微软RMS常见问题解答整理.docx

微软RMS常见问题解答整理.docx

《微软RMS常见问题解答整理.docx》由会员分享，可在线阅读，更多相关《微软RMS常见问题解答整理.docx（11页珍藏版）》请在冰豆网上搜索。

微软RMS常见问题解答整理

微软RMS常见问题解答之部署篇

1、如果用于RMS的安全主体是全局地址列表（GAL）成员，则Exchange的版本是否存在任何依赖关系？

　　RMS依赖于ActiveDirectory，而不是Exchange。

但是，Exchange5.5保留其自己的目录，而不使用ActiveDirectory。

确保ActiveDirectory中的所有用户和组对象都有一个有效的电子邮件属性，该属性包含完全限定的域名。

如果使用的是Exchange2000或更高版本，则此操作是自动完成的。

2、SQLServer在RMS中扮演什么角色？

RMS使用数据库来存储所有服务配置数据、有关系统中主体的信息和所有日志记录数据，并在ActiveDirectory和通讯组列表扩展期间缓存查找。

已使用SQLServer2000和SQLServer2005完全测试RMS。

3、用户计算机是否必须加入RMS服务器所在的域才能使用RMS？

　　用户计算机不必是RMS群集所在域的成员，但该计算机需要能够找到RMS群集。

客户端计算机找到RMS群集的最简单方法是通过服务连接点（SCP）使用ActiveDirectory查找。

但是，也可以将客户端上的注册表设置设置为找到RMS群集，而不必使用ActiveDirectory查找。

确切的注册表设置取决于启用了RMS的应用程序。

4、如果客户希望将RMS服务器放在外围网络中，则要与RMS通信，必须对面向Internet的防火墙和面向Intranet的防火墙打开哪些端口？

　　内部用户需要访问颁发权限帐户证书（RAC）和用户许可证的RMS服务器。

默认情况下，RMS服务器侦听HTTP（TCP端口80）或HTTPS（TCP端口443），这取决于服务器是否被配置为使用SSL，因此需要对面向Internet的防火墙打开这些端口。

需要对面向Intranet的防火墙打开域中成员服务器使用的其他端口。

5、仅授权群集中的从属服务器是如何注册的，是否需要对客户端执行什么操作，此群集才知道这些从属服务器？

　　当在企业的根群集中创建第一台RMS服务器时，该服务器将接收到来自Microsoft注册服务的服务器许可方证书。

当安装并设置另一台RMS服务器时，您可以将它加入到根群集中，或者将它注册为从属仅授权群集中的服务器。

如果选择将它注册为从属仅授权群集中的服务器，则它将会向RMS根群集发送注册请求。

启用了RMS的应用程序指定客户端应用程序在哪里查找仅授权群集。

Office2003是启用了RMS的应用程序之一，默认情况下，它查找根群集。

可以使用注册表设置代替此行为，以便应用程序查找新的从属仅授权群集。

6、使用从属仅授权群集有什么好处？

　　一个好处是可以隔离组织中的不同部门。

如果尚未在RMS群集之间建立受信任的发布域，则仅有权访问给定授权服务器的用户才能使用内容。

这样，法律部门可以阻止其他人阅读其RMS加密的电子邮件。

此外，还可以在仅授权群集中设置一些选项，如权限模板、日志记录、超级用户组中的成员身份和排除策略。

7、要完全回滚RMS安装需要执行什么操作？

　　要彻底回滚RMS安装，请执行下列过程。

　　回滚RMS安装

　　通过使用RMS管理网站删除RMS群集的服务连接点（SCP）。

　　从"全局管理"页面中，单击"从此网站中删除RMS"以在服务器上取消设置RMS。

应该首先取消设置仅授权群集中任何通过注册子过程注册的服务器，然后取消设置根群集服务器。

　　在"控制面板"中，单击"添加或删除程序"，然后删除"RightsManagementServices"。

　　在数据库服务器上，删除任何其余RMS数据库。

　　从数据库服务器上的授权登录列表中删除RMS服务帐户，然后从ActiveDirectory本身中删除该帐户。

　　如果RMS客户端运行的是WindowsXP和Windows2000，请从客户端计算机中删除RMS客户端。

　　要点

　　完成此过程之后，您无法再打开受权限保护的内容。

如果RMS用于保护任何有价值的数据，则首先取消RMS配置，然后再回滚RMS安装。

8、使用"添加或删除程序"卸载RMS客户端之后，是否要删除任何其他文件？

　　尽管此操作不是必需的，但您也可以从%systemroot%\system32中删除密码箱。

9、RMS使用FAT文件系统吗？

　　是，尽管建议使用NTFS文件系统，但RMS在使用FAT的计算机上工作。

10、对RMS使用的数据库服务器建议什么样的典型硬件配置？

　　日志记录数据库将快速变大，尤其是在大量使用RMS的环境中。

如果考虑对数据库服务器使用SQLServer，则应该考虑在Windows2000AdvancedServer或WindowsServer2003EnterpriseEdition上使用SQLServer2000EnterpriseEdition或SQLServer2005EnterpriseEdition，它们是在群集中进行主/从配置期间配置的。

在这种情况下，建议的配置为RAID-1日志磁盘和RAID-5数据磁盘，且RAM至少为512MB。

此配置建议使用的最小CPU为PentiumIII，运行速度为1.4GHz。

在专用数据库服务器上，不需要多个CPU。

11、RMS将全局编录用于组扩展会如何影响全局编录服务器的性能？

　　RMS服务器将缓存任何组扩展列表，以便全局编录服务器上的负载不会很大。

尽管可以通过注册表配置获得新组列表的超时时间，但是频繁更新组成员身份会增加对全局编录服务器的依赖。

频繁扩展较大的组将会降低性能。

有关详细信息，请参阅此文档集的"RMS：

操作"中的"更改ActiveDirectory缓存设置"。

12、RMS是否要求更改ActiveDirectory中的任何架构？

　　为使RMS能够成功地跨林边界扩展发布许可证中指定的组成员身份，本地ActiveDirectory林中必须存在一个联系对象，代表远程林中的组。

RMS可以查询联系对象的属性，并发现此对象代表其他林中的组。

　　为使RMS能够执行此操作，ActiveDirectory需要ExchangeServer2003或更高版本的架构属性msExchOriginatingForest。

如果林中有一台服务器正在运行ExchangeServer2003，则默认情况下，此属性安装在ActiveDirectory架构中。

您必须在将参与RMS的每个ActiveDirectory架构的林中都安装此属性。

如果您当前未使用ExchangeServer2003，则可以使用RMS管理工具包将该架构单独安装在您的ActiveDirectory结构中。

13、是否将在安装了RMS服务器的域中的不同域控制器之间自动复制服务连接点（SCP）？

　　在设置林中的第一台RMS服务器之后，必须使用具有足够权限的域帐户在ActiveDirectory中注册该服务器，以在ActiveDirectory的"配置"容器中的"服务"容器之下创建容器对象。

EnterpriseAdmins内置安全组是具有所需权限的帐户之一。

这将创建SCP。

由于其在"服务"容器中，因此ActiveDirectory将信息复制到林中的所有域控制器中。

14、如果用户对其计算机没有管理权限，则可以如何安装和配置RMS客户端？

　　RMS客户端是一个WindowsInstaller文件，可以使用软件分发体系结构（如SystemsManagementServer2003）进行分发。

也可以使用组策略对象（GPO）分发RMS客户端，但该组策略对象需要使用具有管理权限的服务帐户。

如果RMS客户端运行的是WindowsVista，则不再需要独立的RMS客户端安装，因为它已集成到操作系统中。

15、什么是RMS的可伸缩性？

　　RMS是一种无状态的Web服务，可以像任何其他网站或Web服务那样实现群集化和进行负载平衡。

RMS的性能主要取决于处理器的可用性，因此添加处理器可以提高性能。

16、RMS是否支持硬件安全模块（HSM），以保护硬件中的RMS密钥？

　　是，RMS使用符合CAPI的HSM，如nCipherHSM。

微软RMS常见问题解答之管理篇　

1、吊销离开组织的用户对文档的权限的最佳方法是什么？

　　通常，最好授权ActiveDirectory中定义的用户组而不是个人用户帐户使用文档。

建议这么做是为了在某用户离开组织后，您可以从ActiveDirectory组中删除该用户，该用户不能读取发送到该组的文档。

但是，该用户仍然可以读取具有现有用户许可证的文档，除非这些文档的权限设置为每次打开文档时都需要用户获取用户许可证。

如果未定义该权限，则唯一可以防止用户打开具有现有用户许可证的文档的方法是清除用户计算机上的用户许可证存储。

2、在两个组织之间建立信任以便交换RMS内容时，是否需要对传递到可信公司的任何XrML许可证证书进行特殊处理？

　　建立受信任的用户域或受信任的发布域时，您将选择信任伙伴组织来参与您的权限管理系统。

因此，您要冒经过精确计算的风险，相信信任另一组织不会泄露您的信息。

最佳方案是，请求伙伴组织通过使用经过身份验证的通道（如S/MIME电子邮件）来发送其RMS服务器许可方证书，从而帮助缓解在将服务器许可方证书导入到RMS服务器之前该证书被篡改的风险。

3、RMS如何处理漫游用户配置文件？

　　用于识别用户的权限帐户证书（RAC）是特定于计算机的。

使用漫游配置文件时，在给定计算机上第一次使用RMS时将为该计算机上的用户创建一个新的RAC。

4、组织为什么要取消RMS配置？

　　取消RMS配置将从基础结构中删除RMS服务器，并为用户提供了一种方法来在不采取保护措施的情况下保存受权限保护的内容。

组织选择这样做的主要原因有三个：

　　简化体系结构设计，如将服务器合并到群集中。

　　将概念证明试验环境迁移到生产环境。

　　合并RMS服务器，如在收购后。

5、取消配置的全过程是什么？

　　通过启用取消配置服务来从RMS根群集中启动取消配置过程。

启用取消配置服务时，所有其他服务（例如，授权和认证）都将被禁用。

之后，在使用RMS功能时，每个用户的启用了RMS的应用程序需要被定向以连接到取消配置服务。

MicrosoftOffice2003就是启用了RMS的应用程序的一个示例。

在Office2003中，通过使用注册表项将RMS客户端定向到RMS服务。

一个特定注册表项标识取消配置服务。

一旦此注册表项配置为将客户端定向到取消配置服务，RMS群集就会向用户授予该内容的用户许可证，该许可证提供完整权限，包括读取、写入、复制、打印、编辑等等，而不考虑最初是否向用户授予了这些权限。

然后，系统应指示用户从完全取消RMS群集的配置之后仍想要保留的任何文档中删除所有权限保护。

完成此操作之后，就可以完全停止使用RMS群集。

　　最佳方案是备份RMS群集的配置数据库，以防在停止使用该群集之后，需要恢复受权限保护的文档。

如果没有RMS根群集的私钥，则仅文档的作者能够在删除服务器之后打开受权限保护的内