供最简单的方法。
此方法的优点在于它采用的机制为用户所熟悉,但它不允许实施组织策略,如在安装文件前检查文件中是否有病毒(除非您使用的是诸如WindowsUpdateServices之类的更新管理系统)。
用户必须在计算机上拥有本地管理员权限,才能通过使用WindowsUpdate安装RMS客户端。
使用脚本安装
为了对客户端安装过程进行最高水平的控制,可以获得该软件,然后运行脚本在安装过程的每一步验证其完整性。
有关通过使用组策略分发RMS客户端的基本信息,请参阅本主题中稍后的“设置SMS或组策略以支持客户端部署”。
有关RMS客户端部署的过程指导,请参阅本主题中稍后的“如何部署RMS客户端”。
设置SMS或组策略以支持客户端部署
部署RMS时,必须在用户计算机上安装支持RMS的应用程序,以便用户保护内容和使用受RMS保护的内容。
要使应用程序支持RMS,必须将RMS客户端集成到其操作中。
RMSSP1客户端是从RightsManagementServices单独下载的Windows组件。
但是,如果您不希望分别给企业中的每台客户端计算机下载该客户端,可使用MicrosoftSystemsManagementServer(SMS)、组策略或脚本自动将RMS客户端传递到客户端计算机。
使用SMS分发RMS客户端组件时,需要执行下列步骤:
∙创建一个新的包定义文件。
∙从WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe文件提取Windows安装程序文件。
为此,首先保存WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe文件。
不要安装它。
在此示例中,假定该文件保存到c:
\folder_name中。
打开命令提示符窗口,键入以下命令:
c:
\folder_name\WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe/x/t:
\folder_name
这会从.exe文件中提取MSDrmClient.msi和RMClientBackCompat.msi文件并将它们放在c:
∙对包定义和来源使用Windows安装程序文件。
∙通过网络公布包的可用性。
安装软件时需要管理权限;
您组织的安全策略可能要求由系统管理员来安装RMS客户端软件。
有关使用SMS分发软件的详细信息,请参阅Microsoft网站上的SMS主题。
有关使用组策略部署客户端软件的详细信息,请参阅MicrosoftWindows资源工具箱网站有关基于组策略的软件部署的主题。
如何部署RMS客户端
必须先安装RightsManagementServices(RMS)客户端,才能使用任何RMS功能,如Office2003中的信息权限管理和InternetExplorer中的权限管理插件。
许多组织选择控制组织中的客户端软件部署。
可以使用SMS或组策略来部署RMSSP1客户端。
在开始部署之前,请从Microsoft网站的下载中心下载RMS客户端,网址为
提取安装文件
下载WindowsRightsManagementServicesSP1-KB839178-Client-CHS.exe文件之后,必须从可执行程序包中提取Windows安装程序文件。
可以在命令提示符下使用以下命令行来执行此操作:
WindowsRightsManagementServicesSP1-KB839178-Client-CHS.exe/x<
path>
其中“<
”是用来放置提取出来的文件的目标目录。
运行此命令将提取下列文件到您指定的目标目录:
∙Bootstrap.exe
这是一个包装文件,可执行文件用它来安装其他包含的文件。
当通过使用SMS或组策略安装RMSSP1客户端时,不会使用它。
∙MSDrmClient.msi
这是RMSSP1客户端的安装文件。
此安装文件将卸载计算机上任何先前版本的RMS客户端。
应首先在客户端计算机上安装此程序。
∙RMClientBackCompat.msi
这是一个安装文件,用来使新的SP1客户端与依赖先前版本RMS客户端的支持RMS的应用程序(如MicrosoftOfficeProfessional2003)关联,以便这些应用程序转为使用RMSSP1客户端。
在成功安装MSDrmClient.msi之后,应在客户端计算机上安装此程序。
无论选择实施哪种安装方法,都应确保成功安装这两个.msi文件。
如果发生阻止MSDrmClient.msi安装的错误,则不应安装RMClientBackCompat.msi。
使用SMS部署RMS客户端
通过使用SMS部署RMS客户端
1.打开SMS管理员控制台。
2.展开要使用的站点数据库。
3.在左边的窗格中,右键单击“包”,选择“新建”,然后单击“包定义”。
4.使用MSDRMClient.msi和RMClientBackCompat.msi文件创建包。
包应具有下列属性:
常规:
∙为“命令行”键入:
msiexec.exe/qALLUSERS=2/mMSIDGHOG/i"
<
file_name>
.msi"
注
MSIDGHOG是一个随机值。
用此包要安装的Windows安装程序文件的名称替换“<
”。
∙为“运行”选择“隐藏”选项。
∙为“运行之后”选择“无需操作”选项。
∙为“类别”选择“管理软件”选项。
要求:
∙为“估计磁盘空间”键入445KB。
∙为“最大允许运行时间”选择“未知”。
∙选择“此程序可在任何平台上运行”复选框。
环境:
∙为“程序可运行”选择“不管用户是否登录”选项。
∙为“运行模式”选择“使用管理权限运行”选项。
∙为“驱动模式”选择“使用UNC名称运行”选项。
高级:
∙清除“先运行另一程序”复选框。
∙清除“当将程序指定给计算机时”下的“抑制程序通知”复选框。
∙清除“在公布此程序的计算机上禁用它”复选框。
5.设置适合于您组织的“访问帐户和分发点”。
6.为合适的集合创建公布。
建议在SMS部署中使用“每个系统无人参与”程序。
7.根据组织的需要安排此公布。
使用组策略部署RMS客户端
可以使用组策略的软件安装和维护功能将RMSSP1客户端部署到目标计算机上。
对于尚未使用企业更新管理解决方案(如SystemsManagementServer(SMS)
2003或WindowsUpdateServices(SUS))的组织,组策略是积极管理RMSSP1客户端部署的建议方法。
当使用组策略来分发程序时,可将该程序指定给计算机。
该程序在计算机启动时安装并可供登录该计算机的所有用户使用。
有关组策略的详细信息,请参阅“组策略结构”。
此过程假定您使用的是组策略管理控制台(GPMC)。
要下载GPMC,请参阅Microsoft网站上的“GroupPolicyManagementConsolewithServicePack1”。
以下过程为不熟悉基于组策略的软件分发的管理员提供快速指南。
可以根据需要修改这些步骤以满足您组织的需要。
通过使用组策略部署RMS客户端
1.在域控制器上,打开“ActiveDirectory用户和计算机”Microsoft管理控制台(MMC)管理单元。
2.创建新的组织单元(OU)或选择现有OU。
如果创建新的OU,请添加要安装RMS客户端的计算机。
3.右键单击OU并选择“属性”。
4.选择“组策略”选项卡。
5.单击“新建”以创建新的组策略对象(GPO)。
6.单击“编辑”以编辑新的GPO。
7.在控制台树中,依次展开“计算机配置”和“软件设置”,然后选择“软件安装”。
8.右键单击控制台窗格,然后选择“新建,包…”。
9.提供到客户端计算机可以访问的网络共享文件夹上MSDRMclient.msi文件的路径。
10.单击“确定”以指定包。
11.重复步骤5到10以创建安装RMClientBackCompat.msi文件的GPO。
提供这些步骤只是为了指导没有使用组策略经验的用户。
如果您是经验丰富的组策略管理员,可以按照自己的操作过程来分发MSDrmClient.msi包。
另外,这些步骤用于运行WindowsServer2003的域控制器—在Windows2000域上,过程和术语可能有所不同。
设置RMS
升级会员 