none
Перенос AD RMS на другой сервер RRS feed

  • Вопрос

  • Приветствую!

    Столкнулся с следующей задачей:

    - как првильно перенести службу AD RMS на другой сервер при следующих условиях?

                   Расположение базы данных не меняется.

                   Сохранить доступ к ранее созданным политикам.

                   Сохранить доступ к ранее защищенным документам.

    Какой порядок действий должен быть? Спасибо.

    28 июля 2011 г. 7:02

Ответы

  • т.к. вопросу топикстартера уже почти год, отвечу на более свежий :)

    с группы файлов/одного файла проверку можно удалить только при наличии доступного сервера RMS пользователем, у которого есть права на эти действия (создатель, суперпользователь, либо пользователь с назначенными правами). Если сервер недоступен - открыть файл не получится (хотя если до этого файл открывался на данном ПК при доступном сервере RMS - может получиться, но рассчитывать и полагаться на это не стоит :) )

    если единственный сервер RMS умер безвозвратно - то, в общем случае, документы можно считать потерянными.

    чтобы снизить вероятность такой неприятности - создают кластеры RMS (аппаратные или программные NLB), и отказоустойчивые кластеры баз данных службы управления правами.

    ну и, отвечая на вопрос топикстартера - для переноса службы на другой сервер я бы посоветовал создать корневой кластер RMS из двух (или более) серверов, при этом конфигурация RMS на серверах окажется одинаковой (т.к. используются одни общие БД SQL), а потом вывести первый сервер из работы, оставив в строю свежесозданный (либо -созданные). Само собой, в таком сценарии должен использоваться выделенный сервер SQL и политики также должны храниться в доступной сетевой папке с соответствующими разрешениями.

    • Предложено в качестве ответа Vba_nn 25 июня 2012 г. 4:40
    • Помечено в качестве ответа Je.ka 11 марта 2015 г. 12:03
    25 июня 2012 г. 4:39

Все ответы

  • интересует этот же вопрос.

    Как можно удалить с группы файлов проверку rms?

    Если сервер rms умер, файлы не открыть?

    18 июня 2012 г. 5:31
  • т.к. вопросу топикстартера уже почти год, отвечу на более свежий :)

    с группы файлов/одного файла проверку можно удалить только при наличии доступного сервера RMS пользователем, у которого есть права на эти действия (создатель, суперпользователь, либо пользователь с назначенными правами). Если сервер недоступен - открыть файл не получится (хотя если до этого файл открывался на данном ПК при доступном сервере RMS - может получиться, но рассчитывать и полагаться на это не стоит :) )

    если единственный сервер RMS умер безвозвратно - то, в общем случае, документы можно считать потерянными.

    чтобы снизить вероятность такой неприятности - создают кластеры RMS (аппаратные или программные NLB), и отказоустойчивые кластеры баз данных службы управления правами.

    ну и, отвечая на вопрос топикстартера - для переноса службы на другой сервер я бы посоветовал создать корневой кластер RMS из двух (или более) серверов, при этом конфигурация RMS на серверах окажется одинаковой (т.к. используются одни общие БД SQL), а потом вывести первый сервер из работы, оставив в строю свежесозданный (либо -созданные). Само собой, в таком сценарии должен использоваться выделенный сервер SQL и политики также должны храниться в доступной сетевой папке с соответствующими разрешениями.

    • Предложено в качестве ответа Vba_nn 25 июня 2012 г. 4:40
    • Помечено в качестве ответа Je.ka 11 марта 2015 г. 12:03
    25 июня 2012 г. 4:39
  • первый сервер rms является главным, при его отсутствии ввести в кластер еще один уже будет невозможно.

    поправьте если ошибаюсь

    25 июня 2012 г. 5:29
  • При установке первого сервера, он представляет собой корневой кластер rms. Далее можно установить ещё один сервер корневого кластера, указав ему данные имеющейся службы. В этом случае они будут двумя полноправными серверами, и, при выходе одного из строя, второй продолжит выполнять свои обязанности.

    При вводе в инфраструктуру нового сервера, указывается место хранения баз AD RMS, указывается пароль для подключения к корневому кластеру. Если базы живы, то даже при выключенных ранее установленных серверах мастер установки нового сервера определит наличие записей RMS в AD и предложит указать ему сервер баз данных, к которому подключиться.

    Только что провёл эксперимент - отключил оба вирт. сервера RMS (NLB-кластер), ввёл в домен виртуальную машину с Windows Server 2008R2 и установил службу управления правами. При установке указал перечисленные выше параметры и вуаля - в оснастке сводка по кластерам: "Серверов в кластере: 3". При выключенных 2х серверах он обрабатывает запросы. Правда небольшой затык с сертификатом узла произошёл, но в общем сам принцип вполне имеет право на жизнь - открыть зашифрованный документ на клиентской машине удалось.

    Как дальше поступать с "условно погибшими" серверами я пока не придумал, т.к. в системе они числятся, но работоспособность службы, будем считать, восстановлена.

    25 июня 2012 г. 7:45
  • Допустим умер единственный сервер корневого кластера с RMS. Базы остались, пароль под вопросом. Существование кластера RMS определяется по SCP в AD, правильно? Ее можно легко прописать с помощью RMS Administration Toolkit. При установки нового сервера RMS его надо завести в существующий кластер, вопрос - валидность пароля на кластер проверяется? или он тупо кушает любой, пропуская этот вопрос в процессе установки, а потом тупо не может подключиться к оснастке?

    Для примера есть образ машины с RMS, от туда можно собственно выдернуть только базы и документы, пароль предыдущие админы не удосужились запомнить, но есть несколько возможных вариантов.  Какова последовательность?

    25 июня 2012 г. 8:08
  • ну навскидку - производится установка нового сервера RMS, вначале он определяет что служба в домене уже есть и можно добавить его в качестве члена кластера. далее указывается сервер баз данных, сама база, потом - пароль для подключения к конфигурации, учётная запись для запуска службы RMS, ну и под конец - вручную создание всех необходимых записей в DNS.

    я не стал расписывать что делать с БД, т.к. по-идее в нормальной боевой инфраструктуре это - отдельный сервер и никаких дополнительных манипуляций с ним производить не нужно.

    Насчёт валидности пароля при установке точно не скажу, не сталкивался с этим вопросом, но мне кажется должен проверяться во время установки.

    25 июня 2012 г. 8:55
  • в моей ситуации rms совместно проживал с БД, CA))
    25 июня 2012 г. 9:01
  • сочувствую)

    поэтому и рекомендуют использовать внутреннюю БД только для тестового использования, т.к. варианты дальнейших манипуляций с ней в случае чего стремительно приближаются к нулю. Тут советую обратиться уже к гуру SQL, может подскажут что-нибудь :) либо гуглить и аккуратно экспериментировать.

    25 июня 2012 г. 9:15
  • имеется ввиду БД sql на этой же железке. тем не менее неделя экспериментов по оживлению сервиса ничем не увенчалась. Усложнялось это сосуществованием с центром сертификации на одной платформе. благо док-ты нашлись не зашифрованные. RMS предполагается использоваться далее в новой инсталляции, поэтому хочется тему рекавери изучить досконально.
    25 июня 2012 г. 9:30
  • Для успешных операций как по восстановлению, так и по обслуживанию сервиса, необходимо следовать "лучшим практикам", или, иными словами, официальным рекомендациям и инструкциям по установке. В этом случае можно будет решать многие возникающие рабочие вопросы с помощью тех же официальных инструкций, рассчитанных на "правильную" установку службы.
    • Изменено Vba_nn 25 июня 2012 г. 10:46
    25 июня 2012 г. 10:45