Установка AD RMS: Best Practices

В этой статье собраны  несколько лучших практик развертывания служб  Active Directory Rights Management Services в сети предприятия, рекомендуется к ознакомлению перед планированием AD RMS в составе используемых служб предприятия.

1. Используйте выделенные серверы AD RMS.  Установка AD RMS на сервер, являющийся контроллером домена, почтовым сервером Microsoft Exchange Server,сервер , выполняющий роль Центра сертификации, или Microsoft Office SharePoint Server является плохой практикой безопасности.

2) Не устанавливайте AD RMS на контроллере домена. Если вы выберете этот вариант установки, то вы должны будете добавить учетную запись службы AD RMS  (которая как правило, не получает никаких дополнительных привилегий) в группу Администраторов домена.

3) Вы не можете установить  компонент поддержки федерации удостоверений  (Identity Federation Support) если  у вас уже установлены Службы федерации Active Directory (AD FS). Если AD FS не настроен в среде предприятия во время установки, вы можете добавить этот компонент позже.

4) Вы должны использовать Windows Internal Database только в тестовой среде. Внутренняя база данных Windows не поддерживает удаленные подключения, поэтому вы не сможете добавить дополнительные AD RMS серверы в кластер. В производственной среде следует использовать Microsoft SQL Server.

5) Используйте DNS-псевдонимы, такие, как CNAME записи или записи DNS хоста, такие как A записи для сервера баз данных. Это сделает будущие миграции баз данных гораздо проще.

6) Используйте DNS-псевдонимы, такие, как CNAME записи или записи DNS хоста, такие как A записи для FQDN  кластера AD RMS. Это позволит  вам легко добавлять дополнительные серверы в кластер и а также упростит распределение балансировки нагрузки и аварийное восстановление.

7) Если вы планируете развернуть AD RMS на сайт по умолчанию, убедитесь, что сайт уже имеет HTTP привязки, даже если вы планируете использовать HTTPS привязки для службы  AD RMS.

8) Если вы планируете развернуть AD RMS не используя сайт по умолчанию, то перед установкой добавьте роль сервера Web Server (IIS) со следующей настройкой:

IIS 6 Management Capability. 

9) Использование протокола SSL повышает безопасность соединения с кластером AD RMS. Кроме того, SSL необходим для интеграции службы AD RMS  c AD FS. Помните, что эта настройка не может быть изменена, если она была сконфигурирована.

10) При установке поддержки федерации удостоверений, используйте строчные буквы для полного доменного имени, так как служба AD FS чувствительна к регистру.

11) Вы должны настроить внешний  URL-адрес во время установки, даже если он не используется. Если внешний доступ был включен после того, как документы защищены с использованием AD RMS, необходимо снять защиту, удалить папку DRM на клиентских компьютерах, настроить доступ из  внешней сети, а затем защитить документы снова.

12) Вы должны использовать самоподписанный сертификат только в тестовой среде. В производственной среде следует использовать SSL-сертификат от Центра сертификации.

13. После установки или обновления вы должны выйти  из системы и войти снова, прежде чем администрировать AD RMS помощью консоли AD RMS.

14) После окончания установки вы должны сделать резервную копию Сертификата лицензиара сервера (Server Licensor Certificate) и вашего закрытого ключа.

15) Есть два пути к обновлению с более ранней версии службы управления правами AD RMS: миграция и замена (upgrade). Миграция является рекомендуемым процессом. Если вы решили сделать замену, не забудьте запустить мастер обновления после обновления операционной системы. Этот мастер запускается по ссылке в Диспетчере сервера. Для получения дополнительной информации о переносе или модернизации кластера см. в статью библиотеке TechNet Руководство по миграции и обновлению служб управления правами до служб управления правами Active Directory. RMS to AD RMS Migration and Upgrade Guide  .

Для информации о системных требованиях службы AD RMS обратитесь к статье TechNet AD RMS Prerequisites  . Для более подробной информации об установке службы AD RMS см. статью Пошаговое руководство по службе управления правами Active Directory AD RMS Step-by-step Guide  .