В этой статье собраны  несколько лучших практик развертывания служб  Active Directory Rights Management Services в сети предприятия, рекомендуется к ознакомлению перед планированием AD RMS в составе используемых служб предприятия.































1) Используйте выделенные серверы AD RMS.  Установка AD RMS на сервер, являющийся контроллером домена, почтовым сервером Microsoft Exchange Server,сервер , выполняющий роль Центра сертификации, или Microsoft Office SharePoint Server является плохой практикой безопасности.































2) Не устанавливайте AD RMS на контроллере домена. Если вы выберете этот вариант установки, то вы должны будете добавить учетную запись службы AD RMS  (которая как правило, не получает никаких дополнительных привилегий) в группу Администраторов домена.































3) Вы не можете установить  компонент поддержки федерации удостоверений  (Identity Federation Support) если  у вас уже установлены Службы федерации Active Directory (AD FS). Если AD FS не настроен в среде предприятия во время установки, вы можете добавить этот компонент позже.

4) Вы должны использовать Windows Internal Database только в тестовой среде. Внутренняя база данных Windows не поддерживает удаленные подключения, поэтому вы не сможете добавить дополнительные AD RMS серверы в кластер. В производственной среде следует использовать Microsoft SQL Server.

6) Используйте DNS-псевдонимы, такие, как CNAME записи или записи DNS хоста, такие как A записи для FQDN  кластера AD RMS. Это позволит  вам легко добавлять дополнительные серверы в кластер и а также упростит распределение балансировки нагрузки и аварийное восстановление.

7) Если вы планируете развернуть AD RMS на сайт по умолчанию, убедитесь, что сайт уже имеет HTTP привязки, даже если вы планируете использовать HTTPS привязки для службы  AD RMS.

8) Если вы планируете развернуть AD RMS не используя сайт по умолчанию, то перед установкой добавьте роль сервера Web Server (IIS) со следующей настройкой:















IIS 6 Management Capability. 

9) Использование протокола SSL повышает безопасность соединения с кластером AD RMS. Кроме того, SSL необходим для интеграции службы AD RMS  c AD FS. Помните, что эта настройка не может быть изменена, если она была сконфигурирована.

10) При установке поддержки федерации удостоверений, используйте строчные буквы для полного доменного имени, так как служба AD FS чувствительна к регистру.

11) Вы должны настроить внешний  URL-адрес во время установки, даже если он не используется. Если внешний доступ был включен после того, как документы защищены с использованием AD RMS, необходимо снять защиту, удалить папку DRM на клиентских компьютерах, настроить доступ из  внешней сети, а затем защитить документы снова.

12) Вы должны использовать самоподписанный сертификат только в тестовой среде. В производственной среде следует использовать SSL-сертификат от Центра сертификации.































13) После установки или обновления вы должны выйти  из системы и войти снова, прежде чем администрировать AD RMS помощью консоли AD RMS.

Для информации о системных требованиях службы AD RMS обратитесь к статье TechNet AD RMS Prerequisites  . Для более подробной информации об установке службы AD RMS см. статью Пошаговое руководство по службе управления правами Active Directory AD RMS Step-by-step Guide  .