RMSDeploying文档格式.docx

1、设置 SMS 或组策略以支持客户端部署 11如何部署 RMS 客户端 11提取安装文件 12使用 SMS 部署 RMS 客户端 12使用组策略部署 RMS 客户端 14设置 RMS 的支持结构 15设置基本结构 15设置域控制器和数据库服务器 16准备安装根认证服务器 19创建 RMS 服务帐户 21设置硬件加密设备 22扩展基本结构以支持群集 22DNS 注册 22负载均衡 22设置 RMS 23RMS 的 FIPS 符合性问题 23在第一台服务器上设置认证和授权服务 24安装和设置其他 RMS 服务器时所需的角色、权限和权利 24第一台服务器的安装和设置过程 25添加服务器以支持认证和授权

2、 28安装和设置时所需的角色、权限和权利 28其他认证服务器和授权服务器的设置过程 29设置群集和负载均衡 29跨林部署 RMS 30使用 RMS 信任策略 32保证 RMS 部署安全 33取消 RMS 配置 34了解取消配置过程 35启用取消配置服务 35设置虚拟目录权限 36解除对内容的 RMS 保护 37删除 Web 服务（取消设置 RMS） 37删除 RMS 程序文件 38取消 RMS 配置的替代方法 38部署 RMS 系统 要部署 Microsoft Windows Rights Management Services （RMS），需要建立适当的结构、在服务器上安装和设置 RMS、在

3、组织的台式计算机上部署 RMS 客户端以及测试和修改部署以满足组织需要。在本主题中 准备 RMS 部署 分发 RMS 客户端 设置 RMS 的支持结构 设置 RMS 跨林部署 RMS 保证 RMS 部署安全 取消 RMS 配置准备 RMS 部署 在部署 RMS 之前，请审核您的系统设计、测试 RMS 系统在受控试验环境中的连接、发布和授权，然后详细描述如何从测试环境迁移到您的企业。 本部分涉及以下主题： 检查 RMS 设计 设置测试环境 将试用 RMS 部署迁移到生产部署检查 RMS 设计 开始部署之前，确保您的 RMS 计划解决以下问题： 已选定支持 RMS 的客户端应用程序，并且首展计划正

4、常。 已确定分发 RMS 客户端的方法。 数据库服务器已安装并且可访问。 已选定 RMS 拓扑（基本拓扑或分布式拓扑）。 Active Directory 已安装在运行 Windows 2000 Service Pack 3 （SP3） 或更高版本的域控制器中，并且所有用户均具有配置了电子邮件属性的联系对象。已安装 Windows Server 2003 并安装了最新的更新程序。已启用消息队列、Internet 信息服务和 ASP.NET 版本 1.1。注意：如果您计划将 RMS 安装在 64 位计算机上，请阅读此文档集的“规划 RMS 部署”中的“RMS 的软件要求”，了解特殊配置说明。 已

5、定义负载平衡和服务器故障转移方法。 为 RMS 服务器配置了 DNS 注册。 备份和恢复计划正常。 适合您的组织的安全考虑事项已完成。设置测试环境 RMS 与现有 Active Directory 结构和数据库服务器集成在一起，如运行 Microsoft SQL Server（TM） 2000 的那些数据库服务器。由于这些支持组件非常重要，因此在组织中部署 RMS 之前，应当在隔离的测试环境中对其进行全面测试。这要求在测试环境中单独安装 Active Directory 和数据库服务器。在具有一个数据库服务器和一个客户端的林中开始使用最基本的 RMS 服务器配置。在熟悉 RMS 之后，通过根据

6、需要添加多个林和外部访问，您的配置可以逐渐变大并与将在组织的生产环境中部署的拓扑近似匹配。虽然测试环境可能不会包含组织部署计划中的全部冗余配置和多站点配置，但其中至少应包含一个运行需要部署的各个支持组件的服务器。下表描述可用于测试 RMS 基本配置的测试环境的最低可能配置： 运行 Windows 2000 Server with Service Pack 3 （SP3） 或更高版本的域控制器，以及安装了 SP3a 的 SQL Server 2000。SQL Server 上存储有 RMS 日志数据库、配置数据库和目录服务数据库。如果数据库将与 RMS 位于同一服务器中，则 RMS 可以与 Mi

7、crosoft SQL Server 2000 Desktop Engine （MSDE 2000） 发行版 A 或 SQL Server 一起使用。如果要使用远程服务器来提供数据库支持，则需要 SQL Server。您可以从 Microsoft 网站下载 MSDE 2000。Windows 2000 Server with Service Pack 3 （SP3） 是域控制器的最低要求，但建议使用 Windows Server 2003，因为其中的 Active Directory 组扩展的性能得到增强。建议仅在测试环境中使用 MSDE 2000 支持 RMS 数据库，因为 MSDE 200

8、0 不支持任何网络接口。另外，MSDE 2000 的使用条款中规定不能使用 SQL Server 客户端工具对 MSDE 2000 数据库执行操作。由于此限制，您将无法查看日志信息或更改配置数据库中存储的数据。 运行 Windows Server 2003 的根认证服务器，其中安装和设置了 RMS。在测试过程中，可以根据需要添加多个服务器来创建根认证群集。 运行 Windows XP Professional 的客户端计算机、RMS 客户端和支持 RMS 的应用程序。 在 Active Directory 中拥有电子邮件地址属性的用户帐户。有关基本 RMS 结构的安装和配置的信息，以及如何对生

9、产环境应用结构要求，请参阅本主题中稍后的“设置基本结构”。将试用 RMS 部署迁移到生产部署 许多组织选择在整个组织实施 RMS 技术之前，先在试验部署中部署该技术。试验程序的用户数目通常有限，且服务器可能是由本地专门的管理员维护，而不是由 IT 小组维护的数据中心的一部分。当组织在试验完成之后在数据库中心为所有客户端实施 RMS 时，将部署新的 RMS 服务器来支持更多数目的可能用户。但是，受 RMS 保护的内容与用来创建它的 RMS 服务器有联系，因此如果删除或替换了服务器，必须采取措施以便可以使用生产 RMS 服务器解密和授权使用试验 RMS 服务器加密的内容。如果已将 RMS 部署为试

10、验程序并想将 RMS 服务器移到组织的生产环境中，且还想维护通过使用试验 RMS 服务器保护的内容的完整性，则应制订一个迁移计划，该计划将确保平滑过渡，并可以在需要的时候回滚到试验程序以恢复数据。提供下列步骤作为您的迁移计划应包括的某些项目的示例，您的部署可能还有其他要求。服务器步骤注试验备份 RMS 配置数据库。这允许在需要的时候恢复试验服务器。配置数据库包括 RMS 私钥。确保您知道私钥密码。如果使用了硬件安全模块 （HSM） 来保护 RMS 私钥，请按照 HSM 制造商的指导来备份 HSM 的配置。将在新服务器上恢复 HSM。确保具备安装和配置 HSM 必需的所有组件。导出可信发布域文件

11、。这允许另一个 RMS 服务器解密此服务器创建的发布许可证和给受保护的内容颁发用户许可证。可信发布域包括此服务器所建立的服务器许可方证书、RMS 私钥以及所有权限策略模板。可信发布域文件是一个 XML 文件，已使用创建该文件时指定的强密码对它进行了加密。必须使用此密码来导入可信发布域文件。导出可信用户域。这允许另一个 RMS 服务器给用户授予用户许可证，这些用户的权限帐户证书 （RAC） 以前是由试验 RMS 服务器授予的。建立了可信用户域的方法是将此服务器的服务器许可方证书导入到另一个 RMS 服务器。生产准备让新服务器成为根认证服务器。确保它可以访问数据库服务器，且已安装 IIS 和 Me

12、ssage Queuing。尽可能使用与此服务器相同的服务器名。如果您使用 HSM，请安装 HSM 并使用在试验服务器上创建的备份恢复它的配置。建立解密 RMS 私钥所需的凭据。安装 RMS。RMS 将验证是否正确安装和配置了所有必需的服务。使用新的私钥设置 RMS。如果使用联机注册，将在设置过程期间通过使用 Internet 连接到 Microsoft 注册服务来注册您的服务器。如果此服务器上没有 Internet 连接，则需要使用脱机注册。如果此服务器名不同于试验服务器名，可以将群集 URL 设置修改为与试验服务器相同的 URL。如果不修改，则需要设置一个从先前群集 URL 到新群集 UR

13、L 的 URL 重定向，以便用户能够使用现有内容获取用户许可证。如果使用脱 机注册，请完成新 RMS 服务器的手动注册过程。有关详细信息，请参阅本文档集中的“运行 RMS 服务器”中的“手动注册根认证服务器”。直到注册了 RMS 服务器，才能使用它。另外，直到注册了该服务器，才能访问 RMS 管理网页。导入在步骤 3 中导出的可信发布域文件。RMS 服务帐户必须对存储该文件的位置具有读取权限，才能成功导入该文件。生产 重新签署随可信发布域一起导入的每个模板。模板是用服务器私钥签署的。因为此服务器具有新的私钥，所以模板必须重新签署才会有效。有关详细信息，请参阅本文档集中的“运行 RMS 服务器”

14、中的“重新签署权限策略模板”。将模板重新分发给参与过试验的客户端计算机。需要删除旧模板并用此服务器签署的模板取代它们。导入在步骤 4 中导出的可信用户域文件。启用要使用的旧客户端许可方证书和 RAC。如果在此迁移过程中在林之间移动了用户帐户，请注意这些帐户必须具有匹配的 SMTP 代理服务器。一旦完成了设置生产服务器，请验证试验用户是否仍可创建和读取先前保护的邮件。然后可以添加支持组织中的用户数所需的那样多 RMS 服务器到群集中。分发 RMS 客户端 在客户端计算机可以参与 RMS 环境之前，它们需要安装 RMS SP1 客户端软件，并需要激活该软件。激活过程为当前登录的用户建立密码箱和计算

15、机证书。激活是本地过程，不需要网络连接。一旦激活成功，支持 RMS 的应用程序第一次使用 RMS 时将为该用户获取用户证书。通过使用组策略、Windows Update 或管理脚本，可以在组织中的每个客户端计算机上安装 RMS 客户端。无论使用哪种客户端分发方法，RMS 客户端都会使用端口 80 或端口 443 与 RMS 服务器通信。应确保客户端计算机能通过那些端口向 RMS 服务器发送出站请求。使用软件分发如果您的组织通过使用组策略来分发软件，则可以使用这种方法来分发 RMS 客户端。如果使用这种方法分发 RMS 客户端，则用户不需要管理员权限，且可通过使用“控制面板”中的“添加/删除程序

16、”或通过使用支持 RMS 的应用程序打开受 RMS 保护的内容来安装 RMS 客户端。使用 Windows UpdateWindows Update 为在计算机上安装 RMS 客户端提供最简单的方法。此方法的优点在于它采用的机制为用户所熟悉，但它不允许实施组织策略，如在安装文件前检查文件中是否有病毒（除非您使用的是诸如 Windows Update Services 之类 的更新管理系统）。用户必须在计算机上拥有本地管理员权限，才能通过使用 Windows Update 安装 RMS 客户端。使用脚本安装为了对客户端安装过程进行最高水平的控制，可以获得该软件，然后运行脚本在安装过程的每一步验证

17、其完整性。有关通过使用组策略分发 RMS 客户端的基本信息，请参阅本主题中稍后的“设置 SMS 或组策略以支持客户端部署”。有关 RMS 客户端部署的过程指导，请参阅本主题中稍后的“如何部署 RMS 客户端”。设置 SMS 或组策略以支持客户端部署 部署 RMS 时，必须在用户计算机上安装支持 RMS 的应用程序，以便用户保护内容和使用受 RMS 保护的内容。要使应用程序支持 RMS，必须将 RMS 客户端集成到其操作中。RMS SP1 客户端是从 Rights Management Services 单独下载的 Windows 组件。但是，如果您不希望分别给企业中的每台客户端计算机下载该客户

18、端，可使用 Microsoft Systems Management Server （SMS）、组策略或脚本自动将 RMS 客户端传递到客户端计算机。使用 SMS 分发 RMS 客户端组件时，需要执行下列步骤： 创建一个新的包定义文件。 从 WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe 文件提取 Windows 安装程序文件。为此，首先保存 WindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe 文件。不要安装它。在此示例中，假定该文件保存到 c:folder_

19、name 中。打开命令提示符窗口，键入以下命令：c:folder_nameWindowsRightsManagementServicesSP1-KB839178-Client-ENU.exe /x/t:folder_name这会从 .exe 文件中提取 MSDrmClient.msi 和 RMClientBackCompat.msi 文件并将它们放在 c: 对包定义和来源使用 Windows 安装程序文件。 通过网络公布包的可用性。安装软件时需要管理权限；您组织的安全策略可能要求由系统管理员来安装 RMS 客户端软件。有关使用 SMS 分发软件的详细信息，请参阅 Microsoft 网站 上的

20、SMS 主题。有关使用组策略部署客户端软件的详细信息，请参阅 Microsoft Windows 资源工具箱网站有关基于组策略的软件部署的主题。如何部署 RMS 客户端 必须先安装 Rights Management Services （RMS） 客户端，才能使用任何 RMS 功能，如 Office 2003 中的信息权限管理和 Internet Explorer 中的权限管理插件。许多组织选择控制组织中的客户端软件部署。可以使用 SMS 或组策略来部署 RMS SP1 客户端。在开始部署之前，请从 Microsoft 网站的下载中心下载 RMS 客户端，网址为 提取安装文件下载 Window

21、sRightsManagementServicesSP1-KB839178-Client-CHS.exe 文件之后，必须从可执行程序包中提取 Windows 安装程序文件。可以在命令提示符下使用以下命令行来执行此操作：WindowsRightsManagementServicesSP1-KB839178-Client-CHS.exe/x其中“”是用来放置提取出来的文件的目标目录。运行此命令将提取下列文件到您指定的目标目录： Bootstrap.exe 这是一个包装文件，可执行文件用它来安装其他包含的文件。当通过使用 SMS 或组策略安装 RMS SP1 客户端时，不会使用它。 MSDrmCli

22、ent.msi这是 RMS SP1 客户端的安装文件。此安装文件将卸载计算机上任何先前版本的 RMS 客户端。应首先在客户端计算机上安装此程序。 RMClientBackCompat.msi这是一个安装文件，用来使新的 SP1 客户端与依赖先前版本 RMS 客户端的支持 RMS 的应用程序（如 Microsoft Office Professional 2003）关联，以便这些应用程序转为使用 RMS SP1 客户端。在成功安装 MSDrmClient.msi 之后，应在客户端计算机上安装此程序。无论选择实施哪种安装方法，都应确保成功安装这两个 .msi 文件。如果发生阻止 MSDrmClie

23、nt.msi 安装的错误，则不应安装 RMClientBackCompat.msi。使用 SMS 部署 RMS 客户端通过使用 SMS 部署 RMS 客户端1. 打开 SMS 管理员控制台。2. 展开要使用的站点数据库。3. 在左边的窗格中，右键单击“包”，选择“新建”，然后单击“包定义”。4. 使用 MSDRMClient.msi 和 RMClientBackCompat.msi 文件创建包。包应具有下列属性：常规： 为“命令行”键入：msiexec.exe /q ALLUSERS=2 /m MSIDGHOG /i .msi注MSIDGHOG 是一个随机值。用此包要安装的 Windows 安

24、装程序文件的名称替换“”。 为“运行”选择“隐藏”选项。 为“运行之后”选择“无需操作”选项。 为“类别”选择“管理软件”选项。要求： 为“估计磁盘空间”键入 445 KB。 为“最大允许运行时间”选择“未知”。 选择“此程序可在任何平台上运行”复选框。环境： 为“程序可运行”选择“不管用户是否登录”选项。 为“运行模式”选择“使用管理权限运行”选项。 为“驱动模式”选择“使用 UNC 名称运行”选项。高级： 清除“先运行另一程序”复选框。 清除“当将程序指定给计算机时”下的“抑制程序通知”复选框。 清除“在公布此程序的计算机上禁用它”复选框。5. 设置适合于您组织的“访问帐户和分发点”。6.

25、 为合适的集合创建公布。建议在 SMS 部署中使用“每个系统无人参与”程序。7. 根据组织的需要安排此公布。使用组策略部署 RMS 客户端可以使用组策略的软件安装和维护功能将 RMS SP1 客户端部署到目标计算机上。对于尚未使用企业更新管理解决方案（如 Systems Management Server （SMS）2003 或 Windows Update Services （SUS）的组织，组策略是积极管理 RMS SP1 客户端部署的建议方法。当使用组策略来分发程序时，可将该程序指定给计算机。该程序在计算机启动时安装并可供登录该计算机的所有用户使用。有关组策略的详细信息，请参阅“组策略结

26、构”。此过程假定您使用的是组策略管理控制台 （GPMC）。要下载 GPMC，请参阅 Microsoft 网站上的“Group Policy Management Console with Service Pack 1”。以下过程为不熟悉基于组策略的软件分发的管理员提供快速指南。可以根据需要修改这些步骤以满足您组织的需要。通过使用组策略部署 RMS 客户端1. 在域控制器上，打开“Active Directory 用户和计算机”Microsoft 管理控制台 （MMC） 管理单元。2. 创建新的组织单元 （OU） 或选择现有 OU。如果创建新的 OU，请添加要安装 RMS 客户端的计算机。3.

27、右键单击 OU 并选择“属性”。4. 选择“组策略”选项卡。5. 单击“新建”以创建新的组策略对象 （GPO）。6. 单击“编辑”以编辑新的 GPO。7. 在控制台树中，依次展开“计算机配置”和“软件设置”，然后选择“软件安装”。8. 右键单击控制台窗格，然后选择“新建，包”。9. 提供到客户端计算机可以访问的网络共享文件夹上 MSDRMclient.msi 文件的路径。10. 单击“确定”以指定包。11. 重复步骤 5 到 10 以创建安装 RMClientBackCompat.msi 文件的 GPO。提供这些步骤只是为了指导没有使用组策略经验的用户。如果您是经验丰富的组策略管理员，可以按照自己的操作过程来分发 MSDrmClient.msi 包。另外，这些步骤用于运行 Windows Server 2003 的域控制器 在 Windows 2000 域上，过程和术语可能有所不同。设置 RMS