將 AD RMS 升級至 Windows Server 2016

  • 發行項

簡介

Active Directory Rights Management Services (AD RMS) 是一項 Microsoft 服務,用於保護機密文件和電子郵件。 不同於防火牆和 ACL 等傳統保護方法,無論檔案去到哪裡或以何種方式傳輸,AD RMS 加密和保護都能持續起到作用。

本文件提供從 Windows Server 2012 R2 與 SQL Server 2012 移轉至 Windows Server 2016 與 SQL Server 2016 的指導方針。 您可以使用相同的程序從有受到支援的較舊 AD RMS 版本進行移轉。 請注意,Active Directory Rights Management Services 已不再進行開發,客戶如需最新功能,請考慮移轉至 Azure 資訊保護,此服務可提供一組更完整的功能,並有更完整的裝置和應用程式支援。

如需有關在不必重新保護內容的情況下,從 AD RMS 移轉至 Azure 資訊保護的資訊,請參閱 Azure 資訊保護移轉文件

關於本指南中使用的環境

AD FS 是安裝 AD RMS 時可選擇是否安裝的元件。 本指南的假設是有使用 AD FS。 如果您的環境中尚未使用 AD FS 來支援 AD RMS 使用者,您可以略過所有提到 AD FS 的步驟。

在本指南中,我們會藉由執行平行安裝並透過備份移動資料庫,將 SQL Server 升級至 SQL Server 2016。 或者,如果您可以將 AD RMS 和 AD FS 資料庫伺服器就地升級至 SQL Server 2016,則可以在升級完成後移至本文件的下一節,而不必遵循這一節的步驟。

安裝

設定 SQL Server 2016

下一節會詳細說明與 SQL Server 2016 組態直接相關的實作工作。 本指南將重點放在使用伺服器管理員和 SQL Server Management Studio 來完成這些工作。

您必須在安裝 SQL Server 2016 時完成這些步驟。 請按照貴組織的標準做法和原則,於適當硬體上安裝 SQL Server 2016。

準備 SQL Server

下一節會詳細說明如何準備 SQL Server,以便先將 SQL Server 升級至 SQL Server 2016,再將 AD RMS 平台中的其他服務升級以使用 Windows Server 2016。

將 SQL Server 2016 的 CNAME 新增至 DNS

CNAME 可用來協助確保 Windows Server 2016 安裝程式會取得適當的資料,因為其會指向新的 SQL Server 2016。 注意:如果已針對 AD FS 和 AD RMS 服務使用 CNAME,您可以繼續執行後續步驟。

將 SQL Server 2016 的 CNAME 新增至 DNS

  1. 使用網域系統管理員認證登入 Windows Server 2012 R2 網域控制站。

  2. 開啟 [伺服器管理員] 。

  3. 按一下 [工具],然後選取 [DNS] 以開啟 [DNS 管理員]。

  4. 從左側瀏覽窗格中展開 [DC],然後開啟 [正向對應區域]

  5. 開啟適當的網域資源,然後在右側的檢視窗格中按一下滑鼠右鍵,並選取 [新增別名 (CNAME)] 以開始建立 CNAME。

  6. 在別名名稱中輸入邏輯名稱,以與其他可能存在的別名有所區別 (例如SQLADRMS 或 SQLADFS)

  7. 輸入名稱後,請為要作為新 SQL Server 2016 伺服器的目標主機提供 FQDN。 (例如SQL2016.contoso.com)

  8. 輸入完所有資訊後,按一下 [確定]

備份 AD RMS 和 AD FS 資料庫

AD RMS 和 AD FS 資料庫會保存 AD RMS 所需的重要資訊,例如伺服器授權人憑證的公開金鑰、權限原則範本、AD FS 組態資料,以及記錄資訊。 沒有這些資料庫,用戶端除了無法發出用來取用受保護內容的授權外,還會導致其他問題。

在所有資料庫中,AD RMS 組態資料庫最為重要,因為其會儲存 SLC、權限原則範本、使用者的金鑰和組態資訊。 因此,雖然在備份所有 AD RMS 和 AD FS 資料庫應謹慎進行,但您還是應該制定計畫,定期備份組態資料庫。

記錄資料庫會針對使用者向 AD RMS 叢集所提出的憑證和使用授權要求儲存相關的資訊。 您在針對這個資料庫制定備份策略時,應該以公司對於這類資訊的保留原則作為基礎。

目錄服務資料庫對 AD RMS 功能並不重要,如果遺失最新資料,當 AD RMS 伺服器收到關於憑證和使用授權的要求時,目錄服務資料庫會重新填入資訊。 您不需要定期備份這個資料庫,但您必須至少有一份在部署 AD RMS 後,這個資料庫的原始設定複本。

使用 Microsoft SQL Server 備份 AD RMS 和/或 AD FS 資料庫

  1. 使用 SQL 2012 登入 Windows Server 2012 R2 AD RMS 資料庫伺服器。

  2. 依序按一下 [開始]、[所有程式]、[Microsoft SQL Server] 和 [SQL Server Management Studio]

  3. 在 [連線到伺服器] 視窗中,確認 [伺服器名稱] 方塊中有裝載 AD RMS 資料庫的伺服器,然後按一下 [連線]

  4. 展開 [資料庫] 。 以滑鼠右鍵按一下適當的資料庫 (DRMSAdfs),指向 [工作],然後選取 [備份]

  5. 對其餘資料庫重複步驟 4。

  6. 確定您可以透過網路上的其他電腦或使用儲存體裝置來存取資料庫備份,因為在移轉期間稍後的步驟中需要用到這些資料庫。

現在您可以將資料庫複本儲存在安全的位置。 請記得經常備份資料庫。

將網域系統管理員、SQL、AD RMS 和/或 AD FS 服務帳戶新增至 SQL Server 2016

下列步驟會示範如何將各種服務帳戶新增至 SQL Server 2016,以便有助於從 Windows Server 2012 R2 環境移轉資料。 在嘗試存取內容並處理資料時,這麼做可提供適當權限。

將網域系統管理員、SQL、AD RMS 和/或 AD FS 服務帳戶新增至 SQL Server

  1. 使用 SQL Server 2016 作為本機系統管理員帳戶來登入伺服器。

  2. 依序按一下 [開始]、[所有程式]、[Microsoft SQL Server] 和 [SQL Server Management Studio]

  3. 在 [連線到伺服器] 視窗中,確認 [伺服器名稱] 方塊中有裝載 AD RMS 資料庫的伺服器,然後針對 [驗證] 按一下下拉式功能表,並選取 [SQL Server 驗證]

  4. 在 [登入] 欄位中,輸入本機系統管理員帳戶的名稱 (例如 localadmin),然後提供適當密碼並按一下 [連線]

  5. 展開 [安全性],然後以滑鼠右鍵按一下 [登入],並從出現的操作功能表中選取 [新增登入]

  6. 視窗出現後,在 [登入名稱] 欄位中輸入 [網域管理員帳戶] (例如Contoso\ContosoAdmin)

  7. 從左側瀏覽窗格中,選擇 [伺服器角色]

  8. 然後,核取伺服器角色下 [系統管理員] 的核取方塊,並按一下 [確定]

  9. 重新啟動 SQL Server Management

  10. 在 [連線到伺服器] 視窗中,確認 [伺服器名稱] 方塊中有裝載 AD RMS 資料庫的伺服器,然後針對 [驗證] 按一下下拉式功能表,並選取 [Windows 驗證],再按一下 [連線]

將 AD RMS 和 AD FS 資料庫還原至 SQL Server 2016

下列步驟會示範如何將先前 SQL Server 執行個體中的資料還原至新的 2016 執行個體。 這可讓新的 SQL 利用先前 AD RMS 和 AD FS 資料庫中的相關組態資料。

將先前 SQL Server 中的資料還原至新的 SQL Server

  1. 使用適當帳戶透過 SQL Server 2016 登入伺服器。

  2. 從左側瀏覽窗格中,以滑鼠右鍵按一下 [資料庫],然後選取 [還原資料庫] 以開始進行還原程序。

  3. 在 [來源] 下選擇 [裝置],然後瀏覽先前步驟中用來儲存資料庫檔案的位置。

  4. 選取檔案之後,按一下 [確定]

  5. 按一下 [確定],確定您已新增所有資料庫檔案並完成程序。

設定 Windows Server 2016 Active Directory 同盟服務 (AD FS)

您已部署 AD FS 以透過應用程式的形式提供 AD RMS 單一登入 (SSO) 存取權。 您也已經使用 AD RMS 行動裝置擴充功能 (MDE) 設定 AD FS,以便為使用者啟用 Mac 和行動裝置支援。

下列各節會針對可能需要在 AD FS 部署上執行的操作工作提供相關的指導方針。

將 2016 AD FS 伺服器新增至伺服器陣列

您可以部署額外的 AD FS 伺服器以支援 AD RMS 部署。 您可以選擇在 AD RMS 伺服器的流量增加時、有額外的應用程式時,或需要淘汰目前用於 AD FS 的其中一部伺服器時執行此動作。

將 2016 AD FS 伺服器新增至伺服器陣列

  1. 從 Microsoft Entra Connect 伺服器,按兩下 Microsoft Entra Connect 圖示以啟動 Microsoft Entra Connect 精靈。

  2. 在 [歡迎使用] 頁面中,按一下 [設定]

  3. 在 [其他工作] 頁面中,按一下 [部署其他同盟伺服器],然後按 [下一步]

  4. 在 [連線至 Microsoft Entra ID] 頁面中,輸入具有全域管理權限的帳戶的使用者名稱和密碼,然後按下一步

  5. 在 [網域系統管理員認證] 頁面中,輸入具有網域系統管理員權限之帳戶的使用者名稱和密碼,然後按 [下一步]

  6. 按一下 [ 瀏覽],然後選擇使用 Microsoft Entra Connect 設定 AD FS 陣列時使用的憑證檔案。

  7. 按一下 [輸入密碼] 以開啟 [憑證密碼] 對話方塊。

  8. 在 [密碼] 欄位中輸入憑證的密碼,然後按一下 [確定]

  9. 按一下 [下一步] 。

  10. 在 [AD FS 伺服器] 頁面中,輸入新 AD FS 伺服器的名稱或 IP 位址,然後按一下 [新增]

  11. 在 [準備好設定] 頁面中,按一下 [安裝]

  12. 在 [安裝完成] 頁面中,按一下 [結束]

提高 AD FS 伺服器陣列的行為層級

在部署超過目前環境層級的 AD FS 伺服器時 (例如,在 Windows Server 2012 R2 上有 AD FS,然後新增 AD FS Windows Server 2016),您必須提高伺服器陣列的行為層級。 必須這麼做才能確保環境使用最新的資訊和功能。

提高 AD FS 伺服器陣列的行為層級

  1. 瀏覽至 Windows Server 2016 AD FS。

  2. 開啟系統管理員 PowerShell 工作階段。

  3. 輸入下列命令:$cred = Get-Credential

  4. 隨即會出現視窗要求您提供認證,這時請輸入網域系統管理員認證。

  5. 然後輸入此命令:Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred

  6. 這時會出現提示詢問您:要繼續此作業嗎?然後輸入 a 接受提示。

  7. 命令完成後,伺服器陣列的行為層級就會完成設定並準備就緒。

啟用行動裝置擴充功能記錄

行動裝置擴充功能可以記錄其從終端使用者裝置收到的要求。 記錄功能預設為停用狀態,建議您只在疑難排解案例中啟用記錄功能。 從行動裝置和桌上型電腦所傳來、用以啟動程序或取得終端使用授權的所有要求,都會記錄在 AD RMS 記錄資料庫或 Azure 儲存體帳戶中。 MDE 記錄會另外建立兩個資料表到 AD RMS 所使用的 SQL Server:用戶端偵錯記錄資料表和用戶端效能記錄資料表。

啟用行動裝置擴充功能記錄

  1. 從 AD RMS 伺服器,以系統管理員身分開啟 Windows PowerShell。

  2. 輸入下列命令,然後按 Enter 鍵:Import-Module AdRmsAdmin

  3. 輸入下列命令,然後按 Enter 鍵:New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. 輸入下列命令,然後按 Enter 鍵:Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true

如果您要使用 MDE 記錄功能來進行疑難排解,建議您在解決問題之後將其停用。

停用行動裝置擴充功能記錄

  1. 從 AD RMS 伺服器,以系統管理員身分開啟 Windows PowerShell。

  2. 輸入下列命令,然後按 Enter 鍵:Import-Module AdRmsAdmin

  3. 輸入下列命令,然後按 Enter 鍵:New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost

  4. 輸入下列命令,然後按 Enter 鍵:Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false

將 AD RMS 升級至 Windows Server 2016

下列各節會提供有關如何將 Windows Server 2016 型 AD RMS 伺服器新增至目前 Windows Server 2012 R2 叢集的指導方針。 伺服器會新增至叢集,且資訊會複寫到叢集中,以便可以取代先前的 AD RMS 伺服器以釋出資源。

當您將一部 Windows Server 2016 型 AD RMS 伺服器新增至 AD RMS 叢集後,所有以舊版 Windows 為基礎的節點都會變成非使用中狀態。 完成此作業後,便可以取消佈建這些伺服器 (例如關閉、移作他用或重新安裝 Windows Server 2016 以加入 AD RMS 叢集)。

您可以在叢集中部署額外的 AD RMS 伺服器以支援 AD RMS 部署上的負載。 您也可以選擇在 AD RMS 伺服器的流量增加時執行此動作。

本指南未涵蓋執行下列作業所需的步驟:變更您可能會在環境中使用的負載平衡機制,以排除您要淘汰的伺服器以及納入您要新增至叢集的伺服器。

新增 2016 AD RMS 伺服器

如果您的 AD RMS 叢集使用硬體安全性模組,而不是其伺服器授權人憑證的集中管理金鑰,您必須先在伺服器上安裝軟體和其他 HSM 成品 (例如金鑰和組態檔),再安裝 AD RMS。 您也必須以實體方式或透過相關網路組態將 HSM 連線到伺服器。 請遵循您的 HSM 指導方針來進行這些步驟。

新增 2016 AD RMS 伺服器

  1. 在所需的 Windows Server 2016 部署上安裝 AD RMS 角色。

  2. 安裝完成後,選取用來 [執行其他組態] 的連結。

  3. 選取 [加入現有的 AD RMS 叢集],然後按 [下一步]

  4. 在 [選取組態資料庫] 頁面上,輸入 2016 SQL Server 的 DNS 中所指定的 CNAME (FQDN)。

  5. 按一下第二行的 [清單],然後從下拉式清單中選取 [DefaultInstance]

  6. 在 [組態資料庫名稱] 底下,選取下拉式功能表,然後選擇出現的 DRMS 組態。 然後按一下 [下一步]。

  7. 在 [資料庫資訊] 頁面上,於所提供的欄位中輸入叢集金鑰密碼。 之後,按 [下一步]

  8. 在精靈的下一頁中,指定 AD RMS 服務帳戶並提供其密碼,然後在通過驗證後按 [下一步]

  9. [叢集網站] 頁面出現後,只要確定已選取適當的網站,即可按 [下一步]

  10. 在 [選擇伺服器驗證憑證] 頁面上,選取匯入的 SSL 憑證,然後按 [下一步]

  11. 按一下 [安裝] 以開始安裝。

  12. 組態設定完成後,您必須先登出再重新登入才能管理 AD RMS。

  13. 重新登入後,開啟 [伺服器管理員],選取 [工具],然後選取 [Active Directory Rights Management]。 這時應該會出現管理視窗,並指出叢集中有額外的伺服器。

  14. 如果原始 AD RMS 叢集中已安裝 AD RMS 行動裝置擴充功能,您也必須在更新後的叢集節點中安裝 MDE。 遵循 MDE 文件中的指示,將 MDE 新增至 AD RMS 叢集。 至此,您可以使用上述相同程序將所有既存節點移作他用,或將這些節點升級至 Windows Server 2016,然後將其重新加入 AD RMS 叢集。

設定 Windows Server 2016 Web 應用程式 Proxy (WAP)

下列各節會針對可能需要在 Web 應用程式 Proxy 部署上執行的操作工作提供相關的指導方針。 如果您要透過其他機制將 AD RMS 發佈至網際網路,這是選擇性步驟而非必要步驟。

新增 Windows Server 2016 WAP 伺服器

您可以部署額外的 Web 應用程式 Proxy 伺服器以支援 AD RMS 部署。 您可以選擇在 AD RMS 伺服器的流量增加時或需要淘汰目前用於 Web 應用程式 Proxy 的其中一部伺服器時執行此動作。

新增 2016 Web 應用程式 Proxy 伺服器

  1. 從您想要設定為 Web 應用程式 Proxy 的伺服器,瀏覽至 [伺服器管理員] 主控台,然後按一下 [新增角色和功能]

  2. 在 [新增角色和功能精靈] 中,一直按 [下一步] 直到您到達 [伺服器角色] 選取畫面。

  3. 在 [選取伺服器角色] 畫面上,選取 [遠端存取],然後一直按 [下一步] 直到您回到 [選取伺服器角色] 畫面。

  4. 在 [選取伺服器角色] 畫面上,選取 [Web 應用程式 Proxy],按一下 [新增功能],然後按 [下一步]

  5. 在 [確認安裝選項] 畫面上,按一下 [安裝]

  6. 安裝完成後,按一下 [關閉]

  7. 現在可以設定伺服器了。 若要這麼做,請在 Web 應用程式 Proxy 伺服器上,開啟遠端存取管理主控台。 開啟 [開始] 功能表,輸入 RAMgmtUI.exe,然後選取應用程式。

  8. 在瀏覽窗格中,按一下 [Web 應用程式 Proxy]

  9. 在遠端存取管理主控台中,按一下 [執行 Web 應用程式 Proxy 組態精靈]。 在進入精靈後,按 [下一步]

  10. 在 [同盟伺服器] 畫面上,輸入 AD FS 伺服器的完整網域名稱 (例如 adfs.contoso.com),然後輸入 AD FS 伺服器上系統管理員的認證。

  11. 在 [AD FS Proxy 憑證] 畫面上,於目前安裝在 Web 應用程式 Proxy 伺服器上的憑證清單中,選取要供 Web 應用程式 Proxy 用於 AD FS Proxy 的憑證,然後按 [下一步]

  12. 在 [確認] 畫面上檢閱設定,然後按一下 [設定]

  13. 組態完成設定後,按一下 [關閉]

2016 WAP 伺服器的 DNS 組態

有了 Windows Server 2016 Web 應用程式 Proxy 伺服器後,就必須對 DNS 進行一些變更。 這需要用到 GoDaddy 之類的 DNS 服務,以指向 2016 WAP 伺服器上的 AD FS 和 AD RMS 服務。

指向 WAP 伺服器上的 DNS

  1. 瀏覽至您的提供者網站 (例如GoDaddy)。

  2. 移至 [網域管理],然後移至 [DNS 管理]。

  3. 找到 AD FS 和 AD RMS 服務,並將 [指向] 部分取代為 2016 WAP 伺服器的公用 IP 位址,然後 [儲存]

  4. 變更可能需要一段時間來傳播,一旦傳播結束,此設定便會完成。

啟用偵錯記錄

Web 應用程式 Proxy 伺服器上有詳細的記錄資訊。 您可以使用事件檢視器來設定進階偵錯記錄。 您也可以針對記錄大小選取其他設定,以協助確保分析對檢視器有用。

啟用 Web 應用程式 Proxy 的偵錯記錄

  1. 在 Web 應用程式 Proxy 上開啟 [事件檢視器] 主控台。

  2. 展開 [Microsoft] 節點。

  3. 展開 [Windows] 節點。

  4. 開啟 [Web 應用程式 Proxy] 記錄。

  5. 然後,便能開啟 [系統管理員] 記錄。

  6. 開啟左上方的 [動作] 功能表,然後選取 [屬性]

  7. 在 [一般] 索引標籤下,選擇用來 [啟用記錄] 的選項。

  8. 最後,您可以自訂記錄大小上限,以及在達到事件記錄大小上限時的處理方式。

設定 Windows Server 2016 服務的高可用性

下列各節會針對在高可用性中設定 Windows Server 2016 環境時可能需要執行的操作工作提供相關的指導方針。

新增 2016 AD RMS 伺服器以獲得高可用性

您可以部署額外的 AD RMS 伺服器以設定高可用性。 您可以選擇在 AD RMS 伺服器的流量增加時執行此動作。

新增 2016 AD RMS 伺服器以獲得高可用性

  1. 在所需的 Windows Server 2016 部署上安裝 AD RMS 角色。

  2. 安裝完成後,選取用來 [執行其他組態] 的連結。

  3. 選取 [加入現有的 AD RMS 叢集],然後按 [下一步]

  4. 在 [選取組態資料庫] 頁面上,輸入 2016 SQL Server 的 DNS 中所指定的 CNAME (FQDN)。

  5. 按一下第二行的 [清單],然後從下拉式清單中選取 [DefaultInstance]

  6. 在 [組態資料庫名稱] 底下,選取下拉式功能表,然後選擇出現的 DRMS 組態。 然後按一下 [下一步]。

  7. 在 [資料庫資訊] 頁面上,於所提供的欄位中輸入叢集金鑰密碼。 之後,按 [下一步]

  8. 在精靈的下一頁中,指定 AD RMS 服務帳戶並提供其密碼,然後在通過驗證後按 [下一步]

  9. [叢集網站] 頁面出現後,只要確定已選取適當的網站,即可按 [下一步]

  10. 在 [選擇伺服器驗證憑證] 頁面上,選取匯入的 SSL 憑證,然後按 [下一步]

  11. 按一下 [安裝] 以開始安裝。

  12. 組態設定完成後,您必須先登出再重新登入才能管理 AD RMS。

  13. 重新登入後,開啟 [伺服器管理員],選取 [工具],然後選取 [Active Directory Rights Management]。 這時應該會出現管理視窗,並指出叢集中有額外的伺服器。

  14. 確認伺服器設定後,請設定負載平衡服務,以平衡叢集中不同 AD RMS 伺服器之間的負載。

新增 Windows Server 2016 AD FS 伺服器以獲得高可用性

您可以部署額外的 AD FS 伺服器以設定高可用性。 您可以選擇在 AD FS 伺服器的流量增加時執行此動作。 注意:提高伺服器陣列的行為層級後,會有新的資料庫項目進入 SQL Server 2016 (Adfs Configv3),必須先刪除舊的組態資料庫,才能繼續進行這些步驟。

新增 Windows Server 2016 AD FS 伺服器以獲得高可用性

  1. 在所需的 Windows Server 2016 部署上安裝 AD RMS 角色。

  2. 安裝完成後,選取用來 [設定此伺服器上的同盟服務] 的連結。

  3. 在精靈的歡迎使用區段中,選擇用來 [新增同盟伺服器到同盟伺服器陣列] 的選項,然後按 [下一步]

  4. 指定適當的系統管理員帳戶,然後按 [下一步]

  5. 在 [指定伺服器陣列] 頁面上,挑選 [指定使用 SQL Server 之現有伺服器陣列的資料庫位置],然後針對 [資料庫主機名稱] 輸入 SQL 服務的 CNAME,接著按 [下一步]

  6. 在精靈的 [指定服務帳戶] 區域中,輸入 AD FS 服務帳戶的認證,然後按 [下一步]

  7. 在 [檢閱選項] 中,按 [下一步]

  8. 於 [設定] 按鈕可用時按一下。

  9. 組態完成設定後,重新啟動電腦。

  10. 確認伺服器設定後,視需要負載平衡 AD FS 伺服器。

新增 Windows Server 2016 WAP 伺服器以獲得高可用性

您可以部署額外的 WAP 伺服器以設定高可用性。 您可以選擇在 AD RMS 伺服器的流量增加時執行此動作。

新增 Windows Server 2016 Web 應用程式 Proxy 伺服器以獲得高可用性

  1. 從您想要設定為 Web 應用程式 Proxy 的伺服器,瀏覽至 [伺服器管理員] 主控台,然後按一下 [新增角色和功能]

  2. 在 [新增角色和功能精靈] 中,一直按 [下一步] 直到您到達 [伺服器角色] 選取畫面。

  3. 在 [選取伺服器角色] 畫面上,選取 [遠端存取],然後一直按 [下一步] 直到您回到 [選取伺服器角色] 畫面。

  4. 在 [選取伺服器角色] 畫面上,選取 [Web 應用程式 Proxy],按一下 [新增功能],然後按 [下一步]

  5. 在 [確認安裝選項] 畫面上,按一下 [安裝]

  6. 安裝完成後,按一下 [關閉]

  7. 現在可以設定伺服器了。 若要這麼做,請在 Web 應用程式 Proxy 伺服器上,開啟遠端存取管理主控台。 開啟 [開始] 功能表,輸入 RAMgmtUI.exe,然後選取應用程式。

  8. 在瀏覽窗格中,按一下 [Web 應用程式 Proxy]

  9. 在遠端存取管理主控台中,按一下 [執行 Web 應用程式 Proxy 組態精靈]。 在進入精靈後,按 [下一步]

  10. 在 [同盟伺服器] 畫面上,輸入 AD FS 伺服器的完整網域名稱 (例如 adfs.contoso.com),然後輸入 AD FS 伺服器上系統管理員的認證。

  11. 在 [AD FS Proxy 憑證] 畫面上,於目前安裝在 Web 應用程式 Proxy 伺服器上的憑證清單中,選取要供 Web 應用程式 Proxy 用於 AD FS Proxy 的憑證,然後按 [下一步]

  12. 在 [確認] 畫面上檢閱設定,然後按一下 [設定]

  13. 組態完成設定後,按一下 [關閉]

  14. 確認伺服器設定後,負載平衡 DMZ 中的 WAP 伺服器。

新增 SQL Server 2016 節點以獲得 Always On 高可用性

您可以部署額外的 SQL 伺服器以設定 Always On 高可用性。 您可以選擇在 AD RMS 伺服器的流量增加時執行此動作。 注意:請確定這兩部 SQL Server 皆已開啟輸入連接埠 5022。

新增 SQL Server 2016 伺服器以獲得 Always On 高可用性

  1. 從您想要設定為額外 SQL Server 2016 伺服器的伺服器,瀏覽至 [伺服器管理員] 主控台,然後按一下 [新增角色和功能]

  2. 一直按 [下一步] 直到出現 [選取功能] 對話方塊。

  3. 選取 [容錯移轉叢集] 核取方塊。 注意:原始 SQL Server 2016 伺服器也請遵循此步驟,以便兩部 SQL Server 都有容錯移轉叢集功能。

  4. 按一下 [安裝],以安裝容錯移轉叢集功能。

  5. 現在,開啟 [伺服器管理員],然後依序選取 [工具] 和 [容錯移轉叢集管理員]

  6. 從左側功能表窗格中,以滑鼠右鍵按一下 [容錯移轉叢集管理員],然後選取 [建立叢集]

  7. 這會開啟 [建立叢集精靈]

  8. 瀏覽會用於 Always On 高可用性的 SQL Server 2016 伺服器並加以輸入,然後按 [下一步]

  9. 您會收到驗證警告。 選取 [是] 以驗證叢集節點,然後按 [下一步]

  10. 在 [測試選項] 頁面底下,選取用來 [執行所有測試] 的選項,然後按 [下一步]

  11. 注意:叢集驗證精靈應該會傳回數個警告訊息,特別是如果您不會使用共用儲存體的話。 除此之外,如果您發現任何錯誤訊息,則必須先加以修正,然後再建立 Windows Server 容錯移轉叢集.

  12. 在 [用於管理叢集的存取點] 對話方塊中,輸入 Windows Server 容錯移轉叢集的叢集名稱和虛擬 IP 位址,然後按 [下一步]

  13. 在 [摘要] 中確認組態設定成功,然後按一下 [完成]

  14. 回到 [容錯移轉叢集管理員],以滑鼠右鍵按一下您的叢集並選取 [更多動作],然後選擇 [設定叢集仲裁設定]

  15. 按 [下一步],然後挑選 [選取仲裁見證] 的選項,並再次按 [下一步]

  16. 在 [選取仲裁見證] 頁面中,選取 [設定檔案共用見證] 選項。 然後按一下 [下一步]。

  17. 選取 [瀏覽],然後找到要在 [檔案共用路徑] 對話方塊中使用的檔案共用路徑。 按一下 [下一步] 。

  18. 在 [確認] 頁面上,按 [下一步]

  19. 在 [摘要] 頁面上,按一下 [完成]

  20. 現在,開啟 [開始] 功能表並搜尋 SQL Server 組態管理員

  21. 以滑鼠右鍵按一下 SQL Server 名稱,然後挑選 [屬性]

  22. 在 [屬性] 對話方塊中,選取 [AlwaysOn 高可用性] 索引標籤。核取 [啟用 AlwaysOn 可用性群組] 核取方塊。 按一下 [確定]注意:請在這兩部 SQL Server 2016 伺服器上都這麼做。

  23. 然後重新啟動 SQL Server 服務。

  24. 現在,開啟 [開始] 功能表,然後搜尋 SQL Server Management Studio,從左側瀏覽窗格中,以滑鼠右鍵按一下 [可用性群組] 並按一下 [新增可用性群組精靈],然後按 [下一步]

  25. 在 [指定可用性群組名稱] 頁面中挑選群組名稱 (例如 SQLAvailabilityGroup2016)。 然後按一下 [下一步]。

  26. 在 [選取資料庫] 區段下,指定資料庫。 然後按一下 [下一步]。 注意:某些資料庫可能需要再次備份或進入完整復原模式

  27. 在進入 [指定複本] 頁面後,按一下 [新增複本] 按鈕並挑選其他 2016 SQL Server。

  28. 新增其他伺服器後,按一下核取方塊,並將次要伺服器設定為可讀取的次要伺服器。

  29. 瀏覽至 [端點] 索引標籤,然後按一下 [重新整理] 選項。 也請在此捲動並確定主要和次要節點上有同一個服務帳戶。

  30. 現在,選擇 [備份喜好設定] 索引標籤,然後選取 [慣用次要] 選項。

  31. 移至 [接聽程式] 索引標籤。

  32. 指定名稱 (例如SQLListener),並確定連接埠是 1433,然後按 [下一步]

  33. 在精靈的 [選取初始資料同步處理] 頁面中,選擇 [完整] 選項,並指定所有 SQL 伺服器皆可存取的網路位置,然後按 [下一步]

  34. 最後,按一下 [完成],整個程序便完成了。

解除委任 Windows Server 2012 R2 節點

下列各節會針對要在成功將 AD RMS 叢集升級至 Windows Server 2016 之後移除 Windows Server 2012 R2 伺服器時可能需要執行的操作工作提供相關的指導方針。

移除 Windows Server 2012 R2 AD RMS 伺服器

您可於升級後移除不必要的 AD RMS 伺服器。 您可以選擇在有需要解除委任 AD RMS 伺服器時執行此動作。

移除 Windows Server 2012 R2 AD RMS 伺服器

  1. 在伺服器管理員的 Windows Server 2012 R2 AD RMS 伺服器上,從右上方的功能表中選取 [管理],然後選擇 [移除角色和功能]

  2. [移除角色和功能精靈] 會隨即開啟,然後在 [開始之前] 畫面上,按 [下一步]

  3. 在 [伺服器選取項目] 畫面上,按 [下一步]

  4. 在 [伺服器角色] 畫面上,移除 [Active Directory Rights Management Services] 旁的核取圖示,然後按 [下一步]

  5. 在 [功能] 畫面上,按 [下一步]

  6. 在 [確認] 畫面上,按一下 [移除]

  7. 此動作完成後,重新啟動伺服器。

  8. 您現在可以關閉這部伺服器,並視需要重新配置資源。