微软的产品都有一定生命周期,而微软所提供的服务也会随着产品的升级而停止对旧产品的支持。在此文章中,我们着重关注ADRMS的产品,从windows Server 2008 R2到windows Server 2012 R2的升级。升级的过程中,主要考虑生产环境中客户端与服务器之间连接的方式,如HTTP或HTTPS;升级后,关注是否会影响已经加密过的文档的使用。
关于该产品,微软文档安全管理服务(RMS):Right Management Service,主要针对于office文档的加密和权限控制(安全问题),比如:打开这些文档时多了一部身份验证的过程,意味着对这些文档的安全性有一个很好的掌控。
如下主要演示该产品的升级部署方法,服务器与客户端之间连接采用HTTPS方式,其中演示不包括DC、数据库服务器、08R2RMS的部署,仅提供新添加windows Server 2012 R2版本。
基本环境准备
计算机名称 | 操作系统版本 | IP地址 | 备注 |
DC | Windows Server 2008 R2 | 140.115.8.10 | 域控制器 (AD\CA角色) |
DB | Windows Server 2008 R2 | 140.115.8.20 | 数据库服务器 SQL Server 2008 R2 |
RMS1 | Windows Server 2008 R2 | 140.115.8.21 | 第一台RMS服务器 |
RMS2 | Windows Server 2012 R2 | 140.115.8.22 | 准备升级的RMS服务器 |
CLT | Windows 7 SP1 | 140.115.8.100 | 客户端 (office2013版本) |
CLT2 | Windows 7 SP1 | 140.115.8.101 | 客户端 (office2010版本) |
备注:其中还创建一条“RMS”名称的A记录,其IP地址对应RMS服务器的IP地址;
部署RMS2服务器准备工作
导入证书
部署RMS2服务器,其中操作系统版本为2012 R2,加入域;之后先在RMS1服务器上,打开IIS管理器,导出证书,如下;
输入导出路径,以及密码,如下;
将上述导出的证书拷贝至RMS2服务器,并且导入选择“本地计算机”,其中,输入时需要输入导出时设置的密码,并且将证书导入到“个人”的位置,如下;
赋予权限
在部署2012 R2版本的RMS时,需要提前在08版本RMS服务器上,对certification.asmx、ServerCertification.asmx和license.asmx文件添加12版本RMS服务器计算机账号权限,如下;
修改或添加RMS2的A记录
在DNS控制台中,添加新的“RMS”A记录或者修改原来记录,不过在此比较推荐新建,其中新建的记录指向RMS2服务器的IP地址,如下;
安装RMS角色
安装RMS角色
在RMS2服务器上,添加角色和功能,勾选“ADRMS”角色,如下;
其他选项保持默认,在角色服务窗口,勾选“AD权限管理服务器”选项,下一步;
配置RMS
在安装完成后的向导中,单击“执行其他配置”,在向导中,单击下一步;在如下窗口中选择“加入现有AD RMS群集”,下一步;
指定数据库服务器,和RMS1为同一台数据库服务器,如下;
输入在RMS1创建群集时设置的密码,下一步;
指定服务账户,下一步;
群集网站界面,保持默认,下一步;
由于上述步骤中已经导入证书,所以在此可以直接看到显示的证书,下一步;
确认无误,单击“安装”,等待安装完成,如下;
部署后检查
检查控制台
现在重新打开RMS1控制台会发现弹出如下窗口;
注销RMS2服务器,重新登陆,打开RMS控制台,如下;
客户端验证
尝试打开原来升级前早已经加密过的文档,发现正常打开;同时新建新的文档,进行权限设置,也能够正常,如下;