Книга Active directory
.pdfк 8 1 0 Службы управления правами Active Directory Глава 16
20. На странице Выберите сертификат проверки подлинности сервера для SSLшифрования (Choose A Server Authentication Certificate For SSL Encryption) щелкните параметр Выбрать существующий с е р т и ф и к а т д л я ш и ф р о в а н и я
SSL (рекомендуется) (Choose An Existing |
Certificate F o r |
S S L E n c r y p t i o n |
(Recommended)), выберите установленный |
с е р т и ф и к а т и |
щ е л к н и т е Д а л е е |
(Next). |
|
|
Если вы не установили сертификат ранее, импортируйте его, щ е л к н у в кноп - ку Импорт (Import). Кроме того, можно использовать с а м о з а в е р я ю щ и й сертификат либо выбрать сертификат д л я ш и ф р о в а н и я SSL позже . О т м е т и м , что в случае выбора последней опции вы не з а в е р ш и т е установку, пока не получите и не установите сертификат.
ВНИМАНИЕ! Самозаверяющие сертификаты
Самозаверяющие сертификаты следует применять только в тестовых средах. В производственной среде используйте соответствующий сертификат SSL, выданный коммерческим центром сертификации.
21. На странице Указать имя для |
с е р т и ф и к а т а л и ц е н з и а р а с е р в е р а ( N a m e |
The Server Licensor Certificate) |
введите и м я для и д е н т и ф и к а ц и и кластера |
AD RMS, а затем щелкните Далее (Next) . |
|
22. На странице Зарегистрировать точку подключения с л у ж б ы AD R M S (Regis- |
ter AD RMS Service Connection Point) выберите параметр Зарегистрировать
точку подключения службы AD R M S сейчас (Register T h e AD |
R M S Service |
|
Connection Point Now) и щелкните Далее (Next) . |
|
|
Отметим, |
что эта операция регистрирует точку п о д к л ю ч е н и я |
с л у ж б ы AD |
RMS в AD DS. |
|
|
ВНИМАНИЕ! |
Права доступа для создания точки подключения с л у ж б ы (CSP) |
Для того чтобы выполнить регистрацию точки подключения службы AD RMS, нужно войти на сервер AD RMS с учетными данными пользователя, обладающего правом записи в контейнере Службы (Services) служб AD DS, то есть эта учетная запись должна быть членом группы Администраторы предприятия (Enterprise Admins).
Если вы осуществляете подготовку кластера и хотите установить д о п о л н и - тельные члены кластера прежде, чем обслужить запросы, выберите параметр Зарегистрировать точку подключения службы A D R M S (Register T h e A D RMS Service Connection Point Later), присоедините другого члена кластера и создайте CSP.
23. На странице Веб-сервер (IIS) (Web Server ( I I S ) ) просмотрите сведения об IIS и щелкните Далее (Next).
Страницы, которые открываются на шагах 23 и 24, д о с т у п н ы т о л ь к о на сервере без предварительной установки IIS.
24.На следующей странице оставьте выбор служб роли веб-сервера по умол - чанию и щелкните Далее (Next).
Занятие 1 |
|
Установка служб управления правами Active Directory |
811 |
||||
25. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е э л е м е н т ы |
(Confirm Installation Selec- |
||||||
t i o n s ) |
п р о с м о т р и т е |
в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е |
кнопку Установить |
||||
( I n s t a l l ) . |
|
|
|
|
|
|
|
26. П о с л е |
з а в е р ш е н и я |
у с т а н о в к и щ е л к н и т е к н о п к у Готово |
(Finish), чтобы за- |
||||
к р ы т ь |
м а с т е р у с т а н о в к и . В ы й д и т е из |
системы |
и вновь войдите для обнов- |
||||
л е н и я |
р а з р е ш е н и й , |
п р е д о с т а в л я е м ы х |
учетной |
з а п и с и |
вошедшего |
пользо- |
|
в а т е л я . |
|
|
|
|
|
|
|
У ч е т н а я з а п и с ь п о л ь з о в а т е л я , п р и м е н я е м а я д л я установки роли |
сервера |
||||||
AD R M S , а в т о м а т и ч е с к и с т а н о в и т с я членом группы Администраторы пред- |
|||||||
п р и я т и я с л у ж б ы A D |
R M S ( A D R M S |
Enterprise Administrators), |
которой |
||||
п р е д о с т а в л е н д о с т у п |
к о всем о п е р а ц и я м A D R M S . |
|
|
У с т а н о в к а з а в е р ш е н а ( р и с . 16- 4) .
Рис. 16-4. После завершения установки в диспетчере сервера становится доступной вся структура дерева AD RMS
К СВЕДЕНИЮ |
Кластер AD RMS |
|
|
|
|
Более подробную информацию об установке кластера AD RMS можно найти по |
|||||
адресу |
http://technet2.microsoft.com/windowsserver2008/en/libraiy/74272acc-0f2d-4dc2- |
||||
876f-15b156a0b4e01033.mspx?mfr-true. Пошаговое |
руководство |
находится |
по адресу |
||
http://go.microsoft.com/fwIink/PLinkkl-72134. |
Для |
обеспечения |
высокой |
готовности |
кластера необходимо установить дополнительные члены кластера. Информация о
такой |
установке содержится по адресу http://technet2.microsoft.com/windowsserver2008/ |
en/libra |
iy/1bc393b9-5ce9-4950-acae-63a463ccfc361033.mspx?mfг-true. |
к 812 Службы управления правами Active Directory Глава 16
Практические занятия. Установка AD RMS
В приведенных далее упражнениях предлагается установить AD R M S в новом кластере. Вначале нужно добавить запись DNS, потом создать в каталоге учетную запись службы и группы роли AD RMS, создать и установить сертификат веб-сервера, а затем приступить к установке. Д л я в ы п о л н е н и я у п р а ж н е н и й запустите компьютеры, перечисленные в подразделе «Прежде всего» в начале этой главы. Вам понадобятся машины SERVER01, S E R V E R 0 4 и S E R V E R 0 5 .
Упражнение 1. Подготовка записи DNS
Создайте запись CNAME, чтобы подготовить URL кластера AD RMS .
|
1. Войдите на машину SERVER01 как администратор домеиа. |
|
|
2. В категории Администрирование (Administrative Tools) запустите Диспет - |
|
|
чер сервера (Server Manager). |
|
|
3. Разверните узел Р о л и \ 0 ^ - с е р в е р \ 0 ^ \ З Е 1 1 У т а 0 1 \ З о н ы прямого ripo- |
|
|
CMOTpa\contoso.com (Roles\DNS S e r v e r \ D N S \ S E R V E R 0 1 \ l 7 o r w a r d Lookup |
|
|
Zones\contoso.coin). |
|
|
4. Щелкните правой кнопкой мыши иа панели сведений и выполните команду |
|
) |
Создать псевдоним (CNAME) (New Alias ( C N A M E ) ) . |
|
|
5. В диалоговом окне Новая запись ресурса (New Resource Record) введите |
|
|
имя псевдонима RightsManagement и назначьте его |
м а ш и н е S E R V E R 0 4 . |
|
contoso.com в поле Полное F Q D N - и м я конечного |
узла (Fully Qualified |
|
Domain Name (FQDN) For Target Host) диалогового окна. Щ е л к н и т е О К . |
|
|
Вы создали новую запись для URL кластера AD RMS . Она будет обновлена |
|
|
на других серверах при выполнении последующих упражнений . |
Упражнение 2. Подготовка каталога
Теперь нужно создать учетную запись службы и четыре группы для делегирования административных задач AD RMS.
1.Войдите на SERVER01 как администратор домена.
2.В категории Администрирование (Administrative Tools) запустите Диспет - чер сервера (Server Manager).
3. Разверните узел Роли\Домепные службы Active Directory\Active Directory — пользователи и KOMiibioTepbt\contoso.com (Roles\Active Directory Domain Services\Active Directory Users and Computers\contoso.com). Создайте структуру подразделений Администраторы\Идентификация служб.
4.Щелкните правой кнопкой мыши подразделение Идентификация служб, выполните команду Создать (New) и выберите объект Пользователь (User).
5. Задайте для пользователя имя ADRMSService и используйте его для входа и как имя пред-Windows 2000. Щелкните Далее (Next).
6. Задайте сложный пароль, сбросьте флажок Требонать смену пароля при следующем входе в систему (User Must Change Password At Next Logon) и установите флажок Срок действия пароля не ограничен (Password Never Expires). Щелкните Далее (Next), а затем Готово (Finish), чтобы создать учетную запись.
Занятие 1 |
Установка служб управления правами Active Directory |
813 |
7.Теперь создайте в подразделении Соп1о50.сот\Лдмииистраторы\ Группы администраторов\Делегирование серверов группы администрирования AD RMS . Если эти подразделения отсутствуют, создайте их.
8. Создайте четыре глобальные группы безопасности. Щелкните правой кнопкой мыши иа панели сведений, выполните команду Создать (New) и выберите объект Группа (Group) . Введите имя для группы и щелкните ОК. Создайте такие группы:
•Администраторы предприятия AD RMS;
•Администраторы шаблонов AD RMS;
•Аудиторы AD RMS;
•Учетная запись службы AD RMS.
9. О т к р о й т е группу Учетная запись службы AD RMS (щелкните ее правой кнопкой м ы ш и и выберите Свойства (Properties)) и перейдите на вкладку Ч л е н ы (Members) . Добавьте в эту группу учетную запись ADRMSService и щелкните О К .
10. Войдите иа S E R V E R 0 3 как администратор домена.
11.В категории Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).
12.Разверните узел Конфигурация\Локалы[ые пользователи и группы\Группы (Configuration\Local Users And Groups\Groups).
13.Выберите группу Администраторы (Administrators) и откройте ее.
14.Добавьте группу Учетная запись службы AD RMS в эту группу и щелкните ОК. Теперь вы готовы продолжить процесс установки.
У п р а ж н е н и е 3. П о д г о т о в к а с е р т и ф и к а т а веб-сервера |
< |
П о с к о л ь к у службам AD R M S требуются веб-подключения с шифрованием |
|
SSL, необходимо создать и установить сертификат веб-сервера. Отметим, что |
|
прежде чем приступить к данному упражнению, необходимо выполнить уп- |
|
р а ж н е н и я главы 15. |
|
1. Войдите на S E R V E R 0 4 как администратор домеиа. |
|
Вы получите права доступа администратора предприятия (Enterprise Ad- |
|
ministrator), необходимые для создания точки подключения службы (CSP). |
|
Эти разрешения доступа понадобятся, когда вы будете выполнять упраж- |
|
нение 4. |
|
2. В категории Администрирование (Administrative Tools) запустите Диспет- |
|
чер сервера (Server Manager). |
|
3. Разверните узел Р о л и \ С л у ж б ы сертификации Active Ойес1огу\Шаблопы |
|
сертификатов (SERVER04) (Roles\Active Directory Certificate Services\Cer- |
|
tificate Templates (SERVER04)) . На панели сведений будут перечислены |
|
все существующие сертификаты. |
|
4. На панели сведений выберите шаблон Веб-сервер (Web Server), щелкните |
|
его правой кнопкой мыши и выберите команду Скопировать шаблон (Du- |
|
plicate Template). |
|
Занятие 1 |
Установка служб управления правами Active Directory |
815 |
7. Щ е л к н и т е правой кнопкой мыши контейнер Сертификаты (Certificates), выберите опцию Все задачи (ЛИ Tasks) и примените задачу Запросить новый сертификат (Request New Certificate). Щелкните Далее (Next).
8. Выберите сертификат Web Server W S 0 8 и щелкните кнопку Дополнительные сведения ( M o r e Information), чтобы подать заявку на этот сертификат.
9.В диалоговом окне Свойства сертификата (Certificate Properties) на вкладке Субъект (Subject) введите следующие данные.
A, В поле |
И м я |
субъекта (Subject Name Value) выберите полное DN-имя |
(Full |
D N ) , |
введите CN-SERVER04,DC-Contoso,DC-com и щелкните |
к н о п к у |
Добавить (Add). |
Б. Щелкните секцию Альтернативное имя (Alternate Name), в раскрывающемся списке Тип (Туре) выберите тип URL, в поле Значение (Value) введите и м я RightsManngement.contoso.com и щелкните кнопку Добавить (Add).
B. Перейдите на вкладку Общие (General), в поле Понятное имя (Friendly N a m e ) введите Contoso DRM, и а поле Описание (Description) введите Сертификат сервера.
Г.Перейдите на вкладку Закрытый ключ (Private Key), разверните секцию
Параметры ключа (Key Options) и установите флажки Создать экспор- т и р у е м ы й з а к р ы т ы й ключ (Make Private Key Exportable) и Разрешить архивацию закрытого ключа (Allow Private Key То Be Archived).
10. Щ е л к н и т е OK, а затем — кнопки Заявка (Enroll) и Готово (Finish).
И. Ч т о б ы проверить выдачу сертификата, щелкните узел Сертификаты (Certificates) и просмотрите данные сертификата на панели сведений.
12. З а к р о й т е консоль Сертификаты (Certificates). Теперь вы можете приступать к установке AD RMS.
У п р а ж н е н и е 5 . У с т а н о в к а корневого кластера AD RMS
Запустите м а ш и н ы S E R V E R 0 1 , SERVER03 и SERVER05, а также сервер SQL иа машине SERVER05 . Сервер SERVER03 используется для выполнения практических занятий в главе 15, поэтому на нем должны быть установлены службы AD CS и сертификат, с помощью которого выполняется данная операция.
1. Войдите на S E R V E R 0 3 |
как администратор домеиа. Вы получите разре- |
ш е н и я а д м и н и с т р а т о р а |
предприятия, необходимые для создания точки |
подключения службы ( C S P ) .
2.В категории Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).
3. На панели дерева щелкните правой кнопкой узел Роли (Roles) и задайте команду Добавить роли (Add Roles).
4. Иа странице Перед началом работы (Before You Begin) щелкните Далее (Next).
5.На странице Выбор ролей сервера (Select Server Roles) установите флажок С л у ж б ы управления правами Active Directory (Active Directory Rights
к 816 |
Службы управления правами Active Directory |
Глава 16 |
Management Services). Мастер добавления ролей (Add Roles Wizard) потребует добавить роль Веб-сервер (IIS) (Web Server (IIS)) с необходимыми компонентами: Служба активации WPAS (Windows Process Activation Service) и Очередь сообщений (Message Queuing).
6. Щелкните кнопку Добавить необходимые службы роли (Add Required Role Services), если эти службы не были установлены перед инсталляцией AD RMS. Щелкните Далее (Next).
7. На странице Службы управления правами Active Directory (Active Directory Rights Management Services) просмотрите сведения о выбранной роли и щелкните Далее (Next).
8. На странице Выбор служб ролей (Select Role Services) установите ф л а ж о к Сервер управления правами Active Directory (Active Directory Rights Management Server) и щелкните Далее (Next).
9. На странице Создать или присоединить кластер AD R M S (Create Or J o i n An AD RMS Cluster) выберите параметр Создать новый кластер AD R M S (Create A New AD RMS Cluster) и щелкните Далее (Next).
10. На странице Выбрать базу данных к о н ф и г у р а ц и и (Select Configuration Database) выберите параметр Использовать другой сервер базы данных (Use A Different Database Server) и щелкните Далее (Next) .
Если для управления базами данных AD R M S в установке одного сервера выбрать внутреннюю базу данных Windows (Windows Internal Database), выполнять шаги 11 и 12 не потребуется. Однако база данных W I D используется лишь для тестирования.
И. Щелкните кнопку Выбрать (Select), чтобы локализовать машину SERVER05, введите имя сервера, щелкните кнопки Проверить имена (Check Names) и О К.
12. В поле Экземпляр базы данных (Database Instance) выберите экземпляр по умолчанию (Default), последовательно щ е л к н и т е к н о п к и П р о в е р и т ь (Validate) и Далее (Next).
13.На странице Укажите учетную запись службы (Specify Service Account) щелкните кнопку Указать (Specify), введите имя ADRMSService и пароль, щелкните ОК и Далее (Next).
14.На странице Настроить хранилище ключа кластера AD R M S (Configure AD RMS Cluster Key Storage) выберите параметр Использовать централизованное хранилище ключей AD R M S (Use AD R M S Centrally Managed Key Storage) и щелкните Далее (Next).
Защита ключа кластера AD R M S с помощью этой базы данных выбрана для упрощения упражнения, поскольку при этом не требуются дополнительные компоненты. Однако в обычной ситуации ключ кластера AD R M S рекомендуется защитить с помощью поставщика CSP.
15.На странице Указать пароль ключа кластера служб управления правами Active Directory (Specify AD R M S Cluster Key Password) введите строгий пароль с подтверждением и щелкните Далее (Next).
Занятие 1 Установка служб управления правами Active Directory 817
16. На странице Выбрать веб-узел кластера AD R M S (Select AD RMS Cluster Web Site) выберите веб-узел Default Web Site и щелкните Далее (Next).
17.На странице Укажите адрес кластера (Specify Cluster Address) выберите параметр Использовать подключение с шифрованием SSL (https://) (Use
An SSL - Encrypted Connection ( h t t p s : / / ) ) .
Из соображений безопасности для кластера AD RMS следует использовать подключение с шифрованием SSL.
18.В секции Внутренний адрес (Internal Address) введите адрес RightsManagement. contoso.com, оставьте номер порта по умолчанию и щелкните кнопки Проверить (Validate) и Далее (Next).
19. На с т р а н и ц е В ы б е р и т е сертификат проверки подлинности |
сервера для |
S S L - ш и ф р о в а и и я (Choose A Server Authentication Certificate |
For SSL En- |
c r y p t i o n ) щ е л к н и т е параметр Выбрать существующий сертификат для ш и ф р о в а н и я SSL (рекомендуется) (Choose An Existing Certificate For SSL Encryption (Recommended)), выберите сертификат SERVER04 и щелкните Далее (Next) .
Если вы не в ы п о л н я л и практические занятия упражнения 15 и сервер не располагает соответствующим сертификатом, используйте самозаверяющий сертификат .
20.На странице Указать имя для сертификата лицензиара сервера (Name The Server Licensor Certificate) введите имя Contoso DRM для идентификации
кластера AD R M S и щелкните Далее (Next).
21.На странице Зарегистрировать точку подключения службы AD RMS (Register AD R M S Service Connection Point) выберите параметр Зарегистрировать точку п о д к л ю ч е н и я службы AD RMS сейчас (Register The AD RMS Service Connection P o i n t N o w ) и щелкните Далее (Next).
Точка п о д к л ю ч е н и я службы AD RMS будет зарегистрирована в AD DS.
22.На странице Веб-сервер (IIS) (Web Server (IIS)) просмотрите сведения об IIS и щелкните Далее (Next).
23.На странице Выбор служб ролей (Select Role Services) оставьте для вебсервера параметры по умолчанию и щелкните Далее (Next).
24.На странице Подтвердите выбранные элементы (Confirm Installation Selections) просмотрите выбранные параметры и щелкните кнопку Установить (Install).
25.После завершения установки щелкните кнопку Готово (Finish), чтобы закрыть мастер установки.
26.Выйдите из системы и вновь войдите для обновления разрешений доступа учетной записи вошедшего пользователя. Учетная запись, используемая для установки роли сервера AD RMS, автоматически становится членом группы Администраторы предприятия службы AD RMS (AD RMS Enterprise Administrators) и получает доступ ко всем операциям AD RMS. Установка завершена.