316 Kapitel 6: Active Directory-Verbunddienste und -Rechteverwaltungsdienste
■ Sie können AD RMS auf allen Windows Server 2008-Editionen außer Windows Server
Web installieren. Eine Installation auf Itanium-Systemen ist allerdings nicht möglich.
Microsoft empfiehlt Windows Server Enterprise oder Windows Server Datacenter.
■ Sie brauchen Message Queuing und IIS (bevorzugt IIS 7.0) mit aktiviertem ASP.NET.
■ Sie müssen Webserver-URLs reservieren, die sich nicht mehr ändern und weder den
Computernamen noch localhost enthalten. Verwenden Sie unterschiedliche URLs für
interne und externe Verbindungen.
■ AD RMS benötigt eine AD DS-Domäne. Vorzugsweise sollten alle Ihre Domänencon-
troller unter Windows Server 2008 laufen. Microsoft empfiehlt, AD RMS in einer
Gesamtstruktur mit mehreren Domänen in der untergeordneten Produktivdomäne zu
installieren.
■ Installieren Sie AD RMS in derselben Domäne wie die potenziellen Benutzer. Für
die Domänenbenutzerkonten müssen in AD DS E-Mail-Adressen konfiguriert sein.
In einer Gesamtstruktur mit mehreren Domänen setzt das voraus, dass Ihre Benutzer-
konten in einer untergeordneten Produktivdomäne liegen, wenn Sie den Empfehlungen
von Microsoft folgen.
■ Das Installationskonto muss ein Domänenkonto sein und lokale Administratorprivi-
legien haben. Wenn Sie Dienstverbindungspunkte generieren müssen, muss dieses
Konto Mitglied von Organisations-Admins sein. Wenn Sie eine externe Datenbank
verwenden (was in einer Produktivumgebung empfehlenswert ist), muss das Installa-
tionskonto Mitglied der Systemadministratoren-Rolle auf dem Datenbankserver sein.
Aus Sicherheitsgründen darf es sich nicht um ein Smartcardkonto handeln. (Falls Sie
ein Smartcardkonto verwenden, schlägt die Installation fehl.)
■ Sie brauchen ein Dienstkonto, das entweder ein Standarddomänenbenutzerkonto und
Mitglied der lokalen Gruppe Administratoren ist, oder ein Domänenkonto, dem das
Benutzerrecht Generieren von Sicherheitsüberwachungen zugewiesen ist.
■ Sie müssen für den AD RMS-Cluster ein SSL-Zertifikat von einer kommerziellen Zer-
tifizierungsstelle kaufen. Selbstsignierte Zertifikate eignen sich nicht für eine Produk-
tivumgebung. Sie müssen das Zertifikat installieren, bevor Sie AD RMS installieren.
■ In einer Produktivumgebung sollten Sie nicht WID benutzen, sondern einen Daten-
bankserver mit SQL Server 2005 SP2 oder neuer oder SQL Server 2008 konfigurieren.
Diese Systeme sind in der Lage, Operationen mithilfe gespeicherter Prozeduren auszu-
führen. Sie müssen die AD RMS-Datenbankinstanz erstellen und benennen und den
SQL Server-Browserdienst starten, bevor Sie die AD RMS-Installation beginnen. SQL
Server muss auf einem anderen Server als AD RMS installiert sein.
■ Sie müssen DNS konfigurieren und benutzerdefinierte CNAME-Einträge für die
Stammcluster-URL und den Datenbankserver anlegen.
■ Sie müssen einen SLC-Namen wählen, bevor Sie AD RMS installieren. Sie können
dafür beispielsweise den Namen Ihrer Organisation verwenden.
■ Sie brauchen einen Clusterschlüssel, der in der AD RMS-Konfigurationsdatenbank
gespeichert ist. Microsoft empfiehlt, dass Sie ein Hardwareschutzgerät verwenden, um
den Clusterschlüssel zu speichern, und ihn auf jedem Server installieren, bevor Sie die
AD RMS-Rolle installieren.