在安装活动目录权限管理服务(ADRMS)时,请牢记以下几点:
将AD RMS服务单独安装在一台服务器上——将AD RMS与域控制器、微软邮件服务器(Microsoft Exchange Server)、证书颁发中心(Certification Authority)或者微软Office SharePoint等产品安装在同一台服务器上会大大降低AD RMS的安全性。
请勿将AD RMS安装在域控制器上。如果一定要这么做,那么您必须将AD RMS服务账号添加到域管理员用户组中(将AD RMS服务安装在域成员服务器时,该服务账号只需要是普通域用户即可,无需额外权限)。
请勿在部署活动目录联合服务(Active Directory Federation Services, AD FS)服务器之前安装“联合身份认证支持”服务。如果您安装AD RMS时,AD FS还未完成配置,那么请在您完成AD FS配置后再安装该服务。
Windows服务器上的内部数据库服务(Windows Internal Database)仅适用于测试环境,它不支持远程连接,因此,如果使用内部数据库,您将无法向您的群集中添加额外的AD RMS服务器。在生产环境部署AD RMS时,请使用微软的SQL Server产品。
ADRMS服务器连接SQL数据库服务器时,请使用数据库服务器的DNS别名记录或DNS主机记录,即CNAME记录和A记录。这样您将来有数据库迁移需求时,将会非常容易。
为ADRMS群集服务URL命名时,请同样使用DNS别名记录或DNS主机记录。这样您以后可以向AD RMS群集中添加多台成员服务器,以实现快速的灾难恢复,解决大量客户端请求时的负载均衡问题。
如果您计划将AD RMS安装在一个已经设置好的Web站点服务器上,那么请务必保证Web站点已经设置了HTTP绑定,即使您的AD RMS服务仅仅使用HTTPS。
如果您准备部署AD RMS到非默认站点的Web服务器上,请在部署前先安装“IIS 6 Management Capability”角色服务。
使用SSL协议增强客户端到AD RMS群集之间网络连接的安全性,AD RMS与AD FS集成时也需要使用SSL。此外,您需要注意的是,一旦确定使用HTTPS,以后不能随意更改,否则会影响到所有加密文档。
如果计划启用AD RMS联合身份验证支持,那么请将AD RMS服务URL的FQDN(域名)全部设置为小写,因为AD FS是区分大小写的。
您最好在安装AD RMS服务后,尽快在服务器上设置外部访问URL,这个URL可以与内部URL不同。我们建议您设置为与内部URL相同,除非您内部的URL不是标准的域名或有其他的原因。如果您使用AD RMS服务器一段时间后才配置外部访问URL,那么您需要将所有加密过的文档保护手动去除,清除客户端DRM缓存,配置外部URL,之后再将之前的文档重新加密。
自签发的文档仅适用于测试环境;在生产环境,您应该选择由内部根证书服务器CA颁发的SSL证书或者直接购买受信任的第三方机构签发的SSL证书。
ADRMS初次安装完成或者初次升级后,请先注销,再重新登陆并管理AD RMS服务器。
一旦AD RMS服务器安装完毕,请第一时间备份TPD(包括服务器授权证书的公钥和私钥),并牢记您的群集密钥密码。
将Win2003上的RMS升级至Win2008上的AD RMS有两个途径:迁移和直接升级。我们推荐您使用迁移的步骤完成升级。如果您一定要选择直接升级,请确保OS升级完毕后执行升级向导,升级向导的链接需要从服务器的管理器中找到。详情请参照文档:http://technet.microsoft.com/en-us/library/cc770876(v=ws.10).aspx
对于AD RMS安装前的准备工作,请参照文档:http://technet.microsoft.com/en-us/library/dd772659(v=ws.10).aspx;关于AD RMS的详细安装步骤,请参照文档:http://technet.microsoft.com/en-us/library/cc753531(v=ws.10).aspx,建议您在生产环境部署AD RMS之前,请先按照上面的文档安装一遍测试环境。
英文原文链接:http://blogs.technet.com/b/rms/archive/2012/04/28/ad-rms-installation-best-practices.aspx