[转译] AD RMS 安装最佳实践

在安装活动目录权限管理服务（ADRMS）时，请牢记以下几点：

将 AD RMS服务单独安装在一台服务器上——将 AD RMS与域控制器、微软邮件服务器（Microsoft Exchange Server）、证书颁发中心（Certification Authority）或者微软 Office SharePoint等产品安装在同一台服务器上会大大降低AD RMS的安全性。

请勿将 AD RMS安装在域控制器上。如果一定要这么做，那么您必须将 AD RMS服务账号添加到域管理员用户组中（将AD RMS服务安装在域成员服务器时，该服务账号只需要是普通域用户即可，无需额外权限）。

请勿在部署活动目录联合服务（Active Directory Federation Services, AD FS）服务器之前安装 “联合身份认证支持”服务。如果您安装 AD RMS时，AD FS还未完成配置，那么请在您完成AD FS配置后再安装该服务。

Windows服务器上的内部数据库服务（Windows Internal Database）仅适用于测试环境，它不支持远程连接，因此，如果使用内部数据库，您将无法向您的群集中添加额外的AD RMS服务器。在生产环境部署AD RMS 时，请使用微软的SQL Server产品。

ADRMS服务器连接 SQL数据库服务器时，请使用数据库服务器的 DNS别名记录或DNS主机记录，即CNAME 记录和 A记录。这样您将来有数据库迁移需求时，将会非常容易。

为 ADRMS群集服务 URL 命名时，请同样使用 DNS别名记录或 DNS主机记录。这样您以后可以向 AD RMS群集中添加多台成员服务器，以实现快速的灾难恢复，解决大量客户端请求时的负载均衡问题。

如果您计划将 AD RMS安装在一个已经设置好的 Web站点服务器上，那么请务必保证 Web站点已经设置了HTTP绑定，即使您的AD RMS服务仅仅使用HTTPS。

如果您准备部署 AD RMS到非默认站点的 Web服务器上，请在部署前先安装“IIS 6 Management Capability”角色服务。

使用 SSL协议增强客户端到 AD RMS群集之间网络连接的安全性，AD RMS与 AD FS 集成时也需要使用 SSL。此外，您需要注意的是，一旦确定使用 HTTPS，以后不能随意更改，否则会影响到所有加密文档。

如果计划启用 AD RMS联合身份验证支持，那么请将 AD RMS服务 URL的 FQDN（域名）全部设置为小写，因为 AD FS 是区分大小写的。

您最好在安装 AD RMS服务后，尽快在服务器上设置外部访问 URL，这个 URL可以与内部 URL不同。我们建议您设置为与内部 URL相同，除非您内部的URL不是标准的域名或有其他的原因。如果您使用AD RMS服务器一段时间后才配置外部访问URL，那么您需要将所有加密过的文档保护手动去除，清除客户端DRM缓存，配置外部URL，之后再将之前的文档重新加密。

自签发的文档仅适用于测试环境；在生产环境，您应该选择由内部根证书服务器 CA颁发的SSL 证书或者直接购买受信任的第三方机构签发的SSL证书。

ADRMS初次安装完成或者初次升级后，请先注销，再重新登陆并管理 AD RMS服务器。

一旦 AD RMS服务器安装完毕，请第一时间备份 TPD(包括服务器授权证书的公钥和私钥)，并牢记您的群集密钥密码。

将 Win2003上的 RMS升级至 Win2008上的 AD RMS有两个途径：迁移和直接升级。我们推荐您使用迁移的步骤完成升级。如果您一定要选择直接升级，请确保 OS升级完毕后执行升级向导，升级向导的链接需要从服务器的管理器中找到。详情请参照文档：http://technet.microsoft.com/en-us/library/cc770876(v=ws.10).aspx

对于 AD RMS安装前的准备工作，请参照文档：http://technet.microsoft.com/en-us/library/dd772659(v=ws.10).aspx；关于AD RMS的详细安装步骤，请参照文档：http://technet.microsoft.com/en-us/library/cc753531(v=ws.10).aspx，建议您在生产环境部署AD RMS之前，请先按照上面的文档安装一遍测试环境。

英文原文链接：http://blogs.technet.com/b/rms/archive/2012/04/28/ad-rms-installation-best-practices.aspx