Корпорация Майкрософт
Опубликовано: Май 2007
Автор: Брайан Лич (Brian Lich)
Редактор: Кэролин Эллер (Carolyn Eller)
Аннотация
В этом пошаговом руководстве представлены инструкции по настройке кластера служб управления правами Active Directory (Active Directory Rights Management Services, AD RMS), работающих в экстрасети под управлением ОС Windows Server® 2008. Все процедуры этого руководства будут выполняться в лабораторной среде. Для проверки работы служб в экстрасети мы попытаемся открыть защищенный документ на клиентском компьютере, не подключенном к внутренней сети организации.
Об этом руководстве
Это пошаговое руководство проведет Вас через весь процесс конфигурирования служб управления правами Active Directory (AD RMS) в лабораторной среде, включающей в себя экстрасеть. Экстрасеть является расширением сети Вашей организации, в котором часть корпоративных ресурсов доступна для доступа из внешних сетей. В этом руководстве кластер служб AD RMS охватывает сеть Интернет, что позволяет пользователям получать доступ к защищенному содержимому, даже если они не подключены к внутренней сети организации. В результате выполнения процедур, представленных в этом руководстве, Вы установите сервер Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition, настроите его на совместную работу со службами AD RMS и убедитесь, что Вы можете открыть защищенный документ на компьютере, который не подключен к внутренней сети Вашей организации.
Выполнив все процедуры, представленные в этом руководстве, Вы сможете использовать лабораторную среду AD RMS для того чтобы оценить, каким образом в Вашей организации могут быть развернуты службы AD RMS под управлением Windows Server 2008, обеспечивающие доступ к информации для пользователей экстрасети.
Следуя инструкциям данного руководства, Вы выполните следующие действия:
Установите и настроите ISA Server 2006 Standard Edition со службами AD RMS.
Проверите функциональность служб AD RMS после завершения их настройки.
Примечание
Службы AD RMS не требуют обязательного использования сервера ISA Server 2006 Standard Edition. Вместо него может быть использован любой реверсивный прокси-сервер, который может работать с TCP-портами 80 и 443. В этом пошаговом руководстве мы будем использовать сервер ISA Server 2006 Standard Edition.
Чего Вы не найдете в этом руководстве
Следующая информация не представлена в этом руководстве:
Инструкции по настройке и конфигурированию служб AD RMS в рабочей или лабораторной среде. Предполагается, что службы AD RMS уже сконфигурированы для использования в лабораторной среде. Для получения дополнительной информации о конфигурировании служб AD RMS обратитесь к статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN).
Техническая справочная информация о службах AD RMS или о продукте Microsoft ISA Server 2006 Standard Edition. Для получения дополнительной информации о сервере Microsoft ISA Server 2006 Standard Edition обратитесь к разделу ISA Server 2006 Technical Library (EN) на веб-узле Microsoft TechNet.
Развертывание служб AD RMS в лабораторной среде
Прежде чем начать выполнять процедуры, представленные в этом руководстве, мы рекомендуем Вам выполнить все шаги, описанные в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN). В общем случае любое пошаговое руководство не является всеобъемлющим документом по развертыванию компонентов ОС Windows Server® и должно использоваться по Вашему собственному усмотрению как отдельный документ.
В результате выполнения всех процедур, представленных в этом руководстве, у Вас в распоряжении окажется работающая лабораторная среда, настроенная на работу в экстрасети. Вы сможете проверить работоспособность служб AD RMS в экстрасети, установив разрешения для документа Microsoft Office Word 2007, а затем, попытавшись открыть его на клиентском компьютере, не подключенном к сети организации.
Лабораторная среда, описываемая в этом руководстве, включает в себя шесть компьютеров, сконфигурированных в соответствии с приведенной ниже таблицей:
Примечание
Также Вам понадобится USB-накопитель или другой носитель информации, с помощью которого Вы сможете копировать файлы между клиентскими компьютерами служб AD RMS, подключенными к внутренней сети организации и к экстрасети.
Имя компьютера |
Операционная система |
Приложения и службы |
ADRMS-SRV |
Windows Server 2008 |
AD RMS, Internet Information Services (IIS) 7.0, Message Queuing, Windows Internal Database |
CPANDL-DC |
Windows Server 2003 с пакетом обновлений Service Pack 1 (SP1) |
Active Directory, Domain Name System (DNS) |
ADRMS-DB |
Windows Server 2003 с пакетом обновлений SP1 |
Microsoft SQL Server™ 2005 Standard Edition |
ISA-SRV |
Windows Server 2003 с пакетом обновлений SP1 Примечание На этом компьютере должны быть установлены два сетевых адаптера, чтобы сервер ISA Server 2006 мог различать публичный и частный IP-адреса |
Microsoft ISA Server 2006 Standard Edition |
ADRMS-CLNT |
Windows Vista™ |
Microsoft Office Word 2007 Enterprise Edition |
ADRMS-EXCLNT |
Windows Vista |
Microsoft Office Word 2007 Enterprise Edition |
Первые пять компьютеров из вышеприведенной таблицы подключены к частной интрасети через общий концентратор или коммутатор второго уровня. Кроме того, на компьютере ISA-SRV установлен второй сетевой адаптер, доступный из сети Интернет. Это позволяет серверу ISA Server принимать запросы из Интернета и пересылать их к серверу служб AD RMS. Компьютер ADRMS-EXCLNT не входит в ту же сеть, что и остальные компьютеры. При желании такую конфигурацию можно создать в виртуальной среде Virtual Server.
В лабораторной среде, описанной в этом руководстве, используются частные IP-адреса. Для интрасети используется диапазон частных адресов 10.0.0.0/24. Домен имеет имя cpandl.com, а контроллером домена является компьютер CPANDL-DC. Компьютер ADRMS-EXCLNT имеет IP-адрес 10.0.100.2/24, выполняя роль клиентского компьютера, подключенного к экстрасети. На следующем рисунке изображена конфигурация лабораторной среды:
Примечание
В рабочей среде внешним адресом сервера ISA Server должен являться IP-адрес, доступный из сети Интернет. Это необходимо для того, чтобы пользователи экстрасети имели возможность получать доступ к защищенному содержимому.
Шаг 1. Конфигурирование служб AD RMS для работы в экстрасети
В дополнение к действиям, выполненным в статье Пошаговое руководство по работе со службами Active Directory Rights Management Services в ОС Windows Server (EN), Вы также должны выполнить следующие действия:
Настроить URL-адрес кластера экстрасети служб AD RMS в консоли Active Directory Rights Management Services.
Выполнить на компьютере ADRMS-SRV экспорт сертификата проверки подлинности сервера, включая закрытый ключ. Этот сертификат будет помещен в личное хранилище сертификатов на компьютере ISA-SRV.
Для того чтобы пользователи, не подключенные к внутренней сети Вашей организации, могли получать доступ к защищенному содержимому, Вы должны указать URL-адреса кластера экстрасети служб AD RMS. Эти URL-адреса включены в сертификат лицензирования клиента (Client Licensor Certificate, CLC) служб AD RMS и опубликованы вместе с защищенным содержимым. Эти URL-адреса должны быть доступны для всех компьютеров из сети Интернет.
Примечание
Вы сможете устанавливать защиту содержимого только после того, как укажете URL-адреса кластера экстрасети служб AD RMS. Если у Вас уже имеется защищенное содержимое, то на клиентский компьютер служб AD RMS Вы должны установить новый сертификат лицензирования клиента, содержащий URL кластера экстрасети.
Настройка URL-адресов кластера экстрасети служб AD RMS выполняется с помощью консоли Active Directory Rights Management Services. Для выполнения этой задачи следуйте нижеприведенным инструкциям.
Для настройки URL-адресов кластера экстрасети служб AD RMS выполните следующие действия:
|
Следующим шагом является экспорт сертификата проверки подлинности сервера и его закрытого ключа с компьютера ADRMS-SRV. Это необходимо для того, чтобы компьютер ISA-SRV мог передавать HTTPS-запросы от компьютера ADRMS-EXCLNT кластеру служб AD RMS.
Для экспорта сертификата проверки подлинности сервера и его закрытого ключа с компьютера ADRMS-SRV выполните следующие действия:
|
Шаг 2. Установка и настройка компьютера ISA-SRV
ISA Server 2006 Standard Edition представляет собой межсетевой экран с интегрированными сервисами, который может использоваться для ограничения доступа к кластеру экстрасети служб AD RMS из сети Интернет. ISA Server обрабатывает все запросы, поступающие из сети Интернет к кластеру служб AD RMS, и при необходимости передает их указанному кластеру.
Чтобы установить ISA Server 2006 Standard Edition и настроить его для совместного использования со службами AD RMS, Вы должны выполнить следующие процедуры:
Настройка сервера ISA Server на компьютере ISA-SRV
Сначала Вам необходимо установить операционную систему Windows Server 2003 на изолированный сервер.
Для установки операционной системы Windows Server 2003 Standard Edition выполните следующие действия:
|
Следующим шагом необходимо настроить свойства протокола TCP/IP. Для первого сетевого адаптера компьютера ISA-SRV задайте статический IP-адрес 10.0.0.5, и в качестве IP-адреса предпочитаемого DNS-сервера укажите адрес 10.0.0.1. Для второго сетевого адаптера задайте статический IP-адрес 10.0.100.1.
Для установки свойств протокола TCP/IP на компьютере ISA-SRV выполните следующие действия:
|
Следующим шагом необходимо присоединить компьютер ISA-SRV к домену cpandl.com.
Для присоединения компьютера ISA-SRV к домену cpandl.com выполните следующие действия:
|
Следующим шагом необходимо импортировать сертификат проверки подлинности сервера, содержащий закрытый ключ, в хранилище доверенных центров сертификации компьютера ISA-SRV.
Для импорта сертификата проверки подлинности в хранилище компьютера ISA-SRV выполните следующие действия:
|
В заключение необходимо установить ISA Server 2006 Standard Edition.
Для установки сервера ISA Server 2006 Standard Edition на компьютер ISA-SRV выполните следующие действия:
|
Публикация кластера служб AD RMS в экстрасети
Для работы ISA Server 2006 Standard Edition необходимо настроить веб-прослушиватель на использование определенного порта. В этом руководстве используется безопасный TCP-порт 443 (SSL) с целью защитить передачу данных между клиентскими компьютерами и сервером ISA Server. В этом разделе веб-узел служб AD RMS будет опубликован на сервере ISA Server. Этот процесс состоит из следующих этапов:
Публикация URL-адреса кластера экстрасети служб AD RMS на сервере ISA Server.
Установка разрешений для ISA Server на передачу учетных данных пользователя непосредственно на сервер служб AD RMS.
Поскольку в этом руководстве для кластера AD RMS используется самоподписанный сертификат, Вы должны переместить его из хранилища личных сертификатов в хранилище сертификатов доверенных корневых издателей.
Сначала необходимо опубликовать кластер служб AD RMS на компьютере ISA-SRV.
Для публикации кластера AD RMS на сервере ISA Server 2006 Standard Edition выполните следующие действия:
|
В заключение необходимо переместить сертификат проверки подлинности сервера из хранилища личных сертификатов в хранилище сертификатов доверенных корневых издателей на сервере ADRMS-SRV.
Для перемещения сертификата проверки подлинности сервера ADRMS-SRV выполните следующие действия:
|
Шаг 3. Настройка клиентского компьютера служб AD RMS, подключенного к экстрасети
Для настройки клиента служб AD RMS (компьютер ADRMS-EXCLNT), Вам необходимо установить на него операционную систему Windows Vista, настроить свойства протокола TCP/IP, создать запись в локальном файле HOSTS, импортировать сертификат проверки подлинности сервера ADRMS-SRV и установить приложения, которые могут работать со службами AD RMS. В этом руководстве в качестве такого приложения будет использоваться Microsoft Office Word 2007.
Для установки операционной системы Windows Vista выполните следующие действия:
|
Следующим шагом необходимо настроить свойства протокола TCP/IP. Для сетевого адаптера компьютера ADRMS-EXCLNT задайте статический IP-адрес 10.0.100.2.
Для установки свойств протокола TCP/IP на компьютере ADRMS-EXCLNT выполните следующие действия
|
В этом руководстве используется лабораторная среда без внешнего DNS-сервера. Для того чтобы URL-адреса кластера экстрасети могли быть преобразованы в соответствующие IP-адреса, Вы должны вручную создать запись в файле HOSTS для сервера ISA-SRV.
Примечание
В рабочей среде этот шаг выполнять не требуется, поскольку Интернет-провайдер клиента предоставляет услуги внешнего DNS-сервера.
Для создания записи URL-адреса кластера AD RMS в файле HOSTS выполните следующие действия:
Примечание Чтобы увидеть файл HOSTS в папке «etc», Вы должны выбрать значение Все файлы в раскрывающемся списке, расположенном над кнопкой Открыть. |
Следующим шагом необходимо импортировать сертификат проверки подлинности сервера ADRMS-SRV в хранилище доверенных корневых центров сертификации на компьютере ADRMS-EXCNT. Этот шаг необходимо выполнить только в случае использования самоподписанного сертификата. Сертификат, использующийся в рабочей среде, должен быть одобрен центром сертификации.
Для импорта сертификата проверки подлинности сервера на компьютере ADRMS-EXCLNT выполните следующие действия:
|
В заключение необходимо установить Microsoft Office Word 2007 Enterprise.
Для установки Microsoft Office Word 2007 Enterprise выполните следующие действия:
|
Важно
Только следующие выпуски Microsoft Office 2007 позволяют создавать защищенное содержимое: Ultimate, Professional Plus, Enterprise. Работать с защищенным содержимым могут любые выпуски Microsoft Office 2007.
Шаг 4. Проверка работы служб AD RMS
Для проверки работы настроенных служб AD RMS Вы войдете на компьютер ADRMS-CLNT под учетной записью пользователя Nicole Holliday и наложите ограничения на документ Microsoft Word 2007 таким образом, чтобы пользователь Stuart Railson мог просматривать документ, но не мог редактировать, распечатывать или копировать его. Затем Вы скопируете этот документ на съемный носитель (например, на USB-накопитель) и войдете на компьютер, не подключенный к сети организации (например, на домашний компьютер). В роли такого компьютера в этом руководстве выступает компьютер ADRMS-EXCLNT, подключенный к экстрасети. После того как Вы войдете на компьютер ADRMS-EXCLNT под учетной записью пользователя Stuart Railson, Вы убедитесь, что данный пользователь может открыть защищенный документ с USB-накопителя.
Примечание
Наличие USB-накопителя в данном руководстве не требуется. Документ может быть передан на компьютер, подключенный к экстрасети, любым способом, например, по электронной почте. В этом случае пользователь откроет документ из полученного электронного письма, а не с USB-накопителя.
Для наложения ограничений на документ Microsoft Word выполните следующие действия:
|
После этого откройте файл ADRMS-TST.docx с USB-накопителя на компьютере ADRMS-EXCLNT.
Для просмотра защищенного документа выполните следующие действия:
Внимание После того как с документом работали на компьютере хотя бы один раз, с этим документом может работать любой другой пользователь, вошедший на компьютер под той же учетной записью. Вы увидите следующее сообщение: «Разрешения на доступ к файлу документа в настоящий момент ограничены. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях». Вы увидите следующее сообщение: «Вы пытаетесь отправить сведения на узел Интернета (https://adrms-srv.cpandl.com), который находится вне зоны местных узлов, узлов интрасети и надежных узлов. Это может представлять угрозу безопасности. Вы действительно хотите отправить сведения на этот узел?» Вы увидите следующее сообщение: «Проверка указанных при входе сведений для сохранения содержимого с ограниченными разрешениями…» |
Поздравляем! Вы успешно настроили и проверили работу служб AD RMS в экстрасети, используя простой сценарий – установку разрешений на документ Microsoft Word 2007. Вы можете использовать существующую лабораторную среду для изучения остальных возможностей служб AD RMS, производя дополнительные настройки и выполняя необходимые Вам действия.
Обсуждение статьи на форуме