AD RMS 仅授权群集部署循序渐进指南.docx

AD RMS 仅授权群集部署循序渐进指南.docx

《AD RMS 仅授权群集部署循序渐进指南.docx》由会员分享，可在线阅读，更多相关《AD RMS 仅授权群集部署循序渐进指南.docx（12页珍藏版）》请在冰豆网上搜索。

ADRMS仅授权群集部署循序渐进指南

ADRMS仅授权群集部署循序渐进指南

更新时间:

2008年1月

应用到:

WindowsServer2008,WindowsServer2008R2

关于本指南

本循序渐进指南将引导您完成在测试环境中设置正常工作的仅授权ActiveDirectory权限管理服务（ADRMS）群集的过程。

在此过程中需要安装数据库服务器和ADRMS服务器角色，配置ADRMS仅授权群集和启用ADRMS的客户端计算机以从仅授权群集获取许可证。

备注

通常，我们建议您将ADRMS服务器添加到根群集，以便可以跨部署中的所有服务器设置冗余和负载平衡。

尽管仅授权群集还可以用于卸载对授权和发布请求的处理，但是仅授权群集无法与根群集达到负载平衡。

在本指南中，您将创建包括以下组件的测试部署：

∙两台ADRMS服务器

∙两台ADRMS数据库服务器

∙启用了ADRMS的客户端

∙ActiveDirectory域控制器

本指南假定您以前阅读过“WindowsServerActiveDirectoryRightsManagementServices循序渐进指南”（

∙一台ADRMS服务器

∙一台ADRMS数据库服务器

∙启用了ADRMS的客户端

∙ActiveDirectory域控制器

本指南未提供的内容

本指南未提供以下内容：

∙ADRMS概述。

有关ADRMS可以为您的组织带来好处的详细信息，请参阅

∙在生产环境中设置和配置ADRMS的指南

∙ADRMS的完整技术参考

在测试环境中部署ADRMS仅授权群集

建议您首先在测试实验室环境中执行本指南中提供的步骤。

不一定必须使用循序渐进指南才能部署WindowsServer功能，而不使用其他部署文档，应将其作为独立的文档谨慎使用。

完成本循序渐进指南后，您将拥有包含ADRMS仅授权群集且正常工作的ADRMS基础结构。

然后，可以按照如下所示测试和验证ADRMS功能：

∙限制对MicrosoftOfficeWord2007文档的权限

∙打开已授权用户并使用该文档。

∙让XX的用户尝试打开并使用该文档。

仅授权群集是可选的，通常是为了满足特定授权要求（如为支持某部门的唯一权限管理要求）而部署的。

例如，组织内的某个组可能需要其他部门无法访问的特定权限策略模板。

本指南中描述的测试环境包含六台计算机，它们已连接到专用网络，并且使用下列操作系统、应用程序和服务：

计算机名称

操作系统

应用程序和服务

ADRMS-SRV

WindowsServer®2008

ADRMS、InternetInformationServices（IIS）7.0、万维网发布服务和消息队列

CPANDL-DC

WindowsServer2008或WindowsServer2003ServicePack2（SP2）

ActiveDirectory域服务或ActiveDirectory®、域名系统（DNS）

ADRMS-DB

WindowsServer2003SP2

MicrosoftSQLServer®2005StandardEditionServicePack2（SP2）

ADRMS-CLNT

WindowsVista®

MicrosoftOfficeWord2007EnterpriseEdition

CPANDL-ADRMSLIC

WindowsServer2008

ADRMS、InternetInformationServices（IIS）7.0、万维网发布服务和消息队列

CPANDL-LICDB

WindowsServer2003SP2

MicrosoftSQLServer®2005StandardEditionServicePack2（SP2）

备注

有关安装ADRMS的系统要求的详细信息，请参阅

这些计算机构成了专用Intranet，且通过常用集线器或第2层交换机进行连接。

如果需要，可以在虚拟服务器环境中模拟此配置。

此循序渐进练习在整个测试实验室配置中使用的是专用地址。

为Intranet使用专用网络ID10.0.0.0/24。

对于名为的域，域控制器命名为CPANDL-DC。

下图显示了测试环境的配置：

第1步：

设置CP&L企业域

更新时间:

2008年1月

应用到:

WindowsServer2008,WindowsServer2008R2

在创建ADRMS仅授权群集前，需要将两台服务器配置并添加到CPANDL域的基础结构中。

在此步骤中，您将执行以下任务：

∙将ADRMS仅授权群集服务器（CPANDL-ADRMSLIC）添加到域

∙将ADRMS仅授权群集数据库服务器（CPANDL-LICDB）添加到域

此步骤假定您已完成WindowsServerActiveDirectoryRightsManagementServices循序渐进指南（

设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置时，请参考下表。

重要事项

在为计算机配置静态Internet协议（IP）地址之前，建议您在每台计算机仍然具有Internet连接时首先完成Windows产品激活。

您还应该从WindowsUpdate（

计算机名称

操作系统要求

IP设置

DNS设置

CPANDL-ADRMSLIC

WindowsServer2008

IP地址：

10.0.0.7

子网掩码：

255.255.255.0

首选：

10.0.0.1

CPANDL-LICDB

WindowsServer2003ServicePack2（SP2）

IP地址：

10.0.0.8

子网掩码：

255.255.255.0

首选：

10.0.0.1

将ADRMS仅授权群集服务器（CPANDL-ADRMSLIC）添加到域

若要配置成员服务器CPANDL-ADRMSLIC，必须安装WindowsServer2008，配置TCP/IP属性，然后将CPANDL-ADRMSLIC加入到域。

还必须将ADRMSADMIN帐户添加到本地管理员组，以便管理员可以使用ADRMSADMIN帐户在CPANDL-ADRMSLIC上安装ADRMS。

首先，安装WindowsServer2008作为独立服务器。

安装WindowsServer2008的步骤

1.使用WindowsServer2008产品CD启动计算机。

2.提示输入计算机名称时，键入CPANDL-ADRMSLIC。

3.请按照屏幕上显示的其他说明完成安装。

下一步，配置TCP/IP属性，以便CPANDL-ADRMSLIC具有静态IP地址10.0.0.8。

此外，还要使用CPANDL-DC的IP地址（10.0.0.1）配置DNS服务器。

配置TCP/IP属性的步骤

1.使用CPANDL-ADRMSLIC\Administrator帐户登录到CPANDL-ADRMSLIC。

2.单击「开始」，单击“控制面板”，双击“网络和共享中心”，单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。

3.在“网络”选项卡上，单击“Internet协议版本4（TCP/IPv4）”，然后单击“属性”。

4.单击“使用下面的IP地址”选项。

在“IP地址”中，键入10.0.0.7。

在“子网掩码”中，键入255.255.255.0。

5.单击“使用下面的DNS服务器地址”选项。

在“首选DNS服务器”中，键入10.0.0.1。

6.单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将CPANDL-ADRMSLIC加入到域。

将CPANDL-ADRMSLIC加入到域的步骤

1.单击「开始」，右键单击“计算机”，然后单击“属性”。

2.单击“更改设置”（位于“计算机名称、域和工作组设置”的右下方），然后单击“更改”。

3.在“计算机名/域更改”对话框中，单击“域”选项，然后键入。

4.单击“更多”，然后在“此计算机的主DNS后缀”框中键入。

5.单击“确定”，然后再次单击“确定”。

6.当出现“计算机名/域更改”对话框提示输入管理凭据时，请提供CPANDL\Administrator的凭据，然后单击“确定”。

7.当出现“计算机名/域更改”对话框欢迎您进入域时，单击“确定”。

8.当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。

9.单击“立即重新启动”。

重新启动计算机后，将ADRMSADMIN添加到CPANDL-ADRMSLIC上的本地管理员组中。

将ADRMSADMIN添加到本地Administrators组的步骤

1.使用CPANDL\Administrator帐户登录到CPANDL-ADRMSLIC。

2.依次单击「开始」、“管理工具”和“计算机管理”。

3.展开“系统工具”，再展开“本地用户和组”，然后单击“组”。

4.右键单击Administrators，单击“添加到组”，再单击“添加”，在“输入要选择的对象名称（示例）”框中键入ADRMSADMIN，然后单击“确定”。

5.单击“确定”，然后关闭“计算机管理”。

将ADRMS仅授权群集数据库服务器（CPANDL-LICDB）添加到域

若要配置成员服务器CPANDL-LICDB，必须安装WindowsServer2003，配置TCP/IP属性，然后将CPANDL-LICDB加入到域。

还必须将ADRMSADMIN帐户添加到本地管理员组，以便管理员可以使用ADRMSADMIN帐户在CPANDL-LICDB上安装ADRMS仅授权数据库。

首先，在将要承载ADRMS仅授权群集数据库的计算机上安装WindowsServer2003。

安装WindowsServer2003StandardEdition的步骤

1.使用WindowsServer2003产品CD启动计算机。

2.按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，键入CPANDL-LICDB。

3.请按照屏幕上显示的其他说明完成安装。

在此步骤中，将配置TCP/IP属性，使CPANDL-LICDB具有静态IP地址10.0.0.8

在CPANDL-LICDB上配置TCP/IP属性的步骤

1.使用CPANDL-LICDB\Administrator登录到CPANDL-LICDB。

2.单击「开始」，依次指向“控制面板”和“网络连接”，单击“本地连接”，然后单击“属性”。

3.在“常规”选项卡上，单击“Internet协议（TCP/IP）”，然后单击“属性”。

4.单击“使用下面的IP地址”选项。

在“IP地址”框中，键入10.0.0.9。

在“子网掩码”框中，键入255.255.255.0。

5.单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。

下一步，将ADRMS仅授权群集数据库服务器（CPANDL-LICDB）计算机加入到CPANDL域中：

将ADRMS-DB加入到CPANDL域的步骤

1.单击「开始」，右键单击“我的电脑”，然后单击“属性”。

2.单击“计算机名称”选项卡，然后单击“更改”。

3.在“计算机名更改”对话框中，选择“域”选项，然后键入。

4.单击“详细信息”，然后在“此计算机的主DNS后缀”框中键入。

5.单击“确定”两次。

6.当出现“计算机名更改”对话框提示您输入管理凭据时，请提供CPANDL\Administrator的凭据，然后单击“确定”。

7.当出现“计算机名更改”对话框欢迎您进入域时，单击“确定”。

8.当出现“计算机名更改”对话框提示必须重新启动计算机时，单击“确定”，然后再次单击“确定”。

9.单击“是”重新启动计算机。

下一步，安装MicrosoftSQLServer2005StandardEdition：

安装MicrosoftSQLServer2005的步骤

1.使用CPANDL\Administrator帐户或本地管理员组中的其他用户帐户登录到CPANDL-LICDB。

2.插入MicrosoftSQLServer2005产品CD。

将自动开始安装。

3.单击“我接受许可条款和条件”复选框，然后单击“下一步”。

4.在“安装必备组件”页上，单击“安装”。

5.单击“下一步”。

6.在“欢迎使用MicrosoftSQLServer安装向导”页上，单击“下一步”，然后再次单击“下一步”。

7.在“姓名”框中，键入您的姓名。

在“公司”框中，键入组织的名称，然后键入相应的产品密钥。

单击“下一步”。

8.选中“SQLServer数据库服务”复选框和“工作站组件、联机丛书和开发工具”复选框，然后单击“下一步”。

9.单击“默认实例”选项，然后单击“下一步”。

10.单击“使用内置系统帐户”选项，然后单击“下一步”。

11.选择“Windows身份验证模式”选项，然后单击“下一步”。

12.单击“下一步”，接受默认“排序规则设置”，然后再次单击“下一步”。

13.单击“安装”。

当选定组件的状态均为已完成时，单击“下一步”。

14.单击“完成”。

下一步，将ADRMSADMIN添加到CPANDL-LICDB上的本地管理员组。

安装ADRMS仅授权群集的管理员需要此成员身份才能创建ADRMS仅授权群集数据库。

安装ADRMS后，可以从该组中删除ADRMSADMIN。

将ADRMSADMIN添加到本地Administrators组的步骤

1.单击「开始」，指向“管理工具”，然后单击“计算机管理”。

2.展开“系统工具”，再展开“本地用户和组”，然后单击“组”。

3.右键单击Administrators，单击“添加到组”，再单击“添加”，在“输入要选择的对象名称（示例）”框中键入ADRMSADMIN，然后单击“确定”。

4.单击“确定”，然后关闭“计算机管理”。

第2步：

配置ADRMS仅授权群集

更新时间:

2008年1月

应用到:

WindowsServer2008,WindowsServer2008R2

ADRMS随WindowsServer2008一起提供，且可以使用服务器管理器将其作为服务器角色进行安装。

ADRMS仅授权群集的安装和配置都通过服务器管理器进行处理。

ADRMS仅授权群集由负载平衡环境中配置的一个或多个ADRMS仅授权服务器组成。

本循序渐进指南将安装并配置一个单服务器ADRMS仅授权群集。

将ADRMS配置为仅授权群集。

添加ADRMS服务器角色的步骤

1.以cpandl\ADRMSADMIN身份登录到CPANDL-ADRMSLIC。

2.单击「开始」，指向“管理工具”，然后单击“服务器管理器”。

3.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

4.在“角色摘要”框中，单击“添加角色”。

5.阅读“开始之前”页面，然后单击“下一步”。

6.在“选择服务器角色”页上，选中ActiveDirectoryRightsManagementServices复选框。

7.此时会出现“添加角色向导”页，告知您依赖于ADRMS的角色服务和功能。

请确保列出了Web服务器（IIS）、WindowsProcessActivationService（WPAS）和消息队列，然后单击“添加必需的角色服务”。

单击“下一步”。

8.阅读ADRMS简介页，然后单击“下一步”。

9.在“选择角色服务”页中，确认已选中了“ActiveDirectory权限管理服务器”复选框，然后单击“下一步”。

10.单击“新建ADRMS群集”选项，然后单击“下一步”。

11.单击“使用其他数据库服务器”选项。

12.单击“选择”，在“选择计算机”对话框中键入CPANDL-LICDB，然后单击“确定”。

13.在“数据库实例”框中，单击箭头，再单击“默认”，然后单击“验证”。

14.单击“下一步”。

15.单击“指定”，键入CPANDL\ADRMSSRVC，键入帐户密码，单击“确定”，然后单击“下一步”。

16.确保选择了“使用ADRMS集中管理的密钥存储”选项，然后单击“下一步”。

17.在“密码”框和“确认密码”框中键入强密码，然后单击“下一步”。

18.选择要在其中安装ADRMS的网站，然后单击“下一步”。

在使用默认设置的安装中，唯一可用的网站应该是“默认网站”。

19.单击“使用SSL加密的连接（https:

//）”选项。

20.在“完全限定的域名”框中，键入cpandl-，然后单击“验证”。

如果验证成功，“下一步”按钮将可用。

单击“下一步”。

21.单击“为SSL加密选择现有证书”选项，单击已为该ADRMS群集导入的证书，然后单击“下一步”。

22.在“友好名称”框中键入有助于标识ADRMS群集的名称，然后单击“下一步”。

23.阅读“Web服务器简介（IIS）”页，然后单击“下一步”。

24.保留Web服务器默认复选框选择，然后单击“下一步”。

25.单击“安装”在计算机上设置ADRMS。

可能需要多达60分钟才能完成安装。

26.单击“关闭”。

27.注销该服务器，然后以cpandl\ADRMSADMIN的身份重新登录以更新已登录用户帐户的安全令牌。

在安装ADRMS服务器角色时登录的用户帐户会自动成为ADRMS企业管理员本地组的成员。

用户必须是该组的成员，才能管理ADRMS。

备注

此时，便可以从CPANDL-LICDB上的本地管理员组中将cpandl\ADRMSADMIN删除。

ADRMS仅授权群集安装和配置完成之后，必须通过配置客户端注册表替代让启用ADRMS的客户端使用该群集。

配置ADRMS客户端注册表替代的步骤

1.以管理员（cpandl\Administrator）身份登录ADRMS-CLNT。

2.单击「开始」，在“开始搜索”框中键入regedit.exe，然后按Enter。

3.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

4.导航到：

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation

如果此路径有任何部分不存在，则必须进行创建。

5.右键单击ServiceLocation，指向“新建”，然后单击“项”。

6.键入EnterprisePublishing，然后单击“确定”。

7.双击EnterprisePublishing项中的“（默认）”注册表项。

在“值数据”框中，键入https:

//cpandl-:

443/_wmcs/licensing，然后单击“确定”。

第3步：

验证ADRMS功能

更新时间:

2008年1月

应用到:

WindowsServer2008,WindowsServer2008R2

WindowsVista和WindowsServer2008的默认安装中都包括ADRMS客户端。

以前版本的客户端可用于下载一些较早版本的Windows操作系统。

有关详细信息，请参阅MicrosoftWindowsServerTechCenter上的WindowsServer2003RightsManagementServices页（

必须先为将使用受权限保护内容的所有用户将ADRMS群集URL和ADRMS仅授权群集URL添加到本地Intranet安全区域中，才能使用受权限保护的内容。

将ADRMS群集添加到本地Intranet安全区域的步骤

1.以NicoleHolliday（cpandl\NHOLLIDA）身份登录到ADRMS-CLNT。

2.单击「开始」、“所有程序”，然后单击InternetExplorer。

3.单击“工具”，然后单击“Internet选项”。

4.单击“安全”选项卡，单击“本地Intranet”，然后单击“站点”。

5.单击“高级”。

6.在“将该网站添加到区域”框中，键入https:

//adrms-，然后单击“添加”。

7.在“将该网站添加到区域”框中，键入https:

//cpandl-，然后单击“添加”。

8.单击“关闭”，然后单击两次“确定”。

9.对StuartRailson和LimorHenig重复步骤1-8。

若要验证ADRMS部署的功能，请以NicoleHolliday身份登录，然后限制MicrosoftWord2007文档的权限，以便CP&LEngineering组的成员能够读取该文档，但无法更改、打印和复制该文档。

然后，以S