Installieren und Konfigurieren des Azure Rights Management-ConnectorsInstalling and configuring the Azure Rights Management connector

Gilt für: Azure Information Protection, Windows Server 2019, 2016, 2012 R2 und Windows Server 2012Applies to: Azure Information Protection, Windows Server 2019, 2016, 2012 R2, and Windows Server 2012

Anhand der folgenden Informationen können Sie den Connector von Azure Rights Management (RMS) installieren und konfigurieren.Use the following information to help you install and configure the Azure Rights Management (RMS) connector. Diese Verfahren beziehen sich auf die unter Bereitstellen des Azure Rights Management-Connectors beschriebenen Schritte 1 bis 4.These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

Stellen Sie vorab sicher, dass Sie die Voraussetzungen für diese Bereitstellung überprüft haben.Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

Stellen Sie sicher, dass Sie die richtige Azure Sovereign Cloud-Instanz kennen, damit ihr Connector Setup und Konfiguration durchführen kann:Make sure you are aware of the correct Azure sovereign cloud instance for your connector to be able to complete setup and configuration:

  • Azurecloud: kommerzielles Angebot von AzureAzureCloud: Commercial offering of Azure
  • Azurechinacloud: Azure wird von 21ViaNet betriebenAzureChinaCloud: Azure Operated by 21Vianet
  • Azureus Government: Azure Government (gcc High/DoD)AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3AzureUSGovernment3: Azure Government 3

Installieren des RMS-ConnectorsInstalling the RMS connector

  1. Identifizieren Sie die Computer (mindestens zwei), um den RMS-Connector auszuführen.Identify the computers (minimum of two) to run the RMS connector. Diese Computer müssen die in den Voraussetzungen aufgeführte Mindestspezifikation erfüllen.These computers must meet the minimum specification listed in the prerequisites.

    Hinweis

    Installieren Sie einen einzelnen RMS-Connector (bestehend aus mehreren Servern für Hochverfügbarkeit) pro Mandant (Microsoft 365 Mandanten oder Azure AD Mandanten).Install a single RMS connector (consisting of multiple servers for high availability) per tenant (Microsoft 365 tenant or Azure AD tenant). Im Gegensatz zu Active Directory RMS müssen Sie nicht in jeder Gesamtstruktur einen RMS-Connector installieren.Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Laden Sie die Quelldateien für den RMS-Connector aus dem Microsoft Download Center herunter.Download the source files for the RMS connector from the Microsoft Download Center.

    Laden Sie zum Installieren des RMS-Connectors die Datei „RMSConnectorSetup.exe“ herunter.To install the RMS connector, download RMSConnectorSetup.exe.

    Außerdem:In addition:

    • Wenn Sie das Serverkonfigurationstool für den RMS-Connector verwenden möchten, um die Konfiguration der Registrierungseinstellungen auf Ihren lokalen Servern zu automatisieren, müssen Sie auch die Komponente „GenConnectorConfig.ps1“ herunterladen.If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on your on-premises servers, also download GenConnectorConfig.ps1.
  3. Führen Sie auf dem Computer, auf dem Sie den RMS-Connector installieren möchten, RMSConnectorSetup.exe mit Administratorrechten aus.On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with administrator privileges.

  4. Wählen Sie auf der Willkommensseite von Microsoft Rights Management Connector-Setup die Option Microsoft Rights Management Connector auf dem Computer installierenaus, und klicken Sie dann auf weiter.On the Welcome page of Microsoft Rights Management Connector Setup, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. Lesen und akzeptieren Sie die Lizenzbedingungen des RMS-Verbindungsdiensts, und klicken Sie auf Weiter.Read and agree to the RMS connector license terms, and then click Next.

Eingeben von AnmeldeinformationenEntering credentials

Bevor Sie den RMS-Verbindungs Dienst konfigurieren können, müssen Sie zuerst die Cloud-Umgebung auswählen, die ihrer Lösung entspricht.Before you can configure the RMS connector, you must first select the Cloud environment that matches your solution.

  • Azurecloud: kommerzielles Angebot von AzureAzureCloud: Commercial offering of Azure
  • Azurechinacloud: Azure wird von 21ViaNet betriebenAzureChinaCloud: Azure Operated by 21Vianet
  • Azureus Government: Azure Government (gcc High/DoD)AzureUSGovernment: Azure Government (GCC High/DoD)
  • AzureUSGovernment2: Azure Government 2AzureUSGovernment2: Azure Government 2
  • AzureUSGovernment3: Azure Government 3AzureUSGovernment3: Azure Government 3

Wählen Sie die richtige Azure-Umgebung aus, um Ihren neuen Aad RM-Connector zu authentifizieren

Nachdem Sie Ihre cloudumgebung ausgewählt haben, geben Sie Ihren Benutzernamen und Ihr Kennwort einAfter making your Cloud environment selection, enter your Username and password. Stellen Sie sicher, dass Sie die Anmelde Informationen für ein Konto eingeben, das über ausreichende Berechtigungen zum Konfigurieren des RMS-Verbindungs VerbindungsMake sure you enter credentials for an account that has sufficient privileges to configure the RMS connector. Beispielsweise können Sie eingeben admin@contoso.com und dann das Kennwort für dieses Konto angeben.For example, you might type admin@contoso.com and then specify the password for this account.

Wenn Sie Onboarding-Steuerelemente implementiert haben, müssen Sie darüber hinaus sicherstellen, dass das von Ihnen angegebene Konto Inhalte schützen kann.In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. Wenn Sie beispielsweise die Möglichkeit zum Schützen von Inhalten auf die Gruppe „IT-Abteilung“ beschränkt haben, muss das Konto, das Sie hier angeben, ein Mitglied dieser Gruppe sein.For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. Andernfalls wird die folgende Fehlermeldung angezeigt: Fehler beim Versuch, den Speicherort des Verwaltungs Dienstanbieter und der Organisation zu ermitteln. Stellen Sie sicher, dass Microsoft Rights Management Service für Ihre Organisation aktiviert ist.If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

Sie können ein Konto verwenden, das über eine der folgenden Berechtigungen verfügt:You can use an account that has one of the following privileges:

  • Globaler Administrator für IhrenMandanten: ein Konto, das ein globaler Administrator für Ihren Microsoft 365 Mandanten oder Azure AD Mandanten ist.Global administrator for your tenant: An account that is a global administrator for your Microsoft 365 tenant or Azure AD tenant.

  • Globaler Azure Rights Management-Administrator: Ein Konto in Azure Active Directory, dem die Rolle „Globaler Azure RMS-Administrator“ zugewiesen wurde.Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Azure Rights Management-Connectoradministrator: Ein Konto in Azure Active Directory, dem Rechte zum Installieren und Verwalten des RMS-Connectors für Ihre Organisation erteilt wurden.Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    Hinweis

    Die Rolle "globaler Azure Rights Management-Administrator" und "Azure Rights Management Connector-Administrator" werden Konten mithilfe des Cmdlets " Add-aipservicerolebasedadministrator " zugewiesen.The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Add-AipServiceRoleBasedAdministrator cmdlet.

    Wenn der RMS-Connector mit den Mindestberechtigungen ausgeführt werden soll, erstellen Sie ein dediziertes Konto für diesen Zweck, dem Sie dann die Rolle „Azure RMS-Connectoradministrator“ zuweisen, indem Sie die folgenden Schritte ausführen:To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. Wenn Sie dies noch nicht getan haben, laden Sie das PowerShell-Modul aipservice herunter, und installieren Sie es.If you haven't already done so, download and install the AIPService PowerShell module. Weitere Informationen finden Sie unter Installieren des aipservice-PowerShell-Moduls.For more information, see Installing the AIPService PowerShell module.

      Starten Sie Windows PowerShell mit dem Befehl als Administrator ausführen , und stellen Sie mithilfe des Befehls Connect-aipservice eine Verbindung mit dem Schutzdienst her:Start Windows PowerShell with the Run as administrator command, and connect to the protection service by using the Connect-AipService command:

      Connect-AipService                   //provide Microsoft 365 tenant administrator or Azure RMS global administrator credentials
      
    2. Führen Sie dann den Befehl Add-aipservicerolebasedadministrator aus, und verwenden Sie dabei nur einen der folgenden Parameter:Then run the Add-AipServiceRoleBasedAdministrator command, using just one of the following parameters:

      Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      Geben Sie beispielsweise Folgendes ein: Add-aipservicerolebasedadministrator-EmailAddress melisa@contoso.com -Role "Connector Administrator" .For example, type: Add-AipServiceRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      Obwohl diese Befehle die Rolle "Connector-Administrator" zuweisen, können Sie hier auch die Rolle "globaladministrator" verwenden.Although these commands assign the connector administrator role, you can also use the GlobalAdministrator role here.

Während der Installation des RMS-Connectors werden alle erforderlichen Softwareanwendungen überprüft und installiert, Internetinformationsdienste (Internet Information Services, IIS) wird installiert, sofern nicht bereits vorhanden, und die Connectorsoftware wird installiert und konfiguriert.During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. Darüber hinaus wird Azure RMS für die Konfiguration vorbereitet, indem Folgendes erstellt wird:In addition, Azure RMS is prepared for configuration by creating the following:

  • Eine leere Tabelle für Server, die autorisiert sind, den Connector für die Kommunikation mit Azure RMS zu verwenden.An empty table of servers that are authorized to use the connector to communicate with Azure RMS. Fügen Sie dieser Tabelle später Server hinzu.Add servers to this table later.

  • Ein Satz von Sicherheitstoken für den Connector, die Vorgänge mit Azure RMS autorisieren.A set of security tokens for the connector, which authorize operations with Azure RMS. Diese Token werden aus Azure RMS heruntergeladen und auf dem lokalen Computer in der Registrierung installiert.These tokens are downloaded from Azure RMS and installed on the local computer in the registry. Sie werden mithilfe der Datenschutz-Anwendungsprogrammierschnittstelle (Data Protection Application Programming Interface, DPAPI) und Anmeldeinformationen für das lokale Systemkonto geschützt.They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

Führen Sie auf der letzten Seite des Assistenten Folgendes durch, und klicken Sie dann auf Fertig stellen:On the final page of the wizard, do the following, and then click Finish:

  • Wenn dies der erste Verbindungsdienst ist, den Sie installiert haben, aktivieren Sie dabei noch nicht Verbindungsdienst-Administratorkonsole zum Autorisieren von Servern starten.If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. Sie wählen diese Option aus, nachdem Sie Ihren zweiten (oder letzten) RMS-Connector installiert haben.You will select this option after you have installed your second (or final) RMS connector. Führen Sie stattdessen den Assistenten auf mindestens einem anderen Computer erneut aus.Instead, run the wizard again on at least one other computer. Sie müssen mindestens zwei Connectors installieren.You must install a minimum of two connectors.

  • Wenn Sie Ihren zweiten (oder letzten) Verbindungsdienst installiert haben, aktivieren Sie Verbindungsdienst-Administratorkonsole zum Autorisieren von Servern starten.If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

Tipp

Zu diesem Zeitpunkt gibt es einen Überprüfungstest, den Sie ausführen können, um zu testen, ob die Webdienste für den RMS-Connector funktionieren:At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • Stellen Sie über einen Webbrowser eine Verbindung mit http://<Connectoradresse>/_wmcs/certification/servercertification.asmx her, wobei Sie <Connectoradresse> durch die Adresse oder den Namen des Servers ersetzen, auf dem der RMS-Connector installiert ist.From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. Bei einer erfolgreichen Verbindung wird eine Seite ServerCertificationWebService angezeigt.A successful connection displays a ServerCertificationWebService page.

Wenn Sie den RMS-Connector deinstallieren müssen, führen Sie den Assistenten erneut aus, und wählen Sie die Option „Deinstallieren“ aus.If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

Wenn während der Installation Probleme auftreten, überprüfen Sie das Installationsprotokoll: %LocalAppData%\Temp\Microsoft Rights Management connector_ <date and time> . logIf you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

Ihr Installationsprotokoll könnte beispielsweise wie folgt aussehen: „C:\Benutzer\Administrator\AppData\Local\Temp\Microsoft Rights Management-Connector_20170803110352.log“.As an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

Autorisieren von Servern für die Verwendung des RMS-ConnectorsAuthorizing servers to use the RMS connector

Wenn Sie den RMS-Connector auf mindestens zwei Computern installiert haben, können Sie die Server und Dienste autorisieren, die den RMS-Connector verwenden sollen.When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. Beispielsweise Server, auf denen Exchange Server 2013 oder SharePoint Server 2013 ausgeführt wird.For example, servers running Exchange Server 2013 or SharePoint Server 2013.

Um diese Server zu definieren, führen Sie das Verwaltungstool für den RMS-Connector aus, und fügen Sie der Liste zugelassener Server Einträge hinzu.To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. Sie können dieses Tool ausführen, wenn Sie am Ende des Installations-Assistenten des Microsoft Rights Management-Verbindungsdiensts Verbindungsdienst-Administratorkonsole zum Autorisieren von Servern starten auswählen, oder Sie führen ihn gesondert aus dem Assistenten heraus aus.You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

Berücksichtigen Sie beim Autorisieren dieser Server die folgenden Aspekte:When you authorize these servers, be aware of the following considerations:

  • Servern, die Sie hinzufügen, werden besondere Berechtigungen erteilt.Servers that you add are granted special privileges. Allen Konten, die Sie für die Exchange Server-Rolle in der Konfiguration des Connectors angeben, wird in Azure RMS die Administratorrolle zugewiesen, die den Konten Zugriff auf alle Inhalte für diesen RMS-Mandanten gewährt.All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. Die Administratorfunktion wird zu diesem Zeitpunkt bei Bedarf automatisch aktiviert.The super user feature is automatically enabled at this point, if necessary. Um Sicherheitsrisiken durch Rechteerweiterungen zu vermeiden, achten Sie sorgfältig darauf, nur Konten anzugeben, die von den Exchange-Servern Ihrer Organisation verwendet werden.To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. Alle als SharePoint-Server oder Dateiserver konfigurierten Server, die FCI verwenden, erhalten normale Benutzerrechte.All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • Sie können mehrere Server als einzelnen Eintrag hinzufügen, indem Sie eine Active Directory-Sicherheits- oder -Verteilergruppe oder ein von mehreren Servern verwendetes Dienstkonto angeben.You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. Bei Verwendung dieser Konfiguration verwendet die Gruppe von Servern gemeinsam dieselben RMS-Zertifikate, und alle werden als Besitzer von Inhalten angesehen, die einer von ihnen geschützt hat.When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. Zur Minimierung des Verwaltungsaufwands empfehlen wir die Verwendung dieser Konfiguration einer Einzelgruppe statt einzelner Server, um die Exchange-Server Ihrer Organisation oder eine SharePoint-Serverfarm zu autorisieren.To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

Klicken Sie auf der Seite Zur Verwendung des Verbindungsdiensts berechtigte Server auf Hinzufügen.On the Servers allowed to utilize the connector page, click Add.

Hinweis

Das Autorisieren von Servern ist die äquivalente Konfiguration in Azure RMS zur AD RMS-Konfiguration, bei der die NTFS-Rechte auf „ServerCertification.asmx“ für die Dienst- oder Servercomputerkonten manuell angewendet werden und die Administratorrechte den Exchange-Konten manuell zugewiesen werden.Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. Das Anwenden von NTFS-Rechten auf „ServerCertification.asmx“ ist für den Connector nicht erforderlich.Applying NTFS rights to ServerCertification.asmx is not required on the connector.

Hinzufügen eines Servers zur Liste zugelassenen ServerAdd a server to the list of allowed servers

Geben Sie auf der Seite Einem Server die Nutzung des Verbindungsdiensts gestatten den Namen des Objekts ein, oder durchsuchen Sie, um das zu autorisierende Objekt zu identifizieren.On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

Es ist wichtig, dass Sie das richtige Objekt autorisieren.It is important that you authorize the correct object. Damit ein Server den Connector verwenden kann, muss das Konto, das den lokalen Dienst (z. B. Exchange oder SharePoint) ausführt, zur Autorisierung ausgewählt werden.For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. Wenn z. B. der Dienst als konfiguriertes Dienstkonto ausgeführt wird, fügen Sie der Liste den Namen dieses Dienstkontos hinzu.For example, if the service is running as a configured service account, add the name of that service account to the list. Wenn der Dienst als lokales System ausgeführt wird, fügen Sie den Namen des Computerobjekts (z. B. SERVERNAME$) hinzu.If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). Als bewährte Methode erstellen Sie eine Gruppe, die diese Konten enthält, und geben Sie anstelle einzelner Servernamen die Gruppe an.As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

Weitere Informationen zu den verschiedenen Serverrollen:More information about the different server roles:

  • Für Server, auf denen Exchange ausgeführt wird, gilt Folgendes: Sie müssen eine Sicherheitsgruppe angeben, und Sie können die Standardgruppe (Exchange-Server) verwenden, die Exchange automatisch erstellt und für alle Exchange-Server in der Gesamtstruktur verwaltet.For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • Für Server, auf denen SharePoint ausgeführt wird, gilt Folgendes:For servers that run SharePoint:

    • Wenn ein SharePoint 2010-Server für die Ausführung als lokales System konfiguriert ist (es wird kein Dienstkonto verwendet), erstellen Sie manuell eine Sicherheitsgruppe in Active Directory Domain Services, und fügen Sie dieser Gruppe das Computernamensobjekt für den Server in dieser Konfiguration hinzu.If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • Wenn ein SharePoint-Server für die Verwendung eines Dienstkontos konfiguriert ist (Empfehlung für SharePoint 2010 und die einzige Option für SharePoint 2016 und SharePoint 2013), gehen Sie wie folgt vor:If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. Fügen Sie das Dienstkonto hinzu, das den SharePoint-Zentraladministrationsdienst ausführt, damit SharePoint über die Administratorkonsole konfiguriert werden kann.Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. Fügen Sie das Konto hinzu, das für den SharePoint-App-Pool konfiguriert ist.Add the account that is configured for the SharePoint App Pool.

      Tipp

      Wenn sich diese beiden Konten unterscheiden, sollten Sie in Erwägung ziehen, eine einzige Gruppe zu erstellen, die beide Konten enthält, um den Verwaltungsaufwand zu minimieren.If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • Für Dateiserver, die die Dateiklassifizierungsinfrastruktur verwenden, werden die zugeordneten Dienste unter dem lokalen Systemkonto ausgeführt, sodass Sie das Computerkonto für die Dateiserver (z. B. SERVERNAME$) oder eine Gruppe, die diese Computerkonten enthält, autorisieren müssen.For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

Wenn Sie mit dem Hinzufügen von Servern zu der Liste fertig sind, klicken Sie auf Schließen.When you have finished adding servers to the list, click Close.

Wenn Sie dies nicht bereits getan haben, müssen Sie jetzt den Lastenausgleich für die Server konfigurieren, auf denen der RMS-Connector installiert ist, und überlegen, ob HTTPS für die Verbindungen zwischen diesen Servern und den Servern verwendet werden soll, die Sie gerade autorisiert haben.If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

Konfigurieren von Lastausgleich und hoher VerfügbarkeitConfiguring load balancing and high availability

Nachdem Sie die zweite oder letzte Instanz des RMS-Verbindungs dienstanschlusses installiert haben, definieren Sie einen Connector-URL-Servernamen, und konfigurieren Sie ein Lasten Ausgleichssystem.After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load-balancing system.

Der Connector-URL-Servername kann ein beliebiger Name unter einem Namespace sein, der von Ihnen gesteuert wird.The connector URL server name can be any name under a namespace that you control. Beispielsweise können Sie einen Eintrag in Ihrem DNS-System für rmsconnector.contoso.com erstellen und diesen Eintrag so konfigurieren, dass eine IP-Adresse in Ihrem Lasten Ausgleichssystem verwendet wird.For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load-balancing system. Für diesen Namen gibt es keine besonderen Anforderungen, und er muss nicht auf den Connector-Servern konfiguriert werden.There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Wenn Ihre Exchange-und SharePoint-Server nicht über das Internet mit dem Connector kommunizieren, muss dieser Name im Internet nicht aufgelöst werden.Unless your Exchange and SharePoint servers are going to be communicating with the connector over the internet, this name doesn’t have to resolve on the internet.

Wichtig

Wir empfehlen Ihnen, diesen Namen nach der Konfiguration von Exchange- oder SharePoint-Servern für die Verwendung des Connectors nicht mehr zu ändern, weil Sie ansonsten alle IRM-Konfigurationen auf diesen Servern löschen und diese dann neu konfigurieren müssen.We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

Nachdem der Name in DNS erstellt und für eine IP-Adresse konfiguriert wurde, konfigurieren Sie den Lastenausgleich für diese Adresse, die den Datenverkehr an die Connector-Server leitet.After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. Sie können zu diesem Zweck jedes IP-basierte Lastenausgleichsmodul verwenden, das den Netzwerklastenausgleich (Network Load Balancing, NLB) von Windows Server enthält.You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. Weitere Informationen finden Sie unter Lastenausgleich – Bereitstellungsleitfaden.For more information, see Load Balancing Deployment Guide.

Verwenden Sie die folgenden Einstellungen, um den NLB-Cluster zu konfigurieren:Use the following settings to configure the NLB cluster:

  • Ports: 80 (für HTTP) oder 443 (für HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    Weitere Informationen dazu, ob Sie HTTP oder HTTPS verwenden sollten, finden Sie im nächsten Abschnitt.For more information about whether to use HTTP or HTTPS, see the next section.

  • Affinität: KeineAffinity: None

  • Verteilungsmethode: GleichDistribution method: Equal

Dieser Name, den Sie für das System mit Lastenausgleich (für die Server, auf denen der RMS-Connectordienst ausgeführt wird) definieren, ist der Name des RMS-Connectors Ihrer Organisation, den Sie später beim Konfigurieren der lokalen Server für die Verwendung von Azure RMS verwenden.This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

Konfigurieren des RMS-Connectors für die Verwendung von HTTPSConfiguring the RMS connector to use HTTPS

Hinweis

Dieser Konfigurationsschritt ist optional, wird jedoch als zusätzliche Sicherheitsmaßnahme empfohlen.This configuration step is optional, but recommended for additional security.

Obwohl die Verwendung von TLS oder SSL für den RMS-Connector optional ist, empfehlen wir sie für jeden HTTP-basierten sicherheitsrelevanten Dienst.Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. Diese Konfiguration authentifiziert die Server, auf denen der Connector ausgeführt wird, gegenüber Ihren Exchange- und SharePoint-Servern, die den Connector verwenden.This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. Darüber hinaus werden alle von diesen Servern an den Connector gesendeten Daten verschlüsselt.In addition, all data that is sent from these servers to the connector is encrypted.

Um den RMS-Connector für die Verwendung von TLS zu aktivieren, installieren Sie auf jedem Server, auf dem der RMS-Connector ausgeführt wird, ein Serverauthentifizierungszertifikat, das den Namen enthält, den Sie für den Connector verwenden.To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. Wenn Ihr RMS-Connectorname, den Sie in DNS definiert haben, beispielsweise rmsconnector.contoso.com lautet, stellen Sie ein Serverauthentifizierungszertifikat bereit, das rmsconnector.contoso.com als allgemeinen Namen im Zertifikatantragsteller enthält.For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. Oder geben Sie rmsconnector.contoso.com im alternativen Namen des Zertifikats als DNS-Wert an.Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. Das Zertifikat muss nicht den Namen des Servers enthalten.The certificate does not have to include the name of the server. Binden Sie dann in IIS dieses Zertifikat an die Standardwebsite.Then in IIS, bind this certificate to the Default Web Site.

Stellen Sie bei Verwendung der HTTPS-Option sicher, dass alle Server, auf denen der Connector ausgeführt wird, über ein gültiges Serverauthentifizierungszertifikat verfügen, das mit einer Stammzertifizierungsstelle verkettet ist, der Ihre Exchange- und SharePoint Server vertrauen.If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. Und wenn die Zertifizierungsstelle, die die Zertifikate für die Connector-Server ausgestellt hat, eine Zertifikatsperrliste veröffentlicht, müssen die Exchange- und SharePoint-Server darüber hinaus in der Lage sein, diese Zertifikatsperrliste herunterzuladen.In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

Tipp

Mithilfe der folgenden Informationen und Ressourcen können Sie ein Serverauthentifizierungszertifikat anfordern und installieren und dieses Zertifikat an die Standardwebsite in ISS binden:You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Wenn Sie Active Directory-Zertifikatdienste (AD CS) und eine Unternehmenszertifizierungsstelle verwenden, um diese Serverauthentifizierungszertifikate bereitzustellen, können Sie die Webserver-Zertifikatvorlage duplizieren und dann verwenden.If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. Diese Zertifikatvorlage verwendet Informationen wurden in der Anforderung angegeben als Zertifikatantragstellernamen, was bedeutet, dass Sie den FQDN des RMS-Verbindungsdienstnamens als Zertifikatnamen für den Zertifikatantragstellernamen oder für den alternativen Antragstellernamen angeben können, wenn Sie das Zertifikat anfordern.This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • Wenn Sie eine eigenständige Zertifizierungsstelle verwenden oder dieses Zertifikat von einem anderen Unternehmen kaufen, lesen Sie Konfigurieren von Internetserverzertifikaten (IIS 7) in der Dokumentationsbibliothek von Webserver (IIS) auf der TechNet-Website.If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • Informationen zum Konfigurieren von ISS für die Verwendung des Zertifikats finden Sie unter Hinzufügen einer Bindung zu einer Website (IIS 7) in der Dokumentationsbibliothek von Webserver (IIS) auf der TechNet-Website.To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Konfigurieren des RMS-Connectors für einen WebproxyserverConfiguring the RMS connector for a web proxy server

Wenn die Connector-Server in einem Netzwerk installiert sind, das keine direkte Internetverbindung besitzt und eine manuelle Konfiguration eines Webproxyservers für ausgehenden Internet Zugriff erfordert, müssen Sie die Registrierung auf diesen Servern für den RMS-Verbindungs Dienst konfigurieren.If your connector servers are installed in a network that does not have direct internet connectivity and requires manual configuration of a web proxy server for outbound internet access, you must configure the registry on these servers for the RMS connector.

So konfigurieren Sie den RMS-Connector für die Verwendung eines WebproxyserversTo configure the RMS connector to use a web proxy server

  1. Öffnen Sie auf jedem Server, auf dem der RMS-Connector ausgeführt wird, einen Registrierungs-Editor, z. B. Regedit.On each server running the RMS connector, open a registry editor, such as Regedit.

  2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\ConnectorNavigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. Fügen Sie den Zeichenfolgenwert ProxyAddress hinzu, und legen Sie dann die Daten für diesen Wert auf http://<MeineProxyDomäneOderIPAdresse>:<MeinProxyPort> fest.Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    Beispiel: http://proxyserver.contoso.com:8080For example: http://proxyserver.contoso.com:8080

  4. Schließen Sie den Registrierungs-Editor, und starten Sie dann den Server neu, oder führen Sie einen IISReset-Befehl aus, um IIS neu zu starten.Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

Installieren des Verwaltungstools für den RMS-Connector auf administrativen ComputernInstalling the RMS connector administration tool on administrative computers

Sie können das Verwaltungstool für den RMS-Connector auf einem Computer ausführen, auf dem der RMS-Connector nicht installiert ist, wenn dieser Computer die folgenden Anforderungen erfüllt:You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • Ein physischer oder virtueller Computer, auf dem Windows Server 2019, 2016, 2012 oder Windows Server 2012 R2 (alle Editionen), Windows 10, Windows 8.1 oder Windows 8 ausgeführt wird.A physical or virtual computer running Windows Server 2019, 2016, 2012 or Windows Server 2012 R2 (all editions), Windows 10, Windows 8.1, Windows 8.

  • Mindestens 1 GB RAM.At least 1 GB of RAM.

  • Mindestens 64 GB Speicherplatz auf dem Datenträger.A minimum of 64 GB of disk space.

  • Mindestens eine Netzwerkschnittstelle.At least one network interface.

  • Zugriff auf das Internet über eine Firewall (oder einen Webproxy).Access to the internet via a firewall (or web proxy).

Führen Sie zum Installieren des Verwaltungstools für den RMS-Connector die folgenden Dateien aus:To install the RMS connector administration tool, run the following files:

  • Auf einem 64-Bit-Computer: „RMSConnectorSetup.exe“For a 64-bit computer: RMSConnectorSetup.exe

Wenn Sie diese Dateien noch nicht heruntergeladen haben, können Sie diese aus dem Microsoft Download Center herunterladen.If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

Nächste SchritteNext steps

Nachdem der RMS-Connector nun installiert und konfiguriert ist, können Sie Ihre lokalen Server für dessen Verwendung konfigurieren.Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Navigieren Sie zu Konfigurieren von Servern für den Azure Rights Management-Verbindungsdienst.Go to Configuring servers for the Azure Rights Management connector.