AD RMS-Best Practices-Handbuch

 

Veröffentlicht: August 2016

Gilt für: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Ein gut betrachtet Plan zum Entwerfen IhrerActive Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS)Installationen macht unternehmensweite Rights Management-Bereitstellung einfach und leicht zu verwalten und zu beheben.

Dieses Handbuch fasst zusammen, geschäftliche und technische Leitfäden zur Minimierung von Zeit und Aufwand zum Implementieren derAD RMS. Es bietet eine Reihe von Prüfliste, für spezifische Leitfäden basierend auf bewährten Methoden, die von Kunden, die bereits bereitgestellt haben gelerntAD RMSin ihren Organisationen und als Prüfung durch Personen gründlicher Erfahrung besitzen Unterstützung dieser Art von Installation.

Es bietet außerdem eine Zusammenfassung aller Hauptentwurfsoberfläche Wahl Aufgaben und Entscheidungen, die für einen guten Plan entwickelnAD RMSin Ihrer Umgebung. Die Zielgruppe für dieses Handbuch ist verantwortlich für die Tests, Pilottests und Bereitstellung von IT-Experten eineAD RMSentwerfen.

Im folgenden werden bewährte Methoden bei der Vorbereitung zur InstallationAD RMSinnerhalb Ihrer Organisation.

Regel für bewährte MethodenHinweise
Verwenden Sie den dediziertenAD RMSServer.Installieren vonAD RMSauf dem gleichen Server als Domäne-Controller, Microsoft Exchange Server, Zertifizierungsstelle oder Microsoft Office SharePoint Server ist eine schlechte Sicherheitsmaßnahme.
Installieren SieAD RMSauf einem Domänencontroller.Wenn Sie installierenAD RMSauf einem Domänencontroller, fügen Sie derAD RMS-Dienstkonto, das normalerweise ohne zusätzliche Berechtigungen, um der Gruppe "Domänen-Admins" konfiguriert ist.
Versuchen Sie nicht, das Unterstützung für Identitätsverbund-Feature zu installieren, bis Sie verfügen über eine Active Directory-Verbunddienste (AD FS)-Server, und beachten der Groß-/Kleinschreibung in AD FS.Die Unterstützung für Identitätsverbund-Funktion kann nicht installiert werden, bis Sie einen AD FS-Server verfügen. Wenn AD FS ist noch nicht in Ihrer Umgebung zum Zeitpunkt des konfiguriertAD RMSInstallation warten, bis es ist, bevor Sie versuchen, die Unterstützung für Identitätsverbund-Funktion hinzufügen.

Wenn Sie Unterstützung für Identitätsverbund zu installieren, verwenden Sie Kleinbuchstaben für den vollqualifizierten Domänennamen ein, wie AD FS Groß-/Kleinschreibung beachtet wird.
Sie sollten nur interne Windows-Datenbank in einer Umgebung verwenden.Interne Windows-Datenbank unterstützt keine Remoteverbindungen. aus diesem Grund werden nicht möglich, zusätzlicheAD RMSServer zum Cluster. In einer produktiven Umgebung, um zukünftiges Wachstum undAD RMScluster-Erweiterung, Sie sollten daher immer Microsoft SQL Server auf dem Host verwendenAD RMSServices-Datenbank.
DNS-Aliase verwenden, wie z. B. CNAME-Einträge oder DNS-Datensätze, wie z. B. A-Datensätze für den vollqualifizierten Domänennamen des Hosten derAD RMSCluster.Dadurch können Sie leicht zusätzliche Server Hinzufügen derAD RMScluster und ermöglicht es Ihnen, den Lastenausgleich und die Wiederherstellung im Notfall leicht durchführen.
Verwenden Sie die DNS-Aliase, wie z. B. CNAME-Einträge oder DNS-Hosteinträge z. B. A-Datensätze für IhreAD RMSDatenbankserver.Dadurch wird die zukünftige Migration von IhrerAD RMSDatenbanken wesentlich einfacher.
Stellen Sie sicher, dass alle protokollbindungen und andere Einstellungen, die erforderlich sindAD RMSfür Ihre Web-Server oder die Websites werden konfiguriert vor dem Installieren und Konfigurieren vonAD RMS.Wenn Sie planen, Bereitstellen vonAD RMSauf einer Website, die bereits eingerichtet ist, selbst wenn Sie konfigurieren Sie sicher, dass diese Website verfügt über eine HTTP-BindungAD RMSHTTPS zu verwenden.

Wenn Sie planen, Bereitstellen vonAD RMSauf einer Website nicht standardmäßige installieren den Funktionen zur Verwaltung von IIS 6-Rollendienst, bevor Sie mit der Bereitstellung beginnen.

Verwenden SSL-Protokoll erhöht die Sicherheit der Verbindungen mit demAD RMSCluster. SSL ist auch erforderlich, IntegrationAD RMSmit AD FS. Denken Sie daran, dass dies geändert werden kann, sobald er angegeben wurde.
Konfigurieren Sie extranet-URL, selbst wenn Sie nicht vorhaben, eine anfänglich bereitstellen.Extranet-URL sollte zum Zeitpunkt der Installation konfiguriert werden, selbst wenn es ursprünglich nicht bereitgestellt werden. Wenn Sie externer Zugriff aktiviert ist, nach DokumentenAD RMSgeschützt, Sie müssen den Schutz zu entfernen, auf den Clientcomputern zu entfernen, Konfigurieren des Extranetzugriffs und schützen Sie die Dokumente erneut.
Verwenden Sie ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgegeben wird, für das Internet.Selbstsignierte Zertifikate sollten nur in einer Umgebung verwendet werden. In einer produktionsumgebung sollten Sie immer ein SSL-Zertifikat von einer Zertifizierungsstelle ausgestellt verwenden.
Zusätzliche Aufgaben zum Abschließen der Konfiguration und kann IhreAD RMSInstallation verwendet.Nach Abschluss der Installation oder Aktualisierung müssen Sie melden Sie sich ab und melden Sie sich wieder erneut, bevor Sie AD RMS mit AD RMS-Konsole verwalten können. Nach Abschluss der Installation sollten Sie auch lizenzgebendes Serverzertifikat und Ihren privaten Schlüssel Sichern von der Trusted Publishing Domain (TPD) für Ihren Cluster exportieren und es an einem sicheren Ort zu speichern. Darüber hinaus werden sicherzustellen, dass damit das Kennwort, das verwendet wurde, während die vertrauenswürdige Veröffentlichungsdomäne exportieren in dokumentiert und separat an einem sicheren Ort gespeichert.
Achten Sie die Zustände und die Unterschiede beim Verschieben einer vorhandenen RMS-Installations aufAD RMS.Es gibt zwei Wege zum Aktualisieren von einer früheren Version von RMS auf AD RMS: Migration und direktes Upgrade. Die Migration ist die empfohlene Vorgehensweise. Wenn Sie ein direktes Upgrade ausführen, müssen Sie den Upgrade-Assistenten ausführen, nach Abschluss der Aktualisierung des Betriebssystems. Dieser Assistent wird über einen Link im Server-Manager gestartet. Weitere Informationen zum Migrieren oder Aktualisieren einerAD RMSCluster finden Sie untervon RMS auf AD RMS-Migration und Upgrade Guide.
Bereitstellen von immerAD RMSVerwendung von Clustern.Bei Bedarf eine einzelne können Knotencluster, aber die Bereitstellung vonAD RMSim Cluster Modus bietet höhere Skalierbarkeit und Erweiterung sollten Sie jemals benötigen. Bewährte Methoden zum Arbeiten mitAD RMS-Clustern finden Sie im folgenden Abschnitt.
Verwenden Sie für alle zugeordneten URLs FQDNs IhrerAD RMSBereitstellung.Mit der Domäne mit einer einzelnen Bezeichnung kann Probleme mit einigen Programmen, erhöht die Wahrscheinlichkeit spoofing-Angriffe und verursachen Probleme hinsichtlich der Interoperabilität mit anderen Organisationen.
Verwenden Sie einen gemeinsamen FQDN für Intranet- und extranet-Zugriff auf IhreAD RMSInstallation.Wenn Sie spezielle Gründe für die Unterscheidung zwischen den beiden URLs haben, stellen Sie die beiden URLs identisch.

Im folgenden werden bewährte Methoden zum Umgang mitAD RMSCluster innerhalb Ihrer Organisation.

Regel für bewährte MethodenHinweise
Bereitstellen von immerAD RMSVerwendung von ClusternBei Bedarf einen Einzelknoten-Cluster verwenden, und verwenden Sie ggf. mehrereAD RMSServer eine Bereitstellung unterstützen und zusätzliche Redundanz und Verfügbarkeit von Diensten.
Achten Sie Besonderheiten bei der Auswahl einer lastenausgleichslösungen zur UnterstützungAD RMSbesonders beim Arbeiten in Umgebungen virtualisierten.Im Allgemeinen netzwerklastenausgleichsmodule (NLBs) oder externen Lastenausgleichsmodule sind gute alternativen mit folgender Ausnahme:

Bei der BereitstellungAD RMSin einer virtualisierten Umgebung (eine häufige oder wahrscheinlich vorkommen), ein externen Lastenausgleich funktioniert besser als ein NLB-Lösung. Dies geschieht, weil in der Regel stehen bestimmte Vorgänge oder Ausnahmen, wie ARP Registrierungen, Port, die Aufteilung kann erfordern, dass Virtualisierung Administratoren manuell konfigurieren Sie Ausnahmen, die in diesen Umgebungen die Standardrichtlinie überschreiben. Diese Art der Anpassung kann hoch unerwünscht, umfangreiche Virtualisierungen Bereitstellungen zu verwalten sein.
Verwenden Sie immer die virtuelle Namen fürAD RMSClusterWählen Sie eine verallgemeinerte, der nicht zu einem bestimmten oder physischen Servercomputer. Beispielsweise sieht aus wie "rms.contoso.com" können Sie hier ein gutes Format. Dann erstellen Sie Einträge in der DNS-Zone, die hilft, direkte Datenverkehr auf diesen Namen, z. B. durch Hinzufügen von einen CNAME-Eintrag, der diesen Namen auf dem NLB-Hostnamen verweist und A-Ressourceneintrag für den Netzwerklastenausgleich, der direkt auf die IP-Adresse verweist.

Achten Sie auch verwenden, die vollständig qualifizierten Domänennamen (FQDN) und nicht NetBIOS-Namen auf IhreAD RMSCluster.
Verwenden Sie nach Möglichkeit eine einzelne IP-Adresse für IhrAD RMSCluster für Intranet- und extranet-Clients.Im Allgemeinen keine gute Gründe, verwenden mehrere IP-Adressen oder haben IhreAD RMSServer.
Immer HTTPS/SSL verwenden, bei der Konfiguration IhrerAD RMScluster-URL.Verwenden Sie ordnungsgemäß ausgestellten Zertifikate, die Sie von einer anerkannten Internet-Zertifizierungsstelle (CA) erhalten, die der Cluster-URL-Adresse zugeordnet werden. Anschließend können Sie Internet Information Services (IIS) Manager Zertifikate zu erstellen und das ausgestellte Zertifikat zu anderen Knoten im Exportieren IhrerAD RMSCluster.
Selbstsignierte Zertifikate nur in einer Umgebung verwenden, zum AuswertenAD RMS.Verwenden Sie selbstsignierte Zertifikate nicht in Bereitstellung in der Produktion, wie sie viele zusätzliche Bereitstellungsprobleme, z. B. müssen manuell kopieren, und konfigurieren die Vertrauensstellung für das Zertifikat auf jedem Serverknoten im Cluster verursachen können.
Ggf. müssen Sie das PKI-Stammzertifikat auch bereitstellen, um die vertrauenswürdigen Stamm-Container für alleAD RMS-Clients und Servern.Wenn Sie SSL mit einem von einer privaten Zertifizierungsstelle ausgestelltes Zertifikat konfiguriert haben, speichern Sie das Stammzertifikat PKI in allen Knoten mit dem Namen "Vertrauenswürdige Stammzertifizierungsstellen" Container.
Bereitstellen einesAD RMSCluster pro Active Directory-Gesamtstruktur.Jede Gesamtstruktur, in dem Benutzer der Lösung gehostet benötigt einen eigenenAD RMSZertifizierungscluster. Nicht mehr als einen bereitstellenAD RMSZertifizierung pro Gesamtstruktur cluster und, sofern es eine besondere Anforderung für sie nicht nur Lizenzierung Cluster bereit.
Versuchen Sie sich konzentrierenAD RMSLizenzierung so weit wie möglich.Zeigen Sie wenn möglich, alle Lizenzierung URLs in alle Ihre Cluster mit der URL einer der Cluster in einer Gesamtstruktur übereinstimmt, die die anderen Gesamtstrukturen vertraut. Auf diese Weise werden alle Lizenzen nur ein Cluster Vorgänge, die Protokollierung, reporting, Konfiguration und Problembehandlung zu vereinfachen.

Im folgenden werden bewährte Methoden zum Umgang mitAD RMSDatenbank-Dienste innerhalb Ihrer Organisation.

Regel für bewährte MethodenHinweise
Berücksichtigen Sie sorgfältig, ob Failoverclustering oder Protokollversand für ausreichend ist IhrAD RMSDatenbankentwurf.Beim Entwerfen IhrerAD RMSBereitstellung der Datenbank müssen Sie die Möglichkeit, hochverfügbar ist für den Datenbankserver zu verwenden. Bei der BereitstellungAD RMSaufWindows Server 2008oderWindows Server 2008 R2und Sie keine Exchange Prelicensing, eine Datenbank mit hoher verfügbare ist nicht unbedingt erforderlich, und ein stabiler Sicherungsplan genügt möglicherweise. Aber bei der Bereitstellung aufWindows Server 2012oder eine hochverfügbare Datenbank ist unerlässlich, wenn Exchange Prelicensing oder andere Exchange IRM-Integrationsfunktionen zu verwenden. Melden Sie sich Versand- und Failover-Clusterunterstützung, die sowohl mit dem Protokollversand bietet Wiederherstellung für einen größeren Bereich von möglichen Fehlerszenarien funktionieren können und einen Cluster bereitstellen schnellere Wiederherstellungszeiten in den meisten Szenarien. Beide können in einer einzelnen Installation kombiniert werden, wenn Sie berücksichtigen, dass die Verfügbarkeit des Diensts muss es rechtfertigen.
Verwenden Sie immer die virtuelle Namen fürAD RMSDatenbanken.Dies ähnelt der Grund für die Verwendung von virtueller Namen mit demAD RMSCluster. Ist weniger problematisch oder schwierig, ändern Sie den Namen des einerAD RMSDatenbank, nachdem Sie es weit innerhalb einer Organisation Infrastruktur bereitgestellt haben.

Verwenden Sie CNAME-Datensätze zur Unterstützung der DNS-Auflösung für IhreAD RMSDatenbanken. CNAME- oder A-Ressourceneinträge eignen sich für den Fall, dass Sie Sie verschieben oder neu zuordnen müssen IhreAD RMSDatenbankserver. Darüber hinaus als mitAD RMScluster virtuellen benennen, verwenden Sie den vollqualifizierten Domänennamen (FQDNs) und zeigen Sie die virtuellen Namen für IhreAD RMSDatenbank-Cluster der Cluster-IP-Adresse. Sie können auch verschiedene CNAME-Ressourceneinträge für verschiedeneAD RMSDatenbanken, selbst wenn sie auf dem gleichen Server befinden. Dies führt häufig zu vereinfachen, wenn in der Zukunft müssen Sie verschieben oder Verschieben von Datenbanken auf einen anderen Server oder einen Server in Ihrem Netzwerk an einen anderen Speicherort verschieben. Sie können auch, wenn Sie es vorziehen, verwenden einen anderen CNAME- oder ein Ressourceneintrag für jedesAD RMSDatenbank.

Im folgenden werden bewährte Methoden für die Bereitstellung vonAD RMSClients in Ihrer Organisation.

Regel für bewährte MethodenHinweise
Mit veraltetenAD RMSimmer Bereitstellen von Clients, dieAD RMSclientbinärdateien ohne zusätzliche Einstellungen im Installationspaket.Stellen Sie nicht Registrierungseinträge oder andere Änderungen der lokalen Client-Konfiguration im Installationspaket wie diese konfigurationsupdates Supportprobleme verursachen können. Zum Beispiel: Sie möchten-Registrierungsschlüssel zu ändern, wenn Sie mit den Client erneut bereitstellen und in diesem Fall Sie müssten erfolgreich installieren oder neu installieren das Client-Paket, um ein Problem zu beheben. In vielen Fällen Registrierungseinträge werden nicht aktualisiert, auch mit dieser Art von gebündelte Konfiguration, und zuverlässiger separate GPO-Aktualisierungen oder Windows-Skripts zum Ändern dieser Einstellung verwendet werden kann.
Erstellen einer Gruppe in Active Directory und verwenden, die für die ZielgruppenadressierungAD RMSClientbereitstellungEs wird empfohlen, das Gruppenrichtlinienobjekt mit der BereitstellungAD RMSClienteinstellungen und stellen Sie nur Einstellungen nach Bedarf. Zieleinstellungen für die Clientbereitstellung verwendeten dieselben Gruppen verwenden.
Immer bereitstellen die erforderlichen Einstellungen für dieAD RMSClients.Die folgenden Einstellungen sollte immer konfiguriert werden, bei der Bereitstellung vonAD RMSClients:

- Stamm-CA-Zertifikat (falls erforderlich)
- AD RMSCluster-URLs an den Standorten vertrauen für Internet Explorer (Beachten Sie, dass Sie Gruppenrichtlinienobjekt verwenden können, um diese Einstellung konfigurieren).
- Aktivieren oder Deaktivieren von IRM-Funktion (Sie können je nach Benutzergruppe dies entweder on oder off festgelegt)
- AD RMSPfad und Bereitstellung Template-Script oder Einstellungen
- Text, der auf nicht-anzeigenAD RMSClients bereit

Nachdem Sie bereitgestellt haben IhreAD RMSInfrastruktur, möchten Sie sicherstellen, dass Sie bewährte Methoden für die Verwendung von Vorlagen für Benutzerrechterichtlinien in Ihrer Organisation ausführen. Vorlagen für Benutzerrechterichtlinien aktivieren Inhaltsautoren schnell ein standard Maß an Schutz für Inhalte in Ihrem Unternehmen anwenden. Vorlagen bieten außerdem zusätzliche Sicherheitsoptionen, die nicht im normalen Schutz verfügbar sind.

Weitere Informationen zum Bereitstellen von am bestenAD RMSVorlagen für Benutzerrechterichtlinien Unterstützung die Bereitstellung finden Sie unterAD RMS Rechte Vorlagen Best Practices für.

Nachdem Sie bereitgestellt haben IhreAD RMSInfrastruktur, Sie sollten auch sicherstellen, dass es die benötigte Leistung für Ihre Organisation erfüllt und können erwartete Lasten verarbeiten als auch für Fehler, die Engpässe und andere potenzielle Probleme zu überwachen. Zu diesem Zweck müssen unbedingt ausreichend Protokollierung des Betriebs bieten die erforderlichen Informationen zum Überwachen der Leistung und bei der Behandlung von Problemen, sobald sie auftreten.

Anzeigen: