windows RMS 部署

本文RMS的部署做了一些實際的操作,并力求簡單明確.望大家指正..

一、預備
RMS系統建立在WIN2003上，其由服務端和用戶端兩部分組成，服務端只能安裝在WIN2003上，不能安裝在WIN2000或以下版本上。安裝RMS需要的東西比較多，首先需要有活動目錄支援，其次需要有電子郵件，還需要MSMQ（訊息佇列）和資料庫支援。

實驗環境：
* 一台WIN2003伺服器，檔案系統為NTFS。
* 活動目錄已經安裝好，網域名稱：ets.com.cn
* MSMQ和IIS（ASP.NET）均已安裝
* MSDE 2000（我有這代替SQL SERVER，你也可以用SQL SERVER SP3代替）
* INTERNET串連（這一點很重要！！！）
滿足以上要求，就可以開始安裝RMS了。

二、安裝和設定RMS服務端
1、安裝MSDE ，將MSDE下載並解包後，在其安裝目錄執行：Setup.exe /i setup/sqlrun10.msi INSTANCENAME=RMS DISABLEAGENTSTARTUP=1 SAPWD=password，此命令的含義是建立一個名為RMS的執行個體的SQL 服務。見圖：

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18394" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

安裝完成後，你可以在服務裡看到MSSQL$RMS的服務物件。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18395">

將它啟動起來。

2、安裝RMS服務端程式
安裝RMS服務端程式很簡單，按要求提示做就可以了，標準的MSI安裝程式。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18396">

安裝好後，會在程式組裡產生一個串連。

3、設定根證明伺服器
開啟程式組裡的RMS管理項，就會看到系統?啟了一個IE，並開啟了一個原生網站。奇怪嗎？不奇怪，RMS本身就是通過IE來設定的。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18398" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

這就是RMS的全域管理頁面，第一次進入該頁面，系統會提示你需要建立一個RMS伺服器，以後可以在這裡進行RMS的管理和增加群集。
好，我們開始了，選擇“在此網站設定RMS”串連，進入設定頁。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18399" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

在這裡你應該可以看到系統用紅色的字提示你需要建立一個根證明伺服器。如果你之前安裝過RMS，這裡就不會顯示了。
注意：如果你需要刪除RMS根證明伺服器，一定要先刪除AD裡的SCP才可以刪除，否則你將不能再次建立根證明伺服器。
好，接下來我們來看看需要配置的東西：
* 資料庫：可以是本地或遠程，按要求寫入“伺服器名/執行個體名”
* 服務帳號：可以是本地系統（不安全，不推薦）或合法的域使用者（注意：這裡的服務帳戶不能是當前安裝的使用者！！）
* RMS認證保護：可以選擇用軟體保護，（需要設定複雜的密碼）

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18400" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

如果你希望更加安全，也可以使用硬體保護（選擇建立金鑰組）。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18401" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

* RM Lockbox：這裡要寫伺服器管理員的資訊。
* Proxy 伺服器設定：因為註冊RM Lockbox需要串連INTERNET，所以這裡必須設定（如沒有代理，則不需設定）
OK，完成了，提交。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18402" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

設定過程中，檢索伺服器方許可認證

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18403" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

設定完成，按提示返回全域管理頁

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18404" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

返回後的全域管理頁

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18405" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

你看到變化了嗎？選擇“在此網站上管理RMS”，就進入了管理頁了。
提示：在這裡還可以改變RMS的服務帳號或從群集中刪除該網站。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18407" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

在這個頁面上，我們現在應可以看到一些伺服器方許可認證的資訊和到期時間等。先不管這些，看到系統用紅色的提示了嗎？對，首先需要註冊一個服務連接點。OK，GO。。
點“RMS服務連接點”，進入設定頁。按提示進行註冊。註冊後，也可以今後在這裡撤消服務連接點（見刪除注意事項）

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18408" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

返回全域頁，現在伺服器的設定基本完成了。
4、以下是管理頁的說明：
1、信任策略，可以配置信任.NET PASSPORT。如果你希望DRM能和以前的IRM一起工作，必須設定。在這裡還可以匯出認證，或更改信任域資訊。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18409" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

2、權限原則模板，簡單了，是定義企業的權限原則用的，管理員可以通過定義一些現成的原則範本讓企業使用者直接調用。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18410" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

3、日誌記錄，顯示當前日誌資料庫的位置

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18411" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

4、外部群集URL，可選項

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18412" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

5、RM認證使用者報告，這裡將顯示所有使用RMS服務的使用者數量（應該是用來做許可授權時用的）

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18413" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

6、安全設定，在這裡是關於安全的設定了，有超級使用者組（就是具有系統管理權限的組），還有認證密鑰重設，代理設定以及取消RMS配置（刪除前必須先取消配置）。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18414" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

7、接下來是認證設定，這裡是認證的有效時間

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18415" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

8、排除策略，排除測量的作用是防止非法使用者使用RMS服務，這裡可以定義排除的密碼箱版本，WINDOWS版本、RM使用者認證以及應用程式項。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18416" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

OK，講解到這裡，伺服器的配置基本結束了，下面讓我們休息一會，來看看用戶端的配置。
---------------
三、安裝和設定RMS用戶端
1、前言
RMS的用戶端和以前在OFFICE2003裡提供的IRM的用戶端是不一樣的，請大家注意區別。
2、安裝
安裝過程同樣是簡單的。直接安裝即可，MSI安裝程式。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18417" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

3、啟用電腦
進入系統硬碟下的DRM目錄，找到ACTMACHINE命令，執行：actmachine.exe /n /p c:/wrmstemp.cab，下載密碼箱。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18418" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

下載後的密碼廂

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18419" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

將密碼箱解壓到SYSTEM32下，然後執行命令：%WINDIR%/System32/rundll32.exe advpack.dll,LaunchINFSection secrep.inf,Install,,N
安裝密碼箱，

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18420" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

注意：該操作需要串連INTERNET，如果不是在RMS伺服器上操作，此操作將使用RMS伺服器作為註冊代理註冊密碼箱。
4、啟動RMS應用程式，獲得使用者認證
啟動支援RMS的應用程式（如OFFICE2003），建立保護內容並獲得使用者認證。
在這裡你可以選擇使用PASSPORT或WINDOWS域使用者。 

Office 2003使用的登錄機碼是：
 Hive: HKEY_LOCAL_MACHINE
 Key:  SOFTWARE/Microsoft/Office/11.0/Common/DRM
 Type: REG_SZ
 值：CorpCertificationServer :http[s]://<fqdnofserver>/_wmcs/Certification
 值：CorpLicensingServer:http[s]://<fqdnofserver>/_wmcs/Licensing

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18421" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

登入

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18422" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

OK，你可以使用RMS了。。累死我了。。
驗證登入資訊

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18424" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

限制管理設定

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18425" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

儲存後的受RMS保護的文本

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18426" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

四、排錯和疑難
還沒完，RMS設定過程比較複雜，因此容易出錯，MS提供了一個檢查工具來檢查--IRMCHECK。你可以安裝RMSTOOLSKIT獲得它。

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18423" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

通過它可以看到一些有意義的錯誤提示，本圖就是因為沒有把授權群集的URL列入信任網站，導致使用者認證下載失敗的樣本。
正確的IRMCHECK資訊樣本：

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18427" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

--------------
受限制文本開啟的時候.

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18428" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

查看的當前許可權

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18429" width="700" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border="0" resized="true">

被部分保護的文字格式設定

CTRL+Mouse wheel to zoom in/out" src="http://www.winmag.com.cn/forum/showimg.asp?ID=18430">