Active Directory.pdf - Gattner

Überblick über die AD RMS 695
AD RMS-Stammcluster
Der AD RMS-Stammcluster ist die primäre Komponente einer RMS-Bereitstellung und wird zur Verwaltung
aller Zertifizierungs- und Lizenzierungsanforderungen für Clients verwendet. Eine Active
Directory-Gesamtstruktur kann über maximal einen Stammcluster verfügen, der mindestens einen
Windows Server 2008-Server zur Ausführung der AD RMS-Serverrolle umfasst. Für Redundanz und
Lastenausgleich können weitere Server zum Cluster hinzugefügt werden. Bei der Erstinstallation führt
der AD RMS-Stammcluster eine automatische Registrierung durch, bei der ein Server-Lizenzgeberzertifikat
(Server Licensor Certificate, SLC) erstellt und signiert wird. Über das Server-Lizenzgeberzertifikat
kann der AD RMS-Server Zertifikate und Lizenzen für AD RMS-Clients ausstellen. In
vorherigen Versionen von RMS musste dieses Zertifikat über das Internet durch den Microsoft-Registrierungsdienst
signiert werden. Daher war auf dem RMS-Server oder einem anderen Computer, der
zur Offlineregistrierung des Servers verwendet wurde, Internetkonnektivität erforderlich. Für die
Windows Server 2008 AD RMS muss keine Verbindung mit dem Microsoft-Registrierungsdienst hergestellt
werden. Windows Server 2008 umfasst ein Server-Selbstregistrierungszertifikat, das zum
lokalen Signieren des Server-Lizenzgeberzertifikats verwendet wird. Daher wird nun keine Internetverbindung
mehr benötigt, um den RMS-Clusterregistrierungsvorgang abzuschließen.
Hinweis Der AD RMS-Stammcluster darf nicht mit dem Failoverclusteringfeature von Windows Server
2008 verwechselt werden.
Webdienste
Für jeden Server, der mit der AD RMS-Serverrolle installiert wird, sind ferner verschiedene webbezogene
Serverrollen und Features erforderlich. Zur Bereitstellung der meisten AD RMS-Anwendungsdienste
(z.B. Lizenzierung und Zertifizierung) wird die Serverrolle Webserver (IIS) benötigt.
Diese IIS-basierten Dienste werden als Anwendungspipelines bezeichnet. Auch die Features Windows-Prozessaktivierungsdienst
and Message Queuing sind für die AD RMS-Funktionalität erforderlich.
Der Window-Prozessaktivierungsdienst wird für den Zugriff auf IIS-Features aus einer beliebigen
Anwendung eingesetzt, die WCF-Dienste (Windows Communication Foundation) hostet.
Message Queuing bietet eine garantierte Nachrichtenübermittlung zwischen dem AD RMS-Server
und der SQL Server-Datenbank. Sämtliche Transaktionen werden zunächst in die Nachrichtenwarteschlange
geschrieben und anschließend an die Datenbank übermittelt. Wenn die Konnektivität zur
Datenbank unterbrochen ist, werden die Transaktionsinformationen in der Warteschlange gespeichert,
bis die Konnektivität wiederhergestellt ist. Während der Installation der AD RMS-Serverrolle
geben Sie die Website zur Einrichtung des virtuellen AD RMS-Verzeichnisses an. Ferner geben Sie
die Adresse für die Kommunikation von Clients mit dem Cluster über das interne Netzwerk an. Sie
können eine unverschlüsselte URL angeben oder ein SSL-Zertifikat verwenden, um SSL-verschlüsselte
Verbindungen zum Cluster bereitzustellen.
Reine Lizenzierungscluster
Ein reiner Lizenzierungscluster ist optional und nicht Teil des Stammclusters; für Zertifizierung und
andere Dienste hängt dieser Cluster jedoch vom Stammcluster ab (er kann keine eigenen Kontozertifizierungsdienste
bereitstellen). Er wird zur Bereitstellung von Veröffentlichungslizenzen und Nutzungslizenzen
für Benutzer eingesetzt. Ein reiner Lizenzierungscluster kann einen einzigen Server
umfassen oder für Redundanz und Lastenausgleich um weitere Server ergänzt werden.