A Microsoft Rights Management-összekötő telepítése és konfigurálása

  • Cikk

Az alábbi információk segítségével telepítheti és konfigurálhatja a Microsoft Rights Management (RMS) összekötőt. Ezek az eljárások a Microsoft Rights Management-összekötő üzembe helyezésének 1–4. lépését ismertetik.

Előkészületek:

Az RMS-összekötő telepítése

  1. Azonosítsa a számítógépeket (legalább kettő) az RMS-összekötő futtatásához. Ezeknek a számítógépeknek meg kell felelniük az előfeltételekben felsorolt minimális specifikációnak.

    Megjegyzés:

    Bérlőnként (Microsoft 365-ös vagy Microsoft Entra-bérlőnként) telepítsen egyetlen RMS-összekötőt (amely több kiszolgálóból áll a magas rendelkezésre állás érdekében). Az Active Directory RMS-sel ellentétben nem kell RMS-összekötőt telepítenie minden erdőben.

  2. Töltse le az RMS-összekötő forrásfájljait a Microsoft letöltőközpontból.

    Az RMS-összekötő telepítéséhez töltse le az RMS Csatlakozás orSetup.exe fájlt.

    Ezenkívül ha az RMS-összekötő kiszolgálókonfigurációs eszközét szeretné használni, automatizálja a beállításjegyzék-beállítások konfigurációját a helyszíni kiszolgálókon, töltse le a Gen Csatlakozás orConfig.ps1 parancsot is.

  3. Azon a számítógépen, amelyre telepíteni szeretné az RMS-összekötőt, futtassa az RMS Csatlakozás orSetup.exe fájlt rendszergazdai jogosultságokkal.

  4. A Microsoft Rights Management Csatlakozás or telepítőjének kezdőlapján válassza a Microsoft Rights Management-összekötő telepítése a számítógépen lehetőséget, majd kattintson a Tovább gombra.

  5. Olvassa el és fogadja el a végfelhasználói licencszerződés feltételeit, majd kattintson a Tovább gombra.

  6. A Hitelesítés lapon válassza ki a megoldásnak megfelelő felhőkörnyezetet. Válassza például az AzureCloudot az Azure kereskedelmi ajánlathoz. Ellenkező esetben válassza az alábbi lehetőségek egyikét:

    • AzureChinaCloud: A 21Vianet által üzemeltetett Azure
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3

  7. Válassza a Bejelentkezés lehetőséget a fiókba való bejelentkezéshez. Győződjön meg arról, hogy olyan fiók hitelesítő adatait adja meg, amely rendelkezik az RMS-összekötő konfigurálásához szükséges jogosultságokkal.

    Olyan fiókot használhat, amely a következő jogosultságok egyikével rendelkezik:

    • A bérlő globális rendszergazdája: A Microsoft 365-ös vagy a Microsoft Entra-bérlő globális rendszergazdája.

    • Azure Tartalomvédelmi szolgáltatások globális rendszergazda: Az Azure RMS globális rendszergazdai szerepköréhez hozzárendelt Microsoft Entra-azonosítóban lévő fiók.

    • Azure Tartalomvédelmi szolgáltatások összekötő rendszergazdája: A Microsoft Entra ID-ban található fiók, amely jogosultságot kapott az RMS-összekötő telepítéséhez és felügyeletéhez a szervezet számára.

    A Azure Tartalomvédelmi szolgáltatások globális rendszergazdai szerepkört és Azure Tartalomvédelmi szolgáltatások összekötő-rendszergazdai szerepkört az Add-AipServiceRoleBased Rendszergazda istrator parancsmaggal rendeli hozzá a fiókokhoz.

    Megjegyzés:

    Ha bevezetési vezérlőket implementált, győződjön meg arról, hogy a megadott fiók képes a tartalom védelmére.

    Ha például az "informatikai részleg" csoportra korlátozta a tartalom védelmének lehetőségét, az itt megadott fióknak a csoport tagjának kell lennie. Ha nem, akkor a következő hibaüzenet jelenik meg: A felügyeleti szolgáltatás és a szervezet helyének felderítése sikertelen volt. Győződjön meg arról, hogy a Microsoft Rights Management szolgáltatás engedélyezve van a szervezet számára.

    Tipp.

    Az RMS-összekötő minimális jogosultságokkal való futtatásához hozzon létre egy dedikált fiókot erre a célra, amelyet aztán hozzárendel az Azure RMS-összekötő rendszergazdai szerepköréhez. További információ: Dedikált fiók létrehozása az RMS-összekötőhöz.

  8. A varázsló utolsó lapján tegye a következőket, majd kattintson a Befejezés gombra:

    • Ha ez az első telepített összekötő, akkor most ne válassza az Összekötő indítása rendszergazdai konzolt a kiszolgálók engedélyezéséhez. Ezt a lehetőséget a második (vagy végleges) RMS-összekötő telepítése után fogja kiválasztani. Ehelyett futtassa újra a varázslót legalább egy másik számítógépen. Legalább két összekötőt kell telepítenie.

    • Ha telepítette a második (vagy végleges) összekötőt, válassza az Összekötő indítása rendszergazdai konzolt a kiszolgálók engedélyezéséhez.

Az RMS-összekötő telepítési folyamata során a rendszer ellenőrzi és telepíti az összes előfeltétel-szoftvert, az Internet Information Services (IIS) telepítve van, ha még nincs telepítve, és az összekötő szoftvere telepítve és konfigurálva van. Az Azure RMS konfigurálása az alábbiak létrehozásával is elő van készítve:

  • Üres kiszolgálótábla , amely jogosult arra, hogy az összekötővel kommunikáljon az Azure RMS-sel. Kiszolgálók hozzáadása a táblához később.

  • Az összekötőhöz tartozó biztonsági jogkivonatok készlete, amelyek engedélyezik az Azure RMS-sel való műveleteket. Ezek a jogkivonatok az Azure RMS-ből töltődnek le, és a beállításjegyzék helyi számítógépére vannak telepítve. Ezek védelme az adatvédelmi alkalmazás programozási felületével (DPAPI) és a helyi rendszerfiók hitelesítő adataival történik.

Dedikált fiók létrehozása az RMS-összekötőhöz

Ez az eljárás azt ismerteti, hogyan hozhat létre dedikált fiókot az Azure RMS-összekötő futtatásához a lehető legkevesebb jogosultsággal, amelyet az RMS-összekötő telepítése során történő bejelentkezéskor használhat.

  1. Ha még nem tette meg, töltse le és telepítse az AIPService PowerShell modult. További információ: Az AIPService PowerShell-modul telepítése.

    Indítsa el a Windows PowerShellt a Futtatás rendszergazdaként paranccsal, és csatlakozzon a védelmi szolgáltatáshoz az Csatlakozás-AipService paranccsal:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials

  2. Futtassa az Add-AipServiceRoleBased Rendszergazda istrator parancsot a következő paraméterek egyikével:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"

    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"

    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"

    Futtassa például a következőt: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Bár ezek a parancsok hozzárendelik az összekötő rendszergazdai szerepkörét, használhatja a Globális Rendszergazda istrator szerepkört is.

A telepítés ellenőrzése

  • Annak ellenőrzése, hogy az RMS-összekötő webszolgáltatásai működnek-e:

    Egy webböngészőből csatlakozzon a http://< connectoraddress>/_wmcs/certification/servercertification.asmx fájlhoz, és cserélje le< az összekötőcímet> az RMS-összekötőt tartalmazó kiszolgálócímre vagy névre.

    A sikeres kapcsolat egy ServerCertificationWebService oldalt jelenít meg.

  • Annak ellenőrzése, hogy a felhasználó képes-e RMS- vagy AIP-védelem alatt álló dokumentumok olvasására vagy módosítására:

    Az RMS-összekötő gépen nyissa meg a Eseménynapló, és nyissa meg az alkalmazás Windows-naplóját. Keressen egy bejegyzést a Microsoft RMS Csatlakozás or-forrásból, egy információszinttel.

    A bejegyzésnek a következőhöz hasonló üzenetnek kell lennie: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

Ha el kell távolítania az RMS-összekötőt, távolítsa el a rendszerbeállítások oldalán, vagy a varázsló ismételt futtatásával és az eltávolítási lehetőség kiválasztásával.

Ha bármilyen problémát tapasztal a telepítés során, ellenőrizze a telepítési naplót: %LocalAppData%\Temp\Microsoft Rights Management connector_<date és time.log>

A telepítési napló például a C:\Users\Rendszergazda istrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log fájlhoz hasonló lehet.

Kiszolgálók engedélyezése az RMS-összekötő használatára

Ha legalább két számítógépre telepítette az RMS-összekötőt, készen áll arra, hogy engedélyezze az RMS-összekötőt használni kívánt kiszolgálókat és szolgáltatásokat. Ilyenek például az Exchange Server 2013-at vagy a SharePoint Server 2013-at futtató kiszolgálók.

A kiszolgálók definiálásához futtassa az RMS-összekötő felügyeleti eszközét, és adjon hozzá bejegyzéseket az engedélyezett kiszolgálók listájához. Ezt az eszközt akkor futtathatja, ha a Microsoft Rights Management összekötő telepítővarázslójának végén az Összekötő-felügyeleti konzol indítása lehetőséget választja a kiszolgálók engedélyezéséhez, vagy a varázslótól elkülönítve is futtathatja.

Amikor engedélyezi ezeket a kiszolgálókat, vegye figyelembe a következő szempontokat:

  • A hozzáadott kiszolgálók különleges jogosultságokat kapnak. Az Összekötő konfigurációjában az Exchange Server szerepkörhöz megadott összes fiók megkapja a felügyelői szerepkört az Azure RMS-ben, amely hozzáférést biztosít számukra az RMS-bérlő összes tartalmához. A felügyelői funkció ezen a ponton automatikusan engedélyezve van, ha szükséges. A jogosultságok emelésének biztonsági kockázatának elkerülése érdekében ügyeljen arra, hogy csak a szervezet Exchange-kiszolgálói által használt fiókokat adja meg. Minden SharePoint-kiszolgálóként vagy FCI-t használó fájlkiszolgálóként konfigurált kiszolgálók rendszeres felhasználói jogosultságokat kapnak.

  • Egyetlen bejegyzésként több kiszolgálót is hozzáadhat egy Active Directory biztonsági vagy terjesztési csoport vagy egy több kiszolgáló által használt szolgáltatásfiók megadásával. Ha ezt a konfigurációt használja, a kiszolgálócsoport ugyanazokkal az RMS-tanúsítványokkal rendelkezik, és mindegyik tulajdonosnak minősül az olyan tartalom esetében, amelyet bármelyikük védett. A felügyeleti terhek minimalizálása érdekében javasoljuk, hogy az egyes kiszolgálók helyett egyetlen csoport konfigurációját használja a szervezet Exchange-kiszolgálóinak vagy SharePoint-kiszolgálófarmjainak engedélyezéséhez.

Az összekötőoldal használatára jogosult kiszolgálókon válassza a Hozzáadás lehetőséget.

Megjegyzés:

A kiszolgálók engedélyezése egyenértékű konfiguráció az Azure RMS-ben azzal az AD RMS-konfigurációval, amely lehetővé teszi az NTFS-jogosultságok manuális alkalmazását a ServerCertification.asmx szolgáltatás- vagy kiszolgálószámítógép-fiókokra, és manuálisan biztosít felhasználói szuperjogokat az Exchange-fiókoknak. Az összekötőn nem szükséges NTFS-jogosultságokat alkalmazni a ServerCertification.asmx fájlra.

Kiszolgáló hozzáadása az engedélyezett kiszolgálók listájához

Az Összekötő lap használatának engedélyezése a kiszolgálón, adja meg az objektum nevét, vagy tallózással azonosítsa az engedélyezni kívánt objektumot.

Fontos, hogy a megfelelő objektumot engedélyezze. Ahhoz, hogy egy kiszolgáló használhassa az összekötőt, ki kell jelölni a helyszíni szolgáltatást futtató fiókot (például az Exchange-et vagy a SharePointot). Ha például a szolgáltatás konfigurált szolgáltatásfiókként fut, adja hozzá a szolgáltatásfiók nevét a listához. Ha a szolgáltatás helyi rendszerként fut, adja hozzá a számítógép-objektum nevét (például Standard kiadás RVERNAME$). Ajánlott eljárásként hozzon létre egy csoportot, amely tartalmazza ezeket a fiókokat, és adja meg a csoportot az egyes kiszolgálónevek helyett.

További információ a különböző kiszolgálói szerepkörökről:

  • Exchange-et futtató kiszolgálók esetén: Meg kell adnia egy biztonsági csoportot, és használhatja azt az alapértelmezett csoportot (Exchange-kiszolgálókat), amelyet az Exchange automatikusan létrehoz és karbantart az erdőben lévő összes Exchange-kiszolgálóról.

  • SharePointot futtató kiszolgálók esetén:

    • Ha egy SharePoint 2010-kiszolgáló úgy van konfigurálva, hogy helyi rendszerként fusson (nem használ szolgáltatásfiókot), hozzon létre manuálisan egy biztonsági csoportot a Active Directory tartományi szolgáltatások, és adja hozzá a kiszolgáló számítógépnév-objektumát ebben a konfigurációban ehhez a csoporthoz.

    • Ha egy SharePoint-kiszolgáló szolgáltatásfiók használatára van konfigurálva (a SharePoint 2010 ajánlott gyakorlata és a SharePoint 2016 és a SharePoint 2013 egyetlen lehetősége), tegye a következőket:

      1. Adja hozzá a SharePoint Central Rendszergazda istration szolgáltatást futtató szolgáltatásfiókot, hogy a SharePoint konfigurálható legyen a felügyeleti konzolról.

      2. Adja hozzá a SharePoint-alkalmazáskészlethez konfigurált fiókot.

      Tipp.

      Ha ez a két fiók eltérő, érdemes lehet létrehozni egy olyan csoportot, amely mindkét fiókot tartalmazza a rendszergazdai többletterhelés minimalizálása érdekében.

  • A fájlbesorolási infrastruktúrát használó fájlkiszolgálók esetében a társított szolgáltatások helyi rendszerfiókként futnak, ezért engedélyeznie kell a számítógépfiókot a fájlkiszolgálókhoz (például Standard kiadás RVERNAME$) vagy a számítógépfiókokat tartalmazó csoporthoz.

Ha befejezte a kiszolgálók hozzáadását a listához, kattintson a Bezárás gombra.

Ha még nem tette meg, most konfigurálnia kell a terheléselosztást az RMS-összekötőt futtató kiszolgálókhoz, és fontolja meg, hogy a HTTPS-t használja-e a kiszolgálók és az imént engedélyezett kiszolgálók közötti kapcsolatokhoz.

Terheléselosztás és magas rendelkezésre állás konfigurálása

Miután telepítette az RMS-összekötő második vagy utolsó példányát, adjon meg egy összekötő URL-kiszolgáló nevét, és konfiguráljon egy terheléselosztási rendszert.

Az összekötő URL-kiszolgálójának neve tetszőleges nevet tartalmazhat egy ön által felügyelt névtérben. Létrehozhat például egy bejegyzést a DNS-rendszerben a rmsconnector.contoso.com számára, és konfigurálhatja ezt a bejegyzést úgy, hogy a terheléselosztási rendszerben IP-címet használjon. Ehhez a névhez nincsenek speciális követelmények, és nem kell konfigurálni őket az összekötő kiszolgálókon. Hacsak az Exchange- és SharePoint-kiszolgálók nem kommunikálnak az összekötővel az interneten keresztül, ezt a nevet nem kell feloldani az interneten.

Fontos

Azt javasoljuk, hogy ne módosítsa ezt a nevet, miután konfigurálta az Exchange- vagy SharePoint-kiszolgálókat az összekötő használatára, mert ezeket a kiszolgálókat törölnie kell az összes IRM-konfigurációból, majd újra kell konfigurálnia őket.

Miután a név létrejött a DNS-ben, és egy IP-címhez van konfigurálva, konfigurálja a cím terheléselosztását, amely a forgalmat az összekötő-kiszolgálókra irányítja. Ehhez bármilyen IP-alapú terheléselosztót használhat, amely magában foglalja a Windows Server hálózati terheléselosztási (NLB) funkcióját. További információt a terheléselosztás üzembehelyezési útmutatójában talál.

Az NLB-fürt konfigurálásához használja az alábbi beállításokat:

  • Portok: 80 (HTTP esetén) vagy 443 (HTTPS esetén)

    További információ arról, hogy HTTP-t vagy HTTPS-t szeretne-e használni, tekintse meg a következő szakaszt.

  • Affinitás: Nincs

  • Terjesztési módszer: Egyenlő

A terheléselosztási rendszerhez (az RMS-összekötő szolgáltatást futtató kiszolgálókhoz) definiált név a szervezet RMS-összekötőjének neve, amelyet később használ, amikor a helyszíni kiszolgálókat az Azure RMS használatára konfigurálja.

Az RMS-összekötő konfigurálása HTTPS használatára

Megjegyzés:

Ez a konfigurációs lépés nem kötelező, de további biztonság érdekében ajánlott.

Bár a TLS vagy az SSL használata nem kötelező az RMS-összekötőhöz, minden HTTP-alapú, biztonsági szempontból érzékeny szolgáltatáshoz javasoljuk. Ez a konfiguráció hitelesíti az összekötőt futtató kiszolgálókat az összekötőt használó Exchange- és SharePoint-kiszolgálókon. Emellett a kiszolgálókról az összekötőnek küldött összes adat titkosítva van.

Ha engedélyezni szeretné az RMS-összekötő számára a TLS használatát, az RMS-összekötőt futtató minden kiszolgálón telepítsen egy kiszolgálóhitelesítő tanúsítványt, amely tartalmazza az összekötőhöz használt nevet. Ha például a DNS-ben definiált RMS-összekötő neve rmsconnector.contoso.com, helyezzen üzembe egy kiszolgálóhitelesítési tanúsítványt, amely a tanúsítvány tulajdonosában általános névként rmsconnector.contoso.com tartalmaz. Vagy adja meg a rmsconnector.contoso.com a tanúsítvány alternatív neveként DNS-értékként. A tanúsítványnak nem kell tartalmaznia a kiszolgáló nevét. Ezután az IIS-ben kösse ezt a tanúsítványt az alapértelmezett webhelyhez.

Ha a HTTPS-beállítást használja, győződjön meg arról, hogy az összekötőt futtató összes kiszolgáló rendelkezik érvényes kiszolgálóhitelesítési tanúsítvánnyal, amely egy olyan legfelső szintű hitelesítésszolgáltatóhoz kapcsolódik, amelyet az Exchange és a SharePoint-kiszolgálók megbízhatónak tekintenek. Ezenkívül ha az összekötő-kiszolgálók tanúsítványait kiállító hitelesítésszolgáltató (CA) közzétesz egy visszavont tanúsítványok listáját (CRL), az Exchange- és SharePoint-kiszolgálóknak le kell tudniuk tölteni ezt a CRL-t.

Tipp.

A következő információk és erőforrások segítségével kérheti és telepítheti a kiszolgálóhitelesítő tanúsítványt, és a tanúsítványt az IIS alapértelmezett webhelyéhez kötheti:

  • Ha az Active Directory Tanúsítványszolgáltatások (AD CS) és egy vállalati hitelesítésszolgáltató (CA) használatával telepíti ezeket a kiszolgálói hitelesítési tanúsítványokat, duplikálhatja, majd használhatja a webkiszolgáló tanúsítványsablonját. Ez a tanúsítványsablon a tanúsítvány tulajdonosának nevére vonatkozó kérelemben megadott nevet használja, ami azt jelenti, hogy a tanúsítvány igénylésekor megadhatja az RMS-összekötő nevének teljes tartománynevét.

  • Ha önálló hitelesítésszolgáltatót használ, vagy másik vállalattól vásárolja meg ezt a tanúsítványt, olvassa el az Internet Server-tanúsítványok (IIS 7) konfigurálása a WebKiszolgáló (IIS) dokumentációs könyvtárában a TechNeten.

  • Ha az IIS-t a tanúsítvány használatára szeretné konfigurálni, olvassa el a Kötés hozzáadása webhelyhez (IIS 7) című témakört a TechNet webkiszolgálói (IIS) dokumentációs könyvtárában.

Az RMS-összekötő konfigurálása webproxy-kiszolgálóhoz

Ha az összekötő-kiszolgálók olyan hálózaton vannak telepítve, amely nem rendelkezik közvetlen internetkapcsolattal, és a kimenő internet-hozzáféréshez egy webproxy-kiszolgáló manuális konfigurálásához van szükség, ezen kiszolgálókon konfigurálnia kell a beállításjegyzéket az RMS-összekötőhöz.

Az RMS-összekötő konfigurálása webproxy-kiszolgáló használatára

  1. Az RMS-összekötőt futtató minden kiszolgálón nyisson meg egy beállításszerkesztőt, például a Regeditet.

  2. Lépjen a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Csatlakozás or

  3. Adja hozzá a ProxyAddress sztringértékét, majd állítsa be az ehhez az értékhez tartozó adatokat http://< MyProxyDomainOrIPaddress>:<MyProxyPort>

    For example: https://proxyserver.contoso.com:8080

  4. Zárja be a beállításszerkesztőt, majd indítsa újra a kiszolgálót, vagy hajt végre egy IISReset-parancsot az IIS újraindításához.

Az RMS-összekötő felügyeleti eszköz telepítése felügyeleti számítógépekre

Az RMS-összekötő felügyeleti eszközét olyan számítógépről futtathatja, amelyen nincs telepítve az RMS-összekötő, ha a számítógép megfelel a következő követelményeknek:

  • Windows Server 2019, 2016, 2012 vagy Windows Server 2012 R2 rendszerű fizikai vagy virtuális számítógép (minden kiadás), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Legalább 1 GB RAM.

  • Legalább 64 GB lemezterület.

  • Legalább egy hálózati adapter.

  • Hozzáférés az internethez tűzfalon (vagy webes proxyn) keresztül.

  • .NET 4.7.2

Az RMS-összekötő felügyeleti eszköz telepítéséhez futtassa a következő fájlt egy 64 bites számítógéphez: RMS Csatlakozás orSetup.exe

Ha még nem töltötte le ezeket a fájlokat, ezt a Microsoft letöltőközpontból teheti meg.

További információ: Az RMS-összekötő előfeltételei.

Az RMS-összekötő telepítésének frissítése

Az RMS-összekötő új verziójának telepítése automatikusan eltávolítja a korábbi verziókat, és telepíti a szükséges .NET 4.7.2-es verziót. Ha bármilyen problémába ütközik, az alábbi utasításokat követve távolítsa el manuálisan az előző verziót, és telepítse a .NET 4.7.2-t.

  1. Az RMS-összekötő számítógépén az Alkalmazások és szolgáltatások beállításai lapon távolítsa el a Microsoft Rights Management Csatlakozás ort.

    Az örökölt rendszereken a Vezérlőpult > Program és szolgáltatások lapon találhat telepítés nélküli beállításokat.

    Navigáljon a varázslón a Microsoft Rights Management-összekötő eltávolításához, és válassza a Befejezés gombot a végén.

  2. Ellenőrizze, hogy a számítógépen telepítve van-e a .NET 4.7.2. További információ: Útmutató: Annak meghatározása, hogy mely .NET-keretrendszer verziók vannak telepítve.

    Ha szükséges, töltse le és telepítse a .NET 4.7.2-es verzióját.

    Amikor a rendszer kéri, indítsa újra a gépet, majd folytassa az RMS-összekötő új verziójának telepítésével.

TLS 1.2 kényszerítése az Azure RMS Csatlakozás orhoz

A Microsoft alapértelmezés szerint 2022. március 1-jén letiltja a régebbi, nem biztonságos TLS-protokollokat, köztük a TLS 1.0-t és a TLS 1.1-et az RMS-szolgáltatásokon. A módosításra való felkészüléshez érdemes kikapcsolnia a régebbi protokollok támogatását az RMS Csatlakozás or-kiszolgálókon, és gondoskodnia kell arról, hogy a rendszer továbbra is a várt módon működjön.

Ez a szakasz a Transport Layer Security (TLS) 1.0 és 1.1 rms Csatlakozás or kiszolgálókon való letiltásának és a TLS 1.2 használatának kényszerítésének lépéseit ismerteti.

Kapcsolja ki a TLS 1.0 és 1.1 elemet, és kényszerítse a TLS 1.2 használatát

  1. Győződjön meg arról, hogy az RMS Csatlakozás or gépen a .NET-keretrendszer 4.7.2-es verziójú. További információ: .NET-keretrendszer 4.7.2-es verziója.

  2. Töltse le és telepítse az RMS Csatlakozás or legújabb elérhető verzióját. További információ: Az RMS-összekötő telepítése.

  3. Indítsa újra az RMS Csatlakozás or-kiszolgálókat, és tesztelje az RMS Csatlakozás or funkcióit. Győződjön meg például arról, hogy a helyszíni RMS-felhasználók képesek olvasni a titkosított dokumentumaikat.

For more information, see:

TLS 1.2-használat ellenőrzése (speciális)

Ez az eljárás a TLS 1.2 használatának ellenőrzésére nyújt példát, és megköveteli a Fiddler előzetes ismeretét.

  1. Töltse le és telepítse a Fiddlert az RMS Csatlakozás or gépen.

  2. Nyissa meg a Fiddlert, majd nyissa meg a Microsoft RMS Csatlakozás or felügyeleti eszközeit.

  3. Válassza a Bejelentkezés lehetőséget, de az ellenőrzés elvégzéséhez nem kell ténylegesen bejelentkeznie.

  4. A bal oldali Fiddler ablakban keresse meg az msconnectoradmin folyamatot. Ennek a folyamatnak meg kell kísérelnie biztonságos kapcsolatot létesíteni discover.aadrm.com.

    Például:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. A jobb oldali Fiddler ablakban válassza az Ellenőrök lapot, és tekintse meg a Szövegnézet lapokat a kéréshez és a válaszhoz is.

    Ezekben a lapokban vegye figyelembe, hogy a kommunikáció a TLS 1.2 használatával történik. Például:

    Screenshot of a Fiddler window showing TLS 1.2 being used.

A TLS 1.2 használatának manuális kényszerítése

Ha manuálisan kell kényszerítenie a TLS 1.2 használatát, és ki kell kapcsolnia a korábbi verziók használatát, futtassa a következő PowerShell-szkriptet az RMS-összekötő gépen.

Figyelem

Az ebben a szakaszban található szkript használata gépenként kikapcsolja a TLS 1.2 előtti kommunikációt. Ha a gép többi szolgáltatása TLS 1.0-s vagy 1.2-s verziót igényel, ez a szkript megszakíthatja ezen szolgáltatások funkcióit.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

További lépések

Most, hogy telepítette és konfigurálta az RMS-összekötőt, készen áll a helyszíni kiszolgálók használatára. Lépjen a Kiszolgálók konfigurálása a Microsoft Rights Management-összekötőhöz című témakörben.