Prérequis et préparation au déploiement de AD RMS
Prérequis
Le déploiement d’AD RMS nécessite plusieurs prérequis au niveau infrastructure.
Le point le plus important est la formation des ‘utilisateurs à l’utilisation de ce service. Comme nous le verrons à la suite de ce tutoriel, les droits RMS sont appliqués par le créateur du document, ce qui rend autonome l’utilisateur, contrairement à un partage classique où la sécurité NTFS est assuré par le service informatique.
Prérequis pour le déploiement d’AD RMS :
- Un environnement Active Directory.
- Pour le cluster AD RMS un ou plusieurs serveurs membres du domaine Active Directory, de préférence dédiée à ce rôle.
- Dans le cas d’un déploiement de plusieurs serveurs AD RMS, prévoir une base de données SQL Server 2008 minimum. Si un seul serveur, il est possible d’utiliser la base interne à Windows (WID).
- Le ou les serveurs pour AD RMS doivent être membre du domaine.
- Les utilisateurs et groupes Active Directory doivent posséder une adresse e-mail dans leur attribut afin de pouvoir être utilisés avec AD RMS.
- Prévoir un nom DNS pour le cluster AD RMS :
- Un enregistrement
- Un certificat SSL (Autorité de certification d’entreprise).
- Les utilisateurs doivent avec un client compatible afin de pouvoir appliquer et lire les fichiers protégés.
- Office Pro ou Adobe Pro pour appliquer des droits RMS.
- Office ou Acrobat Reader pour ouvrir le ou les fichiers.
Préparation
Avant de commencer l’installation du rôle AD RMS, nous allons préparer l’environnement.
Création d’un groupe pour les super-utilisateurs
Afin de pallier une erreur utilisateur sur l’application des droits, il est possible de configurer dans AD RMS un groupe super-admin qui a la possibilité d’éditer tous les fichiers.
Depuis la console Utilisateurs et ordinateurs Active Directory, créer un groupe en indiquant une adresse de messagerie 1.
Ajouter ensuite, le ou les personnes qui pourront accéder à tous les documents.
Compte de service pour le cluster AD RMS
Lors de la configuration post-installation et de la création du cluster AD RMS, un compte de service doit être configuré. Toujours à l’aide de la console Utilisateurs et ordinateur Active Directory, créer un compte utilisateur standard dont le mot de passe n’expire jamais.
Un partage réseau
Créer un partage réseau accessible en Lecture par tout le monde et en contrôle totale par le compte de service. Ce partage va service à l’export au format XML des modèles stratégie de droits.
Enregistrement DNS
Créer un enregistrement DNS pour le nom du cluster qui pointent sur l’IP du serveur prévu au rôle.
Certificat pour le cluster
Si vous possédez une autorité de certification, prévoir un certificat au nom du cluster AD RMS.
Si vous n’avez pas de serveur IIS pour générer le certificat, il est possible de le faire depuis le serveur AD RMS après l’installation des rôles.
SQL Server (facultatif)
Si vous souhaitez mettre plusieurs serveurs AD RMS dans le cluster, il est nécessaire de prévoir une instance SQL Server
Déploiement des rôles AD RMS
Installation des rôles pour AD RMS
Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.
Au lancement de l’assistant, cliquer sur Suivant 1.
Type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sur Suivant 2.
Sélectionner le serveur 1 et cliquer sur Suivant 2.
Dans la liste des rôles, cocher la case Services AD RMS (Active Directory Right Management) 1.
Confirmer l’ajout des dépendances au rôle en cliquant sur Ajouter des fonctionnalités 1.
Le rôle AD RMS est maintenant coché 1, cliquer sur Suivant 2.
Passer la liste des fonctionnalités en cliquant sur Suivant 1.
Un résumé du rôle AD RMS s’affiche, cliquer sur Suivant 1.
Sélectionner le service Active Directory Rights Management Server 1 et cliquer sur Suivant 2
.
Passer le résumé du rôle IIS en cliquant sur Suivant 1.
Cliquer sur Suivant 1 pour valider les services du rôle IIS.
Confirmer l’installation en cliquant sur le bouton Installer 1.
Patienter pendant l’installation …
L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.
Configuration post déploiement
Avant de lancer l’assistant de configuration post-déploiement, installer le certificat dans IIS.
Une fois le certificat installé, retourner sur le Gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Effectuer une configuration supplémentaire 2.
Au lancement de l’assistant s’affiche de nouveau le résumé des services AD RMS, cliquer sur Suivant 1.
Choisir l’option Créer un nouveau cluster racine AD RMS 1 et cliquer sur Suivant 2.
Choisir Utilisateur la base de données interne de Windows sur ce serveur 1 et cliquer sur Suivant 2.
L’utilisation de la base de donnée interne de Windows ne permet pas d’ajouter d’autre serveur au cluster.
Indiquer le compte de service créé au début 1 et cliquer sur Suivant 2.
Choisir le mode de chiffrement 2 1 puis cliquer sur Suivant 2.
Configurer le stockage des clés en sélectionnant Utilisateur le stockage de clé AD RMS géré de manière centralisée 1 et cliquer sur Suivant 2.
Entrer le mot de passe du cluster 1 et cliquer sur Suivant 2.
Ce mot de passe vous sera demandé pour joindre d’autre serveur au cluster AD RMS.
Choisir le site utilisé IIS pour AD RMS 1 puis cliquer Suivant 2.
Choisir le type de connexion SSL 1, entrer le nom de domaine du cluster 2 (URL) et cliquer sur Suivant 3.
Choisir le certificat qui correspond au nom DNS du cluster 1 puis cliquer Suivant 2.
Si nécessaire, changer le nom du certificat de licence du serveur 1 et cliquer sur Suivant 2.
Choisir l’option Enregistrer le pont de connexion de service maintenant 1 puis cliquer sur Suivant 2.
Un résumé de la configuration s’affiche, cliquer sur Installer 1.
Patienter pendant la configuration ….
Une fois la configuration appliquée, quitter l’assistant en cliquant sur Fermer 1.
L’installation et la configuration du service AD RMS est terminé, le service peut maintenant être utilisé par les utilisateurs ayant une version d’Office compatible.