Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 13 Active Directory-Rechteverwaltungsdienste (AD RMS)
Pfeil 13.1 Funktionsweise
Pfeil 13.2 Installation
Pfeil 13.2.1 Server-Installation
Pfeil 13.2.2 Client-Installation
Pfeil 13.3 Anwendung
Pfeil 13.3.1 Word-Dokument schützen
Pfeil 13.3.2 E-Mail schützen
Pfeil 13.3.3 Geschützte Inhalte ohne Office
Pfeil 13.4 Konfiguration
Pfeil 13.4.1 Serverkonfiguration
Pfeil 13.4.2 Gruppenrichtlinien
Pfeil 13.5 Abschlussbemerkung


Galileo Computing - Zum Seitenanfang

13.2 Installation Zur nächsten ÜberschriftZur vorigen Überschrift

Um die Rechteverwaltungsdienste nutzen zu können, gibt es sowohl Server- als auch Client-Komponenten, die installiert werden müssen.


Galileo Computing - Zum Seitenanfang

13.2.1 Server-Installation Zur nächsten ÜberschriftZur vorigen Überschrift

Der Assistent für die Installation der Rechteverwaltungsdienste führt Sie durch mehr als zwölf Dialogseiten. Es gibt zwar keine wirklich aufregenden Probleme beim Durcharbeiten des Assistenten, allerdings ist der ein oder andere Punkt zumindest »besprechenswert«.


Hinweis

Bevor Sie mit der eigentlichen Installation beginnen, sollten Sie ein Zertifikat für den Computer bei Ihrer internen Zertifizierungsstelle anfordern: Der Assistent wird im Laufe des Installationsvorgangs danach fragen.

Die Kommunikation zwischen Clients und dem Rechteverwaltungsdienste-Server läuft über das HTTP-Protokoll ab, wobei eine Verschlüsselung des Datenstroms natürlich grundsätzlich empfehlenswert ist.

Falls Sie keine interne Zertifizierungsstelle aufgesetzt haben, ist eine Installation ohne Zertifikat möglich; dann wird der Datenverkehr zwischen Client und Server aber notwendigerweise nicht verschlüsselt sein. In einer Testumgebung kann man damit leben, in einer Produktivumgebung ist das zumindest unschön.


Um nun mit der Installation der Active Directory-Rechteverwaltungsdienste zu beginnen, wählen Sie im Server-Manager das Hinzufügen der gleichnamigen Rolle. Sie werden feststellen, dass es diverse abhängige Rollen und Features gibt, die dann ebenfalls auf dem Server benötigt werden – darunter auch der Webserver. Der Rechteverwaltungsserver ist also kein »kleines Progrämmchen«, das man »irgendwo mal einfach mitlaufen« lassen kann (Abbildung 13.4).

Abbildung 13.4 Wenn Sie die Installation der Rechteverwaltungsdienste auswählen, werden diverse Rollen und Features mitinstalliert.

Der nächste Dialog fragt Sie, welche Rollendienste installiert werden sollen (Abbildung 13.5):

  • Der Active Directory-Rechteverwaltungsserver ist, wie der Name vermuten lässt, die eigentliche Kernkomponente – er wird also in jedem Fall benötigt.
  • Den Rollendienst Unterstützung für den Identitätsverbund benötigen Sie nur dann, wenn Sie über die AD-Verbunddienste Partnerunternehmen angebunden haben, die über diesen Weg am RMS-Verfahren teilnehmen sollen.

Abbildung 13.5 Der Rollendienst »Unterstützung für Identitätsverbund« wird nur dann benötigt, wenn Sie AD-Verbunddienste einsetzen und Mitarbeiter von Partnerunternehmen über diesen Weg am RMS-Verfahren teilnehmen.

Nun beginnt der Assistent, die benötigten Informationen für die Installation zu erfragen:

  • Auf der ersten Dialogseite können Sie theoretisch wählen, ob Sie einen neuen AD RMS-Cluster erstellen oder die zu installierende Maschine einem bestehenden Verbund hinzufügen möchten. Wenn Sie in Ihrer Active Directory-Gesamtstruktur noch kein AD RMS implementiert haben, wird aber ohnehin nur die Erstellung eines neuen Systems anwählbar sein.

AD RMS-Cluster

Microsoft spricht von einem AD RMS-Cluster. Auch wenn Sie nur die Installation der Rechteverwaltungsdienste auf einem einzigen Server planen, haben Sie, in der RMS-Begrifflichkeit, trotzdem einen RMS-Cluster. Verwechseln Sie dies also nicht mit einem Failover- oder NLB-Cluster!


  • Auf der zweiten Seite des Assistenten müssen Sie die zu verwendende Datenbank angeben. Hier haben Sie zwei Möglichkeiten: Entweder entscheiden Sie sich für die Nutzung der Internen Windows-Datenbank, die dann im Rahmen des Installationsvorgangs lokal installiert wird. Oder Sie verwenden einen anderen Datenbankserver, dessen Namen und Datenbankinstanz Sie alternativ auswählen können – diese müsste dann vor Beginn der RMS-Installation angelegt worden sein. Eine wesentliche Einschränkung bei der Verwendung der internen Windows-Datenbank ist, dass dem RMS-Cluster keine weiteren Server hinzugefügt werden können. Ein Argument für einen zentralen SQL Server, auf dem neben den RMS-Daten noch diverse andere Unternehmensdaten lagern, ist das einfachere Backup-Management: Verständlicherweise ist es wesentlich angenehmer, wenn Sie nicht zig kleine verteilte SQL Server sichern müssen (Abbildung 13.6).

Abbildung 13.6 Wählen Sie die Datenbank, die der AD RMS-Cluster verwenden soll.

  • Im nächsten Schritt geben Sie ein RMS-Dienstkonto an. Hierbei muss es sich um ein bereits vorhandenes Domänenkonto handeln, das aber keine Administratorrechte haben soll. Die notwendigen Rechte weist der Assistent zu.
  • Ein AD RMS-Cluster benötigt einen AD RMS-Clusterschlüssel zum Signieren der ausgestellten Zertifikate und Lizenzen. Auf der Dialogseite können Sie auswählen, wie dieser Schlüssel gespeichert werden soll. Im Normalfall ist die vorbelegte Option, nämlich Zentral verwalteten AD RMS-Schlüsselspeicher verwenden, eine gute Wahl.
  • Auf der nächsten Dialogseite wird das Clusterschlüsselkennwort abgefragt. Wie immer gilt: Bewahren Sie das Kennwort an einer sicheren Stelle auf, und sorgen Sie dafür, dass die Stelle nicht so sicher ist, dass Sie es nie wiederfinden.
  • Die AD RMS-Kommunikation basiert in erster Linie auf Webservices, daher wird ja auch der Webserver mitinstalliert. Die nun folgende Dialogseite fragt ab, in welcher Website das virtuelle Verzeichnis installiert werden soll. Falls Sie es nicht in einer vorhandenen Website installieren wollen, müssten Sie es vor Beginn der Installation anlegen. Der Assistent bietet dazu keine Möglichkeit.
  • Die nächste Dialogseite fragt ab, ob die Clients eine verschlüsselte (SSL) oder unverschlüsselte Verbindung herstellen sollen. Damit Sie eine SSL-Verbindung konfigurieren können, muss ein Zertifikat vorhanden sein. Weiterhin wird die interne Adresse des RMS-Clusters festgelegt (Abbildung 13.7).

Abbildung 13.7 Es ist zu empfehlen, eine SSL-verschlüsselte Verbindung zu verwenden.

Abbildung 13.8 Den AD RMS-Verbindungspunkt können Sie auch zu einem späteren Zeitpunkt registrieren, falls Sie momentan nicht die notwendigen Berechtigungen haben.

  • Auf der folgenden Dialogseite können Sie das zu verwendende Zertifikat auswählen. Falls auf dem Server noch kein Zertifikat installiert ist, können Sie ein selbst signiertes Zertifikat erstellen lassen (nicht optimal) oder das Zertifikat für die Verschlüsselung später auswählen.
  • Im nächsten Schritt geben Sie einen Namen für das Server-Lizenzgeberzertifikat an. Sie können hier einen beliebigen Namen vergeben, er sollte aber auf seinen Verwendungszweck hinweisen. (»Hugo« ist kein optimaler Zertifikatsname.)
  • Die Clients finden den RMS-Cluster über einen Dienstverbindungspunkt (Service Connection Point, SCP, Abbildung 13.8). Dies ist letztendlich ein Eintrag im Active Directory. Da er im Namenskontext Konfiguration erstellt wird, müssen Sie dazu Mitglied der Gruppe Unternehmensadministratoren sein. Falls Sie das zum Zeitpunkt der AD RMS-Installation nicht sind, kann der Dienstverbindungspunkt auch zu einem späteren Zeitpunkt registriert werden – aber nicht vergessen!

Zum Schluss wird der Assistent die Auswahl der Rollendienste für die Webserver-Installation anzeigen. Die benötigten Rollendienste werden selektiert sein; Sie sollten daran nichts verändern. Die Installation wird ein Weilchen dauern. Danach sollten Sie das in Abbildung 13.9 gezeigte Szenario vorfinden.

Abbildung 13.9 So sollte das Ergebnis des Installationsvorgangs aussehen.

Sie können bei Bedarf noch kontrollieren, ob der Dienstverbindungspunkt im Active Directory korrekt angelegt worden ist. Dies ist mit dem ADSI-Editor recht einfach zu erledigen. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext her, und öffnen Sie den Knoten CN=Services,CN=RightsManagementServices (Abbildung 13.10).

Abbildung 13.10 Der Dienstverbindungspunkt im Active Directory muss vorhanden sein – dies kann man mit dem ADSI-Editor kontrollieren.


Galileo Computing - Zum Seitenanfang

13.2.2 Client-Installation topZur vorigen Überschrift

Wenn die Rechteverwaltungsdienste-Clients unter Windows Vista oder Windows Server 2008 laufen, sind Sie schnell fertig: Diese Betriebssysteme verfügen bereits über den RMS-Client.

Für Windows 2000 (Server und Workstation), Windows XP und Windows Server 2003 müssen Sie den RMS-Client herunterladen und installieren. Abbildung 13.11 enthält eine kleine »Suchhilfe«.

Wie bereits eingangs erwähnt, benötigen Sie zur Nutzung der Rechteverwaltungsdienste Software, die dieses Verfahren unterstützt. Zu nennen wären hier beispielsweise:

  • Office 2003 Professional zum Erstellen von geschützten Inhalten. Alle anderen Editionen können geschützte Inhalte nur lesen.
  • Office 2007 Enterprise, Professional Plus und Ultimate zum Erstellen von geschützten Inhalten. Alle anderen Editionen können geschützte Inhalte nur lesen.

Weiterhin unterstützen folgende Produkte die Rechteverwaltungsdienste:

  • Windows Mobile 6
  • SharePoint Server 2007
  • Exchange Server 2007 mit SP1

Abbildung 13.11 Kleine Suchhilfe: Diesen Client benötigen Sie für die Betriebssysteme Windows 2000, Windows XP und Windows Server 2003.

Unabhängige Entwickler können die Rechteverwaltungsdienste aus eigenen Applikationen nutzen, so dass damit zu rechnen ist, dass nach und nach weitere Anwendungen auftauchen werden, die AD RMS unterstützen.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de