.png "Windows Server 2008")
Poradnik krok po kroku: Instalowanie usług AD RMS (Active Directory Rights Management Services) dla sieci zewnętrznej .png "Udostępnij na: Facebook")
Opublikowano: 16 lipca 2008
Niniejszy poradnik krok po kroku zawiera instrukcje dotyczące konfigurowania dostępu z sieci zewnętrznej do klastra usług AD RMS (Active Directory Rights Management Services) w środowisku testowym systemu Windows Server® 2008. Sieć typu extranet sprawdzana będzie poprzez próbę otwarcia pliku chronionego uprawnieniami, przeprowadzaną z komputera, który nie należy do wewnętrznej sieci organizacji.
Zawartość strony
.gif){kind=icon} |
Poradnik krok po kroku |
|
Etap 1: Konfigurowanie usług AD RMS w sieci extranet |
|
Etap 2: Instalowanie i konfigurowanie serwera ISA-SRV |
|
Etap 3: Konfigurowanie komputera klienckiego |
|
Etap 4: Sprawdzenie funkcjonalności usług AD RMS |
Poradnik krok po kroku
Uwagi dotyczące poradnika
Niniejszy poradnik przeprowadza użytkownika przez proces konfigurowania w środowisku testowym, obejmującym sieć zewnętrzną, usług zarządzania uprawnieniami w usłudze katalogowej Active Directory – AD RMS (Active Directory Rights Management Services).
Sieć typu extranet jest rozszerzeniem sieci organizacji o źródła zewnętrzne. W poradniku tym klaster usług AD RMS zostaje rozszerzony na Internet tak, że użytkownicy mogą korzystać z zawartości chronionej uprawnieniami, kiedy nie są podłączeni do sieci wewnętrznej.
W trakcie tego procesu instalowany jest program Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition, następnie przeprowadzana jest jego integracja z usługami AD RMS, a na koniec weryfikowana jest możliwość otwierania dokumentu chronionego z komputera, który nie należy do sieci organizacji.
Po zakończeniu tego procesu można wykorzystać środowisko testowe usług AD RMS do oceny, w jaki sposób usługi AD RMS w systemie Windows Server® 2008 mogą być tworzone i instalowane wewnątrz organizacji obejmującej użytkowników sieci zewnętrznych.
Umiejętności nabyte po przeprowadzeniu procedury opisanej w tym poradniku pozwalają na:
• Instalowanie i konfigurowanie programu ISA Server 2006 Standard Edition zintegrowanego z usługami AD RMS.
• Sprawdzenie funkcjonalności usług AD RMS po zakończeniu konfigurowania.
Uwaga
Program ISA Server 2006 Standard Edition nie jest wymagany do działania usług AD RMS. Używany może być każdy serwer odwrotnego proxy, który ma możliwość prowadzenia nasłuchu na portach 80 i 443 protokołu TCP. Na użytek niniejszego poradnika wykorzystywany będzie program ISA Server 2006 Standard Edition.
Jakie informacje nie są zamieszczone w poradniku
Poradnik ten nie udostępnia:
• Porad dotyczących ustawiania i konfigurowania usług AD RMS w środowisku produkcyjnym lub testowym. W niniejszym poradniku przyjęto założenie, że usługi AD RMS są już skonfigurowane dla środowiska testowego. Dodatkowe informacje na temat konfigurowania AD RMS znaleźć można w dokumencie Windows Server Active Directory Rights Management Services Step-by-Step Guide (https://go.microsoft.com/fwlink/?LinkId=72134).
• Pełnych technicznych referencji dotyczących usług AD RMS lub programu Microsoft ISA Server 2006 Standard Edition. Dodatkowe informacje na temat programu Microsoft ISA Server 2006 Standard Edition znaleźć można w bibliotece ISA Server 2006 Technical Library (https://go.microsoft.com/fwlink/?LinkId=90738).
Instalowanie usług AD RMS w środowisku testowym
Zaleca się zastosowanie procedur opisanych w dokumencie „Windows Server Active Directory Rights Management Services Step-by-Step Guide", zanim wykonane zostaną instrukcje niniejszego poradnika. Poradniki krok po kroku raczej nie powinny służyć do instalowania funkcji systemu Windows Server® bez dokumentacji dołączanej do tego produktu, a powinny być używane oddzielnie, jako niezależne dokumenty.
Po wykonaniu instrukcji niniejszego poradnika uzyskane zostanie środowisko testowe działających usług AD RMS skonfigurowanych do pracy w sieci typu extranet. Następnie będzie można przetestować i zweryfikować funkcjonowanie usług AD RMS w sieci zewnętrznej poprzez wykonanie prostych zadań dotyczących ograniczania uprawnień dla dokumentu programu Microsoft Office Word 2007 i po próbie otwarcia tego dokumentu z komputera klienckiego, który nie należy do sieci organizacji.
Środowisko testowe opisane w tym poradniku obejmuje sześć komputerów korzystających z następujących systemów operacyjnych, aplikacji i usług:
Uwaga
Potrzebny będzie również dysk USB lub inne nośniki do skopiowania plików z komputera klienckiego usług AD RMS do komputera klienckiego w sieci zewnętrznej, także z włączonymi usługami AD RMS.
| Nazwa komputera | System Operacyjny | Aplikacje i usługi |
| ADRMS-SRV | Windows Server 2008 | AD RMS, Internet Information Services (IIS) 7.0, Message Queuing, i Windows Internal Database |
| CPANDL-DC | Windows Server 2003 z pakietem SP1 (Service Pack 1) | Active Directory, Domain Name System (DNS) |
| ADRMS-DB | Windows Server 2003 z pakietem SP1 | Microsoft SQL Server™ 2005 Standard Edition |
| ISA-SRV |
Windows Server 2003 z pakietem SP1 Uwaga Komputer ten musi mieć dwie karty sieciowe, aby program ISA Server 2006 mógł rozróżniać prywatne i publiczne adresy IP. |
Microsoft ISA Server 2006 Standard Edition |
| ADRMS-CLNT | Windows Vista™ | Microsoft Office Word 2007 Enterprise Edition |
| ADRMS-EXCLNT | Windows Vista | Microsoft Office Word 2007 Enterprise Edition |
Pierwszych pięć komputerów w tabeli tworzy prywatny intranet i są połączone do wspólnego koncentratora lub przełącznika warstwy 2. Ponadto, komputer ISA-SRV wyposażony jest w drugą kartę sieciową, która łączy się z Internetem. Dzięki temu ISA Server może akceptować żądania dochodzące z Internetu i przekierowywać je do serwera usług AD RMS. Komputer ADRMS-EXCLNT nie należy do tej samej sieci. W razie potrzeby konfiguracja ta może być emulowana w środowisku serwera wirtualnego.
W ćwiczeniach zamieszczonych w poradniku używane są adresy prywatne w całym laboratorium. Identyfikator sieci używanej w intranecie to 10.0.0.0/24. Kontroler domeny cpandl.com nazwany został CPANDL-DC. Komputer ADRMS-EXCLNT ma skonfigurowany adres IP 10.0.100.2/24, aby zasymulować komputer kliencki w sieci zewnętrznej. Poniższy rysunek ilustruje konfigurację środowiska testowego:
.png)
Rysunek 1: Konfiguracja środowiska testowego.
Uwaga
W środowisku produkcyjnym adres zewnętrzny serwera ISA może być adresem IP dostępnym w Internecie, dzięki czemu użytkownicy sieci extranet mogą korzystać z zawartości chronionej uprawnieniami.
.gif){kind=icon}
Do początku strony
Etap 1: Konfigurowanie usług AD RMS w sieci extranet
Oprócz instrukcji opisanych w dokumencie „Windows Server Active Directory Rights Management Services Step-by-Step Guide" należy jeszcze wykonać następujące operacje:
• Skonfigurować w konsoli Active Directory Rights Management Services adres URL klastra sieci extranet.
• Wyeksportować certyfikat uwierzytelnienia serwera, wliczając w to klucz prywatny na komputerze ADRMS-SRV. Certyfikat będzie zaimportowany do magazynu certyfikatów Personal na serwerze ISA (ISA-SRV).
Adresy URL klastra sieci zewnętrznej usług AD RMS muszą być skonfigurowane, aby użytkownicy niepodłączeni do sieci wewnętrznej organizacji mogli korzystać z zawartości chronionej. Te adresy URL dołączane są do certyfikatu licencjonodawcy klienta AD RMS i publikowane wraz z zawartością chronioną za pomocą uprawnień. Te adresy URL powinny być dostępne dla wszystkich komputerów w Internecie.
Uwaga
Adresy URL klastra extranetu muszą być konfigurowane zanim zawartość będzie chroniona za pomocą uprawnień. Jeśli już wcześniej istnieje zawartość chroniona, klient z włączoną usługą AD RMS musi pobrać nowy certyfikat licencjonodawcy klienta, który zawiera adres URL klastra extranetu.
Konfigurowanie adresów klastra extranetu przeprowadzane jest przy użyciu konsoli Active Directory Rights Management Services. Poniżej przedstawiona została procedura realizacji tego zadania:
W celu skonfigurowania adresów URL klastra extranetu usług AD RMS:
1. Zaloguj się do komputera ADRMS-SRV jako CPANDL\ADRMSADMIN.
2. Kliknij kolejno menu Start, Administrative Tools, a następnie kliknij konsolę Active Directory Rights Management Services.
3. Jeśli wyświetlone zostanie okno dialogowe kontroli konta użytkownika User Account Control, potwierdź, że jest to planowana operacja, a następnie kliknij przycisk Continue.
4. Kliknij prawym przyciskiem myszy komputer ADRMS-SRV (Local), a następnie wybierz polecenie Properties.
5. Kliknij zakładkę Cluster URLs, a następnie zaznacz pole wyboru Extranet URLs.
6. W polu Licensingwybierz opcję https://, a następnie wpisz adrms-srv.cpandl.com.
7. W polu Certificationzaznacz opcję https://, a następnie wpisz adrms-srv.cpandl.com.
8. Kliknij przycisk OK.
Następnie należy wyeksportować certyfikat uwierzytelnienia serwera ADRMS-SRV wraz z kluczem prywatnym, aby serwer ISA-SRV mógł przekazywać żądania HTTPS z komputera ADRMS-EXCLNT do klastra AD RMS.
Aby wyeksportować certyfikat uwierzytelnienia serwera ADRMS-SRV wraz kluczem prywatnym:
1. Kliknij menu Start, wpisz mmc.exei naciśnij ENTER.
2. Jeśli wyświetlone zostanie okno dialogowe kontroli konta użytkownika User Account Control, potwierdź, że jest to planowana operacja, a następnie kliknij przycisk Continue.
3. Kliknij menu File, a następnie kliknij polecenie Add/Remove Snap-in.
4. Kliknij przystawkę Certificates, a następnie kliknij przycisk Add.
5. Wybierz opcję Computer account, a następnie kliknij przycisk Next.
6. Kliknij przycisk Finish, a następnie OK.
7. Rozwiń węzły Certificates (Local Computer), Trusted Root Certification Authorities , a następnie w drzewie konsoli kliknij węzeł Certificates.
8. Kliknij prawym przyciskiem myszy ADRMS-SRV.cpandl.com, wybierz polecenie All Tasks, a następnie kliknij opcję Export.
9. Na stronie kreatora eksportu certyfikatów Welcome to the Certificate Export Wizardkliknij przycisk Next.
10. Zaznacz opcję Yes, export the private key, a następnie kliknij przycisk Next.
11. Na stronie Export File Formatkliknij przycisk Next, aby zaakceptować ustawienia domyślne.
12. W polach Passwordi Type and confirm passwordwpisz to samo silne hasło, a następnie kliknij przycisk Next.
13. W polu File namewpisz \\adrms-db\public\adrms-srv_with_key.pfx, a następnie kliknij przycisk Next.
14. Kliknij przycisk Finish.
15. Kliknij przycisk OK, by potwierdzić poprawność procesu eksportu.
Do początku strony
Etap 2: Instalowanie i konfigurowanie serwera ISA-SRV
Program ISA Server 2006 Standard Edition jest zintegrowaną bramą bezpieczeństwa, która może być używana wraz z usługami AD RMS do ograniczania dostępu z Internetu do klastra usług AD RMS. Serwer ISA obsługuje wszystkie żądania przychodzące z Internetu do adresów URL klastra extranetu AD RMS i jeśli zachodzi taka potrzeba, przekazuje je do klastra AD RMS.
W celu zainstalowania i skonfigurowania programu ISA Server 2006 Standard Edition tak, by działał wraz z usługami AD RMS, należy przeprowadzić następujące operacje:
• Skonfigurowanie serwera ISA (ISA-SRV)
• Publikowanie klastra AD RMS w extranecie
Skonfigurowanie serwera ISA (ISA-SRV)
Najpierw należy zainstalować system Windows Server 2003 na autonomicznym serwerze. Aby zainstalować system Windows Server 2003, Standard Edition:
1. Uruchom komputer przy użyciu dysku CD systemu Windows Server 2003.
2. Postępuj zgodnie z wyświetlanymi instrukcjami i w monicie dotyczącym nazwy komputera wpisz ISA-SRV.
Następnie należy skonfigurować właściwości protokołu TCP/IP tak, aby serwer ISA-SRV miał statyczny adres IP 10.0.0.5, a preferowany serwer DNS miał adres IP 10.0.0.1 dla pierwszej karty sieciowej. Druga karta sieciowa powinna mieć adres 10.0.100.1.
Aby skonfigurować właściwości TCP/IP na serwerze ISA-SRV:
1. Zaloguj się do serwera ISA-SRV jako członek lokalnej grupy Administrators.
2. Kliknij kolejno Start, Control Panel, Network Connections , Local Area Connection, a następnie kliknij przycisk Properties.
3. Na zakładce Generalkliknij pozycję Internet Protocol (TCP/IP), a następnie kliknij przycisk Properties.
4. Zaznacz opcję Use the following IP address . W polu IP addresswpisz 10.0.0.5. W polu Subnet maskwpisz 255.255.255.0. W polu Preferred DNS serverwpisz 10.0.0.1.
5. Kliknij przycisk OK, a następnie przycisk Close, aby zamknąć okno dialogowe Local Area Connection Properties.
6. Kliknij kolejno menu Start, Control Panel, Network Connections,Local Area Connection 2, a następnie kliknij przycisk Properties.
7. Na zakładce Generalzaznacz pozycję Internet Protocol (TCP/IP), a następnie kliknij przycisk Properties.
8. Kliknij opcję Use the following IP address. W polu IP addresswpisz 10.0.100.1. W polu Subnet maskwpisz 255.255.255.0.
9. Kliknij przycisk OK, a następnie Close, aby zamknąć okno dialogowe Local Area Connection 2 Properties .
W kolejnym kroku należy dołączyć serwer ISA-SRV do domeny cpandl.com.
Aby dołączyć serwer ISA-SRV do domeny cpandl.com:
1. Kliknij menu Start, prawym klawiszem myszy kliknij ikonę MyComputer, a następnie wybierz polecenie Properties.
2. Kliknij zakładkę Computer Name, a następnie kliknij przycisk Change.
3. W oknie dialogowym Computer Name Changeswybierz opcję Domain, a następnie wpisz cpandl.com.
4. Kliknij przycisk More, a następnie w polu Primary DNS suffix of this computerwpisz cpandl.com.
5. Kliknij dwukrotnie przycisk OK.
6. W monicie okna dialogowego Computer Name Changesdotyczącego poświadczeń administracyjnych wprowadź poświadczenia konta CPANDL\Administrator, a następnie kliknij OK.
7. W oknie dialogowym Computer Name Changesdotyczącympowitania w domenie cpandl.com kliknij przycisk OK.
8. W oknie dialogowym Computer Name Changesinformującym o konieczności ponownego uruchomienia komputera kliknij przycisk OK, a następnie Close.
9. Kliknij przycisk Restart Now.
W kolejnym kroku należy zaimportować certyfikat uwierzytelnienia serwera zawierający klucz prywatny do magazynu Trusted Certification Authorities na serwerze ISA-SRV.
W celu zaimportowania certyfikatu uwierzytelnienia serwera do komputera ISA-SRV:
1. Zaloguj się do serwera ISA-SRV w oparciu o konto należące do lokalnej grupy Administrators.
2. Kliknij menu Start, kliknij polecenie Run, wpisz mmc.exe, a następnie naciśnij ENTER.
3. Kliknij menu File, a następnie kliknij polecenie Add/Remote Snap-in.
4. Kliknij przycisk Add, wybierz przystawkę Certificates, a następnie kliknij przycisk Add.
5. Zaznacz opcję Computer Account, kliknij przycisk Next, a następnie Finish.
6. Kliknij przycisk Close, a następnie OK.
7. Rozwiń węzeł Certificates, a następnie Personal.
8. W drzewie konsoli kliknij prawym przyciskiem myszy Certificates, wskaż opcję All Tasks, a następnie kliknij polecenie Import.
9. Na stronie powitalnej kreatora importu certyfikatu Welcome to the Certificate Importkliknij przycisk Next.
10. W polu File namewpisz \\adrms-db\public\adrms-srv_with_key.pfx, kliknij przycisk OK, a następnie Next.
11. Wpisz hasło używane do eksportu certyfikatu, a następnie kliknij przycisk Next.
12. Kliknij przycisk Next, a następnie Finish.
13. Kliknij przycisk OKw celu potwierdzenia prawidłowości operacji importu.
14. Zamknij konsolę Certificates.
Ostatnim krokiem jest instalacja programu ISA Server 2006 Standard Edition.
W celu zainstalowania programu ISA Server 2006 Standard Edition:
1. Zaloguj się do komputera ISA-SRV w oparciu o konto należące do lokalnej grupy Administrators.
2. Umieść w napędzie dysk CD programu ISA Server 2006 Standard Edition.
3. Kliknij opcję Install ISA Server 2006.
4. Na stronie powitalnej kreatora instalacji serwera Welcome to the Installation Wizard for Microsoft ISA Server 2006 kliknij przycisk Next.
5. Zaznacz opcję I accept the terms in the license agreement, a następnie kliknij przycisk Next.
6. Wpisz klucz produktu programu ISA Server w polu Product Serial Number , a następnie kliknij przycisk Next.
7. Zaznacz opcję Typical, a następnie kliknij przycisk Next.
8. Kliknij przycisk Add, kliknij przycisk Add Adapter, zaznacz pole wyboru Local Area Connectioni dwa razy kliknij przycisk OK.
9. Trzy razy kliknij przycisk Next, a następnie kliknij przycisk Install.
10. Po zakończeniu instalacji kliknij przycisk Finish.
11. Kliknij przycisk OK. W razie potrzeby przeczytaj informacje, a następnie zamknij przeglądarkę Internet Explorer.
12. Kliknij przycisk Exit, aby zamknąć program instalacyjny Microsoft ISA Server 2006 Setup.
Publikowanie klastra usług AD RMS w extranecie
Program ISA Server 2006 Standard Edition wymaga, aby program nasłuchu sieci Web był skonfigurowany dla określonego portu. W tym poradniku używany jest port 443 protokołu TCP (SSL), aby ułatwić bezpieczną transmisję danych pomiędzy klientami a serwerem ISA. W niniejszym rozdziale, poprzez serwer ISA publikowana jest witryna sieci Web usług AD RMS. Dzięki temu publikowany jest adres URL klastra extranetu usług AD RMS do tego serwera ISA, co w konsekwencji umożliwia serwerowi ISA przekazywanie poświadczeń użytkownika bezpośrednio do serwera AD RMS. Ponieważ w tym poradniku dla klastra AD RMS używany jest certyfikat typu self-signed, należy go przenieść z magazynu certyfikatów Personal do magazynu Trusted Certification Root Authorities.
W pierwszym kroku publikowany jest klaster AD RMS na komputerze ISA-SRV.
W celu opublikowania usług AD RMS w programie ISA Server 2006 Standard Edition:
1. Kliknij kolejno menu Start, All Programs, Microsoft ISA Server, a następnie kliknij pozycję ISA Server Management.
2. Rozwiń węzeł ISA-SRV, a następnie kliknij Firewall Policy.
3. Kliknij zakładkę Tasks, a następnie kliknij polecenie Publish Web Sites.
4. W polu Web publishing rule namewpisz AD RMS Extranet, a następnie kliknij przycisk Next.
5. Dwa razy kliknij przycisk Nextw celu zaakceptowania ustawień domyślnych.
6. Zaznacz opcję Use SSL to connect to the published Web server or server farm , a następnie kliknij przycisk Next.
7. W polu Internal Site Name wpisz adrms-srv.cpandl.com.
8. Zaznacz pole wyboru Use a computer name of IP address to connect to the published server , w polu Computer name or IP address wpisz 10.0.0.2, a następnie kliknij przycisk Next.
9. W polu **Path (optional)**wpisz /*, zaznacz pole wyboru Forward the original host header instead of the actual one specified in the Internal site name field on the previous page (przekieruj pierwotny nagłówek hosta, zamiast rzeczywistego, określonego w polu Internal Site Name na poprzedniej stronie), a następnie kliknij przycisk Next.
10. W polu Public namewpisz adrms-srv.cpandl.com, a następnie kliknij przycisk Next.
11. Kliknij przycisk New, aby utworzyć nowy proces nasłuchu sieci Web.
12. W polu Web listenernamewpisz HTTPS Port 443, a następnie kliknij przycisk Next.
13. Zaznacz opcję Require SSL secured connections with clients, a następnie kliknij przycisk Next.
14. Zaznacz pole wyboru External, a następnie kliknij przycisk Next.
15. Zaznacz opcję Use a single certificate for this Web listener, a następnie kliknij przycisk Select Certificate.
16. Kliknij certyfikat ADRMS-SRV.cpandl.com, kliknij przycisk Select, a następnie kliknij przycisk Next.
17. W polu Select how clients will provide credentials to ISA Server , wybierz opcję No Authenticationi dwa razy kliknij przycisk Next.
18. Kliknij przycisk Finish, zamknij kreator New Web Listener Wizard.
19. Kliknij przycisk Next.
20. Kliknij opcję No delegation, but client may authenticate directly, a następnie kliknij przycisk Next.
21. Kliknij przycisk Next, aby do wszystkich użytkowników zastosować tę regułę publikowania sieci Web.
22. Kliknij przycisk Finish.
23. Kliknij przycisk Apply, aby zapisać zmiany i zaktualizować konfigurację, a następnie kliknij przycisk OK.
W ostatnim kroku należy przenieść certyfikat uwierzytelnienia serwera ADRMS-SRV z magazynu certyfikatów Personal do magazynu Trusted Root Certification Authorities.
W celu przeniesienia certyfikatu uwierzytelnienia serwera ADRMS-SRV:
1. Kliknij menu Start, a następnie polecenie Run.
2. Wpisz mmc.exe, a następnie kliknij przycisk OK.
3. Kliknij menu File, a następnie polecenie Add/Remove Snap-in.
4. Kliknij przycisk Add, kliknij przystawkę Certificates, kliknij przycisk Add, zaznacz opcję Computer account, a następnie kliknij przycisk Next.
5. Kliknij kolejno przyciski Finish, Closei OK.
6. Rozwiń węzły Certificates (Local computer), Personal, a następnie rozwiń węzeł Trusted Root Certification Authorities.
7. W drzewie konsoli kliknij węzeł Certificatesznajdujący poniżejwęzła Personal.
8. W oknie informacji szczegółowych zaznacz certyfikat ADRMS-SRV.cpandl.comi przeciągnij go do folderu Certificatesznajdującego się poniżej węzła Trusted Root Certification Authorities .
9. Zamknij konsolę Certificates.
Do początku strony
Etap 3: Konfigurowanie komputera klienckiego
W celu skonfigurowania komputera klienckiego (ADRMS-EXCLNT) należy zainstalować system Windows Vista, skonfigurować właściwości protokołu TCP/IP, utworzyć wpis w lokalnym pliku HOSTS, zaimportować certyfikat uwierzytelnienia serwera ADRMS-SRV, a następnie zainstalować aplikację z włączonymi usługami AD RMS. W omawianym przykładzie na komputerze ADRMS-EXCLNT zainstalowany został program Microsoft Office Word 2007.
W celu zainstalowania systemu Windows Vista:
1. Uruchom komputer przy użyciu dysku CD systemu Windows Vista.
2. Postępuj zgodnie z wyświetlanymi instrukcjami i w odpowiednim monicie dotyczącym nazwy komputera wpisz ADRMS-EXCLNT.
Następnie należy skonfigurować właściwości protokołu TCP/IP tak, aby komputer ADRMS-EXCLNT miał przypisany statyczny adres IP 10.0.100.2.
Aby skonfigurować właściwości TCP/IP:
1. Kliknij kolejno menu Start, Control Panel, Network and Internet, dwukrotnie kliknij aplikację Network and Sharing Center, w oknie z lewej strony kliknij odnośnik Manage Network Connections, prawym przyciskiem myszy kliknij opcję Local Area Connection, a następnie wybierz polecenie Properties.
2. Na zakładce Networkingzaznacz pozycję Internet Protocol Version 4 (TCP/IPv4) , a następnie kliknij przycisk Properties.
3. Zaznacz opcję Use the following IP address. W polu IP addresswpisz 10.0.100.2, w polu Subnet maskwpisz 255.255.255.0.
4. Kliknij przycisk OK, a następnie Close, aby zamknąć okno dialogowe Local Area Connection Properties .
5. Zamknij pozostałe otwarte okna i powróć do pulpitu komputera.
W niniejszym poradniku, w używanym środowisku brak zewnętrznego serwera DNS. W celu prawidłowego rozpoznawania adresu IP na podstawie adresów URL klastra extranetu, należy ręcznie utworzyć wpis w pliku HOSTS, który wskaże serwer ISA (ISA-SRV).
Uwaga
W środowisku produkcyjnym ta operacja nie jest wymagana, ponieważ ISP (Internet Service Provider) komputera klienckiego sieci zewnętrznej będzie obsługiwał system DNS.
W celu utworzenia wpisu w pliku HOSTS odnoszącego się do adresu URL klastra extranetu AD RMS:
1. Zaloguj się do komputera ADRMS-EXCLNT w oparciu o konto należące do lokalnej grupy Administrators.
2. Kliknij kolejno menu Start, All Programs, Accessories, a następnie wybierz program Notepad.
3. W programie Notepad otwórz menu File, a następnie kliknij polecenie Open.
4. Przejdź do pliku C:\windows\System32\drivers\etc\HOSTS i kliknij przycisk Open.
Uwaga
Aby plik HOSTS był widoczny w folderze etc, należy wybrać opcję All Files, znajdującą się powyżej przycisku Open.
5. W nowym wierszu na końcu pliku wpisz 10.0.100.1 adrms-srv.cpandl.com.
6. Zapisz i zamknij plik HOSTS.
W następnym kroku należy zaimportować certyfikat uwierzytelnienia serwera ADRMS-SRV do magazynu Trusted Root Certification przechowywanego na komputerze ADRMS-EXCNT. Operacja ta jest wymagana, jeśli używane są certyfikaty typu self-signed. W środowisku produkcyjnym certyfikat powinien stawać się zaufany przy użyciu urzędu certyfikacji.
W celu zaimportowania certyfikatu uwierzytelnienia serwera do komputera ADRMS-EXCLNT:
1. Zaloguj się do komputera ADRMS-EXCLNT w oparciu o konto należące do lokalnej grupy Administrators.
2. Kliknij kolejno menu Start, All Programsi program Internet Explorer.
3. W pasku adresu wpisz https://adrms-srv.cpandl.com/\_wmcs/licensing/license.asmx, a następnie kliknij ENTER.
4. Na stronie sieci Web Certificate Error: Navigation Blocked, kliknij opcję Continue to this website (not recommended).
5. W polu User namewpisz CPANDL\srailson. W polu Passwordwpisz hasło użytkownika Stuart Railson, a następnie kliknij OK.
6. W polu Address Bar kliknij opcję Certificate Error , a następnie kliknij przycisk View Certificates.
7. Na stronie Certificate Informationkliknij przycisk Install Certificate.
8. Na stronie powitalnej kreatora importu certyfikatu – Welcome to the Certificate Import Wizard – kliknij przycisk Next.
9. Zaznacz opcję Place all certificates in the following store , kliknij przycisk Browse, kliknij opcję Trusted Root Certification Authorities , a następnie kliknij przycisk OK.
10. Kliknij przycisk Next, a następnie Finish.
11. Kliknij przycisk Yesw celu zaakceptowania ostrzeżenia dotyczącego zabezpieczeń. Ostrzeżenie jest generowane, ponieważ używany jest certyfikat typu self-signed.
12. Kliknij przycisk OK, by potwierdzić, że certyfikat został prawidłowo zaimportowany.
13. Kliknij przycisk OK, by zamknij okno Certificate Information.
14. Zamknij program Internet Explorer.
Ostatnim krokiem jest zainstalowanie programu Microsoft Office Word 2007 Enterprise.
W celu zainstalowania programu Microsoft Office Word 2007 Enterprise:
1. Dwukrotnie kliknij program setup.exena dysku CD programu Microsoft Office 2007 Enterprise.
2. Wybierz typ instalacji Customize, określ, że instalowany będzie tylko program Microsoft Office Word 2007 Enterprise, a następnie kliknij przycisk Install Now.
Ważne
Jedynie wersje Ultimate, Professional Plus oraz Enterprise programu Microsoft Office 2007 umożliwiają tworzenie zawartości chronionej za pomocą uprawnień. Wszystkie te wersje umożliwiają korzystanie z zawartości chronionej.
Do początku strony
Etap 4: Sprawdzenie funkcjonalności usług AD RMS
W celu zweryfikowania działania instalacji usług AD RMS należy zalogować się jako Nicole Holliday do komputera ADRMS-CLNT, a następnie ograniczyć uprawnienia dokumentu Microsoft Word 2007 tak, żeby użytkownik Stuart Railson mógł odczytać dokument, ale nie mógł go modyfikować, wydrukować bądź skopiować. Następnie
dokument ten należy skopiować do urządzenia przenośnego (na przykład na dysk USB) i zalogować się na komputerze klienckim, który nie należy do sieci organizacji tak, jak komputery domowe. W tym przykładzie komputer ADRMS-EXCLNT będzie komputerem używanym w domu. Po skopiowaniu pliku na dysk USB, użytkownik Stuart Railson loguje się do komputera klienckiego extranetu (ADRMS-EXCLNT) i sprawdza, czy potrafi otworzyć z dysku USB dokument chroniony.
Uwaga
W tym ćwiczeniu dysk USB nie jest wymaganym urządzeniem. Dokument może być dostarczony do komputera klienckiego sieci zewnętrznej w dowolny sposób, jak na przykład dołączenie pliku do wiadomości e-mail i wysłanie jej do komputera Stuarta. W takiej sytuacji, Stuart powinien następnie otworzyć dokument dołączony do poczty na komputerze klienckim w extranecie.
Poniższe instrukcje służą do ograniczenia uprawnień dokumentu programu Microsoft Word:
W celu ograniczenia uprawnień dokumentu programu Microsoft Word 2007:
1. Zaloguj się do komputera ADRMS-CLNT jako Nicole Holliday (cpandl\nhollida).
2. Kliknij kolejno menu Start, All Programs, Microsoft Office, a następnie kliknij program Microsoft Office Word 2007.
3. Wpisz w pustym dokumencie tekst This is a test of AD RMS Extranet functionality, kliknij przycisk Microsoft Office, wskaż polecenie Prepare, wskaż polecenie Restrict Permission, a następnie kliknij opcję Restricted Access.
4. Zaznacz pole wyboru Restrict permission to this document.
5. W polu Readwpisz srailson@cpandl.com, a następnie kliknij przycisk OK,aby zamknąć okno dialogowe Permission.
6. Kliknij przycisk Microsoft Office Button, kliknij polecenie Save As, a następnie zapisz plik z nazwą ADRMS-TST.
7. Skopiuj plik ADRMS-TST.docx do dysku USB.
8. Wyloguj się jako Nicole Holliday.
W ostatnim kroku należy z dysku USB otworzyć dokument ADRMS-TST.docx na komputerze ADRMS-EXCLNT.
W celu przeglądnięcia chronionego dokumentu:
1. Zaloguj się na komputerze ADRMS-EXCLNT w oparciu o lokalne konto użytkownika, który ma korzystać z dokumentu chronionego.
Ostrzeżenie
Po skorzystaniu z tego dokumentu każdy użytkownik, który zaloguje się na komputerze w oparciu o to samo konto będzie mógł korzystać z dokumentu.
2. Podłącz dysk USB, a następnie dwukrotnie kliknij plik ADRMS-TST.docx.
3. W polu User namewpisz cpandl\srailson. W polu Passwordwpisz hasło użytkownika Stuart Railson, a następnie kliknij przycisk OK. Wyświetlony zostanie następujący komunikat: „ Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-srv.cpandl.com/\_wmcs/licensing to verify your credentials and download your permissions. ” (Uprawnienia do tego dokumentu zostały ograniczone. Program Microsoft Office musi połączyć się z https://adrms-srv.cpandl.com/\_wmcs/licensing w celu zweryfikowania poświadczeń i pobrania uprawnień).
4. Kliknij przycisk OK. Wyświetlony zostanie następujący komunikat: „ You are attempting to send information to an Internet site (https://adrms-srv.cpandl.com) that is not in your Local, Intranet, or Trusted zones. This could pose a security risk. Do you want to send the information anyway ?” [Nastąpiła próba przesłania informacji do witryny Internetu (https://adrms-srv.cpandl.com), która nie jest w strefie Lokalny intranet lub Zaufane witryny. Stanowi to zagrożenie bezpieczeństwa. Czy pomimo to przesłać informacje?]
5. Kliknij przycisk Yes. Wyświetlony zostanie następujący komunikat: „ Verifying your credentials for opening content with restricted permissions… ” (Weryfikowanie poświadczeń do otwierania zawartości, do której uprawnienia są ograniczone...).
6. Po otwarciu dokumentu kliknij przycisk Microsoft Office. Zwróć uwagę, czy dostępna jest opcja Print.
7. W pasku wiadomości kliknij przycisk View Permission. Powinna być widoczna informacja, że użytkownik srailson@cpandl.com (Stuart Railson) ma ograniczone uprawnienia i może tylko odczytać dokument.
8. Kliknij OK, aby zamknąć okno dialogowe My Permissions , a następnie zamknij program Microsoft Word.
Funkcja szablonu zasad uprawnień usług AD RMS została pomyślnie zainstalowana i zweryfikowana w sieci extranet, przy użyciu prostej metody zastosowania ograniczonych uprawnień do dokumentu programu Microsoft Word 2007. Przy użyciu dodatkowych konfiguracji i testów instalacja ta może być również użyta do przeanalizowania innych możliwości usług AD RMS.
| Do początku strony |