AD RMS 仅授权群集部署循序渐进指南.docx
《AD RMS 仅授权群集部署循序渐进指南.docx》由会员分享,可在线阅读,更多相关《AD RMS 仅授权群集部署循序渐进指南.docx(12页珍藏版)》请在冰豆网上搜索。
ADRMS仅授权群集部署循序渐进指南
ADRMS仅授权群集部署循序渐进指南
更新时间:
2008年1月
应用到:
WindowsServer2008,WindowsServer2008R2
关于本指南
本循序渐进指南将引导您完成在测试环境中设置正常工作的仅授权ActiveDirectory权限管理服务(ADRMS)群集的过程。
在此过程中需要安装数据库服务器和ADRMS服务器角色,配置ADRMS仅授权群集和启用ADRMS的客户端计算机以从仅授权群集获取许可证。
备注
通常,我们建议您将ADRMS服务器添加到根群集,以便可以跨部署中的所有服务器设置冗余和负载平衡。
尽管仅授权群集还可以用于卸载对授权和发布请求的处理,但是仅授权群集无法与根群集达到负载平衡。
在本指南中,您将创建包括以下组件的测试部署:
∙两台ADRMS服务器
∙两台ADRMS数据库服务器
∙启用了ADRMS的客户端
∙ActiveDirectory域控制器
本指南假定您以前阅读过“WindowsServerActiveDirectoryRightsManagementServices循序渐进指南”(
∙一台ADRMS服务器
∙一台ADRMS数据库服务器
∙启用了ADRMS的客户端
∙ActiveDirectory域控制器
本指南未提供的内容
本指南未提供以下内容:
∙ADRMS概述。
有关ADRMS可以为您的组织带来好处的详细信息,请参阅
∙在生产环境中设置和配置ADRMS的指南
∙ADRMS的完整技术参考
在测试环境中部署ADRMS仅授权群集
建议您首先在测试实验室环境中执行本指南中提供的步骤。
不一定必须使用循序渐进指南才能部署WindowsServer功能,而不使用其他部署文档,应将其作为独立的文档谨慎使用。
完成本循序渐进指南后,您将拥有包含ADRMS仅授权群集且正常工作的ADRMS基础结构。
然后,可以按照如下所示测试和验证ADRMS功能:
∙限制对MicrosoftOfficeWord2007文档的权限
∙打开已授权用户并使用该文档。
∙让XX的用户尝试打开并使用该文档。
仅授权群集是可选的,通常是为了满足特定授权要求(如为支持某部门的唯一权限管理要求)而部署的。
例如,组织内的某个组可能需要其他部门无法访问的特定权限策略模板。
本指南中描述的测试环境包含六台计算机,它们已连接到专用网络,并且使用下列操作系统、应用程序和服务:
计算机名称
操作系统
应用程序和服务
ADRMS-SRV
WindowsServer®2008
ADRMS、InternetInformationServices(IIS)7.0、万维网发布服务和消息队列
CPANDL-DC
WindowsServer2008或WindowsServer2003ServicePack2(SP2)
ActiveDirectory域服务或ActiveDirectory®、域名系统(DNS)
ADRMS-DB
WindowsServer2003SP2
MicrosoftSQLServer®2005StandardEditionServicePack2(SP2)
ADRMS-CLNT
WindowsVista®
MicrosoftOfficeWord2007EnterpriseEdition
CPANDL-ADRMSLIC
WindowsServer2008
ADRMS、InternetInformationServices(IIS)7.0、万维网发布服务和消息队列
CPANDL-LICDB
WindowsServer2003SP2
MicrosoftSQLServer®2005StandardEditionServicePack2(SP2)
备注
有关安装ADRMS的系统要求的详细信息,请参阅
这些计算机构成了专用Intranet,且通过常用集线器或第2层交换机进行连接。
如果需要,可以在虚拟服务器环境中模拟此配置。
此循序渐进练习在整个测试实验室配置中使用的是专用地址。
为Intranet使用专用网络ID10.0.0.0/24。
对于名为的域,域控制器命名为CPANDL-DC。
下图显示了测试环境的配置:
第1步:
设置CP&L企业域
更新时间:
2008年1月
应用到:
WindowsServer2008,WindowsServer2008R2
在创建ADRMS仅授权群集前,需要将两台服务器配置并添加到CPANDL域的基础结构中。
在此步骤中,您将执行以下任务:
∙将ADRMS仅授权群集服务器(CPANDL-ADRMSLIC)添加到域
∙将ADRMS仅授权群集数据库服务器(CPANDL-LICDB)添加到域
此步骤假定您已完成WindowsServerActiveDirectoryRightsManagementServices循序渐进指南(
设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置时,请参考下表。
重要事项
在为计算机配置静态Internet协议(IP)地址之前,建议您在每台计算机仍然具有Internet连接时首先完成Windows产品激活。
您还应该从WindowsUpdate(
计算机名称
操作系统要求
IP设置
DNS设置
CPANDL-ADRMSLIC
WindowsServer2008
IP地址:
10.0.0.7
子网掩码:
255.255.255.0
首选:
10.0.0.1
CPANDL-LICDB
WindowsServer2003ServicePack2(SP2)
IP地址:
10.0.0.8
子网掩码:
255.255.255.0
首选:
10.0.0.1
将ADRMS仅授权群集服务器(CPANDL-ADRMSLIC)添加到域
若要配置成员服务器CPANDL-ADRMSLIC,必须安装WindowsServer2008,配置TCP/IP属性,然后将CPANDL-ADRMSLIC加入到域。
还必须将ADRMSADMIN帐户添加到本地管理员组,以便管理员可以使用ADRMSADMIN帐户在CPANDL-ADRMSLIC上安装ADRMS。
首先,安装WindowsServer2008作为独立服务器。
安装WindowsServer2008的步骤
1.使用WindowsServer2008产品CD启动计算机。
2.提示输入计算机名称时,键入CPANDL-ADRMSLIC。
3.请按照屏幕上显示的其他说明完成安装。
下一步,配置TCP/IP属性,以便CPANDL-ADRMSLIC具有静态IP地址10.0.0.8。
此外,还要使用CPANDL-DC的IP地址(10.0.0.1)配置DNS服务器。
配置TCP/IP属性的步骤
1.使用CPANDL-ADRMSLIC\Administrator帐户登录到CPANDL-ADRMSLIC。
2.单击「开始」,单击“控制面板”,双击“网络和共享中心”,单击“管理网络连接”,右键单击“本地连接”,然后单击“属性”。
3.在“网络”选项卡上,单击“Internet协议版本4(TCP/IPv4)”,然后单击“属性”。
4.单击“使用下面的IP地址”选项。
在“IP地址”中,键入10.0.0.7。
在“子网掩码”中,键入255.255.255.0。
5.单击“使用下面的DNS服务器地址”选项。
在“首选DNS服务器”中,键入10.0.0.1。
6.单击“确定”,然后单击“关闭”关闭“本地连接属性”对话框。
下一步,将CPANDL-ADRMSLIC加入到域。
将CPANDL-ADRMSLIC加入到域的步骤
1.单击「开始」,右键单击“计算机”,然后单击“属性”。
2.单击“更改设置”(位于“计算机名称、域和工作组设置”的右下方),然后单击“更改”。
3.在“计算机名/域更改”对话框中,单击“域”选项,然后键入。
4.单击“更多”,然后在“此计算机的主DNS后缀”框中键入。
5.单击“确定”,然后再次单击“确定”。
6.当出现“计算机名/域更改”对话框提示输入管理凭据时,请提供CPANDL\Administrator的凭据,然后单击“确定”。
7.当出现“计算机名/域更改”对话框欢迎您进入域时,单击“确定”。
8.当出现“计算机名/域更改”对话框提示您必须重新启动计算机时,单击“确定”,然后单击“关闭”。
9.单击“立即重新启动”。
重新启动计算机后,将ADRMSADMIN添加到CPANDL-ADRMSLIC上的本地管理员组中。
将ADRMSADMIN添加到本地Administrators组的步骤
1.使用CPANDL\Administrator帐户登录到CPANDL-ADRMSLIC。
2.依次单击「开始」、“管理工具”和“计算机管理”。
3.展开“系统工具”,再展开“本地用户和组”,然后单击“组”。
4.右键单击Administrators,单击“添加到组”,再单击“添加”,在“输入要选择的对象名称(示例)”框中键入ADRMSADMIN,然后单击“确定”。
5.单击“确定”,然后关闭“计算机管理”。
将ADRMS仅授权群集数据库服务器(CPANDL-LICDB)添加到域
若要配置成员服务器CPANDL-LICDB,必须安装WindowsServer2003,配置TCP/IP属性,然后将CPANDL-LICDB加入到域。
还必须将ADRMSADMIN帐户添加到本地管理员组,以便管理员可以使用ADRMSADMIN帐户在CPANDL-LICDB上安装ADRMS仅授权数据库。
首先,在将要承载ADRMS仅授权群集数据库的计算机上安装WindowsServer2003。
安装WindowsServer2003StandardEdition的步骤
1.使用WindowsServer2003产品CD启动计算机。
2.按照计算机屏幕上显示的说明操作,当系统提示输入计算机名称时,键入CPANDL-LICDB。
3.请按照屏幕上显示的其他说明完成安装。
在此步骤中,将配置TCP/IP属性,使CPANDL-LICDB具有静态IP地址10.0.0.8
在CPANDL-LICDB上配置TCP/IP属性的步骤
1.使用CPANDL-LICDB\Administrator登录到CPANDL-LICDB。
2.单击「开始」,依次指向“控制面板”和“网络连接”,单击“本地连接”,然后单击“属性”。
3.在“常规”选项卡上,单击“Internet协议(TCP/IP)”,然后单击“属性”。
4.单击“使用下面的IP地址”选项。
在“IP地址”框中,键入10.0.0.9。
在“子网掩码”框中,键入255.255.255.0。
5.单击“确定”,然后单击“关闭”关闭“本地连接属性”对话框。
下一步,将ADRMS仅授权群集数据库服务器(CPANDL-LICDB)计算机加入到CPANDL域中:
将ADRMS-DB加入到CPANDL域的步骤
1.单击「开始」,右键单击“我的电脑”,然后单击“属性”。
2.单击“计算机名称”选项卡,然后单击“更改”。
3.在“计算机名更改”对话框中,选择“域”选项,然后键入。
4.单击“详细信息”,然后在“此计算机的主DNS后缀”框中键入。
5.单击“确定”两次。
6.当出现“计算机名更改”对话框提示您输入管理凭据时,请提供CPANDL\Administrator的凭据,然后单击“确定”。
7.当出现“计算机名更改”对话框欢迎您进入域时,单击“确定”。
8.当出现“计算机名更改”对话框提示必须重新启动计算机时,单击“确定”,然后再次单击“确定”。
9.单击“是”重新启动计算机。
下一步,安装MicrosoftSQLServer2005StandardEdition:
安装MicrosoftSQLServer2005的步骤
1.使用CPANDL\Administrator帐户或本地管理员组中的其他用户帐户登录到CPANDL-LICDB。
2.插入MicrosoftSQLServer2005产品CD。
将自动开始安装。
3.单击“我接受许可条款和条件”复选框,然后单击“下一步”。
4.在“安装必备组件”页上,单击“安装”。
5.单击“下一步”。
6.在“欢迎使用MicrosoftSQLServer安装向导”页上,单击“下一步”,然后再次单击“下一步”。
7.在“姓名”框中,键入您的姓名。
在“公司”框中,键入组织的名称,然后键入相应的产品密钥。
单击“下一步”。
8.选中“SQLServer数据库服务”复选框和“工作站组件、联机丛书和开发工具”复选框,然后单击“下一步”。
9.单击“默认实例”选项,然后单击“下一步”。
10.单击“使用内置系统帐户”选项,然后单击“下一步”。
11.选择“Windows身份验证模式”选项,然后单击“下一步”。
12.单击“下一步”,接受默认“排序规则设置”,然后再次单击“下一步”。
13.单击“安装”。
当选定组件的状态均为已完成时,单击“下一步”。
14.单击“完成”。
下一步,将ADRMSADMIN添加到CPANDL-LICDB上的本地管理员组。
安装ADRMS仅授权群集的管理员需要此成员身份才能创建ADRMS仅授权群集数据库。
安装ADRMS后,可以从该组中删除ADRMSADMIN。
将ADRMSADMIN添加到本地Administrators组的步骤
1.单击「开始」,指向“管理工具”,然后单击“计算机管理”。
2.展开“系统工具”,再展开“本地用户和组”,然后单击“组”。
3.右键单击Administrators,单击“添加到组”,再单击“添加”,在“输入要选择的对象名称(示例)”框中键入ADRMSADMIN,然后单击“确定”。
4.单击“确定”,然后关闭“计算机管理”。
第2步:
配置ADRMS仅授权群集
更新时间:
2008年1月
应用到:
WindowsServer2008,WindowsServer2008R2
ADRMS随WindowsServer2008一起提供,且可以使用服务器管理器将其作为服务器角色进行安装。
ADRMS仅授权群集的安装和配置都通过服务器管理器进行处理。
ADRMS仅授权群集由负载平衡环境中配置的一个或多个ADRMS仅授权服务器组成。
本循序渐进指南将安装并配置一个单服务器ADRMS仅授权群集。
将ADRMS配置为仅授权群集。
添加ADRMS服务器角色的步骤
1.以cpandl\ADRMSADMIN身份登录到CPANDL-ADRMSLIC。
2.单击「开始」,指向“管理工具”,然后单击“服务器管理器”。
3.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
4.在“角色摘要”框中,单击“添加角色”。
5.阅读“开始之前”页面,然后单击“下一步”。
6.在“选择服务器角色”页上,选中ActiveDirectoryRightsManagementServices复选框。
7.此时会出现“添加角色向导”页,告知您依赖于ADRMS的角色服务和功能。
请确保列出了Web服务器(IIS)、WindowsProcessActivationService(WPAS)和消息队列,然后单击“添加必需的角色服务”。
单击“下一步”。
8.阅读ADRMS简介页,然后单击“下一步”。
9.在“选择角色服务”页中,确认已选中了“ActiveDirectory权限管理服务器”复选框,然后单击“下一步”。
10.单击“新建ADRMS群集”选项,然后单击“下一步”。
11.单击“使用其他数据库服务器”选项。
12.单击“选择”,在“选择计算机”对话框中键入CPANDL-LICDB,然后单击“确定”。
13.在“数据库实例”框中,单击箭头,再单击“默认”,然后单击“验证”。
14.单击“下一步”。
15.单击“指定”,键入CPANDL\ADRMSSRVC,键入帐户密码,单击“确定”,然后单击“下一步”。
16.确保选择了“使用ADRMS集中管理的密钥存储”选项,然后单击“下一步”。
17.在“密码”框和“确认密码”框中键入强密码,然后单击“下一步”。
18.选择要在其中安装ADRMS的网站,然后单击“下一步”。
在使用默认设置的安装中,唯一可用的网站应该是“默认网站”。
19.单击“使用SSL加密的连接(https:
//)”选项。
20.在“完全限定的域名”框中,键入cpandl-,然后单击“验证”。
如果验证成功,“下一步”按钮将可用。
单击“下一步”。
21.单击“为SSL加密选择现有证书”选项,单击已为该ADRMS群集导入的证书,然后单击“下一步”。
22.在“友好名称”框中键入有助于标识ADRMS群集的名称,然后单击“下一步”。
23.阅读“Web服务器简介(IIS)”页,然后单击“下一步”。
24.保留Web服务器默认复选框选择,然后单击“下一步”。
25.单击“安装”在计算机上设置ADRMS。
可能需要多达60分钟才能完成安装。
26.单击“关闭”。
27.注销该服务器,然后以cpandl\ADRMSADMIN的身份重新登录以更新已登录用户帐户的安全令牌。
在安装ADRMS服务器角色时登录的用户帐户会自动成为ADRMS企业管理员本地组的成员。
用户必须是该组的成员,才能管理ADRMS。
备注
此时,便可以从CPANDL-LICDB上的本地管理员组中将cpandl\ADRMSADMIN删除。
ADRMS仅授权群集安装和配置完成之后,必须通过配置客户端注册表替代让启用ADRMS的客户端使用该群集。
配置ADRMS客户端注册表替代的步骤
1.以管理员(cpandl\Administrator)身份登录ADRMS-CLNT。
2.单击「开始」,在“开始搜索”框中键入regedit.exe,然后按Enter。
3.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
4.导航到:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation
如果此路径有任何部分不存在,则必须进行创建。
5.右键单击ServiceLocation,指向“新建”,然后单击“项”。
6.键入EnterprisePublishing,然后单击“确定”。
7.双击EnterprisePublishing项中的“(默认)”注册表项。
在“值数据”框中,键入https:
//cpandl-:
443/_wmcs/licensing,然后单击“确定”。
第3步:
验证ADRMS功能
更新时间:
2008年1月
应用到:
WindowsServer2008,WindowsServer2008R2
WindowsVista和WindowsServer2008的默认安装中都包括ADRMS客户端。
以前版本的客户端可用于下载一些较早版本的Windows操作系统。
有关详细信息,请参阅MicrosoftWindowsServerTechCenter上的WindowsServer2003RightsManagementServices页(
必须先为将使用受权限保护内容的所有用户将ADRMS群集URL和ADRMS仅授权群集URL添加到本地Intranet安全区域中,才能使用受权限保护的内容。
将ADRMS群集添加到本地Intranet安全区域的步骤
1.以NicoleHolliday(cpandl\NHOLLIDA)身份登录到ADRMS-CLNT。
2.单击「开始」、“所有程序”,然后单击InternetExplorer。
3.单击“工具”,然后单击“Internet选项”。
4.单击“安全”选项卡,单击“本地Intranet”,然后单击“站点”。
5.单击“高级”。
6.在“将该网站添加到区域”框中,键入https:
//adrms-,然后单击“添加”。
7.在“将该网站添加到区域”框中,键入https:
//cpandl-,然后单击“添加”。
8.单击“关闭”,然后单击两次“确定”。
9.对StuartRailson和LimorHenig重复步骤1-8。
若要验证ADRMS部署的功能,请以NicoleHolliday身份登录,然后限制MicrosoftWord2007文档的权限,以便CP&LEngineering组的成员能够读取该文档,但无法更改、打印和复制该文档。
然后,以S