通过

RMS FAQ:部署

  • 项目

RMS 部署常见问题

如果用于 RMS 的安全主体是全局地址列表 (GAL) 成员,则 Exchange 的版本是否存在任何依赖关系?

RMS 依赖于 Active Directory,而不是 Exchange。但是,Exchange 5.5 保留其自己的目录,而不使用 Active Directory。确保 Active Directory 中的所有用户和组对象都有一个有效的电子邮件属性,该属性包含完全限定的域名。如果使用的是 Exchange 2000 或更高版本,则此操作是自动完成的。

SQL Server 在 RMS 中扮演什么角色?

RMS 使用数据库来存储所有服务配置数据、有关系统中主体的信息和所有日志记录数据,并在 Active Directory 和通讯组列表扩展期间缓存查找。已使用 SQL Server 2000 和 SQL Server 2005 完全测试 RMS。

用户计算机是否必须加入 RMS 服务器所在的域才能使用 RMS?

用户计算机不必是 RMS 群集所在域的成员,但该计算机需要能够找到 RMS 群集。客户端计算机找到 RMS 群集的最简单方法是通过服务连接点 (SCP) 使用 Active Directory 查找。但是,也可以将客户端上的注册表设置设置为找到 RMS 群集,而不必使用 Active Directory 查找。确切的注册表设置取决于启用了 RMS 的应用程序。

如果客户希望将 RMS 服务器放在外围网络中,则要与 RMS 通信,必须对面向 Internet 的防火墙和面向 Intranet 的防火墙打开哪些端口?

内部用户需要访问颁发权限帐户证书 (RAC) 和用户许可证的 RMS 服务器。默认情况下,RMS 服务器侦听 HTTP(TCP 端口 80)或 HTTPS(TCP 端口 443),这取决于服务器是否被配置为使用 SSL,因此需要对面向 Internet 的防火墙打开这些端口。需要对面向 Intranet 的防火墙打开域中成员服务器使用的其他端口。

仅授权群集中的从属服务器是如何注册的,是否需要对客户端执行什么操作,此群集才知道这些从属服务器?

当在企业的根群集中创建第一台 RMS 服务器时,该服务器将接收到来自 Microsoft 注册服务的服务器许可方证书。当安装并设置另一台 RMS 服务器时,您可以将它加入到根群集中,或者将它注册为从属仅授权群集中的服务器。如果选择将它注册为从属仅授权群集中的服务器,则它将会向 RMS 根群集发送注册请求。启用了 RMS 的应用程序指定客户端应用程序在哪里查找仅授权群集。Office 2003 是启用了 RMS 的应用程序之一,默认情况下,它查找根群集。可以使用注册表设置代替此行为,以便应用程序查找新的从属仅授权群集。

使用从属仅授权群集有什么好处?

一个好处是可以隔离组织中的不同部门。如果尚未在 RMS 群集之间建立受信任的发布域,则仅有权访问给定授权服务器的用户才能使用内容。这样,法律部门可以阻止其他人阅读其 RMS 加密的电子邮件。此外,还可以在仅授权群集中设置一些选项,如权限模板、日志记录、超级用户组中的成员身份和排除策略。

要完全回滚 RMS 安装需要执行什么操作?

要彻底回滚 RMS 安装,请执行下列过程。

回滚 RMS 安装

  1. 通过使用 RMS 管理网站删除 RMS 群集的服务连接点 (SCP)。

  2. 从“全局管理”页面中,单击“从此网站中删除 RMS”以在服务器上取消设置 RMS。应该首先取消设置仅授权群集中任何通过注册子过程注册的服务器,然后取消设置根群集服务器。

  3. 在“控制面板”中,单击“添加或删除程序”,然后删除“Rights Management Services”。

  4. 在数据库服务器上,删除任何其余 RMS 数据库。

  5. 从数据库服务器上的授权登录列表中删除 RMS 服务帐户,然后从 Active Directory 本身中删除该帐户。

  6. 如果 RMS 客户端运行的是 Windows XP 和 Windows 2000,请从客户端计算机中删除 RMS 客户端。

重要

完成此过程之后,您无法再打开受权限保护的内容。如果 RMS 用于保护任何有价值的数据,则首先取消 RMS 配置,然后再回滚 RMS 安装。

使用“添加或删除程序”卸载 RMS 客户端之后,是否要删除任何其他文件?

尽管此操作不是必需的,但您也可以从 %systemroot%\system32 中删除密码箱。

RMS 使用 FAT 文件系统吗?

是,尽管建议使用 NTFS 文件系统,但 RMS 在使用 FAT 的计算机上工作。

对 RMS 使用的数据库服务器建议什么样的典型硬件配置?

日志记录数据库将快速变大,尤其是在大量使用 RMS 的环境中。如果考虑对数据库服务器使用 SQL Server,则应该考虑在 Windows 2000 Advanced Server 或 Windows Server 2003 Enterprise Edition 上使用 SQL Server 2000 Enterprise Edition 或 SQL Server 2005 Enterprise Edition ,它们是在群集中进行主/从配置期间配置的。在这种情况下,建议的配置为 RAID-1 日志磁盘和 RAID-5 数据磁盘,且 RAM 至少为 512 MB。此配置建议使用的最小 CPU 为 Pentium III,运行速度为 1.4 GHz。在专用数据库服务器上,不需要多个 CPU。

RMS 将全局编录用于组扩展会如何影响全局编录服务器的性能?

RMS 服务器将缓存任何组扩展列表,以便全局编录服务器上的负载不会很大。尽管可以通过注册表配置获得新组列表的超时时间,但是频繁更新组成员身份会增加对全局编录服务器的依赖。频繁扩展较大的组将会降低性能。有关详细信息,请参阅此文档集的“RMS:操作”中的“更改 Active Directory 缓存设置”。

RMS 是否要求更改 Active Directory 中的任何架构?

为使 RMS 能够成功地跨林边界扩展发布许可证中指定的组成员身份,本地 Active Directory 林中必须存在一个联系对象,代表远程林中的组。RMS 可以查询联系对象的属性,并发现此对象代表其他林中的组。

为使 RMS 能够执行此操作,Active Directory 需要 Exchange Server 2003 或更高版本的架构属性 msExchOriginatingForest。如果林中有一台服务器正在运行 Exchange Server 2003,则默认情况下,此属性安装在 Active Directory 架构中。您必须在将参与 RMS 的每个 Active Directory 架构的林中都安装此属性。如果您当前未使用 Exchange Server 2003,则可以使用 RMS 管理工具包将该架构单独安装在您的 Active Directory 结构中。

是否将在安装了 RMS 服务器的域中的不同域控制器之间自动复制服务连接点 (SCP)?

在设置林中的第一台 RMS 服务器之后,必须使用具有足够权限的域帐户在 Active Directory 中注册该服务器,以在 Active Directory 的“配置”容器中的“服务”容器之下创建容器对象。Enterprise Admins 内置安全组是具有所需权限的帐户之一。这将创建 SCP。由于其在“服务”容器中,因此 Active Directory 将信息复制到林中的所有域控制器中。

如果用户对其计算机没有管理权限,则可以如何安装和配置 RMS 客户端?

RMS 客户端是一个 Windows Installer 文件,可以使用软件分发体系结构(如 Systems Management Server 2003)进行分发。也可以使用组策略对象 (GPO) 分发 RMS 客户端,但该组策略对象需要使用具有管理权限的服务帐户。如果 RMS 客户端运行的是 Windows Vista,则不再需要独立的 RMS 客户端安装,因为它已集成到操作系统中。

什么是 RMS 的可伸缩性?

RMS 是一种无状态的 Web 服务,可以像任何其他网站或 Web 服务那样实现群集化和进行负载平衡。RMS 的性能主要取决于处理器的可用性,因此添加处理器可以提高性能。

RMS 是否支持硬件安全模块 (HSM),以保护硬件中的 RMS 密钥?

是,RMS 使用符合 CAPI 的 HSM,如 nCipher HSM。