Этап 1. Настройка службы ad rms для работы в экстрасети
В дополнение к процедурам, изложенным в документе «Пошаговое руководство по настройке службы управления правами Active Directory в ОС Windows Server», необходимо выполнить нижеперечисленные действия.
Настроить URL-адрес кластера экстрасети в консоли службы управления правами Active Directory.
Экспортировать на компьютер ADRMS-SRV сертификат проверки подлинности сервера вместе с закрытым ключом. Впоследствии этот сертификат будет импортирован в хранилище сертификатов Personal на сервере ISA Server (ISA-SRV).
Для того чтобы пользователи, не подключенные ко внутренней сети организации, могли обращаться к защищенному содержимому, необходимо настроить URL-адреса кластера экстрасети AD RMS. Эти адреса указываются в сертификате лицензиара клиента службы AD RMS и публикуются вместе с защищенным содержимым. Они должны быть доступны всем компьютерам в Интернете.
Примечание
Необходимо сначала настроить URL-адреса кластера экстрасети, и лишь после этого настраивать защиту содержимого. Если защищенное содержимое уже имеется, клиент службы AD RMS должен загрузить новый сертификат лицензиара клиента с указанием URL-адресов кластера экстрасети.
Настроить URL-адреса кластера экстрасети помогает консоль службы управления правами Active Directory. Для решения этой задачи нужно выполнить следующие действия.
Настройка
URL-адресов кластера
экстрасети AD RMS
-
1. Войдите в систему ADRMS-SRV с правами учетной записи CPANDL\ADRMSADMIN.
2. Нажмите кнопку Start (пуск), а затем последовательно выберите пункты Administrative Tools (администрирование) и Active Directory Rights Management Services (служба управления правами Active Directory).
3. В случае появления диалогового окна User Account Control (контроль учетных записей) проверьте правильность указанного в нем действия и нажмите кнопку Continue (продолжить).
4. Щелкнув правой кнопкой мыши запись ADRMS-SRV (Local) (ADRMS-SRV (локально)), выберите команду Properties (свойства).
5. Открыв вкладку Cluster URLs (URL-адреса кластеров), установите флажок Extranet URLs (URL-адреса экстрасети).
6. Выберите пункт https:// в области Licensing (лицензирование) и введите адрес adrms-srv.cpandl.com.
7. Выберите пункт https:// в области Certification (сертификация) и введите адрес adrms-srv.cpandl.com.
8. Нажмите кнопку ОК.
Далее необходимо экспортировать сертификат проверки подлинности сервера ADRMS-SRV вместе с закрытым ключом. Это необходимо для того, чтобы сервер ISA-SRV мог передавать HTTPS-запросы, отправляемые компьютером ADRMS-EXCLNT, кластеру AD RMS.
Экспорт сертификата проверки подлинности сервера ADRMS-SRV вместе с закрытым ключом
-
1. Нажмите кнопку Start, введите команду mmc.exe и нажмите клавишу ВВОД.
2. В случае появления диалогового окна User Account Control проверьте правильность указанного в нем действия и нажмите кнопку Continue.
3. Откройте меню File (файл) и выберите команду Add/Remove Snap-in (добавить или удалить оснастку).
4. Выберите запись Certificates (сертификаты) и нажмите кнопку Add (добавить).
5. Установите параметр Computer account (учетная запись компьютера) и нажмите кнопку Next (далее).
6. Последовательно нажмите кнопки Finish (готово) и OK.
7. Последовательно раскройте в дереве консоли узлы Certificates (Local Computer) (сертификаты (локальный компьютер)) и Trusted Root Certification Authorities (доверенные корневые центры сертификации) и выберите запись Certificates.
8. Щелкните правой кнопкой мыши запись ADRMS-SRV.cpandl.com, после чего выберите команды All Tasks (все задачи) и Export (экспорт).
9. На открывшейся странице Welcome to the Certificate Export Wizard (мастер экспорта сертификатов) нажмите кнопку Next.
10. Установите параметр Yes, export the private key (да, экспортировать закрытый ключ) и нажмите кнопку Next.
11. Чтобы согласиться с параметрами, предложенными по умолчанию на странице Export File Format (формат экспортируемого файла), нажмите кнопку Next.
12. Введите один и тот же надежный пароль в полях Password (пароль) и Type and confirm password (введите подтверждение пароля), а затем нажмите кнопку Next.
13. В поле File name (имя файла) введите путь \\adrms-db\public\adrms-srv_with_key.pfx и нажмите кнопку Next.
14. Нажмите кнопку Finish.
15. Нажмите кнопку OK, тем самым подтвердив успешное завершение операции экспорта.