AD RMS Adım Adım Kurulum Yönergeleri ve Konfigürasyonu – Bölüm 1

Bu doküman aşağıdaki iki bölümü içermektedir.

Active Directory Rights Management Services Nedir, Neyi Sağlar?

Kurulum Gereksinimleri

 

 

ÖZET

Bu adım adım kurulum dokümanı Windows Server 2008 R2 ile Active Directory Rights Management Services (AD RMS) bileşeninin kurulumu, konfigürasyonu ve testlerine ilişkin süreçleri içerir. Doküman içerisinde AD RMS altyapısının hazırlanması, AD RMS’in kurulumu, konfigürasyonu ve konfigürasyon testlerinin yapılması da anlatılmaktadır.

 

Bu doküman yalnızca bilgi amaçlı olarak hazırlanmıştır ve Microsoft sisteminizdeki kurulum ve konfigürasyonda herhangi bir hata oluşmayacağına garanti vermemektedir. Bu dokümandaki URL, internet web sitesi referansları ve dokümanın içeriği yazarından izin almaksızın çoğaltılamaz ya da değiştirilemez, kaynak belirtilmeden alıntı yapılamaz. Bu dokümandaki adımlarlar la AD RMS sisteminin sorunsuz olarak kurulumu garanti edilmemektedir. Ve kurulumunuzdaki oluşabilecek riskler tamamen kurulumu yapan tarafa aittir.

Doküman İçeriği

 

Active Directory® domain kurulumu

SQL 2008 Veri tabanı Sunucusu kurulumu

AD RMS sunucu rolünün kurulumu

AD RMS cluster konfigürasyonu

AD RMS-aktif edilmiş client computer konfigürasyonu

AD RMS eski adı Windows Rights Management Service olan bileşendir. Amacı özellikle Microsoft Office belgeleriniz içerisindeki bilgilerin bulunduğu her ortamda korunmasını sağlamaktır. Bir dijital dokümana RMS koruması uygulandıktan sonra dosyayla beraber saklanır. Dosya hangi ortama giderse koruma da aynı şekilde dosyayla birlikte giderek dosyanın korunmasını her ortamda devamlı kılmaktadır. Varsayılan durumda sadece dokümanın sahibi dosyadan korumayı kaldırabilir. Doküman sahibi doküman üzerinde diğer kullanıcılara yapmaları gereken aksiyona göre gerekli hakları vererek (görüntüleme, kopyalama, yazdırma vb.) dokümanın korunmasını sağlar. AD RMS’in kurumlar için sağladığı tüm avantajlar ve uygulanmasının arkasında yatan nedenler hakkında daha fazla bilgi “Windows Rights Management Services: Helping Organizations Safeguard Digital Information from Unauthorized Use” (http://go.microsoft.com/fwlink/?LinkId=64636) dokümanının inceleyebilirsiniz.

 

Active Directory Rights Management Services (AD RMS) ve AD RMS istemcisi, bilgi nereye taşınırsa taşınsın, bilgiyle birlikte bulunan kalıcı kullanım ilkeleri sayesinde bilginin korunmasını sağlayarak, kuruluşların güvenlik stratejisini güçlendirmeyi sağlayan hizmetler bütünüdür. Finans raporları, ürün bilgileri, müşteri verileri ve gizli e-posta iletileri gibi önemli bilgilerin kasten veya istem dışı olarak yanlış kişilerin eline geçmesini önlemeye yardımcı olmak ya da kullanılmasını engellemek için AD RMS’yi kullanabilirsiniz.

 

Active Directory Rights Management Services Nedir, Neyi Sağlar?

AD RMS sistemi, sertifikaları ve lisansları yöneten Active Directory Rights Management Services (AD RMS) sunucu rolünü çalıştıran Windows Server® 2008 R2 tabanlı bir sunucu, bir veri tabanı sunucusu ve AD RMS client’larından oluşan bir yapıdır. AD RMS clientlarının en son sürümü, Windows® 7 ve Windows Vista® işletim sistemlerinin bir parçası olarak geliyor. AD RMS sistemi dağıtımının kuruluş için sağladığı yararlar:

Önemli bilgilerin korunması. Microsoft Word, Excel, PowerPoint, Outlook gibi sektörel uygulamalar önemli bilgilerin korunmasında yardımcı olmak üzere AD RMS’yi kullanabilir. Kullanıcılar bilgiyi kimlerin açabileceğini, değiştirebileceğini, yazdırabileceğini, iletebileceğini veya diğer işlemleri yapabileceğini tanımlayabilirler. Kuruluşlar “gizli – salt okuma amaçlı” gibi doğrudan bilgiye uygulanabilecek, özel koruma şablonları oluşturabilirler.

Kalıcı koruma. AD RMS kullanım haklarını belgenin içine yerleştirerek ve bilginin uygun alıcılar tarafından açıldıktan sonra bile nasıl kullanılacağını denetleyerek, var olan güvenlik çözümleri ve yetki tanımlamaları gibi diğer güvenlik çözümlerini de güçlendirir.

Esnek ve özelleştirilebilir teknoloji. Yazılım üreticileri ve uygulama geliştiricileri her tür uygulamayı AD RMS kullanır hale getirerek AD RMS ile birlikte çalışmalarını sağlayabilirler.

AD RMS, kuruluşların güvenilir bilgi koruma çözümleri oluşturmalarına yardımcı olmak üzere geliştirici araçları ve endüstride kullanılan şifreleme, sertifika ve kimlik doğrulama gibi güvenlik teknolojilerini sağlar. Özel AD RMS çözümleri oluşturmak için de AD RMS yazılım geliştirme seti (SDK) kullanabilirler.

 

AD RMS Özellikleri

Sunucu Yöneticisini kullanarak aşağıdaki AD RMS bileşenlerini yönetebilirsiniz:

Active Directory Rights Management Services. Active Directory Rights Management Services (AD RMS) rol hizmeti, hakları korunan içeriğin yayımlanması ve kullanılması için AD RMS bileşenlerini yükleyen gerekli rol hizmetidir.

Kimlik Federasyonu Desteği. Kimlik federasyonu desteği rol hizmeti, federe kimliklerin Active Directory Federasyon Hizmetleri ile hakları korunan içeriği kullanabilmelerini sağlayan isteğe bağlı bir rol hizmetidir.

 

Donanımsal ve Yazılımsal Gereksinimler

AD RMS, Windows Server 2008 ya da Windows Server 2008 R2 işletim sistemini çalıştıran bir bilgisayarda çalışır. AD RMS sunucu rolü yüklendiğinde, aralarında Internet Information Services (IIS) de bulunan gereken hizmetler yüklenir. AD RMS için ayrıca, AD RMS ile aynı sunucuda veya uzak bir sunucuda çalışabilen Microsoft SQL Server gibi bir veri tabanı ve bir Active Directory Domain yapısı gereklidir.

Aşağıdaki tabloda, Windows Server 2008 R2 tabanlı sunucuları AD RMS sunucu rolüyle çalıştırmak için en düşük donanım gereksinimleri ve öneriler açıklanmaktadır.

 

Aşağıdaki tabloda, Windows Server 2008 R2 tabanlı sunucuları AD RMS sunucu rolüyle çalıştırmak için yazılım gereksinimleri açıklanmaktadır. AD RMS sunucu rolü yüklendiğinde, işletim sistemine ait özelliklerin etkinleştirilmesiyle karşılanabilecek gereksinimler önceden yapılandırılmadıysa, yükleme işlemi bunları uygun şekilde yapılandırır.

AD RMS kullanan istemcide, Microsoft Office 2007’deki Microsoft Word, Outlook veya PowerPoint gibi AD RMS kullanan tarayıcı ve uygulama olması gerekir. Hakları korunan içerik oluşturabilmek için, Microsoft Office 2007 Enterprise, Professional Plus veya Ultimate gereklidir. Ek güvenlik sağlamak için AD RMS akıllı kartlar gibi diğer teknolojilerle bütünleştirilebilir.

Windows 7 ve Windows Vista varsayılan olarak AD RMS client yazılımını içerir, ancak diğer client işletim sistemlerinde RMS istemcisinin yüklü olması gerekir. Service Pack 2’ye (SP2) sahip RMS client Microsoft Yükleme Merkezi’nden yüklenebilir ve Windows Vista ve Windows Server 2008’ndan önceki client işletim sistemleri sürümlerinde çalışır.

Windows Server 2008’de Active Directory Rights Management Services’deki Yenilikler

Windows Server® 2008 işletim sistemindeki Active Directory Rights Management Services (AD RMS) rolü Microsoft® Windows® Rights Management Services’te (RMS) bulunmayan birkaç yeni özellik içermektedir. Bu yeni özellikler AD RMS yönetimini kolaylaştıracak ve kullanımını kuruluşunuzun dışına kadar genişletecek şekilde tasarlanmıştır. Bu yeni özellikler şunları içerir:

Windows Server 2008 işletim sisteminde AD RMS rolünü sunucu rolü olarak ekleme

Microsoft Yönetim Konsolu (MMC) aracılığıyla yönetim

Active Directory Federasyon Hizmetleri (AD FS) ile entegrasyon

AD RMS sunucularının otomatik kaydı

Yeni AD RMS yönetim rolleri aracılığıyla delegasyonlu yönetim

 

İyileştirilmiş yükleme ve yönetim deneyimi

Windows Server 2008 içindeki AD RMS hem yükleme hem de yönetim deneyimine çok sayıda iyileştirme katmaktadır. RMS’nin önceki sürümlerinde ayrı bir yükleme paketinin karşıdan yüklenmesi ve kurulması gerekiyordu, ancak bu sürümünde AD RMS, işletim sistemiyle tümleştirilmiş ve Sunucu Yöneticisi aracılığıyla sunucu rolü olarak yüklenmiştir. Yapılandırma ve hazırlama işlemi sunucu rolü yüklemesiyle gerçekleştirilir. Ayrıca, Sunucu Yöneticisi, AD RMS sunucu rolü yüklenirken AD RMS hizmetinin bağımlı olduğu Message Queuing ve Web Sunucusu (IIS) gibi tüm hizmetleri otomatik olarak listeler ve yükler. Yükleme sırasında AD RMS Yapılandırma ve Günlük veri tabanı olarak bir uzak veri tabanı belirtmezseniz, AD RMS sunucu rolü AD RMS ile kullanmak için Windows Internal Database bileşenini otomatik olarak yükler ve yapılandırır.

RMS’nin önceki sürümlerinde, yönetim bir Web arabirimi aracılığıyla yapılmaktaydı. AD RMS’de, yönetim arabirimi bir MMC ek bileşeni konsoluna aktarılmıştır. AD RMS konsolu RMS’nin önceki sürümlerinde bulunan tüm işlevleri, kullanımı daha kolay bir arabirimde sunar.

Yönetim için web arabirimi yerine bir AD RMS konsolunun kullanılması, kullanıcı deneyimini iyileştirmek için daha fazla seçeneğin kullanılabilir olmasını sağlar. AD RMS konsolu, Windows Server 2008 genelinde tutarlı olan ve izlemesi ve gezinmesi daha kolay olacak şekilde tasarlanan kullanıcı arabirimi öğeleri kullanır. Bunun yanında, AD RMS yönetim rollerinin eklenmesiyle AD RMS konsolu, konsolun yalnızca kullanıcının erişebileceği bölümleri görüntüler. Örneğin, AD RMS Şablon Yöneticileri yönetim rolünü kullanan bir kullanıcı AD RMS şablonlarına özgü görevlerle kısıtlanır.

AD RMS sunucusunun otomatik kaydı

 

AD RMS’deki sunucu kaydı, AD RMS sunucusuna sertifika ve lisans yayınlama yetkisi veren sunucu lisans verme sertifikası (SLC) oluşturma ve imzalama işlemidir. RMS’nin önceki sürümlerinde, SLC’nin bir Internet bağlantısı üzerinden Microsoft Kayıt Hizmetleri tarafından imzalanması gerekiyordu. Bu, Microsoft Kayıt Hizmetleri ile çevrimiçi kayıt yapmak için RMS sunucusunun Internet bağlantısı olmasını ya da sunucunun çevrimdışı kaydını yaptırabilecek ve Internet erişimi olan başka bir bilgisayara bağlanabilmesini gerektiriyordu.

Windows Server 2008 işletim sistemindeki AD RMS’de, AD RMS sunucusunun Microsoft Kayıt Hizmeti ile doğrudan iletişim kurma gereksinimi kaldırılmıştır. Bunun yerine, Windows Server 2008 işletim sistemine AD RMS sunucusunun SLC’sini imzalayan bir sunucu otomatik kayıt sertifikası eklenmiştir.

SLC’nin Microsoft Kayıt Hizmeti tarafından imzalanmasının gerekli kılınması, birçok müşterinin kendi ortamlarında var olmasını istemediği bir bağımlılığı ortaya çıkarmıştır. Artık, Microsoft Kayıt Hizmeti’nin SLC’yi imzalaması gerekmemektedir.

Microsoft Kayıt Hizmeti’nin AD RMS sunucusunun SLC’sini imzalamasını gerektirmek yerine, Windows Server 2008 ile birlikte gelen sunucu otomatik kayıt sertifikası SLC’yi yerel olarak imzalayabilir. Sunucu otomatik kayıt sertifikası AD RMS’nin Internet’ten tamamen yalıtılmış bir ağda çalışmasına olanak tanır.

AD FS ile entegrasyon

 

Kuruluşlar artan bir oranda kendi kuruluş sınırlarının dışında iş birliği yapma gereksinimini hissetmekte ve federasyonu çözüm olarak görmektedir. AD RMS ile federasyon desteği, kuruluşların dış varlıklarla işbirliğini etkinleştirmek için var olan kurulmuş federal ilişkileri kullanmasına olanak tanır. Örneğin, AD RMS dağıtmış olan bir kuruluş AD FS’yi kullanarak bir dış varlıkla federasyon kurabilir ve her iki kuruluşta da AD RMS dağıtımı gerektirmeden hakları korunan içeriği paylaşmak için bu ilişkiyi kullanabilir.

RMS’nin önceki sürümlerinde, hakları korunan içerikle dış işbirliği seçenekleri Windows Live™ ID ile sınırlıydı. AD FS’nin AD RMS ile tümleştirilmesi, kuruluşlar arasında federal kimlikler oluşturabilme yeteneği ve hakları korunan içeriğini paylaşılabilmesini sağlar.

AD FS’yi AD RMS ile birlikte kullanmakla istiyorsanız, AD RMS yüklenmeden önce, işbirliği yapmak istediğiniz dış ortaklarınız ve kuruluşunuz arasında federal güven ilişkisi olması gerekir. Bunun yanında, AD RMS ile AD FS tümleştirmesinden yararlanabilmek için Windows Vista® ile birlikte gelen AD RMS istemcisini veya Service Pack 2’ye (SP2) sahip RMS İstemcisi’ni kullanmanız gerekir. SP2’ye (SP2) sahip RMS İstemcisi’nden önceki RMS istemcileri AD FS işbirliğini desteklemez.

 

Yeni AD RMS Yönetim Rolleri

AD RMS ortamınızın denetimi için delegasyonu daha iyi gerçekleştirmek amacıyla yeni yönetim rolleri oluşturulmuştur. Bu yönetim rolleri AD RMS rolü yüklendiğinde oluşturulan yerel güvenlik gruplarıdır. Bu yönetim rollerinin her biri AD RMS’ye farklı erişim düzeyine sahiptir. Yeni roller AD RMS Hizmet Grubu, AD RMS Kuruluş Yöneticileri, AD RMS Şablon Yöneticileri ve AD RMS Denetçileri’dir.

AD RMS Hizmet Grubu AD RMS hizmet hesabını içerir. AD RMS rolü eklendiğinde, kurulum sırasında yapılandırılan hizmet hesabı bu yönetim rolüne otomatik olarak eklenir.

AD RMS Kuruluş Yöneticileri rolü bu grubun üyelerinin tüm AD RMS ilkelerini ve ayarlarını yönetmesine olanak tanır. AD RMS hazırlama sırasında, AD RMS sunucu rolünü yükleyen kullanıcı hesabı ve yerel Administrators grubu AD RMS Kuruluş Yöneticileri rolüne eklenir. En iyi uygulama olarak, bu gruba üyelik yalnızca tam AD RMS yönetim denetimi gerektiren kullanıcı hesaplarıyla sınırlanmalıdır.

AD RMS Şablon Yöneticileri rolü bu grubun üyelerinin hak ilkesi şablonlarını yönetmesine olanak tanır. Daha açıkça belirtmek gerekirse, AD RMS Şablon Yöneticileri RMS cluster bilgilerini okuyabilir, hak ilkesi şablonlarını listeleyebilir, yeni hak ilkesi şablonları oluşturabilir, var olan hak ilkesi şablonlarını değiştirebilir ve hak ilkesi şablonlarını verebilir.

AD RMS Denetçileri rolü bu grubun üyelerinin günlükleri ve raporları yönetmesine olanak tanır. Bu rol küme bilgilerini okumak, günlük ayarlarını okumak ve AD RMS kümesinde bulunan raporları çalıştırmak ile sınırlandırılmış salt okunur bir roldür.

Yeni AD RMS yönetim rolleri, AD RMS kümesinin tamamı üzerinde tam yönetim denetimine izin vermeden AD RMS görevleri için delege seçme fırsatı tanımaktadır.

AD RMS’nin işlevi nedir?

 

Biçim ve uygulama bağımsız bir teknoloji olan AD RMS, bilgi koruma çözümlerinin oluşturulmasına olanak tanımak için hizmetler sağlar. Hassas bilgiler için kalıcı kullanım ilkeleri sağlamak amacıyla AD RMS etkin tüm uygulamalarla çalışır. AD RMS kullanılarak korunabilecek içerik arasında intranet Web siteleri, e-posta iletileri ve belgeler yer alır. AD RMS, geliştiricilerin, varolan uygulamaların işlevlerine bilgi korumayı eklemelerine olanak tanıyan çekirdek işlevler kümesi içerir.

Hem sunucu hem de istemci bileşenleri içeren AD RMS sistemi, aşağıdaki işlemleri gerçekleştirir:

Hakları korunan içeriği lisanslama. AD RMS sistemi hakları korunan içerikleri yayımlayabilecek güvenilen varlıkları (kullanıcılar, gruplar ve hizmetler gibi) tanımlayan hak hesabı sertifikaları verir. Güven kurulduktan sonra, kullanıcılar korumak istedikleri içeriğe kullanım hakları ve koşulları atayabilir. Bu kullanım hakları, hakları korunan içeriğe kimin erişebileceğini ve söz konusu içerikle ne yapabileceklerini belirtir. İçerik korunduğunda, içerik için yayımlama lisansı oluşturulur. Bu lisans, içeriğin dağıtılabilmesi için belirli kullanım hakları ile söz konusu içerik arasında bağlantı oluşturur. Örneğin, kullanıcılar, hakları korunan belgeleri hak koruması kaybolmadan kuruluşları içindeki veya dışındaki diğer kullanıcılara gönderebilir.

Hakları korunan içeriğin şifresini çözmek için lisans alma ve kullanım ilkelerini uygulama. Hak hesabı sertifikası verilen kullanıcılar, hakları korunan içeriği görüntülemesine ve bu içerikle çalışmasına olanak tanıyan AD RMS etkin bir istemci uygulaması kullanarak hakları korunan içeriğe erişebilir. Kullanıcılar hakları korunan içeriğe erişmeyi denediğinde, söz konusu içeriğe erişmek veya içeriği “kullanmak” için AD RMS hizmetine istek gönderilir. Kullanıcı korunan içeriği kullanmayı denediğinde, AD RMS kümesindeki AD RMS lisanslama hizmeti, yayımlama lisanslarında belirtilen kullanım haklarını ve koşulları okuyan, yorumlayan ve uygulayan benzersiz bir kullanım lisansı verir. Kullanım hakları ve koşulları kalıcıdır ve içeriğin gittiği her yerde otomatik olarak uygulanır.

Hakları korunan dosyalar ve şablonlar oluşturma AD RMS sisteminde güvenilen varlıklar olan kullanıcılar, AD RMS teknolojisi özelliklerini içeren AD RMS etkin bir uygulamadaki tanıdık yazma araçlarını kullanarak koruması geliştirilmiş dosyalar oluşturabilir ve bunları yönetebilir. Bunun yanında, AD RMS etkin uygulamalar kullanıcıların önceden tanımlı kullanım ilkeleri kümesini verimli bir şekilde uygulamasına yardımcı olmak için merkezi olarak tanımlanmış ve resmi olarak yetkilendirilmiş kullanım hakları şablonlarını kullanabilir.

Active Directory Rights Management Services için Ön kurulum Bilgisi

AD RMS’yi yüklemeden önce

Active Directory Rights Management Services (AD RMS)’yi Windows Server® 2008 R2 işletim sistemine ilk kez yüklemeden önce, sağlanması gereken bazı gereksinimler vardır:

  1. AD RMS sunucusunu, hakları korunan içeriği kullanacak kullanıcı hesaplarının olduğu aynı Active Directory Domain  Hizmetleri (AD DS) domain ortamına üye sunucu olarak yükleyin.
  2. AD RMS hizmet hesabı olarak kullanılacak bir domain  kullanıcı hesabını ek izin olmadan oluşturun.
  3. Aşağıdaki kısıtlamalara uyarak AD RMS’yi yükleyecek kullanıcı hesabını seçin:

AD RMS’yi yükleyen kullanıcı hesabının AD RMS hizmet hesabından farklı olması gerekir.

Yükleme sırasında AD RMS hizmet bağlantı noktasını (SCP) kaydettiriyorsanız, AD RMS’yi yükleyen kullanıcı hesabının AD DS Enterprise Admins grubunun veya eşdeğer bir grubun üyesi olması gerekir.

AD RMS veritabanları için dış veritabanı sunucusu kullanıyorsanız, AD RMS’yi yükleyen kullanıcı hesabının yeni veritabanları oluşturma hakkına sahip olması gerekir. Microsoft SQL Server 2005 veya Microsoft SQL Server 2008 kullanılıyorsa, kullanıcı hesabının SQL Sysadmin veya eşdeğer bir rolün üyesi olması gerekir

AD RMS’yi yükleyen kullanıcı hesabının AD DS domain nı sorgulayacak erişime sahip olması gerekir.

  1. AD RMS kümesi için AD RMS yüklemesi süresince kullanılabilecek bir URL ayırın. Ayrılan URL’nin bilgisayarın adından farklı olduğundan emin olun.

AD RMS için önkurulum gereksinimlerine ek olarak, şunları da önemle öneririz:

Windows RMS’den AD RMS’ye yükseltme yapmadan önce

Rights Management Services’in (RMS) herhangi bir sürümünden AD RMS’ye yükseltme yapıyorsanız, aşağıdakileri yapın:

AD RMS’yi yüklemeyle ilgili önemli noktalar

 

Aşağıda AD RMS’yi yüklemeden önce dikkat edilmesi gerekenlerin listesi verilmiştir:

 Kimlik federasyonunu destekleyen AD RMS’yi yüklemeyle ilgili önemli noktalar

 

Aşağıda kimlik federasyonunu destekleyen AD RMS’yi yüklemeden önce dikkat edilmesi gerekenlerin listesi verilmiştir:

Sistem gereksinimleri

Aşağıdaki tabloda, Windows Server® 2008 R2 sunucularını AD RMS sunucu rolüyle çalıştırmak için en düşük donanım gereksinimleri ve öneriler açıklanmaktadır.

 

 

 

Aşağıdaki tabloda, Windows Server 2008 R2 sunucularını AD RMS sunucu rolüyle çalıştırmak için yazılım gereksinimleri açıklanmaktadır. AD RMS sunucu rolü yüklendiğinde, işletim sistemine ait özelliklerin etkinleştirilmesiyle karşılanabilecek gereksinimler önceden yapılandırılmadıysa, yükleme işlemi bunları uygun şekilde yapılandırır.

 

Bir sonraki makalemizde Kurulum ortamı ve kurulum ile devam edeceğiz.

Exit mobile version