微软的产品都有一定生命周期,而微软所提供的服务也会随着产品的升级而停止对旧产品的支持此文章中,我们着重关注ADRMS的产品,从windows Server 2008 R2到windows Server 2012 R2的升级。升级的过程中,主要考虑生产环境客户端与服务器之间连接的方式,如HTTP或HTTPS;升级后,关注是否会影响已经加密过的文档的使用。

关于该产品,微软文档安全管理服务(RMS):Right Management Service,主要针对于office文档的加密和权限控制(安全问题),比如:打开这些文档时多了一部身份验证的过程,意味着对这些文档的安全性有一个很好的掌控。

如下主要演示该产品的升级部署方法,服务器与客户端之间连接采用HTTPS方式,其中演示不包括DC、数据库服务器、08R2RMS的部署仅提供新添加windows Server 2012 R2版本

基本环境准备

计算机名称

操作系统版本

IP地址

备注

DC

Windows Server 2008 R2

140.115.8.10

域控制器

(AD\CA角色

DB

Windows Server 2008 R2

140.115.8.20

数据库服务器

SQL Server 2008 R2

RMS1

Windows Server 2008 R2

140.115.8.21

第一台RMS服务器

RMS2

Windows Server 2012 R2

140.115.8.22

准备升级的RMS服务器

CLT

Windows 7 SP1

140.115.8.100

客户端

(office2013版本

CLT2

Windows 7 SP1

140.115.8.101

客户端

(office2010版本

备注:其中还创建一条“RMS”名称的A记录,其IP地址对应RMS服务器的IP地址;

部署RMS2服务器准备工作

导入证书

部署RMS2服务器,其中操作系统版本为2012 R2,加入域;之后先在RMS1服务器上,打开IIS管理器,导出证书,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级


输入导出路径,以及密码,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_02


将上述导出的证书拷贝至RMS2服务器,并且导入选择“本地计算机”,其中输入时需要输入导出时设置的密码,并且证书导入到“个人”的位置,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_03


赋予权限

在部署2012 R2版本的RMS时,需要提前在08版本RMS服务器上,对certification.asmx、ServerCertification.asmx和license.asmx文件添加12版本RMS服务器计算机账号权限,如下

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_04


ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_05


ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_06


修改或添加RMS2的A记录

在DNS控制台中,添加新的“RMS”A记录或者修改原来记录,不过在此比较推荐新建,其中新建的记录指向RMS2服务器的IP地址,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_07


安装RMS角色

安装RMS角色

在RMS2服务器上,添加角色和功能,勾选“ADRMS”角色,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_08


其他选项保持默认,在角色服务窗口,勾选“AD权限管理服务器”选项,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_09


配置RMS

在安装完成后的向导中,单击“执行其他配置”,在向导中,单击下一步;在如下窗口中选择“加入现有AD RMS群集”,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_10


指定数据库服务器,和RMS1为同一台数据库服务器,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_11


输入在RMS1创建群集时设置的密码,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_12


指定服务账户,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_13


群集网站界面,保持默认,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_14


由于上述步骤中已经导入证书,所以在此可以直接看到显示的证书,下一步;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_15


确认无误,单击“安装”,等待安装完成,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_16


部署后检查

检查控制台

现在重新打开RMS1控制台会发现弹出如下窗口;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_17


注销RMS2服务器,重新登陆,打开RMS控制台,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_18


客户端验证

尝试打开原来升级前早已经加密过的文档,发现正常打开;同时新建新的文档,进行权限设置,也能够正常,如下;

ADRMS从windows Server 2008 R2到windows Server 2012 R2升级_ADRMS升级_19