AD RMS

關鍵資料的保險箱，AD RMS伺服器部署指南

我們在無數的好萊塢影片中看到過商業間諜為了竊取企業的機密資料而鬥智鬥勇，絞盡腦汁的精彩鏡頭，但我們有沒有想到過，如果這一幕就發生在我們身邊，我們該如何加以防範呢？微軟公司的RMS（Rights Management Services 版權管理服務）伺服器就是為此應運而生的。RMS可以保護企業内的重要檔案，授權隻有特定使用者才能通路這些檔案。當然，有讀者會指出，檔案伺服器的權限也可以做到這一點。不要着急，繼續聽我介紹，RMS還可以允許檔案不能被複制，列印，轉發，甚至離開了公司就無法打開這些檔案。怎麼樣，這些功能靠檔案伺服器的權限就無法實作了吧，EFS也無能為力。

RMS設計的這些功能顯然是為了防止一些使用者把公司的機密檔案利用U盤帶出公司，或通過電子郵件轉發出去，畢竟古人有言在先：千防萬防，家賊難防啊！RMS要求使用者每次打開檔案，都要在RMS伺服器上申請憑據，然後才能打開被加密的檔案内容。一旦檔案離開了公司環境，通路者就無法聯系RMS伺服器了，檔案内容也就無法閱讀了。即使在公司内，RMS也可以允許使用者隻能閱讀，無法列印，複制，通過郵件轉發，極大地提高了竊取機密内容的難度。當然，RMS不可能實作百分之百的安全，萬一有個使用者使用DV把螢幕上的檔案内容都錄制下來，或者直接用筆記錄下來，那檔案内容的洩露還是不可避免的。隻是，間諜當到這個份上，杯具啊….

介紹了RMS的大緻功能，我們要通過一個執行個體為大家實際演練一下。我們的實驗拓撲如下圖所示，RMSERVER的作業系統是Win 2008 R2，我們要在RMSERVER上實作RMS服務。DCSERVER的作業系統是Win2003，DCSERVER的角色是域控制器，DNS伺服器，還是一個企業根CA。XP的作業系統是XP SP2，用于測試的客戶機。

一RMS部署前準備

RMS服務在部署之前要先做一些準備工作。首先，我們需要在域控制器上建立一個RMS管理者賬号，這是因為RMS伺服器安裝時不允許使用域中的administrator賬号。打開域控制器上的Active Directory使用者和計算機，如圖1所示，建立一個名為RMSADMIN的使用者。這個使用者也具有域管理者權限，我們要使用RMSADMIN使用者在RMSERVER上登入。

圖1

建立完使用者後，我們還需要為RMS伺服器申請一個伺服器證書。我們以RMSADMIN的身份在RMSERVER上登入，通過MMC控制台定制出一個管理本地計算機證書的管理單元。然後通過申請證書任務為RMSERVER在企業根CA上申請證書，如圖2所示，我們已經申請到了一個RMSERVER.CONTOSO.COM的計算機證書，這個證書可以用于伺服器驗證，也可以用于客戶機驗證，能夠滿足我們的實驗需求。

圖2

二RMS伺服器部署

RMS服務在Win2008之後的作業系統中已經被内置了，我們在Win2008 R2上可以很友善地通過添加伺服器角色來安裝RMS。如圖3所示，我們在RMSERVER上打開伺服器管理器，選擇“添加角色”。

圖3

如圖4所示，我們在角色清單中勾選了“Active Directory Right Management Services”後，角色向導提示我們RMS還需要IIS，消息隊列等其他的元件配合。點選“添加所需的角色服務”，角色向導就會自動把需要的角色都安裝上。

圖4

如圖5所示，接下來我們要為RMS選擇角色服務。我們沒有勾選“聯合身份驗證支援”，這時因為聯合身份驗證的作用是允許不同企業間共同使用一方的AD RMS群集，而我們本次的實驗中并不涉及這方面的内容。

圖5

如圖6所示，接下來我們要選擇是建立一個RMS群集還是加入一個RMS群集。由于目前我們沒有現成的RMS群集，是以我們隻能選擇建立一個RMS群集。RMSERVER将是這個群集中的根伺服器，後期加入的RMS伺服器則是葉伺服器。

圖6

如圖7所示，接下來我們要為RMS選擇資料庫。我們可以使用Win2008 R2中自帶的内部資料庫，也可以使用其他的資料庫執行個體。本例中我們使用伺服器自帶的Windows内部資料庫。

圖7

如圖8所示，我們需要提供一個域賬号用于為讓RMS可以和RMS伺服器上的其他網絡服務通信。我們隻需要提供一個普通的域使用者賬号即可，在本次實驗環境下，為簡單起見，我們提供了administrator賬号，在生産環境下不建議這麼做！

圖8

如圖9所示，我們要為AD RMS群集鍵選擇存儲方式，系統預設是在伺服器本地存儲密鑰，這個密鑰可以用于AD RMS群集的災難重建。如果選擇使用CSP密鑰存儲，安全性會更高但配置起來會更複雜。本例中我們使用系統預設值，在伺服器本地存儲密鑰。

圖9

如圖10所示，我們接下來要指定一個密鑰，用于加密群集鍵。

圖10

如圖11所示，我們要為RMS群集選擇所使用的網站，我們使用IIS中的預設網站即可。

圖11

如圖12所示，接下來要選擇RMS群集和客戶機通訊時所使用的協定，可以選擇HTTP或HTTPS協定，為了安全起見，當然應該選擇使用HTTPS。在完全限定域名中應該輸入RMSERVER.CONTOSO.COM,注意，這個域名應該和RMS伺服器所申請證書上的計算機名稱一緻。

圖12

如圖13所示，選擇了HTTPS協定後，我們要為HTTPS協定選擇證書，之前申請的計算機證書現在可以派上用場了。最好不要使用自簽名證書，因為客戶機并不信任自簽名證書的頒發機構，必須手工讓客戶機信任，操作很麻煩，建議還是使用企業根CA比較好。

圖13

如圖14所示，接下來要設定命名伺服器許可方證書，預設這個證書名稱和RMS伺服器的NETBIOS名稱相同，我們儲存預設值即可。

圖14

如圖15所示，我們要為RMS群集在Active Directory中注冊服務連接配接點。注冊了服務連接配接點後，客戶機可以很友善地通過Active Directory查詢到RMS群集。

圖15

如圖16所示，RMS需要IIS7角色，角色向導列出了所需要的IIS7角色服務清單，我們一般情況下都無需修改這個清單。

圖16

如圖17所示，确認摘要中的各項資訊沒有錯誤，點選“安裝”按鈕就可以開始RMS角色的部署了。RMS角色部署完畢後，我們将在下一篇博文中為大家介紹RMS伺服器的一些基本配置。

圖17

本文出自 “嶽雷的微軟網絡課堂” 部落格，請務必保留此出處http://yuelei.blog.51cto.com/202879/313989