Поделиться через

Настройка серверов для соединителя Microsoft Rights Management

  • Статья

Используйте следующие сведения, чтобы настроить локальные серверы, которые будут использовать соединитель Azure Rights Management (RMS). Эти процедуры охватывают шаг 5 от развертывания соединителя Microsoft Rights Management.

Предварительные требования. Перед началом работы убедитесь, что у вас есть следующие компоненты: — установлен и настроен соединитель RMS. Проверьте все необходимые условия для серверов, которые будут использовать соединитель.

Настройка серверов для использования соединителя RMS

После установки и настройки соединителя RMS можно настроить локальные серверы, которые будут подключаться к службе Azure Rights Management, и использовать эту технологию защиты с помощью соединителя.

Это означает настройку следующих серверов:

Среда Серверы для настройки
Exchange 2013 Серверы клиентского доступа и серверы почтовых ящиков
Exchange 2016 и Exchange 2019 Серверы почтовых ящиков (включая роли сервера клиентского доступа и транспортного сервера концентратора)
SharePoint Интерфейсные веб-серверы SharePoint, в том числе те, на которых размещен центральный сервер Администратор istration
Инфраструктура классификации файлов Компьютеры Windows Server с установленным диспетчером файлов

Для этой конфигурации требуются параметры реестра со следующими параметрами:

Важно!

В обоих случаях необходимо вручную установить все необходимые компоненты и настроить инфраструктуру Exchange, SharePoint и инфраструктуры классификации файлов для использования Rights Management.

Примечание.

Для большинства организаций автоматическая настройка с помощью средства настройки сервера для соединителя Microsoft RMS будет лучшим вариантом, так как она обеспечивает большую эффективность и надежность, чем ручную настройку.

После внесения изменений конфигурации на этих серверах необходимо перезапустить их, если они работают под управлением Exchange или SharePoint, и ранее были настроены на использование AD RMS. Если вы настраиваете их для Rights Management в первый раз, не нужно перезапустить эти серверы.

После внесения этих изменений конфигурации необходимо всегда перезапустить файловый сервер, настроенный для использования инфраструктуры классификации файлов.

Автоматическое изменение параметров реестра — преимущества и недостатки

Автоматически изменяйте параметры реестра с помощью средства настройки сервера для соединителя Microsoft RMS.

К преимуществам относятся:

  • Нет прямого редактирования реестра. Это автоматически для вас с помощью скрипта.

  • Для получения URL-адреса Microsoft RMS не требуется выполнить командлет Windows PowerShell.

  • Предварительные требования автоматически проверка для вас (но не автоматически исправляются) при локальном запуске.

К недостаткам относятся: при запуске средства необходимо подключиться к серверу, который уже работает соединителем RMS.

Дополнительные сведения см. в статье "Использование средства настройки сервера для соединителя Microsoft RMS".

Изменение параметров реестра вручную — преимущества и недостатки

К преимуществам относятся: подключение к серверу, на котором запущен соединитель RMS, не требуется.

К недостаткам относятся:

  • Больше административных накладных расходов, подверженных ошибкам.

  • Необходимо получить URL-адрес Microsoft RMS, который требует выполнения команды Windows PowerShell.

  • Вы всегда должны сделать все необходимые условия проверка самостоятельно.

Использование средства настройки сервера для соединителя Microsoft RMS

  1. Если вы еще не скачали скрипт для средства настройки сервера для соединителя Microsoft RMS (Gen Подключение orConfig.ps1), скачайте его из Центра загрузки Майкрософт.

  2. Сохраните файл Gen Подключение orConfig.ps1 на компьютере, где будет запущено средство.

    Если средство будет запущено локально, это должен быть сервер, который требуется настроить для взаимодействия с соединителем RMS. В противном случае его можно сохранить на любом компьютере.

  3. Решите, как запустить средство:

    Способ Описание
    Локально Запустите средство в интерактивном режиме с сервера, чтобы настроить взаимодействие с соединителем RMS.

    Совет. Это полезно для одноуровневой конфигурации, например среды тестирования.
    Развертывание программного обеспечения Запустите средство для создания файлов реестра, которые затем развертываются на одном или нескольких соответствующих серверах.

    Разверните файлы реестра с помощью приложения управления системами, поддерживающего развертывание программного обеспечения, например System Center Configuration Manager.
    Групповая политика Запустите средство, чтобы создать скрипт, который вы предоставляете администратору, который может создавать объекты групповой политики для настроенных серверов.

    Этот скрипт создает один объект групповой политики для настройки каждого типа сервера, который затем администратор может назначить соответствующим серверам.

    Примечание.

    Это средство настраивает серверы, которые будут взаимодействовать с соединителем RMS и перечислены в начале этого раздела. Не запускайте это средство на серверах, на которые выполняется соединитель RMS.

  4. Запустите Windows PowerShell с параметром "Запуск от имени администратора " и воспользуйтесь командой Get-help , чтобы прочитать инструкции по использованию средства для выбранного метода конфигурации:

    Get-help .\GenConnectorConfig.ps1 -detailed

Чтобы запустить скрипт, необходимо ввести URL-адрес соединителя RMS для вашей организации.

Введите префикс протокола (HTTP:// или HTTPS://) и имя соединителя, определенного в DNS, для адреса балансировки нагрузки соединителя. Например, https:\//connector.contoso.com.

Затем средство использует этот URL-адрес для обращения к серверам под управлением соединителя RMS и получения других параметров, используемых для создания необходимых конфигураций.

Важно!

При запуске этого средства убедитесь, что укажите имя соединителя RMS с балансировкой нагрузки для вашей организации, а не имя одного сервера, на котором выполняется служба соединителя RMS.

Используйте следующие разделы для конкретных сведений для каждого типа службы:

Установка клиентских приложений на отдельных компьютерах, которые не настроены для использования соединителя

После настройки этих серверов для использования соединителя клиентские приложения, установленные локально на этих серверах, могут не работать с RMS. Когда это происходит, это связано с тем, что приложения пытаются использовать соединитель, а не использовать RMS напрямую, что не поддерживается.

Необходимо установить клиентские приложения на отдельных компьютерах, которые не настроены для использования соединителя. Затем они будут правильно использовать RMS напрямую.

Настройка сервера Exchange server для использования соединителя

Следующие роли Exchange взаимодействуют с соединителем RMS:

  • Для Exchange 2016 и Exchange 2013: сервер доступа к клиентам и сервер почтовых ящиков

  • Для Exchange 2019: сервер доступа к клиентам и транспортный сервер концентратора

Чтобы использовать соединитель RMS, эти серверы под управлением Exchange должны выполнять одну из следующих версий программного обеспечения:

  • Exchange Server 2016

  • Exchange Server 2013 с накопительным обновлением 3 для Exchange 2013

  • Exchange Server 2019

На этих серверах также потребуется версия 1 клиента RMS (также известная как MSDRM), которая включает поддержку режима шифрования RMS 2. Все операционные системы Windows включают клиент MSDRM, но ранние версии клиента не поддерживали режим шифрования 2. Если серверы Exchange работают по крайней мере под управлением Windows Server 2012, дальнейшие действия не требуются, так как клиент RMS, установленный с этими операционными системами, изначально поддерживает режим шифрования 2.

Важно!

Если эти версии или более поздние версии Exchange и клиент MSDRM не установлены, вы не сможете настроить Exchange для использования соединителя. Перед продолжением убедитесь, что эти версии установлены.

Настройка серверов Exchange для использования соединителя

  1. Убедитесь, что серверы Exchange разрешены использовать соединитель RMS, используя средство администрирования соединителя RMS и сведения с серверов авторизации для использования раздела соединителя RMS.

    Эта конфигурация необходима, чтобы Exchange могли использовать соединитель RMS.

  2. На ролях сервера Exchange, взаимодействующих с соединителем RMS, выполните одно из следующих действий:

  3. Включите функции IRM для Exchange с помощью командлета Set-IRMConfiguration Exchange PowerShell. Задайте значения для InternalLicensingEnabled $true и ClientAccessServerEnabled $true.

Настройка сервера SharePoint для использования соединителя

Интерфейсные веб-серверы SharePoint, включая размещение центрального сервера Администратор istration, взаимодействуют с соединителем RMS.

Чтобы использовать соединитель RMS, эти серверы под управлением SharePoint должны выполнять одну из следующих версий программного обеспечения:

  • SharePoint Server 2019

  • SharePoint Server 2016

  • SharePoint Server 2013

Сервер под управлением SharePoint 2019, 2016 или SharePoint 2013 также должен работать с версией КЛИЕНТА MSIPC 2.1, поддерживаемой соединителем RMS.

Чтобы убедиться, что у вас есть поддерживаемая версия, скачайте последний клиент из Центра загрузки Майкрософт.

Предупреждение

Существует несколько версий клиента MSIPC 2.1, поэтому убедитесь, что у вас есть версия 1.0.2004.0 или более поздняя.

Вы можете проверить версию клиента, проверка номер версии MSIPC.dll, расположенный в папке \Program Files\службы Active Directory Rights Management Client 2.1. В диалоговом окне свойств показан номер версии клиента MSIPC 2.1.

Настройка серверов SharePoint для использования соединителя

  1. Убедитесь, что серверы SharePoint разрешены использовать соединитель RMS, используя средство администрирования соединителя RMS и сведения с серверов авторизации для использования раздела соединителя RMS.

    Эта конфигурация необходима, чтобы серверы SharePoint могли использовать соединитель RMS.

  2. На серверах SharePoint, взаимодействующих с соединителем RMS, выполните одно из следующих действий:

    • Запуск средства настройки сервера для соединителя Microsoft RMS

      Дополнительные сведения см. в статье "Использование средства настройки сервера для соединителя Microsoft RMS".

      Например, чтобы запустить средство локально для настройки сервера под управлением SharePoint 2019, 2016 или SharePoint 2013:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013

    • Если вы используете SharePoint 2019, 2016 или SharePoint 2013, измените реестр вручную с помощью сведений в параметрах реестра соединителя RMS, чтобы вручную добавить параметры реестра на серверах.

  3. Включите IRM в SharePoint. При выполнении этих инструкций необходимо настроить SharePoint для использования соединителя, указав этот сервер RMS, а затем введите настроенный URL-адрес соединителя балансировки нагрузки.

    Введите префикс протокола (HTTP:// или HTTPS://) и имя соединителя, определенного в DNS, для адреса балансировки нагрузки соединителя.

    Например, если имя соединителя имеется https:\//connector.contoso.com, конфигурация будет выглядеть следующим образом:

    Configuring SharePoint Server for the RMS connector

    После включения IRM в ферме SharePoint можно включить IRM в отдельных библиотеках с помощью параметра Управления правами на доступ к данным на странице библиотеки Параметры для каждой библиотеки.

Настройка файлового сервера для инфраструктуры классификации файлов для использования соединителя

Чтобы использовать соединитель RMS и инфраструктуру классификации файлов для защиты документов Office, файловый сервер должен выполнять одну из следующих операционных систем:

  • Windows Server 2016

  • Windows Server 2012 R2

  • Windows Server 2012

Настройка файлового сервера для использования соединителя

  1. Убедитесь, что файловые серверы разрешены использовать соединитель RMS, используя средство администрирования соединителя RMS и сведения с серверов авторизации для использования раздела соединителя RMS.

    Эта конфигурация необходима, чтобы файловые серверы могли использовать соединитель RMS.

  2. На файловых серверах, настроенных для инфраструктуры классификации файлов и которые будут взаимодействовать с соединителем RMS, выполните одно из следующих действий:

  3. Создайте правила классификации и задачи управления файлами для защиты документов с помощью шифрования RMS, а затем укажите шаблон RMS для автоматического применения политик RMS.

    Дополнительные сведения см. в разделе "Общие сведения о диспетчере ресурсов файлового сервера" в библиотеке документации Windows Server.

Следующие шаги

Теперь, когда соединитель RMS установлен и настроен, и серверы настроены для его использования, ИТ-администраторы и пользователи могут защищать и использовать сообщения электронной почты и документы с помощью службы Azure Rights Management.

Чтобы упростить эту задачу для пользователей, разверните клиент Azure Information Protection, который устанавливает надстройку для Office и добавляет новые параметры правой кнопки мыши в проводник.

Дополнительные сведения см. в руководстве администратора клиента Azure Information Protection.

Обратите внимание, что если вы настраиваете шаблоны отделов, которые вы хотите использовать с правилами транспорта Exchange или Windows Server FCI, конфигурация область должна включать параметр совместимости приложений, чтобы показать этот шаблон всем пользователям, если приложения не поддерживают удостоверение пользователя проверка поле.

Вы можете использовать стратегию развертывания Azure Information Protection, чтобы проверка, существуют ли другие действия по настройке, которые можно выполнить перед развертыванием Azure Rights Management для пользователей и администраторов.

Сведения о мониторинге соединителя RMS см. в разделе "Мониторинг соединителя Microsoft Rights Management".