创建AD RMS文件加密服务器
2017-11-07
AD RMS服务器角色简介
在Windows Server 2008的服务器角色中,有提供过去可安装在Windows Server 2003上的RMS服务,简称为AD RMS服务器角色,来搭配应用程序服务器角色,安装设置全新的AD RMS的服务,以提供客户端Office文件内容的加密功能,这样,有效防范不合法文件的复制、打印等行为。
ADRMS(Active Directory Rights Management Services)必须通过与现有的Active Directory集成,来进行用户的身份验证与属性确认(包括E-mail地址与所属群组),以及让IRM的客户端(Office 2003专业版以上版本、IE6以上浏览器)可以找到RMS所提供的服务 连 接 点(SCP,Service Connection Point),然 后开始进行各种Office文件(Word、PowerPoint、Excel)的加密。接下来就让我们一同来看看这部分的安装设置。
图4 设置数据库
正确安装设置AD RMS服务器角色
首先从“服务器管理员”界面中点击“添加角色”连接,然后勾选“Active Directory Rights Management Services”。由于AD RMS的服务器角色安装需要其他相关的组件,例如IIS网站组件、消息队列服务等,因此,将会出现添加角色向导页面。
接 下 来,在“选 取 角色服务”页面中,勾选“Active Directory Rights Management Services”项,至于“识别身分同盟支持”组件的安装,只有在与不同组织的Active Directory集成时才会用到。
在“创建或加入AD RMS群集”页面中,勾选“创建新 的 AD RMS群 集”。 在“选取设置数据库”的页面中,必须设置AD RMS所要连接的后端SQL Server数据库(如图 4),在默认的状态下,系统会选择使用Windows Server 2008内置 的 SQL Server实 例(称之 为Windows internal Database)。
在“选定服务账户”页面中,点击“选定”按钮来设置一个用来负责启动AD RMS服务器服务的账户,此账户将会自动被加入到AD RMS服务群组的成员之中。在“设置AD RMS群集密钥储存”页面中,选取“使用AD RMS集中管理的密钥储存”项目即可。在“选定AD RMS群集密钥密码”页面中,必须设置一组保护AD RMS群集密钥的密码。
由于AD RMS应用程序是实施在IIS网站的基础之下,因此在“选取AD RMS群集网站”页面中,便需要选择应用程序存放的网站。接下来,在“选定群集地址”页面中,首先必须决定要让AD RMS与IRM客户端联机时,所要采用的联机方式(加密或未加密),在此当然强烈建议选择默认的“使用SSL加密联机”,紧接着,在下方输入完整的内部联机网址与通讯端口,并点击“验证”按钮以确认可以正常联机网站。
在“选择服务器验证证书进行SSL加密”页面中,需要挑选一个现有的服务器证书,或是改由选取“创建自我签署证书进行SSL加密”。不过,这种方式必须将这个签署的证书也一并安装在所有联机的IRM客户端计算机上。在“服务器授权人证书的名称”页面中,输入一个用以识别此证书的识别名称即可。在“登录AD RMS服务联机点”页面中,请选取“立即登录AD RMS服务联机点”项。最后,连续点击多次“下一步”即可完成安装。
完成了AD RMS服务器角色的创建之后,它将以用来集成文件服务器、SharePoint Server网站、Exchange Server,让所有机密性质的Office文件,皆可自动通过AD RMS服务来完成内容加保护,有效防止未经授权的用户通过E-mail、打印或是复制等方式,泄漏了企业的重要机密文件或邮件,造成严重的商业损失。
在此笔者以集成SharePoint Server 2010以上版本为例子,您只要SharePoint管理中心的网站上,开启“信息版权管理”页面,选取“使用在Active Directory中指定的预设RMS服务器”,然后点选“确定”即可进行与AD RMS服务器的连接。
注意:如果在点选“确定”之后出现了红色的错误信息,一般来说便是两种可能的问题。第一是AD RMS没有启用SCP登录设置,第二则是AD RMS的网站文件夹安全性未被正确设置。
在完成了AD RMS服务的连接之后,便可以开始来设置所要进行加密保护的SharePoint文档库。您只要在“文档库设置”页面中点选“信息版权管理”超连接,然后依序完成设置“停止限制文档库访问权的日期”,以及是否要禁止文件于网页浏览器中开启、是否允许检视者打印、是否允许检视者执行程序码、允许检视者写入下载文件的复本、文件被用户下载后的开启期限等保护设置。
结论
Windows Server 2008除了提供最先进的应用系统操作系统之外,为应对全球绿色IT与虚拟化世代的来临,它更内置提供了Hyper-V虚拟服务器的角色,不只让Windows的应用系统可以在虚拟化环境中运行,也能够让现有异构平台的操作系统与应用程序,迁移到虚拟化的运作环境中来继续提供企业IT服务,为后来的Windows Server 2012、Windows Server 2016奠定了稳固的发展基础。从整体来看,在物理主机与虚拟机的集成之下,不仅可以让客户端使用者享有更加流畅与安全的新体验,对于企业整体IT营运来说,也大幅简化了实施管理与维运成本。