Пошаговое руководство по развертыванию службы управления правами Active Directory в экстрасетиКорпорация Майкрософт

Дата опубликования: май 2007 г.

Автор: Брайан Лич (Brian Lich).

Редактор: Кэролин Эллер (Carolyn Eller).

Краткий обзорВ настоящем пошаговом руководстве приводятся инструкции по настройке кластера службы управления правами Active Directory (AD RMS) в экстрасети в рамках тестовой среды под управлением ОС Windows Server® 2008. Для проверки работоспособности экстрасети будет предпринята попытка открытия защищенного файла с клиентского компьютера, находящегося за пределами внутренней сети организации.

Настоящий документ относится к предварительной версии программного продукта, которая может в значительной степени измениться до выхода заключительной версии, и содержит конфиденциальную информацию, являющуюся собственностью корпорации Майкрософт. Данная информация предоставляется на основе соглашения о неразглашении между стороной, которой она предоставляется, и корпорацией Майкрософт. Документ предназначен исключительно для информационных целей, и корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных или подразумеваемых гарантий. Сведения, приведенные в документе, включая URL-адреса и иные ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Весь риск использования документа или содержащихся в нем результатов возлагается на потребителя. За исключением специально оговоренных случаев, все приведенные в документе примеры компаний, организаций, продуктов, доменных имен, адресов электронной почты, логотипов, людей, мест и событий являются вымышленными и не предполагают какой-либо связи с реально существующими компаниями, организациями, продуктами, доменными именами, адресами электронной почты логотипами, людьми, местами или событиями. Соблюдение всех применимых авторских прав является обязанностью пользователя. Воспроизведение, сохранение или размещение любых частей документа в информационно-поисковых системах, а также передача этих частей в любой форме и любым способом, электронным, механическим, путем фотокопирования, записи или иными методами, без официального письменного уведомления корпорации Майкрософт запрещается.

На материалы, содержащиеся в документе, может распространяться действие патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную собственность корпорации Майкрософт. Документ не дает никаких разрешений на использование патентов, товарных знаков, авторских прав или иных форм интеллектуальной собственности, за исключением случаев, когда эти права предоставляются явным образом на основании письменного лицензионного соглашения корпорации Майкрософт.

© Корпорация Майкрософт, 2007. Все права защищены.

Microsoft, Active Directory, MS-DOS, Vista, Windows, Windows NT и Windows Server являются либо зарегистрированными товарными знаками, либо товарными знаками корпорации Майкрософт в США и/или в других странах.

Все другие товарные знаки являются собственностью их соответствующих владельцев.

Содержание

Пошаговое руководство по развертыванию службы управления правами Active Directory в экстрасети...................................................................................................1

Краткий обзор............................................................................................................1

Содержание...................................................................................................................... 5

Пошаговое руководство по развертыванию службы управления правами Active Directory в экстрасети...................................................................................................7О настоящем руководстве............................................................................................7

Вопросы, не рассматриваемые в настоящем руководстве....................................8Развертывание службы AD RMS в тестовой среде....................................................8

Этап 1. Настройка службы AD RMS для работы в экстрасети....................................11

Этап 2. Установка и настройка сервера ISA-SRV........................................................13Настройка сервера ISA Server (ISA-SRV).................................................................13Публикация кластера AD RMS в экстрасети.............................................................17

Этап 3. Настройка клиента экстрасети AD RMS..........................................................20

Этап 4. Проверка работоспособности службы AD RMS на компьютере ADRMS-CLNT..................................................................................................................................... 23

Пошаговое руководство по развертыванию службы управления правами Active Directory в экстрасети

О настоящем руководствеНастоящее руководство описывает процесс настройки службы управления правами Active Directory (AD RMS) в тестовой среде с экстрасетью. Экстрасеть представляет собой внешнее расширение сети организации. Настоящее руководство показывает, как включить в кластер AD RMS ресурсы Интернета с тем, чтобы пользователи получили возможность обращаться к защищенному содержимому, не подключаясь к внутренней сети. В процессе такой настройки необходимо установить сервер Microsoft Internet Security and Acceleration (ISA) Server 2006 Standard Edition, интегрировать его в службу AD RMS и убедиться в возможности открытия защищенного документа с компьютера, не входящего в сеть организации.

Выполнив эти действия, вы сможете усвоить механизм развертывания службы AD RMS под управлением ОС Windows Server® 2008 с учетом потребностей пользователей экстрасети.

Процедуры, изложенные в настоящем руководстве, направлены на решение следующих задач:

установка и настройка сервера ISA Server 2006 Standard Edition во взаимодействии со службой AD RMS;

проверка функциональных возможностей службы AD RMS по завершении ее настройки.

Примечание Установка сервера ISA Server 2006 Standard Edition не является обязательным условием работоспособности службы AD RMS. Заменить его может любой прокси-сервер, способный прослушивать TCP-порты 80 и 443. Для выполнения задач, поставленных перед настоящим руководством, мы, тем не менее, обратимся к услугам сервера ISA Server 2006 Standard Edition.

7

Вопросы, не рассматриваемые в настоящем руководствеПеречисленные ниже компоненты отсутствуют в настоящем руководстве.

Инструкции по установке и настройке службы AD RMS в рабочей или тестовой среде. Предполагается, что тестовая среда с настроенной службой AD RMS уже сформирована. Подробные инструкции по настройке службы AD RMS см. в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server» (на английском языке) по адресу http://go.microsoft.com/fwlink/?LinkId=72134.

Полный технический справочник по работе службы AD RMS и сервера Microsoft ISA Server 2006 Standard Edition. Подробнее о сервере Microsoft ISA Server 2006 Standard Edition см. в технической библиотеке ISA Server 2006 (http://go.microsoft.com/fwlink/?LinkId=90738).

Развертывание службы AD RMS в тестовой средеПеред осуществлением процедур, изложенных в настоящем руководстве, рекомендуется выполнить инструкции документа «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server». Пошаговые руководства не всегда подходят для развертывания компонентов ОС Windows Server® в отсутствие дополнительной документации по развертыванию; любое такое руководство следует рассматривать как отдельный документ и применять с осторожностью.

Выполнив инструкции настоящего пошагового руководства, вы получите в свое распоряжение действующую лабораторию тестирования службы AD RMS, которая будет поддерживать работу в экстрасети. Впоследствии работоспособность службы AD RMS в экстрасети можно будет проверить, выполнив простую задачу – ограничив права доступа к документу Microsoft Office Word 2007 и попытавшись открыть этот документ с клиентского компьютера, не входящего в сеть организации.

Тестовая среда, описанная в настоящем руководстве, состоит из шести компьютеров, на которых установлены перечисленные ниже системы, приложения и службы.

8

Примечание Для копирования файлов с клиента службы AD RMS на другой клиент AD RMS, находящийся в экстрасети, вам потребуется флэш-накопитель USB или другой носитель.

Имя компьютера Операционная система Приложения и службы

ADRMS-SRV Windows Server 2008 AD RMS, службы IIS 7.0, очередь сообщений (MSMQ) и внутренняя база данных Windows

CPANDL-DC Windows Server 2003 с пакетом обновления 1 (SP1)

Active Directory, служба доменных имен (DNS)

ADRMS-DB Windows Server 2003 с пакетом обновления 1 (SP1)

Сервер Microsoft SQL Server™ 2005 Standard Edition

ISA-SRV Windows Server 2003 с пакетом обновления 1 (SP1)

Примечание На этом компьютере должно быть установлено два сетевых адаптера – только в таком случае сервер ISA Server 2006 сможет отличить публичный IP-адрес от частного.

Сервер Microsoft ISA Server 2006 Standard Edition

ADRMS-CLNT Windows Vista™ Microsoft Office Word 2007 (корпоративный выпуск)

ADRMS-EXCLNT Windows Vista Microsoft Office Word 2007 (корпоративный выпуск)

Первые пять компьютеров, указанных в таблице, подключены к частной интрасети через общий концентратор или коммутатор второго уровня. На компьютере ISA-SRV установлен второй сетевой адаптер, предназначенный для подключения к Интернету. Такая конфигурация позволяет серверу ISA Server принимать запросы

9

из Интернета и передавать их серверу AD RMS. Компьютер ADRMS-EXCLNT находится за пределами рассматриваемой сети. При желании такую конфигурацию можно смоделировать в среде виртуального сервера.

Настоящая пошаговая процедура предусматривает применение частных адресов в тестовой среде. Диапазон частных адресов, применяемый в частной сети — 10.0.0.0/24. Компьютер CPANDL-DC является контроллером домена cpandl.com. Компьютер ADRMS-EXCLNT с IP-адресом 10.0.100.2/24 исполняет роль клиентского компьютера в экстрасети. Конфигурация тестовой среды изображена на следующем рисунке.

10

ISA-SRV10.0.0.5 (внутренний)

10.0.100.1 (внешний)

Интернет

Примечание В рабочей среде серверу ISA Server следовало бы присвоить внешний IP-адрес, доступный из Интернета – в таком случае пользователи экстрасети смогли бы обращаться к защищенному содержимому.

Этап 1. Настройка службы AD RMS для работы в экстрасетиВ дополнение к процедурам, изложенным в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server», необходимо выполнить нижеперечисленные действия.

Настроить URL-адрес кластера экстрасети в консоли службы управления правами Active Directory.

Экспортировать на компьютер ADRMS-SRV сертификат проверки подлинности сервера вместе с закрытым ключом. Впоследствии этот сертификат будет импортирован в хранилище сертификатов Personal на сервере ISA Server (ISA-SRV).

Для того чтобы пользователи, не подключенные ко внутренней сети организации, могли обращаться к защищенному содержимому, необходимо настроить URL-адреса кластера экстрасети AD RMS. Эти адреса указываются в сертификате лицензиара клиента службы AD RMS и публикуются вместе с защищенным содержимым. Они должны быть доступны всем компьютерам в Интернете.

Примечание Необходимо сначала настроить URL-адреса кластера экстрасети, и лишь после этого настраивать защиту содержимого. Если защищенное содержимое уже имеется, клиент службы AD RMS должен загрузить новый сертификат лицензиара клиента с указанием URL-адресов кластера экстрасети.

Настроить URL-адреса кластера экстрасети помогает консоль службы управления правами Active Directory. Для решения этой задачи нужно выполнить следующие действия.

Настройка URL-адресов кластера экстрасети AD RMS

1. Войдите в систему ADRMS-SRV с правами учетной записи CPANDL\

11

ADRMSADMIN.

2. Нажмите кнопку Start (пуск), а затем последовательно выберите пункты Administrative Tools (администрирование) и Active Directory Rights Management Services (служба управления правами Active Directory).

3. В случае появления диалогового окна User Account Control (контроль учетных записей) проверьте правильность указанного в нем действия и нажмите кнопку Continue (продолжить).

4. Щелкнув правой кнопкой мыши запись ADRMS-SRV (Local) (ADRMS-SRV (локально)), выберите команду Properties (свойства).

5. Открыв вкладку Cluster URLs (URL-адреса кластеров), установите флажок Extranet URLs (URL-адреса экстрасети).

6. Выберите пункт https:// в области Licensing (лицензирование) и введите адрес adrms-srv.cpandl.com.

7. Выберите пункт https:// в области Certification (сертификация) и введите адрес adrms-srv.cpandl.com.

8. Нажмите кнопку ОК.

Далее необходимо экспортировать сертификат проверки подлинности сервера ADRMS-SRV вместе с закрытым ключом. Это необходимо для того, чтобы сервер ISA-SRV мог передавать HTTPS-запросы, отправляемые компьютером ADRMS-EXCLNT, кластеру AD RMS.

Экспорт сертификата проверки подлинности сервера ADRMS-SRV вместе с закрытым ключом

1. Нажмите кнопку Start, введите команду mmc.exe и нажмите клавишу ВВОД.

2. В случае появления диалогового окна User Account Control проверьте правильность указанного в нем действия и нажмите кнопку Continue.

3. Откройте меню File (файл) и выберите команду Add/Remove Snap-in (добавить или удалить оснастку).

4. Выберите запись Certificates (сертификаты) и нажмите кнопку Add (добавить).

5. Установите параметр Computer account (учетная запись компьютера) и нажмите кнопку Next (далее).

6. Последовательно нажмите кнопки Finish (готово) и OK.

7. Последовательно раскройте в дереве консоли узлы Certificates (Local Computer) (сертификаты (локальный компьютер)) и Trusted Root Certification Authorities

12

(доверенные корневые центры сертификации) и выберите запись Certificates.

8. Щелкните правой кнопкой мыши запись ADRMS-SRV.cpandl.com, после чего выберите команды All Tasks (все задачи) и Export (экспорт).

9. На открывшейся странице Welcome to the Certificate Export Wizard (мастер экспорта сертификатов) нажмите кнопку Next.

10. Установите параметр Yes, export the private key (да, экспортировать закрытый ключ) и нажмите кнопку Next.

11. Чтобы согласиться с параметрами, предложенными по умолчанию на странице Export File Format (формат экспортируемого файла), нажмите кнопку Next.

12. Введите один и тот же надежный пароль в полях Password (пароль) и Type and confirm password (введите подтверждение пароля), а затем нажмите кнопку Next.

13. В поле File name (имя файла) введите путь \\adrms-db\public\adrms-srv_with_key.pfx и нажмите кнопку Next.

14. Нажмите кнопку Finish.

15. Нажмите кнопку OK, тем самым подтвердив успешное завершение операции экспорта.

Этап 2. Установка и настройка сервера ISA-SRVСервер ISA Server 2006 Standard Edition – это комплексный брандмауэр, который в сочетании со службой AD RMS позволяет ограничить доступ к кластеру AD RMS через Интернет. Сервер ISA Server обрабатывает все запросы, поступающие из Интернета по URL-адресам кластера экстрасети AD RMS, и при необходимости передает их этому кластеру.

Чтобы установить и настроить сервер ISA Server 2006 Standard Edition в расчете на взаимодействие со службой AD RMS, необходимо выполнить следующие действия:

настроить сервер ISA Server (компьютер ISA-SRV);

опубликовать кластер AD   RMS в экстрасети .

13

Настройка сервера ISA Server (ISA-SRV)В первую очередь установите ОС Windows Server 2003 на изолированном сервере.

Установка ОС Windows Server 2003, Standard Edition

1. Запустите компьютер с установочного компакт-диска Windows Server 2003.

2. Следуйте инструкциям на экране, а при появлении запроса на указание имени компьютера введите ISA-SRV.

Далее следует присвоить компьютеру ISA-SRV следующие свойства протокола TCP/IP: статический IP-адрес 10.0.0.5 и предпочитаемый DNS-сервер с IP-адресом 10.0.0.1 на первом сетевом адаптере. Для второго сетевого адаптера следует указать IP-адрес 10.0.100.1.

Настройка свойств TCP/IP на компьютере ISA-SRV

1. Войдите в систему ISA-SRV в качестве участника локальной группы «Администраторы».

2. Нажмите кнопку Start, последовательно выберите пункты Control Panel (панель управления), Network Connections (сетевые подключения) и Local Area Connection (подключение по локальной сети), а затем выберите команду Properties.

3. Во вкладке General (общие) выберите запись Internet Protocol (TCP/IP) (протокол Интернета (TCP/IP)) и нажмите кнопку Properties.

4. Установите параметр Use the following IP address (использовать следующий IP-адрес). В поле IP address (IP-адрес) введите 10.0.0.5, в поле Subnet mask (маска подсети) – 255.255.255.0, а в поле Preferred DNS server (предпочитаемый DNS-сервер) – 10.0.0.1.

5. Нажмите кнопку OK, а затем закройте диалоговое окно Local Area Connection Properties (свойства подключения по локальной сети) нажатием кнопки Close (закрыть).

6. Нажмите кнопку Start, последовательно выберите пункты Control Panel, Network Connections и Local Area Connection 2, а затем выберите команду Properties.

7. Во вкладке General выберите запись Internet Protocol (TCP/IP) и нажмите кнопку Properties.

8. Установите параметр Use the following IP address. В поле IP address

14

введите 10.0.100.1, а в поле Subnet mask – 255.255.255.0.

9. Нажмите кнопку OK, а затем закройте диалоговое окно Local Area Connection 2 Properties (свойства подключения по локальной сети 2) нажатием кнопки Close.

Теперь следует присоединить компьютер ISA-SRV к домену cpandl.com.

Присоединение компьютера ISA-SRV к домену cpandl.com

1. Нажмите кнопку Start, щелкните правой кнопкой мыши пункт My Computer (мой компьютер) и выберите команду Properties.

2. Перейдите во вкладку Computer Name (имя компьютера) и нажмите кнопку Change (изменить).

3. В диалоговом окне Computer Name Changes (изменение имени компьютера) установите параметр Domain (домен) и введите cpandl.com.

4. Нажав кнопку More (подробнее), введите cpandl.com в поле Primary DNS suffix of this computer (основной DNS-суффикс этого компьютера).

5. Дважды нажмите кнопку OK.

6. При появлении диалогового окна Computer Name Changes с запросом на ввод учетных данных администратора укажите учетные данные записи CPANDL\Administrator и нажмите кнопку OK.

7. Когда в диалоговом окне Computer Name Changes появится сообщение о присоединении компьютера к домену cpandl.com, нажмите кнопку OK.

8. Когда в диалоговом окне Computer Name Changes появится оповещение о необходимости перезагрузки компьютера, дважды нажмите кнопку OK, а затем кнопку Close.

9. Нажмите кнопку Restart Now (перезагрузить сейчас).

Теперь сертификат проверки подлинности сервера вместе с закрытым ключом следует импортировать в хранилище Trusted Certification Authorities (доверенные центры сертификации) на компьютере ISA-SRV.

Импорт сертификата проверки подлинности сервера на компьютер ISA-SRV

1. Войдите в систему ISA-SRV в качестве участника локальной группы «Администраторы».

2. Нажмите кнопку Start, выберите пункт Run (выполнить), введите команду mmc.exe и нажмите клавишу ВВОД.

15

3. Откройте меню File и выберите команду Add/Remove Snap-in.

4. Нажмите кнопку Add, выберите запись Certificates, а затем нажмите кнопку Add еще раз.

5. Установите параметр Computer account, а затем последовательно нажмите кнопки Next и Finish.

6. Последовательно нажмите кнопки Close и ОК.

7. Последовательно раскройте узлы Certificates и Personal.

8. Щелкнув запись Certificates в дереве консоли правой кнопкой мыши, выберите пункт All Tasks, а затем – команду Import (импорт).

9. На открывшейся странице Welcome to the Certificate Import Wizard (мастер экспорта сертификатов) нажмите кнопку Next.

10. В поле File name (имя файла) введите путь \\adrms-db\public\adrms-srv_with_key.pfx, а затем последовательно нажмите кнопки OK и Next.

11. Введите пароль, необходимый для экспорта сертификата, и нажмите кнопку Next.

12. Последовательно нажмите кнопки Next и Finish.

13. Нажмите кнопку OK, тем самым подтвердив успешное завершение операции импорта.

14. Закройте консоль Certificates.

Наконец, необходимо установить сервер ISA Server 2006 Standard Edition

Установка сервера ISA Server 2006 Standard Edition

1. Войдите в систему ISA-SRV в качестве участника локальной группы «Администраторы».

2. Вставьте в привод установочный компакт-диск продукта ISA Server 2006 Standard Edition.

3. Выберите пункт Install ISA Server 2006 (установить ISA Server 2006).

4. При появлении страницы Welcome to the Installation Wizard for Microsoft ISA Server 2006 (мастер установки Microsoft ISA Server 2006) нажмите кнопку Next.

5. Выбрав пункт I accept the terms in the license agreement (я принимаю условия лицензионного соглашения), нажмите кнопку Next.

16

6. Введите ключ продукта ISA Server в поле Product Serial Number (серийный номер продукта) и нажмите кнопку Next.

7. Установите вариант установки Typical (обычная) и нажмите кнопку Next.

8. Нажмите кнопки Add и Add Adapter (добавить плату), установите флажок Local Area Connection (подключение по локальной сети), а затем дважды нажмите кнопку OK.

9. Трижды нажмите кнопку Next, а затем – единожды кнопку Install.

10. После завершения установки нажмите кнопку Finish.

11. Нажмите кнопку ОК. При желании ознакомьтесь с представленными сведениями, после чего закройте обозреватель Internet Explorer.

12. Чтобы закрыть окно Microsoft ISA Server 2006 Setup (установка Microsoft ISA Server 2006), нажмите кнопку Exit.

Публикация кластера AD RMS в экстрасетиДля работы сервера ISA Server 2006 Standard Edition требуется веб-прослушиватель, настроенный на определенный порт. В нашем случае в этой роли выступает TCP-порт 443 (SSL), помогающий защитить данные, которыми клиенты обмениваются с сервером ISA Server. В этом разделе вам предстоит опубликовать веб-узел AD RMS посредством сервера ISA Server. Для этого нужно опубликовать URL-адрес кластера экстрасети AD RMS на сервере ISA Server и разрешить последнему передавать учетные данные пользователей непосредственно серверу AD RMS. Так как в данном руководстве предполагается применение в кластере AD RMS самозаверяющего сертификата, его нужно переместить из хранилища сертификатов Personal (личные) в хранилище Trusted Certification Root Authorities (доверенные корневые центры сертификации).

В первую очередь, опубликуем кластер AD RMS на компьютере ISA-SRV.

Публикация кластера AD RMS на сервере ISA Server 2006 Standard Edition

1. Нажмите кнопку Start, а затем последовательно выберите All Programs, Microsoft ISA Server и ISA Server Management (диспетчер ISA Server).

2. Раскройте узел ISA-SRV и выберите пункт Firewall Policy (политика межсетевого экрана).

3. Откройте вкладку Tasks (задачи) и выберите пункт Publish Web Sites (опубликовать веб-узлы).

17

4. Введите AD RMS Extranet (экстрасеть AD RMS) в поле Web publishing rule name (имя правила веб-публикации) и нажмите кнопку Next.

5. Чтобы согласиться с предлагаемыми по умолчанию значениями параметров, дважды нажмите кнопку Next.

6. Установите параметр Use SSL to connect to the published Web server or server farm (использовать SSL для подключения к опубликованному веб-серверу или ферме серверов) и нажмите кнопку Next.

7. Введите адрес adrms-srv.cpandl.com в поле Internal Site Name (имя внутреннего веб-узла).

8. Установив флажок Use a computer name of IP address to connect to the published server (используйте имя или IP-адрес компьютера для подключения к опубликованному серверу), введите адрес 10.0.0.2 в поле Computer name or IP address (имя компьютера или IP-адрес) и нажмите кнопку Next.

9. Введите /* в поле Path (optional) (путь (необязательно)), установите флажок Forward the original host header instead of the actual one specified in the Internal site name field on the previous page (пересылать исходный заголовок узла вместо действительного, указанного в поле «Имя внутреннего веб-узла» на предыдущей странице) и нажмите кнопку Next.

10. Введите adrms-srv.cpandl.com в поле Public name (внешнее имя) и нажмите кнопку Next.

11. Для создания нового веб-прослушивателя нажмите кнопку New (создать).

12. Введите HTTPS Port 443 в поле Web listener (веб-прослушиватель) и нажмите кнопку Next.

13. Установив параметр Require SSL secured connections with clients (требовать безопасного подключения SSL для клиентов), нажмите кнопку Next.

14. Установив флажок External (внешний), нажмите кнопку Next.

15. Установите параметр Use a single certificate for this Web listener (использовать единый сертификат для данного веб-прослушивателя) и нажмите кнопку Select Certificate (выбор сертификата).

16. Выбрав сертификат ADRMS-SRV.cpandl.com, последовательно нажмите кнопки Select (выбрать) и Next.

17. В области Select how clients will provide credentials to ISA Server (укажите

18

способ предоставления учетных данных клиентами серверу ISA Server) выберите пункт No Authentication (без проверки подлинности), а затем дважды нажмите кнопку Next.

18. Чтобы закрыть мастер New Web Listener Wizard (мастер создания веб-прослушивателя), нажмите кнопку Finish.

19. Нажмите кнопку Next.

20. Установите параметр No delegation, but client may authenticate directly (без делегирования, но клиент может выполнять проверку подлинности напрямую) и нажмите кнопку Next.

21. Чтобы распространить действие данного правила веб-публикации на всех пользователей, нажмите кнопку Next.

22. Нажмите кнопку Finish.

23. Чтобы сохранить изменения и обновить конфигурации, нажмите кнопку Apply (применить). Затем нажмите кнопку OK.

Наконец, необходимо переместить сертификат проверки подлинности сервера ADRMS-SRV из хранилища Personal в хранилище Trusted Root Certification Authorities.

Перемещение сертификата проверки подлинности сервера ADRMS-SRV

1. Нажмите кнопку Start и выберите Run.

2. Введите команду mmc.exe и нажмите кнопку OK.

3. Откройте меню File и выберите команду Add/Remove Snap-in.

4. Последовательно выберите Add, Certificates и Add, установите параметр Computer account и нажмите кнопку Next.

5. Последовательно нажмите кнопки Finish, Close и OK.

6. Последовательно раскройте узлы Certificates (Local computer), Personal и Trusted Root Certification Authorities.

7. Выберите запись Certificates в узле дерева консоли Personal.

8. Выделите сертификат ADRMS-SRV.cpandl.com в области сведений и перетащите его в папку Certificates в хранилище Trusted Root Certification Authorities.

9. Закройте консоль Certificates.

19

Этап 3. Настройка клиента экстрасети AD RMSПроцесс настройки клиентского компьютера в экстрасети AD RMS (ADRMS-EXCLNT) состоит из установки ОС Windows Vista, настройки свойств TCP/IP, создания записи в локальном файле HOSTS, импорта сертификата проверки подлинности ADRMS-SRV и установки приложения, поддерживающего службу AD RMS. В нашем примере предполагается установка на компьютере ADRMS-EXCLNT пакета Microsoft Office Word 2007.

Установка ОС Windows Vista

1. Запустите компьютер с установочного компакт-диска Windows Vista.

2. Следуйте инструкциям на экране, а при появлении запроса на указание имени компьютера введите ADRMS-EXCLNT.

Теперь настройте свойства протокола TCP/IP таким образом, чтобы компьютеру ADRMS-EXCLNT был присвоен статический IP-адрес 10.0.100.2.

Настройка свойств протокола TCP/IP

1. Нажмите кнопку Start, выберите Control Panel и Network and Internet (сеть и Интернет), дважды щелкните запись Network and Sharing Center (центр управления сетями и общим доступом) выберите Manage Network Connections (управление сетевыми подключениями) в левой области, затем щелкните правой кнопкой мыши запись Local Area Connection и выберите команду Properties.

2. Во вкладке Networking (сеть) выберите запись Internet Protocol Version 4 (TCP/IPv4) (протокол Интернета версии 4 (TCP/IPv4)) и нажмите кнопку Properties.

3. Установите параметр Use the following IP address. В поле IP address введите 10.0.100.2, а в поле Subnet mask — 255.255.255.0.

4. Нажмите кнопку OK, а затем закройте диалоговое окно Local Area Connection Properties нажатием кнопки Close.

5. Закройте все прочие окна, оставшиеся незакрытыми, и вернитесь к рабочему столу.

В данном руководстве рассматривается тестовая среда без внешнего DNS-сервера. Для того чтобы предусмотреть возможность разрешения URL-адресов кластера

20

экстрасети в соответствующие IP-адреса, необходимо вручную создать запись в файле HOSTS, указывающую на компьютер ISA-SRV.

Примечание В рабочей среде выполнение этой процедуры не требуется, так как механизм разрешения DNS-имен предоставляется поставщиком услуг Интернета клиентского компьютера экстрасети.

Создание в файле HOSTS записи для сопоставления с URL-адресом кластера экстрасети AD RMS

1. Войдите в систему ADRMS-EXCLNT в качестве участника локальной группы «Администраторы».

2. Нажмите кнопку Start, а затем выберите All Programs, Accessories (стандартные) и Notepad (блокнот).

3. Когда на экране появится блокнот, откройте в нем меню File и выберите команду Open (открыть).

4. Найдите файл C:\windows\System32\drivers\etc\HOSTS и нажмите кнопку Open.

Примечание Для того чтобы увидеть файл HOSTS после открытия папки etc нужно выбрать в списке над кнопкой Open пункт All Files (все файлы).

5. Создайте в конце файла новую строку и введите в ней 10.0.100.1 adrms-srv.cpandl.com.

6. Сохраните и закройте файл HOSTS.

Теперь нужно импортировать сертификат проверки подлинности сервера ADRMS-SRV в хранилище Trusted Root Certification на компьютере ADRMS-EXCNT. Эта процедура необходима только в случае применения самозаверяющих сертификатов. В рабочей среде сертификат должен быть заверен центром сертификации.

Импорт сертификата проверки подлинности сервера на компьютер ADRMS-EXCLNT

1. Войдите в систему ADRMS-EXCLNT в качестве участника локальной группы «Администраторы».

2. Нажмите кнопку Start, выберите All Programs и Internet Explorer.

21

3. Введите в адресной строке адрес https://adrms-srv.cpandl.com/_wmcs/licensing/license.asmx и нажмите клавишу ВВОД.

4. На веб-странице Certificate Error: Navigation Blocked (ошибка сертификата: переходы блокированы) щелкните ссылку Continue to this website (not recommended) (продолжить открытие этого веб-узла (не рекомендуется)).

5. В поле User name (имя пользователя) введите CPANDL\srailson. Введите пароль пользователя Stuart Railson в поле Password и нажмите кнопку OK.

6. Выберите в адресной строке пункт Certificate Error (ошибка сертификата), а затем – View Certificates (просмотр сертификатов).

7. Выберите пункт Install Certificate (установить сертификат) на странице Certificate Information (сведения о сертификате).

8. На открывшейся странице Welcome to the Certificate Import Wizard нажмите кнопку Next.

9. Установите параметр Place all certificates in the following store (поместить все сертификаты в следующее хранилище), нажмите кнопку Browse (обзор), выберите запись Trusted Root Certification Authorities и нажмите кнопку OK.

10. Последовательно нажмите кнопки Next и Finish.

11. При выводе предупреждения о безопасности нажмите кнопку Yes (да). Это предупреждение выводится по причине применения самозаверяющих сертификатов.

12. Нажмите кнопку OK, тем самым подтвердив успешное завершение операции импорта сертификата.

13. Нажмите кнопку OK, чтобы закрыть окно Certificate Information.

14. Закройте обозреватель Internet Explorer.

Наконец, нужно установить пакет Microsoft Office Word 2007 (корпоративный выпуск).

Установка пакета Microsoft Office Word 2007 (корпоративный выпуск)

1. Откройте файл setup.exe на компакт-диске пакета Microsoft Office 2007 (корпоративный выпуск) двойным щелчком мыши.

2. Выберите тип установки Customize (специальный), сделайте недоступными (Not Available) все компоненты установки, кроме пакета Microsoft Office

22

Word 2007 (корпоративный выпуск), и нажмите кнопку Install Now (установить). Для завершения процесса установки может потребоваться несколько минут.

Внимание! Создание защищенного содержимого поддерживают только корпоративный выпуск, а также выпуски «Максимум» и «Профессиональный плюс» пакета Microsoft Office 2007. В то же время, обращаться к защищенному содержимому позволяют все выпуски пакета.

Этап 4. Проверка работоспособности службы AD RMS на компьютере ADRMS-CLNTДля проверки работоспособности службы AD RMS необходимо войти в систему ADRMS-CLNT с правами пользователя Nicole Holliday и ограничить разрешения доступа к документу Microsoft Word 2007 таким образом, чтобы пользователь Stuart Railson смог читать его, но не имел возможности вносить изменения, печатать и копировать. Затем вам предстоит скопировать этот документ на съемный носитель (например, на флэш-накопитель USB) и войти в систему клиентского компьютера (например, домашнего), который не входит в состав сети организации. В нашем примере роль домашнего компьютера исполняет компьютер ADRMS-EXCLNT. Скопировав файл на флэш-накопитель USB, пользователь Stuart Railson должен будет войти в систему клиентского компьютера в экстрасети (ADRMS-EXCLNT) и удостовериться в том, что он в состоянии открыть защищенный документ, записанный на флэш-накопителе.

Примечание Наличие флэш-накопителя USB в данном сценарии не является обязательным. Сгодится любой способ передачи документа на клиентский компьютер в экстрасети – в частности, можно прикрепить документ к сообщению электронной почты и отправить его пользователю Stuart. В таком случае пользователь Stuart должен будет открыть документ, прикрепленный к сообщению электронной почты, на клиентском компьютере в экстрасети.

Ограничить разрешения на доступ к документу Microsoft Word можно следующим образом.

23

Ограничение разрешений на доступ к документу Microsoft Word

1. Войдите в систему ADRMS-CLNT с применением учетных данных пользователя Nicole Holliday (cpandl\nhollida).

2. Нажмите кнопку Start, выберите All Programs, Microsoft Office и Microsoft Office Word 2007.

3. Введите на странице пустого документа текст This is a test of AD RMS Extranet functionality, нажмите кнопку Microsoft Office, выберите Prepare (подготовка), Restrict Permission (ограничить разрешение) и Restricted Access (ограниченный доступ).

4. Установите флажок Restrict permission to this document (ограничить разрешения на работу с этим документом).

5. В поле Read (чтение) введите адрес srailson@cpandl.com, а затем закройте диалоговое окно Permission (разрешения) нажатием кнопки OK.

6. Нажмите кнопку Microsoft Office, выберите команду Save As (сохранить как) и сохраните файл под именем ADRMS-TST.

7. Скопируйте документ ADRMS-TST.docx на флэш-накопитель USB.

8. Выйдите из системы.

Наконец, нужно открыть документ ADRMS-TST.docx, сохраненный на флэш-накопителе USB, на компьютере ADRMS-EXCLNT.

Просмотр защищенного документа

1. Войдите в систему ADRMS-EXCLNT с применением учетных данных локального пользователя, от имени которого предполагается обратиться к защищенному документу.

Внимание! После первого сеанса доступа к документу любой пользователь, вошедший в локальную систему с теми же учетными данными, что и вы, сможет обращаться к этому документу.

2. Подключите флэш-накопитель USB и дважды щелкните файл ADRMS-TST.docx.

3. Введите cpandl\srailson в поле User name. Введите пароль пользователя Stuart Railson в поле Password и нажмите кнопку OK.

На экране появится следующее сообщение: "Permission to this document is currently restricted. Microsoft Office must connect to https://adrms-

24

srv.cpandl.com/_wmcs/licensing to verify your credentials and download your permission." («Разрешение на работу с данным документом ограничено. Microsoft Office необходимо подключиться к https://adrms-srv.cpandl.com:443/_wmcs/licensing для проверки ваших учетных данных и загрузки сведений о ваших разрешениях»).

4. Нажмите кнопку ОК.

На экране появится следующее сообщение: "You are attempting to send information to an Internet site (https://adrms-srv.cpandl.com) that is not in your Local, Intranet, or Trusted zones. This could pose a security risk. Do you want to send the information anyway?" («вы пытаетесь отправить сведения на узел Интернета (https://adrms-srv.cpandl.com), который находится вне зоны местных узлов, узлов интрасети и надежных узлов. Это может представлять угрозу безопасности. Вы действительно хотите отправить сведения на этот узел?»).

5. Нажмите кнопку Yes.

На экране появится следующее сообщение: "Verifying your credentials for opening content with restricted permissions…" («проверка учетных данных для открытия документа с ограниченными разрешениями»).

6. После открытия документа нажмите кнопку Microsoft Office. Обратите внимание на то, что команда Print (печать) недоступна.

7. Щелкните запись View Permission (просмотреть разрешения) в панели сообщений. Как видите, разрешения пользователя srailson@cpandl.com (Stuart Railson) ограничены, и он может только просматривать документ.

8. Чтобы закрыть диалоговое окно My Permissions (мои разрешения), нажмите кнопку OK. Затем закройте программу Microsoft Word.

Вы успешно выполнили развертывание службы AD RMS в экстрасети и ознакомились с ее возможностями на простом примере ограничения разрешений доступа к документу Microsoft Word 2007. Впоследствии в рамках подготовленной инфраструктуры путем дополнительной настройки и тестирования вы сможете освоить другие возможности службы AD RMS.

25