Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 77 (всего у книги 91 страниц)
И з у ч и в м а т е р и а л э т о г о занятия, в ы сможете:
S Понимать принципы работы компонентов служб AD RMS.
Использовать различные сценарии развертывания AD RMS.
Обеспечивать исходные предпосылки для развертывания AD RMS.
^ Устанавливать AD R M S в различных сценариях.
Продолжительность занятия – около 40 мин.
к 796
Службы управления правами Active Directory
Глава 16
Службы AD RMS
К а к м ы у ж е г о в о р и л и , с л у ж б ы A D R M S п р е д с т а в л я ю т с о б о й о б н о в л е н н у ю
в е р с и ю с л у ж б у п р а в л е н и я п р а в а м и W i n d o w s ( M i c r o s o f t W i n d o w s R i g h t s
M a n a g e m e n t S e r v i c e s ) в M i c r o s o f t W i n d o w s S e r v e r 2 0 0 3 . В э т у в е р с и ю в к л ю ч е -
н о н е с к о л ь к о н о в ы х к о м п о н е н т о в , р а с ш и р я ю щ и х ф у н к ц и о н а л ь н о с т ь A D R M S .
Тем н е м е н е е с ц е н а р и и р а з в е р т ы в а н и я A D R M S н е и з м е н и л и с ь .
Д л я з а щ и т ы у я з в и м о й и н ф о р м а ц и и с л у ж б ы A D R M S р а б о т а ю т с о с о б ы м
к л и е н т о м A D R M S . З а щ и т у о б е с п е ч и в а е т р о л ь с е р в е р а A D R M S , к о т о р а я у п р а в -
л я е т с е р т и ф и к а ц и е й и л и ц е н з и р о в а н и е м . В б а з е д а н н ы х х р а н я т с я д а н н ы е к о н -
ф и г у р а ц и и и ж у р н а л ы . В т е с т о в ы х с р е д а х м о ж н о и с п о л ь з о в а т ь в н у т р е н н ю ю б а з у
д а н н ы х W i n d o w s ( W i n d o w s I n t e r n a l D a t a b a s e , W I D ) , в к л ю ч е н н у ю в W i n d o w s
Server 2008, о д н а к о в п р о и з в о д с т в е н н ы х с р е д а х н е о б х о д и м о и с п о л ь з о в а т ь т а -
к о й д в и ж о к б а з д а н н ы х , к а к M i c r o s o f t S Q L S e r v e r 2 0 0 5 и л и M i c r o s o f t S Q L
Server 2008 н а о т д е л ь н о м с е р в е р е . В р е з у л ь т а т е п о я в и т с я в о з м о ж н о с т ь у п о р я -
дочивать нагрузку A D R M S п у т е м у с т а н о в к и м н о ж е с т в а с е р в е р о в с э т о й р о л ы о .
В н у т р е н н я я база д а н н ы х W i n d o w s н е п о д д е р ж и в а е т у д а л е н н ы е п о д к л ю ч е н и я .
П о э т о м у е е м о ж е т и с п о л ь з о в а т ь т о л ь к о о д и н с е р в е р . Р о л ь I n t e r n e t I n f o r m a t i o n
Services ( I I S ) 7.0 о б е с п е ч и в а е т п о д д е р ж к у в е б – с л у ж б , к о т о р ы е и с п о л ь з у ю т р о л ь
A D R M S , а с л у ж б а о ч е р е д и с о о б щ е н и й ( M i c r o s o f t M e s s a g e Q u e u i n g ) г а р а н -
т и р у е т к о о р д и н а ц и ю т р а н з а к ц и й в р а с п р е д е л е н н ы х с р е д а х . К л и е н т A D R M S
о б е с п е ч и в а е т д о с т у п к ф у н к ц и я м A D R M S н а н а с т о л ь н о м к о м п ь ю т е р е . К р о м е
того, к а т а л о г A D D S п р е д о с т а в л я е т в о з м о ж н о с т ь и н т е г р и р о в а н н о й п р о в е р к и
п о д л и н н о с т и и а д м и н и с т р и р о в а н и я . С л у ж б ы A D R M D и с п о л ь з у ю т A D D S
д л я п р о в е р к и п о д л и н н о с т и п о л ь з о в а т е л е й и и х п р а в д о с т у п а к э т о й с л у ж б е .
И н ф р а с т р у к т у р а A D R M S п о к а з а н а н а р и с . 16-2.
П р и у с т а н о в к е п е р в о г о с е р в е р а A D R M S п о у м о л ч а н и ю с о з д а е т с я к о р н е в о й
кластер A D R M S , п р е д н а з н а ч е н н ы й д л я у п р а в л е н и я з а п р о с а м и с е р т и ф и к а ц и и и
л и ц е н з и р о в а н и я . В ы т а к ж е м о ж е т е у с т а н о в и т ь с е р в е р ы т о л ь к о д л я л и ц е н з и р о -
вания, к о т о р ы е а в т о м а т и ч е с к и ф о р м и р у ю т к л а с т е р л и ц е н з и р о в а н и я . К л а с т е р ы
д о с т у п н ы т о л ь к о в с л у ч а е р а з в е р т ы в а н и я б а з ы д а н н ы х A D R M S н а о т д е л ь н о м
сервере. Н о в ы й д о б а в л я е м ы й с е р в е р A D R M S а в т о м а т и ч е с к и и н т е г р и р у е т с я
в с о о т в е т с т в у ю щ и й к л а с т е р и з ч и с л а с у щ е с т в у ю щ и х . К о р п о р а ц и я M i c r o s o f t
р е к о м е н д у е т и с п о л ь з о в а т ь к о р н е в у ю р о л ь , а н е т о л ь к о р о л ь л и ц е н з и р о в а н и я ,
по двум п р и ч и н а м .
• К о р н е в ы е к л а с т е р ы у п р а в л я ю т в с е м и о п е р а ц и я м и A D R M S , а с л е д о в а т е л ь -
но, я в л я ю т с я м н о г о ф у н к ц и о н а л ь н ы м и .
• К о р н е в ы е к л а с т е р ы и к л а с т е р ы т о л ь к о д л я л и ц е н з и р о в а н и я р а б о т а ю т н е -
з а в и с и м о и н е м о г у т с о в м е с т н о у п о р я д о ч и в а т ь н а г р у з к у с л у ж б ы . Е с л и в с е
серверы у с т а н о в л е н ы к а к к о р н е в ы е , о н и а в т о м а т и ч е с к и б у д у т р а с п р е д е л я т ь
нагрузку.
После р а з м е щ е н и я , и н ф р а с т р у к т у р ы т а к и е п р и л о ж е н и я д л я с о з д а н и я и н -
ф о р м а ц и и , как т е к с т о в ы е р е д а к т о р ы , с р е д с т в а п р е з е н т а ц и и , к л и е н т ы э л е к т р о н -
ной почты и н а с т р а и в а е м ы е д о м а ш н и е п р о г р а м м ы , м о г у т и с п о л ь з о в а т ь A D R M S
д л я з а щ и т ы д а н н ы х . П о л ь з о в а т е л и , с о з д а ю щ и е и н ф о р м а ц и ю , о п р е д е л я ю т , к т о
может читать, з а п и с ы в а т ь , м о д и ф и ц и р о в а т ь , п е ч а т а т ь и п е р е д а в а т ь э т и д а н н ы е .
Занятие 1
Установка служб управления правами Active Directory
К р о м е т о г о , д л я п р и м е н е н и я к о н ф и г у р а ц и и к г е н е р и р у е м ы м д о к у м е н т а м м о ж н о
с о з д а в а т ь ш а б л о н ы п о л и т и к и .
Лес AD DS Forest
Корневой кластер AD RMS
Приложения AD RMS
Учетные записи
пользователей
Балансировка сетевой нагрузки
электронной почты
Управляет
| URL-адресом AD RMS
Использование AD RMS
Рис. 16-2. Инфраструктура AD RMS с высокой степенью готовности
С О В Е Т К Э К З А М Е Н У
П о м н и т е , ч т о п р и у с т а н о в к е A D R M S автоматически создается кластер. Н е путайте
его со с л у ж б а м и к л а с т е р и з а ц и и отказоустойчивости (Failover Clustering) и балан-
с и р о в к и с е т е в о й н а г р у з к и ( N e t w o r k Load Balancing), которые включены в Windows
S e r v e r 2008. К л а с т е р AD R M S обеспечивает высокую готовность и балансировку
н а г р у з к и с л у ж б ы .
П р а в а и с п о л ь з о в а н и я п р и к р е п л я ю т с я н е п о с р е д с т в е н н о к с о з д а в а е м ы м доку-
м е н т а м , ч т о б ы и н ф о р м а ц и я о с т а в а л а с ь з а щ и щ е н н о й д а ж е в с л у ч а е п е р е м е щ е н и я
з а п р е д е л ы з о н ы в а ш и х п о л н о м о ч и й . Н а п р и м е р , з а щ и щ е н н ы й документ, пересы-
л а е м ы й з а п р е д е л ы с е т и , о с т а е т с я з а щ и щ е н н ы м , п о с к о л ь к у п а р а м е т р ы A D R M S
н е м е н я ю т с я . С л у ж б ы A D R M S п р е д о с т а в л я ю т н а б о р в е б – с л у ж б , к о т о р ы е позво-
л я ю т р а с ш и р и т ь ф у н к ц и о н а л ь н о с т ь и и н т е г р и р о в а т ь с о б с т в е н н ы е п р и л о ж е н и я .
к 7 9 8 Службы управления правами Active Directory
Глава 16
генерирующие информацию. О р г а н и з а ц и и могут и с п о л ь з о в а т ь э т и в е б – с л у ж б ы
для интеграции ф у н к ц и й AD R M S в средах не на п л а т ф о р м е W i n d o w s .
К СВЕДЕНИЮ Службы AD RMS
Более подробная информация о службах AD R M S содержится по адресу http://
go.microsoft.com/fwlink/?LinkId=80907.
Новые возможности AD RMS
Службы управления правами Active Directory ( A c t i v e D i r e c t o r y R i g h t s M a n a g e -
ment Services) предоставляют н о в ы е в о з м о ж н о с т и .
• Роль AD R M S можно интегрировать в W i n d o w s S e r v e r 2 0 0 8 (в п р е д ы д у щ и х
версиях компоненты AD R M S т р е б о в а л о с ь з а г р у ж а т ь в о т д е л ь н о м п а к е т е ) .
Кроме того, при установке р о л и с п о м о щ ь ю Д и с п е т ч е р а с е р в е р а ( S e r v e r
Manager) определяются все в з а и м о с в я з и и у с т а н а в л и в а ю т с я н е о б х о д и м ы е
компоненты. Если в о время у с т а н о в к и у д а л е н н а я б а з а д а н н ы х н е о б н а р у -
жена, диспетчер сервера а в т о м а т и ч е с к и у с т а н а в л и в а е т в н у т р е н н ю ю б а з у
данных Windows (Windows I n t e r n a l D a t a b a s e ) .
• Как и в случае с б о л ь ш и н с т в о м р о л е й с е р в е р а W i n d o w s S e r v e r 2 0 0 8 , а д м и -
нистрирование р о л и A D R M S о с у щ е с т в л я е т с я в к о н с о л и М М С ( M i c r o s o f t
Management Console). В п р е д ы д у щ и х в е р с и я х а д м и н и с т р и р о в а н и е в ы п о л -
нялось лишь с помощью в е б – и н т е р ф е й с а .
• Теперь роль AD R M S м о ж н о н е п о с р е д с т в е н н о и н т е г р и р о в а т ь со с л у ж б а м и
федерации Active Directory (Active D i r e c t o r y F e d e r a t i o n S e r v i c e s ) , ч т о п о з -
воляет расширить для партнеров п о л и т и к и у п р а в л е н и я п р а в а м и за п р е д е л ы
брандмауэра. Это означает, что п а р т н е р а м не п о н а д о б и т с я с о з д а в а т ь собс-
твенные инфраструктуры AD RMS, а д л я доступа к ф у н к ц и я м AD R M S о н и
могут использовать AD FS. В п р е д ы д у щ и х в е р с и я х д л я ф е д е р а ц и и с л у ж б
R M S применялась т о л ь к о с л у ж б а W i n d o w s Live I D . П р и и н т е г р а ц и и A D
RMS и AD FS больше не н у ж н а т р е т ь я с т о р о н а д л я з а щ и т ы и н ф о р м а ц и и .
Тем не менее для использования ф е д е р а ц и и н е о б х о д и м о с н а ч а л а у с т а н о в и т ь
федеративную связь, и т о л ь к о п о т о м у с т а н о в и т ь р а с ш и р е н и е AD R M S и
интегрировать его с AD FS. К р о м е того, н у ж н о й с п о л ь з о в а т ь п о с л е д н ю ю
версию клиента R M S : к л и е н т W i n d o w s V i s t a и л и R M C – к л и е н т с п а к е т о м
обновлений SP2 для п р е д ы д у щ и х в е р с и й W i n d o w s . Б о л е е п о д р о б н ы е све-
дения о службах AD FS вы н а й д е т е в главе 17.
• Создаваемые серверы AD R M S регистрируются с а м о с т о я т е л ь н о . В п р о ц е с с е
регистрации создается сертификат л и ц е н з и а р а сервера SLC ( S e r v e r Licensor
Certificate), который предоставляет с е р в е р у п р а в о у ч а с т и я в с т р у к т у р е AD
RMS. В предыдущих версиях д л я в ы д а ч и и п о д п и с а н и я с е р т и ф и к а т а SLC
требовался доступ к Microsoft E n r o l l m e n t C e n t e r ч е р е з И н т е р н е т . С л у ж б ы
AD RMS используют самозаверяемый сертификат, в к л ю ч е н н ы й в W i n d o w s
Server 2008. По этой причине AD R M D теперь м о ж н о з а п у с к а т ь в и з о л и -
рованных сетях без необходимости доступа в И н т е р н е т .
• В AD RMS включены новые роли а д м и н и с т р и р о в а н и я , п о з в о л я ю щ и е деле-
гировать конкретные задачи AD R M S без предоставления а д м и н и с т р а т и в н ы х
прав доступа. Создаются четыре р о л и л о к а л ь н о г о а д м и н и с т р и р о в а н и я .
Занятие 1
Установка служб управления правами Active Directory 799
• Р о л ь А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S Enter-
prise A d m i n i s t r a t o r s ) у п р а в л я е т в с е м и а с п е к т а м и A D R M S . О н а включает
у ч е т н у ю з а п и с ь п о л ь з о в а т е л я , с п о м о щ ь ю которой б ы л а установлена роль,
а т а к ж е г р у п п у л о к а л ь н ы х а д м и н и с т р а т о р о в .
• Р о л ь А д м и н и с т р а т о р ы ш а б л о н а A D R M S ( A D R M S Template Administra-
t o r s ) п о д д е р ж и в а е т в о з м о ж н о с т ь ч и т а т ь и н ф о р м а ц и ю о б инфраструктуре
AD R M S , а т а к ж е п е р е ч и с л я т ь , создавать, м о д и ф и ц и р о в а т ь и экспортиро-
в а т ь ш а б л о н ы п о л и т и к и д о с т у п а .
• Р о л ь А у д и т о р ы с л у ж б ы у п р а в л е н и я п р а в а м и Active Directory ( A D R M S
A u d i t o r s ) п о з в о л я е т ч л е н а м у п р а в л я т ь ж у р н а л а м и и отчетами. Аудиторы
о б л а д а ю т д о с т у п о м ч т е н и я к д а н н ы м и н ф р а с т р у к т у р ы A D RMS.
• С л у ж б а A D R M S ( A D R M S Service) с о д е р ж и т учетную запись службы A D
R M S , и д е н т и ф и ц и р о в а н н у ю в о в р е м я у с т а н о в к и роли.
П о с к о л ь к у в с е э т и г р у п п ы я в л я ю т с я л о к а л ь н ы м и , создайте соответству-
ю щ и е г р у п п ы в к а т а л о г е AD DS и вставьте их в л о к а л ь н ы е группы каждого
с е р в е р а AD R M S . В д а л ь н е й ш е м д л я предоставления прав доступа администра-
т и в н о й р о л и п о т р е б у е т с я л и ш ь д о б а в и т ь учетную запись пользователя в группу
в к а т а л о г е AD D S .
СОВЕТ К ЭКЗАМЕНУ
Делегирование – в а ж н ы й аспект администрирования AD RMS. Уделите особое
внимание различным ролям делегирования и группам, которые поддерживают их.
К СВЕДЕНИЮ Возможности предыдущих версий
И н ф о р м а ц и я о возможностях R M S до выхода Windows Server 2008 содержится по
адресу http://go.micwsoft.com/fwlink/7Linkhh68637.
О б ы ч н о п р и з а щ и т е и н ф о р м а ц и и с п о м о щ ь ю AD R M S для выдачи серти-
ф и к а т о в п р а в у ч е т н о й з а п и с и R A C ( R i g h t s Account Certificates) используется
с е р в е р A D R M S . Э т и с е р т и ф и к а т ы и д е н т и ф и ц и р у ю т доверенные ооъекты:
п о л ь з о в а т е л и , г р у п п ы , к о м п ь ю т е р ы , п р и л о ж е н и я и службы, которые могут
с о з д а в а т ь и п у б л и к о в а т ь с о д е р ж и м о е с з а щ и т о й прав доступа. После того как
и з д а т е л ь с о д е р ж и м о г о с т а н о в и т с я д о в е р е н н ы м , он может назначать права до-
ступа и у с л о в и я и с п о л ь з о в а н и я создаваемого содержимого. Когда пользователь
у с т а н а в л и в а е т д л я д о к у м е н т а п о л и т и к у з а щ и т ы , службы A D R M S выдают ли-
ц е н з и ю на п у б л и к а ц и ю с о д е р ж и м о г о . И н т е г р и р о в а в эту лицензию в документ,
с л у ж б ы AD R M S с в я з ы в а ю т их, в результате чего л и ц е н з и я прикрепляется
н а в с е г д а и д л я з а щ и т ы д о к у м е н т а и л и содержимого больше не понадобится
д о с т у п к с и с т е м е AD R M S .
П р а в а и с п о л ь з о в а н и я и н т е г р и р у ю т с я в л ю б о й ф о р м е двоичных данных,
к о т о р у ю м о ж н о и с п о л ь з о в а т ь в н у т р и и вне сети в автономном и сетевом ре-
ж и м а х . З а щ и щ е н н о е с о д е р ж и м о е ш и ф р у е т с я с помощью специальных ключей
ш и ф р о в а н и я , а н а л о г и ч н ы х к л ю ч а м , создаваемым при использовании AD CS.
Д л я п р о с м о т р а д а н н ы х п о л ь з о в а т е л и д о л ж н ы получать к ним д о с т у п через
браузер и л и п р и л о ж е н и е A D R M S . Если приложение не п о д д е р ж и в а е т функции
к 800 Служб ы управлени я правам и Activ e Director y
Глава 16
A D R M S , п о л ь з о в а т е л и н е в с о с т о я н и и м а н и п у л и р о в а т ь э т о й и н ф о р м а ц и е й ,
п о с к о л ь к у п р и л о ж е н и е н е м о ж е т п р о ч и т а т ь п о л и т и к у з а щ и т ы и р а с ш и ф р о в а т ь
д а н н ы е .
Когда д р у г и е п о л ь з о в а т е л и п о л у ч а ю т д о с т у п к з а щ и щ е н н о м у с о д е р ж и м о м у ,
и х к л и е н т ы A D R M S з а п р а ш и в а ю т и а с е р в е р е л и ц е н з и ю н а п р и м е н е н и е . Е с л и
п о л ь з о в а т е л ь т а к ж е я в л я е т с я д о в е р е н н о й с т о р о н о й , с е р в е р A D R M S в ы д а е т
л и ц е н з и ю , к о т о р а я ч и т а е т л и ц е н з и ю з а щ и т ы д а н н о г о д о к у м е н т а и п р и м е н я е т
права и с п о л ь з о в а н и я к д о к у м е н т у н а п р о т я ж е н и и в с е г о е г о ж и з н е н н о г о ц и к л а .
Д л я с о д е й с т в и я п р о ц е с с у п у б л и к а ц и и д о в е р е н н ы е п о л ь з о в а т е л и м о г у Т с о -
здавать л и ц е н з и и з а щ и т ы с п о м о щ ь ю п р е д в а р и т е л ь н о о п р е д е л е н н ы х ш а б л о н о в ,
к о т о р ы е п р и м е н я ю т с я п о с р е д с т в о м у ж е з н а к о м ы х и н с т р у м е н т о в : т е к с т о в ы х
редакторов, к л и е н т о в э л е к т р о н н о й п о ч т ы и т . д . К а ж д ы й ш а б л о н з а д е й с т в у е т
конкретную, п р е д в а р и т е л ь н о о п р е д е л е н н у ю п о л и т и к у ( р и с . 1 6 – 3 ) .
Пользователь является доверенным
и получает сертификат прав учетной записи RAG
Пользователь создает содержимое .
с помощью приложения AD RMS
1 . . – • • • • . . . •• ,
( ; v • N
Пользователь применяет шаблон политики
для назначения прав доступа к содержимому
Л
Сервер AD RMS выдает лицензию на
публикации содержимого, которое шифруется
Другие пользователи применяют приложения.
AD RMS для просмотра содержимого
Приложение AD.RMS запрашивает лицензию
на использование на серверах AD RMS
Выполняется проверка прав пользователя:<ЕслиЛ
пользователь авторизован, выдается лицензия:
L В противном случае запрос отклоняется ;• ,
Пользовательская лицензия назначается для л
содержимого на весь жизненный цикл документа
^ (в сети и автономном режиме) / •
Рис. 16-3. Процесс публикации AD RMS
Занятие 1
Установка служб управления правами Active Directory
801
Сценарии установки AD RMS
У к а ж д о й о р г а н и з а ц и и с в о и т р е б о в а н и я к з а щ и т е и н ф о р м а ц и и . По этой при-
ч и н е с л у ж б ы A D R M S п о д д е р ж и в а ю т н е с к о л ь к о с ц е н а р и е в развертывания.
• Р а з в е р т ы в а н и е о д н о г о с е р в е р а Установка A D R M S н а одном сервере.
В к а ч е с т в е б а з ы д а н н ы х п о д д е р ж к и у с т а н а в л и в а е т с я внутренняя база дан-
н ы х W i n d o w s ( W I D ) . П о с к о л ь к у все компоненты я в л я ю т с я локальными, это
р а з в е р т ы в а н и е н е л ь з я м а с ш т а б и р о в а т ь д л я п о д д е р ж к и высокой готовности.
С ц е н а р и й с р а з в е р т ы в а н и е м о д н о г о сервера рекомендуется использовать
т о л ь к о в т е с т о в ы х средах. Ч т о б ы в т а к о м р а з в е р т ы в а н и и протестировать
A D R M S з а п р е д е л а м и брандмауэра, необходимо добавить соответствующие
и с к л ю ч е н и я A D R M S .
• В н у т р е н н е е р а з в е р т ы в а н и е Установка AD R M S на множестве серверов,
п р и в я з а н н ы х в к а т а л о г у A D D S . Д л я у п р а в л е н и я базой данных A D RMS
н е о б х о д и м о и с п о л ь з о в а т ь о т д е л ь н ы й сервер, иначе обеспечить балансиров-
к у н а г р у з к и р о л и A D R M S н е в о з м о ж н о .
• Р а з в е р т ы в а н и е в э к с т р а с е т и Е с л и пользователи я в л я ю т с я мобильными
и не о г р а н и ч е н ы в а ш е й сетыо, AD R M S необходимо развернуть в экстрасе-
ти – с п е ц и а л ь н о й с е т и п е р и м е т р а , п р е д о с т а в л я ю щ е й доступ к внутренним
с л у ж б а м и а в т о р и з о в а н н ы м п о л ь з о в а т е л я м . В этом сценарии потребуется
о т к о н ф и г у р и р о в а т ь с о о т в е т с т в у ю щ и е исключения брандмауэра и добавить
с п е ц и а л ь н ы й U R L – а д р е с э к с т р а с е т и на в н е ш н и й веб-сервер, чтобы разре-
ш и т ь к о м м у н и к а ц и и в н е ш н и х к л и е н т о в .
К СВЕДЕНИЮ Конфигурация AD RMS а экстрасети
Более подробная информация о настройке AD RMS для совместного сотрудничес-
тва вне сети организации представлена в книге «Deploying Active Directory Rights
Management Services in an Extranet Step-by-Step Guide» по адресу http://go.microsoft.
com/fwlink/?LinkID=72138.
• Р а з в е р т ы в а н и е во м н о ж е с т в е л е с о в Если существующие доверительные
о т н о ш е н и я о с н о в а н ы н а д о в е р н и л е с о в A D DS, необходимо выполнить
р а з в е р т ы в а н и е в лесах. В т а к о м случае н у ж н о развернуть множество экзем-
п л я р о в AD R M S , по о д н о м у в к а ж д о м лесу, и назначить сертификат SSL
( S e c u r e S o c k e t s L a y e r ) д л я к а ж д о г о веб-сайта, содержащего кластеры AD
R M S в к а ж д о м лесу. Д л я в к л ю ч е н и я объектов A D R M S также требуется
р а с ш и р и т ь с х е м у л е с а AD DS. Е с л и в к а ж д о м лесу используется Microsoft
E x c h a n g e S e r v e r , н у ж н ы е р а с ш и р е н и я у ж е существуют. Учетная запись
с л у ж б ы A D R M S д о л ж н а б ы т ь д о в е р е н н о й в каждом лесу.
К СВЕДЕНИЮ Развертывание AD RMS во множестве лесов
Информацию об этой модели развертывания вы найдете по адресу http://gojnicrosoft.
com/fwlink/?LinkId=72139.
• Р а з в е р т ы в а н и е A D R M S в м е с т е с A D F S Корневой кластер A D RMS
т а к ж е м о ж н о р а с ш и р и т ь на другие леса с помощью служб федерации Active
D i r e c t o r y ( A c t i v e D i r e c t o r y Federation Services). Вот как это делается.
к 8 0 2
Службы управления правами Active Directory
Глава 16
1. Назначьте сертификат SSL веб-узлу, у п р а в л я ю щ е м у к о р н е в ы м класте-
ром AD RMS. Этот сертификат гарантирует б е з о п а с н ы е п о д к л ю ч е н и я
между кластером и сервером ресурсов AD FS.
2. Установите корневой кластер.
3. Прежде чем установить с л у ж б у р о л е й П о д д е р ж к а ф е д е р а ц и и у д о с -
товерений ( I d e n t i t y F e d e r a t i o n S u p p o r t ) , п о д г о т о в ь т е ф е д е р а т и в н о е
доверие.
4. На сервере ресурсов AD FS партнера создайте п р и л о ж е н и е на основе ут-
верждений для конвейеров с е р т и ф и к а ц и и и л и ц е н з и р о в а н и я AD R M S .
5. Назначьте учетной записи службы AD R M S право генерировать а у д и т ы
безопасности (Generate Security Audits).
6. Определите DRL кластера экстрасети в AD R M S , а з а т е м с п о м о щ ь ю
диспетчера сервера установите службу П о д д е р ж к а ф е д е р а ц и и удостове-
рений (Identity Federation S u p p o r t ) р о л и AD R M S . Во в р е м я у с т а н о в к и
необходимо знать URL-адрес.
К СВЕДЕНИЮ Развертывание AD RMS и AD FS
Более подробную информацию о развертывании AD RMS и AD FS можно найти
по адресу http://go.Tnicrosofc.com/fwlink/7LinkkH72135.
• Развертывание только сервера л и ц е н з и р о в а н и я В к о м п л е к с н ы х средах
из множества лесов в д о п о л н е н и е к к о р н е в о м у кластеру* м о ж н о р а з в е р -
нуть лишь кластер лицензирования AD R M S . В т а к о м с л у ч а е н е о б х о д и м о
вначале назначить сертификат S S L веб-службе, у п р а в л я ю щ е й к о р н е в ы м
кластером AD RMS, установить к о р н е в о й к л а с т е р и т о л ь к о п о с л е э т о г о
устанавливать серверы л и ц е н з и р о в а н и я .
К СВЕДЕНИЮ Настройка кластера лицензирования AD RMS
Информация об установке и настройке кластера лицензирования AD R M S содер-
жится по адресу http://go.microsoft.com/fwlink/7LinkId~72141.
• Обновление W i n d o w s R M S д о A D R M S П р и о б н о в л е н и и с у щ е с т в у ю щ е й
установки Windows R M S нужно в ы п о л н и т ь с л е д у ю щ и е д е й с т в и я .
1. Прежде чем приступить к обновлению, убедитесь, что с и с т е м ы R M S
обновлены до R M S Service Pack 1.
2. Выполните архивацию всех серверов и базы д а н н ы х к о н ф и г у р а ц и и .
Сохраните архивы в безопасном месте.
3. Если вы для настройки среды W i n d o w s R M S в ы п о л н я е т е а в т о н о м н у ю
регистрацию, завершите ее Перед обновлением.
4. Если в Active Directory уже установлены точки подключения к службам,
используйте тот же U RL для обновления.
5 . Если для базы д а н н ы х W i n d o w s R M S и с п о л ь з у е т с я M i c r o s o f t S Q L
Server Desktop Engine ( M S D E ) , необходимо обновить эту в е р с и ю до
SQL Server, прежде чем обновить до AD R M S .
Занятие 1
Установка служб управления правами Active Directory
803
6. О ч и с т и т е очередь с о о б щ е н и й R M S ( R M S Message Queuing), чтобы пе-
р е д о б н о в л е н и е м все с о о б щ е н и я б ы л и записаны в базы данных журнала
R M S .
7. О б н о в и т е к о р н е в о й кластер, прежде чем выполнить обновление сервера
л и ц е н з и р о в а н и я , к о т о р ы й получит самозаверяющийся сертификат SLC
к о р н е в о г о к л а с т е р а .
8. О б н о в и т е все о с т а л ь н ы е с е р в е р ы в кластере R M S .
Э т и с ц е н а р и и о б е с п е ч и в а ю т с а м ы е распространенные структуры развер-
т ы в а н и я A D R M S .
Установка служб управления правами Active Directory
П о л н а я у с т а н о в к а A D R M S п р е д с т а в л я е т собой довольно сложный процесс.
П о м н и т е , ч т о к л а с т е р м о ж е т с у щ е с т в о в а т ь в л е с у AD DS, и выполните все
п р е д в а р и т е л ь н ы е у с л о в и я . В процессе подготовки вы примете решение отно-
с и т е л ь н о р а з в е р т ы в а н и я с и с т е м A D R M S . Б у д у т л и использоваться только
ч л е н ы к о р н е в о г о к л а с т е р а , и л и задачи будут распределены между корневым и
л и ц е н з и р у ю щ и м к л а с т е р о м ? П о т р е б у е т с я ли взаимодействие с внешними пар-
т н е р а м и ? Б у д е т ли р а з в е р т ы в а н и е т о л ь к о внутренним? Ответы на эти вопросы
п о м о г у т с ф о р м и р о в а т ь а р х и т е к т у р у р а з в е р т ы в а н и я и реализации AD RMS.
П о с л е в ы п о л н е н и я в с е х п р е д в а р и т е л ь н ы х д е й с т в и й можно приступать
к р е а л ь н о й у с т а н о в к е , к о т о р а я представляет собой многошаговую процедуру.
К СВЕДЕНИЮ Инструкции по установке AD RMS
Более подробная информация об установке кластеров AD RMS содержится по адресу
http://technet2microsoft.com/windowsserver2008/en/library/3f1d6d09-4e85-4ad9-83ff-
а8720Ь5441d61033.mspx?mfr=-true.
П р е д в а р и т е л ь н а я п о д г о т о в к а к у с т а н о в к е AD RMS
С у щ е с т в у е т н е с к о л ь к о предварительных условий установки AD RMS. Если вы
к о н ф и г у р и р у е т е л и ш ь т е с т о в у ю среду, установка выполняется проще, однако
в п р о и з в о д с т в е н н о й среде н у ж н о п р и л о ж и т ь максимум усилий для успешного
р а з в е р т ы в а н и я AD R M S . П о э т о м у удостоверьтесь, что тестовая среда соот-
ветствует т р е б о в а н и я м п р о и з в о д с т в е н н о й среды, чтобы в процессе реального
р а з в е р т ы в а н и я н е б ы л о н е п р и я т н ы х сюрпризов.
ВНИМАНИЕ! Дополнительные параметры установки AD RMS
Отметим, что роль AD RMS не поддерживается и не запускается в установке ядра
сервера (Server Core) Windows Server 2008. Однако роль AD RMS отлично подхо-
дит для виртуализации в Hyper-V, особенно в тестовых средах. Помните об этом
во время планирования и подготовки развертывания AD RMS.
Н а ч н е м с о п и с а н и я предварительных условий. В табл. 16-1 перечислены
о с н о в н ы е т р е б о в а н и я развертывания AD RMS. В табл. 16-2 указаны сообра-
ж е н и я , к о т о р ы м и т а к ж е следует руководствоваться при подготовке разверты-
в а н и я A D R M S .
к 804
Службы управления правами Active Directory
Глава 16
Табл. 16-1. Системные требования AD RMS
Оборудование/ Требование
Рекомендуется
Программное обеспечение
Процессор
Pentium с одним ядром с час-
Дпухъядерный P e n t i u m
тотой не ниже 4,3 ГГц
с частотой не н и ж е 4,3 ГГц
Память
512 Мбайт
1024 Мбайт
Объем жесткого диска
40 Гбайт
80 Гбайт
Операционная система
Любой выпуск Windows
Windows Server Enterprise
Операционная система
Server 2008, за исключением
Edition или Windows
Windows Server Web Edition
Server Datacenter Edition
и систем Itanium
Файловая система
FAT32 или NTFS
N T F S
Обмен сообщениями
Очередь сообщении (Message
Queuing)
Веб-службы
IIS с ASP.NET
Табл. 16-2. Рекомендации относительно развертывания AD RMS
Компонент
Рекомендация
URL веб-сервера
Храните постоянные URL-адреса без имени компьютера или lo-
calhost. Используйте различные U R L д л я внутренних и внешних
подключении
Доменные службы Домен AD DS в режиме работы Windows 2000 SP3, W i n d o w s
Active Directory
Server 2003 или Windows Server 2008. По возможности обновите
(Active Directory или установите новый домен AD DS в р е ж и м е работы Windows
Domain Services)
Server 2008
Размещение уста– Службы AD RMS необходимо установить в том же домене, где
новкп расположены потенциальные пользователи. По возможности со-
здайте лес из множества доменов н установите AD R M S в дочер-
нем производственном домене
Учетные записи
Адрес электронной почты, отконфигурнрованный в AD DS
пользователей
домена
Учетная запись
Стандартная учетная запись пользователя домена, которая явля-
службы
ется членом локальной группы Администраторы (Administrators).
Доменная учетная запись службы, которой назначено разрешение
Генерировать аудиты безопасности (Generate Security Audits)
Учетная запись
Доменная учетная запись. Не должна храниться па смарт-карте.
для установки
Должна располагать привилегиями локального администратора,
быть членом группы Администраторы предприятия (Enterprise
Admins) для генерирования точек подключения службы. Д л я
использования внешней базы данных должна быть членом роли
Системные администраторы (System Administrators) иа сервере
базы данных
Сервер базы
Внутренняя база данных Windows (Windows Internal Database),
данных
либо SQL Server 2005 с пакетом обновлений не ниже SP2, вклю-
чая хранимые процедуры для выполнения операций. Д л я отка-
зоустойчивости установите SQL Server 2005 с SP2 на отдельном
компьютере
Занятие 1
Установка служб упрввления правами Active
8 0 5
Табл.16-2 ( окончание)
Компонент
Рекомендация
Э к з е м п л я р базы
Прежде чем начать установку, следует создать и назначить пм„ "
данных
A D r m s '
а
–
С е р т и ф и к а т уста-
Получите сертификат SSL для кластера AD RMS. ИепользУпте
н о в к и
сертификаты только в тестовых средах. Получите д о в е р е н ы Г
сертификат и з внешнего стороннего коммерческого ц а т а
сертификации и установите его, прежде чем инсталлировать
З а щ и т а ключа
Храните ключ кластера в базе дан пых конфигурации AD RMS
кластера
К о н ф и г у р а ц и я
Создайте настраиваемые записи CNAME для URLKopnenoro
D N S
кластера и сервера базы данных. Применяйте отдельные записи
C N A M E для URL кластера AD RMS и сервера базы данных,
чтобы защитить систему От возможной потери данных
Имя сертификата Подготовьте официальное имя, прежде чем начать установку.
