- Разбираемся в лицензиях клиентского доступа Microsoft (CAL): какие они бывают и сколько их нужно
- Что такое клиентская лицензия?
- Какие бывают клиентские лицензии и чем они отличаются?
- Лицензии CAL на пользователя (User CAL)
- Лицензии CAL на устройство (Device CAL)
- Что, если в компании несколько серверов?
- Для каких редакций Windows Server нужны клиентские лицензии?
- Нужны ли CAL-лицензии, если пользователи/устройства не подключаются к серверному ПО Microsoft напрямую?
- Windows server rms cal
- Заметки о развертывании клиента службы Rights Management Rights Management Service client deployment notes
- Повторное распространение клиента RMS Redistributing the RMS client
- Установка клиента RMS Installing the RMS client
- Вопросы и ответы о клиенте RMS Questions and answers about the RMS client
- Какие операционные системы поддерживают клиент RMS? Which operating systems support the RMS client?
- Какие процессоры или платформы поддерживают клиент RMS? Which processors or platforms support the RMS client?
- Куда устанавливается клиент RMS? Where is the RMS client installed?
- Какие файлы связаны с клиентом RMS? What files are associated with the RMS client software?
- Устанавливается ли клиент RMS по умолчанию вместе с поддерживаемой операционной системой? Is the RMS client included by default when I install a supported operating system?
- Обновляется ли клиент RMS автоматически через Центр обновления Майкрософт? Is the RMS client automatically updated by Microsoft Update?
- Параметры клиента RMS RMS client settings
- Где клиент RMS хранит лицензии на клиентских компьютерах Where the RMS client stores licenses on client computers
- Параметры реестра Windows для клиента RMS Windows registry settings for the RMS client
- Управление распределением шаблонов для клиента RMS Managing template distribution for the RMS client
- Только AD RMS: ограничение использования клиентом RMS доверенных серверов AD RMS AD RMS only: Limiting the RMS client to use trusted AD RMS servers
- Обнаружение службы RMS RMS service discovery
- Только для служб AD RMS: включение обнаружения службы на стороне сервера с помощью Active Directory AD RMS only: Enabling server-side service discovery by using Active Directory
- Включение обнаружения службы AD RMS путем регистрации точки подключения службы в Active Directory To enable AD RMS service discovery by registering an SCP in Active Directory
- Включение обнаружения службы на стороне клиента с помощью реестра Windows Enabling client-side service discovery by using the Windows registry
- Включение обнаружения службы AD RMS на стороне клиента с помощью реестра Windows To enable client-side AD RMS service discovery by using the Windows registry
- Перенаправление трафика сервера лицензирования Redirecting licensing server traffic
- Включение перенаправления лицензирования RMS с помощью реестра Windows To enable RMS licensing redirection by using the Windows registry
Разбираемся в лицензиях клиентского доступа Microsoft (CAL): какие они бывают и сколько их нужно
В организациях, как правило, используется один или несколько серверов, на которых установлены ОС Windows Server и некоторые сервисы (SQL-сервер для баз данных, Exchange-сервер для почты, календарей и т. д.), которыми пользуются сотрудники. Для того, чтобы использование ИТ-инфраструктуры было законным и, соответственно, не повлекло рисков, необходимо иметь лицензии как для серверов, так и для клиентов.
Что такое клиентская лицензия?
Клиентская лицензия (или CAL — Client Access License) даёт пользователям за их устройствами законное право на доступ к установленному на сервер программному обеспечению Microsoft для серверов — самой Windows, SQL-сервера, Exchange-сервера.
Сама по себе серверная лицензия не предоставляет пользователям и устройствам прав на подключение к серверу. Для этих целей каждый пользователь или устройство должны иметь клиентскую лицензию.
Изготовители серверов, распространяющие программное обеспечение вместе с серверами, могут поставлять лицензии клиентского доступа. При этом приобретаемые вместе с сервером лицензии клиентского доступа предоставляют такие же права, как и аналогичные лицензии, приобретаемые отдельно от оборудования.
Но многие не знают, что корпорация Microsoft больше не поставляет клиентские лицензии (CAL) в составе с операционными системами Windows Server, лицензированными по каналу OEM.
Какие бывают клиентские лицензии и чем они отличаются?
Клиентские лицензии бывают двух типов, и в зависимости от организации работы в компании — используют ли сотрудники несколько устройств или, напротив, за некоторыми устройствами работают поочередно разные люди — можно значительно оптимизировать расходы, выбрав подходящий тип.
Лицензии CAL на пользователя (User CAL)
Лицензируя доступ по числу пользователей, вы покупаете лицензию CAL для каждого сотрудника. При этом не имеет значения, сколько устройств используют сотрудники, для которых вы купили лицензии. Приобретать лицензии CAL по числу пользователей имеет смысл, если сотрудникам вашей компании необходим доступ к корпоративной сети с нескольких разных устройств или если вы не знаете, с каких именно устройств они будут осуществлять доступ. Они также выгодны в тех случаях, когда в организации больше устройств, чем пользователей.
Лицензии CAL на устройство (Device CAL)
Лицензируя доступ по числу устройств, вы покупаете лицензии для каждого устройства, которое обращается к серверу. При этом не важно, сколько пользователей работает с имеющим лицензию устройством. Лицензии CAL на устройство позволяют снизить затраты и упростить администрирование в компаниях, где несколько сотрудников могут использовать одно устройство, например при работе в несколько смен.
Что, если в компании несколько серверов?
В крупной организации может быть сразу несколько серверов. Полезно знать, что наличие CAL-лицензии у пользователя (или устройства) позволяет ему законно работать с любым из них.
Для каких редакций Windows Server нужны клиентские лицензии?
Клиентские лицензии Windows Server 2019 можно использовать и для более ранних версий Windows Server.
Нужны ли CAL-лицензии, если пользователи/устройства не подключаются к серверному ПО Microsoft напрямую?
В компании может использоваться определенный серверный продукт для кадрового управления, бухгалтерского учёта и т. д. с собственной системой лицензирования. Если этот продукт сам по себе обращается к серверному ПО Microsoft — например, SQL Server — то такая схема называется мультиплексированием, и для законного использования нужны CAL-лицензии (в данном примере SQL Server CAL) по числу реальных пользователей/устройств.
Windows server rms cal
В рамках программы Open Value Subscription (OVS) доступны годовые лицензии с подпиской SA и годовые подписки на онлайн-службы. Покупатель лицензий подписывает трехлетнее Соглашение в электронном виде на сайте eAgreements.
Соглашение OVS предусматривает обязательство Клиента купить «Базовые» продукты (CAL, Office, Windows) на все ПК в организации. Клиент может купить один, два или три «Базовых» продукта. Комплект из трех «Базовых» продуктов называется «Платформой».
Лицензии OVS предоставляют временные права на использование текущих и предыдущих версий продуктов. В лицензии включена подписка SA, предоставляющая право апгрейда до новых версий продуктов и некоторые дополнительные преимущества. По окончании срока действия Соглашения OVS клиент может заключить новое Соглашение OVS или выкупить лицензии в бессрочное пользование по цене выкупа, составляющей 1.75 ежегодного платежа.
Подробное описание процесса выпуска лицензий Open Value находится здесь.
Минимальный первичный заказ — 5 лицензий OVS на «Базовые продукты». Минимальная сумма первичного Заказа — 50 тыс.руб. на одну организацию. Последующие Заказы — без ограничений.
.jpg) Microsoft Open Value Subscription В рамках программы Open Value Subscription (OVS) доступны годовые лицензии с подпиской SA и годовые подписки на онлайн-службы. Покупатель лицензий подписывает трехлетнее Соглашение в электронном виде на сайте eAgreements. Соглашение OVS предусматривает обязательство Клиента купить «Базовые» продукты (CAL, Office, Windows) на все ПК в организации. Клиент может купить один, два или три «Базовых» продукта. Комплект из трех «Базовых» продуктов называется «Платформой». Лицензии OVS предоставляют временные права на использование текущих и предыдущих версий продуктов. В лицензии включена подписка SA, предоставляющая право апгрейда до новых версий продуктов и некоторые дополнительные преимущества. По окончании срока действия Соглашения OVS клиент может заключить новое Соглашение OVS или выкупить лицензии в бессрочное пользование по цене выкупа, составляющей 1.75 ежегодного платежа. Подробное описание процесса выпуска лицензий Open Value находится здесь. Минимальный первичный заказ — 5 лицензий OVS на «Базовые продукты». Минимальная сумма первичного Заказа — 50 тыс.руб. на одну организацию. Последующие Заказы — без ограничений. Заметки о развертывании клиента службы Rights Management Rights Management Service client deployment notes
Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться. While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client. Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Дополнительные сведения см. в недавней записи блога о прекращении использования. Learn more in our recent deprecation blog. Клиент службы Rights Management (клиент RMS) версии 2 также называется «клиент MSIPC». The Rights Management Service client (RMS client) version 2 is also known as the MSIPC client. Это программное обеспечение для компьютеров под управлением Windows, взаимодействующее с локальными или облачными службами Microsoft Rights Management. Оно предназначено для защиты доступа к информации и для ее использования по мере ее прохождения через приложения и устройства в пределах и за пределами организации. It is software for Windows computers that communicates with Microsoft Rights Management services on-premises or in the cloud to help protect access to and usage of information as it flows through applications and devices, within the boundaries of your organization, or outside those managed boundaries. Помимо доставки с помощью Azure Information Protectionного клиента с меткой, клиент RMS доступен как дополнительный загружаемый файл , который, в свою сторону, при подтверждении и принятии лицензионного соглашения можно свободно распространять с помощью стороннего программного обеспечения, чтобы клиенты могли защищать и использовать содержимое, защищенное Rights Managementными службами. In addition to shipping with the Azure Information Protection unified labeling client, the RMS client is available as an optional download that can, with acknowledgment and acceptance of its license agreement, be freely distributed with third-party software so that clients can protect and consume content that has been protected by Rights Management services. Повторное распространение клиента RMS Redistributing the RMS clientКлиент RMS можно свободно распространять повторно вместе с другими приложениями и ИТ-решениями. The RMS client can be freely redistributed and bundled with other applications and IT solutions. Если разработчику приложения или поставщику решений требуется повторно распространять клиент RMS, есть два варианта. If you are an application developer or solution provider and want to redistribute the RMS client, you have two options: Рекомендация. Внедрите установщик клиента RMS в установку приложения и запускайте его в автоматическом режиме (параметр /quiet, который описывается в следующем разделе). Recommended: Embed the RMS client installer in your application installation and run it in silent mode (the /quiet switch, detailed in the next section). Сделайте клиент RMS необходимым компонентом для работы приложения. Make the RMS client a prerequisite for your application. В этом случае необходимо предоставить пользователям дополнительные инструкции для получения и установки клиента на компьютер, прежде чем они смогут использовать приложение. With this option, you might need to provide users with additional instructions for them to obtain, install, and update their computers with the client before they can use your application. Установка клиента RMS Installing the RMS clientКлиент RMS содержится в исполняемом файле установщика с именем setup_msipc_ .exe, где — это либо x86 (для 32-разрядных компьютеров), либо x64 (для 64-разрядных компьютеров). The RMS client is contained in an installer executable file named setup_msipc_ .exe, where is either x86 (for 32-bit client computers) or x64 (for 64-bit client computers). В 64-разрядном (x64) пакете установщика устанавливается как 32-разрядный исполняемый файл среды выполнения для совместимости с 32-разрядными приложениями, которые выполняются в рамках установки 64-разрядной операционной системы, так и исполняемый файл с 64-разрядной версией среды выполнения, поддерживающий встроенные 64-разрядные приложения. The 64-bit (x64) installer package installs both a 32-bit runtime executable for compatibility with 32-bit applications that run on a 64-bit operating system installation, as well as a 64-bit runtime executable for supporting built-in 64-bit applications. 32-разрядный (x86) установщик не запускается в 64-разрядной версии Windows. The 32-bit (x86) installer does not run on a 64-bit Windows installation. Вам потребуется более высокий уровень привилегий, чтобы установить клиент RMS, например права члена группы администраторов на локальном компьютере. You must have elevated privileges to install the RMS client, such as a member of the Administrators group on the local computer. Можно установить клиент RMS с помощью любого из следующих методов установки. You can install the RMS client by using either of the following installation methods: Автоматический режим Silent mode. Используя параметр /quiet в составе параметров командной строки, клиент RMS можно установить автоматически. By using the /quiet switch as part of the command-line options, you can silently install the RMS client on computers. В следующем примере показана установка клиента RMS в автоматическом режиме на 64-разрядном клиентском компьютере: The following example shows a silent mode installation for the RMS client on a 64-bit client computer: Интерактивный режим Interactive mode. Вы также можете установить клиент RMS с помощью программы установки с графическим пользовательским интерфейсом, которая предоставляется мастером установки клиента RMS. Alternately, you can install the RMS client by using the GUI-based setup program that’s provided by the RMS Client Installation wizard. Чтобы установить интерактивно, дважды щелкните пакет установщика клиента RMS (setup_msipc_ . exe) в папке, в которую он был скопирован или скачан на локальном компьютере. To install interactively, double-click the RMS client installer package (setup_msipc_ .exe) in the folder to which it was copied or downloaded on your local computer. Вопросы и ответы о клиенте RMS Questions and answers about the RMS clientВ следующем разделе приведены часто задаваемые вопросы о клиент RMS и ответы на них. The following section contains frequently asked questions about the RMS client and the answers to them. Какие операционные системы поддерживают клиент RMS? Which operating systems support the RMS client?Клиент RMS поддерживается в следующих операционных системах: The RMS client is supported with the following operating systems:
Какие процессоры или платформы поддерживают клиент RMS? Which processors or platforms support the RMS client?Клиент RMS поддерживается на 32-разрядных (x86) и 64-разрядных (x64) вычислительных платформах. The RMS client is supported on x86 and x64 computing platforms. Куда устанавливается клиент RMS? Where is the RMS client installed?По умолчанию клиент RMS устанавливается в папку %ProgramFiles%\Active Directory Rights Management Services Client 2 . By default, the RMS client is installed in %ProgramFiles%\Active Directory Rights Management Services Client 2. . Какие файлы связаны с клиентом RMS? What files are associated with the RMS client software?Следующие файлы устанавливаются в рамках клиентского программного обеспечения RMS: The following files are installed as part of the RMS client software: Msipc.dll Msipc.dll Ipcsecproc.dll Ipcsecproc.dll Ipcsecproc_ssp.dll Ipcsecproc_ssp.dll MSIPCEvents.man MSIPCEvents.man Кроме этих файлов, клиент RMS устанавливает файлы поддержки многоязычного пользовательского интерфейса (MUI) для 44 языков. In addition to these files, the RMS client also installs multilingual user interface (MUI) support files in 44 languages. Чтобы проверить поддерживаемые языки, запустите установку клиента RMS и после завершения установки просмотрите содержимое папки многоязычной поддержки в пути по умолчанию. To verify the languages supported, run the RMS client installation and when the installation is complete, review the contents of the multilingual support folders under the default path. Устанавливается ли клиент RMS по умолчанию вместе с поддерживаемой операционной системой? Is the RMS client included by default when I install a supported operating system?Нет. No. Эта версия клиента RMS поставляется в виде дополнительной загрузки, которую можно установить отдельно на компьютерах под управлением поддерживаемых версий операционной системы Microsoft Windows. This version of the RMS client ships as an optional download that can be installed separately on computers running supported versions of the Microsoft Windows operating system. Обновляется ли клиент RMS автоматически через Центр обновления Майкрософт? Is the RMS client automatically updated by Microsoft Update?При установке этого клиента RMS в автоматическом режиме он наследует текущие параметры Центра обновления Майкрософт. If you installed this RMS client by using the silent installation option, the RMS client inherits your current Microsoft Update settings. Если клиент RMS установлен с помощью программы установки на основе графического интерфейса пользователя, мастер установки клиента RMS предложит включить Центр обновления Майкрософт. If you installed the RMS client by using the GUI-based setup program, the RMS client installation wizard prompts you to enable Microsoft Update. Параметры клиента RMS RMS client settingsСледующий раздел содержит сведения о параметрах клиента RMS. The following section contains settings information about the RMS client. Эти сведения могут быть полезны при возникновении проблем с приложениями или службами, которые используют клиент RMS. This information might be helpful if you have problems with applications or services that use the RMS client. Некоторые параметры зависят от того, выполняется ли приложение с поддержкой RMS как приложение в режиме клиента (например, Microsoft Word и Outlook или клиент Azure Information Protection с проводником Windows) или как приложение в режиме сервера (например, SharePoint и Exchange). Some settings depend on whether the RMS-enlightened application runs as a client mode application (such as Microsoft Word and Outlook, or the Azure Information Protection client with Windows File Explorer), or server mode application (such as SharePoint and Exchange). В следующих таблицах эти параметры определяются соответственно как режим клиента и режим сервера. In the following tables, these settings are identified as Client Mode and Server Mode, respectively. Где клиент RMS хранит лицензии на клиентских компьютерах Where the RMS client stores licenses on client computersКлиент RMS хранит лицензии на локальном диске и кэширует некоторые сведения в реестре Windows. The RMS client stores licenses on the local disk and also caches some information in the Windows registry.
* — это идентификатор безопасности для учетной записи, в которой выполняется серверное приложение. * is the secure identifier (SID) for the account under which the server application is running. Например, если приложение выполняется под встроенной учетной записью сетевой службы, замените значением известного идентификатора безопасности для этой учетной записи (S-1-5-20). For example, if the application is running under the built-in Network Service account, replace with the value of the well-known SID for that account (S-1-5-20). Параметры реестра Windows для клиента RMS Windows registry settings for the RMS clientРазделы реестра Windows можно использовать для задания или изменения некоторых конфигураций клиента RMS. You can use Windows registry keys to set or modify some RMS client configurations. Например, администратор приложений с поддержкой RMS, взаимодействующих с серверами AD RMS, может обновить расположение корпоративной службы (переопределить сервер AD RMS, выбранный в данный момент для публикации) в зависимости от текущего расположения клиентского компьютера в топологии Active Directory. For example, as an administrator for RMS-enlightened applications that communicate with AD RMS servers, you might want to update the enterprise service location (override the AD RMS server that is currently selected for publishing) depending on the client computer’s current location within your Active Directory topology. Также можно включить трассировку RMS на клиентском компьютере для устранения проблем в приложении с поддержкой RMS. Or, you might want to enable RMS tracing at the client computer, to help troubleshoot a problem with an RMS-enlightened application. Используйте следующую таблицу для определения параметров реестра, которые можно изменить для клиента RMS. Use the following table to identify the registry settings that you can change for the RMS client.
Управление распределением шаблонов для клиента RMS Managing template distribution for the RMS clientШаблоны позволяют пользователям и администраторам быстро и легко внедрять защиту Rights Management. Клиент RMS автоматически загружает шаблоны в службе или с серверов RMS. Templates make it easy for users and administrators to quickly apply Rights Management protection and the RMS client automatically downloads templates from its RMS servers or service. Если разместить шаблоны в следующей папке, клиент RMS загрузит шаблоны из этой папки, а не из своего расположения по умолчанию. If you put the templates in the following folder location, the RMS client does not download any templates from its default location and instead, download the templates that you have put in this folder. Клиент RMS может по-прежнему загружать шаблоны с других доступных серверов RMS. The RMS client might continue to download templates from other available RMS servers. Режим клиента:%локалаппдата%\микрософт\мсипк\унманажедтемплатес Client Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates Режим сервера:%ALLUSERSPROFILE%\Microsoft\MSIPC\Server\UnmanagedTemplates\ Server Mode: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\ При использовании этой папки нет обязательного специального соглашения об именах, но шаблоны должны быть выданы сервером или службой RMS и должны иметь расширение XML. When you use this folder, there is no special naming convention required except that the templates should be issued by the RMS server or service and they must have the .xml file name extension. Например, Contoso-Confidential.xml или Contoso-ReadOnly.xml являются допустимыми именами. For example, Contoso-Confidential.xml or Contoso-ReadOnly.xml are valid names. Только AD RMS: ограничение использования клиентом RMS доверенных серверов AD RMS AD RMS only: Limiting the RMS client to use trusted AD RMS serversКлиент RMS может быть ограничен в использовании только определенными доверенными серверами AD RMS, если внести следующие изменения в реестр Windows на локальных компьютерах. The RMS client can be limited to using only specific trusted AD RMS servers by making the following changes to the Windows registry on local computers. Включение ограничения на использование клиентом RMS только доверенных серверов AD RMS To enable limiting RMS client to use only trusted AD RMS servers Значение: Если указано ненулевое значение, клиент RMS доверяет только указанным серверам, настроенным в списке TrustedServers и службе Rights Management Azure. Value: If a non-zero value is specified, the RMS client trusts only the specified servers that are configured in the TrustedServers list and the Azure Rights Management service. Добавление элементов в список доверенных серверов AD RMS To add members to the list of trusted AD RMS servers Значение. строковые значения в этом расположении раздела реестра могут быть либо форматом доменных имен DNS (например, ADRMS.contoso.com), либо полными URL-адресами доверенных AD RMS серверов (например, https://adrms.contoso.com ). Value: The string values in this registry key location can be either DNS domain name format (for example, adrms.contoso.com) or full URLs to trusted AD RMS servers (for example, https://adrms.contoso.com ). Если указанный URL-адрес начинается с https://, клиент RMS будет использовать протокол SSL или TLS для связи с сервером AD RMS. If a specified URL starts with https://, the RMS client uses SSL or TLS to contact the specified AD RMS server. Обнаружение службы RMS RMS service discoveryОбнаружение службы RMS позволяет клиенту RMS проверить, с каким сервером или службой RMS будет выполняться взаимодействие, прежде чем защищать содержимое. RMS service discovery lets the RMS client check which RMS server or service to communicate with before protecting content. Обнаружение служб также может происходить, когда клиент RMS использует защищенное содержимое, но это менее вероятно, так как подключенная к содержимому политика содержит предпочитаемый сервер или службу RMS. Service discovery might also happen when the RMS client consumes protected content, but this type of discovery is less likely to happen because the policy attached to the content contains the preferred RMS server or service. Клиент запускает обнаружение служб, только если подключиться к этим источникам не удалось. Only if those sources are unsuccessful does the client then run service discovery. Чтобы обнаружить службу, клиент RMS проверяет следующее. To perform service discovery, the RMS client checks the following: Реестр Windows на локальном компьютере: Если параметры обнаружения службы настроены в реестре, эти параметры будут применяться первыми. The Windows registry on the local computer: If service discovery settings are configured in the registry, these settings are tried first. По умолчанию эти параметры не настроены в реестре, однако администратор может настроить их для службы AD RMS, как описано в следующем разделе. By default, these settings are not configured in the registry but an administrator can configure them for AD RMS as documented in a following section. Как правило, администратор настраивает эти параметры для службы управления правами Azure во время миграции из AD RMS в Azure Information Protection. An administrator typically configures these settings for the Azure Rights Management service during the migration process from AD RMS to Azure Information Protection. Домен Active Directory Services: компьютер, присоединенный к домену, запрашивает Active Directory для точки подключения службы (SCP). Active Directory Domain Services: A domain-joined computer queries Active Directory for a service connection point (SCP). Если точка подключения службы зарегистрирована (как описано в следующем разделе), клиенту RMS возвращается URL-адрес службы RMS. If an SCP is registered as documented in the following section, the URL of the AD RMS server is returned to the RMS client to use. Служба обнаружения Azure Rights Management: клиент RMS подключается к узлу https://discover.aadrm.com , который запрашивает проверку подлинности пользователя. The Azure Rights Management discovery service: The RMS client connects to https://discover.aadrm.com , which prompts the user to authenticate. После успешной проверки подлинности имя пользователя (и домен) проверки подлинности используется для идентификации целевого клиента Azure Information Protection. When authentication is successful, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. URL-адрес службы Azure Information Protection для этой учетной записи пользователя возвращается клиенту RMS. The Azure Information Protection URL to use for that user account is returned to the RMS client. URL-адрес имеет следующий формат: https:// /_wmcs/лиценсинг The URL is in the following format: https:// /_wmcs/licensing Например: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing For example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing имеет следующий формат: Существует четыре важных исключения для потока обнаружения этой службы. There are four important exceptions for this service discovery flow: Мобильные устройства лучше подходят для работы с облачной службой, поэтому по умолчанию они используют обнаружение службы Azure Rights Management (https://discover.aadrm.com). Mobile devices are best suited to use a cloud service, so by default they use service discovery for the Azure Rights Management service (https://discover.aadrm.com). Чтобы переопределить это поведение по умолчанию так, чтобы мобильные устройства использовали AD RMS, а не службу Azure Rights Management, укажите записи SRV в DNS и установите расширение для мобильных устройств, как описано в разделе Расширение служб Active Directory Rights Management для мобильных устройств. To override this default so that mobile devices use AD RMS rather than the Azure Rights Management service, specify SRV records in DNS and install the mobile device extension as documented in Active Directory Rights Management Services Mobile Device Extension. При вызове службы управления правами Azure по метке Azure Information Protection обнаружение службы не выполняется. When the Rights Management service is invoked by an Azure Information Protection label, service discovery is not performed. Вместо этого URL-адрес задается непосредственно в параметре метки, настроенном в политике Azure Information Protection. Instead, the URL is specified directly in the label setting that is configured in the Azure Information Protection policy. Когда пользователь инициирует вход из приложения Office, имя пользователя (и домен) проверки подлинности используется для идентификации целевого клиента Azure Information Protection. When a user initiates sign in from an Office application, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. В этом случае параметры реестра не требуются и точка подключения службы (SCP) не проверяется. In this case, registry settings are not needed and the SCP is not checked. Если вы настроили перенаправления DNS для классических приложений Office с технологией «нажми и работай», клиент RMS находит службу Azure Rights Management благодаря отказу в доступе к ранее обнаруженному кластеру AD RMS. When you have configured DNS redirection for Office click-to-run desktop apps, the RMS client finds the Azure Rights Management service by being denied access to the AD RMS cluster that it previously found. Этот отказ активирует у клиента поиск записи SRV, которая перенаправляет клиент к вашей службе Azure Rights Management. This deny action triggers the client to look for the SRV record, which redirects the client to the Azure Rights Management service for your tenant. Эта запись SRV также позволяет Exchange Online расшифровывать сообщения электронной почты, защищенные вашим кластером AD RMS. This SRV record also lets Exchange Online decrypt emails that have been protected by your AD RMS cluster. Только для служб AD RMS: включение обнаружения службы на стороне сервера с помощью Active Directory AD RMS only: Enabling server-side service discovery by using Active DirectoryЕсли ваша учетная запись обладает нужными привилегиями (администраторы предприятия и локальный администратор для сервера AD RMS), вы можете зарегистрировать точку подключения службы (SCP) автоматически при установке сервера корневого кластера AD RMS. If your account has sufficient privileges (Enterprise Admins and local administrator for the AD RMS server), you can automatically register a service connection point (SCP) when you install the AD RMS root cluster server. Если точка подключения службы уже существует в лесу, сначала удалите имеющуюся точку подключения службы, а затем зарегистрируйте новую. If an SCP already exists in the forest, you must first delete the existing SCP before you can register a new one. Точку подключения службы можно зарегистрировать и удалить после установки AD RMS с помощью следующей процедуры. You can register and delete an SCP after AD RMS is installed by using the following procedure. Прежде чем начинать, убедитесь, что учетная запись имеет необходимые привилегии (администраторов предприятия и локального администратора для сервера AD RMS). Before you start, make sure that your account has the required privileges (Enterprise Admins and local administrator for the AD RMS server). Включение обнаружения службы AD RMS путем регистрации точки подключения службы в Active Directory To enable AD RMS service discovery by registering an SCP in Active DirectoryОткройте консоль управления служб Active Directory на сервере AD RMS: Open the Active Directory Management Services console at the AD RMS server: Для Windows Server 2012 R2 или Windows Server 2012 в Диспетчер сервера выберите инструменты > службы Active Directory Rights Management. For Windows Server 2012 R2 or Windows Server 2012, in Server Manager, select Tools > Active Directory Rights Management Services. Для Windows Server 2008 R2 выберите Пуск > Администрирование > службы Active Directory Rights Management. For Windows Server 2008 R2, select Start > Administrative Tools > Active Directory Rights Management Services. В консоли AD RMS щелкните правой кнопкой мыши кластер AD RMS и выберите пункт Свойства. In the AD RMS console, right-click the AD RMS cluster, and then click Properties. Перейдите на вкладку SCP. Click the SCP tab. Установите флажок Сменить SCP. Select the Change SCP check box. Выберите параметр Задать SCP для текущего кластера сертификации и нажмите кнопку ОК. Select the Set SCP to current certification cluster option, and then click OK. Включение обнаружения службы на стороне клиента с помощью реестра Windows Enabling client-side service discovery by using the Windows registryВ качестве альтернативы использованию SCP или в случаях, когда точка подключения службы не существует, можно настроить реестр на клиентском компьютере, чтобы клиент RMS мог найти свой сервер AD RMS. As an alternative to using an SCP or where an SCP does not exist, you can configure the registry on the client computer so that the RMS client can locate its AD RMS server. Включение обнаружения службы AD RMS на стороне клиента с помощью реестра Windows To enable client-side AD RMS service discovery by using the Windows registryОткройте редактор реестра Windows, Regedit.exe: Open the Windows registry editor, Regedit.exe:
В редакторе реестра перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC. In Registry Editor, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC. Если вы используете 32-разрядное приложение на 64-разрядном компьютере, перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC If you are running a 32-bit application on a 64-bit computer, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC Чтобы создать подраздел ServiceLocation, щелкните правой кнопкой мыши MSIPC, последовательно выберите пункты Создать и Раздел, а затем введите ServiceLocation. To create the ServiceLocation subkey, right-click MSIPC, point to New, click Key, and then type ServiceLocation. Чтобы создать подраздел EnterpriseCertification, щелкните правой кнопкой мыши ServiceLocation, последовательно выберите пункты Создать и Раздел, а затем введите EnterpriseCertification. To create the EnterpriseCertification subkey, right-click ServiceLocation, point to New, click Key, and then type EnterpriseCertification. Чтобы задать URL-адрес сертификации предприятия, дважды щелкните значение (По умолчанию) в подразделе EnterpriseCertification. To set the enterprise certification URL, double-click the (Default) value, under the EnterpriseCertification subkey. При появлении диалогового окна Изменение строкового параметра в поле Значение введите :///_wmcs/Certification и нажмите кнопку OK. When the Edit String dialog box appears, for Value data, type :///_wmcs/Certification , and then click OK. Чтобы создать подраздел EnterprisePublishing, щелкните правой кнопкой мыши ServiceLocation, щелкните Создать, нажмите Ключ, а затем введите EnterprisePublishing . To create the EnterprisePublishing subkey, right-click ServiceLocation, point to New, click Key, and then type EnterprisePublishing . Чтобы задать URL-адрес сертификации предприятия, дважды щелкните значение (По умолчанию) в подразделе EnterprisePublishing. To set the enterprise publishing URL, double-click (Default) under the EnterprisePublishing subkey. При появлении диалогового окна Изменение строкового параметра в поле Значение введите :///_wmcs/Licensing и нажмите кнопку OK. When the Edit String dialog box appears, for Value data, type :///_wmcs/Licensing , and then click OK. Закройте редактор реестра. Close Registry Editor. Если клиент RMS не может найти точку подключения службы с помощью Active Directory и эта точка не указана в реестре, выполнять вызовы обнаружения служб для AD RMS будет невозможно. If the RMS client can’t find an SCP by querying Active Directory and it’s not specified in the registry, service discovery calls for AD RMS fails. Перенаправление трафика сервера лицензирования Redirecting licensing server trafficВ некоторых случаях может потребоваться перенаправить трафик во время обнаружения службы, например когда две организации объединены, старый сервер лицензирования в одной из организаций больше не используется и нужно перенаправлять клиенты на новый сервер лицензирования. In some cases, you might need to redirect traffic during service discovery, for example, when two organizations are merged and the old licensing server in one organization is retired and clients need to be redirected to a new licensing server. Другой пример — если выполняется перенос из AD RMS в Azure RMS. Or, you migrate from AD RMS to Azure RMS. Чтобы включить перенаправление лицензирования, используйте следующую процедуру. To enable licensing redirection, use the following procedure. Включение перенаправления лицензирования RMS с помощью реестра Windows To enable RMS licensing redirection by using the Windows registryОткройте редактор реестра Windows, Regedit.exe. Open the Windows registry editor, Regedit.exe. В редакторе реестра перейдите к одному из следующих разделов: In Registry Editor, navigate to one of the following: Для 64-разрядной версии Office на платформе x64: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation For 64-bit version of Office on x64 platform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation Для 32-разрядной версии Office на платформе x64: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation For 32-bit version of Office on x64 platform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation Создайте подраздел LicensingRedirection. Для этого щелкните правой кнопкой мыши раздел Servicelocation, последовательно выберите пункты Создать и Раздел, а затем введите LicensingRedirection. Create a LicensingRedirection subkey, by right-clicking Servicelocation, point to New, click Key, and then type LicensingRedirection. Чтобы задать перенаправление лицензирования, щелкните правой кнопкой мыши раздел LicensingRedirection, выберите Создать, а затем выберите Строковый параметр. To set the licensing redirection, right-click the LicensingRedirection subkey, select New, and then select String value. В поле Имя укажите URL-адрес предыдущего сервера лицензирования, а в поле Значение укажите URL-адрес нового сервера лицензирования. For Name, specify the previous server licensing URL and for Value specify the new server licensing URL. Например, чтобы перенаправить лицензирование с сервера в Contoso.com на Fabrikam.com, можно ввести следующие значения. For example, to redirect licensing from a server at Contoso.com to one at Fabrikam.com, you might enter the following values: Имя: https://contoso.com/_wmcs/licensing Name: https://contoso.com/_wmcs/licensing Значение: https://fabrikam.com/_wmcs/licensing Value: https://fabrikam.com/_wmcs/licensing Если для старого сервера лицензирования указаны URL-адреса интрасети и экстрасети, необходимо указать новые сопоставления имени и значения для обоих URL-адресов в разделе LicensingRedirection. If the old licensing server has both intranet and extranet URLs specified, a new name and value mapping must be set for both these URLs under the LicensingRedirection key. Повторите предыдущий шаг для всех серверов, которые необходимо перенаправить. Repeat the previous step for all servers that need to be redirected. Закройте редактор реестра. Close the Registry Editor. |
