- Установка и настройка ADRMS на Windows Server 2012 R2
- Перенос служб ролей для служб федерации Active Directory в Windows Server 2012 Migrate Active Directory Federation Services Role Services to Windows Server 2012
- Поддерживаемые сценарии миграции Supported migration scenarios
- Поддерживаемые операционные системы Supported operating systems
- Поддерживаемые службы ролей и компоненты AD FS Supported AD FS role services and features
Установка и настройка ADRMS на Windows Server 2012 R2
В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе Windows Server 2012 R2 в организация масштаба small и middle-size.
В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.
Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:
- Желательно использовать выделенный сервер AD RMS. Не рекомендуется совмещать роль AD RMS с ролью контроллера домена, сервера Exchange, SharePoint Server или центра сертификации (CA)
- У пользователей AD должен быть заполнен атрибут email
- На компьютерах пользователей RMS сервер должен быть добавлен в зону доверенных сайтов IE (Trusted Sites). Проще всего это сделать с помощью групповой политики.
Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).
В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.
Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).
После того, как установка роли ADRMS и сопутствующих ей ролей и функций закончится, чтобы перейти в режим настройки роли ADRMS, щелкните по ссылке Perform additional configuration.
В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).
В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).
Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.
Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).
Не закрывайте мастер настройки AD RMS!
Следующий этап – установка SSL-сертификата на сайт IIS. Сертификат может быть самоподписаным (в дальнейшем его нужно будет добавить в доверенные на всех клиентах), или выданным корпоративным/внешним центром сертификации (CA). Сформируем сертификат с помощью уже имеющегося корпоративного CA. Для этого откройте консоль IIS Manager (inetmgr) и перейдите в раздел Server Certificates. В правом столбце щелкните по ссылке Create Domain Certificate (создать сертификат домена).
Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.
Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.
Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).
На этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.
Запустите консоль ADRMS.
Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.
Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.
Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного автором документа. 
Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires). 
На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on). 
Протестируем созданный шаблон RMS в Outlook Web App, для чего создадим новое пустое письмо, в свойствах которого нужно щелкнуть по кнопке Set Permissions. В выпадающем меню выберите имя шаблона (Email-View-Onl-For-Anyone). 
Отправим письмо, защищенное RMS, другому пользователю. 
Теперь посмотрим как выглядит защищенное письмо в ящике получателя.
Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.
Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.
Перенос служб ролей для служб федерации Active Directory в Windows Server 2012 Migrate Active Directory Federation Services Role Services to Windows Server 2012
Ниже приведены инструкции по миграции следующих служб ролей в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012. The following provides instructions on migrating the following role services to Active Directory Federation Services (AD FS) on Windows Server 2012:
агент на базе токенов Windows AD FS 1.1 и агент с поддержкой утверждений AD FS 1.1, установленный с Windows Server 2008 или Windows Server 2008 R2; AD FS 1.1 Windows token-based agent and AD FS 1.1 claims-aware agent installed with Windows Server 2008 or Windows Server 2008 R2
сервера федерации AD FS 2.0 и прокси-сервера федерации AD FS 2.0, установленные в Windows Server 2008 или Windows Server 2008 R2, AD FS 2.0 federation server and AD FS 2.0 federation server proxy installed on Windows Server 2008 or Windows Server 2008 R2
Поддерживаемые сценарии миграции Supported migration scenarios
Инструкции по миграции содержат следующие задачи. The migration instructions contains the following tasks:
экспорт данных конфигурации AD FS 2.0 с сервера, работающего под управлением Windows Server 2008 или Windows Server 2008 R2; Exporting the AD FS 2.0 configuration data from your server that is running Windows Server 2008 or Windows Server 2008 R2
Выполнение обновления операционной системы этого сервера на месте с Windows Server 2008 или Windows Server 2008 R2 до Windows Server 2012. Performing an in-place upgrade of the operating system of this server from Windows Server 2008 or Windows Server 2008 R2 to Windows Server 2012.
Повторное создание исходной конфигурации AD FS и восстановление оставшихся параметров службы AD FS на этом сервере, на котором теперь выполняется роль AD FS Server, установленная вместе с Windows Server 2012. Recreating the original AD FS configuration and restoring the remaining AD FS service settings on this server, which is now running the AD FS server role that is installed with Windows Server 2012.
Данное руководство не содержит инструкций по переносу сервера, на котором выполняются несколько ролей. This guide does not include instructions to migrate a server that is running multiple roles. Если сервер выполняет несколько ролей, рекомендуется разработать специальную процедуру миграции для данной серверной среды c использованием информации из других руководств по переносу ролей. If your server is running multiple roles, we recommend that you design a custom migration process specific to your server environment, based on the information provided in other role migration guides. Руководства по миграции для дополнительных ролей можно найти на портале по миграции Windows Server. Migration guides for additional roles are available on the Windows Server Migration Portal.
Поддерживаемые операционные системы Supported operating systems
Операционная система целевого сервера: Destination server operating system:
Windows Server 2012 или Windows Server 2008 R2 (параметры Server Core и полная установка) Windows Server 2012 or Windows Server 2008 R2 (Server Core and full installation options)
Процессор целевого сервера: Destination server processor:
64-разрядный (x64) x64-based
| Процессор исходного сервера Source server processor | Операционная система исходного сервера Source server operating system |
|---|---|
| 32-разрядный (x86) или 64-разрядный (x64) x86- or x64-based | Windows Server 2003 с пакетом обновления 2 (SP2) Windows Server 2003 with Service Pack 2 |
| 32-разрядный (x86) или 64-разрядный (x64) x86- or x64-based | Windows Server 2003 R2 Windows Server 2003 R2 |
| 32-разрядный (x86) или 64-разрядный (x64) x86- or x64-based | Windows Server 2008, оба варианта установки: Full и Server Core Windows Server 2008, both full and Server Core installation options |
| 64-разрядный (x64) x64-based | Windows Server 2008 R2 Windows Server 2008 R2 |
| 64-разрядный (x64) x64-based | Вариант установки основных серверных компонентов Windows Server 2008 R2 Server Core installation option of Windows Server 2008 R2 |
| 64-разрядный (x64) x64-based | Параметры Server Core и полная установка Windows Server 2012 Server Core and full installation options of Windows Server 2012 |
- Версии операционных систем, представленные в предыдущей таблице, являются самыми ранними поддерживаемыми сочетаниями ОС и пакетов обновления. The versions of operating systems that are listed in the preceding table are the oldest combinations of operating systems and service packs that are supported.
- В качестве исходных или конечных серверов поддерживаются следующие выпуски ОС Windows Server: Foundation, Standard, Enterprise и Datacenter. The Foundation, Standard, Enterprise, and Datacenter editions of the Windows Server operating system are supported as the source or the destination server.
- Также поддерживается миграция между физическими и виртуальными операционными системами. Migrations between physical operating systems and virtual operating systems are supported.
Поддерживаемые службы ролей и компоненты AD FS Supported AD FS role services and features
В следующей таблице представлены сценарии переноса служб ролей AD FS и их соответствующие параметры, описанные в данном руководстве. The following table describes the migration scenarios of the AD FS role services and their respective settings that are described in this guide.
| Исходный тип From | Установка AD FS с Windows Server 2012 To AD FS installed with Windows Server 2012 |
|---|---|
| сервера федерации AD FS 1.0, установленного с Windows Server 2003 R2, AD FS 1.0 federation server installed with Windows Server 2003 R2 | миграция не поддерживается Migration is not supported |
| прокси-сервера федерации AD FS 1.0, установленного с Windows Server 2003 R2 AD FS 1.0 federation server proxy installed with Windows Server 2003 R2 | миграция не поддерживается Migration is not supported |
| агента на базе токенов Windows AD FS 1.0, установленного с Windows Server 2003 R2 AD FS 1.0 Windows token-based agent installed with Windows Server 2003 R2 | миграция не поддерживается Migration is not supported |
| агента с поддержкой утверждений AD FS 1.0, установленного с Windows Server 2003 R2 AD FS 1.0 claims-aware agent installed with Windows Server 2003 R2) | миграция не поддерживается Migration is not supported |
| сервера федерации AD FS 1.1, установленного с Windows Server 2008 или Windows Server 2008 R2 AD FS 1.1 federation server installed with Windows Server 2008 or Windows Server 2008 R2 | миграция не поддерживается Migration is not supported |
| прокси-сервера федерации AD FS 1.1, установленного с Windows Server 2008 или Windows Server 2008 R2 AD FS 1.1 federation server proxy installed with Windows Server 2008 or Windows Server 2008 R2 | миграция не поддерживается Migration is not supported |
| агента на базе токенов Windows AD FS 1.1, установленного с Windows Server 2008 или Windows Server 2008 R2 AD FS 1.1 Windows token-based agent installed with Windows Server 2008 or Windows Server 2008 R2 | Миграция на одном и том же сервере поддерживается, однако перенесенный агент на базе токенов Windows AD FS Windows будет функционировать только в том случае, если служба федерации AD FS 1.1 установлена с Windows Server 2008 или Windows Server 2008 R2. Migration on the same server is supported, but the migrated AD FS Windows token-based agent will function only with an AD FS 1.1 federation service installed with Windows Server 2008 or Windows Server 2008 R2. Дополнительные сведения можно найти в разделе For more information, see: Взаимодействие с AD FS 1.x Interoperating with AD FS 1.x |
| агента с поддержкой утверждений AD FS 1.1, установленного с Windows Server 2008 или Windows Server 2008 R2 AD FS 1.1 claims-aware agent installed with Windows Server 2008 or Windows Server 2008 R2) | Поддерживается миграция на том же сервере. Migration on the same server is supported. Перенесенный веб-агент с поддержкой утверждений AD FS 1.1 будет функционировать со следующими системами: The migrated AD FS 1.1 claims-aware web agent will function with the following: службой федерации AD FS 1.1, установленной с Windows Server 2008 или Windows Server 2008 R2 AD FS 1.1 federation service installed with Windows Server 2008 or Windows Server 2008 R2 службой федерации AD FS 2.0, установленной с Windows Server 2008 или Windows Server 2008 R2 AD FS 2.0 federation service installed on Windows Server 2008 or Windows Server 2008 R2 AD FS Служба федерации, установленная с Windows Server 2012 AD FS federation service installed with Windows Server 2012 Дополнительные сведения можно найти в разделе For more information, see: |
