Aktualisieren von AD RMS auf Windows Server 2016

Einführung

Bei Active Directory Rights Management Services (AD RMS) handelt es sich um einen Microsoft-Dienst, der vertrauliche Dokumente und E-Mails schützt. Im Gegensatz zu herkömmlichen Schutzmethoden wie Firewalls und ACLs sind AD RMS Verschlüsselung und Schutz unabhängig davon, wo eine Datei gespeichert wird oder wie sie übertragen wird, persistent.

Dieses Dokument enthält Anleitungen für die Migration von Windows Server 2012 R2 mit SQL Server 2012 zu Windows Server 2016 und SQL Server 2016. Der gleiche Prozess kann verwendet werden, um von älteren, aber unterstützten Versionen von AD RMS zu migrieren. Beachten Sie, dass Active Directory Rights Management Services sich nicht mehr in der aktiven Entwicklung befindet und Kunden für die neuesten Funktionen eine Migration zu Azure Information Protection in Betracht ziehen sollten, die eine viel umfassendere Reihe von Features mit vollständigerer Geräte- und Anwendungsunterstützung bietet.

Informationen zum Migrieren von AD RMS zu Azure Information Protection ohne erneutes Schützen Ihrer Inhalte finden Sie in der Dokumentation zur Azure Information Protection-Migration.

Informationen zur in diesem Leitfaden verwendeten Umgebung

AD FS ist eine optionale Komponente einer AD RMS-Installation. In diesem Leitfaden wird von der Verwendung von AD FS ausgegangen. Wenn AD FS in Ihrer Umgebung nicht für die Unterstützung von AD RMS Benutzern verwendet wurde, können Sie alle Schritte überspringen, die auf AD FS verweisen.

In diesem Leitfaden wird SQL Server auf SQL Server 2016 aktualisiert, indem eine parallele Installation durchgeführt und die Datenbanken über eine Sicherung verschoben werden. Wenn Sie ihre AD RMS und AD FS Datenbankserver direkt auf SQL Server 2016 aktualisieren können, können Sie alternativ zum nächsten Abschnitt in diesem Dokument wechseln, nachdem Sie dies durchgeführt haben, ohne die Schritte in diesem Abschnitt ausführen zu müssen.

Installation

Konfigurieren von SQL Server 2016

Im folgenden Abschnitt werden Implementierungsaufgaben erläutert, die sich direkt auf die SQL Server 2016-Konfiguration beziehen. Dieser Leitfaden konzentriert sich auf die Verwendung der Server-Manager und der SQL Server Management Studio zum Ausführen dieser Aufgaben.

Diese Schritte müssen bei einer SQL Server 2016-Installation ausgeführt werden. Installieren Sie SQL Server 2016 auf geeigneter Hardware gemäß den Standardmethoden und Richtlinien Ihrer Organisation.

Vorbereiten der SQL Server

Im folgenden Abschnitt wird beschrieben, wie Sie die SQL Server so vorbereiten, dass sie auf SQL Server 2016 aktualisiert werden kann, bevor sie andere Dienste auf der AD RMS-Plattform für die Verwendung von Windows Server 2016 aktualisieren.

Hinzufügen von CNAME für SQL Server 2016 zu DNS

Der CNAME wird verwendet, um sicherzustellen, dass das Windows Server 2016-Setup die entsprechenden Daten erhält, da er auf die neue SQL Server 2016 gezeigt wird. Hinweis: Wenn Sie bereits einen CNAME für den AD FS- und AD RMS-Dienst verwenden, können Sie mit den nächsten Schritten fortschreiten.

So fügen Sie dns einen CNAME für SQL Server 2016 hinzu

  1. Melden Sie sich mit den Anmeldeinformationen des Domänenadministrators beim Windows Server 2012 R2-Domänencontroller an.

  2. Öffnen Sie den Server-Manager.

  3. Klicken Sie auf Tools , und wählen Sie DNS aus, um den DNS-Manager zu öffnen.

  4. Erweitern Sie im linken Navigationsbereich den DC, und öffnen Sie Forward-Lookupzonen.

  5. Öffnen Sie die entsprechenden Domänenressourcen, klicken Sie mit der rechten Maustaste in den rechten Ansichtsbereich, und wählen Sie Neuer Alias (CNAME) aus, um mit der Erstellung des CNAME zu beginnen.

  6. Geben Sie für den Aliasnamen einen logischen Namen ein, um ihn von anderen zu unterscheiden, die möglicherweise vorhanden sind (z. B. SQLADRMS oder SQLADFS).

  7. Geben Sie nach der Eingabe des Namens den FQDN für den Zielhost an, der der neue SQL Server 2016-Server sein wird. (z. B. SQL2016.contoso.com)

  8. Nachdem alle Informationen eingegeben wurden, klicken Sie auf OK.

Sichern der AD RMS- und AD FS-Datenbanken

Die datenbanken AD RMS und AD FS enthalten wichtige Informationen, die für AD RMS erforderlich sind, z. B. den öffentlichen Schlüssel des Serverlizenzierungszertifikats, Rechterichtlinienvorlagen, AD FS Konfigurationsdaten und Protokollierungsinformationen. Ohne diese Datenbanken können Clients u. a. keine Lizenzen zum Nutzen geschützter Inhalte ausstellen.

Von den Datenbanken gilt die AD RMS Konfigurationsdatenbank als wichtigste Datenbank, da sie den SLC, Rechterichtlinienvorlagen, Benutzerschlüssel und Konfigurationsinformationen speichert. Obwohl Sie alle AD RMS und AD FS Datenbanken sichern sollten, sollten Sie daher planen, die Konfigurationsdatenbank regelmäßig zu sichern.

Die Protokollierungsdatenbank speichert Informationen zu Benutzeranforderungen an den AD RMS Cluster für Zertifikate und die Verwendung von Lizenzen. Ihre Sicherungsstrategie für diese Datenbank sollte auf der Unternehmensrichtlinie zum Beibehalten dieser Art von Informationen basieren.

Die Verzeichnisdienstdatenbank ist für AD RMS Funktionalität nicht wichtig. Wenn die neuesten Daten verloren gegangen sind, wird die Datenbank mit Informationen erneut aufgefüllt, wenn der AD RMS Server Zertifikatanforderungen empfängt und Lizenzen verwendet. Sie müssen diese Datenbank nicht regelmäßig sichern, aber Sie benötigen mindestens eine Kopie der Datenbank, wie sie ursprünglich nach der Bereitstellung von AD RMS konfiguriert wurde.

So sichern Sie eine AD RMS- und/oder AD FS-Datenbank mit Microsoft SQL Server

  1. Melden Sie sich mit SQL 2012 beim datenbankserver Windows Server 2012 R2 AD RMS an.

  2. Klicken Sie auf Start, alle Programme, Microsoft SQL Server und dann auf SQL Server Management Studio.

  3. Vergewissern Sie sich im Fenster Verbinden zu Server, dass sich der Server, der die AD RMS Datenbanken hostet, im Feld Servername befindet, und klicken Sie auf Verbinden.

  4. Erweitern Sie Datenbanken. Klicken Sie mit der rechten Maustaste auf die entsprechende Datenbank (DRMS und AD FS), zeigen Sie auf Aufgaben, und wählen Sie Sicherung aus.

  5. Wiederholen Sie Schritt 4 für die verbleibenden Datenbanken.

  6. Stellen Sie sicher, dass andere Computer im Netzwerk oder ein Speichergerät auf die Sicherung der Datenbanken zugreifen können, da sie für spätere Schritte während der Migration benötigt werden.

Jetzt können Sie die Datenbankkopien an einem sicheren Speicherort speichern. Denken Sie daran, Ihre Datenbanken häufig zu sichern.

Hinzufügen eines Domänenadministrator-, SQL-, AD RMS- und/oder AD FS-Dienstkontos zu SQL Server 2016

Die folgenden Schritte zeigen, wie Sie die verschiedenen Dienstkonten SQL Server 2016 hinzufügen, um die Migration der Daten aus der Windows Server 2012 R2-Umgebung zu unterstützen. Dadurch erhalten Sie die richtigen Berechtigungen, wenn Sie versuchen, auf den Inhalt zuzugreifen und die Daten zu verarbeiten.

So fügen Sie das Domänenadministrator-, SQL-, AD RMS- und/oder AD FS-Dienstkonto SQL Server

  1. Melden Sie sich beim Server mit SQL Server 2016 als lokales Administratorkonto an.

  2. Klicken Sie auf Start, alle Programme, Microsoft SQL Server und dann auf SQL Server Management Studio.

  3. Vergewissern Sie sich im Fenster Verbinden zu Server, dass sich der Server, der die AD RMS Datenbanken hostet, im Feld Servername befindet. Klicken Sie dann für Authentifizierung auf das Dropdownmenü, und wählen Sie SQL Server Authentifizierung aus.

  4. Geben Sie im Feld Anmeldung den Namen des lokalen Administratorkontos (z. B. localadmin) ein, geben Sie dann das entsprechende Kennwort an, und klicken Sie auf Verbinden.

  5. Erweitern Sie Sicherheit , klicken Sie mit der rechten Maustaste auf Anmeldungen , und wählen Sie im daraufhin angezeigten Kontextmenü Neue Anmeldung aus.

  6. Sobald das Fenster angezeigt wird, geben Sie im Feld Anmeldename in das Domänenadministratorkonto ein (z. B. Contoso\ContosoAdmin).

  7. Wählen Sie im linken Navigationsbereich Serverrollen aus.

  8. Aktivieren Sie dann das Kontrollkästchen für sysadmin unter den Serverrollen, und klicken Sie auf OK.

  9. Starten Sie SQL Server-Verwaltung neu.

  10. Vergewissern Sie sich im Fenster Verbinden zu Server, dass sich der Server, der die AD RMS Datenbanken hostet, im Feld Servername befindet. Klicken Sie dann für Authentifizierung auf das Dropdownmenü, wählen Sie Windows Authentifizierung aus, und klicken Sie auf Verbinden.

Wiederherstellen der AD RMS- und AD FS-Datenbanken auf SQL Server 2016

Die folgenden Schritte zeigen, wie Sie die Daten aus der vorherigen SQL Server Instanz in der neuen 2016-Instanz wiederherstellen. Dadurch kann der neue SQL die relevanten Konfigurationsdaten aus den vorherigen AD RMS und AD FS Datenbanken nutzen.

So stellen Sie die Daten aus dem vorherigen SQL Server auf dem neuen SQL Server

  1. Melden Sie sich mit SQL Server 2016 mit dem entsprechenden Konto beim Server an.

  2. Klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf Datenbanken , und wählen Sie Datenbank wiederherstellen aus, um mit der Wiederherstellung zu beginnen.

  3. Wählen Sie unter Quelle die Option Gerät aus, und suchen Sie dann nach dem Speicherort, an dem die Datenbankdateien in den vorherigen Schritten gespeichert wurden.

  4. Nachdem die Dateien ausgewählt wurden, klicken Sie auf OK.

  5. Stellen Sie sicher, dass alle Datenbankdateien hinzugefügt wurden, und schließen Sie den Vorgang ab, indem Sie auf OK klicken.

Konfigurieren von Windows Server 2016 Active Directory-Verbunddienste (AD FS) (AD FS)

AD FS wurde bereitgestellt, um SSO-Zugriff (Single Sign-On, einmaliges Anmelden) auf AD RMS als Anwendung zu ermöglichen. Es wurde auch mit der AD RMS Mobile Device Extension (MDE) konfiguriert, die mac- und mobile Geräteunterstützung für Endbenutzer ermöglicht.

Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise für Ihre AD FS-Bereitstellung ausführen müssen.

Hinzufügen eines 2016-AD FS-Servers zur Farm

Sie können zusätzliche AD FS-Server bereitstellen, um die AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS-Servern oder zusätzlichen Anwendungen ausführen oder wenn Sie einen der Server, der derzeit für AD FS verwendet wird, abstellen müssen.

So fügen Sie der Farm den 2016-AD FS-Server hinzu

  1. Doppelklicken Sie auf dem Azure AD Verbinden-Server auf das symbol Azure AD Verbinden, um den Assistenten für Azure AD Verbinden zu starten.

  2. Klicken Sie auf der Willkommensseite auf Konfigurieren.

  3. Klicken Sie auf der Seite Zusätzliche Aufgaben auf Zusätzlichen Verbundserver bereitstellen , und klicken Sie dann auf Weiter.

  4. Geben Sie auf der Seite Verbinden zu Azure AD den Benutzernamen und das Kennwort eines Kontos mit globalen Administratorberechtigungen ein, und klicken Sie dann auf Weiter.

  5. Geben Sie auf der Seite Anmeldeinformationen des Domänenadministrators den Benutzernamen und das Kennwort eines Kontos mit Domänenadministratorberechtigungen ein, und klicken Sie auf Weiter.

  6. Klicken Sie auf Durchsuchen, und wählen Sie die Zertifikatdatei aus, die beim Konfigurieren der AD FS Farm mithilfe des Azure AD Verbinden verwendet wird.

  7. Klicken Sie auf Kennwort eingeben , um das Dialogfeld Zertifikatkennwort zu öffnen.

  8. Geben Sie das Kennwort des Zertifikats in das Feld Kennwort ein, und klicken Sie dann auf OK.

  9. Klicken Sie auf Weiter.

  10. Geben Sie auf der Seite AD FS Server den Namen oder die IP-Adresse des neuen AD FS Servers ein, und klicken Sie auf Hinzufügen.

  11. Klicken Sie auf der Seite Bereit zur Konfiguration auf Installieren.

  12. Klicken Sie auf der Seite Installation abgeschlossen auf Beenden.

Erhöhen der AD FS-Farmverhaltensebene

Beim Bereitstellen eines AD FS Servers, der die aktuelle Umgebungsebene überschreitet, z. B. wenn eine AD FS auf Windows Server 2012 R2 vorhanden ist und dann ein AD FS Windows Server 2016 hinzugefügt wird, muss die Verhaltensstufe der Farm erhöht werden. Dies ist erforderlich, um sicherzustellen, dass die Umgebung die aktuellsten Informationen und Funktionen verwendet.

So erhöhen Sie die AD FS Farmverhaltensstufe

  1. Navigieren Sie zum Windows Server 2016 AD FS.

  2. Öffnen Sie eine Administrator-PowerShell-Sitzung.

  3. Geben Sie den folgenden Befehl ein: $cred = Get-Credential

  4. Es wird ein Fenster angezeigt, in dem Sie nach Anmeldeinformationen gefragt werden. Geben Sie die Anmeldeinformationen des Domänenadministrators ein.

  5. Geben Sie dann den folgenden Befehl ein: Invoke-AdfsFarmBehaviorLevelR credential -Credential $cred

  6. Es wird eine Eingabeaufforderung mit der Frage Angezeigt: Möchten Sie mit diesem Vorgang fortfahren? Geben Sie dann ein ein , um die Eingabeaufforderung zu akzeptieren.

  7. Nachdem der Befehl abgeschlossen wurde, wird die Farmverhaltensebene eingerichtet und ist bereit.

Aktivieren der Protokollierung von Erweiterungen für mobile Geräte

Die Erweiterung für mobile Geräte kann Anforderungen protokollieren, die sie von Endbenutzergeräten empfängt. Die Protokollierung ist standardmäßig deaktiviert, und es wird empfohlen, die Protokollierung nur in einem Problembehandlungsszenario zu aktivieren. Alle Anforderungen von mobilen Geräten und Desktopcomputern zum Bootstrap oder Abrufen einer Endnutzungslizenz werden in der AD RMS Protokollierungsdatenbank oder im Azure-Speicherkonto protokolliert. Die MDE-Protokollierung erstellt zwei zusätzliche Tabellen für die SQL Server, die von AD RMS verwendet werden: die Debugprotokolltabelle des Clients und die Clientleistungsprotokolltabelle.

So aktivieren Sie die Protokollierung der Erweiterung für mobile Geräte

  1. Öffnen Sie auf einem AD RMS-Server Windows PowerShell als Administrator.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Import-Module AdRmsAdmin

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true

Wenn Sie die MDE-Protokollierung für die Problembehandlung verwenden, wird empfohlen, sie nach der Behebung des Problems zu deaktivieren.

So deaktivieren Sie die Protokollierung von Erweiterungen für mobile Geräte

  1. Öffnen Sie auf einem AD RMS-Server Windows PowerShell als Administrator.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Import-Module AdRmsAdmin

  3. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false

Aktualisieren von AD RMS auf Windows Server 2016

Die folgenden Abschnitte enthalten Anleitungen zum Hinzufügen eines Windows Server 2016-basierten AD RMS-Servers zum aktuellen Windows Server 2012 R2-Cluster. Der Server wird dem Cluster hinzugefügt, und die Informationen werden in ihn repliziert, sodass der vorherige AD RMS Server veraltet sein kann, um Ressourcen frei zu machen.

Nachdem Sie ihrem AD RMS Cluster einen Windows Server 2016-basierten AD RMS-Server hinzugefügt haben, werden alle Knoten, die auf älteren Versionen von Windows basieren, inaktiv. Danach können Sie die Bereitstellung dieser Server wieder entfernen (z. B. herunterfahren, erneut verwenden oder mit Windows Server 2016 neu installieren, um dem AD RMS Cluster beizutreten).

Sie können zusätzliche AD RMS Server im Cluster bereitstellen, um die Last für Ihre AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion auch bei erhöhtem Datenverkehr an die AD RMS-Server ausführen.

Dieser Leitfaden behandelt nicht die Schritte, die erforderlich sind, um die Lastenausgleichsmechanismen zu ändern, die Sie möglicherweise in Ihrer Umgebung verwenden, um die veralteten Server auszuschließen und die Server einzuschließen, die Sie dem Cluster hinzufügen.

Hinzufügen eines 2016-AD RMS-Servers

Wenn Ihr AD RMS Cluster ein Hardwaresicherheitsmodul anstelle eines zentral verwalteten Schlüssels für das Serverlizenzierungszertifikat verwendet, müssen Sie die Software und andere HSM-Artefakte (z. B. Schlüssel- und Konfigurationsdateien) auf dem Server installieren, bevor Sie AD RMS installieren. Außerdem müssen Sie das HSM physisch oder über die relevanten Netzwerkkonfigurationen mit dem Server verbinden. Befolgen Sie ihre HSM-Anleitung für diese Schritte.

So fügen Sie einen 2016-AD RMS-Server hinzu

  1. Installieren Sie die AD RMS-Rolle auf der gewünschten Windows Server 2016 Bereitstellung.

  2. Wählen Sie nach Abschluss der Installation den Link Zusätzliche Konfiguration ausführen aus.

  3. Wählen Sie Vorhandenen AD RMS Cluster beitreten aus, und klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Konfigurationsdatenbank auswählen den im DNS für den 2016-SQL-Server (FQDN) angegebenen CNAME ein.

  5. Klicken Sie in der zweiten Zeile auf Liste , und wählen Sie in der Dropdownliste defaultInstance aus.

  6. Wählen Sie unter Name der Konfigurationsdatenbank das Dropdownmenü aus, und wählen Sie die angezeigte DRMS-Konfiguration aus. Klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Datenbankinformationen das Clusterschlüsselkennwort in das angegebene Feld ein. Klicken Sie anschließend auf Weiter.

  8. Geben Sie auf der nächsten Seite des Assistenten das AD RMS Dienstkonto an, geben Sie das Kennwort dafür an, und klicken Sie nach der Überprüfung auf Weiter .

  9. Sobald die Seite Clusterwebsite angezeigt wird, stellen Sie einfach sicher, dass die entsprechende Website ausgewählt wurde, und klicken Sie auf Weiter.

  10. Wählen Sie auf der Seite Serverauthentifizierungszertifikat auswählen das importierte SSL-Zertifikat aus, und klicken Sie auf Weiter.

  11. Klicken Sie auf Installieren, um die Installation zu starten.

  12. Nach Abschluss der Konfiguration müssen Sie sich ab- und wieder anmelden, um AD RMS zu verwalten.

  13. Nachdem Sie sich wieder angemeldet haben, öffnen Sie Server-Manager wählen Sie Tools aus, und Active Directory Rights Management. Das Verwaltungsfenster sollte angezeigt werden und angeben, dass der Cluster über den zusätzlichen Server im Cluster verfügt.

  14. Wenn die AD RMS Mobile Device Extension im ursprünglichen AD RMS Cluster installiert wurde, müssen Sie auch die MDE auf den aktualisierten Clusterknoten installieren. Befolgen Sie die Anweisungen in der MDE-Dokumentation, um MDE ihrem AD RMS-Cluster hinzuzufügen. An diesem Punkt können Sie alle bereits vorhandenen Knoten erneut nutzen oder sie auf Windows Server 2016 aktualisieren und sie mithilfe des oben beschriebenen Prozesses erneut mit dem AD RMS Cluster verbinden.

Konfigurieren von Windows Server 2016 Web Anwendungsproxy (WAP)

Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise für Ihre Web-Anwendungsproxy-Bereitstellung ausführen müssen. Dies ist ein optionaler Schritt, der nicht erforderlich ist, wenn Sie AD RMS über andere Mechanismen im Internet veröffentlichen.

Hinzufügen eines Windows Server 2016 WAP-Servers

Sie können zusätzliche Web Anwendungsproxy-Server bereitstellen, um die AD RMS-Bereitstellung zu unterstützen. Sie können diese Aktion bei erhöhtem Datenverkehr an die AD RMS Server ausführen oder einen der Server absetzen, die derzeit für die Web-Anwendungsproxy verwendet werden.

So fügen Sie einen 2016 Web Anwendungsproxy-Server hinzu

  1. Navigieren Sie auf dem Server, den Sie als Web-Anwendungsproxy einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.

  2. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter , bis Sie zum Bildschirm serverrollenauswahl gelangen.

  3. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Option Remotezugriff aus, und klicken Sie dann auf Weiter , bis Sie wieder auf dem Bildschirm Serverrollen auswählen sind.

  4. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Option Web Anwendungsproxy aus, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf dem Bildschirm Installationsauswahl bestätigen auf Installieren.

  6. Klicken Sie nach Abschluss der Installation auf Schließen.

  7. Nun ist es an der Zeit, den Server zu konfigurieren. Öffnen Sie hierzu die Remotezugriffs-Verwaltungskonsole auf dem Web-Anwendungsproxy-Server. Öffnen Sie das Startmenü , geben SieRAMgmtUI.exeein, und wählen Sie dann die Anwendung aus.

  8. Klicken Sie im Navigationsbereich auf Webanwendungsproxy.

  9. Klicken Sie in der Remotezugriffsverwaltungskonsole auf Web-Anwendungsproxy-Konfigurations-Assistenten ausführen. Klicken Sie im Assistenten auf Weiter.

  10. Geben Sie auf dem Bildschirm Verbundserver den vollqualifizierten Domänennamen des AD FS-Servers (z. B. adfs.contoso.com) und dann die Anmeldeinformationen für einen Administrator auf dem AD FS-Server ein.

  11. Wählen Sie auf dem Bildschirm AD FS Proxyzertifikats in der Liste der Zertifikate, die derzeit auf dem Web Anwendungsproxy-Server installiert sind, ein Zertifikat aus, das von Web Anwendungsproxy für AD FS Proxy verwendet werden soll, und klicken Sie dann auf Weiter.

  12. Überprüfen Sie auf dem Bildschirm Bestätigung die Einstellungen, und klicken Sie dann auf Konfigurieren.

  13. Klicken Sie nach Abschluss der Konfiguration auf Schließen.

DNS-Konfiguration für 2016 WAP-Server

Sobald der Windows Server 2016 Web Anwendungsproxy-Server eingerichtet wurde, müssen einige DNS-Änderungen vorgenommen werden. Dies erfordert die Verwendung eines DNS-Diensts wie GoDaddy, um die AD FS und AD RMS Dienste auf den 2016 WAP-Server zu verweisen.

So verweisen Sie das DNS auf den WAP-Server

  1. Navigieren Sie zur Website Ihres Anbieters (z. B. GoDaddy).

  2. Wechseln Sie zu Domänenverwaltung und dann zu DNS-Verwaltung.

  3. Suchen Sie den AD FS- und AD RMS-Dienst, und ersetzen Sie den Abschnitt Points to durch die öffentliche IP-Adresse des WAP-Servers 2016, und speichern Sie.

  4. Die Änderung kann zeitaufwändige Zeit in Anspruch nehmen, aber sobald sie vorgenommen wurden, ist dieses Setup abgeschlossen.

Aktivieren von Debugprotokollen

Ausführliche Protokollierungsinformationen sind auf den Web-Anwendungsproxy-Servern verfügbar. Sie können die erweiterte Debugprotokollierung mithilfe der Ereignisanzeige konfigurieren. Es können auch zusätzliche Einstellungen für die Größe der Protokolle ausgewählt werden, um sicherzustellen, dass die Analysen für den Viewer nützlich sind.

Aktivieren von Debugprotokollen für die Web-Anwendungsproxy

  1. Öffnen Sie die Ereignisanzeige-Konsole auf der Web-Anwendungsproxy.

  2. Erweitern Sie den Knoten Microsoft .

  3. Erweitern Sie den Knoten Windows.

  4. Öffnen Sie die Web Anwendungsproxy-Protokolle.

  5. Anschließend können Sie die Administratorprotokolle öffnen.

  6. Öffnen Sie das Menü Aktion oben links, und wählen Sie Eigenschaften aus.

  7. Wählen Sie auf der Registerkarte Allgemein die Option Protokollierung aktivieren aus.

  8. Schließlich können Sie die maximale Protokollgröße anpassen und wissen, was geschieht, wenn die maximale Größe des Ereignisprotokolls erreicht wird.

Konfigurieren von Hochverfügbarkeit für Windows Server 2016 Services

Die folgenden Abschnitte enthalten Anleitungen zu operativen Aufgaben, die Sie möglicherweise benötigen, um Ihre Windows Server 2016 in Hochverfügbarkeit einzurichten.

Hinzufügen eines 2016 AD RMS Servers für Hochverfügbarkeit

Sie können zusätzliche Server AD RMS bereitstellen, um Hochverfügbarkeit einzurichten. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS ausführen.

So fügen Sie einen 2016 AD RMS Server für Hochverfügbarkeit hinzu

  1. Installieren Sie die AD RMS-Rolle auf der gewünschten Windows Server 2016 Bereitstellung.

  2. Klicken Sie nach Abschluss der Installation auf den Link Weitere Konfiguration ausführen.

  3. Wählen Sie Vorhandenen Cluster beitreten AD RMS, und klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Konfigurationsdatenbank auswählen den im DNS für den 2016-SQL-Server (FQDN) angegebenen CNAME ein.

  5. Klicken Sie in der zweiten Zeile auf Liste, und wählen Sie in der Dropdownliste defaultInstance aus.

  6. Wählen Sie unter Name der Konfigurationsdatenbank das Dropdownmenü und dann die angezeigte DRMS-Konfiguration aus. Klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Datenbankinformationen das Clusterschlüsselkennwort in das bereitgestellte Feld ein. Klicken Sie anschließend auf Weiter.

  8. Geben Sie auf der nächsten Seite des Assistenten das AD RMS-Dienstkonto an, geben Sie das Kennwort dafür an, und klicken Sie nach der Überprüfung auf Weiter.

  9. Sobald die Seite Clusterwebsite angezeigt wird, stellen Sie einfach sicher, dass die entsprechende Website ausgewählt wurde, und klicken Sie auf Weiter.

  10. Wählen Sie auf der Seite Serverauthentifizierungszertifikat auswählen das importierte SSL-Zertifikat aus, und klicken Sie auf Weiter.

  11. Klicken Sie auf Installieren, um die Installation zu starten.

  12. Nach Abschluss der Konfiguration müssen Sie sich ab- und wieder anmelden, um die AD RMS.

  13. Nachdem Sie sich wieder angemeldet haben, öffnen Sie Server-Manager Klicken Sie auf Extras, und klicken Sie Active Directory Rights Management. Das Verwaltungsfenster sollte angezeigt werden und angeben, dass der Cluster über den zusätzlichen Server im Cluster verfügt.

  14. Nachdem Sie die Servereinrichtung bestätigt haben, konfigurieren Sie Ihren Lastenausgleichsdienst so, dass die Last zwischen den verschiedenen AD RMS im Cluster ausgeglichen wird.

Hinzufügen eines Windows Server 2016 AD FS-Servers für Hochverfügbarkeit

Sie können zusätzliche Server AD FS bereitstellen, um Hochverfügbarkeit einzurichten. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD FS ausführen. Hinweis: Nach dem Erhöhen der Farmverhaltensebene wird ein neuer Datenbankeintrag in SQL Server 2016 (Adfs Configv3) eingegeben, und die alte Konfigurationsdatenbank muss gelöscht werden, bevor Sie mit diesen Schritten fortfahren.

So fügen Sie Windows Server 2016 AD FS Server für Hochverfügbarkeit hinzu

  1. Installieren Sie die AD RMS-Rolle auf der gewünschten Windows Server 2016 Bereitstellung.

  2. Wählen Sie nach Abschluss der Installation den Link zum Konfigurieren des Verbunddiensts auf diesem Server aus.

  3. Wählen Sie im Begrüßungsabschnitt des Assistenten die Option Verbundserver einer Verbundserverfarm hinzufügen aus, und klicken Sie dann auf Weiter.

  4. Geben Sie das richtige Administratorkonto an, und klicken Sie auf Weiter.

  5. Wählen Sie auf der Seite Farm angeben den Datenbankspeicherort für eine vorhandene Farm mithilfe von SQL Server geben Sie dann den CNAME für den SQL-Dienst als Datenbankhostnamen ein, und klicken Sie auf Weiter.

  6. Geben Sie im Bereich Dienstkonto angeben des Assistenten die Anmeldeinformationen für das AD FS-Dienstkonto ein, und klicken Sie dann auf Weiter.

  7. Klicken Sie unter Überprüfungsoptionen auf Weiter.

  8. Klicken Sie auf Konfigurieren , wenn die Schaltfläche verfügbar wird.

  9. Starten Sie nach der Konfiguration den Computer neu.

  10. Nachdem Sie die Servereinrichtung bestätigt haben, können Sie den Lastenausgleich für AD FS Server nach Bedarf ausführen.

Hinzufügen eines Windows Server 2016 WAP-Servers für Hochverfügbarkeit

Sie können zusätzliche WAP-Server bereitstellen, um Hochverfügbarkeit einzurichten. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS ausführen.

So fügen Sie einen Windows Server 2016 Web Anwendungsproxy Server für Hochverfügbarkeit hinzu

  1. Navigieren Sie auf dem Server, den Sie als Web-Anwendungsproxy einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.

  2. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter , bis Sie zum Bildschirm "Serverrollenauswahl" kommen.

  3. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Option Remotezugriff aus, und klicken Sie dann auf Weiter, bis Sie wieder auf dem Bildschirm Serverrollen auswählen angezeigt werden.

  4. Wählen Sie auf dem Bildschirm Serverrollen auswählen die Option Web Anwendungsproxy, klicken Sie auf Features hinzufügen, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf dem Bildschirm Installationsauswahl bestätigen auf Installieren.

  6. Klicken Sie nach Abschluss der Installation auf Schließen.

  7. Nun ist es an der Zeit, den Server zu konfigurieren. Öffnen Sie hierzu die Remotezugriffs-Verwaltungskonsole auf dem Web-Anwendungsproxy Server. Öffnen Sie das Startmenü , geben SieRAMgmtUI.exeein, und wählen Sie dann die Anwendung aus.

  8. Klicken Sie im Navigationsbereich auf Webanwendungsproxy.

  9. Klicken Sie in der Remotezugriffsverwaltungskonsole auf Web Anwendungsproxy-Konfigurations-Assistenten ausführen. Klicken Sie im Assistenten auf Weiter.

  10. Geben Sie auf dem Bildschirm Verbundserver den vollqualifizierten Domänennamen des AD FS-Servers ein (z. B. adfs.contoso.com), und geben Sie dann anmeldeinformationen für einen Administrator auf dem AD FS ein.

  11. Wählen Sie auf dem Bildschirm AD FS-Proxyzertifikat in der Liste der zertifikate, die derzeit auf dem Web Anwendungsproxy-Server installiert sind, ein Zertifikat aus, das von Web Anwendungsproxy für den AD FS-Proxy verwendet werden soll, und klicken Sie dann auf Weiter.

  12. Überprüfen Sie auf dem Bildschirm Bestätigung die Einstellungen, und klicken Sie dann auf Konfigurieren.

  13. Klicken Sie nach Abschluss der Konfiguration auf Schließen.

  14. Nachdem Sie die Servereinrichtung bestätigt haben, können Sie einen Lastenausgleich für die WAP-Server in der DMZ ausführen.

Hinzufügen eines SQL Server 2016-Knotens für Always On Hochverfügbarkeit

Sie können zusätzliche Server SQL bereitstellen, um hoch Always On einzurichten. Sie können diese Aktion bei erhöhtem Datenverkehr zu den AD RMS ausführen. Hinweis: Stellen Sie sicher, dass SQL Server den eingehenden Port 5022 geöffnet haben.

So fügen Sie einen SQL Server 2016 hinzu, um Always On Hochverfügbarkeit zu gewährleisten

  1. Navigieren Sie auf dem Server, den Sie als zusätzlichen SQL Server 2016-Server einrichten möchten, zur Server-Manager-Konsole, und klicken Sie auf Rollen und Features hinzufügen.

  2. Klicken Sie bis zum Dialogfeld Features auswählen auf Weiter.

  3. Aktivieren Sie das Kontrollkästchen Failoverclustering . Hinweis: Führen Sie diesen Schritt für den ursprünglichen SQL Server 2016-Server aus, damit beide SQL Server über das Failoverclusteringfeature verfügen.

  4. Klicken Sie auf Installieren , um das Failoverclusteringfeature zu installieren.

  5. Öffnen Sie nun Server-Manager, und wählen Sie Tools unddann Failovercluster-Manager.

  6. Klicken Sie im linken Menübereich mit der rechten Maustaste auf Failovercluster-Manager und wählen Sie Cluster erstellen aus.

  7. Dadurch wird der Assistent zum Erstellen von Clustern geöffnet.

  8. Suchen Sie nach SQL Server 2016-Servern, die für Always On Hochverfügbarkeit verwendet werden, und geben Sie sie in ein, und klicken Sie dann auf Weiter.

  9. Sie erhalten eine Validierungswarnung. Wählen Sie Ja aus, um die Clusterknoten zu überprüfen, und klicken Sie dann auf Weiter.

  10. Wählen Sie auf der Seite Testoptionen die Option Alle Tests ausführen aus , und klicken Sie auf Weiter.

  11. Hinweis: Es wird erwartet, dass der Clustervalidierungs-Assistent mehrere Warnmeldungen zurück gibt, insbesondere, wenn Sie keinen freigegebenen Speicher verwenden. Wenn Sie jedoch Fehlermeldungen finden, müssen Sie diese vor dem Erstellen des Windows Serverfailoverclusters beheben.

  12. Geben Sie im Dialogfeld Zugriffspunkt für die Clusterverwaltung den Clusternamen und die virtuelle IP-Adresse für den Windows Server-Failovercluster ein, und klicken Sie dann auf Weiter.

  13. Überprüfen Sie unter Zusammenfassung, ob die Konfiguration erfolgreich war, und klicken Sie auf Fertig stellen.

  14. Klicken Sie im Failovercluster-Manager mit der rechten Maustaste auf Ihren Cluster, wählen Sie Weitere Aktionen aus, und wählen Sie dann Clusterquorum konfigurieren Einstellungen

  15. Klicken Sie auf Weiter, und wählen Sie dann die Option Quorumzeugen auswählen aus , und klicken Sie erneut auf Weiter.

  16. Wählen Sie auf der Seite Quorumzeugen auswählen die Option Dateifreigabenzeugen konfigurieren aus. Klicken Sie dann auf Weiter.

  17. Wählen Sie Durchsuchen aus, und suchen Sie im Dialogfeld Dateifreigabepfad den Pfad der Dateifreigabe, die Sie verwenden möchten. Klicken Sie auf Weiter.

  18. Klicken Sie auf der Bestätigungsseite auf Weiter.

  19. Klicken Sie auf der Zusammenfassungsseite auf Fertig stellen.

  20. Öffnen Sie nun das Startmenü, und suchen Sie nach SQL Server-Konfigurations-Manager.

  21. Klicken Sie mit der rechten Maustaste auf SQL Server, und wählen Sie Eigenschaften aus.

  22. Wählen Sie im Dialogfeld Eigenschaften die Registerkarte AlwaysOn-Hochverfügbarkeit aus. Aktivieren Sie das Kontrollkästchen AlwaysOn-Verfügbarkeitsgruppen aktivieren. Klicken Sie auf OK. Hinweis: Führen Sie dies auf beiden SQL Server 2016-Servern aus.

  23. Starten Sie anschließend den SQL Server-Dienst neu.

  24. Öffnen Sie nun das Startmenü, suchen Sie nach SQL Server Management Studio und klicken Sie im linken Navigationsbereich mit der rechten Maustaste auf Verfügbarkeitsgruppen, klicken Sie auf Assistent für neue Verfügbarkeitsgruppen, und klicken Sie dann auf Weiter.

  25. Wählen Sie auf der Seite Verfügbarkeitsgruppennamen angeben einen Gruppennamen aus (z.B. SQLAvailabilityGroup2016). Klicken Sie dann auf Weiter.

  26. Geben Sie im Abschnitt Datenbanken auswählen die Datenbanken an. Klicken Sie anschließend auf Weiter. Hinweis: Einige Datenbanken müssen möglicherweise erneut gesichert oder in den Modus "Vollständige Wiederherstellung" versetzt werden.

  27. Klicken Sie auf der Seite Replikate angeben auf die Schaltfläche Replikat hinzufügen, und wählen Sie Ihre anderen 2016-SQL Server aus.

  28. Nachdem Sie den anderen Server hinzugefügt haben, aktivieren Sie die Kontrollkästchen, und legen Sie den sekundären Server als lesbaren sekundären Server fest.

  29. Navigieren Sie zur Registerkarte Endpunkte , und klicken Sie auf die Option Aktualisieren . Scrollen Sie auch hier durch , und stellen Sie sicher, dass sich dasselbe Dienstkonto auf dem primären und sekundären Knoten befindet.

  30. Wählen Sie nun die Registerkarte Sicherungseinstellungen und dann die Option Sekundär bevorzugen aus.

  31. Wechseln Sie zur Registerkarte Listener .

  32. Geben Sie einen Namen an (z. B. SQLListener), stellen Sie sicher, dass der Port 1433 ist, und klicken Sie dann auf Weiter.

  33. Wählen Sie auf der Seite Anfängliche Datensynchronisierung auswählen des Assistenten die Option Vollständig aus, geben Sie den Netzwerkspeicherort an, auf den alle SQL Server zugreifen können, und klicken Sie dann auf Weiter.

  34. Klicken Sie abschließend auf Fertig stellen , und der Vorgang wird abgeschlossen.

Außerbetriebsetzen Windows Server 2012 R2-Knoten

Die folgenden Abschnitte enthalten Anleitungen zu betriebsbereiten Aufgaben, die Sie möglicherweise benötigen, um Ihre Windows Server 2012 R2-Server nach dem erfolgreichen Upgrade des AD RMS-Clusters auf Windows Server 2016 zu entfernen.

Entfernen eines Windows Server 2012 R2-AD RMS-Servers

Sie können unnötige AD RMS Server nach einem Upgrade entfernen. Sie können diese Aktion ausführen, wenn sie für die Außerbetriebnahme AD RMS Server erforderlich ist.

So entfernen Sie einenWindows Server 2012 R2-AD RMS-Server

  1. Wählen Sie auf dem Windows Server 2012 R2-AD RMS-Server in Server-Manager in den Menüs oben rechts verwalten und dann Rollen und Features entfernen aus.

  2. Der Assistent zum Entfernen von Rollen und Features wird geöffnet, und klicken Sie auf dem Bildschirm Bevor Sie beginnen auf Weiter.

  3. Klicken Sie auf dem Bildschirm Serverauswahl auf Weiter.

  4. Entfernen Sie auf dem Bildschirm Serverrollen die Überprüfung neben Active Directory Rights Management Services, und klicken Sie auf Weiter.

  5. Klicken Sie auf dem Bildschirm Features auf Weiter.

  6. Klicken Sie auf dem Bestätigungsbildschirm auf Entfernen.

  7. Starten Sie nach Abschluss dieses Vorgangs den Server neu.

  8. Sie können diesen Server jetzt herunterfahren und die Ressourcen nach Bedarf neu verteilen.