[转载]Windows Server 2008 R2 之二十五AD RMS信任策略

原文地址：Windows Server 2008 R2 之二十五AD RMS信任策略作者：从心开始

可以通过添加信任策略，让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。AD
RMS信任策略包括以下几种：

1、受信任的用户域。如果用户的 权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的，则通过添加可信用户域，AD
RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。通过导入要信任的 AD RMS
群集的服务器许可方证书，可添加可信用户域。

2、受信任的发布域。通过添加受信任的发布域，一个 AD RMS 群集可以根据由不同的 AD RMS
群集颁发的发布许可证来颁发使用许可证。通过导入要信任的服务器的服务器许可方证书和私钥，可添加受信任的发布域。

3、Windows Live ID。通过设置与 Microsoft 的联机 RMS 服务的信任关系，AD RMS
用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。Windows Live ID 用户将能够使用来自已信任
Microsoft 的联机 RMS 服务的 AD RMS 群集的受权限保护内容，但是 Windows Live ID 用户不能创建由
AD RMS 群集进行权限保护的内容。

4、联合信任。使用 Active Directory 联合身份验证服务，可以在两个林之间建立联合信任。当一个林没有安装 AD
RMS，但它的用户需要使用另一个林的受权限保护的内容时，这将非常有用。

以下通过实验介绍前两种信任的建立方法。

实验环境：

林hbycrsj.com,服务器R2ADRMSServer,DC,已部署好AD RMS。

林ycrs.com,服务器YCRSRMSServer,DC,已部署好AD RMS。

在进行信任策略部署之前，分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。权限为EveryONE读取。

实验部署：

一、部署可信任用户域：允许其它RMS体系结构中的用户向本地RMS服务器申请UL（用户许可）。即其它RMS体系结构的中用户打开本地RMS体系结构中受保护文档。

在上面实验环境中，假如林ycrsj.com中的用户要打开林hbycrsj.com中的受保护文档hbycrsj.docx.

这种信任策略一般用在以下场景：在一个大企业，企业在许多相互独立RMS结构，要在某一个子公司打开另外一子公司的受保护文档。

过程：（以林ycrsj.com中的用户要打开林hbycrsj.com中的受保护文档hbycrsj.docx为例）

1、在YCRSRMSServer服务器上导出其服务器许可方证书SLC。打开AD
RMS管理控制台，右击服务器，选择属性，选择“服务器证书”。如下图导出文件名为ycrsj.bin。

2、在服务器R2ADRMSServer导入ycrs.com域的SLC文件(即上一步操作导出ycrs.bin文件）。打开AD
RMS管理控制台，选择受保护的用户域，选择“导入受信任的用户域”。如下图

3、在服务器R2ADRMSServer将IIS服务器中Licensing虚拟目录“匿名身份认证”方式打开。

4、增加Everyone对Licensing虚拟目录下的license.asmx文件读取权限。操作方法如下图

现在在ycrsrmsserver服务器就能打开hbycrsj.docx文件了。

二、部署受信任的发布域：允许本地服务器为其它RMS服务器发布的受保护的文档发布UL。

应用场景：公司合并，需要整合现有独立的RMS基础架构，取消多余的RMS授权服务器。

例如：要将ycrs.com中的RMS合并到hbycrsj.com中，即在hbycrsj.com打开ycrs.com中受保护的文档ycrs.docx.

过程：

1、在ycrsrmsserver服务器上，导出服务器的私钥。

文件名ycrs.xml.

2、在r2adrmsserver导入受信任发布域的服务器私钥(ycrs.xml)

3、修改相应的记录以便打开ycrs.com受保护的文件时将请求发送到本地的RMS服务器。可以在hbycrsj.com域中的hosts文件，增加一条记录重定向到ycrsrmsserver。

192.168.1.13  YCRSRMSSERVER.YCRS.COM

192.168.1.13  是hbycrsj.com中RMS服务器的IP地址。

4、关闭ycrsrmsserver服务器，在r2adrmsserver服务器打开ycrs.docx成功。

本文使用Blog_Backup未注册版本导出，请到soft.pt42.com注册。