《微软rms常见问题解答整理》由会员分享,可在线阅读,更多相关《微软rms常见问题解答整理(19页珍藏版)》请在金锄头文库上搜索。
1、微软RMS 常见问题解答之部署篇 1、如果用于 RMS 的安全主体是全局地址列表 (GAL) 成员,则 Exchange 的 版本是否存在任何依赖关系?RMS 依赖于 Active Directory,而不是 Exchange。但是,Exchange 5. 5 保留其自己的目录,而不使用 Active Directory。确保 Active Director y 中的所有用户和组对象都有一个有效的电子邮件属性,该属性包含完全限 定的域名。如果使用的是 Exchange 2000 或更高版本,则此操作是自动完成 的。 2、SQL Server 在 RMS 中扮演什么角色? RMS 使用数据库来存
2、储所有服务配置数据、有关系统中主体的信息和所有日 志记录数据,并在 Active Directory 和通讯组列表扩展期间缓存查找。已 使用 SQL Server 2000 和 SQL Server 2005 完全测试 RMS。 3、用户计算机是否必须加入 RMS 服务器所在的域才能使用 RMS?用户计算机不必是 RMS 群集所在域的成员,但该计算机需要能够找到 R MS 群集。客户端计算机找到 RMS 群集的最简单方法是通过服务连接点 (SCP) 使用 Active Directory 查找。但是,也可以将客户端上的注册表设置设置 为找到 RMS 群集,而不必使用 Active Direct
3、ory 查找。确切的注册表设置 取决于启用了 RMS 的应用程序。 4、如果客户希望将 RMS 服务器放在外围网络中,则要与 RMS 通信,必须对面 向 Internet 的防火墙和面向 Intranet 的防火墙打开哪些端口?内部用户需要访问颁发权限帐户证书 (RAC) 和用户许可证的 RMS 服务 器。默认情况下,RMS 服务器侦听 HTTP(TCP 端口 80)或 HTTPS(TCP 端 口 443),这取决于服务器是否被配置为使用 SSL,因此需要对面向 Internet 的防火墙打开这些端口。需要对面向 Intranet 的防火墙打开域中成员服 务器使用的其他端口。 5、仅授权群集中
4、的从属服务器是如何注册的,是否需要对客户端执行什么操作, 此群集才知道这些从属服务器?当在企业的根群集中创建第一台 RMS 服务器时,该服务器将接收到来自 Microsoft 注册服务的服务器许可方证书。当安装并设置另一台 RMS 服务器 时,您可以将它加入到根群集中,或者将它注册为从属仅授权群集中的服务 器。如果选择将它注册为从属仅授权群集中的服务器,则它将会向 RMS 根群 集发送注册请求。启用了 RMS 的应用程序指定客户端应用程序在哪里查找仅 授权群集。Office 2003 是启用了 RMS 的应用程序之一,默认情况下,它查 找根群集。可以使用注册表设置代替此行为,以便应用程序查找新
5、的从属仅 授权群集。 6、使用从属仅授权群集有什么好处?一个好处是可以隔离组织中的不同部门。如果尚未在 RMS 群集之间建立 受信任的发布域,则仅有权访问给定授权服务器的用户才能使用内容。这样 ,法律部门可以阻止其他人阅读其 RMS 加密的电子邮件。此外,还可以在仅 授权群集中设置一些选项,如权限模板、日志记录、超级用户组中的成员身 份和排除策略。 7、要完全回滚 RMS 安装需要执行什么操作?要彻底回滚 RMS 安装,请执行下列过程。回滚 RMS 安装通过使用 RMS 管理网站删除 RMS 群集的服务连接点 (SCP)。 从“全局管理“页面中,单击“从此网站中删除 RMS“以在服务器上取消设
6、 置 RMS。应该首先取消设置仅授权群集中任何通过注册子过程注册的服务器 ,然后取消设置根群集服务器。在“控制面板“中,单击“添加或删除程序“,然后删除“Rights Managemen t Services“。在数据库服务器上,删除任何其余 RMS 数据库。从数据库服务器上的授权登录列表中删除 RMS 服务帐户,然后从 Activ e Directory 本身中删除该帐户。如果 RMS 客户端运行的是 Windows XP 和 Windows 2000,请从客户端 计算机中删除 RMS 客户端。要点完成此过程之后,您无法再打开受权限保护的内容。如果 RMS 用于保护 任何有价值的数据,则首先
7、取消 RMS 配置,然后再回滚 RMS 安装。 8、使用“添加或删除程序“卸载 RMS 客户端之后,是否要删除任何其他文件?尽管此操作不是必需的,但您也可以从 %systemroot%system32 中删除 密码箱。 9、RMS 使用 FAT 文件系统吗?是,尽管建议使用 NTFS 文件系统,但 RMS 在使用 FAT 的计算机上工 作。 10、对 RMS 使用的数据库服务器建议什么样的典型硬件配置?日志记录数据库将快速变大,尤其是在大量使用 RMS 的环境中。如果考 虑对数据库服务器使用 SQL Server,则应该考虑在 Windows 2000 Advanced Server 或 Wi
8、ndows Server 2003 Enterprise Edition 上使用 SQL Server 2000 Enterprise Edition 或 SQL Server 2005 Enterprise Edition ,它 们是在群集中进行主/从配置期间配置的。在这种情况下,建议的配置为 RAI D-1 日志磁盘和 RAID-5 数据磁盘,且 RAM 至少为 512 MB。此配置建议使 用的最小 CPU 为 Pentium III,运行速度为 1.4 GHz。在专用数据库服务器 上,不需要多个 CPU。 11、RMS 将全局编录用于组扩展会如何影响全局编录服务器的性能?RMS 服务器将
9、缓存任何组扩展列表,以便全局编录服务器上的负载不会 很大。尽管可以通过注册表配置获得新组列表的超时时间,但是频繁更新组 成员身份会增加对全局编录服务器的依赖。频繁扩展较大的组将会降低性能 。有关详细信息,请参阅此文档集的“RMS:操作“中的“更改 Active Directo ry 缓存设置“。 12、RMS 是否要求更改 Active Directory 中的任何架构?为使 RMS 能够成功地跨林边界扩展发布许可证中指定的组成员身份,本 地 Active Directory 林中必须存在一个联系对象,代表远程林中的组。RMS 可以查询联系对象的属性,并发现此对象代表其他林中的组。为使 RMS
10、 能够执行此操作,Active Directory 需要 Exchange Server 2003 或更高版本的架构属性 msExchOriginatingForest。如果林中有一台服 务器正在运行 Exchange Server 2003,则默认情况下,此属性安装在 Activ e Directory 架构中。您必须在将参与 RMS 的每个 Active Directory 架构 的林中都安装此属性。如果您当前未使用 Exchange Server 2003,则可以使 用 RMS 管理工具包将该架构单独安装在您的 Active Directory 结构中。 13、是否将在安装了 RMS 服
11、务器的域中的不同域控制器之间自动复制服务连接 点 (SCP)? 在设置林中的第一台 RMS 服务器之后,必须使用具有足够权限的域帐户 在 Active Directory 中注册该服务器,以在 Active Directory 的“配置“ 容器中的“服务“容器之下创建容器对象。Enterprise Admins 内置安全组是 具有所需权限的帐户之一。这将创建 SCP。由于其在“服务“容器中,因此 Ac tive Directory 将信息复制到林中的所有域控制器中。 14、如果用户对其计算机没有管理权限,则可以如何安装和配置 RMS 客户端?RMS 客户端是一个 Windows Install
12、er 文件,可以使用软件分发体系结 构(如 Systems Management Server 2003)进行分发。也可以使用组策略对 象 (GPO) 分发 RMS 客户端,但该组策略对象需要使用具有管理权限的服务 帐户。如果 RMS 客户端运行的是 Windows Vista,则不再需要独立的 RMS 客户端安装,因为它已集成到操作系统中。 15、什么是 RMS 的可伸缩性?RMS 是一种无状态的 Web 服务,可以像任何其他网站或 Web 服务那样 实现群集化和进行负载平衡。RMS 的性能主要取决于处理器的可用性,因此 添加处理器可以提高性能。 16、RMS 是否支持硬件安全模块 (HSM
13、),以保护硬件中的 RMS 密钥?是,RMS 使用符合 CAPI 的 HSM,如 nCipher HSM。 微软RMS 常见问题解答之管理篇 1、吊销离开组织的用户对文档的权限的最佳方法是什么?通常,最好授权 Active Directory 中定义的用户组而不是个人用户帐 户使用文档。建议这么做是为了在某用户离开组织后,您可以从 Active Directory 组中删除该用户,该用户不能读取发送到该组的文档。但是,该用户 仍然可以读取具有现有用户许可证的文档,除非这些文档的权限设置为每次 打开文档时都需要用户获取用户许可证。如果未定义该权限,则唯一可以防 止用户打开具有现有用户许可证的文档
14、的方法是清除用户计算机上的用户许 可证存储。 2、在两个组织之间建立信任以便交换 RMS 内容时,是否需要对传递到可信公 司的任何 XrML 许可证证书进行特殊处理?建立受信任的用户域或受信任的发布域时,您将选择信任伙伴组织来参 与您的权限管理系统。因此,您要冒经过精确计算的风险,相信信任另一组 织不会泄露您的信息。最佳方案是,请求伙伴组织通过使用经过身份验证的 通道(如 S/MIME 电子邮件)来发送其 RMS 服务器许可方证书,从而帮助缓 解在将服务器许可方证书导入到 RMS 服务器之前该证书被篡改的风险。 3、RMS 如何处理漫游用户配置文件?用于识别用户的权限帐户证书 (RAC) 是特
15、定于计算机的。使用漫游配置 文件时,在给定计算机上第一次使用 RMS 时将为该计算机上的用户创建一个 新的 RAC。 4、组织为什么要取消 RMS 配置?取消 RMS 配置将从基础结构中删除 RMS 服务器,并为用户提供了一种 方法来在不采取保护措施的情况下保存受权限保护的内容。组织选择这样做 的主要原因有三个:简化体系结构设计,如将服务器合并到群集中。将概念证明试验环境迁移到生产环境。 合并 RMS 服务器,如在收购后。 5、取消配置的全过程是什么?通过启用取消配置服务来从 RMS 根群集中启动取消配置过程。启用取消 配置服务时,所有其他服务(例如,授权和认证)都将被禁用。之后,在使 用 R
16、MS 功能时,每个用户的启用了 RMS 的应用程序需要被定向以连接到取 消配置服务。Microsoft Office 2003 就是启用了 RMS 的应用程序的一个示 例。在 Office 2003 中,通过使用注册表项将 RMS 客户端定向到 RMS 服务 。一个特定注册表项标识取消配置服务。一旦此注册表项配置为将客户端定 向到取消配置服务,RMS 群集就会向用户授予该内容的用户许可证,该许可 证提供完整权限,包括读取、写入、复制、打印、编辑等等,而不考虑最初 是否向用户授予了这些权限。然后,系统应指示用户从完全取消 RMS 群集的 配置之后仍想要保留的任何文档中删除所有权限保护。完成此操作之后,就 可以完全停止使用 RMS 群集。最佳方案是备份 RMS 群集的配置数据库,以防在停止使用该群集之后, 需要恢复受权限保护的文档。如果没有 RMS 根群集的私钥,则仅文档的作者 能够在删除服务器之后打开受权限保护的内容。 6、是否可以取消 RMS 服务器的配置,以便只有某些用户能够恢复文档?您可以对取消配置 Web 服务 (decommission.asmx) 应用访
