安装AD RMS根服务器
AD RMS服务并不是Windows Server 2008系统默认安装的组件,需要用户手动添加。安装向导如果检测到有完成的准备工作,显示提示信息并给出解决方案,通常情况下可以自动完成必要组件的安装。
使用具有域权限的用户账户登录。运行"添加角色向导"。在"选择服务器角色"对话框中,选中"Active Directory Rights Management Servoces"复选框,显示如图17-1所示对话框,提示是否添加所需的角色服务和功能。
 |
| (点击查看大图)图17-1 添加所需的角色服务和功能 |
单击"添加必需的角色服务"按钮,显示如图17-2所示的"选择服务器角色"对话框,选中"Active Directory Rights Management Services"复选框。
 |
| (点击查看大图)图17-2 "选择服务器角色"对话框 |
不能使用Administrator用户账户登录;否则就会显示如图17-3所示的警告框,提示无法安装。
 |
| (点击查看大图)图17-3 警告框 |
单击"下一步"按钮,显示如图17-4所示的"Active Directory Rights Management Services"对话框,其中简要介绍了Active Directory权限管理服务的作用及功能。
单击"下一步"按钮,显示如图17-5所示的"选择角色服务"对话框。如果选中"联合身份验证支持"复选框,将同时安装AD FS或与当前域中已有的AD FS关联使用。它允许用户使用当前域和其他域之间经过联合身份验证的信任关系来建立用户标识,并提供对其他组织创建的受保护信息的访问权限。不需要联合身份验证的用户建议不要选择该复选框。
 |
| (点击查看大图)图17-4 "Active Directory Rights Management Services"对话框 |
 |
| (点击查看大图)图17-5 "选择角色服务"对话框 |
单击"下一步"按钮,显示如图17-6所示的"创建或加入AD RMS群集"对话框,系统默认选择"新建AD RMS群集"单选按钮。由于当前域中没有其他AD RMS群集可供加入,所以"加入现有AD RMS群集"单选按钮为灰色。安装完成后创建的第1台AD RMS服务器即为根群集,后来加入的AD RMS服务器为叶服务器。
 |
| (点击查看大图)图17-6 "创建或加入AD RMS群集"对话框 |
单击"下一步"按钮,显示如图17-7所示的"选择配置数据库"对话框。如果网络中安装有SQL Server服务器,可选择"使用其他数据库服务器"单选按钮;如果要使用AD RMS自带的数据库,选择"在此服务器上使用Windows内部数据库"单选按钮即可。
(点击查看大图)图17-7 "选择配置数据库"对话框
选择支持AD RMS群集的专用数据库时应注意记录其数据库实例,其他AD RMS服务器加入群集时也必须指定相同的实例名称。
单击"下一步"按钮,显示如图17-8所示的"指定服务账户"对话框。该服务账户即将来要在AD RMS群集中使用的账户,可使用普通域成员账户,但必须区别于当前服务器登录的域用户账户。
(点击查看大图)图17-8 "指定服务账户"对话框
单击"指定"按钮,显示如图17-9所示的"Windows安全"对话框。输入域用户账户,单击"确定"按钮即可。
 |
| (点击查看大图)图17-9 "Windows安全"对话框 |
单击"下一步"按钮,显示如图17-10所示的"配置AD RMS群集键存储"对话框。系统默认选择"使用AD RMS集中管理的密钥存储"单选按钮,即由本地服务器自动生成并存储密钥。这里选择该单选按钮,这个密钥主要用于当前根服务器及将来叶服务器的灾难恢复,必须牢记。选择"使用CSP密钥存储"单选按钮,需要由专用加密服务器产生并保管该密钥,比较烦琐,但安全性也相对较高。
 |
| (点击查看大图)图17-10 "配置AD RMS群集键存储"对话框 |
单击"下一步"按钮,显示如图17-11所示的"指定AD RMS群集密钥密码"对话框。其他AD RMS服务器加入群集时也要使用此密码,必须妥善保存。
 |
| (点击查看大图)图17-11 "指定AD RMS群集密钥密码"对话框 |
单击"下一步"按钮,显示如图17-12所示的"选择AD RMS群集网站"对话框。在其中选择管理AD RMS群集服务器时使用的站点,准备工作中必须安装IIS就是为了在本地创建该站点,保留默认设置即可。
 |
| (点击查看大图)图17-12 "选择AD RMS群集网站"对话框 |
单击"下一步"按钮,显示如图17-13所示的"指定群集地址"对话框。群集地址可以使AD RMS客户端通过网络与群集通信,选择"使用SSL加密的连接"单选按钮。将使用SSL加密,客户端只有得到并安装服务器颁发的数字证书后才能建立连接。在"完全限定的域名"文本框中输入要使用的域名,如https://adrms:443等。SSL加密连接使用的默认传输端口是443,客户端访问时也必须使用完整域名;选择"使用未加密的连接"单选按钮,则使用普通传输方式。输入域名,并单击"验证"按钮。
 |
| (点击查看大图)图17-13 "指定群集地址"对话框 |
自定义端口也可以提升网络连接的安全性,不过客户端访问时也必须使用相同的端口。
单击"验证"按钮,服务器自动验证指定域名和端口的有效性。如果正确,则在"网络中客户端的群集地址预览"下方显示完整域名。
如果选择"使用SSL加密的连接"单选按钮,则单击"下一步"按钮会显示如图17-14所示的"选择SSL加密的服务器身份验证证书"对话框,在其中选择使用某种SSL加密方式。
(点击查看大图)图17-14 "选择SSL加密的服务器身份验证证书"对话框
单击"下一步"按钮,显示如图17-15所示的"命名服务器许可方证书"对话框。其中显示内容与上述选择的"为SSL加密创建自签名证书"单选按钮是对应的,系统默认会以计算机名命名证书,保留默认设置即可。
 |
| (点击查看大图)图17-15 "命名服务器许可方证书"对话框 |
单击"下一步"按钮,显示如图17-16所示的"注册AD RMS服务连接点"对话框。选择"立即注册AD RMS服务连接点"单选按钮,在安装完成后立即开始使用此AD RMS群集。
单击"下一步"按钮,将显示IIS的安装对话框。这里不再赘述。在如图17-17所示的"确认安装选择"对话框中显示要安装的组件信息,如果需要修改,单击"上一步"按钮返回。
 |
| (点击查看大图)图17-16 "注册AD RMS服务连接点"对话框 |
 |
| (点击查看大图)图17-17 "确认安装选择"对话框 |
单击"安装"按钮开始安装,完成后显示如图17-18所示的"安装结果"对话框,提示安装成功。
 |
| (点击查看大图)图17-18 "安装结果"对话框 |
单击"关闭"按钮退出安装向导。然后根据提示注销当前系统并重新登录。
