(0) exportieren Drucken
Alle erweitern

Neues in den Active Directory-Rechteverwaltungsdiensten (AD RMS)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Dezember 2012

Betrifft: Windows Server 2012

Dieses Dokument enthält ausführliche Informationen zu neuen Bereitstellungsverbesserungen für Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) unter Windows Server® 2012. IT-Professionals, die mit AD RMS arbeiten, können durch diese Änderungen die Anforderungen ihres Unternehmens sicher, zuverlässig und flexibel erfüllen.

Bei AD RMS handelt es sich um eine Serverrolle, die Ihnen Verwaltungs- und Entwicklungstools zur Verfügung stellt, die mit branchenüblichen Sicherheitstechnologien verwendet werden können – einschließlich Verschlüsselung, Zertifikaten und Authentifizierung –, um Unternehmen beim Aufbau zuverlässiger Lösungen für den Datenschutz zu helfen. Weitere Informationen finden Sie unter Active Directory-Rechteverwaltungsdienste: Übersicht.

In diesem Thema werden u. a. die folgenden neuen AD RMS-Features behandelt:

  • Änderungen an AD RMS und Anforderungen an Microsoft SQL Server.

  • Änderungen bei der Bereitstellung von AD RMS mit dem Server-Manager und Windows PowerShell

Die Anforderungen an Windows Server 2012 zum Konfigurieren des Microsoft SQL Server zur Unterstützung von AD RMS wurden unter Berücksichtigung von Kundenfeedback überarbeitet oder geändert.

Welchen zusätzlichen Nutzen bietet diese Änderung?

An der Einrichtung von AD RMS wurden folgende Änderungen vorgenommen, um die Unterstützung der Remotebereitstellung von AD RMS und SQL Server zu verbessern sowie das Feedback von Kunden zu berücksichtigen, die flexiblere Bereitstellungsoptionen angefordert hatten.

Worin bestehen die Unterschiede?

In vorherigen Versionen erforderte die Einrichtung von AD RMS, dass das zur Installation von AD RMS verwendete Konto über lokale Administratorrechte auf allen Computern mit einer SQL Server-Installation verfügt, die zur Unterstützung des Speicherns von AD RMS-Daten verwendet wurde. Der Grund war, dass die Einrichtung von AD RMS die Funktion erforderte, SQL-Datenbankeinstellungen in der Windows-Registrierung zu lesen. Aufgrund von Kundenfeedback wurde dies für diese Version geändert.

Unter Windows Server 2012 gelten für AD RMS jetzt folgende Anforderungen für den Zugriff auf SQL Server.

  • Das Konto, auf dem AD RMS installiert wird, muss in der SQL Server-Installation über SysAdmin-Berechtigungen verfügen.

  • Der SQL Server Browser-Dienst muss ausgeführt werden, um verfügbare SQL Server-Instanzen zu ermitteln.

  • Auf dem SQL Server-Computer sollten Firewallausnahmen für Ports aktiviert sein, die bei der AD RMS-Einrichtung verwendet werden. Der TCP-Port für die SQL-Instanz, auf der die AD RMS-Datenbanken gehostet werden, sollte aktiviert sein. Der UDP-Port für den SQL Server-Browser-Dienst muss ebenfalls aktiviert sein. Die Standardports sind normalerweise der TCP-Port 1433 für die SQL Server-Instanz und der UDP-Port 1434 für den SQL Server-Browser-Dienst.

Neben den eben beschriebenen Zugriffsanforderungen wurden für Windows Server 2012 die folgenden Versionen von Microsoft SQL Server getestet und werden für die Verwendung mit der AD RMS-Bereitstellung unterstützt.

  • SQL Server 2005 Service Pack 3

  • SQL Server 2008 Service Pack 3

  • SQL Server 2008 R2 Service Pack 1

Weitere Informationen zu geltenden SQL Server-Anforderungen für AD RMS finden Sie im Thema zu den SQL Server-Anforderungen für AD RMS (http://technet.microsoft.com/library/dd772673(WS.10).aspx).

In vorherigen Versionen unterstützte das AD RMS-Setup nur die Bereitstellung auf dem Server, auf dem AD RMS installiert wurde. Aufgrund von Kundenfeedback wurde dies geändert. Unter Windows Server 2012 unterstützt AD RMS jetzt die Remotebereitstellung auf Zielservern.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Am AD RMS-Setup wurden folgende Änderungen vorgenommen, um die Integration des überarbeiteten Server Manager unter Windows Server 2012 zu verbessern und dadurch auch eine sichere und flexible Remoteserverbereitstellung für AD RMS und weitere Active Directory-Technologien zu verbessern.

Worin bestehen die Unterschiede?

Diese Änderung bewirkt bei der Bereitstellung von AD RMS auf Remoteservern zum Sicherstellen der Sicherheit Ihrer Bereitstellung ein Abfragen der Benutzeranmeldeinformationen. Die Bereitstellung erfordert nun auch einen zusätzlichen Schritt, der mithilfe von Server Manager oder Windows PowerShell ausgeführt werden kann.

Für Windows Server 2012 wurde Server Manager neu gestaltet und bietet jetzt Unterstützung für die Remotebereitstellung von AD RMS als Teil eines zweistufigen Prozesses, der sich folgendermaßen zusammenfassen lässt:

  1. Starten Sie in Server Manager den Assistenten zum Hinzufügen von Rollen und Features, um die AD RMS-Rolle hinzuzufügen. Dadurch werden die erforderlichen Dateien für AD RMS hinzugefügt und installiert.

  2. Starten Sie nach dem Hinzufügen der AD RMS-Rolle den AD RMS-Konfigurationsüberprüfungs-Assistenten, um die Bereitstellungsoptionen zu wählen und den AD RMS-Cluster zu konfigurieren.

Beim ersten Starten des AD RMS-Konfigurationsüberprüfungs-Assistenten bei der Installation von AD RMS auf einem Remoteserver, werden Sie aufgefordert, die erforderlichen Anmeldeinformationen zum Fertigstellen der AD RMS-Konfiguration einzugeben.

Die Anmeldeinformationen, die Sie hier eingeben, müssen folgende Anforderungen erfüllen:

  • Das zur Bereitstellung von AD RMS verwendete Konto muss Mitglied in der lokalen Gruppe "Administratoren" auf dem Server sein, auf dem AD RMS installiert und konfiguriert wird.

  • Das verwendete Konto muss auch über SysAdmin-Berechtigungen auf dem Server verfügen, der die Konfigurationsdatenbank für den AD RMS-Cluster hostet.

    noteHinweis
    Die Anmeldeinformationen werden in Server Manager nur abgefragt, wenn Sie AD RMS auf einem Remoteserver installieren. Die Anforderungen an die Anmeldeinformationen sind jedoch mit denen für eine lokale Installation identisch.

Wenn Sie während der Konfiguration den AD RMS-Dienstverbindungspunkt (SPC, Service Connection Point) in Active Directory registrieren möchten, muss das Konto auch Mitglied der Gruppe "Organisations-Admins" für die Gesamtstruktur sein. Da hierfür zusätzliche Rechte erforderlich sind, kann es sich anbieten, diese Aufgabe später nach Abschluss der grundlegenden Serverkonfiguration auszuführen. Hierfür müssen Sie die AD RMS-Konsole verwenden. Weitere Informationen finden Sie unter Registrieren eines Dienstverbindungspunkts (http://technet.microsoft.com/library/cc725573.aspx).

noteHinweis
Wenn Sie Berichte zu AD RMS anzeigen möchten, müssen Sie auch .NET Framework 3.5 mithilfe von Server-Manager installieren (oder indem Sie an einer Windows PowerShell-Eingabeaufforderung Install-WindowsFeature NET-Framework-Core eingeben), bevor Sie Microsoft Report Viewer 2008 installieren, der verwendet wird, um Berichte zur Fehlerbehebung und zum Systemstatus für AD RMS unter Windows Server 2012 zu erstellen. Weitere Informationen finden Sie in der Testumgebungsanleitung: Bereitstellen eines AD RMS-Clusters.

In Windows Server 2012 haben Sie die Möglichkeit, das im vorherigen Abschnitt beschriebene, aus zwei Schritten bestehende Verfahren zur Bereitstellung von AD RMS mithilfe von Windows PowerShell-Befehlen auszuführen. In Windows Server 2008 R2 wurde das ADRMS-Modul als Teil des Basisbetriebssystems bereitgestellt. Dies wurde jedoch geändert, um mehr Flexibilität und Modularität bei der Produktinstallation zu ermöglichen. In dieser Version müssen Sie Befehle verwenden, die in dem neuen ServerManager-Modul für Windows PowerShell bereitgestellt werden.

Um beispielsweise den ersten Teil des Bereitstellungsverfahrens (Kopieren und Installieren aller erforderlichen Dateien für AD RMS) auszuführen, würden Sie an der Windows PowerShell-Eingabeaufforderung die folgenden Server-Manager-Cmdlets verwenden.

 

Beispiel Beschreibung

Add-WindowsFeature ADRMS –IncludeAllSubFeature -IncludeManagementTools

Fügt alle AD RMS-Rollendienste und -Tools hinzu. Durch diesen Befehl werden alle Unterstützungsdateien, die für die Arbeit mit AD RMS benötigt werden, heruntergeladen und verfügbar gemacht.

Add-WindowsFeature ADRMS-Server

Fügt ausschließlich die AD RMS-Serverrolle hinzu. Durch diesen Befehl werden diejenigen Dateien heruntergeladen und verfügbar gemacht, die zur Unterstützung einer AD RMS-Serverinstallation notwendig sind.

Add-WindowsFeature ADRMS-Identity

Fügt die Unterstützung des Identitätsverbunds für AD RMS. Durch diesen Befehl werden Dateien heruntergeladen und verfügbar gemacht, die benötigt werden, um die Verwendung von AD RMS durch AD FS zu unterstützen.

Sie können AD RMS mithilfe des Install-ADRMS-Cmdlet, das als Teil des AD RMS-Bereitstellungsmoduls für Windows PowerShell zur Verfügung gestellt wird. Wenn Sie dieses Cmdlet verwenden, sollten Sie den neuen Parameter Credentials wie im Folgenden gezeigt angeben. Dieser Parameter ist erforderlich, um Remotebereitstellungen zu unterstützen, und es empfiehlt sich, ihn für alle PowerShell-basierten Bereitstellungen anzugeben.

Install-ADRMS –Path adrmsDrive:\ -Credential

Das Hinzufügen des Parameters -Credential bewirkt, dass Sie bei der Bereitstellung von AD RMS zur Eingabe der erforderlichen Anmeldeinformationen aufgefordert werden. Wenn die Installation auf einen Remotecomputer gerichtet ist, müssen die Anmeldeinformationen durchgeleitet und auf dem Remotecomputer überprüft werden, bevor die Installation von AD RMS fortgesetzt werden kann.

In Windows Server 2012 kann die Deinstallation von AD RMS ebenfalls mithilfe von Windows PowerShell erfolgen. Es handelt sich wiederum um ein aus zwei Schritten bestehendes Verfahren, das einer Umkehrung des Verfahrens vergleichbar ist, das im vorherigen Abschnitt für die Bereitstellung von AD RMS beschrieben wurde. Dieses Verfahren lässt sich folgendermaßen zusammenfassen:

  1. Deinstallieren Sie die AD RMS-Rolle.

    Dies kann separat mithilfe von Windows PowerShell und die Ausführung des Uninstall-ADRMS-Cmdlets im ADRMS-Modul erfolgen.

  2. Entfernen Sie die AD RMS-Dateien und -Registrierungseinstellungen, die zuvor zur Unterstützung von AD RMS hinzugefügt wurden.

    Wenn Sie Windows PowerShell verwenden, führen Sie das Remove-WindowsFeature ADRMS-Cmdlet im ServerManager-Modul aus, um diesen Schritt als separate Aktion auszuführen.

noteHinweis
Wenn Sie zum Entfernen der AD RMS-Rolle den Assistenten zum Entfernen von Rollen und Features in Server Manager verwenden, werden die beiden eben beschriebenen Schritte als eine Aktion ausgeführt. Diese kombinierte Aktion wird ebenfalls ausgeführt, wenn Sie Remove-WindowsFeature ADRMS ausführen, wodurch das Uninstall-ADRMS-Cmdlet aufgerufen wird.

Zusätzlich zu den Änderungen an Windows PowerShell, die sich auf die Bereitstellung der AD RMS-Rolle und der zugehörigen Dienste und Komponenten auswirken, wurden neue Eigenschaften für Windows Server 2012 hinzugefügt, die beim Bereitstellen von AD RMS-Installationen verwendet werden können. In der folgenden Tabelle wird erläutert, wo Sie dieses neuen Eigenschaften verwendet werden können, um Änderungen, beispielsweise die Unterstützung für die starke Kryptografie, zu unterstützen.

 

Installationstyp Container Eigenschaft Standardwert Beschreibung

RootCluster

CryptoSupport

SupportCryptoMode2

True

Dieser Container kommt standardmäßig vor und wird so festgelegt, dass die Unterstützung für die starke Kryptografie aktiviert ist.

RootCluster

SSLCertificateSupport

Dieser Container kommt nur vor, wenn die ClusterURL-Eigenschaft auf HTTPS festgelegt ist.

RootCluster

SSLCertificateSupport

SSLCertificateOption

ChooseLater

Die Standardeinstellung dieser Eigenschaft ermöglicht es Ihnen, ein Zertifikat erst später nach der Bereitstellung von AD RMS auszuwählen. Mögliche andere Werte umfassen Create (ermöglicht das Erstellen eines selbstsignierten Zertifikats) oder Existing (ermöglicht die Verwendung eines vorhandenen Zertifikats).

RootCluster

SSLCertificateSupport

Thumbprint

[nicht festgelegt]

Mit dieser Eigenschaft wird der Fingerabdruck zum Identifizieren eines Zertifikats angegeben. Sie kommt nur vor, wenn die SSLCertificateOption-Eigenschaft auf "Existing" festgelegt ist.

LicensingCluster

SSLCertificateSupport

Dieser Container kommt nur vor, wenn die ClusterURL-Eigenschaft auf HTTPS festgelegt ist.

LicensingCluster

SSLCertificateSupport

SSLCertificateOption

ChooseLater

Die Standardeinstellung dieser Eigenschaft ermöglicht es Ihnen, ein Zertifikat erst später nach der Bereitstellung von AD RMS auszuwählen. Mögliche andere Werte umfassen Create (ermöglicht das Erstellen eines selbstsignierten Zertifikats) oder Existing (ermöglicht die Verwendung eines vorhandenen Zertifikats).

LicensingCluster

SSLCertificateSupport

Thumbprint

[nicht festgelegt]

Mit dieser Eigenschaft wird der Fingerabdruck zum Identifizieren eines Zertifikats angegeben. Sie kommt nur vor, wenn die SSLCertificateOption-Eigenschaft auf "Existing" festgelegt ist.

JoinCluster

SSLCertificateSupport

Dieser Container kommt vor, wenn die DatabaseName-Eigenschaft auf eine Clusterdatenbank festgelegt ist, die SSL verwendet.

JoinCluster

SSLCertificateSupport

SSLCertificateOption

ChooseLater

Die Standardeinstellung dieser Eigenschaft ermöglicht es Ihnen, ein Zertifikat erst später nach der Bereitstellung von AD RMS auszuwählen. Mögliche andere Werte umfassen Create (ermöglicht das Erstellen eines selbstsignierten Zertifikats) oder Existing (ermöglicht die Verwendung eines vorhandenen Zertifikats).

JoinCluster

SSLCertificateSupport

Thumbprint

[nicht festgelegt]

Mit dieser Eigenschaft wird der Fingerabdruck zum Identifizieren eines Zertifikats angegeben. Sie kommt nur vor, wenn die SSLCertificateOption-Eigenschaft auf "Existing" festgelegt ist.

JoinCluster

ADFSSupport

Dieser Container ist standardmäßig in allen AD RMS-Installationen vorhanden, die unter Windows 2008 R2 oder höher ausgeführt werden. In Windows Server 2012 kommt er jedoch nur vor, wenn der ADRMS-Identity-Rollendienst installiert ist.

JoinCluster

ADFSSupport

ADFSUrl

[nicht festgelegt]

Der Wert dieser Eigenschaft muss eine Webadresse (URL) eines gültigen AD FS-Servers sein. Beispiel: "http:// fs.corp.contoso.com"

noteHinweis
Wenn die SSLCertificateOption-Eigenschaft so konfiguriert ist, dass der Wert "Existing" verwendet wird, und die Thumbprint-Eigenschaft leer oder nicht festgelegt ist, kann fälschlicherweise der Eindruck entstehen, dass die Installation von AD RMS gescheitert ist, wenn das Install-ADRMS-Cmdlet in einer Windows PowerShell-Sitzung verwendet wird. So wird beispielsweise unter den folgenden Bedingungen die folgende Fehlermeldung nach einer PowerShell-basierten Installation angezeigt.

    PS rmsdrive:\> install-adrms -path . -force
    Install-ADRMS : Value cannot be null.
    Parameter name: findValue
    At line:1 char:1

Falls ein solcher Fehler auftritt, weist dies nur darauf hin, dass für AD RMS eine erwartete SSL-Bindung fehlt. Wenn dies geschieht, können Sie davon ausgehen, dass AD RMS vollständig bereitgestellt wurde und erwartungsgemäß funktioniert. Um das Problem zu beheben, müssen Sie lediglich SSL-Zertifikate in IIS konfigurieren, bevor Sie den AD RMS-Server verwenden.

In früheren Versionen von AD RMS, die in Windows Server® 2008 und Windows Server® 2008 R2 enthalten waren, war es nicht möglich, mehrere Instanzen des AD RMS-Konfigurations-Assistenten zu starten, um mehrere AD RMS-Bereitstellungen über denselben Servercomputer zu installieren oder zu aktualisieren. Aufgrund von Designänderungen am Server-Manager fürWindows Server 2012 können nun mehrere Instanzen des Assistenten zum Hinzufügen von Rollen und Features gleichzeitig ausgeführt werden. Hierdurch wird es möglich, zwei oder mehr Instanzen des AD RMS-Konfigurations-Assistenten zu starten.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Aufgrund der Änderungen am Server-Manager in Windows Server 2012 ist es möglich, Serverrollen und -technologien in Windows Server 2012 dynamischer, effizienter und flexibler zu implementieren, wenn Sie Optionen für die Rollenbereitstellung auswählen.

Worin bestehen die Unterschiede?

Aufgrund von Änderungen am Server-Manager, die vorgenommen wurden, um in Windows Server 2012 die gleichzeitige Bereitstellung und Konfiguration mehrerer Instanzen zu ermöglichen – eine Änderung, die im Widerspruch zur entwurfsseitig vorgesehenen optimalen Bereitstellung von AD RMS steht –, kann das AD RMS-Setup nicht verhindern, dass mehrerer Instanzen des AD RMS-Konfigurations-Assistenten gestartet werden, um neue Cluster zu erstellen oder einem bestehenden Cluster beizutreten. Der AD RMS-Konfigurations-Assistent wendet daher die folgende Logik und Prozesserkennung an, um zu bestimmen, wie das gleichzeitige Auftreten mehrerer Instanzen des AD RMS-Setups gehandhabt werden soll.

  • Wenn mehrere Instanzen gestartet und verwendet werden, um einem bereits vorhandenen AD RMS-Cluster beizutreten, sollte das AD RMS-Setup für alle aktiven Instanzen erfolgreich sein.

  • Wenn mehrere Instanzen gestartet und verwendet werden, um einem bereits vorhandenen AD RMS-Cluster beizutreten, sollte das AD RMS-Setup für alle aktiven Instanzen erfolgreich sein.

In diesem Abschnitt werden Aspekte beschrieben, die Sie beim Bereitstellen von AD RMS auf virtuellen Computern berücksichtigen sollten. Im Allgemeinen eignet sich AD RMS gut für die Virtualisierung, insbesondere wenn dies zu Test- und Bewertungszwecken erfolgt. Es gibt jedoch einige Praktiken, an die Sie sich bei der Arbeit mit virtualisierten AD RMS-Servern halten sollten. Diese Überlegungen werden im folgenden Abschnitt beschrieben.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Durch die Nutzung von Virtualisierungsplattformen wie Hyper-V, um AD RMS zu Bewertungszwecken bereitzustellen, stehen Ihnen eine Reihe praktischer Features zur Verfügung, die das Testen vereinfachen können. Die Virtualisierung ermöglicht es Ihnen beispielsweise, eine vollständige, private virtuelle Netzwerkkonfiguration zu erstellen, die von Ihrer Produktionsnetzwerkumgebung isoliert ist und in der Sie die AD RMS-Bereitstellung nach Bedarf testen und untersuchen können, bevor Sie eine Bereitstellung in der Produktionsumgebung vornehmen.

Worin bestehen die Unterschiede?

Bei der Arbeit mit virtualisierten AD RMS-Servern sollten Sie sich an die folgenden Bereitstellungspraktiken halten, um ein optimales Ergebnis zu erzielen.

  • Um zu erreichen, dass die Leistung virtualisierter AD RMS-Server im Testbetrieb die zu erwartende Leistung eines physischen AD RMS-Servers in einer späteren Produktionsbereitstellung von AD RMS adäquat widerspiegelt, sollten Sie sich beim Erstellen der virtuellen Computer und der späteren Installation von AD RMS auf einem physischen Servercomputer die folgenden Richtlinien halten. Insbesondere sollten Sie den Umfang an Arbeitsspeicher für virtuelle AD RMS-Server auf den höheren empfohlenen Wert festlegen. Wenn Sie sich an die Hardwareempfehlungen halten, sollte es zwischen der Leistung virtualisierter Testserverbereitstellungen von AD RMS und der Leistung von vergleichbaren Installationen auf physischen Servern, die Sie später aufgrund der Ergebnisse in der Testumgebung möglicherweise bereitstellen, keine nennenswerten Unterschiede geben.

  • Wenn Sie AD RMS auf einem virtuellen Server installieren, ist es nicht möglich, ein internes Hardwaresicherheitsmodul (HSM) für den AD RMS-Schlüsselspeicher zu verwenden. Sie können jedoch jede andere Form von Schlüsselspeicher verwenden: Netzwerk-HSM-Schlüsselspeicher, zentral verwalteten AD RMS-Schlüsselspeicher und Schlüsselspeicher softwarebasierter CSPs.

  • Wenn AD RMS zuvor auf einer virtuellen Festplatte (Virtual Hard Disk, VHD) installiert war und Sie die VHD nun offline schalten, um AD RMS zu deinstallieren, wird die AD RMS-Rolle nicht vollständig entfernt. Um das vollständige und ordnungsgemäße Entfernen von AD RMS sicherzustellen, sollten Sie die AD RMS-Serverrolle entfernen, bevor Sie eine VHD herunterfahren, die mit der ursprünglichen Installation von AD RMS auf dem virtuellen Computer verknüpft ist.

In Windows Server 2012 gehört AD RMS nun ebenfalls zur Liste der Serverrollen, wie beispielsweise Active Directory-Domänendienste (Active Directory Domain Services, AD DS) und Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS), die für Server Core-Bereitstellungen unterstützt werden. Server Core ist eine Installationsoption, die es Ihnen ermöglicht, eine Minimalinstallation des Windows Server-Betriebssystems durchzuführen. Eine solche Installation kann hilfreich sein, um die Gesamtbetriebskosten für die Bereitstellung und Verwaltung von Servern zu senken.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Durch die Verwendung von Server Core für die Bereitstellung von AD RMS ist es Ihnen u. U. möglich, die Verwaltung und die Wartung zu vereinfachen, den Arbeitsspeicherbedarf und die Anforderungen an den Speicherplatz zu senken und die Angriffsfläche zu reduzieren. Die Verwaltung von Servern, die unter einer Server Core-Installation ausgeführt werden, kann einfacher und kostengünstiger sein, und ihr Einsatz in Produktionsbereitstellungen ist möglicherweise zuverlässiger und sicherer. Weitere Informationen finden Sie unter Was ist Server Core? und Warum ist Server Core sinnvoll?

Worin bestehen die Unterschiede?

In Windows Server 2012 stellt die Server Core-Installation keine unwiderrufliche Entscheidung mehr dar, die während des Setups getroffen wird. In Windows Server 2008 R2 und Windows Server 2008 gab es – auch bei geänderten Anforderungen – keine Möglichkeit, zwischen einer vollständigen Installation und einer Server Core-Installation zu wechseln, ohne das Betriebssystem vollständig neu zu installieren. Sie können nun als Administrator bei Bedarf zwischen einer vollständigen Windows Server-Installation und der Ausführung als Server Core-Installation wechseln. Weitere Informationen finden Sie unter Windows Server-Installationsoptionen.

Bei Server Core-Installationen wird der optionale Rollendienst "Unterstützung für Identitätsverbund" für die AD RMS-Serverrolle nicht unterstützt. Dies ist darauf zurückzuführen, dass sich "Unterstützung für Identitätsverbund" auf einen Rollendienst der AD FS-Serverrolle, den Ansprüche unterstützenden Agent, bezieht, der bei Server Core-Installationen deaktiviert ist.

Wenn Sie versuchen, "Unterstützung für Identitätsverbund" für AD RMS hinzuzufügen, wird der folgende Fehler angezeigt.

The request to add or remove features on the specified server failed.
Installation of one or more roles, role services, or features failed. - The source files could not be downloaded. Use the /source option to specify the location of the files that are required to restore the feature. The file location should either be the root directory of a mounted image or a component store that has the Windows Side-by-Side directory as an immediate subfolder.

Die Anweisungen zur Problemumgehung, indem Sie die Quelldateien herunterladen, sind in diesem Fall nicht anwendbar. Unterstützung für Identitätsverbund kann nicht installiert werden, da der Ansprüche unterstützende Agent für Server Core deaktiviert ist.

Windows Server 2012 umfasst außerdem die folgenden Feature-Updates, die kürzlich als Updates für die AD RMS-Rolle in Windows Server 2008 R2 hinzugefügt wurden.

  • Einfache Delegierung

  • Starke Kryptografie

Da diese Features für die meisten Kunden immer noch relativ neu sind, werden sie hier vorgestellt, um sie bekannter zu machen und um zusätzlichen Kontext für die Benutzer zu liefern, die mit der Art ihrer Einbettung in das Featureset von AD RMS nicht vertraut sind.

Die einfache Delegierung AD RMS ermöglicht es Ihnen, die gleichen Zugriffsrechte zum Schützen von Inhalten, die einer bestimmten Person zugewiesen sind, an andere Personen innerhalb der Organisation zu delegieren.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Die einfache Delegierung bietet die Möglichkeit, Inhaltsrechte, die Führungskräften und Managern zugewiesen sind, problemlos und effektiv an ihre Mitarbeiter zu delegieren Hierdurch erhalten die Mitarbeitern die gleichen Zugriffsberechtigungen für IRM-geschützte Inhalte (Information Rights Management, Verwaltung von Informationsrechten) wie der Vorgesetzte. Durch die Erweiterung des Active Directory-Schemas werden zwei neue Attribute unterstützt, sodass die Delegierung von Rechten problemlos aktiviert oder deaktiviert werden kann. Auf diese Weise ist es möglich, Personen innerhalb der Organisation, die das Management unterstützen, die geeigneten Rechte nach Bedarf zu erteilen oder wieder zu entziehen.

Worin bestehen die Unterschiede?

Die Anforderungen, um die Verwendung der einfachen Delegierung von AD RMS in Windows Server 2012 zu aktivieren, gleichen den Anforderungen in Windows Server 2008 R2. Zwei Attribute, msRMSDelegator und msRMSDelegatorBL, müssen dem Active Directory-Schema hinzugefügt werden. Sie können hierfür das Tool "Ldifde.exe" verwenden. Diese Erweiterungsattribute müssen bei einer Lizenzierung von AD RMS auf alle Gesamtstrukturen angewendet werden. Wenn Sie eine Bereitstellung für die Unterstützung der einfachen Delegierung vorbereiten, kann es darüber notwendig sein, zusätzliche Berechtigungen für AD RMS zum Lesen dieser Attribute festzulegen und die SQL-Installation zu aktualisieren, die AD RMS unterstützt.

Der einzige andere Aspekt im Hinblick auf die Anforderungen für die einfache Delegierung in Windows Server 2012, Der einzige andere Aspekt im Hinblick auf die Anforderungen für die einfache Delegierung in Windows Server 2008 R2 ist eine neue AD RMS-PowerShell-Eigenschaft, die zum Aktivieren und Deaktivieren verwendet werden kann. Standardmäßig ist das Feature deaktiviert. Um die einfache Delegierung zu aktivieren, müssen Sie jedoch lediglich die folgende Befehlszeile an einer Windows PowerShell-Eingabeaufforderung mit erhöhten Rechten auf einem von AD RMS bereitgestellten PowerShell-Laufwerk ausführen:

PS w:\SecurityPolicy\Delegation> Set-ItemProperty -path . –Name IsEnabled –Value $true

Weitere Informationen finden Sie unter Ein Update ist verfügbar, um einfache Delegierung in AD RMS unter Windows Server 2008 R2-basierten Computern zu aktivieren.

Die starke Kryptografie für AD RMS ermöglicht es Ihnen, die kryptografische Stärke einer AD RMS-Bereitstellung zu erhöhen, indem die Ausführung in einem erweiterten Modus, dem so genannten Kryptografiemodus 2, unterstützt wird.

Welchen zusätzlichen Nutzen bietet diese Änderung?

Der Betrieb von AD RMS im Modus mit starker Kryptografie bietet eine aktualisierte und verbesserte kryptografische Implementierung, die eine deutlich stärkere Verschlüsselung sowie stärkere Kryptografieschlüssel unterstützt. Im Modus-2-Betrieb wird die RSA-Verschlüsselung beispielsweise von der 1024-Bit-Verschlüsselung auf die 2048-Bit-Verschlüsselung erweitert. Auch die Kryptografieschlüssel sind nun länger (256-Bit-Schlüssel anstelle von 160-Bit-Schlüsseln), und es besteht die Möglichkeit zur Nutzung eines SHA-2-Hashalgorithmus (SHA-2/SHA-256).

Der Nutzen der starken Kryptografie in AD RMS besteht darin, dass es Ihnen möglich wird, die Einhaltung von Vorschriften mithilfe aktueller, vom National Institute of Standards and Technology (NIST) festgelegter Standards sicherzustellen. Am 1. Januar 2011 wurde vom NIST die Sonderveröffentlichung 800-57 herausgegeben, in der die Verwendung von 2048-Bit-RSA-Schlüsseln empfohlen wird. Bundesbehörden in den USA müssen die NIST-Empfehlungen einhalten, und auch in vielen Unternehmen der Privatwirtschaft und in anderen Ländern kann die Implementierung dieser Empfehlung zur Vorgabe gemacht werden. Weitere Informationen finden Sie in den Sonderveröffentlichungen des NIST (http://csrc.nist.gov/publications/PubsSPs.html).

Worin bestehen die Unterschiede?

Damit die Nutzung der starken Kryptografie in einer AD RMS-Bereitstellung möglich ist, müssen alle Computer, auf denen entweder AD RMS-Server- oder Clientsoftware gehostet wird, gepatcht und auf dem aktuellen Stand sein.

Um AD RMS-Server auf den Kryptografiemodus 2 zu aktualisieren, können Sie die AD RMS-Verwaltungskonsole oder die AD RMS-Cmdlets für Windows PowerShell verwenden.

Mithilfe der AD RMS -Verwaltungskonsole können Sie vorhandene AD RMS-Server folgendermaßen vom Kryptografiemodus 1 auf den Kryptografiemodus 2 aktualisieren:

  1. Wählen Sie im Navigationsbereich den AD RMS-Server aus, den Sie aktualisieren möchten.

  2. wählen Sie im Menü Aktion (oder im Aktionsbereich) die Option Auf Kryptografiemodus 2 aktualisieren.

Wenn Sie Windows PowerShell verwenden, haben Sie auch die Möglichkeit, einen vorhandenen AD RMS-Server mithilfe des ADRMS-Moduls vom Kryptografiemodus 1 auf den Kryptografiemodus 2 zu aktualisieren.

Verwenden Sie die folgende Syntax, um einen Server mithilfe von Windows PowerShell auf den Kryptografiemodus 2 zu aktualisieren:

Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount <PSCredential> -force –NewCSPName <”Mode2 Supported CSP”> -Regen

Die folgenden Angaben beziehen sich auf die Parameter, die in der oben aufgeführten Syntax angegeben sind:

  • UpdateCryptographicModeOnly ist der Parameter, der anzeigt, dass der Kryptografiemodus 2 aktiviert werden soll. Es handelt sich hierbei um einen unidirektionalen Vorgang. Nach Abschluss ist eine Rückkehr des AD RMS-Servers zum Kryptografiemodus 1 nicht mehr möglich.

  • Der Force-Parameter ist ein optionaler Schalter, mit dem die Anforderung einer Benutzerbestätigung außer Kraft gesetzt werden kann.

  • Der NewCSPName -Parameter zeigt die Kryptografieanbieter an, die für die Verschlüsselung verwendet werden sollen. Dies ist eine optionale Einstellung, die von den aktuellen Kryptografieschlüsseleinstellungen abhängt. Standardmäßig wird der Microsoft Enhanced RSA and AES Cryptographic Service Provider (CSP) verwendet. Sie können jedoch auch jeden anderen Kryptografiemodus-2-Anbieter verwenden, beispielsweise einen Anbieter aus einem Hardwaresicherheitsmodul, das mindestens die 2048-Bit-Verschlüsselung unterstützt.

    noteHinweis
    Der CSP-Name kann für zentral verwaltete Schlüssel nicht angegeben werden. Wenn ein AD RMS-Cluster einen zentral verwalteten Schlüssel für den Kryptografiemodus 1 verwendet, muss das Update auf einen zentral verwalteten Schlüssel für den Kryptografiemodus 2 erfolgen. Ein Update auf einen CSP-Schlüssel ist nicht möglich.

Beispiel: Wenn das AD RMS-Dienstkonto den Namen "ADRMSSvc" aufweist, würden Sie eine Windows PowerShell-Eingabeaufforderung öffnen und den folgenden Befehl ausführen, um für den AD RMS-Server ein Update auf den Kryptografiemodus 2 durchzuführen:

Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount ADRMSSvc –NewCSPName "Microsoft Enhanced RSA and AES Cryptographic Provider"

Weitere Informationen finden Sie im Thema zu den Kryptografiemodi für die Active Directory-Rechteverwaltungdienste.

In der folgenden Tabelle sind zusätzliche Ressourcen zur AD RMS-Bewertung beschrieben.

 

Art der Inhalte Referenzen

Produktbewertung

Active Directory-Rechteverwaltungsdienste: Übersicht

Community-Ressourcen

AD RMS-Blog | RMS-Forum

Verwandte Technologien

Active Directory-Domänendienste: Übersicht | Hyper-V: Übersicht | Übersicht über Remotedesktopdienste

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft