在多林环境中部署ADRMS循序渐进指南.docx

在多林环境中部署 AD RMS 循序渐进指南更新时间: 2008年2月应用到: Windows Server 2008, Windows Server 2008 R2关于本指南本循序渐进指南将引导您完成在测试环境中设置两项正常工作的 Active Directory 权限管理服务 (AD RMS) 基础结构的过程。特别是，本指南将着重讲述在两种不同的 Active Directory 林中实施 AD RMS 的方法，然后设置 AD RMS 受信任的用户域，使两个林中的用户可以交换受权限保护的信息。在本指南中，您将创建包括以下组件的测试部署： 两台 AD RMS 服务器 两台 AD RMS 数据库服务器 两个 AD RMS 客户端 两个 Active Directory 域控制器 本指南假定您以前阅读过“Windows Server Active Directory Rights Management Services 循序渐进指南”(/fwlink/?LinkId=72134)，并且已部署下列组件： AD RMS 服务器 AD RMS 数据库服务器 一台启用 AD RMS 的客户端 一台 Active Directory 域控制器本指南未提供的内容本指南未提供以下内容： AD RMS 概述。有关 AD RMS 可以为您的组织带来好处的详细信息，请参阅 /fwlink/?LinkId=84726。 将联合身份验证与 AD RMS 配合使用指南。有关此问题的指南，请参阅“将联合身份验证与 Active Directory Rights Management Services 配合使用的循序渐进指南”(/fwlink/?LinkId=72135)。 在生产环境中设置和配置 AD RMS 的指南。 AD RMS 的完整技术参考。建议您首先在测试实验室环境中执行本指南中提供的步骤。不一定必须使用循序渐进指南才能部署 Windows Server 功能，而不使用其他部署文档，应将其作为独立的文档谨慎使用。完成本指南后，您将拥有配置了受信任的用户域的两个正常工作的 AD RMS 基础结构。然后，可以测试和验证 AD RMS 和 AD FS 功能，如下所示： 限制对 CPANDL.COM 域中 Microsoft Word 2007 文档的权限。 打开 TREYRESEARCH.NET 域中的已授权用户并使用该文档。本指南中描述的测试环境包括八台计算机，它们已连接到专用网络，并且使用下列操作系统、应用程序和服务：计算机名称 操作系统 应用程序和服务 ADRMS-SRVTREY-ADRMSWindows Server 2008AD RMS、Internet Information Services (IIS) 7.0、万维网发布服务和消息队列CPANDL-DCTREY-DCWindows Server 2003 Service Pack 2 (SP2) 或 Windows Server 2008备注 可以使用运行 Windows 2000 Server Service Pack 4 的域控制器。但是，在本循序渐进指南中，假设您使用的域控制器运行的是 Windows Server 2003 SP2 或 Windows Server 2008。 Active Directory，域名系统 (DNS)ADRMS-DBTREY-DBWindows Server 2003 SP2Microsoft SQL Server 2005 Standard Edition Service Pack 2 (SP2)ADRMS-CLNTADRMS-CLNT2Windows VistaMicrosoft Office Word 2007 Enterprise Edition备注 在安装和配置本指南中的组件之前，应该验证您的硬件是否满足 AD RMS 的最低要求 (/fwlink/?LinkId=84733)。 这些计算机构成了两个专用 Intranet，且通过常用集线器或第 2 层交换机进行连接。如果需要，可以在虚拟服务器环境中模拟此配置。此循序渐进练习在整个测试实验室配置中使用的是专用地址。为 Intranet 使用专用网络 ID /24。名为 的域的域控制器是 CPANDL-DC，名为 的域的域控制器是 TREY-DC。下图显示了测试环境的配置：第 1 步：设置 Trey Research 域更新时间: 2008年2月应用到: Windows Server 2008, Windows Server 2008 R2Trey Research 基础结构中包含安装 AD RMS 需要的所有组件。在此步骤中，您将安装构成 Trey Research 域所需的计算机： 配置域控制器 (TREY-DC) 创建用户帐户和组 配置 AD RMS 数据库服务器 (TREY-DB) 配置 AD RMS 根群集计算机 (TREY-ADRMS) 配置 AD RMS 客户端计算机 (ADRMS-CLNT2) 设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置时，请将下表用作参考。重要事项 在为计算机配置静态 Internet 协议 (IP) 地址之前，建议您在每台计算机仍然具有 Internet 连接时首先完成 Windows 产品激活。 计算机名称 操作系统要求 IP 设置 DNS 设置 TREY-DCWindows Server 2003 Service Pack 2 (SP2) 或 Windows Server 2008IP 地址：0子网掩码：由 DNS 服务器角色配置。TREY-ADRMSWindows Server 2008 Enterprise 或 Windows Server 2003 R2 Enterprise Edition SP2IP 地址：3子网掩码：首选：0TREY-DBWindows Server 2003 SP2IP 地址：4子网掩码：首选：0ADRMS-CLNT2Windows VistaIP 地址2子网掩码：首选：0配置域控制器 (TREY-DC)根据您的环境，可以选择在 Windows Server 2008 域或 Windows Server 2003 域中评估 AD RMS。根据所用的域使用以下两部分内容之一。 配置基于 Windows Server 2003 的域控制器 配置基于 Windows Server 2008 的域控制器 配置基于 Windows Server 2003 的域控制器若要配置域控制器 TREY-DC，必须安装 Windows Server 2003，配置 TCP/IP 属性，安装 Active Directory，并将 Active Directory 域功能级别提升到 Windows Server 2003。首先，在 TREY-DC 计算机上安装 Windows Server 2003 SP2。安装 Windows Server 2003 Standard Edition 的步骤1. 使用 Windows Server 2003 产品 CD 启动计算机。（除 Web Edition 外，可以使用任何版本的 Windows Server 2003 建立域。）2. 请按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，键入 TREY-DC。在此步骤中，配置 TCP/IP 属性，使 TREY-DC 的静态 IP 地址为 0。配置 TREY-DC 上的 TCP/IP 属性的步骤1. 使用 TREY-DCAdministrator 帐户登录到 TREY-DC。2. 单击开始，依次指向“控制面板”和“网络连接”，单击“本地连接”，然后单击“属性”。3. 在“常规”选项卡上，单击“Internet 协议(TCP/IP)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”选项。在“IP 地址”框中，键入 0。在“子网掩码”框中，键入 。5. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。安装 Active Directory在本步骤中，您将为 Trey Research 创建域控制器。在尝试安装 Active Directory 之前，首先配置上表中指定的 IP 地址至关重要。这有助于确保正确配置 DNS 记录。将 TREY-DC 配置为域控制器的步骤1. 单击开始，然后单击“运行”。在“打开”框中，键入 dcpromo，然后单击“确定”。2. 在 Active Directory 安装向导的“欢迎”页上，单击“下一步”。3. 单击“下一步”，单击“新域的域控制器”选项，然后单击“下一步”。4. 单击“在新林中的域”选项，然后单击“下一步”。5. 在“新域的完整 DNS 名称”中，键入 ，然后单击“下一步”。6. 在“域 NetBIOS 名称”中，键入 treyresearch，然后单击三次“下一步”。7. 单击“在此计算机上安装和配置 DNS 服务器并将此计算机设置为将此 DNS 服务器用作首选 DNS 服务器”选项，然后单击“下一步”。8. 单击“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”选项，然后单击“下一步”。9. 在“还原模式密码”和“确认密码”框中，键入强密码，然后单击“下一步”。10. 单击“下一步”。11. Active Directory 安装向导完成后，单击“完成”。12. 单击“立即重新启动”。将域功能级别提升至 Windows Server 2003在此步骤中，将 Active Directory 域功能级别提升至 Windows Server 2003。此功能级别允许使用 Active Directory 通用组。将域功能级别提升至 Windows Server 2003 的步骤1. 使用 TREYRESEARCHAdministrator 帐户登录到 TREY-DC。2. 单击开始，指向“管理工具”，然后单击“Active Directory 用户和计算机”。3. 右键单击 ，然后单击“提升域功能级别”。4. 在“选择一个可用的域功能级别”下的列表中，单击 Windows Server 2003，然后单击“提升”。备注 提升域功能级别后，您将无法更改它。 5. 单击“确定”，然后再次单击“确定”。配置 DNS 转发器在本指南中，DNS 转发器用于将在 域中无法解析的 DNS 请求转发到 域，反之亦然。在基于 Windows Server 2003 的计算机上配置 DNS 转发器的步骤1. 使用 TREYRESEARCHAdministrator 帐户登录到 TREY-DC。2. 单击开始，指向“管理工具”，然后单击 DNS。3. 右键单击 TREY-DC，然后单击“属性”。4. 单击“转发器”选项卡。5. 在“所选域的转发器的 IP 地址列表”部分，键入 ，然后单击“添加”。6. 单击“确定”。配置基于 Windows Server 2008 的域控制器若要配置域控制器 TREY-DC，则必须安装 Windows Server 2008，配置 TCP/IP 属性，并安装 Active Directory 域服务。首先，请安装 Windows Server 2008。安装 Windows Server 2008 的步骤1. 使用 Windows Server 2008 产品 CD 启动计算机。2. 请按照屏幕上显示的说明操作，当系统提示输入计算机名称时，键入 TREY-DC。下一步，配置 TCP/IP 属性，使 TREY-DC 具有 IPv4 静态 IP 地址 0。配置 TREY-DC 上的 TCP/IP 属性的步骤1. 使用 TREY-DCAdministrator 帐户登录到 TREY-DC。2. 依次单击开始、“控制面板”、“网络和 Internet”、“网络和共享中心”、“管理网络连接”，右键单击“本地连接”，然后单击“属性”。3. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”选项。在“IP 地址”中，键入 0，并在“子网掩码”中，键入 。5. 单击“使用下面的 DNS 服务器地址”选项。在“首选 DNS 服务器”中，键入 0，然后单击“确定”。6. 在“网络”选项卡上，清除“Internet 协议版本 6 (TCP/IPv6)”复选框。7. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。安装 Active Directory 域服务在本步骤中，您将为 Trey Research 创建域控制器。在尝试安装 Active Directory 域服务 (AD DS) 之前，首先配置上一过程中指定的 IP 地址至关重要。这有助于确保正确配置 DNS 记录。将 TREY-DC 配置为域控制器的步骤1. 单击开始，然后单击“运行”。 2. 在“打开”框中，键入 dcpromo，然后单击“确定”。3. 在“欢迎使用 Active Directory 域服务安装向导”页上，单击“下一步”。4. 单击“新域的域控制器”选项，然后单击“下一步”。5. 单击“在新林中新建域”选项，然后单击“下一步”。6. 在“目录林根级域的 FQDN”框中，键入 ，然后单击“下一步”。7. 在“林功能级别”框中，单击 Windows Server 2003，然后单击“下一步”。8. 在“域功能级别”框中，单击 Windows Server 2003，然后单击“下一步”。9. 确保选中“DNS 服务器”复选框，然后单击“下一步”。10. 单击“是”，确认要为此 DNS 服务器创建委派。11. 在“数据库、日志文件和 SYSVOL 的位置”页面上，单击“下一步”。12. 在“密码”和“确认密码”框中，键入一个强密码，然后单击“下一步”。13. 在“摘要”页中，单击“下一步”开始安装。14. 安装完成后，单击“完成”，然后单击“立即重新启动”。备注 完成上述步骤后，必须重新启动计算机。 配置 DNS 转发器在本指南中，DNS 转发器用于将在 域中无法解析的 DNS 请求转发到 域，反之亦然。配置 DNS 转发器的步骤1. 使用 TREYRESEARCHAdministrator 帐户或本地管理员组中的其他用户帐户登录到 TREY-DC。2. 单击开始，指向“管理工具”，然后单击 DNS。3. 右键单击 TREY-DC，然后单击“属性”。4. 单击“转发器”选项卡。5. 单击“编辑”。6. 键入 ，然后单击“确定”。7. 单击“确定”关闭属性表。创建用户帐户和组在本节中，将在 TREYRESEARCH 域中创建用户帐户和组。首先，将下表中显示的用户帐户添加到 Active Directory 或 AD DS。使用该表后面的步骤创建用户帐户。帐户名 用户登录名 电子邮件地址 ADRMSADMINADRMSADMINADRMSSRVCADRMSSRVCTerrence P将新用户帐户添加到 TREYRESEARCH 域中的步骤1. 使用 TREYRESEARCHAdministrator 帐户登录到 TREY-DC。2. 单击开始，指向“管理工具”，然后单击“Active Directory 用户和计算机”。3. 在控制台树中，展开 。4. 右键单击“用户”，指向“新建”，然后单击“用户”。5. 在“新建对象 用户”对话框中，在“全名”和“用户登录名”中键入 ADRMSADMIN，然后单击“下一步”。 6. 在“新建对象 - 用户”对话框中，键入在“密码”和“确认密码”框中选择的密码。清除“用户下次登录时须更改密码”复选框，单击“下一步”，然后单击“完成”。7. 为 ADRMSSRVC 和 Terrence Philip (tphilip) 执行步骤 3-6。下一步，为 Terrence Philip 添加电子邮件地址。为用户帐户添加电子邮件地址的步骤1. 在“Active Directory 用户和计算机”控制台中，右键单击 Terrence Philip，单击“属性”，在“电子邮件”框中，键入 ，然后单击“确定”。2. 关闭“Active Directory 用户和计算机”控制台。创建用户帐户之后，应该创建以 Terrence Philip 为成员的 Active Directory 通用组。下表列出了应添加到 Active Directory 的通用组。使用表后的步骤创建通用组。组名 电子邮件地址 E将新组对象添加到 Active Directory 的步骤1. 在“Active Directory 用户和计算机”控制台中，右键单击“用户”，指向“新建”，然后单击“组”。2. 在“新建对象 - 组”对话框中，在“组名”中键入 Employees，单击“通用”选项作为“组作用域”，然后单击“确定”。下一步，为 Trey Research Employees 组添加电子邮件地址：为组对象添加电子邮件地址的步骤1. 在“Active Directory 用户和计算机”控制台中，双击“用户”，右键单击 Employees，然后单击“属性”。2. 在“电子邮件”框中键入 ，然后单击“确定”。最后，按照以下步骤将 Terrence Philip 添加到 Employees 组：将 Terence Philip 添加到 Employees 组的步骤1. 在“Active Directory 用户和计算机”控制台中，双击“用户”，然后双击 Employees。2. 单击“成员”，然后单击“添加”。3. 键入 ，然后单击“确定”。4. 关闭“Active Directory 用户和计算机”控制台。配置 AD RMS 数据库服务器 (TREY-DB)首先，在将承载 AD RMS 数据库的计算机上安装 Windows Server 2003。安装 Windows Server 2003 Standard Edition 的步骤1. 使用 Windows Server 2003 产品 CD 启动计算机。（除 Web Edition 外，可以使用任何版本的 Windows Server 2003 建立域。）2. 请按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，键入 TREY-DB。在此步骤中，将配置 TCP/IP 属性，使 TREY-DB 具有静态 IP 地址 4。在 ADRMS-DB 上配置 TCP/IP 属性的步骤1. 使用 TREY-DBAdministrator 帐户登录到 TREY-DB。2. 单击开始，依次指向“控制面板”和“网络连接”，单击“本地连接”，然后单击“属性”。3. 在“常规”选项卡上，单击“Internet 协议(TCP/IP)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”选项。在“IP 地址”框中，键入 4。在“子网掩码”框中，键入 。5. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。下一步，将 AD RMS 数据库服务器 (TREY-DB) 计算机加入到 TREYRESEARCH 域：将 ADRMS-DB 加入 TREYRESEARCH 域的步骤1. 单击开始，右键单击“我的电脑”，然后单击“属性”。2. 单击“计算机名称”选项卡，然后单击“更改”。3. 在“计算机名更改”对话框中，选择“域”选项，然后键入 。4. 单击“详细信息”，然后在“此计算机的主 DNS 后缀”框中键入 。5. 单击“确定”两次。6. 当出现“计算机名更改”对话框提示您输入管理凭据时，请提供 TREYRESEARCHAdministrator 的凭据，然后单击“确定”。7. 当出现“计算机名更改”对话框欢迎您进入 域时，单击“确定”。8. 当出现“计算机名更改”对话框提示必须重新启动计算机时，单击“确定”，然后再次单击“确定”。9. 单击“是”重新启动计算机。下一步，安装 Microsoft SQL Server 2005 Standard Edition：安装 Microsoft SQL Server 2005 的步骤1. 使用 TREYRESEARCHAdministrator 帐户登录到 TREY-DB。2. 插入 Microsoft SQL Server 2005 产品 CD。将自动开始安装。3. 单击“我接受许可条款和条件”复选框，然后单击“下一步”。4. 在“安装必备组件”页上，单击“安装”。5. 单击“下一步”。6. 在“欢迎使用 Microsoft SQL Server 安装向导”页上，单击“下一步”，然后再次单击“下一步”。7. 在“姓名”框中，键入您的姓名。在“公司”框中，键入组织的名称，然后键入相应的产品密钥。单击“下一步”。8. 选中“SQL Server 数据库服务”、“工作站组件、联机丛书和开发工具”复选框，然后单击“下一步”。9. 选择“默认实例”选项，然后单击“下一步”。10. 单击“使用内置系统帐户”选项，然后单击“下一步”。11. 选择“Windows 身份验证模式”选项，然后单击“下一步”。12. 单击“下一步”，接受默认“排序规则设置”，然后再次单击“下一步”。13. 单击“安装”。当选定组件的状态均为已完成时，单击“下一步”。14. 单击“完成”。下一步，将 ADRMSADMIN 添加到 TREY-DB 上的本地管理员组。AD RMS 安装用户帐户需要使用该成员身份才能创建 AD RMS 数据库。安装 AD RMS 后，可以从该组中删除 ADRMSADMIN。将 ADRMSADMIN 添加到本地 Administrators 组的步骤1. 单击开始，指向“管理工具”，然后单击“计算机管理”。2. 展开“系统工具”，再展开“本地用户和组”，然后单击“组”。3. 右键单击 Administrators，单击“添加到组”，再单击“添加”，在“输入要选择的对象名称(示例)”框中键入 ADRMSADMIN，然后单击“确定”。4. 单击“确定”，然后关闭“计算机管理”。配置 AD RMS 根群集计算机 (TREY-ADRMS)在本节中，将安装 AD RMS 根群集计算机并添加 AD RMS 角色。安装 AD RMS 根群集计算机若要配置 AD RMS 根群集计算机 TREY-ADRMS，必须安装 Windows Server 2008，配置 TCP/IP 属性，然后将 TREY-ADRMS 加入到域 。还必须将帐户 ADRMSADMIN 作为成员添加到本地管理员组，以便管理员能够使用 ADRMSADMIN 帐户在 TREY-ADRMS 上安装 AD RMS。 首先，安装 Windows Server 2008 作为独立服务器。安装 Windows Server 2008 的步骤1. 使用 Windows Server 2008 产品 CD 启动计算机。2. 当提示输入计算机名称时，键入 TREY-ADRMS。3. 请按照屏幕上显示的其他说明完成安装。下一步，配置 TCP/IP 属性，以便 TREY-ADRMS 具有静态 IP 地址 3。此外，还要使用 TREY-DC 的 IP 地址 (0) 配置 DNS 服务器。配置 TCP/IP 属性的步骤1. 使用 TREY-ADRMSAdministrator 帐户或本地管理员组中的其他用户帐户登录到 ADRMS-SRV。2. 单击开始，单击“控制面板”，双击“网络和共享中心”，单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。3. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”选项。在“IP 地址”中，键入 3。在“子网掩码”中，键入 。5. 单击“使用下面的 DNS 服务器地址”选项。在“首选 DNS 服务器”中，键入 0。6. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。下一步，将 TREY-ADRMS 加入到 域。将 TREY-ADRMS 加入到 域的步骤1. 单击开始，右键单击“计算机”，然后单击“属性”。2. 单击“更改设置”（位于“计算机名称、域和工作组设置”的右下方），然后单击“更改”。3. 在“计算机名/域更改”对话框中，选择“域”选项，然后键入 。4. 单击“详细信息”，在“此计算机的主 DNS 后缀”框中键入 。5. 单击“确定”，然后再次单击“确定”。6. 当出现“计算机名/域更改”对话框，提示输入管理凭据时，请提供 TREYRESEARCHAdministrator 的凭据，然后单击“确定”。7. 当出现“计算机名/域更改”对话框欢迎您进入 域时，单击“确定”。8. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。9. 单击“立即重新启动”。重新启动计算机后，将 ADRMSADMIN 添加到 TREY-ADRMS 上的本地管理员组中。将 ADRMSADMIN 添加到本地 Administrators 组的步骤1. 使用 TREYRESEARCHAdministrator 帐户登录到 TREY-ADRMS。2. 依次单击开始、“管理工具”和“计算机管理”。3. 展开“系统工具”，再展开“本地用户和组”，然后单击“组”。4. 右键单击 Administrators，单击“添加到组”，再单击“添加”，在“输入要选择的对象名称(示例)”框中键入 ADRMSADMIN，然后单击“确定”。5. 单击“确定”，然后关闭“计算机管理”。将 AD RMS 服务器角色添加到 TREY-ADRMSWindows Server 2008 包括通过 服务器管理器 将 AD RMS 安装为服务器角色的选项。AD RMS 的安装和配置都通过 服务器管理器 进行处理。AD RMS 环境中的第一个服务器是根群集。AD RMS 根群集由负载平衡环境中配置的一个或多个 AD RMS 服务器组成。在本部分中，您将在 域中安装和配置单台服务器 AD RMS 根群集。注册 AD RMS 服务连接点 (SCP) 要求进行安装的用户帐户是 Active Directory 企业管理员组的成员。 重要事项 只能在安装 AD RMS 时授予对企业管理员组的访问权限。安装完成后，应该将 TREYRESEARCHADRMSADMIN 帐户从此组中删除。 将 ADRMSADMIN 添加到企业管理员组的步骤1. 使用 treyresearchAdministrator 帐户登录到 TREY-DC。2. 单击开始，指向“管理工具”，然后单击“Active Directory 用户和计算机”。3. 在控制台树中，展开 ，双击“用户”，然后双击“企业管理员”。4. 单击“成员”选项卡，然后单击“添加”。5. 键入 ，然后单击“确定”。安装 AD RMS 并将其配置为根群集。添加 AD RMS 服务器角色的步骤1. 以 treyresearchADRMSADMIN 身份登录到 TREY-ADRMS。2. 单击开始，指向“管理工具”，然后单击“服务器管理器”。3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。4. 在“角色摘要”框中，单击“添加角色”。此时将打开“添加角色向导”。5. 阅读“开始之前”部分，然后单击“下一步”。6. 在“选择服务器角色”页上，选中 Active Directory Rights Management Services 复选框。7. 此时会出现“角色服务”页，告知您 AD RMS 依赖的角色服务和功能。请确保列出了 Web 服务器 (IIS)、Windows Process Activation Service (WPAS) 和消息队列，然后单击“添加必需的角色服务”。单击“下一步”。 8. 阅读 AD RMS 简介页，然后单击“下一步”。9. 在“选择角色服务”页中，确认已选中了“Active Directory 权限管理服务器”复选框，然后单击“下一步”。10. 单击“新建 AD RMS 群集”选项，然后单击“下一步”。11. 单击“使用其他数据库服务器”选项。12. 单击“选择”，在“选择计算机”对话框中键入 TREY-DB，然后单击“确定”。13. 在“数据库实例”中，单击“默认”，然后单击“验证”。14. 单击“下一步”。15. 单击“指定”，键入 TREYRESEARCHADRMSSRVC，键入帐户密码，单击“确定”，然后单击“下一步”。16. 确保选择了“使用 AD RMS 集中管理的密钥存储”选项，然后单击“下一步”。17. 在“密码”框和“确认密码”框中键入强密码，然后单击“下一步”。18. 选择要在其中安装 AD RMS 的网站，然后单击“下一步”。在使用默认设置的安装中，唯一可用的网站应该是“默认网站”。19. 单击“使用 SSL 加密的连接(https:/)”选项。20. 在“完全限定的域名”框中，键入 ，然后单击“验证”。如果验证成功，“下一步”按钮将可用。单击“下一步”。21. 单击“为 SSL 加密选择现有证书”选项，单击已为该 AD RMS 群集导入的证书，然后单击“下一步”。 22. 在“友好名称”框中键入有助于标识 AD RMS 群集的名称，然后单击“下一步”。23. 确保选择了“立即注册 AD RMS 服务连接点”选项，然后单击“下一步”即可在安装期间在 Active Directory 中注册 AD RMS 服务连接点 (SCP)。24. 阅读“Web 服务器简介(IIS)”页，然后单击“下一步”。25. 保留 Web 服务器默认复选框选择，然后单击“下一步”。26. 单击“安装”在计算机上设置 AD RMS。可能需要多达 60 分钟才能完成安装。27. 单击“关闭”。28. 注销该服务器，然后重新登录以更新已登录用户帐户的安全令牌。在安装 AD RMS 服务器角色时登录的用户帐户会自动成为 AD RMS 企业管理员本地组的成员。用户必须是该组的成员，才能管理 AD RMS。备注 此时，便可以从 TREY-DB 上的本地管理员组中将 treyresearchADRMSADMIN 删除。 现在，已经安装并配置了 AD RMS 根群集。 配置 AD RMS 客户端计算机 (ADRMS-CLNT2)若要配置 TREYRESEARCH 域中的 ADRMS-CLNT2 客户端计算机，您必须安装 Windows Vista，配置 TCP/IP 属性，然后将该计算机加入 TREYRESEARCH 域。还必须安装启用了 AD RMS 的应用程序。在本例中，Microsoft Office Word 2007 Enterprise Edition 已安装到客户端。安装 Windows Vista1. 使用 Windows Vista 产品 CD 启动计算机。2. 请按照屏幕上显示的说明操作，当系统提示输入计算机名称时，键入 ADRMS-CLNT2。下一步，配置 TCP/IP 属性，使 ADRMS-CLNT2 的静态 IP 地址为 2。此外，还要配置 TREY-DC 的 DNS 服务器 (0)。配置 TCP/IP 属性的步骤1. 以 ADRMS-CLNT2Administrator 帐户或本地管理员组中的其他用户帐户登录到 ADRMS-CLNT2。2. 依次单击开始、“网络”，然后单击“网络和共享中心”。3. 单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。4. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。5. 选择“使用下面的 IP 地址”选项。在“IP 地址”中，键入 2，在“子网掩码”中，键入 。6. 选择“使用下面的 DNS 服务器地址”选项。在“首选 DNS 服务器”中，键入 0。7. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。下一步，将 ADRMS-CLNT2 加入 TREYRESEARCH 域。将 ADRMS-CLNT2 加入 TREYRESEARCH 域的步骤1. 单击开始，右键单击“计算机”，然后单击“属性”。2. 在“计算机名称、域和工作组设置”下，单击“更改设置”。3. 在“计算机名”选项卡上，单击“更改”。4. 在“计算机名/域更改”对话框中，选择“域”选项，然后键入 。5. 单击“详细信息”，在“此计算机的主 DNS 后缀”框中，键入 。6. 单击“确定”，然后再次单击“确定”。7. 当出现“计算机名/域更改”对话框，提示输入管理凭据时，请提供 treyresearchAdministrator 的凭据，然后单击“确定”。8. 当出现“计算机名/域更改”对话框欢迎您进入 域时，单击“确定”。9. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。10. 在“系统设置更改”对话框中，单击“是”重新启动计算机。最后，在 ADRMS-CLNT2 上安装 Microsoft Office Word 2007 Enterprise Edition。安装 Microsoft Office Word 2007 Enterprise 的步骤1. 双击 Microsoft Office 2007 Enterprise 产品 CD 中的 setup.exe。2. 单击“自定义”作为安装类型，将除 Microsoft Office Word 2007 Enterprise 之外的所有应用程序的安装类型设置为“不可用”，然后单击“现在安装”。这可能需要花费几分钟的时间才能完成。重要事项 只有 Microsoft Office 2007 Ultimate、Professional Plus 和 Enterprise 版本允许创建受权限保护的内容。所有版本都允许使用受权限保护的内容。 第 2 步：将 AD RMS 配置为跨林工作更新时间: 2008年2月应用到: Windows Server 2008, Windows Server 2008 R2在此步骤中，您将进行以下操作： 在 AD RMS 安装之间创建受信任的用户域 在 AD RMS 授权管道上启用匿名访问 扩展 Active Directory 架构 创建联系对象和分发组 在 AD RMS 安装之间创建受信任的用户域在默认的 AD RMS 安装中，不会将使用许可证颁发给权限帐户证书是由不同 AD RMS 群集颁发的用户。可以配置 AD RMS，使其能够通过导入其他 AD RMS 安装的受信任用户域来处理此类请求。受信任的用户域必须从一个 AD RMS 群集导出，然后导入另一个群集。仅当 AD RMS 群集位于不同的林中时才需要受信任的用户域。首先，使用 Active Directory Rights Management Services 控制台导出受信任的用户域。从 域导出受信任的用户域的步骤1. 以 cpandladrmsadmin 身份登录到 ADRMS-SRV。2. 单击开始，指向“管理工具”，然后单击 Active Directory Rights Management Services。3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。4. 展开 AD RMS 群集，然后展开“信任策略”。5. 单击“受信任的用户域”，右键单击名为“企业”的证书，然后单击“导出受信任的用户域”。6. 在“文件名”框中，键入 adrms-dbpubliccpandlTUD.bin，然后单击“保存”。备注 对于域处于不同网络的情况，请确保第二个域中的用户可以访问此文件所在的位置。 下一步，使用 Active Directory Rights Management Services 控制台将 CPANDL 域中刚刚从 AD RMS 群集导出的受信任的用户域导入 TREYRESEARCH 域中。将受信任的域文件导入 域的步骤1. 以 treyresearchadrmsadmin 身份登录到 TREY-ADRMS。2. 单击开始，指向“管理工具”，然后单击 Active Directory Rights Management Services。3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。4. 展开 AD RMS 群集，再展开“信任策略”，右键单击“受信任的用户域”，然后单击“导入受信任的用户域”。5. 在“受信任的用户域文件”框中，键入 adrms-dbpubliccpandlTUD.bin。6. 在“显示名称”框中，键入 CPANDL.COM，然后单击“完成”。最后，重复以上过程并将 Trey Research 受信任的用户域文件导入到 CPANDL 域中。从 域导出受信任的用户域的步骤1. 以 treyresearchadrmsadmin 身份登录到 TREY-ADRMS。2. 单击开始，指向“管理工具”，然后单击 Active Directory Rights Management Services。3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。4. 展开 AD RMS 群集，然后展开“信任策略”。5. 单击“受信任的用户域”，右键单击名为“企业”的证书，然后单击“导出受信任的用户域”。6. 在“文件名”框中，键入 adrms-dbpublictreyresearchTUD.bin，然后单击“保存”。备注 对于域处于不同网络的情况，请确保第二个域中的用户可以访问此文件所在的位置。 将受信任的用户域文件导入 域的步骤1. 以 cpandladrmsadmin 身份登录到 ADRMS-SRV。2. 单击开始，指向“管理工具”，然后单击 Active Directory Rights Management Services。3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。4. 展开 AD RMS 群集，再展开“信任策略”，右键单击“受信任的用户域”，然后单击“导入受信任的用户域”。5. 在“受信任的用户