Instalace a konfigurace konektoru Azure Rights ManagementInstalling and configuring the Azure Rights Management connector

Platí pro: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Následující informace použijte jako pomoc při instalaci a konfiguraci konektoru Azure Rights Management (RMS).Use the following information to help you install and configure the Azure Rights Management (RMS) connector. Tyto postupy zahrnují krok 1 až 4 od Nasazení konektoru Azure Rights Management.These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

Než začnete, nezapomeňte zkontrolovat a ověřit Požadavky pro toto nasazení.Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

Instalace konektoru RMSInstalling the RMS connector

  1. Identifikujte počítače (minimálně dva), na kterých bude spuštěn konektor RMS.Identify the computers (minimum of two) that will run the RMS connector. Musí splňovat minimální specifikace uvedené v předpokladech.They must meet the minimum specification listed in the prerequisites.

    Poznámka

    Instalujete jeden konektor služby RMS (který se skládá z více serverů pro zajištění vysoké dostupnosti) na tenanta (tenant Office 365 nebo tenant Azure AD).You install a single RMS connector (consisting of multiple servers for high availability) per tenant (Office 365 tenant or Azure AD tenant). Na rozdíl od Active Directory RMS není nutné instalovat konektor služby RMS do každé doménové struktury.Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Stáhněte si zdrojové soubory pro konektor služby RMS z webu Microsoft Download Center.Download the source files for the RMS connector from the Microsoft Download Center.

    Chcete-li nainstalovat konektor služby RMS, stáhněte si soubor RMSConnectorSetup.exe.To install the RMS connector, download RMSConnectorSetup.exe.

    Navíc platí:In addition:

    • Pokud chcete později konfigurovat konektor z 32bitového počítače, také stáhněte soubor RMSConnectorAdminToolSetup_x86.exe.If you later want to configure the connector from a 32-bit computer, also download RMSConnectorAdminToolSetup_x86.exe.

    • Pokud chcete použít nástroj Konfigurace serveru pro konektor RMS, k automatizaci konfigurace nastavení registrů na místních serverech, také stáhněte soubor GenConnectorConfig.ps1.If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on your on-premises servers, also download GenConnectorConfig.ps1.

  3. V počítači, na kterém chcete nainstalovat konektor služby RMS, spusťte RMSConnectorSetup.exe s oprávněními správce.On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with Administrator privileges.

  4. Na uvítací stránce Instalace konektoru Microsoft Rights Management, vyberte nainstalovat Microsoft Rights Management connector na počítačia potom klikněte na Další.On the Welcome page of the Microsoft Rights Management Connector Setup, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. Přečtěte si a potvrďte licenční podmínky konektoru služby RMS a pak klikněte na tlačítko Další.Read and agree to the RMS connector license terms, and then click Next.

Chcete-li pokračovat, zadejte účet a heslo ke konfiguraci konektoru služby RMS.To continue, enter an account and password to configure the RMS connector.

Zadání přihlašovacích údajůEntering credentials

Před konfigurací konektoru služby RMS musíte zadat přihlašovací údaje účtu, který má dostatečná oprávnění ke konfiguraci konektoru služby RMS.Before you can configure the RMS connector, you must enter credentials for an account that has sufficient privileges to configure the RMS connector. Můžete například zadat admin@contoso.com a pak zadat heslo pro tento účet.For example, you might type admin@contoso.com and then specify the password for this account.

Tento účet nesmí vyžadovat vícefaktorové ověřování (MFA), protože nástroj pro správu Microsoft Rights Management u tohoto účtu nepodporuje vícefaktorové ověřování.This account must not require multi-factor authentication (MFA) because the Microsoft Rights Management administration tool does not support MFA for this account.

Konektor má také určitá omezení znaků pro toto heslo.The connector also has some character restrictions for this password. Nelze použít heslo, které obsahuje některý z následujících znaků: Ampersand ( & ), levou hranatou závorku ( [ ), pravou hranatou závorku ( ] ), rovné uvozovky ( " ) a apostrof ( ' ).You cannot use a password that has any of the following characters: Ampersand ( & ); left angle bracket ( [ ); right angle bracket ( ] ); straight quotation ( " ); and apostrophe ( ' ). Pokud vaše heslo obsahuje některý z těchto znaků, ověřování konektoru služby RMS se nezdaří a zobrazí se chybová zpráva s informacemi o tom, že daná kombinace uživatelského jména a hesla není správná, přestože v jiných scénářích se pomocí tohoto účtu a hesla můžete úspěšně přihlásit.If your password has any of these characters, authentication fails for the RMS connector and you see the error message That user name and password combination is not correct, even though you can successfully sign in using this account and password for other scenarios. Pokud se tento scénář se vztahuje na heslo, použijte jiný účet s heslem, který nemá žádné z těchto speciálních znaků, nebo vytvořit nové heslo, aby neobsahovalo žádné z těchto speciálních znaků.If this scenario applies to your password, either use a different account with a password that does not have any of these special characters, or reset your password so it doesn't have any of these special characters.

Kromě toho, pokud jste implementovali ovládací prvky registrace, nezapomeňte ověřit, zda je zadaný účet schopen chránit obsah.In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. Pokud jste například omezili možnost chránit obsah na skupinu IT oddělení, musí být účet, který je tady zadaný, členem této skupiny.For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. Pokud není, zobrazí se chybová zpráva: pokus o zjištění polohy služby správy a organizace se nezdařil. Zkontrolujte, zda je povolena služba Microsoft Rights Management pro vaši společnost.If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

Můžete použít účet, který obsahuje jedno z následujících oprávnění:You can use an account that has one of the following privileges:

  • Globální správce pro vašeho tenanta: Účet, který je globálním správcem pro vašeho tenanta Office 365 nebo tenanta Azure AD.Global administrator for your tenant: An account that is a global administrator for your Office 365 tenant or Azure AD tenant.

  • Globální správce služby Azure Rights Management: Účet ve službě Azure Active Directory, kterému byla přiřazena role globálního správce Azure RMS.Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Správce služby Azure Rights Management Connector: Účet ve službě Azure Active Directory, kterému byla udělena oprávnění k instalaci a správě služby RMS Connector ve vaší společnosti.Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    Poznámka

    Role globálního správce služby Azure Rights Management a role správce služby Azure Rights Management Connector se účtům přiřazují pomocí rutiny Add-AadrmRoleBasedAdministrator služby Azure RMS.The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Azure RMS Add-AadrmRoleBasedAdministrator cmdlet.

    Pokud chcete spustit službu RMS Connector s nejnižšími oprávněními, vytvořte po tento účel vyhrazený účet, kterému pak pomocí následujícího postupu přiřadíte roli správce služby Azure RMS Connector:To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. Pokud jste to ještě neudělali, stáhněte a nainstalujte prostředí Windows PowerShell pro Rights Management.If you haven't already done so, download and install Windows PowerShell for Rights Management. Další informace najdete v tématu instalace modulu prostředí PowerShell AADRM.For more information, see Installing the AADRM PowerShell module.

      Spusťte Windows PowerShell pomocí příkazu Spustit jako správce a připojte se do služby Azure RMS pomocí příkazu Connect-AadrmService:Start Windows PowerShell with the Run as administrator command, and connect to the Azure RMS service by using the Connect-AadrmService command:

      Connect-AadrmService                   //provide Office 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Pak spusťte příkaz Add-AadrmRoleBasedAdministrator pomocí přesně jednoho z následujících parametrů:Then run the Add-AadrmRoleBasedAdministrator command, using just one of the following parameters:

      Add-AadrmRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AadrmRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Zadejte například: Add-AadrmRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"For example, type: Add-AadrmRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Přestože tyto příkazy používají roli ConnectorAdministrator, můžete zde také použít roli GlobalAdministrator.Although these commands assign the connector administrator role, you could also use the GlobalAdministrator role here, as well.

Během procesu instalace konektoru služby RMS je ověřen a nainstalován veškerý požadovaný software, Internetové informační služby (IIS) se nainstalují, pokud již nejsou přítomny a nainstaluje se a nakonfiguruje se software konektoru.During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. Kromě toho je Azure RMS připraveno ke konfiguraci vytvořením následujících položek:In addition, Azure RMS is prepared for configuration by creating the following:

  • Prázdná tabulka serverů, které jsou oprávnění k používání konektoru ke komunikaci s Azure RMS.An empty table of servers that are authorized to use the connector to communicate with Azure RMS. Servery do této tabulky přidáte později.You add servers to this table later.

  • Sada tokenů zabezpečení pro konektor, který autorizuje operace s Azure RMS.A set of security tokens for the connector, which authorize operations with Azure RMS. Tyto tokeny se stahují z Azure RMS a instalují se do místního počítače v registru.These tokens are downloaded from Azure RMS and installed on the local computer in the registry. Jsou chráněny pomocí programovacího rozhraní aplikace ochrany dat (DPAPI) a přihlašovacími údaji účtu Local System.They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

Na poslední stránce průvodce proveďte následující a pak klikněte na tlačítko Dokončit:On the final page of the wizard, do the following, and then click Finish:

  • Pokud jde o první nainstalovaný konektor, nevybírejte tentokrát možnost Spustit konzolu pro správu konektoru k ověření serverů.If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. Tuto možnost vyberte po instalaci druhého (nebo posledního) konektoru RMS.You will select this option after you have installed your second (or final) RMS connector. Místo toho znovu spusťte průvodce na alespoň jednom dalším počítači.Instead, run the wizard again on at least one other computer. Musíte nainstalovat minimálně dva konektory.You must install a minimum of two connectors.

  • Pokud jste nainstalovali svůj druhý (nebo poslední) konektor, vyberte možnost Spustit konzolu pro správu konektoru k ověření serverů.If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

Tip

V tomto okamžiku je k dispozici ověřovací test, který můžete provést a otestovat tak webové služby, zda je konektor služby RMS provozuschopný:At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • Z webového prohlížeče se připojte na adresu http://<connectoraddress>/_wmcs/certification/servercertification.asmx, a nahraďte <connectoraddress> adresou serveru nebo názvem, který má RMS konektor nainstalován.From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. Úspěšné připojení zobrazí stránku ServerCertificationWebService.A successful connection displays a ServerCertificationWebService page.

Pokud potřebujete odinstalovat konektor služby RMS, spusťte znovu průvodce a vyberte možnost odinstalovat.If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

Pokud máte potíže při instalaci, naleznete v protokolu instalace: %LocalAppData%\Temp\Microsoft Rights Management connector_<datum a čas > .logIf you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

Jako příklad instalace protokolu může vypadat podobně jako connector_20170803110352.log C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights ManagementAs an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Povolení použití konektoru RMS na serverechAuthorizing servers to use the RMS connector

Pokud jste nainstalovali konektor služby RMS na nejméně dva počítače, jste připraveni k autorizaci serverů a služeb, u kterých chcete používat konektor služby RMS.When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. Například servery se systémem Exchange Server 2013 nebo SharePoint Server 2013.For example, servers running Exchange Server 2013 or SharePoint Server 2013.

Pokud chcete definovat tyto servery, spusťte nástroj pro správu konektoru služby RMS a přidejte položky do seznamu povolených serverů.To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. Tento nástroj můžete spustit výběrem možnosti Spustit konzolu pro správu konektoru k ověření serverů na konci průvodce instalací konektoru Microsoft Rights Management, nebo ho můžete spustit samostatně z průvodce.You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

Při autorizaci těchto serverů vezměte v úvahu následující aspekty:When you authorize these servers, be aware of the following considerations:

  • Přidávaným serverům se udělí zvláštní oprávnění.Servers that you add are granted special privileges. Všem účtům, které zadáte pro roli Exchange Serveri v konfiguraci konektoru bude udělena role superuživatele v Azure RMS, která jim udělí přístup k celému obsahu pro tohoto tenanta služby RMS.All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. Funkce superuživatele se v tomto okamžiku v případě potřeby automaticky povolí.The super user feature is automatically enabled at this point, if necessary. Aby se zabránilo vzniku bezpečnostního rizika zvýšení oprávnění, dávejte pozor, abyste zadávali pouze účty, které jsou používány servery Exchange vaší společnosti.To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. Všechny servery, které jsou nakonfigurované jako servery SharePoint nebo souborové servery a které používají FCI, získají běžná uživatelská oprávnění.All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • Určením zabezpečení Active Directory nebo distribuční skupiny, nebo účtu služby, který se používá více než jeden server, můžete přidat více serverů jako jednu položku.You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. Při použití této konfigurace, na skupinu serverů sdílí stejné certifikáty služby RMS a jsou všechny budou považovány za vlastníky obsahu, který kterýkoliv z nich chrání.When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. Chcete-li minimalizovat správní režie, doporučujeme použít tuto konfigurace jedné skupiny, místo konfigurace jednotlivých serverů, k autorizaci serverů Exchange nebo serverové farmy služby SharePoint ve společnosti.To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

Na stránce Servery s povolením využívání konektoru klikněte na tlačítko Přidat.On the Servers allowed to utilize the connector page, click Add.

Poznámka

Ověřování serverů představuje ekvivalentní konfiguraci v Azure RMS pro konfiguraci služby AD RMS ručního použití práv systému souborů NTFS na soubor ServerCertification.asmx pro službu nebo účty serverů a ruční udělení oprávnění superuživatele pro účty serveru Exchange.Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. Použití oprávnění NTFS na soubor ServerCertification.asmx není u konektoru vyžadováno.Applying NTFS rights to ServerCertification.asmx is not required on the connector.

Přidání serveru do seznamu povolených serverůAdd a server to the list of allowed servers

Na stránce Povolit serveru využívání konektoru zadejte název objektu nebo vyhledejte objekt, který chcete autorizovat.On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

Je důležité, abyste autorizovali správný objekt.It is important that you authorize the correct object. Aby server mohl používat konektor, musí být účet, který spouští službu na místě (například Exchange nebo SharePoint), zvolen pro autorizaci.For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. Pokud je například služba spuštěna jako účet konfigurované služby, přidejte název účtu této služby na seznam.For example, if the service is running as a configured service account, add the name of that service account to the list. Pokud je služba spuštěna jako místní systém, přidejte název objektu počítače (například SERVERNAME$).If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). Pro nejlepší postup vytvořte skupinu, která obsahuje tyto účty a zadejte skupinu namísto názvů jednotlivých serverů.As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

Další informace o různých rolích serverů:More information about the different server roles:

  • U serverů se systémem Exchange: je nutné zadat skupinu zabezpečení a můžete použít výchozí skupinu (servery Exchange), které služba Exchange automaticky vytvoří a udržuje na všech serverech Exchange v doménové struktuře.For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • U serverů, které používají službu SharePoint:For servers that run SharePoint:

    • Pokud je server služby SharePoint 2010 konfigurován pro spouštění jako místní systém (nepoužívá účet služby), vytvořte ručně skupinu zabezpečení ve službě Active Directory Domain Services a přidejte objekt názvu počítače pro server v této konfigurace do této skupiny.If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • Pokud je server SharePoint konfigurován pro použití účtu služby (doporučený postup pro SharePoint 2010 a jediná možnost pro SharePoint 2016 a SharePoint 2013), postupujte takto:If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. Přidejte účet služby, který spouští službu Centrální správa SharePoint, a povolte konfiguraci služby SharePoint z konzoly pro správu.Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. Přidejte účet, který je nakonfigurován pro fond aplikací služby SharePoint.Add the account that is configured for the SharePoint App Pool.

      Tip

      Pokud se tyto dva účty liší, zvažte vytvoření jedné skupiny, která obsahuje oba účty, a minimalizujte tak správní režie.If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • Pro souborové servery používající infrastrukturu klasifikace souboru se přidružené služby spouští jako účet místního systému, takže musíte autorizovat účet počítače pro souborové servery (například SERVERNAME$) nebo skupinu, která tyto účty počítačů obsahuje.For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

Až dokončíte přidávání serverů do seznamu, klikněte na tlačítko Zavřít.When you have finished adding servers to the list, click Close.

Pokud jste tak ještě neučinili, musíte teď nakonfigurovat vyrovnávání zatížení pro servery, které mají nainstalovaný konektor služby RMS a zvážit, zda chcete používat protokol HTTPS pro připojení mezi těmito servery a servery, které jste právě autorizovali.If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

Konfigurace vyrovnávání zatížení a vysoké dostupnostiConfiguring load balancing and high availability

Po instalaci druhé nebo konečné instance konektoru služby RMS definujte název adresy URL serveru konektoru a konfigurujte systém vyrovnávání zatížení.After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load balancing system.

Název adresy URL serveru konektoru může představovat jakýkoli název v rámci oboru názvů, který ovládáte.The connector URL server name can be any name under a namespace that you control. Můžete například vytvořit položku v systému DNS pro rmsconnector.contoso.com a nakonfigurovat tuto položku pro použití IP adresy v systému vyrovnávání zatížení.For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load balancing system. Neexistují žádné zvláštní požadavky pro tento název a není třeba je konfigurovat na samotných serverech konektoru.There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Pokud nebudou vaše servery Exchange a SharePoint komunikovat s konektorem přes Internet, tento název není třeba vyřešit na internetu.Unless your Exchange and SharePoint servers are going to be communicating with the connector over the Internet, this name doesn’t have to resolve on the Internet.

Důležité

Doporučujeme neměnit tento název po konfiguraci serverů Exchange nebo SharePoint pro použití konektoru, protože je následně nutné odstranit z těchto serverů všechny konfigurace IRM a potom je znovu nakonfigurovat.We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

Po vytvoření názvu ve službě DNS a konfiguraci pro IP adresu nakonfigurujte vyrovnávání zatížení pro tuto adresu, která přesměruje přenosy na servery konektorů.After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. Pro tento účel můžete použít libovolný nástroj pro vyrovnávání zatížení založený na protokolu IP, který obsahuje funkci Network Load Balancing (NLB) v systému Windows Server.You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. Další informace najdete v příručce pro nasazení vyrovnávání zatížení.For more information, see Load Balancing Deployment Guide.

Chcete-li konfigurovat cluster NLB, použijte následující nastavení:Use the following settings to configure the NLB cluster:

  • Porty: 80 (pro protokol HTTP) nebo 443 (pro protokol HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    Další informace o tom, zda použít protokol HTTP nebo HTTPS, naleznete v další části.For more information about whether to use HTTP or HTTPS, see the next section.

  • Spřažení: žádnéAffinity: None

  • Způsob distribuce: rovnýDistribution method: Equal

Tento název definovaný pro systém vyrovnávání zatížení (pro servery používající konektor služby RMS) představuje název konektoru RMS společnosti, který budete používat později, když provedete konfiguraci místních serverů pro používání Azure RMS.This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

Konfigurace konektoru RMS pro použití protokolu HTTPSConfiguring the RMS connector to use HTTPS

Poznámka

Tento krok konfigurace je volitelný, ale doporučený pro dodatečné zabezpečení.This configuration step is optional, but recommended for additional security.

Ačkoli použití protokolu TLS nebo SSL je pro konektor služby RMS volitelné, doporučujeme ho pro všechny služby citlivé na zabezpečení založené na protokolu HTTP.Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. Tato konfigurace ověřuje servery se spuštěným konektorem na vašich serverech Exchange a SharePoint, které používají konektor.This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. Kromě toho jsou všechna data odesílaná z těchto serverů s konektorem zašifrovaná.In addition, all data that is sent from these servers to the connector is encrypted.

Pokud chcete povolit používání protokolu TLS v konektoru služby RMS, nainstalujte na všechny servery používající konektor služby RMS certifikát ověření serveru s názvem, který budete používat pro daný konektor.To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. Pokud je například název vašeho konektoru služby RMS, který jste definovali v DNS, rmsconnector.contoso.com, nasaďte certifikát ověření serveru, který obsahuje rmsconnector.contoso.com v předmětu certifikátu jako běžný název.For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. Nebo zadejte rmsconnector.contoso.com do alternativního názvu certifikátu jako hodnotu DNS.Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. Certifikát nemusí obsahovat název serveru.The certificate does not have to include the name of the server. Ve službě IIS tento certifikát navažte na výchozí webový server.Then in IIS, bind this certificate to the Default Web Site.

Pokud použijete možnost HTTPS, ujistěte se, zda mají všechny servery, které spouští konektor, platný certifikát ověřování serveru, který je zřetězen do kořenové certifikační autority, které důvěřují vaše servery Exchange a SharePoint.If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. Pokud navíc certifikační autorita (CA), která vydala certifikáty pro servery konektoru publikuje seznam odvolaných certifikátů (CRL), musí být servery Exchange a SharePoint schopny stáhnout tento seznam odvolaných certifikátů.In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

Tip

Následující informace a zdroje můžete použít jako pomoc při žádosti a instalaci certifikátu ověření serveru a tento certifikát navázat na výchozí webovou stránku služby IIS:You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Použijete-li tyto službu Active Directory Certificate Services (AD CS) a certifikační autority podnikové sítě (CA) k nasazení těchto certifikátů ověřování serveru, můžete replikovat a potom používat šablonu certifikátu webového serveru.If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. Tato šablona certifikátu používá možnost Dodáno na žádost pro název subjektu certifikátu, což znamená, že když požádáte o certifikát, můžete zajistit FQDN název konektoru služby RMS pro název subjektu certifikátu nebo alternativní název.This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • Pokud používáte samostatnou certifikační autoritu nebo zakoupíte tento certifikát od jiné společnosti, přečtěte si téma Konfigurace certifikátů internetových serverů (IIS 7) v knihovně dokumentace webového serveru (IIS) na webu TechNet.If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • Pokud chcete nakonfigurovat službu IIS, aby používala certifikát, přečtěte si téma Přidání vazby na web (IIS 7) v knihovně dokumentace webového serveru (IIS) na webu TechNet.To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Konfigurace konektoru RMS pro webový proxy serverConfiguring the RMS connector for a web proxy server

Pokud jsou vaše servery konektoru nainstalovány v síti, která nemá přímé připojení k internetu a vyžaduje ruční konfigurace webového proxy serveru pro odchozí přístup k internetu, musíte na těchto serverech nakonfigurovat registr pro konektor služby RMS.If your connector servers are installed in a network that does not have direct Internet connectivity and requires manual configuration of a web proxy server for outbound Internet access, you must configure the registry on these servers for the RMS connector.

Konfigurace konektoru služby RMS pro používání webového proxy serveruTo configure the RMS connector to use a web proxy server

  1. Na každý server spouštějící konektor služby RMS otevřete editor registru, například Regedit.On each server running the RMS connector, open a registry editor, such as Regedit.

  2. Přejděte na adresu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector.Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Přidejte hodnotu řetězce ProxyAddress a pak nastavte data pro tuto hodnotu na http://<MyProxyDomainOrIPaddress>:<MyProxyPort>Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Například: http://proxyserver.contoso.com:8080For example: http://proxyserver.contoso.com:8080

  4. Zavřete editor registru a pak restartujte server nebo proveďte příkaz IISReset a restartujte službu IIS.Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

Instalace nástroje pro správu konektoru RMS na počítače pro správuInstalling the RMS connector administration tool on administrative computers

Nástroj pro správu konektoru služby RMS můžete spustit z počítače, který neobsahuje nainstalovaný konektor služby RMS, pokud tento počítač splňuje následující požadavky:You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • Fyzický nebo virtuální počítač se systémem Windows Server 2012 nebo Windows Server 2012 R2 (všechny edice), Windows Server 2008 R2 nebo Windows Server 2008 R2 Service Pack 1 (všechny edice), Windows 8.1, Windows 8 nebo Windows 7.A physical or virtual computer running Windows Server 2012 or Windows Server 2012 R2 (all editions), Windows Server 2008 R2 or Windows Server 2008 R2 Service Pack 1 (all editions), Windows 8.1, Windows 8, or Windows 7.

  • Aspoň 1 GB paměti RAM.At least 1 GB of RAM.

  • Minimálně 64 GB místa na disku.A minimum of 64 GB of disk space.

  • Aspoň jedno síťové rozhraní.At least one network interface.

  • Přístup k internetu prostřednictvím brány firewall (nebo webového proxy serveru).Access to the Internet via a firewall (or web proxy).

Chcete-li nainstalovat nástroj pro správu konektoru služby RMS, spusťte následující soubory:To install the RMS connector administration tool, run the following files:

  • Pro 32bitový počítač: RMSConnectorAdminToolSetup_x86.exeFor a 32-bit computer: RMSConnectorAdminToolSetup_x86.exe

  • Pro 64bitový počítač: RMSConnectorSetup.exeFor a 64-bit computer: RMSConnectorSetup.exe

Pokud jste tyto soubory ještě nestáhli, můžete tak učinit z centra Microsoft Download Center.If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

Další krokyNext steps

Teď, když je konektor RMS nainstalován a nakonfigurován, jste připraveni ke konfiguraci místních serverů, aby ho mohli používat.Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Přejděte na téma Konfigurace serverů pro konektor Azure Rights Management.Go to Configuring servers for the Azure Rights Management connector.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.