在某些情况下,您可能需要部署一个或多个不属于根认证群集的授权服务器。这样做通常是为了支持需要对发布许可证和用户许可证的颁发进行直接控制的部门,例如具有部门级控制的安全要求的法律部门。根认证群集为授权服务器提供帐户认证服务。根认证群集与一个或多个授权服务器的组合配置称为“分布式拓扑”。
注意,同根认证服务器一样,授权服务器也可以部署在群集中。另外,与根认证群集相同的还有,授权群集也使用它自己的负载均衡服务。每个授权服务器或授权群集都使用单独的 SQL Server 实例来为该特定服务器或群集提供配置数据库和日志数据库。
虽然可以对 RMS 配置进行设置,以便只从根服务器运行认证服务,而从一个或多个授权服务器或群集运行整个授权服务,但这并不是典型配置。一般来讲,您可增加根认证群集内的服务器数量,以便满足性能和冗余的要求,而不是部署单个授权服务器(除非需要部门为授权提供支持)。下图说明了这种部署方案。
.gif)
构建分布式拓扑会增加组织的管理成本,这是因为分布式拓扑本身就更为复杂。如果组织拥有多个授权群集和多个林,则可能需要重写 RMS 客户端计算机上的注册表,以确保这些计算机从正确的 RMS 服务器上发出授权请求。此外,各个域间还可能会出现信任问题。这就要求进一步对域进行配置,以便使用受 RMS 保护的内容。
分布式拓扑中的服务连接点
设置 RMS 服务器后,群集的 URL 将会添加到服务连接点 (SCP) 中的 Active Directory 林中。有一个 SCP,用于根认证群集以及每个已在林中设置的授权群集。设置授权群集之前,必须为根认证群集注册 SCP。设置授权群集时,注册子过程会使用该 URL 查找网络上的根认证群集,并获得服务器许可方证书。
如果部署的是根认证群集而不是单个根认证服务器,则必须在共享的 URL 后为该群集内的每个服务器实现虚拟寻址。
虚拟寻址的实现方法有很多,包括循环 DNS、网络负载均衡服务和硬件解决方案等。虚拟寻址可以实现服务器间的负载均衡,还可以删除任何一个用于授权和发布的服务器上的依赖性。
RMS 不仅将共享的 URL 作为其获取许可证的 URL,还将其用作最终用户计算机在 Active Directory 或注册表中查找 RMS 群集时使用的已发布值。最终用户的计算机无需直接访问群集内的任何一个服务器。