rms服务器:关键数据保险箱 AD RMS服务器部署指南

on 2010-5-18 in 服务器 | 0 Comment
  我们在无数好莱坞影片中看到过商业间谍为了窃取企业机密数据而斗智斗勇绞尽脑汁精彩镜头但我们有没有想到过如果这幕就发生在我们身边我们该如何加以防范呢?微软公司RMS(Rights Management Services 版权管理服务)服务器就是为此应运而生RMS可以保护企业内重要文件授权只有特定用户才能访问这些文件当然有读者会指出文件服务器权限也可以做到这不要着急继续听我介绍RMS还可以允许文件不能被复制打印转发甚至离开了公司就无法打开这些文件如何样这些功能靠文件服务器权限就无法实现了吧EFS也无能为力

  RMS设计这些功能显然是为了防止些用户把公司机密文件利用U盘带出公司或通过电子邮件转发出去毕竟古人有言在先:千防万防家贼难防啊!RMS要求用户每次打开文件都要在RMS服务器上申请凭据然后才能打开被加密文件内容旦文件离开了公司环境访问者就无法联系RMS服务器了文件内容也就无法阅读了即使在公司内RMS也可以允许用户只能阅读无法打印复制通过邮件转发极大地提高了窃取机密内容难度当然RMS不可能实现百分的百安全有个用户使用DV把屏幕上文件内容都录制下来或者直接用笔记录下来那文件内容泄露还是不可避免只是间谍当到这个份上杯具啊….

  介绍了RMS大致功能我们要通过个例子为大家实际演练我们实验拓扑如下图所示RMSERVER操作系统是Win 2008 R2我们要在RMSERVER上实现RMS服务DCSERVER操作系统是Win2003DCSERVER角色是域控制器DNS服务器还是个企业根CAXP操作系统是XP SP2用于测试客户机



    RMS部署前准备

  RMS服务在部署的前要先做些准备工作首先我们需要在域控制器上创建个RMS管理员账号这是RMS服务器安装时不允许使用域中administrator账号打开域控制器上Active Directory用户和计算机如图1所示创建个名为RMSADMIN用户这个用户也具有域管理员权限我们要使用RMSADMIN用户在RMSERVER上登录



  图1

  创建完用户后我们还需要为RMS服务器申请个服务器证书我们以RMSADMIN身份在RMSERVER上登录通过MMC控制台定制出个管理本地计算机证书管理单元然后通过申请证书任务为RMSERVER在企业根CA上申请证书如图2所示我们已经申请到了个RMSERVER.CONTOSO.COM计算机证书这个证书可以用于服务器验证也可以用于客户机验证能够满足我们实验需求



  图2

   2  RMS服务器部署

  RMS服务在Win2008的后操作系统中已经被内置了我们在Win2008 R2上可以很方便地通过添加服务器角色来安装RMS如图3所示我们在RMSERVER上打开服务器管理器选择“添加角色”



  图3

  如图4所示我们在角色列表中勾选了“Active Directory Right Management Services”后角色向导提示我们RMS还需要IIS消息队列等其他组件配合点击“添加所需角色服务”角色向导就会自动把需要角色都安装上



  图4

  如图5所示接下来我们要为RMS选择角色服务我们没有勾选“联合身份验证支持”这时联合身份验证作用是允许区别企业间共同使用AD RMS群集而我们本次实验中并不涉及这方面内容



  图5

  如图6所示接下来我们要选择是创建个RMS群集还是加入个RMS群集由于目前我们没有现成RMS群集因此我们只能选择创建个RMS群集RMSERVER将是这个群集中根服务器后期加入RMS服务器则是叶服务器



  图6

  如图7所示接下来我们要为RMS选择数据库我们可以使用Win2008 R2中自带内部数据库也可以使用其他数据库例子本例中我们使用服务器自带Windows内部数据库



  图7

  如图8所示我们需要提供个域账号用于为让RMS可以和RMS服务器上其他网络服务通信我们只需要提供个普通域用户账号即可在本次实验环境下为简单起见我们提供了administrator账号在生产环境下不建议这么做!



  图8

  如图9所示我们要为AD RMS群集键选择存储方式系统默认是在服务器本地存储密钥这个密钥可以用于AD RMS群集灾难重建如果选择使用CSP密钥存储安全性会更高但配置起来会更复杂本例中我们使用系统默认值在服务器本地存储密钥



  图9

  如图10所示我们接下来要指定个密钥用于加密群集键



  图10

  如图11所示我们要为RMS群集选择所使用网站WebSite我们使用IIS中默认网站WebSite即可



  图11

  如图12所示接下来要选择RMS群集和客户机通讯时所使用协议可以选择HTTP或HTTPS协议为了安全起见当然应该选择使用HTTPS在完全限定域名中应该输入RMSERVER.CONTOSO.COM,注意这个域名应该和RMS服务器所申请证书上计算机名称



  图12

  如图13所示选择了HTTPS协议后我们要为HTTPS协议选择证书的前申请计算机证书现在可以派上用场了最好不要使用自签名证书客户机并不信任自签名证书颁发机构必须手工让客户机信任操作很麻烦建议还是使用企业根CA比较好



  图13

  如图14所示接下来要设置命名服务器许可方证书默认这个证书名称和RMS服务器NETBIOS名称相同我们保存默认值即可



  图14

  如图15所示我们要为RMS群集在Active Directory中注册服务连接点注册了服务连接点后客户机可以很方便地通过Active Directory查询到RMS群集





  图15

  如图16所示RMS需要IIS7角色角色向导列出了所需要IIS7角色服务列表我们般情况下都无需修改这个列表



  图16

  如图17所示确认摘要中各项信息没有点击“安装”按钮就可以开始RMS角色部署了RMS角色部署完毕后我们将在下篇博文中为大家介绍RMS服务器些基本配置



  图17

  出处http://yuelei.blog.51cto.com/202879/313989



Tags:  服务器部署方案 服务器部署 数据保险箱 rms服务器

延伸阅读

最新评论

发表评论