Nouveaux services de Gestion des droits numériques AD RMS (4)

dans la même forêt, dans une forêt différente ou encore lorsqu’il s’agit d’un compte Windows Live ID sur Internet.

AD RMS : Quelques recommandations d’installation…
L’installation des services AD RMS de Windows Server 2008 est prise en charge par un assistant beaucoup plus évolué que celui que nous connaissions dans la version de RMS fonctionnant sous Windows Server 2003. Grace à cet assistant, de nombreux pièges pourront être évités. Les recommandations ci-dessous, vous permettront de réussir une installation opérationnelle des services AD RMS :
• Vous devez définir l’URL qui sera utilisée pour représenter le nom du Cluster RMS. Ce nom doit être préservé tout au long de l’utilisation de la plateforme AD RMS. Il est recommandé de déclarer un nom différent du nom réel de la machine.
• Le serveur de base de données devrait être installé sur un ordinateur différent du serveur qui assure les services AD RMS.
• Les communications entre un client RMS et le cluster AD RMS utilisent le protocole HTTP. Il est donc recommandé d’installer un certificat SSL pour crypter et authentifier les flux entre les entités.
• Vous pouvez utiliser un certificat auto-signé ou émis par une autorité de certification approuvée. Notez que l’utilisation d’un certificat auto-signé ne doit être utilisée qu’à des fins de tests, cette configuration n’étant pas supportée par Microsoft. Lors de l’ajout d’un nouveau serveur à un cluster AD RMS, le certificat SSL doit déjà être mis en place sur le nouveau serveur avant de lancer le processus d’installation des services AD RMS.
• Pour profiter d’une indépendance vis-à-vis des évolutions à venir ou de la mise en oeuvre de procédures de récupération d’urgence, créez un enregistrement d’alias DNS – CNAME, pour référencer l’URL du cluster AD RMS et un autre enregistrement du même type pour référencer le nom du serveur hébergeant la base de données de configuration AD RMS. En cas d’évolution de la plateforme – ajout ou suppression de serveurs au sein du cluster RMS, il suffira de mettre à jour les enregistrements d’alias DNS.

Déploiement des services AD RMS en environnement multi-forêts
Seulement un seul cluster AD RMS peut être inscrit au sein d’une forêt Active Directory. Lorsqu’une entreprise souhaite utiliser des documents protégés dans un environnement composé de plus d’une forêt, il sera nécessaire de déployer un cluster AD RMS pour chaque forêt.

Support des services de fédération AD FS avec AD RMS
Pour assurer un bon fonctionnement des services de fédération AD FS au sein d’un environnement AD RMS, vous devrez considérer les points suivants :
• Une relation d’approbation de fédération doit être configurée avant que vous ne configureriez le support de fédération des identités. Lors de l’installation de cette fonctionnalité, vous devrez spécifier l’URL permet l’accès aux services de fédération.
• AD FS nécessite des communications sécurisées entre les serveurs AD RMS et les serveurs ADFS.
• Le compte de service AD RMS doit disposer du privilège Générer des audits de sécurité.
• Les URL extranet des clusters AD RMS doivent être accessibles aux comptes de l’entreprise approuvée via les services AD FS.

Voila ! Comme vous pouvez le voir, les rôles dont dispose Windows Server 2008 – AD DS, AD CS et AD RMS, vont faire de cette nouvelle version majeure une grande version ! Souhaitons bonne chance et longue vie à Windows Server 2008, pour son lancement le 27 février prochain!

Jean-François APREA
Consultant Infrastructures Microsoft
MVP 2007 – Directory Services.
MCSE Security – MCSE +I – MCSE Charter Member – MCT
Tel. 06.20.84.77.56 | jfaprea@novenci.com
http://www.ads-training.com