此文章是转载:转载地址 https://msdn.microsoft.com/zh-cn/library/hh831554(v=ws.11).aspx
AD RMS 是可提供一些采用了行业安全技术(包括加密、认证和身份验证技术)的管理和开发工具的服务器角色,以帮助组织创建可靠的信息保护方案。
本主题中介绍的新增 AD RMS 功能包括:
更改为 AD RMS 和 Microsoft SQL Server 要求。
使用服务器管理器和 Windows PowerShell 更改 AD RMS 的部署
对于 Windows Server 2012,对配置 Microsoft SQL Server 以支持 AD RMS 的要求已被修订或更改,以响应客户反馈。
这一更改增添了什么价值?
已对 AD RMS 安装程序做出以下更改,以便更好地支持 AD RMS 和 SQL 服务器的远程部署,并解决需要更加灵活的部署选项的客户反馈问题。
工作原理的不同之处是什么?
在以前版本中,AD RMS 安装程序要求用于安装 AD RMS 的帐户必须在任何托管 SQL Server 安装程序的计算机上拥有本地管理员权限,该 SQL Server 安装程序可用于支持存储与 AD RMS 相关的数据。 这是因为 AD RMS 安装程序需要从 Windows 注册表读取 SQL 数据库设置的能力。 由于客户反馈,已在此版本中更改了这一点。
对于 Windows Server 2012,AD RMS 现带有以下有关访问 SQL Server 的要求。
AD RMS 安装程序帐户必须拥有 SQL Server 安装的 sysadmin 权限。
SQL Server Browser 服务必须允许才能找到可用的 SQL 实例。
应在 SQL Server 计算机上为 AD RMS 安装程序使用的端口启用防火墙例外。 应启用托管 AD RMS 数据库的 SQL 实例的 TCP 端口。 也必须启用用于 SQL Server Browser 服务的 UDP 端口。 例如,默认端口通常是用于 SQL Server 实例的 TCP 端口 1433 和用于 SQL Server Browser 服务的 UDP 端口 1434。
除以前的访问要求外,已为 Windows Server 2012 测试了以下版本的 Microsoft SQL Server,并获支持用于 AD RMS 部署。
SQL Server 2005 Service Pack 3
SQL Server 2008 Service Pack 3
SQL Server 2008 R2 Service Pack 1
SQL Server 2012
在以前版本中,AD RMS 安装程序仅支持在准备安装 AD RMS 的相同服务器计算机上进行部署。 已根据客户反馈更改这一点。 对于 Windows Server 2012,AD RMS 现已支持以服务器计算机为目标的远程部署。
这一更改增添了什么价值?
已对 AD RMS 安装程序做出以下更改,以便更好地与 Windows Server 2012 中最近修改的服务器管理器集成在一起,为 AD RMS 和其他 Active Directory 技术的安全和灵活的远程服务器部署提供更好的支持。
工作原理的不同之处是什么?
由于此更改,当在远程服务器上部署 AD RMS 以确保部署安全时,你将获得有关用户凭据的提示。 现在部署还需要执行可使用服务器管理器或 Windows PowerShell 完成的其他步骤。
对于 Windows Server 2012,服务器管理器已被重新设计,以便在两步骤过程(摘要如下)中为 AD RMS 的远程部署提供支持:
在服务器管理器中启动“添加角色和功能向导”,以添加 AD RMS 角色。 这将为 AD RMS 添加和安装必需的文件。
添加 AD RMS 角色后,启动 AD RMS 配置向导,以选择部署选项和配置 AD RMS 群集。
当首次启动 AD RMS 配置向导时,如果你在远程服务器上安装 AD RMS,系统将提示你完成 AD RMS 配置需要凭据。
对于选择你在此输入的凭据有如下要求:
用于部署 AD RMS 的帐户必须在安装和配置AD RMS 的服务器计算机上拥有本地管理员组的成员资格。
所用的帐户还必须在托管 AD RMS 群集的配置数据库的服务器上拥有 sysadmin 权限。
此外,如果你希望在配置期间注册带 Active Directory 的 AD RMS 服务连接点 (SCP),帐户还必须是林的 Enterprise Admins 组的成员。 因为这需要额外权限,你可能需要等到完成基本的服务器配置后再完成此任务。 为此,你必须使用 AD RMS 控制台。
对于 Windows Server 2012,你现可选择性地使用 Windows PowerShell 命令完成两阶段的 AD RMS 部署过程(如上文所述)。 在 Windows Server 2008 R2 中,ADRMS 模块是作为基本操作系统的一部分提供的,但这一点已更改为在安装产品当中赋予更多灵活性和模块性。 对于此版本,你需要使用 Windows PowerShell 的新 ServerManager 模块内提供的命令。
例如,若要完成部署过程(复制和安装 AD RMS 需要的所有文件)的第一部分,你可在 Windows PowerShell 提示符处使用以下服务器管理器 cmdlet 示例。
示例 | 说明 |
---|---|
Add-WindowsFeature ADRMS –IncludeAllSubFeature -IncludeManagementTools |
添加所有 AD RMS 角色服务和工具。 该命令下载和提供所有必须与 AD RMS 结合使用的支持文件。 |
Add-WindowsFeature ADRMS-Server |
仅添加 AD RMS 服务器角色。 该命令下载和提供那些支持 AD RMS 服务器安装所必需的文件。 |
Add-WindowsFeature ADRMS-Identity |
为 AD RMS 添加联合身份验证支持。 该命令下载和提供支持 AD RMS 与 AD FS 结合使用所必需的文件。 |
然后你可使用 Install-ADRMSAD RMS cmdlet(作为 部署模块或 Windows PowerShell 的一部分来提供)来安装 AD RMS。 使用此 cmdlet 时,请按下文所述使用新的 Credentials 参数。 此参数是支持远程部署所必需的,并建议你在所有基于 PowerShell 的部署中包含此参数。
Install-ADRMS –Path adrmsDrive:\ -Credential
通过添加 -Credential 参数,你将获提示输入所需的凭据以部署 AD RMS。 如果安装以远程计算机为目标,凭据必须在远程计算机上获通过并经过验证,然后再继续安装 AD RMS。
对于 Windows Server 2012,作为两步骤过程(与前部分所描述的有关 AD RMS 部署的过程正好相反),卸载 AD RMS 还可使用 Windows PowerShell 来完成。 这一过程可总结如下:
卸载 AD RMS 角色。
分别使用 Windows PowerShell 和在 Uninstall-ADRMS 模块中运行 ADRMS cmdlet 可完成此操作。
删除 AD RMS 文件和以前添加来支持 AD RMS 的注册表设置。
如果你使用 Windows PowerShell,请在 ServerManager 模块中使用 Remove-WindowsFeature ADRMS cmdlet,以便将此步骤作为独立操作来完成。
现在,当你安装和配置 Active Directory Rights Management 服务移动设备扩展时,AD RMS 支持移动设备。
这一更改增添了什么价值?
移动设备扩展在现有的 Windows Server 2012 或 Windows Server 2012 R2 AD RMS 部署之上运行。 这使得拥有移动设备(Windows Phone、Android、iOS 和 Windows RT)的用户可以保护和使用敏感数据(如果其设备支持最新 RMS 客户端并使用支持 RMS 的应用)。 这也使得 Mac 用户可以使用 RMS 共享应用通过 AD RMS 来保护和使用内容。
工作原理的不同之处是什么?
在早期版本中,如果移动设备使用支持 Exchange ActiveSync IRM 的邮件应用程序,那么,对移动设备的支持仅限为电子邮件。 Exchange 2010 Service Pack 1 中引入了这种对 RMS 和移动设备的本机支持。
在现有 AD RMS 部署上安装移动设备扩展时,拥有 Mac 计算机或移动设备的用户现在可以执行以下操作
通过 RMS 共享应用使用采用不同格式保护的文本文件(包括 .txt、.csv 和 .xml)。
通过 RMS 共享应用使用受保护的图像文件(包括 .jpg、.gif 和 .tif)。
使用 RMS 共享应用打开任何受常规保护的文件(.pfile 格式)。
使用 RMS 共享应用保护设备上的图像文件。
使用适用于移动设备且支持 RMS 的 PDF 查看器打开 PDF 文件,这些文件受适用于 Windows 的 RMS 共享应用程序或其他支持 RMS 的应用程序保护。
使用来自软件供应商(提供支持 RMS 的应用)的其他应用,这些应用所支持的文件类型本身支持 RMS。
使用通过 RMS SDK 编写的内部开发的支持 RMS 的应用。
有关 RMS 支持的不同文件类型的详细信息,请参阅 Rights Management 共享应用程序管理员指南中的支持的文件类型和文件扩展名部分。
除对 Windows PowerShell 做出会影响部署 AD RMS 角色及其服务和组件的新更改外,已为部署 Windows Server 2012 安装时可用的 AD RMS 添加了新的属性。 下表提供了有关可在什么位置使用这些新属性支持新更改(如支持强加密)的详细信息和注释。
安装类型 | 容器 | 属性 | 默认值 | 说明 |
---|---|---|---|---|
RootCluster | CryptoSupport | SupportCryptoMode2 | True | 此容器默认情况下会显示,并设置为启用对强加密的支持。 |
RootCluster | SSLCertificateSupport | — | — | 此容器只会在 ClusterURL 属性设置为 HTTPS 时显示。 |
RootCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | 此属性的默认值允许你在部署 AD RMS 后选择证书。 其他代替值包括 Create(启用自签名证书)或 Existing(启用现有的证书)。 |
RootCluster | SSLCertificateSupport | Thumbprint | [未设置] | 此属性用于指定可标识证书的指纹。 它只会在 SSLCertificateOption 属性设置为“Existing”时显示。 |
LicensingCluster | SSLCertificateSupport | — | — | 此容器只会在 ClusterURL 属性设置为 HTTPS 时显示。 |
LicensingCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | 此属性的默认值允许你在部署 AD RMS 后选择证书。 其他代替值包括 Create(启用自签名证书)或 Existing(启用现有的证书)。 |
LicensingCluster | SSLCertificateSupport | Thumbprint | [未设置] | 此属性用于指定可标识证书的指纹。 它只会在 SSLCertificateOption 属性设置为“Existing”时显示。 |
JoinCluster | SSLCertificateSupport | — | — | 此容器会在 DatabaseName 属性设置为使用 SSL 的群集数据库时显示。 |
JoinCluster | SSLCertificateSupport | SSLCertificateOption | ChooseLater | 此属性的默认值允许你在部署 AD RMS 后选择证书。 其他代替值包括 Create(启用自签名证书)或 Existing(启用现有的证书)。 |
JoinCluster | SSLCertificateSupport | Thumbprint | [未设置] | 此属性用于指定可标识证书的指纹。 它只会在 SSLCertificateOption 属性设置为“Existing”时显示。 |
JoinCluster | ADFSSupport | — | — | 该容器默认存在于所有在 Windows 2008 R2 或更高版本中运行的 AD RMS 安装中,但如果已安装了 ADRMS-Identity 角色服务,则仅会在 Windows Server 2012 中出现。 |
JoinCluster | ADFSSupport | ADFSUrl | [未设置] | 此属性的值必须是有效 AD FS 服务器的 Web 地址 (URL)。 例如,"http:// fs.corp.contoso.com" |
说明 |
---|
如果出现此类错误,它只表明 AD RMS 失去了预期的 SSL 绑定。 如果是这样,你可以假设 AD RMS 已完全提供,并按预期操作。 若要解决此问题,你仅需在使用 AD RMS 服务器之前,在 IIS 上配置 SSL 证书。 |
在以前版本的带有 AD RMS 和 Windows Server 2008 的 Windows Server® 2008 R2 中,不可能启用一个以上的 AD RMS 配置向导实例来安装或更新相同服务器计算机中的多个 AD RMS 部署。 由于为 Windows Server 2012 对服务器管理器做出设计更改,多个“添加角色和功能向导”的实例现可同时运行,从而使启用两个或以上AD RMS 配置向导实例成为可能。
这一更改增添了什么价值?
当你选择角色部署选项时,在 Windows Server 2012 中对服务器管理器做出的更改促使服务器角色和跨越 Windows Server 2012 的技术更为开放、有效和灵活。
工作原理的不同之处是什么?
由于对服务器管理器做出的更改促使多个实例可同时在 Windows Server 2012 中予以部署和配置,并且该更改与部署最佳设计的 AD RMS 的方式不相一致,因此,AD RMS 安装程序无法阻止启动多个 AD RMS 配置向导以创建新群集或连接现有的群集。 因此,将AD RMS 配置向导应用于以下逻辑和检测过程,从而确定如何管理多个 AD RMS 安装程序实例同时发生的次数。
如果启动多个实例并用于连接早已存在的 AD RMS 群集,则 AD RMS 安装程序在所有活动实例中都能顺利完成。
如果启动多个实例并用于尝试创建相同的新 AD RMS 群集,则 AD RMS 安装程序在所有活动实例中以失败告终。
该部分描述了你在虚拟机上部署 AD RMS 时要考虑的问题。 总而言之,AD RMS 适用于虚拟化,尤其是对测试和评估目的而言。 但是,当你使用虚拟化的 AD RMS 服务器时应遵守一些实践。 以下部分将介绍这些注意事项。
这一更改增添了什么价值?
使用虚拟化平台(如 Hyper-V),出于评估目的部署 AD RMS 可提供许多便利功能,从而简化测试过程。 例如,虚拟化可让你轻松地建立与生产网络环境独立开来的完整私有虚拟网络配置,在该生产网络环境中,你可随意测试和评估 AD RMS 部署直到你感到满意,然后再尝试在你的生产环境中部署它。
工作原理的不同之处是什么?
当使用虚拟化 AD RMS 服务器时,以下是一些为达到最佳效果而必须遵守或遵循的部署实践和功能。
为确保在测试条件下操作的虚拟化 AD RMS 服务器之间的性能与可比较的物理 AD RMS 服务器可能在 AD RMS 的后续生产部署中的性能相一致,请在你创建虚拟机时遵循推荐的指导要求,然后按照那些要求在物理服务器计算机上安装 AD RMS。 特别是,为虚拟的 AD RMS 服务器选择较高的 RAM 推荐值。 如果你遵循推荐的硬件指导方针,AD RMS 的虚拟测试服务器部署和任何你可能稍后根据虚拟实验测试结果在生产中部署的可比较物理服务器安装程序之间的性能不存在任何可察觉的差异。
当你在虚拟服务器上安装 AD RMS 时,你不能将内部硬件安全模块 (HSM) 用于 AD RMS 密钥存储。 但是,你可以使用所有其他形式的密钥存储:网络 HSM 密钥存储、AD RMS 集中管理的密钥存储和软件 CSP 密钥存储。
如果你以前在虚拟硬盘 (VHD) 上安装 AD RMS,然后脱机取下 VHD 以卸载 AD RMS,则 AD RMS 角色将不能完全被删除。 若要确保完全和妥当删除 AD RMS,你应先删除 AD RMS 服务器角色,然后再关闭任何与虚拟机上原装的 AD RMS 关联的 VHD。
对于 Windows Server 2012,AD RMS 现连接服务器角色列表,例如服务器核心部署支持的 Active Directory 域服务 (AD DS) 和 Active Directory 证书服务 (AD CS)。 服务器核心是允许你执行 Windows Server 操作系统最小安装的安装选项,这可能对节省部署和管理服务器的总拥有成本有帮助。
这一更改增添了什么价值?
使用服务器核心部署 AD RMS 可让你简化管理、减少维修、降低内存和磁盘要求,并减少攻击表面。 在服务器核心下运行的服务器管理起来更简单、更节省成本,在生产部署中也更为稳定和安全。
工作原理的不同之处是什么?
在 Windows Server 2012 中,服务器核心安装选项不再是安装过程中不可取消的选择。 在 Windows Server 2008 R2 和 Windows Server 2008 中,如果你的需求发生了变化,那么除了完全重新安装操作系统之外,无法在完全安装和服务器核心安装之间转换。 现在你可根据需要在完全 Windows Server 安装和在服务器核心上运行之间进行管理员转换。 有关详细信息,请参阅 Windows Server 安装选项。
在服务器核心安装中,不支持 AD RMS 服务器角色的可选联合身份验证支持角色服务。 这是因为联合身份验证支持依赖于 AD FS 服务器角色的一个角色服务,在服务器核心安装中禁用的声明可知代理。
如果你尝试为 AD RMS 添加“联合身份验证支持”,会发生下面的错误。
The request to add or remove features on the specified server failed. Installation of one or more roles, role services, or features failed. - The source files could not be downloaded. Use the /source option to specify the location of the files that are required to restore the feature. The file location should either be the root directory of a mounted image or a component store that has the Windows Side-by-Side directory as an immediate subfolder.
用于通过下载源文件解决这个问题的指令不适用于这种情况。 因为声明可知代理在“服务器核心”是禁用的,所以无法安装“联合身份验证支持”。
Windows Server 2012 还包括以下功能更新,最近已作为对 AD RMS 中的 Windows Server 2008 R2 角色的更新添加。
简单委派
强加密
因为这些功能对于大部分客户来说仍然较新,会再次进行较为详细的讨论,以便帮助增进对它们的了解,并为那些不熟悉这些功能在 AD RMS 功能集中的外观的顾客提供更多上下文信息。
AD RMS 的简单委派可让你拥有已分配给某个人但委派给其组织中的其他人的受保护内容的相同访问权。
这一更改增添了什么价值?
简单委派允许轻松高效地将委派给助手的内容权限分配给主管和经理。 从而允许助手拥有和主管相同的信息权限管理保护 (IRM) 内容访问权限级别。 通过扩展 Active Directory 架构支持两个新属性,可根据需要轻松打开或关闭委派权,从而为支持组织领导和管理的人员实现合适的权限或限制级别。
工作原理的不同之处是什么?
在 Windows Server 2012 中启用 AD RMS 简单委派的要求与在 Windows Server 2008 R2 中使用它的要求相类似。 两种属性(msRMSDelegator 和 msRMSDelegatorBL) 添加到 Active Directory 架构。 可使用借助 Ldifde.exe 工具执行的更新文件实现这一点。 这些扩展属性必须适用于所有发生 AD RMS 许可的林。 此外,你还可能必须设置 AD RMS 的额外权限以读取这些属性,并更新支持 AD RMS 的 SQL 安装,以便准备好你的部署,为使用简单委派提供支持。
对于与 Windows Server 2012 中的启用方式不同的 Windows Server 2008 R2 中的简单委派要求,其唯一其他变化是可用来启用和禁用它的新 AD RMS PowerShell 属性。 默认情况下,功能是被禁用的,但若要启用简单委派,请在 Windows PowerShell 提供的 PowerShell 驱动器中的提升的 AD RMS 提示符处使用以下命令行:
PS w:\SecurityPolicy\Delegation> Set-ItemProperty -path . –Name IsEnabled –Value $true
有关详细信息,请参阅可使用更新在基于 Windows Server 2008 R2 的计算机上启用 AD RMS 中的简单委派。
AD RMS 的强加密可让你通过运行被称为加密模式 2 的高级模式来提高 AD RMS 部署的加密强度。
这一更改增添了什么价值?
在强加密条件下运行 AD RMS 可提供更新和增强的加密实施,以支持较强的加密和较强的加密密钥。 例如,在模式 2 操作中,将 RSA 加密从 1024 位加密增强为 2048 位加密。 此外,用于哈希的加密密钥不仅更长(从 160 位密钥改为 256 位密钥),而且现在使用 SHA-2 哈希算法 (SHA-2/SHA-256) 标准。
AD RMS 中的强加密值是可让你的组织满足在国家标准技术研究院 (NIST) 制定的当前安全标准方面的监管合规性。 从 2011 年 1 月 1 日开始,NIST 颁发了推荐使用 2048 位 RSA 密钥的特别报告书 800-57。 美国联邦机构必须服从 NIST 推荐,而许多私营企业和其他国家/地区则可以选择性地实施此推荐。 若要了解详细信息,请参阅 NIST 特别出版物。
工作原理的不同之处是什么?
若要在你的 AD RMS 部署中启用强加密,所有托管 AD RMS 服务器或客户端软件的计算机必须是打补丁的和更新的。
若要将 AD RMS 服务器更新为加密模式 2,你可以使用 AD RMS 管理控制台或适用于 AD RMS 的 Windows PowerShell cmdlet。
使用 AD RMS 管理控制台,你可选择将加密模式 1 中现有的 AD RMS 服务器更新为加密模式 2。
在导航窗格中,选择要升级的 AD RMS 服务器。
从“操作”菜单(或在“操作”窗格中),选择“更新到加密模式 2”选项。
如果你使用 Windows PowerShell,则可选择使用 ADRMS 模块,将加密模式 1 中现有的 AD RMS 服务器更新为加密模式 2。
若要使用 Windows PowerShell 更新为加密模式 2,请使用以下语法:
Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount-force –NewCSPName <”Mode2 Supported CSP”> -Regen
以下项目将应用于作为以上语法的组成部分指定的参数:
UpdateCryptographicModeOnly 是指明应启用加密模式 2 的参数。 这是一个单向操作。 完成后,你不能将 AD RMS 服务器返回到加密模式 1。
Force 参数是可用于覆盖用户信息提示符的可选开关。
NewCSPName 参数指明你想用于加密的加密提供程序。 这是一个可选设置,具体取决于你当前的机密密钥设置。 默认情况是 Microsoft 增强 RSA 和 AES 加密服务提供程序,但也可能是其他加密模式 2 提供程序,例如来自硬件安全模块的,支持最少 2048 位加密。
作为示例,如果 AD RMS 服务器帐户命名为 ADRMSSvc,你可打开 Windows PowerShell 提示符,并运行以下命令以将 AD RMS 服务器更新为加密模式 2:
Update-ADRMS –UpdateCryptographicModeOnly –ServiceAccount ADRMSSvc –NewCSPName "Microsoft Enhanced RSA and AES Cryptographic Provider"