Aktualisieren von AD RMS auf Windows Server 2016
Einführung
Bei Active Directory Rights Management Services (AD RMS) handelt es sich um einen Microsoft-Dienst, der vertrauliche Dokumente und E-Mails schützt. Im Gegensatz zu herkömmlichen Schutzmethoden wie Firewalls und ACLs sind AD RMS-Verschlüsselung und -Schutz beständig, unabhängig davon, wo eine Datei hingeht oder wie sie transportiert wird.
Dieses Dokument enthält Anleitungen für die Migration von Windows Server 2012 R2 mit SQL Server 2012 zu Windows Server 2016 und SQL Server 2016. Derselbe Prozess kann für die Migration von älteren, aber unterstützten Versionen von AD RMS verwendet werden. Bitte beachten Sie, dass Active Directory Rights Management Services nicht mehr aktiv entwickelt wird und Kunden für die neuesten Funktionen eine Migration zu Azure Information Protection in Erwägung ziehen sollten, um einen viel umfassenderen Satz von Features mit vollständigerem Gräte- und Anwendungssupport zu erhalten.
Informationen darüber, wie Sie von AD RMS zu Azure Information Protection migrieren, ohne Ihre Inhalte erneut schützen zu müssen, finden Sie in der Migrationsdokumentation zu Azure Information Protection.
Informationen zur in diesem Leitfaden verwendeten Umgebung
AD FS ist eine optionale Komponente einer AD RMS-Installation. In diesem Leitfaden wird von der Verwendung von AD FS ausgegangen. Wenn AD FS in Ihrer Umgebung nicht zur Unterstützung von AD RMS-Benutzern verwendet wurde, können Sie alle Schritte überspringen, die sich auf AD FS beziehen.
In diesem Leitfaden wird SQL Server auf SQL Server 2016 aktualisiert, indem eine parallele Installation durchgeführt und die Datenbanken über eine Sicherung verschoben werden. Wenn Sie Ihre AD RMS- und AD FS-Datenbankserver auch auf SQL Server 2016 aktualisieren können, können Sie alternativ zum nächsten Abschnitt in diesem Dokument wechseln, nachdem Sie dies getan haben, ohne die Schritte in diesem Abschnitt ausführen zu müssen.
Installation
Konfigurieren von SQL Server 2016
Im folgenden Abschnitt werden Implementierungsaufgaben beschrieben, die sich direkt auf die SQL Server 2016-Konfiguration beziehen. Dieser Leitfaden konzentriert sich auf die Verwendung von Server-Manager und SQL Server Management Studio zum Ausführen dieser Aufgaben.
Diese Schritte müssen bei einer SQL Server 2016-Installation ausgeführt werden. Installieren Sie SQL Server 2016 gemäß den Standardmethoden und Richtlinien Ihrer Organisation auf geeigneter Hardware.
Vorbereiten der SQL Server
Im folgenden Abschnitt wird beschrieben, wie Sie SQL Server vorbereiten, damit sie auf SQL Server 2016 aktualisiert werden können, bevor Sie andere Dienste auf der AD RMS-Plattform für die Verwendung Windows Server 2016 aktualisieren.
Hinzufügen von CNAME für SQL Server 2016 zu DNS
Der CNAME wird verwendet, um sicherzustellen, dass das Windows Server 2016-Setup die entsprechenden Daten erhält, da auf die neue SQL Server 2016 verwiesen wird. Hinweis: Wenn Sie bereits einen CNAME für den AD FS- und AD RMS-Dienst verwenden, können Sie mit den nächsten Schritten fortfahren.
So fügen Sie CNAME für SQL Server 2016 zu DNS hinzu
Melden Sie sich beim Windows Server 2012 R2-Domänencontroller mit den Anmeldeinformationen des Domänenadministrators an.
Öffnen Sie den Server-Manager.
Klicken Sie auf Tools, und wählen Sie DNS aus, um den DNS-Manager zu öffnen.
Erweitern Sie im linken Navigationsbereich den DC, und öffnen Sie Forward-Lookupzonen.
Öffnen Sie die entsprechenden Domänenressourcen, klicken Sie dann mit der rechten Maustaste in den rechten Ansichtsbereich, und wählen Sie Neuer Alias (CNAME) aus, um mit der Erstellung des CNAME zu beginnen.
Geben Sie für den Aliasnamen einen logischen Namen ein, um ihn von anderen zu unterscheiden, die möglicherweise vorhanden sind (z. B. SQLADRMS oder SQLADFS).
Geben Sie nach der Eingabe des Namens den FQDN für den Zielhost an, bei dem es sich um den neuen SQL Server 2016-Server handeln soll (z. B. SQL2016.contoso.com).
Nachdem alle Informationen eingegeben wurden, klicken Sie auf OK.
Sichern der AD RMS- und AD FS-Datenbanken
Die AD RMS- und AD FS-Datenbanken enthalten wichtige Informationen, die für AD RMS erforderlich sind, z. B. den öffentlichen Schlüssel des Server-Lizenzgeberzertifikats, Vorlagen für Benutzerrechterichtlinien, AD FS-Konfigurationsdaten und Protokollierungsinformationen. Ohne diese Datenbanken können Clients unter anderem keine Lizenzen für die Nutzung geschützter Inhalte ausstellen.
Von den Datenbanken gilt die AD RMS-Konfigurationsdatenbank als die wichtigste, da sie Server-Lizenzgeberzertifikat, Vorlagen für Benutzerrechterichtlinien, Benutzerschlüssel und Konfigurationsinformationen speichert. Sie sollten zwar darauf achten, alle AD RMS- und AD FS-Datenbanken zu sichern, aber für die Konfigurationsdatenbank sollten Sie eine solche Sicherung regelmäßig planen.
Die Protokollierungsdatenbank speichert Informationen zu Benutzeranforderungen an den AD RMS-Cluster für Zertifikate und Nutzungslizenzen. Ihre Sicherungsstrategie für diese Datenbank sollte auf einer Unternehmensrichtlinie zur Aufbewahrung dieser Art von Informationen basieren.
Die Verzeichnisdienstdatenbank ist für die AD RMS-Funktionalität nicht besonders wichtig. Wenn die neuesten Daten verloren gehen, wird die Datenbank mit Informationen neu aufgefüllt, während der AD RMS-Server Anforderungen für Zertifikate und Nutzungslizenzen empfängt. Sie müssen diese Datenbank nicht regelmäßig sichern, aber Sie benötigen mindestens eine Kopie der Datenbank, so wie sie ursprünglich nach der Bereitstellung von AD RMS konfiguriert war.
So sichern Sie eine AD RMS- und/oder AD FS-Datenbank mit Microsoft SQL Server
Melden Sie sich beim Windows Server 2012 R2 AD RMS-Datenbankserver mit SQL 2012 an.
Klicken Sie auf Start und dann auf Alle Programme, Microsoft SQL Server und SQL Server Management Studio.
Vergewissern Sie sich im Fenster Verbindung mit Server herstellen, dass sich der Server, auf dem die AD RMS-Datenbanken gehostet werden, im Feld Servername befindet, und klicken Sie auf Verbinden.
Erweitern Sie Datenbanken. Klicken Sie mit der rechten Maustaste auf die entsprechende Datenbank (DRMS und Adfs), zeigen Sie auf Aufgaben, und wählen Sie Sichern aus.
Wiederholen Sie Schritt 4 für die restlichen Datenbanken.
Stellen Sie sicher, dass die Sicherung der Datenbanken für andere Computer im Netzwerk oder auf einem Speichergerät zugänglich ist, da die Datenbanken für spätere Schritte während der Migration benötigt werden.
Jetzt können Sie die Datenbankkopien an einem sicheren Ort speichern. Denken Sie daran, Ihre Datenbanken häufig zu sichern.
Hinzufügen eines Domänenadministrator-, SQL-, AD RMS- und/oder AD FS-Dienstkontos zu SQL Server 2016
Die folgenden Schritte zeigen, wie Sie die verschiedenen Dienstkonten zu SQL Server 2016 hinzufügen, um die Migration der Daten aus der Windows Server 2012 R2-Umgebung zu unterstützen. Dadurch erhalten Sie die richtigen Berechtigungen, wenn Sie versuchen, auf den Inhalt zuzugreifen und die Daten zu verarbeiten.
So fügen Sie das Domänenadministrator-, SQL-, AD RMS- und/oder AD FS-Dienstkonto zu SQL Server hinzu
Melden Sie sich beim Server mit SQL Server 2016 unter Verwendung des lokalen Administratorkontos an.
Klicken Sie auf Start und dann auf Alle Programme, Microsoft SQL Server und SQL Server Management Studio.
Vergewissern Sie sich im Fenster Verbindung mit Server herstellen, dass sich der Server, der die AD RMS-Datenbanken hostet, im Feld Servername befindet. Klicken Sie dann für „Authentifizierung“ auf das Dropdownmenü, und wählen Sie SQL Server-Authentifizierung aus.
Geben Sie im Feld Anmeldung den Namen des lokalen Administratorkontos (z. B. localadmin) ein, geben Sie dann das entsprechende Kennwort ein, und klicken Sie auf Verbinden.
Erweitern Sie Sicherheit, klicken Sie dann mit der rechten Maustaste auf Anmeldungen, und wählen Sie im daraufhin angezeigten Kontextmenü die Option Neue Anmeldung aus.
Sobald das Fenster angezeigt wird, geben Sie das Domänenadministratorkonto in das Feld Anmeldename ein (z. B. Contoso\ContosoAdmin).
Wählen Sie im linken Navigationsbereich Serverrollen aus.
Aktivieren Sie dann unter den Serverrollen das Kontrollkästchen für sysadmin, und klicken Sie auf OK.
Starten Sie SQL Server Management neu.
Vergewissern Sie sich im Fenster Verbindung mit Server herstellen, dass sich der Server, der die AD RMS-Datenbanken hostet, im Feld Servername befindet. Klicken Sie dann für „Authentifizierung“ auf das Dropdownmenü, wählen Sie Windows-Authentifizierung aus und klicken Sie auf Verbinden.
Wiederherstellen der AD RMS- und AD FS-Datenbanken auf SQL Server 2016
In den folgenden Schritten wird gezeigt, wie Sie die Daten aus der vorherigen SQL Server-Instanz in der neuen 2016-Instanz wiederherstellen. Dadurch kann das neue SQL die relevanten Konfigurationsdaten aus den vorherigen AD RMS- und AD FS-Datenbanken verwenden.
So stellen Sie die Daten aus dem vorherigen SQL Server im neuen SQL Server wieder her
Melden Sie sich beim Server mit SQL Server 2016 mit dem entsprechenden Konto an.
Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf Datenbanken, und wählen Sie Datenbank wiederherstellen aus, um mit dem Wiederherstellungsvorgang zu beginnen.
Wählen Sie unter Quelle die Option Gerät aus, und suchen Sie dann nach dem Speicherort, an dem die Datenbankdateien in den vorherigen Schritten gespeichert wurden.
Nachdem Sie die Dateien ausgewählt haben, klicken Sie auf OK.
Stellen Sie sicher, dass alle Datenbankdateien hinzugefügt wurden, und schließen Sie den Vorgang ab, indem Sie auf OK klicken.
Konfigurieren von Windows Server 2016 Active Directory-Verbunddiensten (AD FS)
AD FS wurde bereitgestellt, um den Zugriff durch einmaliges Anmelden (Single Sign-On, SSO) auf AD RMS als Anwendung zu ermöglichen. Es wurde auch mit der AD RMS-Erweiterung für mobile Geräte (Mobile Device Extension, MDE) konfiguriert, die die Unterstützung von Mac und mobilen Geräten für Endbenutzer ermöglicht.
Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise für Ihre AD FS-Bereitstellung ausführen müssen.
Hinzufügen eines 2016 AD FS-Servers zur Farm
Sie können zusätzliche AD FS-Server bereitstellen, um die AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion ausführen, wenn es zu erhöhtem Datenverkehr zu den AD RMS-Servern kommt, bei zusätzlichen Anwendungen oder wenn Sie einen der derzeit für AD FS verwendeten Server außer Betrieb nehmen müssen.
So fügen Sie der Farm den 2016 AD FS-Server hinzu
Doppelklicken Sie auf dem Microsoft Entra Connect-Server auf das Symbol Microsoft Entra Connect, um den Microsoft Entra Connect-Assistenten zu starten.
Klicken Sie auf der Seite „Willkommen“ auf Konfigurieren.
Klicken Sie auf der Seite „Zusätzliche Aufgaben“ auf Weiteren Verbundserver bereitstellen, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite „Mit Microsoft Entra ID verbinden“ den Benutzernamen und das Kennwort eines Kontos mit globalen Administratorberechtigungen ein, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite für die Anmeldeinformationen des Domänenadministrators den Benutzernamen und das Kennwort eines Kontos mit Domänenadministratorberechtigungen ein, und klicken Sie auf Weiter.
Klicken Sie auf Durchsuchen, und wählen Sie die Zertifikatdatei aus, die beim Konfigurieren der AD FS-Farm mithilfe von Microsoft Entra Connect verwendet wird.
Klicken Sie auf Kennwort eingeben, um das Dialogfeld „Zertifikatkennwort“ zu öffnen.
Geben Sie das Kennwort des Zertifikats in das Feld „Kennwort“ ein, und klicken Sie dann auf OK.
Klicken Sie auf Weiter.
Geben Sie auf der Seite „AD FS-Server“ den Namen oder die IP-Adresse des neuen AD FS-Servers ein, und klicken Sie auf Hinzufügen.
Klicken Sie auf der Seite „Bereit zur Konfiguration“ auf Installieren.
Klicken Sie auf der Seite „Installation abgeschlossen“ auf Beenden.
Erhöhen der AD FS-Farmverhaltensebene
Wenn Sie einen AD FS-Server bereitstellen, der die aktuelle Umgebungsebene überschreitet, z. B. wenn Sie AD FS auf Windows Server 2012 R2 haben und dann AD FS für Windows Server 2016 hinzufügen, muss die Farmverhaltensebene erhöht werden. Dies ist erforderlich, um sicherzustellen, dass die Umgebung die neuesten Informationen und Funktionen verwendet.
So erhöhen Sie die AD FS-Farmverhaltensebene
Navigieren Sie zum Windows Server 2016 AD FS.
Öffnen Sie eine PowerShell-Administratorsitzung.
Geben Sie den folgenden Befehl ein: $cred = Get-Credential
Es wird ein Fenster mit der Aufforderung zur Eingabe von Anmeldeinformationen angezeigt. Geben Sie dort die Anmeldeinformationen des Domänenadministrators ein.
Geben Sie dann den folgenden Befehl ein: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
Es wird eine Eingabeaufforderung angezeigt, in der Sie Folgendes gefragt werden: Möchten Sie den Vorgang fortsetzen? Geben Sie dann a ein, um die Eingabeaufforderung zu akzeptieren.
Nachdem der Befehl abgeschlossen ist, wird die Farmverhaltensebene eingerichtet und ist bereit.
Aktivieren der Protokollierung durch die Erweiterung für mobile Geräte
Die Erweiterung für mobile Geräte (Mobile Device Extension, MDE) kann Anforderungen protokollieren, die sie von Endbenutzergeräten empfängt. Die Protokollierung ist standardmäßig deaktiviert, und es wird empfohlen, die Protokollierung nur in einem Problembehandlungsszenario zu aktivieren. Alle Anforderungen von mobilen Geräten und Desktopcomputern zum Bootstrap oder zum Erhalt einer Endnutzungslizenz werden in der AD RMS-Protokollierungsdatenbank oder im Azure-Speicherkonto protokolliert. Die MDE-Protokollierung erstellt zwei zusätzliche Tabellen für den von AD RMS verwendete SQL Server: die Clientdebugprotokolltabelle und die Clientleistungsprotokolltabelle.
So aktivieren Sie Protokollierung durch die Erweiterung für mobile Geräte
Öffnen Sie Windows PowerShell auf einem AD RMS-Server als Administrator.
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Import-Module AdRmsAdmin
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true
Wenn Sie die MDE-Protokollierung für die Problembehandlung verwenden, wird empfohlen, sie nach der Behebung des Problems zu deaktivieren.
So deaktivieren Sie Protokollierung durch die Erweiterung für mobile Geräte
Öffnen Sie Windows PowerShell auf einem AD RMS-Server als Administrator.
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Import-Module AdRmsAdmin
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false
Aktualisieren von AD RMS auf Windows Server 2016
Die folgenden Abschnitte enthalten Anleitungen zum Hinzufügen eines Windows Server 2016-basierten AD RMS-Servers zum aktuellen Windows Server 2012 R2-Cluster. Der Server wird dem Cluster hinzugefügt, und die Informationen werden repliziert, sodass der vorherige AD RMS-Server als veraltet markiert werden kann, um Ressourcen freizugeben.
Nachdem Sie Ihrem AD RMS-Cluster einen Windows Server 2016-basierten AD RMS-Server hinzugefügt haben, werden alle Knoten, die auf älteren Versionen von Windows basieren, inaktiv. Danach können Sie die Bereitstellung dieser Server rückgängig machen (z. B. indem Sie den Server herunterfahren, anderweitig nutzen oder Windows Server 2016 neu installieren, um dem AD RMS-Cluster beizutreten).
Sie können zusätzliche AD RMS-Server im Cluster bereitstellen, um die Last auf Ihrer AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion auch bei erhöhtem Datenverkehr zu den AD RMS-Servern ausführen.
Dieser Leitfaden behandelt nicht die Schritte, die zum Ändern der Lastenausgleichsmechanismen erforderlich sind, die Sie möglicherweise in Ihrer Umgebung verwenden, um die veralteten Server auszuschließen und die Server einzubeziehen, die Sie dem Cluster hinzufügen.
Hinzufügen eines 2016 AD RMS-Servers
Wenn Ihr AD RMS-Cluster ein Hardwaresicherheitsmodul (HSM) anstelle eines zentral verwalteten Schlüssels für das Server-Lizenzgeberzertifikat verwendet, müssen Sie vor der Installation von AD RMS die Software und andere HSM-Artefakte (z. B. Schlüssel- und Konfigurationsdateien) auf dem Server installieren. Außerdem müssen Sie das HSM mit dem Server verbinden, entweder physisch oder über die entsprechenden Netzwerkkonfigurationen. Befolgen Sie die HSM-Anleitung für diese Schritte.
So fügen Sie einen 2016 AD RMS-Server hinzu
Installieren Sie die AD RMS-Rolle für die gewünschte Windows Server 2016-Bereitstellung.
Wählen Sie nach Abschluss der Installation den Link Zusätzliche Einstellungen konfigurieren aus.
Wählen Sie Vorhandenem AD RMS-Cluster beitreten aus, und klicken Sie auf Weiter.
Geben Sie auf der Seite Konfigurationsdatenbank auswählen den CNAME ein, der im DNS für den 2016 SQL-Server (FQDN) angegeben ist.
Klicken Sie in der zweiten Zeile auf Liste, und wählen Sie in der Dropdownliste DefaultInstance aus.
Wählen Sie unter Name der Konfigurationsdatenbank das Dropdownmenü aus, und wählen Sie die angezeigte DRMS-Konfiguration aus. Klicken Sie dann auf Weiter.
Geben Sie auf der Seite Datenbankinformationen das Clusterschlüsselkennwort in das entsprechende Feld ein. Klicken Sie danach auf Weiter.
Geben Sie auf der nächsten Seite des Assistenten das AD RMS-Dienstkonto an, geben Sie das Kennwort dafür an, und klicken Sie nach der Überprüfung auf Weiter.
Sobald die Seite Clusterwebsite angezeigt wird, stellen Sie einfach sicher, dass die entsprechende Website ausgewählt wurde, und klicken Sie auf Weiter.
Wählen Sie auf der Seite Serverauthentifizierungszertifikat auswählen das importierte SSL-Zertifikat aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren, um die Installation zu starten.
Nach Abschluss der Konfiguration müssen Sie sich abmelden und wieder anmelden, um AD RMS zu verwalten.
Nachdem Sie sich wieder angemeldet haben, öffnen Sie Server-Manager, wählen Sie Tools und dann Active Directory Rights Management aus. Das Verwaltungsfenster sollte angezeigt werden und angeben, dass der Cluster über den zusätzlichen Server im Cluster verfügt.
Wenn die AD RMS-Erweiterung für mobile Geräte im ursprünglichen AD RMS-Cluster installiert wurde, müssen Sie die MDE auch in den aktualisierten Clusterknoten installieren. Befolgen Sie die Anweisungen in der MDE-Dokumentation, um MDE Ihrem AD RMS-Cluster hinzuzufügen. An diesem Punkt können Sie alle bereits vorhandenen Knoten anderweitig nutzen oder auf Windows Server 2016 aktualisieren und sie mithilfe des oben beschriebenen Prozesses erneut mit dem AD RMS-Cluster verknüpfen.
Konfigurieren des Windows Server 2016-Webanwendungsproxys (WAP)
Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise für die Bereitstellung des Webanwendungsproxys ausführen müssen. Dies ist ein optionaler Schritt, der nicht erforderlich ist, wenn Sie AD RMS über andere Mechanismen im Internet veröffentlichen.
Hinzufügen eines Windows Server 2016-WAP-Servers
Sie können zusätzliche Webanwendungsproxy-Server bereitstellen, um die AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion ausführen, wenn es zu erhöhtem Datenverkehr zu den AD RMS-Servern kommt oder wenn Sie einen der derzeit für den Webanwendungsproxy verwendeten Server außer Betrieb nehmen müssen.
So fügen Sie 2016-Webanwendungsproxy-Server hinzu
Navigieren Sie auf dem Server, den Sie als Webanwendungsproxy einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.
Klicken Sie in Assistent zum Hinzufügen von Rollen und Features dreimal auf Weiter, um den Bildschirm zum Auswählen der Serverrolle aufzurufen.
Wählen Sie auf dem Bildschirm „Serverrollen auswählen“ die Option Remotezugriff aus, und klicken Sie dann auf Weiter, bis Sie wieder auf dem Bildschirm „Serverrollen auswählen“ sind.
Wählen Sie im Bildschirm „Serverrollen auswählen“ die Option Webanwendungsproxy aus, und klicken Sie auf Features hinzufügen und anschließend auf Weiter.
Klicken Sie auf dem Bildschirm Installationsauswahl bestätigen auf Installieren.
Klicken Sie nach dem Abschluss der Installation auf Schließen.
Nun muss der Server konfiguriert werden. Öffnen Sie auf dem Webanwendungsproxy-Server die Remotezugriffs-Verwaltungskonsole. Öffnen Sie das Startmenü, geben Sie RAMgmtUI.exe ein, und wählen Sie dann die Anwendung aus.
Klicken Sie im Navigationsbereich auf Webanwendungsproxy.
Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Assistent zum Konfigurieren des Webanwendungsproxys ausführen. Klicken Sie im Assistenten auf Weiter.
Geben Sie auf dem Bildschirm „Verbundserver“ den vollqualifizierten Domänennamen des AD FS-Servers (z. B. adfs.contoso.com) ein, und geben Sie dann die Anmeldeinformationen für einen Administrator auf dem AD FS-Server ein.
Wählen Sie auf dem Bildschirm „AD FS-Proxyzertifikat“ in der Liste der derzeit auf dem Webanwendungsproxy-Server installierten Zertifikate ein Zertifikat aus, das vom Webanwendungsproxy für den AD FS-Proxy verwendet werden soll, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite „Bestätigung“ die Einstellungen, und klicken Sie dann auf Konfigurieren.
Klicken Sie nach Abschluss der Konfiguration auf Schließen.
DNS-Konfiguration für 2016 WAP-Server
Sobald der Windows Server 2016-Webanwendungsproxy-Server eingerichtet wurde, müssen einige DNS-Änderungen vorgenommen werden. Dies erfordert die Verwendung eines DNS-Diensts wie GoDaddy, um die AD FS- und AD RMS-Dienste auf den 2016-WAP-Server zu verweisen.
So verweisen Sie den DNS auf den WAP-Server
Navigieren Sie zur Website Ihres Anbieters (z. B. GoDaddy).
Wechseln Sie zur Domänenverwaltung und dann zur DNS-Verwaltung.
Suchen Sie den AD FS- und AD RMS-Dienst, ersetzen Sie den Teil Verweist auf durch die öffentliche IP-Adresse des 2016-WAP-Servers, und speichern Sie.
Die Weitergabe der Änderungen kann einige Zeit in Anspruch nehmen, aber sobald dies geschehen ist, ist dieses Setup abgeschlossen.
Aktivieren von Debugprotokollen
Detaillierte Protokollierungsinformationen sind auf den Webanwendungsproxy-Servern verfügbar. Sie können die erweiterte Debugprotokollierung mithilfe der Ereignisanzeige konfigurieren. Zusätzliche Einstellungen können auch für die Größe der Protokolle ausgewählt werden, um sicherzustellen, dass die Analysen für Anzeige nützlich sind.
Aktivieren von Debugprotokollen für den Webanwendungsproxy
Öffnen Sie die Ereignisanzeige-Konsole im Webanwendungsproxy.
Erweitern Sie den Knoten Microsoft.
Erweitern Sie den Knoten Windows.
Öffnen Sie die Webanwendungsproxy-Protokolle.
Anschließend können Sie die Administrator-Protokolle öffnen.
Öffnen Sie das Menü Aktion, das sich oben links befindet, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Allgemein die Option Protokollierung aktivieren aus.
Schließlich können Sie die maximale Protokollgröße anpassen und anpassen, was geschieht, wenn die maximale Ereignisprotokollgröße erreicht wird.
Konfigurieren von Hochverfügbarkeit für Windows Server 2016-Dienste
Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise ausführen müssen, um eine hochverfügbare Windows Server 2016-Umgebung einzurichten.
Hinzufügen eines 2016 AD RMS-Servers für Hochverfügbarkeit
Sie können zusätzliche AD RMS-Server für Hochverfügbarkeit bereitstellen. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS-Servern ausführen.
So fügen Sie einen 2016 AD RMS-Server für Hochverfügbarkeit hinzu
Installieren Sie die AD RMS-Rolle für die gewünschte Windows Server 2016-Bereitstellung.
Wählen Sie nach Abschluss der Installation den Link Zusätzliche Einstellungen konfigurieren aus.
Wählen Sie Vorhandenem AD RMS-Cluster beitreten aus, und klicken Sie auf Weiter.
Geben Sie auf der Seite Konfigurationsdatenbank auswählen den CNAME ein, der im DNS für den 2016 SQL-Server (FQDN) angegeben ist.
Klicken Sie in der zweiten Zeile auf Liste, und wählen Sie in der Dropdownliste DefaultInstance aus.
Wählen Sie unter Name der Konfigurationsdatenbank das Dropdownmenü aus, und wählen Sie die angezeigte DRMS-Konfiguration aus. Klicken Sie dann auf Weiter.
Geben Sie auf der Seite Datenbankinformationen das Clusterschlüsselkennwort in das entsprechende Feld ein. Klicken Sie danach auf Weiter.
Geben Sie auf der nächsten Seite des Assistenten das AD RMS-Dienstkonto an, geben Sie das Kennwort dafür an, und klicken Sie nach der Überprüfung auf Weiter.
Sobald die Seite Clusterwebsite angezeigt wird, stellen Sie einfach sicher, dass die entsprechende Website ausgewählt wurde, und klicken Sie auf Weiter.
Wählen Sie auf der Seite Serverauthentifizierungszertifikat auswählen das importierte SSL-Zertifikat aus, und klicken Sie auf Weiter.
Klicken Sie auf Installieren, um die Installation zu starten.
Nach Abschluss der Konfiguration müssen Sie sich abmelden und wieder anmelden, um AD RMS zu verwalten.
Nachdem Sie sich wieder angemeldet haben, öffnen Sie Server-Manager, wählen Sie Tools und dann Active Directory Rights Management aus. Das Verwaltungsfenster sollte angezeigt werden und angeben, dass der Cluster über den zusätzlichen Server im Cluster verfügt.
Nachdem Sie die Servereinrichtung bestätigt haben, konfigurieren Sie Ihren Lastenausgleichsdienst, um die Last zwischen den verschiedenen AD RMS-Servern im Cluster auszugleichen.
Hinzufügen eines Windows Server 2016 AD FS-Servers für Hochverfügbarkeit
Sie können zusätzliche AD FS-Server für Hochverfügbarkeit bereitstellen. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD FS-Servern ausführen. Hinweis: Nach dem Erhöhen der Farmverhaltensebene wird ein neuer Datenbankeintrag in die SQL Server 2016(Adfs Configv3) eingegeben, und die alte Konfigurationsdatenbank muss gelöscht werden, bevor Sie mit diesen Schritten fortfahren.
So fügen Sie den Windows Server 2016 AD FS-Server für Hochverfügbarkeit hinzu
Installieren Sie die AD RMS-Rolle für die gewünschte Windows Server 2016-Bereitstellung.
Wählen Sie nach Abschluss der Installation den Link zum Konfigurieren des Verbunddiensts auf diesem Server aus.
Wählen Sie im Willkommensabschnitt des Assistenten die Option zum Hinzufügen eines Verbundservers zu einer Verbundserverfarm aus, und klicken Sie dann auf Weiter.
Geben Sie das richtige Administratorkonto an, und klicken Sie auf Weiter.
Wählen Sie auf der Seite Farm angeben die Option Datenbankspeicherort für eine vorhandene Farm mit SQL Server aus, geben Sie dann den CNAME für den SQL-Dienst für den Datenbankhostnamen ein, und klicken Sie auf Weiter.
Geben Sie im Bereich Dienstkonto angeben des Assistenten die Anmeldeinformationen für das AD FS-Dienstkonto ein, und klicken Sie dann auf Weiter.
Klicken Sie unter Optionen prüfen auf Weiter.
Klicken Sie auf Konfigurieren, sobald die Schaltfläche verfügbar ist.
Starten Sie den Computer nach der Konfiguration neu.
Nachdem Sie die Servereinrichtung bestätigt haben, führen Sie nach Bedarf einen Lastenausgleich für die AD FS-Server aus.
Hinzufügen eines Windows Server 2016-WAP-Servers für Hochverfügbarkeit
Sie können zusätzliche WAP-Server für Hochverfügbarkeit bereitstellen. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS-Servern ausführen.
So fügen Sie einen Windows Server 2016-Webanwendungsproxy-Server für Hochverfügbarkeit hinzu
Navigieren Sie auf dem Server, den Sie als Webanwendungsproxy einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.
Klicken Sie in Assistent zum Hinzufügen von Rollen und Features dreimal auf Weiter, um den Bildschirm zum Auswählen der Serverrolle aufzurufen.
Wählen Sie auf dem Bildschirm „Serverrollen auswählen“ die Option Remotezugriff aus, und klicken Sie dann auf Weiter, bis Sie wieder auf dem Bildschirm „Serverrollen auswählen“ sind.
Wählen Sie im Bildschirm „Serverrollen auswählen“ die Option Webanwendungsproxy aus, und klicken Sie auf Features hinzufügen und anschließend auf Weiter.
Klicken Sie auf dem Bildschirm Installationsauswahl bestätigen auf Installieren.
Klicken Sie nach dem Abschluss der Installation auf Schließen.
Nun muss der Server konfiguriert werden. Öffnen Sie auf dem Webanwendungsproxy-Server die Remotezugriffs-Verwaltungskonsole. Öffnen Sie das Startmenü, geben Sie RAMgmtUI.exe ein, und wählen Sie dann die Anwendung aus.
Klicken Sie im Navigationsbereich auf Webanwendungsproxy.
Klicken Sie in der Remotezugriffs-Verwaltungskonsole auf Assistent zum Konfigurieren des Webanwendungsproxys ausführen. Klicken Sie im Assistenten auf Weiter.
Geben Sie auf dem Bildschirm „Verbundserver“ den vollqualifizierten Domänennamen des AD FS-Servers (z. B. adfs.contoso.com) ein, und geben Sie dann die Anmeldeinformationen für einen Administrator auf dem AD FS-Server ein.
Wählen Sie auf dem Bildschirm „AD FS-Proxyzertifikat“ in der Liste der derzeit auf dem Webanwendungsproxy-Server installierten Zertifikate ein Zertifikat aus, das vom Webanwendungsproxy für den AD FS-Proxy verwendet werden soll, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite „Bestätigung“ die Einstellungen, und klicken Sie dann auf Konfigurieren.
Klicken Sie nach Abschluss der Konfiguration auf Schließen.
Nachdem Sie die Servereinrichtung bestätigt haben, führen Sie nach Bedarf einen Lastenausgleich für die WAP-Server in der DMZ aus.
Hinzufügen eines SQL Server 2016-Knotens für Always On-Hochverfügbarkeit
Sie können zusätzliche SQL Server bereitstellen, um Always On-Hochverfügbarkeit einzurichten. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS-Servern ausführen. Hinweis: Stellen Sie sicher, dass für beide SQL Server der eingehende Port 5022 geöffnet ist.
So fügen Sie einen SQL Server 2016-Server für Always On-Hochverfügbarkeit hinzu
Navigieren Sie auf dem Server, den Sie als zusätzlichen SQL Server 2016-Server einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.
Klicken Sie auf Weiter, bis Sie das Dialogfeld Features auswählen erreichen.
Aktivieren Sie das Kontrollkästchen Failoverclustering. Hinweis: Führen Sie diesen Schritt auch für den ursprünglichen SQL Server 2016-Server aus, damit beide SQL Server über das Failoverclustering-Feature verfügen.
Klicken Sie auf Installieren, um das Failoverclustering-Feature hinzuzufügen.
Öffnen Sie nun Server-Manager, und wählen Sie Tools und dann Failovercluster-Manager aus.
Klicken Sie im linken Bereich mit der rechten Maustaste auf Failovercluster-Manager, und klicken Sie anschließend auf Cluster erstellen.
Dadurch wird der Clustererstellungs-Assistent geöffnet.
Suchen Sie nach den SQL Server 2016-Servern, die für Always On-Hochverfügbarkeit verwendet werden, und geben Sie sie ein, und klicken Sie dann auf Weiter.
Sie erhalten eine Überprüfungswarnung. Wählen Sie Ja aus, um die Clusterknoten zu überprüfen, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Testoptionen die Option Alle Tests ausführen aus, und klicken Sie auf Weiter.
Hinweis: Es wird erwartet, dass der Clusterüberprüfungs-Assistent mehrere Warnmeldungen zurückgibt, insbesondere wenn Sie keinen freigegebenen Speicher verwenden. Wenn Sie Fehlermeldungen finden, müssen Sie diese vor dem Erstellen des Windows Server-Failoverclusters beheben..
Geben Sie im Dialogfeld Zugriffspunkt für die Clusterverwaltung den Clusternamen und die virtuelle IP-Adresse für den Windows Server-Failovercluster ein, und klicken Sie dann auf Weiter.
Vergewissern Sie sich unter Zusammenfassung, dass die Konfiguration erfolgreich war, und klicken Sie auf Fertig stellen.
Klicken Sie im Failovercluster-Manager mit der rechten Maustaste auf Ihren Cluster, und wählen Sie Weitere Aktionen und dann Clusterquorumeinstellungen konfigurieren aus.
Klicken Sie auf Weiter, wählen Sie dann die Option Quorumzeugen auswählen aus, und klicken Sie erneut auf Weiter.
Wählen Sie auf der Seite Quorumzeuge auswählen die Option Dateifreigabenzeugen konfigurieren. Klicken Sie dann auf Weiter.
Wählen Sie Durchsuchen aus, und suchen Sie im Dialogfeld „Pfad der Dateifreigabe“ den Pfad der Dateifreigabe, die Sie verwenden möchten. Klicken Sie auf Weiter.
Klicken Sie auf der Bestätigungsseite auf Weiter.
Klicken Sie auf der Zusammenfassungsseite auf Fertig stellen.
Öffnen Sie nun das Startmenü, und suchen Sie nach SQL Server-Konfigurations-Manager.
Klicken Sie mit der rechten Maustaste auf den SQL Server-Namen, und wählen Sie Eigenschaften aus.
Wählen Sie im Dialogfeld „Eigenschaften“ die Registerkarte AlwaysOn-Hochverfügbarkeit aus. Aktivieren Sie das Kontrollkästchen AlwaysOn-Verfügbarkeitsgruppen aktivieren. Klicke auf OK. Hinweis: Führen Sie dies auf beiden SQL Server 2016-Servern aus.
Starten Sie anschließend den SQL Server-Dienst neu.
Öffnen Sie nun das Startmenü, suchen Sie nach SQL Server Management Studio. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf Verfügbarkeitsgruppen, klicken Sie auf Assistent für neue Verfügbarkeitsgruppen, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Verfügbarkeitsgruppennamen angeben einen Gruppennamen (z. B. SQLAvailabilityGroup2016) aus. Klicken Sie dann auf Weiter.
Geben Sie im Abschnitt Datenbanken auswählen die Datenbanken an. Klicken Sie anschließend auf Weiter. Hinweis: Möglicherweise muss eine Datenbank erneut gesichert oder in den vollständigen Wiederherstellungsmodus versetzt werden.
Klicken Sie auf der Seite Replikate angeben auf die Schaltfläche Replikat hinzufügen, und wählen Sie Ihren anderen 2016-SQL Server aus.
Nachdem Sie den anderen Server hinzugefügt haben, klicken Sie auf die Kontrollkästchen, und legen Sie den sekundären Server als lesbaren sekundären Server fest.
Navigieren Sie zur Registerkarte Endpunkte, und klicken Sie auf die Option Aktualisieren. Scrollen Sie auch hier durch, und stellen Sie sicher, dass sich dasselbe Dienstkonto auf dem primären und sekundären Knoten befindet.
Wählen Sie nun die Registerkarte Sicherungseinstellungen aus, und wählen Sie die Option Sekundär bevorzugen aus.
Wechseln Sie zur Registerkarte Listener.
Geben Sie einen Namen (z. B. SQLListener) an, stellen Sie sicher, dass der Port 1433 ist, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Anfängliche Datensynchronisierung auswählen des Assistenten die Option Vollständig aus, und geben Sie einen Netzwerkspeicherort an, auf den alle SQL-Server zugreifen können, und klicken Sie dann auf Weiter.
Klicken Sie abschließend auf Fertig stellen, und der Prozess wird abgeschlossen.
Außerbetriebnahme von Windows Server 2012 R2-Knoten
In den folgenden Abschnitten finden Sie Anleitungen zu operativen Aufgaben, die Sie möglicherweise benötigen, um nach dem erfolgreichen Upgrade des AD RMS-Clusters auf Windows Server 2016 Ihre Windows Server 2012 R2-Server zu entfernen.
Entfernen eines Windows Server 2012 R2 AD RMS-Servers
Sie können unnötige AD RMS-Server nach einem Upgrade entfernen. Sie können diese Aktion ausführen, wenn die Außerbetriebnahme von AD RMS-Servern erforderlich wird.
So entfernen Sie einenWindows Server 2012 R2 AD RMS-Server
Wählen Sie auf dem Windows Server 2012 R2 AD RMS-Server in Server-Manager oben rechts die Option Verwalten aus, und wählen Sie dann Rollen und Features entfernen aus.
Der Assistent zum Entfernen von Rollen und Features wird geöffnet. Klicken Sie auf dem Bildschirm Bevor Sie beginnen auf Weiter.
Klicken Sie im Bildschirm Serverauswahl auf Weiter.
Entfernen Sie im Bildschirm Serverrollen das Häkchen neben Active Directory Rights Management Services, und klicken Sie auf Weiter.
Klicken Sie im Bildschirm Features auf Weiter.
Klicken Sie im Bildschirm Bestätigung auf Entfernen.
Starten Sie den Server anschließend neu.
Sie können diesen Server jetzt herunterfahren und die Ressourcen nach Bedarf neu zuordnen.