[转译] AD RMS 安装最佳实践
在安装活动目录权限管理服务(AD RMS)时, 请牢记以下几点 :
将 AD RMS 服务单独安装在一台服务器上——将 AD RMS 与域控制器、微软邮件服务器(Microsoft Exchange Server)、证书颁发中心(Certification Authority)或者微软 Office SharePoint 等产品安装在同一台服务器上会大大降低 AD RMS 的安全性。
请勿将 AD RMS 安装在域控制器上。如果一定要这么做,那么您必须将 AD RMS 服务账号添加到域管理员用户组中(将 AD RMS 服务安装在域成员服务器时,该服务账号只需要是普通域用户即可,无需额外权限)。
请勿在部署活动目录联合服务(Active Directory Federation Services, AD FS)服务器之前安装 “联合身份认证支持”服务。如果您安装 AD RMS 时, AD FS 还未完成配置,那么请在您完成 AD FS 配置后再安装该服务。
Windows 服务器上的内部数据库服务(Windows Internal Database)仅适用于测试环境,它不支持远程连接,因此,如果使用内部数据库,您将无法向您的群集中添加额外的 AD RMS 服务器。在生产环境部署 AD RMS 时,请使用微软的 SQL Server 产品。
AD RMS 服务器连接 SQL 数据库服务器时,请使用数据库服务器的 DNS 别名记录或 DNS 主机记录,即CNAME 记录和 A 记录。这样您将来有数据库迁移需求时,将会非常容易。
为 AD RMS 群集服务 URL 命名时,请同样使用 DNS 别名记录或 DNS 主机记录。这样您以后可以向 AD RMS 群集中添加多台成员服务器,以实现快速的灾难恢复,解决大量客户端请求时的负载均衡问题。
如果您计划将 AD RMS 安装在一个已经设置好的 Web 站点服务器上,那么请务必保证 Web 站点已经设置了 HTTP 绑定,即使您的 AD RMS 服务仅仅使用 HTTPS。
如果您准备部署 AD RMS 到非默认站点的 Web 服务器上,请在部署前先安装“IIS 6 Management Capability”角色服务。
使用 SSL 协议增强客户端到 AD RMS 群集之间网络连接的安全性,AD RMS 与 AD FS 集成时也需要使用 SSL。此外,您需要注意的是,一旦确定使用 HTTPS,以后不能随意更改,否则会影响到所有加密文档。
如果计划启用 AD RMS 联合身份验证支持,那么请将 AD RMS 服务 URL 的 FQDN(域名)全部设置为小写,因为 AD FS 是区分大小写的。
您最好在安装 AD RMS 服务后,尽快在服务器上设置外部访问 URL,这个 URL 可以与内部 URL 不同。我们建议您设置为与内部 URL 相同,除非您内部的 URL 不是标准的域名或有其他的原因。如果您使用 AD RMS 服务器一段时间后才配置外部访问 URL,那么您需要将所有加密过的文档保护手动去除,清除客户端 DRM 缓存,配置外部 URL,之后再将之前的文档重新加密。
自签发的文档仅适用于测试环境;在生产环境,您应该选择由内部根证书服务器 CA 颁发的 SSL 证书或者直接购买受信任的第三方机构签发的 SSL 证书。
AD RMS 初次安装完成或者初次升级后,请先注销,再重新登陆并管理 AD RMS 服务器。
一旦 AD RMS 服务器安装完毕,请第一时间备份 TPD(包括服务器授权证书的公钥和私钥),并牢记您的群集密钥密码。
将 Win2003上的 RMS 升级至 Win2008上的 AD RMS 有两个途径:迁移和直接升级。我们推荐您使用迁移的步骤完成升级。如果您一定要选择直接升级,请确保 OS 升级完毕后执行升级向导,升级向导的链接需要从服务器的管理器中找到。详情请参照文档:https://technet.microsoft.com/en-us/library/cc770876(v=ws.10).aspx
对于 AD RMS 安装前的准备工作,请参照文档:https://technet.microsoft.com/en-us/library/dd772659(v=ws.10).aspx;关于 AD RMS 的详细安装步骤,请参照文档:https://technet.microsoft.com/en-us/library/cc753531(v=ws.10).aspx,建议您在生产环境部署 AD RMS 之前,请先按照上面的文档安装一遍测试环境。
英文原文链接:https://blogs.technet.com/b/rms/archive/2012/04/28/ad-rms-installation-best-practices.aspx