Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour configurer RMS dans une forêt, vous devez au préalable installer et déployer un serveur. Le premier serveur que vous déployez est le serveur de certification racine. Ce serveur prend en charge la certification et la gestion des licences et peut être utilisé comme serveur unique dans une configuration ne comportant qu'un serveur ou comme serveur initial dans un cluster de certification racine.
Rôles, autorisations et droits nécessaires à l'installation et au déploiement de serveurs RMS supplémentaires
Pour installer RMS, vous devez vous connecter à l'aide d'un compte bénéficiant des privilèges d'administrateur local. En outre, pour que Active Directory authentifie RMS, vous devez vous être connecté à un domaine à l'aide d'un compte de domaine valide. Si vous déployez RMS dans un environnement dans lequel l'infrastructure Active Directory utilise le mode natif de Windows 2000, il est possible que RMS ne puisse pas lire l'attribut memberOf sur les objets Active Directory lorsqu'il tente d'étendre l'appartenance à un groupe. Pour que RMS puisse lire l'attribut memberOf, le compte de service RMS doit être un compte de domaine membre du groupe d'accès compatible pré-Windows 2000 de votre forêt. Si vous avez déployé des groupes dotés d'appartenances masquées, vous devez également configurer le compte de service RMS avec des autorisations lui permettant de lire les appartenances masquées.
Notes
Le compte de service RMS ne peut pas être identique au compte de domaine utilisé pour installer RMS.
Processus d'installation et de déploiement pour le serveur initial
Le déploiement du serveur RMS comprend deux étapes. Vous devez, tout d'abord, installer le logiciel de serveur RMS de même que tous les logiciels sous-jacents tels que IIS, Message Queuing et ASP.NET. Pour plus d'informations sur l'installation, consultez « Pour installer RMS avec le Service Pack 1 » dans la section « Fonctionnement d'un serveur RMS » de cette documentation.
Notes
Vous pouvez également installer RMS depuis une invite de commandes. Pour plus d'informations, consultez « Installation de RMS à partir d'une invite de commandes » dans la section « Fonctionnement d'un serveur RMS » de cette documentation.
Après avoir installé RMS sur un serveur, vous devez déployer RMS de manière à ce qu'il puisse être utilisé sur un site Web unique hébergé par le serveur. Le déploiement de ce site Web se traduit par la modification d'une quantité importante de ses paramètres et par l'ajout de répertoires virtuels. Pour plus d'informations sur ces modifications, consultez « Prise en charge d'Internet Information Services pour RMS » dans la section « Référence technique sur RMS » de cette documentation.
Vous pouvez utiliser le site Web figurant par défaut dans IIS ou créer un site Web. Pour déployer RMS sur un autre site que le site Web par défaut, vous devez créer le site Web avant de démarrer ce processus de déploiement. Si vous utilisez le site Web par défaut à d'autres fins, vous devez créer un site pour RMS, afin que la configuration par défaut soit conservée pour le site Web par défaut.
Lorsque vous cliquez sur Administration Windows RMS dans le menu Démarrer, la page Administration globale apparaît. Cette page vous permet de démarrer le processus de déploiement sur un site Web. Pour déployer le premier serveur RMS, vous devez fournir les informations suivantes :
- Indiquez le nom de la base de données à utiliser pour la configuration de RMS, la journalisation et les bases de données des services d'annuaire. Si l'instance SQL Server porte un nom différent de celui du serveur local, vous devez la configurer en tant qu'instance SQL Server distante, même si tous les composants sont installés sur un seul serveur. Lors du déploiement, le compte d'utilisateur actuellement ouvert doit posséder l'autorisation de créer des bases de données sur le serveur de base de données.
- Indiquez le compte à utiliser pour le compte de service RMS. Dans le cas d'une configuration locale, vous pouvez utiliser le compte système local, bien que celui-ci ne soit pas recommandé en raison des problèmes de sécurité inhérents à l'exécution d'un service détenant des privilèges de système local. Dans le cas d'une installation comprenant une instance SQL Server distante ou plusieurs serveurs RMS, vous devez spécifier un compte de domaine. Le compte de domaine que vous utilisez doit détenir des privilèges de recherche dans Active Directory et permet de créer le pool d'applications IIS sous lequel la console d'administration est exécutée. Si vous ne mettez pas à niveau ou n'utilisez pas une base de données existante, le compte de service RMS requiert des droits de création de base de données. Si vous utilisez des bases de données existantes, le compte doit détenir des autorisations de lecture et d'écriture sur chaque base de données RMS.
- Indiquez l'URL à utiliser pour accéder au site Web. La valeur par défaut est le nom du site que vous déployez (tel que le site Web par défaut, si vous déployez un serveur avec une installation par défaut d'IIS). Vous pouvez spécifier une URL personnalisée permettant d'accéder à un autre site Web pour, par exemple, prendre en charge une URL d'équilibrage de charge ou un accès intranet et Internet. Vous devez vérifier que l'URL personnalisée fonctionne et ajouter le nom du site dans le service DNS, afin que les pages Administration globale et Déploiement accèdent aux racines virtuelles. Si cette URL est destinée à un déploiement compatible Internet, assurez-vous qu'elle est disponible à partir d'Internet et du réseau de l'entreprise.
- Sélectionnez le mécanisme de protection de la clé privée de l'installation racine utilisée pour l'inscription. La solution par défaut consiste à utiliser un cryptage logiciel et à stocker la clé privée cryptée dans la base de données de configuration RMS. Si vous utilisez la configuration par défaut, vous devez saisir un mot de passe fort pour crypter la valeur figurant dans la base de données.
Toutefois, si vous avez installé et configuré un module de sécurité physique (HSM) sur l'ordinateur, vous pouvez également sélectionner un fournisseur de services cryptographiques (CSP) à utiliser avec le module et stocker les clés privées dans un composant matériel, tel qu'une carte à puce. RMS nécessite un fournisseur RSA complet et seuls ces fournisseurs sont disponibles dans la liste des fournisseurs de services cryptographiques. Il est vivement recommandé d'utiliser un module de sécurité physique (HSM) pour protéger la clé privée RMS.
Si vous utilisez un fournisseur de services cryptographiques logiciel pour sécuriser la clé privée RMS avec un mot de passe, vous devez placer celui-ci dans une archive sécurisée afin de pouvoir ultérieurement vous y reporter. Vous devez également stocker une copie de sauvegarde de la base de données de configuration avec le mot de passe. Cette opération vous permet de restaurer RMS si la base de données SQL est endommagée. Si vous modifiez le mot de passe, créez une copie de sauvegarde de la base de données de configuration qui stocke la clé privée sécurisée avec ce mot de passe, puis placez la copie et le mot de passe dans l'archive sécurisée. Pour plus d'informations sur la procédure de sauvegarde et de restauration de la base de données de configuration, consultez « Sauvegarde et restauration du système RMS » dans la section « Planification d'un déploiement RMS » de cette documentation. - Indiquez le nom à utiliser dans le certificat de licence serveur. Par défaut, le nom proposé est celui du serveur.
- Indiquez un serveur proxy (notamment l'adresse et le port) à utiliser pour accéder à Internet, le cas échéant.
- Indiquez une adresse électronique permettant aux autres administrateurs RMS de contacter un administrateur si celui-ci ne parvient pas à sous-inscrire un serveur de licences. Après avoir déployé l'installation racine, vous pouvez modifier l'adresse.
- Sélectionnez une méthode de révocation de certificat de licence serveur afin de déterminer quelles entités, hormis le service d'inscription Microsoft, peuvent révoquer le certificat de licence serveur de l'installation racine. Pour utiliser une révocation par une tierce partie, vous devez spécifier le chemin et le nom du fichier qui contient la clé publique de cette entité tierce.
Si vous avez sélectionné l'option d'inscription en ligne, lorsque vous cliquez sur Envoyer dans la page Déploiement (après avoir configuré toutes les options appropriées), RMS génère une paire de clés et envoie la clé publique au service d'inscription Microsoft. (Si vous obtenez des messages d'erreur, ne fermez pas la page sur laquelle ceux-ci apparaissent. Après avoir corrigé les erreurs, ouvrez une fenêtre d'invite de commandes et tapez IISReset pour arrêter et redémarrer IIS, revenez à l'écran précédent, saisissez de nouveau les informations dans la page de déploiement puis cliquez de nouveau sur Envoyer.) Le service d'inscription Microsoft crée un certificat de licence serveur qu'il renvoie au bout de quelques minutes à la base de données de configuration. Étant donné qu'il s'agit, dans le domaine, du premier serveur sur lequel RMS est installé, cette étape correspond au processus d'inscription du serveur de certification racine.
Si vous avez sélectionné l'option d'inscription hors ligne, inscrivez manuellement le serveur à l'aide du service d'inscription Microsoft une fois le processus de déploiement terminé. Vous ne pouvez pas utiliser le serveur tant que le processus d'inscription n'est pas terminé. Pour plus d'informations, consultez « Pour inscrire un serveur de certification racine manuellement » dans la section « Fonctionnement d'un serveur RMS » de cette documentation.
Une fois que vous avez déployé et inscrit un serveur, les liens figurant sur la page Administration globale sont modifiés. Le lien Déployer RMS sur ce site Web devient Administrer RMS sur le site Web, le lien Ajouter ce serveur à un cluster est remplacé par un lien Modifier le compte de service RMS, et un lien Supprimer RMS sur ce site Web est ajouté à la page.
Ce serveur initial établit l'installation racine de RMS. L'installation racine peut comprendre un seul serveur ou un cluster. Après avoir installé et déployé le serveur initial, vous pouvez configurer d'autres serveurs de manière à prendre en charge la redondance et l'équilibrage de charge des services de certification et de licences.
Une fois la configuration achevée, vous devez inscrire le point de connexion de service du cluster de certification racine dans Active Directory afin que les clients compatibles RMS puissent découvrir le service. Pour plus d'informations, consultez « Inscription du point de connexion de service » dans la section « Fonctionnement d'un serveur RMS » de cette documentation. Si le point de connexion de service n'est pas inscrit, vous ne pourrez pas utiliser votre client RMS avec RMS.
Important
Vous devez complètement installer et déployer RMS sur le premier serveur avant de démarrer l'installation de RMS sur d'autres serveurs. RMS prend en charge la protection du contenu vers les groupes Active Directory dont l'appartenance s'étend sur plusieurs forêts. Si votre organisation ne possèdent pas plusieurs forêts ou groupes s'étendant sur plusieurs forêts, vous pouvez optimiser les performances du processus d'émission de licences d'utilisation sur votre serveur RMS en modifiant la stratégie de cluster MaxCrossForestCalls dans la base de données de configuration RMS. Cette stratégie indique le nombre maximum de fois que l'adhésion d'un groupe peut passer d'une forêt à l'autre. La valeur par défaut est de 10. Pour la définir sur 0, utilisez la commande SQL suivante :update DRMS_ClusterPolicies set PolicyData=0 where PolicyName='MaxCrossForestCalls'
Les rubriques suivantes décrivent les procédures permettant de réaliser les tâches disponibles dans la page Administration globale de RMS :
- Pour plus d'informations sur la procédure d'utilisation de l'assistant d'installation pour installer le serveur initial, consultez « Pour installer RMS avec le Service Pack 1 » dans la section « Fonctionnement d'un serveur RMS » de cette documentation.
- Pour plus d'informations sur le déploiement du premier serveur, consultez « Pour déployer le premier serveur de certification racine » dans la section « Fonctionnement d'un serveur RMS » de cette documentation.
- Pour plus d'informations sur l'ajout de serveurs à l'installation racine afin de créer un cluster, consultez « Ajout de serveurs pour la prise en charge de la certification et de l'attribution de licences » plus loin dans cette même rubrique.