Instalowanie i konfigurowanie łącznika usługi Microsoft Rights Management

Poniższe informacje ułatwiają zainstalowanie i skonfigurowanie łącznika usługi Microsoft Rights Management (RMS). Te procedury obejmują kroki od 1 do 4 opisane w artykule Wdrażanie łącznika zarządzania prawami dostępu firmy Microsoft.

Przed rozpoczęciem:

Instalowanie łącznika RMS

  1. Zidentyfikuj komputery (co najmniej dwa) do uruchomienia łącznika RMS. Te komputery muszą spełniać minimalną specyfikację wymienioną w wymaganiach wstępnych.

    Uwaga

    Zainstaluj jeden łącznik RMS (składający się z wielu serwerów w celu zapewnienia wysokiej dostępności) na dzierżawę (dzierżawę Microsoft 365 lub dzierżawę usługi Azure AD). W przeciwieństwie do usługi Active Directory RMS, nie trzeba instalować łącznika RMS w każdym lesie.

  2. Pobierz pliki źródłowe łącznika RMS z Centrum pobierania Microsoft.

    Aby zainstalować łącznik RMS, pobierz RMSConnectorSetup.exe.

    Ponadto, jeśli chcesz użyć narzędzia konfiguracji serwera do łącznika RMS, do zautomatyzowania konfiguracji ustawień rejestru na serwerach lokalnych, pobierz również GenConnectorConfig.ps1.

  3. Na komputerze, na którym chcesz zainstalować łącznik RMS, uruchom RMSConnectorSetup.exe z uprawnieniami administratora.

  4. Na stronie powitalnej instalatora dodatku Microsoft Rights Management Connector wybierz pozycję Zainstaluj łącznik usługi Microsoft Rights Management na komputerze, a następnie kliknij przycisk Dalej.

  5. Przeczytaj i zaakceptuj End-User postanowienia umowy licencyjnej, a następnie kliknij przycisk Dalej.

  6. Na stronie Uwierzytelnianie wybierz środowisko chmury zgodne z twoim rozwiązaniem. Na przykład wybierz pozycję AzureCloud dla oferty komercyjnej platformy Azure. W przeciwnym razie wybierz jedną z następujących opcji:

    • AzureChinaCloud: Azure Obsługiwana przez firmę 21Vianet
    • AzureUSGovernment: Azure Government (GCC High/DoD)
    • AzureUSGovernment2: Azure Government 2
    • AzureUSGovernment3: Azure Government 3
  7. Wybierz pozycję Zaloguj się , aby zalogować się do swojego konta. Upewnij się, że wprowadzasz poświadczenia dla konta, które ma wystarczające uprawnienia, aby skonfigurować łącznik RMS.

    Możesz użyć konta, które ma jedno z następujących uprawnień:

    • administrator globalny dzierżawy: konto, które jest administratorem globalnym dzierżawy Microsoft 365 lub dzierżawy usługi Azure AD.

    • Administrator globalny usługi Azure Rights Management: konto w Azure Active Directory, któremu przypisano rolę administratora globalnego usługi Azure RMS.

    • Administrator łącznika usługi Azure Rights Management: konto w Azure Active Directory, któremu przyznano prawa do instalowania łącznika RMS w organizacji i administrowania nim.

    Rola administratora globalnego usługi Azure Rights Management i rola administratora łącznika usługi Azure Rights Management są przypisywane do kont przy użyciu polecenia cmdlet Add-AipServiceRoleBasedAdministrator .

    Uwaga

    Jeśli zaimplementowano kontrolki dołączania, upewnij się, że określone konto jest w stanie chronić zawartość.

    Jeśli na przykład ograniczono możliwość ochrony zawartości do grupy "Dział INFORMATYCZNY", konto określone w tym miejscu musi być członkiem tej grupy. W przeciwnym razie zostanie wyświetlony komunikat o błędzie: Próba odnalezienia lokalizacji usługi administracyjnej i organizacji nie powiodła się. Upewnij się, że usługa Zarządzania prawami dostępu firmy Microsoft jest włączona dla Twojej organizacji.

    Wskazówka

    Aby uruchomić łącznik RMS z najmniejszymi uprawnieniami, utwórz dedykowane konto w tym celu, a następnie przypisz rolę administratora łącznika usługi Azure RMS. Aby uzyskać więcej informacji, zobacz Tworzenie dedykowanego konta łącznika RMS.

  8. Na ostatniej stronie kreatora wykonaj następujące czynności, a następnie kliknij przycisk Zakończ:

    • Jeśli jest to pierwszy zainstalowany łącznik, nie wybieraj pozycji Uruchom konsolę administratora łącznika, aby autoryzować serwery w tej chwili. Tę opcję należy wybrać po zainstalowaniu drugiego (lub ostatniego) łącznika RMS. Zamiast tego ponownie uruchom kreatora na co najmniej jednym innym komputerze. Należy zainstalować co najmniej dwa łączniki.

    • Jeśli masz zainstalowany drugi (lub ostatni) łącznik, wybierz pozycję Uruchom konsolę administratora łącznika, aby autoryzować serwery.

Podczas procesu instalacji łącznika RMS sprawdzane i instalowane jest wszystkie wymagane oprogramowanie, Internet Information Services (IIS) jest instalowane, jeśli jeszcze nie istnieje, a oprogramowanie łącznika jest instalowane i konfigurowane. Usługa Azure RMS jest również przygotowana do konfiguracji, tworząc następujące elementy:

  • Pusta tabela serwerów autoryzowanych do komunikacji z usługą Azure RMS przy użyciu łącznika. Dodaj serwery do tej tabeli później.

  • Zestaw tokenów zabezpieczeń łącznika, który autoryzuje operacje za pomocą usługi Azure RMS. Tokeny te są pobierane z usługi Azure RMS i instalowane na komputerze lokalnym w rejestrze. Są one chronione przy użyciu interfejsu programowania aplikacji ochrony danych (DPAPI) i poświadczeń konta systemu lokalnego.

Tworzenie dedykowanego konta łącznika RMS

W tej procedurze opisano, jak utworzyć dedykowane konto w celu uruchomienia łącznika usługi Azure RMS z jak najmniejszymi możliwymi uprawnieniami do użycia podczas logowania podczas instalacji łącznika RMS.

  1. Jeśli jeszcze tego nie zrobiono, pobierz i zainstaluj moduł AIPService PowerShell. Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService PowerShell.

    Uruchom Windows PowerShell za pomocą polecenia Uruchom jako administrator i połącz się z usługą ochrony za pomocą polecenia Połączenie-AipService:

    Connect-AipService                   //provide Microsoft 365 tenant administratoror Azure RMS global administrator credentials
    
  2. Uruchom polecenie Add-AipServiceRoleBasedAdministrator , używając tylko jednego z następujących parametrów:

    Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role"ConnectorAdministrator"
    
    Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role"ConnectorAdministrator"
    

    Na przykład uruchom polecenie: Add-AipServiceRoleBasedAdministrator -EmailAddressmelisa@contoso.com -Role "ConnectorAdministrator"

Mimo że te polecenia przypisują rolę administratora łącznika, zamiast niej możesz także użyć roli GlobalAdministrator .

Zweryfikuj instalację

  • Aby sprawdzić, czy usługi sieci Web łącznika RMS działają:

    W przeglądarce sieci Web nawiąż połączenie z http://< connectoraddress>/_wmcs/certification/servercertification.asmx, zastępując <adres łącznika> adresem serwera lub nazwą, na którym jest zainstalowany łącznik RMS.

    Pomyślne połączenie wyświetla stronę ServerCertificationWebService .

  • Aby sprawdzić, czy użytkownicy mogą odczytywać lub modyfikować dokumenty chronione RMS lub AIP:

    Na maszynie łącznika RMS otwórz Podgląd zdarzeń i przejdź do dziennika Windows aplikacji. Znajdź wpis ze źródła dodatku Microsoft RMS Connector z poziomem informacji.

    Wpis powinien zawierać wiadomość podobną do następującej: The list of authorized accounts has been updated

    Screenshot of an RMS connector event in the Event Viewer.

Jeśli musisz odinstalować łącznik RMS, odinstaluj go na stronie ustawień systemu lub ponownie uruchamiając kreatora i wybierając opcję odinstalowywania.

Jeśli podczas instalacji wystąpią jakiekolwiek problemy, sprawdź dziennik instalacji: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time.log>

Na przykład dziennik instalacji może wyglądać podobnie do C :\Użytkownicy\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autoryzowanie serwerów do używania łącznika RMS

Po zainstalowaniu łącznika RMS na co najmniej dwóch komputerach możesz przystąpić do autoryzowania serwerów i usług, które mają korzystać z łącznika RMS. Na przykład serwery z systemem Exchange Server 2013 lub SharePoint Server 2013.

Aby zdefiniować te serwery, uruchom narzędzie administracyjne łącznika RMS i dodaj wpisy do listy dozwolonych serwerów. To narzędzie można uruchomić po wybraniu przycisku Uruchom konsolę administracyjną łącznika w celu autoryzacji serwerów na końcu kreatora konfiguracji łącznika zarządzania prawami firmy Microsoft lub można uruchomić je oddzielnie od kreatora.

W przypadku autoryzowania tych serwerów należy pamiętać o następujących kwestiach:

  • Dodawane serwery mają specjalne uprawnienia. Wszystkie konta określone dla roli Exchange Server w konfiguracji łącznika otrzymują rolę superużytkownika w usłudze Azure RMS, co daje im dostęp do całej zawartości dla tej dzierżawy RMS. Funkcja superużytkownika jest w tym momencie automatycznie włączana, jeśli to konieczne. Aby uniknąć ryzyka bezpieczeństwa związane z podwyższeniem uprawnień, należy zachować ostrożność w określaniu tylko kont używanych przez serwery Exchange organizacji. Wszystkie serwery skonfigurowane jako serwery SharePoint lub serwery plików używające interfejsu FCI mają zwykłe uprawnienia użytkownika.

  • Jako jedną pozycję można dodać wiele serwerów , określając grupę zabezpieczeń lub grupę dystrybucyjną usługi Active Directory albo konto usługi używane przez więcej niż jeden serwer. Podczas korzystania z tej konfiguracji grupa serwerów korzysta z tych samych certyfikatów RMS i wszystkie są traktowane jako właścicieli zawartości, która została chroniona przez dowolną z nich. W celu zminimalizowania kosztów administracyjnych zalecamy używanie tej konfiguracji pojedynczej grupy zamiast pojedynczych serwerów do autoryzowania serwerów Exchange organizacji lub farmy serwerów SharePoint.

Na stronie Serwery, które mogą korzystać z łącznika , wybierz pozycję Dodaj.

Uwaga

Autoryzowanie serwerów to równoważna konfiguracja usługi Azure RMS z konfiguracją usług AD RMS polegająca na ręcznym stosowaniu praw NTFS do pliku ServerCertification.asmx dla kont usługi lub komputera serwera oraz ręcznym przyznawaniu superpraw użytkowników do kont Exchange. Stosowanie praw systemu plików NTFS do pliku ServerCertification.asmx nie jest wymagane na łączniku.

Dodawanie serwera do listy dozwolonych serwerów

Na stronie Zezwalaj serwerowi na korzystanie z łącznika wprowadź nazwę obiektu lub przejdź do identyfikowania obiektu do autoryzacji.

Ważne jest, aby autoryzować właściwy obiekt. Aby serwer używał łącznika, do autoryzacji musi być wybrane konto, które korzysta z usługi lokalnej (na przykład Exchange lub SharePoint). Jeśli na przykład usługa działa jako skonfigurowane konto usługi, dodaj nazwę tego konta usługi do listy. Jeśli usługa jest uruchomiona jako system lokalny, dodaj nazwę obiektu komputera (na przykład NAZWA_SERWERA$). Najlepszym rozwiązaniem jest utworzenie grupy zawierającej te konta i określenie grupy zamiast pojedynczych nazw serwerów.

Więcej informacji na temat różnych ról serwera:

  • W przypadku serwerów uruchamianych Exchange: Należy określić grupę zabezpieczeń i użyć grupy domyślnej (serwery Exchange), która Exchange automatycznie tworzy i obsługuje wszystkie serwery Exchange w lesie.

  • W przypadku serwerów uruchamianych SharePoint:

    • Jeśli serwer SharePoint 2010 jest skonfigurowany do uruchamiania jako system lokalny (nie używa konta usługi), ręcznie utwórz grupę zabezpieczeń w Active Directory Domain Services i dodaj do tej grupy obiekt nazwy komputera serwera w tej konfiguracji.

    • Jeśli serwer SharePoint jest skonfigurowany do korzystania z konta usługi (zalecane rozwiązanie dla SharePoint 2010 i jedyna opcja dla SharePoint 2016 i SharePoint 2013), wykonaj następujące czynności:

      1. Dodaj konto usługi, które uruchamia usługę administracji centralnej SharePoint, aby umożliwić konfigurowanie SharePoint za pomocą konsoli administratora.

      2. Dodaj konto skonfigurowane dla puli aplikacji SharePoint.

      Wskazówka

      Jeśli te dwa konta są różne, rozważ utworzenie jednej grupy zawierającej oba konta, aby zminimalizować koszty administracyjne.

  • W przypadku serwerów plików korzystających z infrastruktury klasyfikacji plików skojarzone usługi są uruchamiane jako konto systemu lokalnego, więc musisz autoryzować konto komputera dla serwerów plików (na przykład SERVERNAME$) lub grupy zawierającej te konta komputerów.

Po zakończeniu dodawania serwerów do listy kliknij przycisk Zamknij.

Jeśli jeszcze tego nie zrobiono, musisz teraz skonfigurować równoważenie obciążenia dla serwerów, na których jest zainstalowany łącznik RMS, i zastanowić się, czy używać protokołu HTTPS dla połączeń między tymi serwerami a właśnie autoryzowanymi serwerami.

Konfigurowanie równoważenia obciążenia i wysoka dostępność

Po zainstalowaniu drugiego lub ostatniego wystąpienia łącznika RMS zdefiniuj nazwę serwera adresu URL łącznika i skonfiguruj system równoważenia obciążenia.

Nazwa serwera adresu URL łącznika może być dowolną nazwą w obszarze nazw, który kontrolujesz. Na przykład można utworzyć wpis w systemie DNS dla rmsconnector.contoso.com i skonfigurować ten wpis do używania adresu IP w systemie równoważenia obciążenia. Nie ma żadnych specjalnych wymagań dotyczących tej nazwy i nie trzeba jej konfigurować na samych serwerach łączników. Jeśli serwery Exchange i SharePoint nie będą komunikować się z łącznikiem przez Internet, ta nazwa nie musi być rozpoznana w Internecie.

Ważne

Nie zaleca się zmieniania tej nazwy po skonfigurowaniu Exchange lub SharePoint serwerów do używania łącznika, ponieważ należy wyczyścić te serwery wszystkich konfiguracji usługi IRM, a następnie ponownie je skonfigurować.

Po utworzeniu nazwy w systemie DNS i skonfigurowaniu jej dla adresu IP skonfiguruj równoważenie obciążenia dla tego adresu, co kieruje ruch do serwerów łączników. W tym celu możesz użyć dowolnego modułu równoważenia obciążenia opartego na adresach IP, który zawiera funkcję równoważenia obciążenia sieciowego (NLB) w programie Windows Server. Aby uzyskać więcej informacji, zobacz Przewodnik wdrażania równoważenia obciążenia.

Skonfiguruj klaster równoważenia obciążenia sieciowego za pomocą następujących ustawień:

  • Porty: 80 (dla PROTOKOŁU HTTP) lub 443 (dla protokołu HTTPS)

    Aby uzyskać więcej informacji na temat korzystania z protokołu HTTP lub HTTPS, zobacz następną sekcję.

  • Koligacja: Brak

  • Metoda rozkładu: Równa się

Ta nazwa zdefiniowana dla systemu równoważenia obciążenia (dla serwerów z usługą łącznika RMS) to nazwa łącznika RMS organizacji, która jest używana później podczas konfigurowania serwerów lokalnych do używania usługi Azure RMS.

Konfigurowanie łącznika RMS do używania protokołu HTTPS

Uwaga

Ten krok konfiguracji jest opcjonalny, ale zalecany w celu zapewnienia dodatkowych zabezpieczeń.

Mimo że użycie protokołu TLS lub SSL jest opcjonalne dla łącznika RMS, zalecamy to w przypadku dowolnej usługi z poufną ochroną opartą na protokołu HTTP. Ta konfiguracja uwierzytelnia serwery uruchamiające łącznik na serwerach Exchange i SharePoint korzystających z łącznika. Ponadto wszystkie dane wysyłane z tych serwerów do łącznika są szyfrowane.

Aby umożliwić łącznikowi RMS używanie protokołu TLS, na każdym serwerze, na którym jest uruchomiony łącznik RMS, zainstaluj certyfikat uwierzytelniania serwera zawierający nazwę używaną dla łącznika. Jeśli na przykład nazwa łącznika RMS zdefiniowana w systemie DNS jest rmsconnector.contoso.com, wdróż certyfikat uwierzytelniania serwera zawierający rmsconnector.contoso.com w temacie certyfikatu jako nazwę wspólną. Możesz też określić wartość DNS rmsconnector.contoso.com w alternatywnej nazwie certyfikatu. Certyfikat nie musi zawierać nazwy serwera. Następnie w programie IIS powiąż ten certyfikat z domyślną witryną sieci Web.

Jeśli używasz opcji HTTPS, upewnij się, że wszystkie serwery, na których jest uruchamiany łącznik, mają prawidłowy certyfikat uwierzytelniania serwera, który jest łączony z urzędem certyfikacji głównej, który jest zaufany przez serwery Exchange i serwery SharePoint. Ponadto jeśli urząd certyfikacji, który wydał certyfikaty dla serwerów łączników, opublikuje listę odwołań certyfikatów (CRL), serwery Exchange i SharePoint muszą mieć możliwość pobrania tej listy crl.

Wskazówka

Poniższe informacje i zasoby ułatwiają żądanie i instalowanie certyfikatu uwierzytelniania serwera oraz powiązanie tego certyfikatu z domyślną witryną sieci Web w usługach IIS:

  • Jeśli do wdrażania tych certyfikatów uwierzytelniania serwera używasz usług certyfikatów active directory (AD CS) i urzędu certyfikacji przedsiębiorstwa, możesz zduplikować certyfikat, a następnie użyć szablonu certyfikatu programu Web Server. Ten szablon certyfikatu używa wartości Podano w żądaniu nazwy podmiotu certyfikatu, co oznacza, że można podać nazwę FQDN łącznika RMS dla nazwy tematu certyfikatu lub tematu alternatywnej nazwy podczas żądania certyfikatu.

  • Jeśli korzystasz z autonomicznego urzędu certyfikacji lub kupujesz ten certyfikat od innej firmy, zobacz Konfigurowanie certyfikatów serwera internetowego (IIS 7) w bibliotece dokumentacji serwera sieci Web (IIS) w witrynie TechNet.

  • Aby skonfigurować usługę IIS do używania certyfikatu, zobacz Dodawanie powiązania do witryny (IIS 7) w bibliotece dokumentacji serwera sieci Web (IIS) w witrynie TechNet.

Konfigurowanie łącznika RMS dla serwera proxy sieci Web

Jeśli serwery łączników są zainstalowane w sieci, która nie ma bezpośredniej łączności internetowej i wymaga ręcznej konfiguracji serwera proxy sieci Web na potrzeby wychodzącego dostępu do Internetu, należy skonfigurować rejestr na tych serwerach dla łącznika RMS.

Aby skonfigurować łącznik RMS w celu używania internetowego serwera proxy

  1. Na każdym serwerze z uruchomionym łącznikiem RMS otwórz edytor rejestru, taki jak Regedit.

  2. Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Dodaj wartość ciągu proxyAddress , a następnie ustaw dla tej wartości wartość Data (Dane) na wartość http://< MyProxyDomainOrIPaddress>:<MyProxyPort>

    Na przykład: http://proxyserver.contoso.com:8080

  4. Zamknij edytor rejestru, a następnie uruchom ponownie serwer lub wykonaj polecenie IISReset, aby ponownie uruchomić usługę IIS.

Instalowanie narzędzia administracji łącznika RMS na komputerach administracyjnych

Narzędzie do administrowania łącznikami RMS można uruchomić na komputerze, na który nie ma zainstalowanego łącznika RMS, jeśli ten komputer spełnia następujące wymagania:

  • Komputer fizyczny lub wirtualny z systemem Windows Server 2019, 2016, 2012 lub Windows Server 2012 R2 (wszystkie wersje), Windows 11, Windows 10, Windows 8.1, Windows 8.

  • Co najmniej 1 GB pamięci RAM.

  • Co najmniej 64 GB miejsca na dysku.

  • Co najmniej jeden interfejs sieci.

  • Dostęp do Internetu przez zaporę (lub serwer proxy sieci Web).

  • .NET 4.7.2

Aby zainstalować narzędzie administracyjne łącznika RMS, uruchom następujący plik na komputerze 64-bitowym: RMSConnectorSetup.exe

Jeśli te pliki nie zostały jeszcze pobrane, możesz to zrobić z Centrum pobierania Microsoft.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne łącznika RMS.

Aktualizowanie instalacji łącznika RMS

Zainstalowanie nowej wersji łącznika RMS powoduje automatyczne odinstalowanie wszystkich wcześniejszych wersji i zainstalowanie wymaganej wersji .NET 4.7.2. Jeśli wystąpią problemy, wykonaj poniższe instrukcje, aby ręcznie odinstalować poprzednią wersję i zainstalować program .NET 4.7.2.

  1. Na komputerze łącznika RMS odinstaluj łącznik usługi Microsoft Rights Management Connector za pomocą strony ustawień Funkcji aplikacji&.

    W starszych systemach opcje un-installation można znaleźć na stronie Panel sterowania > Program i funkcje.

    Przejdź przez kreatora, aby odinstalować łącznik usługi Microsoft Rights Management, wybierając na końcu pozycję Zakończ .

  2. Sprawdź, czy na komputerze jest zainstalowana wersja .NET 4.7.2. Aby uzyskać więcej informacji, zobacz Jak ustalić, które .NET Framework wersje są zainstalowane.

    W razie potrzeby pobierz i zainstaluj program .NET w wersji 4.7.2.

    Po wyświetleniu monitu uruchom ponownie komputer, a następnie kontynuuj instalowanie nowej wersji łącznika RMS.

Wymuszanie protokołu TLS 1.2 dla dodatku Azure RMS Connector

1 marca 2022 r. firma Microsoft domyślnie wyłączy starsze, niezabezpieczone protokoły TLS, w tym protokoły TLS 1.0 i TLS 1.1 w usługach RMS. Aby przygotować się do tej zmiany, możesz wyłączyć obsługę tych starszych protokołów na serwerach dodatku RMS Connector i upewnić się, że system będzie nadal działać zgodnie z oczekiwaniami.

W tej sekcji opisano kroki wyłączania zabezpieczeń warstwy transportu (TLS) 1.0 i 1.1 na serwerach łącznika RMS i wymuszania użycia protokołu TLS 1.2.

Wyłącz TLS 1.0 i 1.1 i wymuś użycie protokołu TLS 1.2

  1. Upewnij się, że program .NET framework na komputerze z łącznikami RMS ma wersję 4.7.2. Aby uzyskać więcej informacji, zobacz .NET framework w wersji 4.7.2.

  2. Pobierz i zainstaluj najnowszą dostępną wersję dodatku RMS Connector. Aby uzyskać więcej informacji, zobacz Instalowanie łącznika RMS.

  3. Uruchom ponownie serwery łącznika RMS i przetestuj funkcję łącznika RMS. Na przykład upewnij się, że lokalni użytkownicy usług RMS mogą czytać zaszyfrowane dokumenty.

Aby uzyskać więcej informacji, zobacz:

Sprawdzanie użycia protokołu TLS 1.2 (zaawansowane)

Ta procedura zawiera przykład sprawdzania, czy protokół TLS 1.2 jest używany, i wymaga wcześniejszej wiedzy na temat programu Fiddler.

  1. Pobierz i zainstaluj program Fiddler na komputerze z programem RMS Connector.

  2. Otwórz program Fiddler, a następnie otwórz narzędzia administracyjne dodatku Microsoft RMS Connector.

  3. Wybierz pozycję Zaloguj się, chociaż nie musisz się logować, aby ukończyć weryfikację.

  4. W oknie Skrzypek po lewej stronie znajdź proces msconnectoradmin . Ten proces powinien podejmować próbę nawiązania bezpiecznego połączenia z discover.aadrm.com.

    Na przykład:

    Screenshot of Fiddler showing the msconnectoradmin process trying to establish a secure connection with discover dot addrm dot com.

  5. W oknie Skrzypek po prawej stronie wybierz kartę Inspektorzy i wyświetl karty Widok tekstu dla żądania i odpowiedzi.

    Na tych kartach należy pamiętać, że komunikacja jest wykonywana przy użyciu protokołu TLS 1.2. Na przykład:

    Screenshot of a Fiddler window showing TLS 1.2 being used.

Ręczne wymuszanie użycia protokołu TLS 1.2

Jeśli chcesz ręcznie wymusić użycie protokołu TLS 1.2, wyłączając użycie we wcześniejszych wersjach, uruchom następujący skrypt programu PowerShell na komputerze łącznika RMS.

Ostrożność

Użycie skryptu w tej sekcji powoduje wyłączenie komunikacji przed TLS 1.2 na poszczególnych komputerach. Jeśli inne usługi na komputerze wymagają protokołu TLS 1.0 lub 1.2, ten skrypt może przerwać działanie tych usług.

$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList) {
    foreach ($key in $ProtocolSubKeyList) {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Host " Current Registry Path $currentRegPath"
        if (!(Test-Path $currentRegPath)) {
            Write-Host "creating the registry"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2") {
            Write-Host "Working for TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else {
            Write-Host "Working for other protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
        }
    }
}

Następne kroki

Po zainstalowaniu i skonfigurowaniu łącznika RMS możesz skonfigurować serwery lokalne do korzystania z niego. Przejdź do konfigurowania serwerów dla łącznika usługi Microsoft Rights Management.