В прошлой своей статье «Active Directory Rights Management Services. Часть 1.«, я рассказал о причинах использования Active Directory Rights Management Services, и о том как работает он. В этой части я расскажу как установить Active Directory Rights Management Services.
Установка Active Directory Rights Management Services, очень проста, но как показала практика, иногда возникают вопросы. Для начала давайте разберемся что необходимо для работы Active Directory Rights Management Services.
Во первый нам необходимо что-бы у нас был развернут Active Directory Domain Services, также необходимо что-бы присутствовал SQL сервер, но если его нету то можно использовать Windows Internal Database но только в тестовой среде, так-как Windows Internal Database не поддерживает удалённое подключение и это исключает возможность создание кластера. Также необходимо создать учетную запись пользователя в домене без каких-либо дополнительных разрешений, которая будет использоваться в качестве учетной записи Active Directory Rights Management Services. Так как работа с RMS происходит по HTTP протоколу для обеспечения более высокого уровня безопасности необходимо использовать SSL сертификат, для шифрования данных. Сам SSL сертификат должен быть выписан на FQDN (Полное доменное имя) кластера и распространён среди всех серверов которые будут в RMS кластере.
Когда мы определились с тем как будет выглядеть наш RMS мы можем приступать к подготовке для его развертыванию. Для начала нам необходимо создать пользователя, без каких-либо дополнительных разрешений, в нашем домене. Для этого воспользуемся оснасткой Active Directory Users and Computers. Имя пользователя под которым будет работать RMS сервер в моём случае – RMSSvc
Далее необходимо выписать сертификат для нашего Active Directory Domain Services кластера, для того чтобы можно было использовать HTTPS протокол для доступа к Active Directory Domain Services кластеру. Не желательно использовать само-подписанный сертификат, так как пройдётся распространять его среди всех пользователей. В моей инфраструктуре развернут центр сертификации, с помощью которого я и выписал сертификат на имя моего бедующего кластера.
Далее необходимо внести изменения в DNS, а именно сделать запись для доступа к нашему RMS. В моём случае у меня один сервер который будет выполнять роль RMS сервера у которого IP адрес 192.168.32.33, и я внесу в DNS информацию о том что DNS имя «ADRMS.lab.local» ссылается на IP адрес 192.168.32.33
Если у вас 2 и более сервера вам необходимо сделать идентичные записи, разница в которых будет только в IP адресах.
Когда мы закончили подготовку для установки нашего RMS, мы можем смело переходить к установке самой роли Active Directory Domain Services. Для установки данной роли мы можем воспользоваться стандартными инструментами для установки ролей. В оснастке Server Manager выбираем Add Roles и в открывшемся окне ставим галочку напротив Active Directory Domain Services, далее подтверждаем установку необходимых дополнений.
После чего воспользуемся «волшебной» кнопкой Next. Далее нам необходимо будет выбрать Создание нового кластера или подключение к новому, так как мы устанавливаем первый RMS сервер, выбрать пункт для присоединения сервера к существующему кластеру будет неактивно
На следующем шаге нам необходимо будет выбрать какую базу данных использовать. Я буду использовать Windows Internal Database за неимением MSSQL сервера в моей инфраструктуре, но хочу обратить внимание на то что если вы планируете использовать несколько серверов для предоставления услуг RMS, то вам нельзя использовать Windows Internal Database.
Далее нам необходимо выбрать пользователя от имени которого будет работать Active Directory Domain Services. Для этого обязательно знать пароль пользователя, так как при задание пользователя необходимо будет ввести его пароль.
После того как мы определили пользователя, нам необходимо выбрать где будет храниться ключ, который используется для подписи сертификатов и лицензий, а также для подключения дополнительных серверов в RMS кластер. Мы можем выбрать один из двух хранилищ, первый это централизованное хранилище, второй CSP хранилище. Разница в них заключается в том что в первом случае мы используем мы генерируем ключ, и защищаем его паролем, и он распространяется между серверами автоматически. Во втором случае прийдется распространять ключ в ручную. Если мы выберем использование централизованного хранилища, то нам необходимо ввести пароль, если второй то выбрать какой именно крипто провайдер использовать.
Далее необходимо выбрать Веб сайт для кластера, а также его адрес. Когда мы выбираем адрес кластера, мы модем выбрать какой протокол мы будем использовать, HTTP или HTTPS. Так как мы сделали необходимую подготовку для использования HTTPS то мы выбираем использование HTTPS, которое выбрано по умолчанию.
На следующем шаге мы должны выбрать SSL сертификат который будет использоваться для того чтобы работал наш кластер используя HTTPS, мы можем выбрать само-подписанный сертификат, или даже отложить этот шаг.
До завершения установки осталось немного, на следующем шаге нам нужно будет придумать и ввести имя для более легко распознавания нами сертификата RMS кластера.
И важный последний шаг в установке это регистрация SCP (Service Connection Point). На этом шаге вы можете зарегистрировать SCP для нашего Active Directory Rights Management Services, но если в силу тех или иных обстоятельств вы не хотите регистрировать Service Connection Point, то вы можете выбрать пункт, при выборе которого регистрация Service Connection Point не будет инициализирована, которую вам всё ровно нужно будет провести позднее. Оставшиеся шаги не являются важными при установке Active Directory Rights Management Services.
В данной статье вы на очно увидели, как просто устанавливается Active Directory Rights Management Services, были раскрыты важдые моменты, которые необходимо учесть во время развертывания Active Directory Rights Management Services.
Надеюсь, эта статья будет полезна вам при развертывание в свое инфраструктуре Active Directory Rights Management Services. Если у вас есть вопросы или какие-то замечания, просьба писать о них в комментариях.
