Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Iceсream Screen Recorder – это программа для захвата видео с аудио и микрофоном и создания скриншотов с помощью ряда доп...
SlimDrivers — бесплатная программа для обнаружения присутствующих на компьютере драйверов, определение их версий, поиска...
Многофункциональный, кроссплатформенный текстовый редактор с функциями подсветки синтаксиса, авто-подстановкой выражений...
Программа позволяет быстро обнаруживать на раннем этапе возможные отказы в работе сети или веб-сайта. PRTG Network Monit...
Программа для создания презентаций и интерактивных обучающих видеоуроков. Camtasia Studio может осуществлять захват изоб...
OSzone.net Microsoft Windows Server 2008 Пошаговые руководства Пошаговое руководство по развертыванию служб управления правами Active Directory в экстрасети RSS

Пошаговое руководство по развертыванию служб управления правами Active Directory в экстрасети

Текущий рейтинг: 3.58 (проголосовало 12)
 Посетителей: 12811 | Просмотров: 17882 (сегодня 0)  Шрифт: - +
Club logo

Корпорация Майкрософт
Опубликовано: Май 2007
Автор: Брайан Лич (Brian Lich)
Редактор: Кэролин Эллер (Carolyn Eller)

Аннотация

В этом пошаговом руководстве представлены инструкции по настройке кластера служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих в экстрасети под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде. Для проверки работы служб в экстрасети мы попытаемся открыть защищенный документ на клиентском компьютере, не подключенном к внутренней сети организации.

Об этом руководстве

Это пошаговое руководство проведет Вас через весь процесс конфигурирования служб управления правами Active Directory (AD RMS) в лабораторной среде, включающей в себя экстрасеть. Экстрасеть является расширением сети Вашей организации, в котором часть корпоративных ресурсов доступна для доступа из  внешних сетей. В этом руководстве кластер служб AD RMS охватывает сеть Интернет, что позволяет пользователям получать доступ к защищенному содержимому, даже если они не подключены к внутренней сети организации. В результате выполнения процедур, представленных в этом руководстве, Вы установите сервер Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition, настроите его на совместную работу со службами AD RMS и убедитесь, что Вы можете открыть защищенный документ на компьютере, который не подключен к внутренней сети Вашей организации.

Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть развернуты службы AD RMS под управлением Windows Server 2008, обеспечивающие доступ к информации для пользователей экстрасети.

Следуя инструкциям данного руководства, Вы выполните следующие действия:

  • Установите и настроите ISA Server 2006 Standard Edition со службами AD RMS.

  • Проверите функциональность служб AD RMS после завершения их настройки.

*Примечание

Службы AD RMS не требуют обязательного использования сервера ISA Server 2006 Standard Edition. Вместо него может быть использован любой реверсивный прокси-сервер, который может работать с TCP-портами 80 и 443. В этом пошаговом руководстве мы будем использовать сервер ISA Server 2006 Standard Edition.

Чего Вы не найдете в этом руководстве

Следующая информация не представлена в этом руководстве:

  • Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).

  • Техническая справочная информация о службах AD RMS или о продукте Microsoft ISA Server 2006 Standard Edition. Для получения дополнительной информации о сервере Microsoft ISA Server 2006 Standard Edition обратитесь к разделу ISA Server 2006 Technical Library (EN) на веб-узле Microsoft TechNet.

Развертывание служб AD RMS в лабораторной среде

Прежде чем начать выполнять процедуры, представленные в этом руководстве, мы рекомендуем Вам выполнить все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ.

В результате выполнения всех процедур, представленных в этом руководстве, у Вас в распоряжении окажется работающая лабораторная среда, настроенная на работу в экстрасети. Вы сможете проверить работоспособность служб AD RMS в экстрасети, установив разрешения для документа Microsoft Office Word 2007, а затем, попытавшись открыть его на клиентском компьютере, не подключенном к сети организации.

Лабораторная среда, описываемая в этом руководстве, включает в себя шесть компьютеров, сконфигурированных в соответствии с приведенной ниже таблицей:

*Примечание

Также Вам понадобится USB-накопитель или другой носитель информации, с помощью которого Вы сможете копировать файлы между клиентскими компьютерами служб AD RMS, подключенными к внутренней сети организации и к экстрасети.

Имя компьютера

Операционная система

Приложения и службы

ADRMS-SRV

Windows Server 2008

AD RMS, Internet Information Services (IIS) 7.0, Message Queuing, Windows Internal Database

CPANDL-DC

Windows Server 2003 с пакетом обновлений Service Pack 1 (SP1)

Active Directory, Domain Name System (DNS)

ADRMS-DB

Windows Server 2003 с пакетом обновлений SP1

Microsoft SQL Server™ 2005 Standard Edition

ISA-SRV

Windows Server 2003 с пакетом обновлений SP1

*Примечание

На этом компьютере должны быть установлены два сетевых адаптера, чтобы сервер ISA Server 2006 мог различать публичный и частный IP-адреса

Microsoft ISA Server 2006 Standard Edition

ADRMS-CLNT

Windows Vista™

Microsoft Office Word 2007 Enterprise Edition

ADRMS-EXCLNT

Windows Vista

Microsoft Office Word 2007 Enterprise Edition

Первые пять компьютеров из вышеприведенной таблицы подключены к частной интрасети через общий концентратор или коммутатор второго уровня. Кроме того, на компьютере ISA-SRV установлен второй сетевой адаптер, доступный из сети Интернет. Это позволяет серверу ISA Server принимать запросы из Интернета и пересылать их к серверу служб AD RMS. Компьютер ADRMS-EXCLNT не входит в ту же сеть, что и остальные компьютеры. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server.

В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC. Компьютер ADRMS-EXCLNT имеет IP-адрес 10.0.100.2/24, выполняя роль клиентского компьютера, подключенного к экстрасети. На следующем рисунке изображена конфигурация лабораторной среды:

*

*Примечание

В рабочей среде внешним адресом сервера ISA Server должен являться IP-адрес, доступный из сети Интернет. Это необходимо для того, чтобы пользователи экстрасети имели возможность получать доступ к защищенному содержимому.

Шаг 1. Конфигурирование служб AD RMS для работы в экстрасети

В дополнение к действиям, выполненным в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN), Вы также должны выполнить следующие действия:

  • Настроить URL-адрес кластера экстрасети служб AD RMS в консоли Active Directory Rights Management Services.

  • Выполнить на компьютере ADRMS-SRV экспорт сертификата проверки подлинности сервера, включая закрытый ключ. Этот сертификат будет помещен в личное хранилище сертификатов на компьютере ISA-SRV.

Для того чтобы пользователи, не подключенные к внутренней сети Вашей организации, могли получать доступ к защищенному содержимому, Вы должны указать URL-адреса кластера экстрасети служб AD RMS. Эти URL-адреса включены в сертификат лицензирования клиента (Client Licensor Certificate, CLC) служб AD RMS и опубликованы вместе с защищенным содержимым. Эти URL-адреса должны быть доступны для всех компьютеров из сети Интернет.

*Примечание

Вы сможете устанавливать защиту содержимого только после того, как укажете URL-адреса кластера экстрасети служб AD RMS. Если у Вас уже имеется защищенное содержимое, то на клиентский компьютер служб AD RMS Вы должны установить новый сертификат лицензирования клиента, содержащий URL кластера экстрасети.

Настройка URL-адресов кластера экстрасети служб AD RMS выполняется с помощью консоли Active Directory Rights Management Services. Для выполнения этой задачи следуйте нижеприведенным инструкциям.

*Для настройки URL-адресов кластера экстрасети служб AD RMS выполните следующие действия:

  1. Войдите на компьютер ADRMS-SRV под учетной записью CPANDL\ADRMSADMIN.

  2. В меню Start откройте папку Administrative Tools и щелкните значок Active Directory Rights Management Services.

  3. При появлении диалогового окна контроля учетных записей User Account Control подтвердите выполнение действия и нажмите кнопку Continue.

  4. Правой кнопкой мыши щелкните узел ADRMS-SRV (Local) и в контекстном меню выберите пункт Properties.

  5. Перейдите на вкладку Cluster URLs и установите флажок Extranet URLs.

  6. В поле Licensing выберите https:// и затем введите adrms-srv.cpandl.com.

  7. В поле Certification выберите https:// и затем введите adrms-srv.cpandl.com.

  8. Нажмите кнопку OK.

Следующим шагом является экспорт сертификата проверки подлинности сервера и его закрытого ключа с компьютера ADRMS-SRV. Это необходимо для того, чтобы компьютер ISA-SRV мог передавать HTTPS-запросы от компьютера ADRMS-EXCLNT кластеру служб AD RMS.

* Для экспорта сертификата проверки подлинности сервера и его закрытого ключа с компьютера ADRMS-SRV выполните следующие действия:

  1. Откройте меню Start, наберите в поле быстрого поиска mmc.exe и нажмите клавишу ENTER.

  2. При появлении диалогового окна контроля учетных записей User Account Control подтвердите выполнение действия и нажмите кнопку Continue.

  3. В меню File выберите команду Add/Remove Snap-in.

  4. В списке Available snap-ins выберите оснастку Certificates и нажмите кнопку Add.

  5. Установите переключатель в положение Computer account и нажмите кнопку Next.

  6. Нажмите кнопку Finish, затем нажмите кнопку OK.

  7. Последовательно раскройте узлы Certificates (Local Computer) и Trusted Root Certification Authorities, и выберите папку Certificates в дереве консоли.

  8. Правой кнопкой мыши щелкните на имени сертификата ADRMS-SRV.cpandl.com, раскройте подменю All Tasks и выберите команду Export.

  9. На странице приветствия мастера Certificate Export Wizard нажмите кнопку Next.

  10. Установите переключатель в положение Yes, export the private key и нажмите кнопку Next.

  11. На странице Export File Format нажмите кнопку Next, приняв все значения по умолчанию.

  12. В поле Password введите стойкий пароль, подтвердите его в поле Type and confirm password и нажмите кнопку Next.

  13. В поле File name наберите \\adrms-db\public\adrms-srv_with_key.pfx и нажмите кнопку Next.

  14. Нажмите кнопку Finish.

  15. Нажмите кнопку OK диалогового окна подтверждения успешного экспорта сертификата.

Шаг 2. Установка и настройка компьютера ISA-SRV

ISA Server 2006 Standard Edition представляет собой межсетевой экран с интегрированными сервисами, который может использоваться для ограничения доступа к кластеру экстрасети служб AD RMS из сети Интернет. ISA Server обрабатывает все запросы, поступающие из сети Интернет к кластеру служб AD RMS, и при необходимости передает их указанному кластеру.

Чтобы установить ISA Server 2006 Standard Edition и настроить его для совместного использования со службами AD RMS, Вы должны выполнить следующие процедуры:

Настройка сервера ISA Server на компьютере ISA-SRV

Сначала Вам необходимо установить операционную систему Windows Server 2003 на изолированный сервер.

*Для установки операционной системы Windows Server 2003 Standard Edition выполните следующие действия:

  1. Загрузите компьютер с установочного диска ОС Windows Server 2003.

  2. Следуйте инструкциям программы установки. Когда Вам будет предложено указать имя компьютера, введите имя ISA-SRV.

Следующим шагом необходимо настроить свойства протокола TCP/IP. Для первого сетевого адаптера компьютера ISA-SRV задайте статический IP-адрес 10.0.0.5, и в качестве IP-адреса предпочитаемого DNS-сервера укажите адрес 10.0.0.1. Для второго сетевого адаптера задайте статический IP-адрес 10.0.100.1.

*Для установки свойств протокола TCP/IP на компьютере ISA-SRV выполните следующие действия:

  1. Войдите на компьютер ISA-SRV под учетной записью локального администратора.

  2. В меню Пуск раскройте папку Панель управления, затем папку Сетевые подключения, щелкните значок Local Area Connection и нажмите кнопку Свойства.

  3. На вкладке Общие выберите протокол Internet Protocol (TCP/IP) и нажмите кнопку Свойства.

  4. Установите переключатель в положение Использовать следующий IP-адрес. В поле IP-адрес введите 10.0.0.5. В поле Маска подсети введите 255.255.255.0. В поле Предпочитаемый DNS-сервер введите 10.0.0.1.

  5. Нажмите кнопку OK, затем нажмите кнопку Закрыть, чтобы закрыть диалоговое окно свойств подключения Local Area Connection.

  6. В меню Пуск раскройте папку Панель управления, затем папку Сетевые подключения, щелкните значок Local Area Connection 2 и нажмите кнопку Свойства.

  7. На вкладке Общие выберите протокол Internet Protocol (TCP/IP) и нажмите кнопку Свойства.

  8. Установите переключатель в положение Использовать следующий IP-адрес. В поле IP-адрес введите 10.0.100.1. В поле Маска подсети введите 255.255.255.0.

  9. Нажмите кнопку OK, затем нажмите кнопку Закрыть, чтобы закрыть диалоговое окно свойств подключения Local Area Connection 2.

Следующим шагом необходимо присоединить компьютер ISA-SRV к домену cpandl.com.

*Для присоединения компьютера ISA-SRV к домену cpandl.com выполните следующие действия:

  1. В меню Пуск щелкните правой кнопкой мыши на значке Мой компьютер и в контекстном меню выберите пункт Свойства.

  2. Перейдите на вкладку Имя компьютера и нажмите кнопку Изменить.

  3. В диалоговом окне Изменение имени компьютера установите переключатель в положение Является членом домена и введите имя cpandl.com.

  4. Нажмите кнопку Дополнительно и в поле Основной DNS-суффикс этого компьютера введите cpandl.com.

  5. Дважды нажмите кнопку OK.

  6. При запросе имени и пароля учетной записи с правами на присоединение к домену введите имя и пароль учетной записи CPANDL\Administrator и нажмите кнопку OK.

  7. При появлении диалогового окна с сообщением «Добро пожаловать в домен cpandl.com» нажмите кнопку OK.

  8. При появлении сообщения о необходимости перезагрузки компьютера нажмите кнопку OK, и затем нажмите кнопку OK еще раз.

  9. В диалоговом окне Изменение параметров системы нажмите кнопку Да, чтобы перезагрузить компьютер.

Следующим шагом необходимо импортировать сертификат проверки подлинности сервера, содержащий закрытый ключ, в хранилище доверенных центров сертификации компьютера ISA-SRV.

*Для импорта сертификата проверки подлинности в хранилище компьютера ISA-SRV выполните следующие действия:

  1. Войдите на компьютер ISA-SRV под учетной записью локального администратора.

  2. В меню Пуск выберите команду Выполнить, введите mmc.exe и нажмите клавишу ENTER.

  3. В меню Консоль выберите команду Добавить или удалить оснастку.

  4. Нажмите кнопку Добавить, в списке Доступные изолированные оснастки выберите оснастку Сертификаты и нажмите кнопку Добавить.

  5. Установите переключатель в положение Учетной записи компьютера, нажмите кнопку Далее, затем нажмите кнопку Готово.

  6. Нажмите кнопку Закрыть, затем нажмите кнопку OK.

  7. Последовательно раскройте узлы Сертификаты (локальный компьютер) и Личные.

  8. Правой кнопкой мыши щелкните на папке Сертификаты в раскрытом узле дерева консоли, раскройте подменю Все задачи и выберите команду Импорт.

  9. На странице приветствия мастера импорта сертификатов нажмите кнопку Далее.

  10. В поле Имя файла введите \\adrms-db\public\adrms-srv_with_key.pfx и нажмите кнопку Далее.

  11. Введите пароль, использовавшийся при экспорте сертификата, и нажмите кнопку Далее.

  12. Нажмите кнопку Далее, затем нажмите кнопку Готово.

  13. Нажмите кнопку OK диалогового окна подтверждения успешного импорта сертификата.

  14. Закройте оснастку Сертификаты.

В заключение необходимо установить ISA Server 2006 Standard Edition.

*Для установки сервера ISA Server 2006 Standard Edition на компьютер ISA-SRV выполните следующие действия:

  1. Войдите на компьютер ISA-SRV под учетной записью локального администратора.

  2. Вставьте установочный диск ISA Server 2006 Standard Edition в привод компакт-дисков.

  3. Щелкните ссылку Установить ISA Server 2006.

  4. На первой странице мастера установки Microsoft ISA Server 2006 нажмите кнопку Далее.

  5. Установите переключатель в положение Принимаю условия лицензионного соглашения и нажмите кнопку Далее.

  6. Введите серийный номер продукта в соответствующее поле и нажмите кнопку Далее.

  7. Установите переключатель в положении Обычная и нажмите кнопку Далее.

  8. Нажмите кнопку Добавить, затем нажмите кнопку Добавить плату, установите флажок напротив подключения Local Area Connection и дважды нажмите кнопку OK.

  9. Трижды нажмите кнопку Далее, затем нажмите кнопку Install.

  10. По завершении установки нажмите кнопку Готово.

  11. Нажмите кнопку OK. При желании ознакомьтесь с предоставленной информацией, после чего закройте обозреватель Internet Explorer.

  12. Щелкните ссылку Выход, чтобы закрыть окно программы установки Microsoft ISA Server 2006.

Публикация кластера служб AD RMS в экстрасети

Для работы ISA Server 2006 Standard Edition необходимо настроить веб-прослушиватель на использование определенного порта. В этом руководстве используется безопасный TCP-порт 443 (SSL) с целью защитить передачу данных между клиентскими компьютерами и сервером ISA Server. В этом разделе веб-узел служб AD RMS будет опубликован на сервере ISA Server. Этот процесс состоит из следующих этапов:

  • Публикация URL-адреса кластера экстрасети служб AD RMS на сервере ISA Server.

  • Установка разрешений для ISA Server на передачу учетных данных пользователя непосредственно на сервер служб AD RMS.

Поскольку в этом руководстве для кластера AD RMS используется самоподписанный сертификат, Вы должны переместить его из хранилища личных сертификатов в хранилище сертификатов доверенных корневых издателей.

Сначала необходимо опубликовать кластер служб AD RMS на компьютере ISA-SRV.

*Для публикации кластера AD RMS на сервере ISA Server 2006 Standard Edition выполните следующие действия:

  1. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft ISA Server и щелкните значок Управление ISA Server.

  2. Раскройте узел ISA-SRV и выберите пункт Политика межсетевого экрана.

  3. Перейдите на вкладку Задачи и щелкните ссылку Опубликовать веб-узлы.

  4. В поле Имя правила веб-публикации введите AD RMS Extranet и нажмите кнопку Далее.

  5. Дважды нажмите кнопку Далее, приняв значения по умолчанию.

  6. Установите переключатель в положение Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов и нажмите кнопку Далее.

  7. В поле Имя внутреннего веб-узла введите имя adrms-srv.cpandl.com.

  8. Установите флажок Используйте имя или IP-адрес компьютера для подключения к опубликованному серверу, в поле Имя или IP-адрес компьютера введите адрес 10.0.0.2 и нажмите кнопку Далее.

  9. В поле Путь (необязательно) введите /*, установите флажок Пересылать исходный заголовок узла вместо действительного, указанного в поле «Имя внутреннего веб-узла» на предыдущей странице и нажмите кнопку Далее.

  10. В поле Внешнее имя введите имя adrms-srv.cpandl.com и нажмите кнопку Далее.

  11. Нажмите кнопку Создать, чтобы создать новый веб-прослушиватель.

  12. В поле Имя веб-прослушивателя введите имя HTTPS Port 443 и нажмите кнопку Далее.

  13. Установите переключатель в положение Требовать безопасного подключения SSL для клиентов и нажмите кнопку Далее.

  14. В списке сетей для прослушивания установите флажок напротив сети Внешняя и нажмите кнопку Далее.

  15. Установите переключатель в положение Использовать единый сертификат для данного веб-прослушивателя и нажмите кнопку Выбор сертификата.

  16. Выберите в списке сертификат ADRMS-SRV.cpandl.com, нажмите кнопку Выбрать, затем нажмите кнопку Далее.

  17. В раскрывающемся списке Укажите способ предоставления учетных данных клиентами серверу ISA Server выберите значение Без проверки подлинности и дважды нажмите кнопку Далее.

  18. Нажмите кнопку Готово, чтобы закрыть мастер создания веб-прослушивателя.

  19. Нажмите кнопку Далее.

  20. В раскрывающемся списке выберите значение Без делегирования, но клиент может выполнять проверку подлинности напрямую и нажмите кнопку Далее.

  21. Нажмите кнопку Далее, чтобы применить правило веб-публикации ко всем пользователям.

  22. Нажмите кнопку Готово.

  23. Нажмите кнопку Применить, чтобы сохранить внесенные изменения и обновить конфигурацию, затем нажмите кнопку OK.

В заключение необходимо переместить сертификат проверки подлинности сервера из хранилища личных сертификатов в хранилище сертификатов доверенных корневых издателей на сервере ADRMS-SRV.

* Для перемещения сертификата проверки подлинности сервера ADRMS-SRV выполните следующие действия:

  1. В меню Пуск выберите команду Выполнить.

  2. В открывшемся диалоговом окне ведите mmc.exe и нажмите кнопку OK.

  3. В меню Консоль выберите команду Добавить или удалить оснастку.

  4. Нажмите кнопку Добавить, в списке Доступные изолированные оснастки выберите оснастку Сертификаты и нажмите кнопку Добавить. Установите переключатель в положение Учетной записи компьютера и нажмите кнопку Далее.

  5. Нажмите кнопку Готово, затем кнопку Закрыть и кнопку OK.

  6. Раскройте узел Сертификаты (локальный компьютер), а затем раскройте узел Личные и узел Доверенные корневые центры сертификации.

  7. Выберите папку Сертификаты узла Личные.

  8. В области сведений выберите сертификат ADRMS-SRV.cpandl.com и перетащите его в папку Сертификаты узла Доверенные корневые центры сертификации.

  9. Закройте оснастку Сертификаты.

Шаг 3. Настройка клиентского компьютера служб AD RMS, подключенного к экстрасети

Для настройки клиента служб AD RMS (компьютер ADRMS-EXCLNT), Вам необходимо установить на него операционную систему Windows Vista, настроить свойства протокола TCP/IP, создать запись в локальном файле HOSTS, импортировать сертификат проверки подлинности сервера ADRMS-SRV и установить приложения, которые могут работать со службами AD RMS. В этом руководстве в качестве такого приложения будет использоваться Microsoft Office Word 2007.

*Для установки операционной системы Windows Vista выполните следующие действия:

  1. Загрузите компьютер с установочного диска ОС Windows Vista.

  2. Следуйте инструкциям программы установки. Когда Вам будет предложено указать имя компьютера, введите имя ADRMS-EXCLNT.

Следующим шагом необходимо настроить свойства протокола TCP/IP. Для сетевого адаптера компьютера ADRMS-EXCLNT задайте статический IP-адрес 10.0.100.2.

*Для установки свойств протокола TCP/IP на компьютере ADRMS-EXCLNT выполните следующие действия

  1. В меню Пуск щелкните значок Панель управления. В панели управления щелкните ссылку Сеть и Интернет, затем ссылку Центр управления сетями и общим доступом, в левой панели перейдите по ссылке Управление сетевыми подключениями, правой кнопкой мыши щелкните значок сетевого подключения Подключение по локальной сети и в контекстном меню выберите пункт Свойства.

  2. На вкладке Сеть выберите протокол Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.

  3. Установите переключатель в положение Использовать следующий IP-адрес. В поле IP-адрес введите 10.0.100.2, в поле Маска подсети введите 255.255.255.0.

  4. Нажмите кнопку OK, затем нажмите кнопку Закрыть, чтобы закрыть окно свойств сетевого подключения.

  5. Закройте все открытые окна и вернитесь на рабочий стол.

В этом руководстве используется лабораторная среда без внешнего DNS-сервера. Для того чтобы URL-адреса кластера экстрасети могли быть преобразованы в соответствующие IP-адреса, Вы должны вручную создать запись в файле HOSTS для сервера ISA-SRV.

*Примечание

В рабочей среде этот шаг выполнять не требуется, поскольку Интернет-провайдер клиента предоставляет услуги внешнего DNS-сервера.

*Для создания записи URL-адреса кластера AD RMS в файле HOSTS выполните следующие действия:

  1. Войдите на компьютер ADRMS-EXCLNT под учетной записью локального администратора.

  2. В меню Пуск раскройте меню Все программы, раскройте папку Стандартные и щелкните значок Блокнот.

  3. В меню Файл программы Блокнот выберите команду Открыть.

  4. Выберите файл «C:\windows\System32\drivers\etc\HOSTS» и нажмите кнопку Открыть.

  5. *Примечание

    Чтобы увидеть файл HOSTS в папке «etc», Вы должны выбрать значение Все файлы в раскрывающемся списке, расположенном над кнопкой Открыть.

  6. Добавьте в файл HOSTS следующую строку: 10.0.100.1 adrms-srv.cpandl.com.

  7. Сохраните и закройте файл HOSTS.

Следующим шагом необходимо импортировать сертификат проверки подлинности сервера ADRMS-SRV в хранилище доверенных корневых центров сертификации на компьютере ADRMS-EXCNT. Этот шаг необходимо выполнить только в случае использования самоподписанного сертификата. Сертификат, использующийся в рабочей среде, должен быть одобрен центром сертификации.

*Для импорта сертификата проверки подлинности сервера на компьютере ADRMS-EXCLNT выполните следующие действия:

  1. Войдите на компьютер ADRMS-EXCLNT под учетной записью локального администратора.

  2. В меню Пуск раскройте меню Все программы и щелкните значок Internet Explorer.

  3. В адресной строке обозревателя введите адрес https://adrms-srv.cpandl.com/_wmcs/licensing/license.asmx и нажмите клавишу ENTER.

  4. На странице Ошибка сертификата: переходы блокированы щелкните ссылку Продолжить открытие этого веб-узла (не рекомендуется).

  5. В поле Пользователь наберите CPANDL\srailson. В поле Пароль наберите пароль пользователя Stuart Railson и нажмите кнопку OK.

  6. В адресной строке обозревателя щелкните панель Ошибка сертификата, затем щелкните ссылку Просмотр сертификатов.

  7. На странице Сведения о сертификате нажмите кнопку Установить сертификат.

  8. На первой странице мастера импорта сертификатов нажмите кнопку Далее.

  9. Установите переключатель в положение Поместить все сертификаты в следующее хранилище, нажмите кнопку Обзор, выберите папку Доверенные корневые центры сертификации и нажмите кнопку OK.

  10. Нажмите кнопку Далее, затем кнопку Готово.

  11. Нажмите кнопку Да в окне предупреждения о безопасности. Это предупреждение появляется потому, что используется самоподписанный сертификат.

  12. Нажмите кнопку OK диалогового окна подтверждения успешного импорта сертификата.

  13. Нажмите кнопку OK, чтобы закрыть окно сведений о сертификате.

  14. Закройте обозреватель Internet Explorer.

В заключение необходимо установить Microsoft Office Word 2007 Enterprise.

*Для установки Microsoft Office Word 2007 Enterprise выполните следующие действия:

  1. Запустите файл setup.exe с установочного компакт-диска Microsoft Office 2007 Enterprise.

  2. В окне выбора типа установки нажмите кнопку Настройка, установите для всех приложений, кроме Microsoft Office Word 2007 Enterprise, опцию Компонент недоступен и нажмите кнопку Установить. Дождитесь завершения установки Microsoft Office 2007 Enterprise.

*Важно

Только следующие выпуски Microsoft Office 2007 позволяют создавать защищенное содержимое: Ultimate, Professional Plus, Enterprise. Работать с защищенным содержимым могут любые выпуски Microsoft Office 2007.

Шаг 4. Проверка работы служб AD RMS

Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и наложите ограничения на документ Microsoft Word 2007 таким образом, чтобы пользователь Stuart Railson мог просматривать документ, но не мог редактировать, распечатывать или копировать его. Затем Вы скопируете этот документ на съемный носитель (например, на USB-накопитель) и войдете на компьютер, не подключенный к сети организации (например, на домашний компьютер). В роли такого компьютера в этом руководстве выступает компьютер ADRMS-EXCLNT, подключенный к экстрасети. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, Вы убедитесь, что данный пользователь может открыть защищенный документ с USB-накопителя.

*Примечание

Наличие USB-накопителя в данном руководстве не требуется. Документ может быть передан на компьютер, подключенный к экстрасети, любым способом, например, по электронной почте. В этом случае пользователь откроет документ из полученного электронного письма, а не с USB-накопителя.

*Для наложения ограничений на документ Microsoft Word выполните следующие действия:

  1. Войдите на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday (cpandl\nhollida).

  2. В меню Пуск раскройте меню Все программы, раскройте папку Microsoft Office и щелкните значок Microsoft Office Word 2007.

  3. Напечатайте в новом документе фразу «Проверка работы служб AD RMS», нажмите кнопку Office, откройте меню Подготовить, затем меню Ограничить разрешения и нажмите кнопку Ограниченный доступ.

  4. Установите флажок Ограничить разрешения на доступ к этому файлу документа.

  5. В поле Чтение введите srailson@cpandl.com и нажмите кнопку OK, чтобы закрыть диалоговое окно Разрешения.

  6. Нажмите кнопку Office, откройте меню Сохранить как и сохраните файл под именем ADRMS-TST.

  7. Скопируйте файл ADRMS-TST.docx на USB-накопитель.

  8. Завершите сеанс работы пользователя Nicole Holliday.

После этого откройте файл ADRMS-TST.docx с USB-накопителя на компьютере ADRMS-EXCLNT.

*Для просмотра защищенного документа выполните следующие действия:

  1. Войдите на компьютер ADRMS-EXCLNT под локальной учетной записью пользователя, который будет работать с защищенным документом.

  2. *Внимание

    После того как с документом работали на компьютере хотя бы один раз, с этим документом может работать любой другой пользователь, вошедший на компьютер под той же учетной записью.

  3. Вставьте USB-накопитель и откройте файл ADRMS-TST.docx.

  4. В поле Пользователь введите cpandl\srailson. В поле Пароль введите пароль пользователя Stuart Railson и нажмите кнопку OK.

  5. Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях».

  6. Нажмите кнопку OK.

  7. Вы увидите следующее сообщение: «Вы пытаетесь отправить сведения на узел Интернета (https://adrms-srv.cpandl.com), который находится вне зоны местных узлов, узлов интрасети и надежных узлов. Это может представлять угрозу безопасности. Вы действительно хотите отправить сведения на этот узел?»

  8. Нажмите кнопку Да.

  9. Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…»

  10. Когда документ откроется, нажмите кнопку Office. Обратите внимание, что меню Печать недоступно.

  11. В строке сообщений нажмите кнопку Просмотреть разрешения. Вы можете видеть, что пользователю srailson@cpandl.com (Stuart Railson) позволено только просматривать документ.

  12. Нажмите кнопку OK, чтобы закрыть диалоговое окно Мои разрешения. Закройте программу Microsoft Word.

Поздравляем! Вы успешно настроили и проверили работу служб AD RMS в экстрасети, используя простой сценарий – установку разрешений на документ Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.




Обсуждение статьи на форуме
Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 19.10.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.