Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Introduction
Active Directory Rights Management Services (AD RMS) to usługa firmy Microsoft, która chroni poufne dokumenty i wiadomości e-mail. W przeciwieństwie do tradycyjnych metod ochrony, takich jak zapory i listy ACL, szyfrowanie i ochrona usług AD RMS są trwałe, niezależnie od tego, gdzie plik się znajduje lub jak jest transportowany.
Ten dokument zawiera wskazówki dotyczące migracji z systemu Windows Server 2012 R2 z programem SQL Server 2012 do systemów Windows Server 2016 i SQL Server 2016. Ten sam proces może służyć do migracji ze starszych, ale obsługiwanych wersji usług AD RMS. Należy pamiętać, że usługi Active Directory Rights Management nie są już aktywne, a w przypadku najnowszych funkcji klienci powinni rozważyć migrację do usługi Azure Information Protection, która oferuje znacznie bardziej kompleksowy zestaw funkcji z bardziej kompletnym obsługą urządzeń i aplikacji.
Aby uzyskać informacje na temat migracji do usługi Azure Information Protection z usług AD RMS bez konieczności ponownej ochrony zawartości, zobacz dokumentacji migracji usługi Azure Information Protection.
Informacje o środowisku używanym w tym przewodniku
Usługi AD FS są opcjonalnym składnikiem instalacji AD RMS. W tym przewodniku zakłada się użycie usług AD FS. Jeśli usługi AD FS nie zostały użyte w twoim środowisku do obsługi użytkowników usług AD RMS, możesz pominąć wszystkie kroki, które odnoszą się do usług AD FS.
W tym przewodniku program SQL Server został uaktualniony do programu SQL Server 2016, wykonując równoległą instalację i przenosząc bazy danych za pośrednictwem kopii zapasowej. Alternatywnie, jeśli możesz bezpośrednio uaktualnić serwery baz danych AD RMS i AD FS do programu SQL Server 2016, możesz przejść do następnej sekcji w tym dokumencie po przeprowadzeniu tej aktualizacji, bez konieczności wykonywania kroków opisanych w tej sekcji.
Installation
Konfigurowanie programu SQL Server 2016
W poniższej sekcji szczegółowo przedstawiono zadania implementacji związane bezpośrednio z konfiguracją programu SQL Server 2016. Ten przewodnik koncentruje się na używaniu Menedżera serwera i programu SQL Server Management Studio do wykonywania tych zadań.
Te kroki należy wykonać w instalacji programu SQL Server 2016. Zainstaluj program SQL Server 2016 na odpowiednim sprzęcie zgodnie ze standardowymi praktykami i zasadami organizacji.
Przygotowywanie programu SQL Server
W poniższej sekcji szczegółowo opisano sposób przygotowania programu SQL Server w celu uaktualnienia go do programu SQL Server 2016 przed uaktualnieniem innych usług na platformie AD RMS do korzystania z systemu Windows Server 2016.
Dodawanie rekordu CNAME dla programu SQL Server 2016 do systemu DNS
CNAME służy do upewnienia się, że konfiguracja systemu Windows Server 2016 będzie uzyskiwała odpowiednie dane, ponieważ będzie skierowana na nowy SQL Server 2016. Uwaga: jeśli już używasz rekordu CNAME dla usług AD FS i AD RMS, możesz przejść do następnych kroków.
Aby dodać rekord CNAME dla programu SQL Server 2016 do usługi DNS
Zaloguj się do kontrolera domeny systemu Windows Server 2012 R2 przy użyciu poświadczeń administratora domeny.
Otwórz Menedżera serwera.
Click Tools and select DNS to open the DNS Manager.
W okienku nawigacji po lewej stronie rozwiń kontroler domeny (DC) i otwórz strefy wyszukiwania do przodu (Forward Lookup Zones).
Otwórz odpowiednie zasoby domeny, a następnie kliknij prawym przyciskiem myszy w okienku widoku po prawej stronie i wybierz Nowy Alias (CNAME), aby rozpocząć tworzenie rekordu CNAME.
Dla nazwy aliasu wprowadź nazwę logiczną, aby odróżnić ją od innych, które mogą być obecne (np. SQLADRMS lub SQLADFS)
Po wprowadzeniu nazwy podaj nazwę FQDN hosta docelowego, który będzie nowym serwerem programu SQL Server 2016. (ex. SQL2016.contoso.com)
Once all the information has been entered, click OK.
Tworzenie kopii zapasowych baz danych usług AD RMS i AD FS
Bazy danych usług AD RMS i AD FS przechowują krytyczne informacje niezbędne do usług AD RMS, takie jak klucz publiczny certyfikatu licencjodawcy serwera, szablony zasad praw, dane konfiguracji usług AD FS i informacje rejestrowania. Bez tych baz danych klienci nie mogą wystawiać licencji na korzystanie z chronionej zawartości, między innymi.
Spośród baz danych, baza danych konfiguracji AD RMS jest uważana za najważniejszą, ponieważ przechowuje SLC, szablony zasad praw, klucze użytkowników oraz informacje konfiguracyjne. Dlatego należy zadbać o tworzenie kopii zapasowych wszystkich baz danych usług AD RMS i AD FS, ale należy szczególnie zaplanować regularne tworzenie kopii zapasowych bazy danych konfiguracji.
Baza danych rejestrowania przechowuje informacje o żądaniach użytkowników do klastra usług AD RMS na potrzeby certyfikatów i używania licencji. Strategia tworzenia kopii zapasowych tej bazy danych powinna być oparta na zasadach firmy w celu zachowania tego typu informacji.
Baza danych usług katalogowych nie jest krytyczna dla funkcji usług AD RMS, a jeśli najnowsze dane zostaną utracone, baza danych zostanie ponownie wypełniona informacjami, ponieważ serwer usług AD RMS odbiera żądania dotyczące certyfikatów i licencji użycia. Nie musisz regularnie tworzyć kopii zapasowych tej bazy danych, ale musisz mieć co najmniej kopię bazy danych, ponieważ została ona pierwotnie skonfigurowana po wdrożeniu usług AD RMS.
Aby utworzyć kopię zapasową bazy danych usług AD RMS i/lub usług AD FS przy użyciu programu Microsoft SQL Server
Zaloguj się do serwera bazy danych usług AD RMS systemu Windows Server 2012 R2 przy użyciu programu SQL 2012.
Click Start, click All Programs, click Microsoft SQL Server, and click SQL Server Management Studio.
W oknie Połącz z serwerem upewnij się, że serwer obsługujący bazy danych usług AD RMS znajduje się w polu Nazwa serwera , a następnie kliknij Połącz.
Expand Databases. Right click the appropriate database (DRMS and Adfs), point to Tasks, and select Backup.
Powtórz krok 4 dla pozostałych baz danych.
Upewnij się, że kopia zapasowa baz danych jest dostępna dla innych komputerów w sieci lub za pomocą urządzenia pamięci masowej, ponieważ będą potrzebne w późniejszych krokach podczas migracji.
Teraz możesz przechowywać kopie bazy danych w bezpiecznej lokalizacji. Pamiętaj, aby często tworzyć kopie zapasowe baz danych.
Dodawanie konta usługi Domain Admin, SQL, AD RMS i/lub AD FS do programu SQL Server 2016
Poniższe kroki przedstawiają sposób dodawania różnych kont usług do programu SQL Server 2016 w celu ułatwienia migracji danych ze środowiska systemu Windows Server 2012 R2. Zapewni to odpowiednie uprawnienia podczas próby uzyskania dostępu do zawartości i obsługi danych.
Aby dodać konto administracji domeny, SQL, AD RMS i/lub konto usługi AD FS do programu SQL Server
Zaloguj się na serwerze przy użyciu programu SQL Server 2016 jako konta administratora lokalnego.
Click Start, click All Programs, click Microsoft SQL Server, and click SQL Server Management Studio.
W oknie Połącz z serwerem upewnij się, że serwer obsługujący bazy danych usług AD RMS znajduje się w polu Nazwa serwera, a następnie w sekcji Uwierzytelnianie kliknij menu rozwijane i wybierz pozycję Uwierzytelnianie programu SQL Server.
In the Login field enter the name of the Local Admin account (Ex. localadmin) and then provide the appropriate password and click Connect.
Expand Security and then right-click Logins and select New Login from the context menu that appears.
Once the window appears, enter in the Domain Admin account in the Login name field (Ex. Contoso\ContosoAdmin)
From the left navigation pane, choose Server Roles.
Then mark the checkbox for sysadmin under the server roles and click OK.
Uruchom ponownie narzędzie SQL Server Management.
W oknie Połącz z serwerem upewnij się, że serwer hostujący bazy danych AD RMS znajduje się w polu Nazwa serwera , a następnie dla Uwierzytelniania kliknij menu rozwijane, wybierz pozycję Uwierzytelnianie systemu Windows, i kliknij przycisk Połącz.
Przywracanie baz danych usług AD RMS i AD FS do programu SQL Server 2016
Poniższe kroki pokażą, jak przywrócić dane z poprzedniej instancji SQL Server do nowej instancji SQL Server 2016. Umożliwi to nowemu programowi SQL korzystanie z odpowiednich danych konfiguracji z poprzednich baz danych usług AD RMS i AD FS.
Aby przywrócić dane z poprzedniego serwera SQL do nowego serwera SQL
Zaloguj się na serwerze przy użyciu programu SQL Server 2016 przy użyciu odpowiedniego konta.
From the left navigation pane, right-click Databases and select Restore Database to begin the restoration process.
Under Source choose Device and then browse for the location where the database files were stored in the earlier steps.
Once the files have been selected, click OK.
Ensure that all the database files have been added and complete the process by clicking OK.
Konfigurowanie usług Active Directory Federation Services (AD FS) systemu Windows Server 2016
Usługi AD FS zostały wdrożone w celu zapewnienia dostępu do logowania jednokrotnego (SSO) do usług AD RMS jako aplikacji. Został on również skonfigurowany przy użyciu rozszerzenia urządzeń przenośnych usług AD RMS (MDE), co umożliwia obsługę użytkowników końcowych korzystających z komputerów Mac i urządzeń przenośnych.
Poniższe sekcje zawierają wskazówki dotyczące zadań operacyjnych, które mogą być konieczne do wykonania we wdrożeniu usług AD FS.
Dodawanie serwera usług AD FS 2016 do farmy
Aby obsługiwać wdrożenie usług AD RMS, można wdrożyć dodatkowe serwery usług AD FS. Możesz wykonać tę akcję w przypadku zwiększonego ruchu do serwerów usług AD RMS lub dodatkowych aplikacji lub w razie potrzeby wycofania jednego z serwerów, które są obecnie używane dla usług AD FS.
Przed kontynuowaniem zapoznaj się z Wymagania wstępne dotyczące programu Microsoft Entra Connect.
Aby dodać serwer AD FS 2016 do Farmy
Na serwerze Microsoft Entra Connect kliknij dwukrotnie ikonę Microsoft Entra Connect, aby uruchomić kreatora Microsoft Entra Connect.
In the Welcome page, click Configure.
Na stronie Dodatkowe zadania kliknij przycisk Wdróż dodatkowy serwer federacyjny, a następnie kliknij przycisk Dalej.
Na stronie Połącz z Microsoft Entra ID wprowadź nazwę użytkownika oraz hasło konta posiadającego odpowiednie uprawnienia zdefiniowane w wymaganiach wstępnych instalacji programu Microsoft Entra Connect, a następnie kliknij przycisk Dalej.
In the Domain Administrator credentials page, enter the user name and password of an account with Domain Admin permissions and click Next.
Click Browse and select the certificate file used when configuring the AD FS farm using the Microsoft Entra Connect.
Click Enter Password to open the Certificate Password dialog box.
Enter the password of the certificate in the Password field and then click OK.
Click Next.
In the AD FS Servers page, enter the name or the IP address of the new AD FS server and click Add.
In the Ready to Configure page, click Install.
In the Installation Complete page, click Exit.
Podnoszenie poziomu funkcjonowania farmy usług AD FS
Podczas wdrażania serwera usług AD FS, który przekracza bieżący poziom środowiska, np. posiadania serwera AD FS na Windows Server 2012 R2 i dodaniu serwera AD FS na Windows Server 2016, należy zwiększyć poziom zachowania farmy. Jest to konieczne, aby zapewnić, że środowisko korzysta z najbardziej aktualnych informacji i funkcji.
Aby podnieść poziom funkcjonalności farmy usług AD FS
Przejdź do AD FS w Windows Server 2016.
Otwórz sesję administratora programu PowerShell.
Wprowadź następujące polecenie: $cred = Get-Credential
Zostanie wyświetlone okno z prośbą o podanie poświadczeń, wprowadź poświadczenia administratora domeny.
Następnie wprowadź następujące polecenie: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
Zostanie wyświetlony monit z pytaniem Czy chcesz kontynuować tę operację? Następnie wprowadź , aby zaakceptować monit.
Po zakończeniu działania polecenia poziom zachowania farmy zostanie skonfigurowany i gotowy.
Włączanie rejestrowania rozszerzeń urządzeń przenośnych
Rozszerzenie urządzenia przenośnego może rejestrować żądania odbierane z urządzeń użytkowników końcowych. Rejestrowanie jest domyślnie wyłączone i zalecamy włączenie rejestrowania tylko w scenariuszu rozwiązywania problemów. Wszystkie żądania z urządzeń przenośnych i komputerów stacjonarnych do uruchamiania lub uzyskiwania licencji użycia końcowego są rejestrowane w bazie danych rejestrowania usługi AD RMS lub na koncie usługi Azure Storage. Rejestrowanie MDE utworzy dwie dodatkowe tabele dla serwera SQL używanego przez usługi AD RMS: tabelę dziennika debugowania klienta i tabelę dziennika wydajności klienta.
Aby włączyć rejestrowanie rozszerzeń urządzeń przenośnych
Na serwerze usług AD RMS otwórz program Windows PowerShell jako administrator.
Type the following command and press Enter: Import-Module AdRmsAdmin
Type the following command and press Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Type the following command and press Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true
Jeśli do rozwiązywania problemów używasz rejestrowania MDE, zalecamy jego wyłączenie po rozwiązaniu problemu.
Aby wyłączyć rejestrowanie rozszerzenia urządzenia mobilnego
Na serwerze usług AD RMS otwórz program Windows PowerShell jako administrator.
Type the following command and press Enter: Import-Module AdRmsAdmin
Type the following command and press Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Type the following command and press Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false
Uaktualnianie usług AD RMS do systemu Windows Server 2016
Poniższe sekcje zawierają wskazówki dotyczące dodawania serwera ad RMS opartego na systemie Windows Server 2016 do bieżącego klastra systemu Windows Server 2012 R2. Serwer zostanie dodany do tego klastra, a informacje zostaną do niego zreplikowane, aby poprzedni serwer usług AD RMS mógł zostać wycofany w celu zwolnienia zasobów.
Po dodaniu jednego serwera usług AD RMS opartych na systemie Windows Server 2016 do klastra usług AD RMS wszystkie węzły oparte na starszych wersjach systemu Windows staną się nieaktywne. Po wykonaniu tej czynności można wyłączyć aprowizowanie tych serwerów (np. zamknąć, ponownie uruchomić lub ponownie zainstalować system Windows Server 2016, aby dołączyć do klastra usług AD RMS).
Dodatkowe serwery usług AD RMS można wdrożyć w klastrze, aby obsługiwać obciążenie wdrożenia usług AD RMS. Możesz również wykonać tę akcję w przypadku zwiększonego ruchu do serwerów usług AD RMS.
Ten przewodnik nie obejmuje kroków wymaganych do zmiany mechanizmów równoważenia obciążenia, których można używać w danym środowisku, aby wykluczyć przestarzałe serwery i uwzględnić te, które dodajesz do klastra.
Dodawanie serwera AD RMS 2016
Jeśli klaster usług AD RMS używa sprzętowego modułu zabezpieczeń zamiast klucza zarządzanego centralnie dla certyfikatu licencjodawcy serwera, należy zainstalować oprogramowanie i inne artefakty HSM (e.g. key i pliki konfiguracji) na serwerze przed zainstalowaniem usług AD RMS. Należy również połączyć moduł HSM z serwerem fizycznie lub za pośrednictwem odpowiednich konfiguracji sieci. Postępuj zgodnie ze wskazówkami dotyczącymi modułu HSM, aby wykonać te kroki.
Aby dodać serwer AD RMS 2016
Zainstaluj rolę usług AD RMS we żądanym wdrożeniu systemu Windows Server 2016.
Po zakończeniu instalacji wybierz link do Wykonaj dodatkową konfigurację.
Wybierz Dołącz do istniejącego klastra usług AD RMS i kliknij Dalej.
Na stronie Wybierz bazę danych konfiguracji wprowadź nazwę CNAME określoną w systemie DNS dla serwera SQL Server 2016 (FQDN).
Click List on the second line and select the DefaultInstance from the drop-down.
W obszarze Nazwa bazy danych konfiguracjiotwórz menu rozwijane i wybierz konfigurację DRMS, która się pojawi. Then click Next.
On the Database Information page, enter the cluster key password in the field provided. After that, click Next.
In the next page of the wizard, specify the AD RMS service account and provide the password for it and click Next once it has been verified.
Gdy zostanie wyświetlona strona witryny klastrowej, po prostu upewnij się, że wybrano odpowiednią witrynę, a następnie kliknij Dalej.
Na stronie Wybierz certyfikat uwierzytelniania serwera wybierz zaimportowany certyfikat SSL i kliknij przycisk Dalej.
Click Install to begin the installation.
Po zakończeniu konfiguracji należy wylogować się i wrócić do administrowania usługami AD RMS.
Once logged back on, open Server Manager select Tools and then Active Directory Rights Management. Powinno zostać wyświetlone okno zarządzania i wskazać, że klaster ma dodatkowy serwer w klastrze.
Jeśli rozszerzenie dla urządzeń przenośnych usług AD RMS zostało zainstalowane w oryginalnym klastrze usług AD RMS, należy również zainstalować rozszerzenie MDE w zaktualizowanych węzłach klastra AD RMS. Postępuj zgodnie z instrukcjami w dokumentacji rozwiązania MDE, aby dodać rozwiązanie MDE do klastra usług AD RMS. W tym momencie można zmienić przeznaczenie wszystkich istniejących węzłów lub uaktualnić je do systemu Windows Server 2016 i ponownie dołączyć je do klastra usług AD RMS przy użyciu tego samego procesu opisanego powyżej.
Konfigurowanie serwera proxy aplikacji internetowej systemu Windows Server 2016 (WAP)
Poniższe sekcje zawierają wskazówki dotyczące zadań operacyjnych, które mogą być konieczne do wykonania we wdrożeniu serwera proxy aplikacji internetowej. Jest to opcjonalny krok, który nie jest wymagany, jeśli publikujesz usługi AD RMS w Internecie za pośrednictwem innych mechanizmów.
Dodawanie serwera WAP systemu Windows Server 2016
Aby obsługiwać wdrożenie usług AD RMS, można wdrożyć dodatkowe serwery proxy aplikacji internetowej. Tę akcję można wykonać w przypadku zwiększonego ruchu na serwerach usług AD RMS lub w razie potrzeby wycofania jednego z serwerów używanych obecnie na potrzeby serwera proxy aplikacji internetowej.
Aby dodać serwer Proxy aplikacji internetowej z 2016 roku
Na serwerze, który chcesz skonfigurować jako serwer proxy aplikacji internetowej, przejdź do konsoli Menedżera serwera i kliknij Dodaj role i funkcje.
W kreatorze dodawania ról i funkcji
kliknij Dalej aż do momentu, gdy znajdziesz się na ekranie wyboru roli serwera.On the Select Server Roles screen, select Remote Access, and then click Next until you're back at the Select Server Roles screen.
Na ekranie Wybieranie ról serwera, wybierz serwer proxy aplikacji internetowej, kliknij Dodaj funkcje, a następnie Dalej.
On the Confirm Installation Selections screen, click Install.
Once the installation has completed, click Close.
Teraz nadszedł czas na skonfigurowanie serwera. W tym celu otwórz konsolę zarządzania dostępem zdalnym na serwerze proxy aplikacji internetowej. Open the Start menu, type RAMgmtUI.exe, and then select the application.
W okienku nawigacji kliknij Proxy Aplikacji Webowej .
W konsoli zarządzania dostępem zdalnym kliknij Uruchom Kreatora konfiguracji serwera proxy aplikacji internetowej. Once in the wizard, click Next.
Na ekranie Serwer federacyjny wprowadź w pełni kwalifikowaną nazwę domeny serwera usług AD FS (np. adfs.contoso.com), a następnie wprowadź poświadczenia administratora na serwerze usług AD FS.
On the AD FS Proxy Certificate screen, in the list of certificates currently installed on the Web Application Proxy server, select a certificate to be used by Web Application Proxy for AD FS proxy, and then click Next.
On the Confirmation screen, review the settings then click Configure.
Once the configuration is complete, click Close.
Konfiguracja DNS dla serwera WAP 2016
Po wprowadzeniu serwera proxy aplikacji internetowej systemu Windows Server 2016 należy wprowadzić pewne zmiany DNS. Będzie to wymagało użycia usługi DNS, takiej jak GoDaddy, w celu wskazania usług AD FS i AD RMS na serwerze WAP 2016.
Aby skierować DNS na serwer WAP
Przejdź do witryny internetowej dostawcy (np. GoDaddy).
Przejdź do obszaru Zarządzanie domeną, a następnie zarządzanie systemem DNS.
Locate the AD FS and AD RMS service and replace the Points to portion with the Public IP Address of the 2016 WAP server and Save.
Zmiany mogą zająć trochę czasu na propagację, ale gdy to nastąpi, ta konfiguracja będzie ukończona.
Włączanie dzienników debugowania
Szczegółowe informacje dotyczące rejestrowania są dostępne na serwerach proxy aplikacji internetowej. Zaawansowane rejestrowanie debugowania można skonfigurować za pomocą Podglądu zdarzeń. Można również wybrać dodatkowe ustawienia dla rozmiaru dzienników, aby zapewnić, że analiza jest przydatna dla przeglądarki.
włączanie dzienników debugowania dla serwera proxy aplikacji internetowej
Open the Event Viewer console on the Web Application Proxy.
Expand the Microsoft node.
Expand the Windows node.
Otwórz dzienniki serwera proxy aplikacji internetowej .
You'll then be able to open the Admin logs.
Open the Action menu, located in the top left, and select Properties.
Under the General tab, choose the option to Enable Logging.
Na koniec możesz dostosować maksymalny rozmiar dziennika i co się stanie po osiągnięciu maksymalnego rozmiaru dziennika zdarzeń.
Konfigurowanie wysokiej dostępności dla usług systemu Windows Server 2016
Poniższe sekcje zawierają wskazówki dotyczące zadań operacyjnych, które mogą być konieczne do skonfigurowania środowiska systemu Windows Server 2016 w wysokiej dostępności.
Dodawanie serwera AD RMS 2016 w celu zapewnienia wysokiej dostępności
Aby skonfigurować wysoką dostępność, można wdrożyć dodatkowe serwery usług AD RMS. Tę akcję można wykonać w przypadku zwiększonego ruchu do serwerów usług AD RMS.
Aby dodać serwer AD RMS 2016 w celu zapewnienia wysokiej dostępności
Zainstaluj rolę usług AD RMS we żądanym wdrożeniu systemu Windows Server 2016.
Po zakończeniu instalacji wybierz link do Wykonaj dodatkową konfigurację.
Wybierz Dołącz do istniejącego klastra usług AD RMS i kliknij Dalej.
Na stronie Wybierz bazę danych konfiguracji wprowadź nazwę CNAME określoną w systemie DNS dla serwera SQL Server 2016 (FQDN).
Click List on the second line and select the DefaultInstance from the drop-down.
W obszarze Nazwa bazy danych konfiguracjiotwórz menu rozwijane i wybierz konfigurację DRMS, która się pojawi. Then click Next.
On the Database Information page, enter the cluster key password in the field provided. After that, click Next.
In the next page of the wizard, specify the AD RMS service account and provide the password for it and click Next once it has been verified.
Gdy zostanie wyświetlona strona witryny klastrowej, po prostu upewnij się, że wybrano odpowiednią witrynę, a następnie kliknij Dalej.
Na stronie Wybierz certyfikat uwierzytelniania serwera wybierz zaimportowany certyfikat SSL i kliknij przycisk Dalej.
Click Install to begin the installation.
Po zakończeniu konfiguracji należy wylogować się i wrócić do administrowania usługami AD RMS.
Once logged back on, open Server Manager select Tools and then Active Directory Rights Management. Powinno zostać wyświetlone okno zarządzania i wskazać, że klaster ma dodatkowy serwer w klastrze.
Po potwierdzeniu konfiguracji serwera skonfiguruj usługę równoważenia obciążenia, aby równoważyć obciążenie między różnymi serwerami usług AD RMS w klastrze.
Dodawanie serwera usług AD FS systemu Windows Server 2016 pod kątem wysokiej dostępności
Aby skonfigurować wysoką dostępność, można wdrożyć dodatkowe serwery usług AD FS. Możesz wybrać wykonanie tej akcji w przypadku zwiększonego ruchu do serwerów usług AD FS. Uwaga: po podniesieniu poziomu obsługi farmy, nowy wpis do bazy danych zostanie wprowadzony do serwera SQL Server 2016 (Adfs Configv3) i przed kontynuowaniem kolejnych kroków należy usunąć starą bazę danych konfiguracji.
Aby dodać serwer AD FS systemu Windows Server 2016 w celu zapewnienia wysokiej dostępności
Zainstaluj rolę usług AD RMS we żądanym wdrożeniu systemu Windows Server 2016.
Po zakończeniu instalacji wybierz link , aby Skonfigurować usługę federacyjną na tym serwerze.
W sekcji powitalnej kreatora wybierz opcję Dodaj serwer federacyjny do farmy serwerów federacyjnych, a następnie kliknij przycisk Dalej.
Specify the proper admin account and click Next.
On the Specify Farm page, pick the Specify database location for an existing farm using SQL Server then enter the CNAME for the SQL service for the Database Host Name and click Next.
W obszarze Określ konto usługi kreatora wprowadź poświadczenia konta usługi AD FS, a następnie kliknij przycisk Dalej.
In Review Options, click Next.
Click Configure when the button becomes available.
Po zakończeniu konfiguracji uruchom ponownie maszynę.
Po potwierdzeniu konfiguracji serwerów, należy rozłożyć obciążenie serwerów AD FS zgodnie z wymaganiami.
Dodawanie serwera WAP w systemie Windows Server 2016 pod kątem wysokiej dostępności
Aby skonfigurować wysoką dostępność, można wdrożyć dodatkowe serwery WAP. Tę akcję można wykonać w przypadku zwiększonego ruchu do serwerów usług AD RMS.
Aby dodać serwer proxy aplikacji internetowej Windows Server 2016 dla wysokiej dostępności
Na serwerze, który chcesz skonfigurować jako serwer proxy aplikacji internetowej, przejdź do konsoli Menedżera serwera i kliknij Dodaj role i funkcje.
W kreatorze dodawania ról i funkcji
kliknij Dalej aż do momentu, gdy znajdziesz się na ekranie wyboru roli serwera.On the Select Server Roles screen, select Remote Access, and then click Next until you're back at the Select Server Roles screen.
Na ekranie Wybieranie ról serwera, wybierz serwer proxy aplikacji internetowej, kliknij Dodaj funkcje, a następnie Dalej.
On the Confirm Installation Selections screen, click Install.
Once the installation has completed, click Close.
Teraz nadszedł czas na skonfigurowanie serwera. W tym celu otwórz konsolę zarządzania dostępem zdalnym na serwerze proxy aplikacji internetowej. Open the Start menu, type RAMgmtUI.exe, and then select the application.
W okienku nawigacji kliknij Proxy Aplikacji Webowej .
W konsoli zarządzania dostępem zdalnym kliknij Uruchom Kreatora konfiguracji serwera proxy aplikacji internetowej. Once in the wizard, click Next.
Na ekranie Serwer federacyjny wprowadź w pełni kwalifikowaną nazwę domeny serwera usług AD FS (np. adfs.contoso.com), a następnie wprowadź poświadczenia administratora na serwerze usług AD FS.
On the AD FS Proxy Certificate screen, in the list of certificates currently installed on the Web Application Proxy server, select a certificate to be used by Web Application Proxy for AD FS proxy, and then click Next.
On the Confirmation screen, review the settings then click Configure.
Once the configuration is complete, click Close.
Po potwierdzeniu konfiguracji serwera, przeprowadź równoważenie obciążenia serwerów WAP w strefie DMZ.
Dodawanie węzła programu SQL Server 2016 dla Always On High Availability
Możesz wdrożyć dodatkowe serwery SQL, aby skonfigurować zawsze włączoną wysoką dostępność. Tę akcję można wykonać w przypadku zwiększonego ruchu do serwerów usług AD RMS. Uwaga: upewnij się, że oba serwery SQL mają otwarty port przychodzący 5022.
Aby dodać serwer SQL Server 2016 dla zawsze włączonej wysokiej dostępności
Na serwerze, który chcesz skonfigurować jako dodatkowy serwer programu SQL Server 2016, przejdź do konsoli Menedżera serwera i kliknij przycisk Dodaj role i funkcje.
Click Next till the Select Features dialog box.
Select the Failover Clustering checkbox. Uwaga: wykonaj ten krok dla oryginalnego serwera SQL Server 2016, tak aby oba serwery SQL miały funkcję klastra trybu failover.
Click Install to install the Failover Clustering feature.
Now, open Server Manager and select Tools then Failover Cluster Manager.
Z lewego panelu menu kliknij prawym przyciskiem myszy Menedżer klastra failover i wybierz Utwórz klaster
Spowoduje to otwarcie Kreatora tworzenia klastrów .
Browse for the SQL server 2016 servers which will be used for Always On High Availability and enter them in then click Next.
Zostanie wyświetlone ostrzeżenie o walidacji. Select Yes to Validate the Cluster nodes and then click Next.
Under the Testing Options page, select the option Run all tests and click Next.
Uwaga: Kreator sprawdzania poprawności klastra powinien zwrócić kilka komunikatów ostrzegawczych, zwłaszcza jeśli nie będziesz używać pamięci udostępnionej. Poza tym, jeśli znajdziesz jakiekolwiek komunikaty o błędach, należy je naprawić przed utworzeniem klastra trybu failover systemu Windows Server.
W oknie dialogowym Punkt dostępu do zarządzania klastrem wprowadź nazwę klastra i wirtualny adres IP dla klastra trybu failover systemu Windows Server, a następnie kliknij przycisk Dalej.
Verify that the configuration is successful in Summary and click Finish.
Wróć do Menedżera klastra trybu failover , kliknij prawym przyciskiem myszy na klastrze i wybierz pozycję Więcej działań, a potem wybierz pozycję Skonfiguruj ustawienia kworum klastra
Click Next and then pick the option for Select the quorum witness and hit Next again.
Na stronie Wybierz świadka kworum wybierz opcję Skonfiguruj świadka udziału plików. Then click Next.
Select Browse and locate the path of the file share that you want to use in the File Share Path dialogue box. Click Next.
On the Confirmation page, click Next.
On the Summary page, click Finish.
Now, open the Start menu and search for SQL Server Configuration Manager.
Right-click the SQL Server name and pick Properties.
W oknie dialogowym Właściwości wybierz kartę AlwaysOn High Availability. Zaznacz pole wyboru Włącz AlwaysOn Availability Groups. Click OK. Uwaga: zrób to na obu serwerach SQL Server 2016.
Następnie uruchom ponownie usługę PROGRAMU SQL Server.
Now, open the Start menu and search for SQL Server Management Studio and from the left navigation pane, right-click Availability Groups and click New Availability Group Wizard then click Next.
Na stronie Określ nazwę grupy dostępności wybierz nazwę grupy (Np. SQLAvailabilityGroup2016). Then click Next.
Under the Select Databases section, specify the databases. Następnie kliknij przycisk Dalej. Uwaga: może być konieczne ponowne tworzenie kopii zapasowej bazy danych lub umieszczenie jej w trybie pełnego odzyskiwania.
Once on the Specify Replicas page, click the Add Replica button and pick your other 2016 SQL Server.
Po dodaniu drugiego serwera kliknij checkboxy i ustaw serwer pomocniczy jako serwer pomocniczy z możliwością odczytu.
Navigate to the Endpoints tab and click the Refresh option. Będąc tutaj, przewiń ekran i upewnij się, że to samo konto usługi jest obecne na węźle podstawowym oraz zapasowym.
Now, choose the Backup Preferences tab and select the Prefer Secondary option.
Move on to the Listener tab.
Specify a name (Ex. SQLListener) and ensure that the port is 1433 and then click Next.
Na stronie Wybierz początkową synchronizację danych kreatora wybierz opcję Pełna i określ lokalizację sieciową dostępną dla wszystkich serwerów SQL, a następnie kliknij Dalej.
Finally, click Finish and the process will complete.
Likwiduj węzły systemu Windows Server 2012 R2
Poniższe sekcje zawierają wskazówki dotyczące zadań operacyjnych, które mogą wymagać usunięcia serwerów z systemem Windows Server 2012 R2 po pomyślnym uaktualnieniu klastra usług AD RMS do systemu Windows Server 2016.
Usuwanie serwera usług AD RMS systemu Windows Server 2012 R2
Po uaktualnieniu można usunąć niepotrzebne serwery usług AD RMS. Możesz zdecydować się na wykonanie tej akcji w razie potrzeby zlikwidowania serwerów usług AD RMS.
Aby usunąć serwer usług AD RMS systemu Windows Server 2012 R2
On the Windows Server 2012 R2 AD RMS server in Server Manager, select Manage from the top right menus and then choose Remove Roles and Features.
Kreator usuwania ról i funkcji zostanie otwarty i na ekranie Przed rozpoczęciem kliknij przycisk Dalej.
On the Server Selection Screen, click Next.
On the Server Roles screen, remove the check next to Active Directory Rights Management Services and click Next.
On the Features Screen, click Next.
On the Confirmation Screen, click Remove.
Po zakończeniu tego procesu uruchom ponownie serwer.
Teraz możesz zamknąć ten serwer i ponownie przydzielić zasoby zgodnie z potrzebami.