安装 AD RMS 之前

首次在 Windows Server(R) 2008 R2 上安装 Active Directory 权限管理服务 (AD RMS) 之前,必须满足几个要求:

  • 在将使用受权限保护的内容的用户帐户所在的同一个 Active Directory 域服务 (AD DS) 域中,将 AD RMS 服务器安装为成员服务器。

  • 创建一个要用作 AD RMS 服务帐户的没有额外权限的域用户帐户。

  • 选择用于安装 AD RMS 的用户帐户,但具有以下限制:

    • 安装 AD RMS 的用户帐户必须与 AD RMS 服务帐户不同。

    • 如果在安装过程中注册 AD RMS 服务连接点 (SCP),则安装 AD RMS 的用户帐户必须是 AD DS Enterprise Admins 组或同等组的成员。

    • 如果对 AD RMS 数据库使用外部数据库服务,则安装 AD RMS 的用户帐户必须具有创建新数据库的权限。如果使用 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008,则用户帐户必须是系统管理员数据库角色或同等角色的成员。

    • 安装 AD RMS 的用户帐户必须有权查询 AD DS 域。


  • 为将在 AD RMS 安装的整个生存时间可用的 AD RMS 群集保留一个 URL。请确保保留的 URL 与计算机名称不同。

除了 AD RMS 的预安装要求,我们强烈建议您执行以下操作:

  • 在单独的计算机上安装用于承载 AD RMS 数据库的数据库服务器。有关 Windows Server 2008 R2 支持的数据库服务器的信息,请参阅系统需求

  • 使用安全套接字层 (SSL) 证书安装 AD RMS 群集。该证书应由受信任的根证书颁发机构颁发。

  • 为 AD RMS 群集 URL 创建一个 DNS 别名 (CNAME) 记录,并为承载 AD RMS 配置数据库的计算机创建一个单独的 CNAME 记录。如果因硬件故障或计算机名称被更改而导致 AD RMS 服务器注销或丢失,可以更新 CNAME 记录,而无需重新发布所有受权限保护的文件。

  • 如果对 AD RMS 配置数据库使用命名实例,在安装 AD RMS 之前必须在数据库服务器上启动 SQL Server Browser 服务。否则,AD RMS 安装将无法找到配置数据库,安装将失败。

从 RMS 升级到 AD RMS 之前

如果从任何版本的 Rights Management Services (RMS) 升级到 AD RMS,请执行下列操作:

  • 备份 RMS 数据库并将其存储在一个安全的位置。

  • 如果将 RMS 群集配置为使用本地系统帐户作为群集的服务帐户,则从 RMS 升级到 AD RMS 之前,必须将服务帐户从本地系统帐户更改为域用户帐户。

  • 如果已使用脱机注册选项来设置 RMS,请确保在升级到 AD RMS 之前注册已经完成。

  • 如果过去一直使用 MSDE 承载 RMS 数据库,在将 RMS 群集升级到 AD RMS 之前,必须将该数据库升级到 Microsoft SQL Server 2005 或更高版本。不支持使用 MSDE 数据库升级 RMS 版本。

  • 如果过去一直使用 Microsoft SQL Server 2000 承载 RMS 数据库,在将 RMS 群集升级到 AD RMS 之前,必须将该数据库升级到 Microsoft SQL Server 2005 或更高版本。

  • 刷新 RMS 消息队列以确保所有消息都写入 RMS 日志记录数据库。

安装 AD RMS 的重要注意事项

下面列出了安装 AD RMS 之前应该考虑的事项:

  • 自签名证书应仅用于测试环境。对于试生产和生产环境,建议使用由受信任的证书颁发机构颁发的 SSL 证书。

  • 带有 AD RMS 的 Windows 内部数据库仅用于测试环境。因为 Windows 内部数据库不支持远程连接,所以在此方案中不能将其他服务器添加到 AD RMS 群集。

  • 如果要安装 AD RMS 的 Active Directory 林中已经存在 SCP,请确保该 SCP 中的群集 URL 与新安装中的群集 URL 相同。如果不同,则在 AD RMS 安装过程中不应注册 SCP。

  • 安装 AD RMS 时,localhost 不是受支持的群集 URL。

  • 在安装过程中指定 AD RMS 服务帐户时,请确保尚未将智能卡插入计算机中。如果已将智能卡连接到计算机,您将收到错误消息,指出安装 AD RMS 的用户帐户无权查询 AD DS。

  • 如果将新服务器加入现有 AD RMS 群集,则在 AD RMS 安装开始之前,SSL 证书应该已经存在于新服务器上。

  • 默认情况下,AD RMS 不支持 Kerberos 身份验证。有关将服务器配置为支持 Kerberos 身份验证时必须执行的步骤信息,请参阅启用 Kerberos 身份验证支持

  • Windows Server 2008 R2 不支持 Windows Rights Management Services (RMS) 客户端版本 1。对此版本的客户端的支持随着 RMS 客户端版本 1 的最新 Service Pack 的发行而结束。若要继续创建和访问受 AD RMS 保护的内容,运行 RMS 客户端版本 1 的客户端必须安装最新的 Service Pack(位于 http://go.microsoft.com/fwlink/?LinkId=140054(可能为英文网页))。

安装具有标识联合身份验证支持的 AD RMS 的重要注意事项

下面列出了安装具有标识联合身份验证支持的 AD RMS 之前应该考虑的事项:

  • 安装标识联合身份验证支持之前,必须配置联合信任关系。在安装标识联合身份验证支持角色服务期间,系统会要求您指定联合身份验证服务的 URL。

  • Active Directory 联合身份验证服务 (AD FS) 要求在 AD RMS 和 AD FS 资源服务器之间进行安全通信。为了将联合身份验证支持用于 AD RMS,必须使用安全群集地址安装 AD RMS。

  • AD RMS 服务帐户必须具有“生成安全审核”权限。此权限是通过使用本地安全策略控制台授予的。

  • AD RMS extranet 群集 URL 必须可由联合帐户伙伴访问。

系统要求

下表描述了运行具有 AD RMS 服务器角色的 Windows Server(R) 2008 R2 服务器的最低硬件要求和建议。

要求建议

一个 Pentium 4 3 GHz 处理器或更高级处理器

两个 Pentium 4 3 GHz 处理器或更高级处理器

512 MB 的 RAM

1024 MB 的 RAM

40 GB 的可用硬盘空间

80 GB 的可用硬盘空间

下表描述了运行具有 AD RMS 服务器角色的 Windows Server 2008 R2 服务器的软件要求。对于通过启用操作系统上的功能可以满足的要求,可通过安装 AD RMS 服务器角色根据需要配置这些功能(如果尚未配置这些功能)。

软件要求

操作系统

Windows Server 2008 R2

文件系统

建议使用 NTFS 文件系统

消息

消息队列

Web 服务

Internet 信息服务 (IIS)

必须启用 ASP.NET。

Active Directory 或 AD DS

AD RMS 必须安装在 Active Directory 域中,其中域控制器正在运行带有 Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server(R) 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。

数据库服务器

AD RMS 需要数据库服务器(如 Microsoft SQL Server 2005)和存储过程来执行操作。Windows Server 2008 R2 上的 AD RMS 服务角色不支持 Microsoft SQL Server 2000。