关键数据的保险箱,AD RMS服务器部署指南<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
         我们在无数的好莱坞影片中看到过商业间谍为了窃取企业的机密数据而斗智斗勇,绞尽脑汁的精彩镜头,但我们有没有想到过,如果这一幕就发生在我们身边,我们该如何加以防范呢?微软公司的RMS(Rights Management Services 版权管理服务)服务器就是为此应运而生的。RMS可以保护企业内的重要文件,授权只有特定用户才能访问这些文件。当然,有读者会指出,文件服务器的权限也可以做到这一点。不要着急,继续听我介绍,RMS还可以允许文件不能被复制,打印,转发,甚至离开了公司就无法打开这些文件。怎么样,这些功能靠文件服务器的权限就无法实现了吧,EFS也无能为力。
         RMS设计的这些功能显然是为了防止一些用户把公司的机密文件利用U盘带出公司,或通过电子邮件转发出去,毕竟古人有言在先:千防万防,家贼难防啊!RMS要求用户每次打开文件,都要在RMS服务器上申请凭据,然后才能打开被加密的文件内容。一旦文件离开了公司环境,访问者就无法联系RMS服务器了,文件内容也就无法阅读了。即使在公司内,RMS也可以允许用户只能阅读,无法打印,复制,通过邮件转发,极大地提高了窃取机密内容的难度。当然,RMS不可能实现百分之百的安全,万一有个用户使用DV把屏幕上的文件内容都录制下来,或者直接用笔记录下来,那文件内容的泄露还是不可避免的。只是,间谍当到这个份上,杯具啊….
         介绍了RMS的大致功能,我们要通过一个实例为大家实际演练一下。我们的实验拓扑如下图所示,RMSERVER的操作系统是Win 2008 R2,我们要在RMSERVER上实现RMS服务。DCSERVER的操作系统是Win2003,DCSERVER的角色是域控制器,DNS服务器,还是一个企业根CA。XP的操作系统是XP SP2,用于测试的客户机。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
一  RMS部署前准备
         RMS服务在部署之前要先做一些准备工作。首先,我们需要在域控制器上创建一个RMS管理员账号,这是因为RMS服务器安装时不允许使用域中的administrator账号。打开域控制器上的Active Directory用户和计算机,如图1所示,创建一个名为RMSADMIN的用户。这个用户也具有域管理员权限,我们要使用RMSADMIN用户在RMSERVER上登录。
图1
         创建完用户后,我们还需要为RMS服务器申请一个服务器证书。我们以RMSADMIN的身份在RMSERVER上登录,通过MMC控制台定制出一个管理本地计算机证书的管理单元。然后通过申请证书任务为RMSERVER在企业根CA上申请证书,如图2所示,我们已经申请到了一个RMSERVER.CONTOSO.COM的计算机证书,这个证书可以用于服务器验证,也可以用于客户机验证,能够满足我们的实验需求。
图2
二  RMS服务器部署
         RMS服务在Win2008之后的操作系统中已经被内置了,我们在Win2008 R2上可以很方便地通过添加服务器角色来安装RMS。如图3所示,我们在RMSERVER上打开服务器管理器,选择“添加角色”。
图3
         如图4所示,我们在角色列表中勾选了“Active Directory Right Management Services”后,角色向导提示我们RMS还需要IIS,消息队列等其他的组件配合。点击“添加所需的角色服务”,角色向导就会自动把需要的角色都安装上。
图4
         如图5所示,接下来我们要为RMS选择角色服务。我们没有勾选“联合身份验证支持”,这时因为联合身份验证的作用是允许不同企业间共同使用一方的AD RMS群集,而我们本次的实验中并不涉及这方面的内容。
图5
         如图6所示,接下来我们要选择是创建一个RMS群集还是加入一个RMS群集。由于目前我们没有现成的RMS群集,因此我们只能选择创建一个RMS群集。RMSERVER将是这个群集中的根服务器,后期加入的RMS服务器则是叶服务器。
图6
         如图7所示,接下来我们要为RMS选择数据库。我们可以使用Win2008 R2中自带的内部数据库,也可以使用其他的数据库实例。本例中我们使用服务器自带的Windows内部数据库。
图7
         如图8所示,我们需要提供一个域账号用于为让RMS可以和RMS服务器上的其他网络服务通信。我们只需要提供一个普通的域用户账号即可,在本次实验环境下,为简单起见,我们提供了administrator账号,在生产环境下不建议这么做!
图8
         如图9所示,我们要为AD RMS群集键选择存储方式,系统默认是在服务器本地存储密钥,这个密钥可以用于AD RMS群集的灾难重建。如果选择使用CSP密钥存储,安全性会更高但配置起来会更复杂。本例中我们使用系统默认值,在服务器本地存储密钥。
图9
         如图10所示,我们接下来要指定一个密钥,用于加密群集键。
图10
         如图11所示,我们要为RMS群集选择所使用的网站,我们使用IIS中的默认网站即可。
图11
         如图12所示,接下来要选择RMS群集和客户机通讯时所使用的协议,可以选择HTTP或HTTPS协议,为了安全起见,当然应该选择使用HTTPS。在完全限定域名中应该输入RMSERVER.CONTOSO.COM,注意,这个域名应该和RMS服务器所申请证书上的计算机名称一致。
图12
         如图13所示,选择了HTTPS协议后,我们要为HTTPS协议选择证书,之前申请的计算机证书现在可以派上用场了。最好不要使用自签名证书,因为客户机并不信任自签名证书的颁发机构,必须手工让客户机信任,操作很麻烦,建议还是使用企业根CA比较好。
图13
         如图14所示,接下来要设置命名服务器许可方证书,默认这个证书名称和RMS服务器的NETBIOS名称相同,我们保存默认值即可。
图14
         如图15所示,我们要为RMS群集在Active Directory中注册服务连接点。注册了服务连接点后,客户机可以很方便地通过Active Directory查询到RMS群集。

图15
         如图16所示,RMS需要IIS7角色,角色向导列出了所需要的IIS7角色服务列表,我们一般情况下都无需修改这个列表。
图16
         如图17所示,确认摘要中的各项信息没有错误,点击“安装”按钮就可以开始RMS角色的部署了。RMS角色部署完毕后,我们将在下一篇博文中为大家介绍RMS服务器的一些基本配置。
图17

关键数据保险箱,AD RMS服务器部署指南相关推荐

  1. AD RMS服务器部署(一)RMS安装

    微软的RMS(Rights Management Services 版权管理服务)服务器可以保护企业内的重要文件,授权只有特定用户才能访问这些文件(当然文件服务器的权限也可以做到这一点).RMS还可以 ...

  2. Server 2008 R2 AD RMS完整部署:AD部署篇

    在上一篇里我们完成了基本环境的准备,这一篇主要是讲AD的部署,完成之后我们需要把RMS服务器和两个客户端都加入到域中.好了废话就不说了,首先在我们创建的DC虚机上登录,并对计算机名称进行修改. 完成后 ...

  3. Server 2008 R2 AD RMS完整部署:一、用户创建篇

    在完成了基础环境的搭建,我们已经成功的部署了基于Server 2008 R2的活动目录,并且完成了DC的安装.在这一篇里我们需要做的是在AD中创建一个用于AD RMS服务和管理的帐户,该账户不允许使用 ...

  4. 帆软 可视化大数据主页展示与服务器部署

    帆软使用记录 1.帆软简介 2.使用背景 2.1.项目结构和环境 3.具体步骤 3.1.需求 3.2.页面制作步骤 3.3.本地部署步骤 3.4.服务器部署步骤 3.5.最终效果展示 4.bug记录 ...

  5. AD域服务器搭建指南

    AD域服务器搭建过程学习 环境以及工具介绍 Windows Server 2016 安装 AD域服务器安装 错误集锦 1.Server配置静态IP 2.校验域服务器是否成功配置 3.客户机加入AD域失 ...

  6. 微软 rms服务器端,微软RMS服务器部署之准备篇

    [IT168 专稿]Microsoft Windows Rights Management Services(权限管理服务,简称 RMS)是一种信息保护技术,它与启用 RMS 的应用程序配合以帮助保护 ...

  7. java web windows_Java Web服务器部署指南(windows版)

    第一步:安装JDK 1. 下载JDK:(百度或者到Oracle官网,下载适合你的windows版本的JDK,这里就不贴出下载地址了.) 2. 傻瓜式安装(值得注意的地方是:最好不要安装在系统盘,另外安 ...

  8. 华为RH2288V3服务器部署指南

    一.配置好局域网 首先配置好局域网,将电脑和服务器通过网线直连,服务器默认IP192.168.2.100,因此电脑本地的IP需要设置一下改为和服务器同一网段: 二.登录导控制页面 浏览器中输入服务器的 ...

  9. linux 异星工厂服务器,Factorio服务器部署指南

    Centos 8: yum install screen wget https://www.factorio.com/get-download/1.0.0/headless/linux64 tar - ...

最新文章

  1. [Luogu] 选学霸
  2. 应用开发也去中心化?基于BCH的筹款平台Akari-Pages与Lighthouse正面交锋
  3. java下拉框查询_[Java教程]jQuery实现联动下拉列表查询框
  4. hdu 2563(递推)
  5. Python——高阶函数
  6. UVa——110303 Common Permutation(字符串)
  7. 将不确定变成确定~Uri文本文件不用浏览器自动打开,而是下载到本地
  8. java反编译工具jd-gui-osx for mac M1芯片无法使用的两个问题场景
  9. 研发、运营必备实用工具网站
  10. Java之—hutool工具类二维码生成跟背景图合并输出
  11. 输入法快捷键_关于日语输入法,你需要知道的一切
  12. 编写程序模拟用户输入手机号码、邮箱号码、座机号码,验证格式是否正确并给出提示,直到格式输入正确为止
  13. Python学习笔记之疑问 1:def 是什么意思
  14. 基于Aspect的情感分析
  15. C++如何打开一个exe文件
  16. 考研要求过英语四六级!这些大学有明确规定!
  17. jQuery教程(整理自W3CSchool)(第一部分)
  18. DRGs SQL数据库查询城镇职工医保定点医疗机构药占比
  19. 【视频异常检测-论文阅读】Anomaly Detection in Video via Self-Supervised and Multi-Task Learning
  20. Abrash和TimSweeney两个文章

热门文章

  1. 30分钟入门Java8之默认方法和静态接口方法
  2. LINUX中断学习笔记【转】
  3. 为tomcat6批量生成安全证书
  4. 思杰“个人云”翻开企业人本管理新篇章
  5. node-webkit学习(2)基本结构和配置
  6. Jackson——来自官网的翻译
  7. 在CentOS_Linux版虚拟机中安装VMTools工具
  8. spring session 退出登录 清理session
  9. java内存模型 年轻代/年老代 持久区
  10. ADMT3.2域迁移之Server2003至Server2012系列(七)安装ADMT3.2