Rights Management Services. Развертывание отказоустойчивого кластера Часть 8

Перейдем к приемочным испытаниям. Или к седьмому пункту сценария «Проверка связи – тест на использование службы управления правами Active Directory, с эмуляцией отказа серверов». Во-первых, нужно проверить работоспособность корневого кластера службы управления правами Active Directory. Для выполнения данного задания перейдем на рабочую станцию client01.test.local, под управлением операционной системы Microsoft Windows 7, под именем пользователя test_client@test.local. Откройте любым доступным способом приложение Microsoft Word 2010.

Нужно отметить, что службой управления правами Active Directory, поддерживаются также пакеты Microsoft Office 2003/2007. В открывшемся приложении Microsoft Word, напечатайте произвольный текст (Рисунок 1).

clip_image002

Рисунок 1. Приложение Microsoft Word 2010 – подготовка к проверке работоспособности корневого кластера AD RMS.

В главном меню зашифруйте файл, для этого перейдите «Файл» | «Сведения»| «Защитить документ»| «Ограничить разрешения для пользователей» | «Ограниченный доступ» (рисунок 2).

clip_image004

Рисунок 2. Приложение Microsoft Word 2010 – защита документа с помощью корневого кластера AD RMS.

Если возникает ошибка, что пользователь не найден, проверьте заполнение поля «Электронная почта» в учетной записи пользователя, от имени которого производится защита документа с помощью корневого кластера AD RMS (test_client@test.local). Для выполнения данного действия, перейдите на сервер dc.test.local. Откройте оснастку «Active Directory – пользователи и компьютеры». В свойствах учетной записи «test_client», перейдите на закладку «Общие», и проверьте заполнение поля «Электронная почта» (Рисунок 3).

clip_image005

Рисунок 3. Свойства учетной записи «test.local» — закладка «Общие»

Проверьте заполнение поля «Электронная почта», во всех учетных записях, которые нужно будет использовать для проведения приемочных испытаний, к примеру, admin@test.local. В случае необходимости заполните поле «Электронная почта». Теперь снова вернитесь на виртуальную машину client01.test.local, и в приложении Microsoft Word 2010 сделайте попытку защитить документ («Файл» | «Сведения»| «Защитить документ»| «Ограничить разрешения для пользователей» | «Ограниченный доступ»). В открывшемся окне «Безопасность Windows» заполните поля «Имя пользователя» — test_client@test.local, и «Пароль» (Рисунок 4). Выбор параметра «Запомнить учетные данные» рекомендуется делать только в том случае, если рабочей станцией пользуется только один сотрудник, и у сотрудника нет дополнительных учетных записей.

clip_image006

Рисунок 4. Окно «Безопасность Windows» — подключение к rms.test.local

Также в окне «Безопасность Windows», можно обратить внимание, к какому кластеру службы управления правами Active Directory, происходит подключение. В данном случае, это должен быть кластер rms.test.local. Если это не так, перезагрузите рабочую станцию client01.test.local, и повторите попытку защитить документ заново. В случае правильного заполнения всех полей окна «Безопасность Windows», откроется окно «Разрешения» (Рисунок 5).

clip_image007

Рисунок 5. Окно «Разрешения» клиента службы управления правами Active Directory.

Выберете параметр «Ограничить разрешения на доступ к этому файлу документа». В окне также упомянуто то, что в качестве имени учетной записи сотрудника, которому будет позволено чтение, или изменение документа нужно указывать адрес электронной почты. Если напротив поля «Чтение…» или «Запись…» нажать пиктограммуclip_image008, то выберется предопределенная группа «Все» (рисунок 6).

clip_image009

Рисунок 6. Окно «Разрешения» — установка необходимых прав для пользователей.

В окне «Дополнительные параметры» можно определить разрешения на печать защищаемого документа и необходимость проверки прав пользователя с помощью непосредственного соединения с кластером службы управления правами Active Directory. Когда установки завершены, нажмите кнопку «Ок» для продолжения. Установка ограничения для определенных пользователей успешно завершена, кластер службы управления правами Active Directory вполне работоспособен (рисунок 7).

clip_image010

Рисунок 7. Установка ограничения для определенных пользователей.

В окне дополнительных разрешений также можно выставить срок истечения действия документа (если срок истекает, документ не может быть открыт никем), ограничить к программному содержимому документа (доступ к макросам), а также указать пользователя, у которого можно запросить дополнительные разрешения для пользования данным документом (рисунок 8).

clip_image012

Рисунок 8. Окно дополнительных разрешений пользователя, для работы с документом.

Теперь перейдем ко второй части приемочных испытаний, — проверке отказоустойчивости кластера службы управления правами Active Directory. Отключите последовательно сервера поддержки кластера rms01.test.local и node02.test.local. Для того, чтобы убедится, что сервера выключены, перейдите на сервер rms02.test.local, откройте оснастку «Диспетчер балансировки сетевой нагрузки» (рисунок 9).

clip_image014

Рисунок 9. Оснастка «Диспетчер балансировки сетевой нагрузки» — сервер rms02.test.local.

Как можно убедится, кластер балансировки нагрузки для доступа клиентов службы управления правами Active Directory существует, остался сервер rms02.test.local. Теперь перейдите на сервер node01.test.local и откройте оснастку «Диспетчер отказоустойчивости кластеров» (рисунок 10).

clip_image016

Рисунок 10. Оснастка «Диспетчер отказоустойчивости кластеров» — сервер node01.test.local.

Как можно убедится, кластер отказоустойчивости для поддержки сервисов SQД Server для доступа к базам данных службы управления правами Active Directory существует, остался сервер node01.test.local. Для того, чтобы точно убедится, что кластер службы управления правами Active Directory в такой экстремальной ситуации работоспособен, и не используются кэшируемые данные, заведите еще одного пользователя в test.local. Перейдите на виртуальный сервер dc.test.local откройте оснастку «Active Directory – пользователи и компьютеры» (Рисунок 11)

clip_image017

Рисунок 11. Оснастка «Active Directory – пользователи и компьютеры»

Создайте пользователя – «test.local» | «RMS» | правая кнопка мыши «Создать» | «Пользователь». В окне «Конечный объект — Пользователь» заполните необходимые поля, нажмите кнопку «Далее» (Рисунок 12).

clip_image018

Рисунок 12. Окно «Конечный объект — Пользователь» — создание учетной записи.

В следующем окне мастера создания учетной записи пользователя введите пароль, отвечающий требованиям сложности, нажмите кнопку «Далее» (Рисунок 13).

clip_image019

Рисунок 13. Окно «Конечный объект — Пользователь» — ввод пароля учетной записи.

Учетная запись пользователя test_client2@test.local успешно завершена. Перейдите на рабочую станцию client01.test.local, войдите под вновь созданным пользователем. Откройте документ, защищенный службой управления правами Active Directory. В открывшемся окне «Безопасность Windows» заполните поля «Имя пользователя» — test_client2@test.local, и «Пароль» (Рисунок 14).

clip_image020

Рисунок 14. Окно «Безопасность Windows» — подключение к rms.test.local

Происходит первичная выдача всех необходимых сертификатов и лицензий на использование службы управления правами Active Directory. Эти процессы, абсолютно прозрачны для пользователей. В случае работоспособности кластера службы управления правами, документ успешно открывается (Рисунок 15).

clip_image022

Рисунок 15. Приложение Microsoft Word 2010 – подготовка к проверке работоспособности корневого кластера AD RMS.

Как можно заметить, корневой кластер AD RMS успешно работает, при отключении одного из узлов кластеров поддержки. В виртуальном окружении, не реализована еще одна возможность, которая также необходима для отказоустойчивости корневого кластера службы управления правами Active Directory. Это отказоустойчивость дискового пространства, на котором расположены базы данных корневого кластера службы управления правами Active Directory. Какие тут могут быть варианты:

1. RAID[12] (redundant array of independent disks — избыточный массив независимых жёстких дисков) — массив из нескольких дисков, управляемых контроллером, взаимосвязанных скоростными каналами и воспринимаемых внешней системой как единое целое) – на физическом уровне, применение различных типов RAID 1, 5, 10,60 и так далее.

  1. Multipath I/O – отдельные устройства реализующие отказоустойчивость как на аппаратном так и на сетевом уровне.
  2. Database Mirroring – технология Microsoft SQL Server, позволяющая переключить базу данных на дополнительный сервер в случает отказа основного.

Какой вариант выбрать, конечно же, зависит от вложения средств вложенных в проект. Итак, пример развертывания отказоустойчивого корневого кластера службы управления правами Active Directory успешно продемонстрирован. В дальнейшем планирую написать цикл статей, посвященных аспектам безопасности службы управления правами Active Directory.

Полезные ссылки:

1. Развертывание отказоустойчивого кластера службы управления правами Active Directory Windows Server 2008 R2. http://www.techdays.ru/videos/2716.html

2. Службы управления правами Active Directory (Active Directory Rights Management Services)
http://technet.microsoft.com/ru-ru/library/cc771234(WS.10).aspx

3. Файлы административных шаблонов Office 2010 (ADM, ADMX/ADML) и центр развертывания Office
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=c3436a99-5c80-48ce-83e8-481f9c3d2288#filelist

4. Пошаговое руководство по созданию и развертывание шаблонов служб управления правами Active Directory в экстрасети http://technet.microsoft.com/ru-ru/library/cc731070(WS.10).aspx

5. AD RMS and Active Directory Objects http://technet.microsoft.com/ru-ru/library/dd772638(WS.10).aspx

6. AD RMS Architecture Design and Secure Collaboration Scenarios http://technet.microsoft.com/ru-ru/library/dd983947(WS.10).aspx

7. Windows Storage Server 2008 http://www.microsoft.com/windowsserver2008/ru/ru/wss08.aspx

8. Download StarWind iSCSI SAN Software Trial Version http://www.starwindsoftware.com/download-free-trial

9. Настройка высокого уровня доступности SQL 2005/2008/2008R2 http://technet.microsoft.com/ru-ru/library/ms190202(SQL.90).aspx

10. SQL Server code-named "Denali"

http://www.microsoft.com/sqlserver/en/us/product-info/future-editions.aspx

11. Обновление для Microsoft.NET Framework 3.5 пакетом обновления 1 для Windows 7 и Windows Server 2008 R2 http://support.microsoft.com/?kbid=958488

12. RAID — http://ru.wikipedia.org/wiki/RAID

Реклама

One Response to Rights Management Services. Развертывание отказоустойчивого кластера Часть 8

  1. Moto says:

    Дмитрий, спасибо за серию статей, по вашим инструкциям внедрял в компании. Дмитрий я никак не могу сделать так, чтобы члены учетной записи Domain Admins перестали получать доступ к документам.
    Подробно написал о проблеме здесь:
    http://social.technet.microsoft.com/Forums/en-US/rms/thread/a655cf14-05c9-4d88-b5aa-c0ab1882aba1?prof=required
    Прокомментируйте пожалуйста, уже не знаю куда смотреть.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

%d такие блоггеры, как: