Главная Security, Windows, Новое AD RMS: Часть 1 — Развертывание
  • AD RMS: Часть 1 — Развертывание

    keyНесмотря на то, что служба AD RMS  в Windows 2008 R2 является уже четвертым выпуском службы управления правами,  она по-прежнему остается  «редким зверем» в зоопарке  ит-решений Российских системных администраторов.  Ответить на вопрос, почему так сложилось довольно сложно, возможно отчасти из-за недопонимания сути технологии и некоторым требованиям к уже имеющейся инфраструктуре, отчасти из-за ее несколько показушной защиты.  Я не буду пытаться хвалить или наоборот выливать ушак грязи на AD RMS, а попытаюсь провести некий экскурс по настройке и администрированию, дабы читатель сам смог решить о необходимости подобного решения.

    Отличие AD RMS от других средств защиты данных.

    Согласно модели защиты  «Defense-in-Depth» на каждом из 7 уровней действуют свои  средства обеспечения безопасности и если начать их перечислять, то станет понятно, подавляющее большинство препятствует получению  злоумышленником доступа к данным нашей компании. И только лишь шифрование остается последнее преградой, когда информация находится в руках у злодея.  Задача AD RMS сохранить конфиденциальность данных при этом добавив гибкости и свободы в их распространении.

    Пример из жизни: Вы хотите распространить в рамках своего департамента эл. документ, распространение будет осуществляться  самыми различными способами (эл. почта, копирование по сети, CD, Flash носители). При всем этом  у вас есть строгое требование ограничить круг читателей документа сотрудниками вашего департамента, а так же быть уверенным в том, что документ не будет модифицирован или распечатан. Это задача вполне под силу AD RMS.

    Вывод:  AD RMS создан для обеспечения конфиденциальности документов независимо от способа хранения и распространения.  Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения  для тех, кто получит доступ к данным. 

    Список возможных ограничений прав:

    · Чтение, Изменение, Печать

    · Срок действия документа

    · Запрет пересылки электронного письма

    · Запрет печати электронного письма

    Клиентскими операционными системами могут выступать:

    · Windows 2000

    · Windows XP

    · Windows 2003 /2003 R2

    · Windows Vista

    · Windows 7

    · Windows Server 2008 /2008 R2

    · Windows Mobile 6

    При наличии продуктов Exchange Server 2007 SP1 и SharePoint Server 2007 после установки AD RMS появляются дополнительные средства обеспечения безопасности. В частности в SharePoint Server 2007 появится возможность защищать библиотеки документов.

    Необходимые условия для внедрения.

    Как я уже сказал AD RMS выдвигает определенные требования к существующей ИТ-инфраструктуре. Для того, что бы понять, как будет выглядеть наше решение, предлагаю рассмотреть Рис.1

    image

    Рис.1 Компоненты решения AD RMS

    Стартовой площадкой и обязательным условием является наличие работоспособной службы Active Directory Domain Services (AD DS). При этом контроллер домена обязан быть на базе Windows Server 2000 SP3 или более поздних версий ОС. AD RMS перекладывает на службу AD DS задачу аутентификации и хранит в каталоге необходимый клиентам URL группы AD RMS серверов. Все пользователи и группы пользователей, которые будут работать с AD RMS должны иметь адрес электронной почты, настроенный в Active Directory DS. Это необходимо для получения доступу к защищенному содержимому и самостоятельной публикации защищенных документов.

    Как и большинство продуктов Microsoft AD RMS требует наличия сервера баз данных, а именно SQL сервера. Поскольку мы говорим о AD RMS на платформе Windows Server 2008 R2, то следует учесть отсутствие поддержки Microsoft SQL Server 2000. Поэтому в качестве SQL сервера следует использовать версии Microsoft SQL 2005/2008. При отсутствии SQL допускается использование внутренней базы Windows (Windows Internal Database), что сразу накладывает на вас ограничение в использовании только одного AD RMS сервера.

    Клиентами могут выступать операционные системы Windows 2000, Windows XP и Windows 2003 при этом для работы с AD RMS на них будет необходимо установить клиентскую часть, (AD RMS Client) скачиваемую с сайта Microsoft. С выходом Windows Vista SP1 и Windows 7 ситуация несколько упростилась, теперь клиент RMS интегрирован и дополнительной установки не требует. С версиями Microsoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность защищать документы и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.

    Ну и наконец, сам AD RMS сервер, с появлением Windows Server 2008/2008R2 служба управления правами изменила имя и стала компонентом операционной системы, устанавливаемым как роль сервера. Эта роль отвечает за предоставление лицензий контроля доступа к содержимому. При установке первого AD RMS сервера, создается корневой кластер AD RMS. Для повышения отказоустойчивости и доступности впоследствии возможно добавить к корневому кластеру дополнительные AD RMS-сервера. Важно понимать, что в лесу Active Directory может существовать только один корневой кластер AD RMS и несколько дополнительных AD RMS серверов лицензирования. Фактически AD RMS licensing-only сервер филиальное решение, которое может быть развернуто для увеличения производительности и понижения использования WAN канала в случае нахождения клиентов и AD RMS-кластера в разных сайтах.

    Развертывание

    Самый просто способ понять  AD RMS и разобраться в его работе  это  настроить самостоятельно тестовый стенд. Развертывание я буду производить в виртуальной среде, состоящей из двух серверов: Server1 и Server2.

    Server1.

    ОС: Windows 2008 R2

    Является контроллером домена (itband.ru) в лесу Active Directory  уровня Windows 2008 R2. Сетевой интерфейс сконфигурирован следующим образом: IP – 192.168.0.1, Маска подсети: 255.255.255.0, DNS – 192.168.0.1.  Для тех, кто испытывает трудности с настройкой службы AD DS, я записал видео-демонстрацию. Скачать Видео “Поднятие первого контроллера домена в лесу (Server1) ” можно по этой ссылке.

    Поскольку AD RMS требует для работы SQL сервер и при настройке создает аж две базы данных (Configuration Database и Logging Database) мы установим его (SQL) на Server1. При настройке я использовал SQL Server 2008 Standart x64, сразу замечу, что из всего многообразия компонент SQL  для AD RMS нужны компоненты Database Engine  и полный набор Средств Управления. После инсталляции SQL Server 2008 в обязательном порядке требуется установка пакета обновления SP1 который добавляет совместимости с Windows 2008 R2. Читателям не имеющим опыта инсталляций SQL Server 2008 будет интересно видео “Установка SQL Server 2008 на Server1”, которое скачивается по ссылке.

    Server2.

    ОС: Windows 2008 R2

    Данный сервер нам и предстоит настроить, установив на нем службу управления правами Active Directory. Сервер является членом домена itband.ru, со следующей конфигурацией сети: IP – 192.168.0.2, Маска подсети: 255.255.255.0, DNS – 192.168.0.1.

    Запускаем “Диспетчер сервера” и открываем добавление новых ролей.

    ad2

    Прошу заметить, что AD RMS создает Веб-сервис и поэтому на нашем сервере должен быть установлен Веб-сервер IIS с включенным ASP.NET, впрочем  добавление IIS производится автоматически при запуске установки AD RMS.

    ad3

    Служба AD RMS состоит из двух компонентов “Сервер управления правами Active Directory ” и “Поддержка удостоверений в службе федераций”.  Нас  интересует первый компонент.  “Поддержка удостоверений в службе федераций” требуется в случае развертывания AD RMS в среде, состоящей из нескольких независимых компаний. Мы же делаем решение, которое будет использоваться только нашими сотрудниками, поэтому данную опцию опускаем.

    ad4

    Дальше все просто, мастер спрашивает желаем ли мы создать новый кластер AD RMS или хотим добавить сервер AD RMS в уже существующий. Поскольку  это первый сервер управления правами в нашей сети, оставляем вариант “Создать новый кластер”. (Другой, собственно, нам выбрать и не даст)

    ad5

    На следующем окне, мы обязаны указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: “Использовать внутреннюю базу данных Windows”, с одной стороны плюс в том, что SQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера. Поэтому, выбираем другой сервер баз данных и прописываем Server1 (а именно на нем у нас стоит SQL).

    На данном этапе можно столкнуться с трудностью. При попытке получить экземпляры SQL сервера и проверить их, сервер задумывается и сообщает о невозможности завершения операции. Все довольно просто, проблема в брандмауэр на Server1, который блокирует нужные для SQL порты. Поэтому знакомимся со статьей “Как настроить брандмауэр Windows для доступа к компоненту Database Engine” либо качаем короткое видео, где эта процедура демонстрируется.

    image

    Я поступил просто и разрешил работу Sqlservr.exe через брандмауэр, фактически же нас интересует открытие портов 1433  и 1434.

    ad6

    После выбора сервера баз данных, необходимо указать учетную запись от имени которой будет работать служба управления правами. Обыкновенного доменного пользователя будет достаточно. Не забываем отключить устаревание пароля учетки и запрет смены.

    Важно: Если роль AD RMS устанавливается на контроллере домена у учетной записи должны быть полномочия доменного администратора, что с точки зрения безопасности совсем не есть хорошо. Поэтому такая инсталляция очень сильно расходится с “Best Practice”.

    ad7

    При настройке кластера  создается ключ, которым будут подписываться лицензии, выдаваемые клиентам. Так же ключ понадобится при добавлении нового AD RMS сервера или при восстановлении после сбоя. Возникает вопрос “Где он будет храниться?”. AD RMS имеет собственное защищенное хранилище, выбор которого является предпочтительным вариантом, поскольку позволяет сделать ключ доступным всем AD RMS серверам и требует минимум участия администратора. Поэтому я остановился на варианте “Использовать централизованное хранилище ключей”. В противном случае ключ сохранится в локальном защищенном  хранилище и распространять его придется вручную.

    ad8

    Далее задаем пароль, которым будет зашифрован ключ кластера. Пароль должен быть сложным и поступать с ним по принципу “ввел  и забыл” ни в коем случае нельзя. При добавлении второго AD RMS сервера или восстановлении первого, вам придется его вспоминать.

    ad9

    Указываем на каком Веб-сайте будет запущен веб-сервис AD RMS, я не стал изобретать велосипед и оставил Веб-сайте по умолчанию.

    ad10

    Теперь надо указать имя и порт по которому пользователи будут подключаться к AD RMS кластеру. Поскольку безопасность превыше всего, я выбрал SSL. Имя по которому пользователи будут обращаться к кластеру я задал adrms.itband.ru, при этом не забыв создать на DNS сервере CNAME запись ссылающуюся на Server2.

    ad11

    Выбор имени и порта особенно важен, если учесть, что впоследствии эти данные будет невозможно поменять.

    ad12

    Так как на предыдущем экране мы сказали, что подключения к кластеру AD RMS будет осуществляться по протоколу https, у мастера возникает резонный вопрос “Где сертификат Web сервера для установки безопасного канала?”.

    Варианты действий:

    1. Создать самоподписанный сертификат. Самый простой путь, но к сожалению абсолютно непригодный для реальных сценариев развертывания. Ибо кроме IIS сервера, этот сертификат придется запихивать на каждого клиента.

    2. Выбрать существующий сертификат SSL. Т.е каким то центром этот сертификат уже должен быть выдан. Вариантов два: купить сертификат у коммерческого CA либо настроить свой СА на базе Active Directory Certificate Services. У каждого пути свои плюсы и минусы. Моя точка зрения следующая: если вы планируете получать доступ к документам защищенным AD RMS с компьютеров расположенных за пределами вашей корпоративной сети, то лучше купить сертификат у коммерческого центра. В противном случае свой центр сертификации более дешевый, более быстрый и более логичный пусть. Именно эти путем и будем следовать мы, но как вы могли заметить Active Directory Certificate Services я не настраивал, поэтому пока выбираю третий вариант.

    3. Выбрать сертификат для шифрования SSL позднее. Установку мы сможем продолжить, но для работы AD RMS сертификатом придется разжиться позднее.

    ad13

    Вводим имя AD RMS кластера, оно должно быть простым и понятным, по умолчанию именем кластера является имя первого сервера.

    ad14 

    Далее мастер спрашивает регистрировать ли сейчас точку подключения службы AD RMS. Service connection point (SCP или точка подключения) не что иное, как запись URL-а (ссылки) на ваш кластер, которая хранится в базе AD DS и естественно будет доступна членам вашего домена, которые могут захотеть к этому кластеру подключиться. И вот когда они захотят, то возьмут URL кластера  прописанный в SCP.  Если процедура установки запущена от учетной записи, входящей в группу Enterprise Administrators (Администраторы предприятия), то регистрацию можно выполнить сразу.

    ad15

    Настройки AD RMS закончены и мастер переходит к Веб-Серверу IIS. IIS 7 в Windows 2008 стал до неприличия модульным и предлагает указать какие компоненты необходимо установить. В оригинальной инструкции по установки AD RMS предлагается оставить компоненты, заданные мастером установки  и перейти далее. Я же в своей инсталляции выбрал все компоненты, кроме FTP сервера.

    ad16

    Все параметры введены и стартует мастер установки, чье окончание работы необходимо дождаться.

    ad17

    Если Вы все делали правильно и луна находилась в нужной фазе, по окончанию мастера установки  должно появиться окно, говорящее об успешности добавления ролей и необходимости завершения сеанса с повторным входом перед дальнейшей работой с AD RMS.

    Теперь главной задачей является получение сертификата для Веб-Сервера IIS, используемого нашей службой AD RMS. Поскольку покупать я сертификат не собираюсь, то на Server1 добавляю роль Active Directory Certificate Services. Никакого дополнительного конфигурирования она не потребует, но если у вас возникнут с ней трудности, то скачиваем видео “Установка AD CS”.

    ad18

    Установив Службу Сертификации на Server1, возвращаемся на AD RMS (Server2) и открываем оснастку Диспетчер служб IIS. В ней на уровне веб-сервера ищем значок Сертификаты сервера и запускаем его.

    ad25

    В действиях выбираем – “Создать сертификат домена” и заполняем необходимую для сертификата  информацию. Полное имя должно нести FQDN вашего кластера AD RMS. В противном случае, при подключении к кластеру вы получите ошибку, говорящую о том, что сертификат был выдан совершенно для другого узла.  Делаем все правильно и следуем далее.

    ad26

    В следующем окне надо задать два блока, первый – указать центр сертификации, если все работает нормально, то задать его можно по кнопке “Выбрать”. Второй блок – ”Понятное имя"- имя данного сертификата, по которому его сможет легко отличить администратор.

    ad27 - копия

    Если предыдущий шаг завершился успешно, на вашем сервере появился выданный сертификат, но пока он не используется.  Это положение легко исправить,  открыв Default Web Site и выбрал действие “Привязки” . В открывшемся окне изменяем подключение по https, указав слушаемый IP адрес и используемый сертификат. Если возникли трудности с оснасткой IIS качаем видео “Запрос и установка сертификата для IIS”.

    Ну вот и все, развертывание службы AD RMS завершено. Что дальше? Дальше будет установка через Групповые политики на старые ОС клиента RMS, прописывание адресов для пользователей, настройка шаблонов и многое многое другое.  Все это будет описано в следующих частях серии, посвященной Active Directory Rights Management Services.

     

    Илья Рудь

Комментарии

  1. Отличная статья, Илья. Ждём-с продолжения...

  2. Через 2-3 дня будет. В данный момент в процессе.

  3. ждем продолжения.

  4. На мой взгляд, RMS является редким зверем лишь потому, что его поддерживает мало приложений.

    Например, хотелось бы увидеть поддержку RMS в Autodesk или Компас — но, боюсь, не увидим. Каждый производитель софта тянет одеялку на себя.

  5. +1 Очень верное замечание.

  6. Спасибо за статью. Однако сразу короткий вопрос — поможет ли мне данное решение от хитромудрого сотрдуника, делающего скриншшот документа на котором стоит запрет на печать. Ну и распечатывающего этот самый скриншот.

  7. Дмитрий, прочитайте вторую часть статьи, там я говорю, что скриншоты не работают. Вообще и никак.

  8. Илья, спасибо, прочитал. Однако всё ещё остаётся вопрос — а если пользователь подключен через терминального клиента? Или же цитрикс клиента? И работа с документом происходит в терминальной среде? В данном случае принтскрин должен отработать? В теории 🙂

  9. Хороший вопрос.

    Терминального клиента сегодня проверю и отпишусь, но подозреваю, что здесь AD RMS не поможет.

    Еще как вариант открыть на ЖК экране и попробовать его отсканировать))))

  10. Из простенького, что приходит на ум — открыть документ в виртуальной машине, а принтскрин делать из хостовой системы. С терминалом аналогично, выводим фокус из окна терминального клиента и принтскриним. Во втором случае гарантии не дам 🙂

  11. Ну это инсайдерские уже штучки. ))) Если человек украл документ, допустим с флэшкой, то принтскринить ему будет нечего. Т.к он его просто не сможет открыть. Опять же список прав несколько шире, чем только не дать снять копию.

    P.S Вывод какой напрашивается? AD RMS это средство компаньон, которое другие средства безопасности не отменяет, а дополняет. Возможности поставить Virtual PC на комп у пользователя просто не должно быть.

  12. Только что проверил. Частично открытое терминальное окно позволяет сделать снимок экрана.

  13. Илья — интерес был не праздным. Понятное дело, виртуальные машины никто пользователям запускать не даст. Просто в нашей организации, к примеру, абсолютное большинство пользователей работает в терминальной сессии. Им доступны принтскрин, onenote «вырезалка» куска экрана и в недалёком будущем Windows 7 snipping tool. В любой организации с количеством сотрудников в много сотен или тысяч человек, вопрос контроля распространения информации будет стоять рано или поздно.

    Спасибо за тестирование и ответ 🙂

  14. Это реальная проблема. Я даже пока не знаю в какую сторону копать, чтобы эту брешь закрыть.

    Скажите а вы не думали использовать тонких клиентов для сотрудников? Тогда бы решилась проблема.

  15. Илья, у нас использутеся порядка пары сотен тонких клиентов на Windows XPe. В силу ряда причин (главная из них печать из терминала и проблема с EMF/RAW), на большинстве их тонких клиентов в пользовательском профиле установлены принтера. Соответственно пользователь может распечатать. Надо признать, что возможностей у них меньше, чем у пользователей лаптопов, к примеру в силу почти полного отсутсвия программ 🙂 Опять-таки, имеется возможность удалённого подключения из дома — там уже выбор совсем богатый, начиная от банального фотографирования на цифровой фотоаппарат и заканчивая не менее банальным принтскрином...

  16. Ну вот поэтому я и писал в первом предложении о несколько «показушной защите».

  17. Как правильно заметил Илья, нет 100% таблетки от всех проблем. Ок, допустим получится запретить делать скрин окна терминала. Мобильные телефоны и камеры вы у сотрудниок тоже будете отбирать? Снимок экрана на камеру мобильного телефона — документ украден.

    Если вопрос стоит настолько остро, то вам уже нужно обращаться к опыту советских «почтовых» ящиков, т...е жесткий контроль сотрудников, отбор телефонов на входе, обыски и прочее. Нереально построить защиту основываясь только на каком-то одном методе: техническом или административном. Всегда нужен комплекс, плюс не забывайте что не бизнес существует ради безопасности, а безопасность ради бизнеса 😉

  18. Алексей. Это всё понятно. Так же понятно, что чем безопаснее система, тем она более неудобна в работе. Нас интересует некая «золотая середина», мы постоянно балансируем. Мобильные телефоны отбирать никто не будет, но, к примеру, если есть возможность заблокировать принтскрин и внедрить RMS — я бы это попробовал.

  19. Проблему принтскринов отчасти решит инфраструктура тонких клиентов Sun Ray. Ну просто никакой возможности сделать снимок экрана 🙂

    Собственно, плюшек в ней достаточно много и других, те же пресловутые энергопотребление и стоимость владения. Ну да это очень обширная тема.

    Можно запретить запуск клиента терминалов, можно вообще разрешить только офис, 1С и CRM, например. Способов тьма, но ни один не гарантирует защиты от фотоснимка тем же «миноксом». Ну разве что можно ставить на мониторы рамки с инфракрасными лампами 😉 И то светофильтр сведет все усилия на нет.

    Если сотрудник захочет увести инфу, он ее уведет. Так что сотрудник с креативными мозгами должен быть лояльным 🙂

  20. >Если сотрудник захочет увести инфу, он ее уведет. Так что сотрудник с креативными мозгами должен быть лояльным

    Хорошие слова) Можно и креативного в такие условия поставить, что даже креатив не поможет. Только работать никто не сможет)

  21. Всё сделал как описано в статье. Единственное отличие, мой центр сертификации работает на базе Windows 2003 server, ну и еще не знаю важно это или нет, но функциональный уровень домена у меня 2000-ый. Пробую защитить документ Word (или письмо Outlook'а), жму разрешения, ограничить разрешения и вылетает alert «Возникла непердвиденная ошибка. Повторите попытку позже или обратитесь к системному администратору». В чем может быть дело?

    Картинка [URL=http://keep4u.ru][IMG]http://keep4u.ru/imgs/b/2009/12/22/89/8994b0082dca8847a6e35353dc5a5392.jpg[/IMG][/URL]

  22. Чесно не знаю, чем вам помочь. Посмотрите в требованиях RMS, что там про режим работы домена сказано. Клиент RMS стоит?

  23. В 2007-ом Word и Outlook документы защищаются нормально, ошибка не вылетает.

  24. Копайте в сторону версий офиса. И устанавливайте все обновления на офис.

  25. Для работы AD RMS режим работы и леса не важен. Написано — Any. Отсюда —

    technet.microsoft.com/en- ...%28WS.10%29.aspx

  26. Ну и отлично, значит одной потенциальной причиной у вас меньше.

  27. Дело оказалось в каком-то из обновлений, скачал все апдейты на Microsoft Windows XP и Microsoft Office 2003 Professional с Windows update и заработало!

  28. А вот и апдейт нашелся, после которого все заработало.

    Update for Microsoft Office 2003 (KB978551)

    Дата последней публикации: 18/12/2009

    Размер файла: 466 КБ

    Microsoft has released an update for Microsoft Office 2003. This update resolves an inability to open and save Office 2003 documents protected with Rights Management Service (RMS).

  29. Спасибо огромное, такие комменты очень полезное добавление к статьям.

  30. Спасибо за информацию.

    Скриншоты не совсем читаемые, но смысл понятен.

  31. Ссылки на видео не работает. Его убрали?

  32. Есть хорошее видео:

    Развертывание службы управления правами Active Directory Windows Server 2008 R2 www.techdays.ru/videos/2474.html

  33. Подскажите, пожалуйста.

    Я установил роль AD RMS в самом простом режиме — внутренняя БД, подключение без шифрования и т.д. для тестирования.

    После удаления данной роли, не могу повторно установить ошибкаЖ

    : Не удалось настроить Сервер управления правами Active Directory. Программе установки службы управления правами Active Directory не удалось определить иерархию сертификатов. Если необходимая точка подключения службы (SCP) управления правами Active Directory зарегистрирована в Active Directory, но недействительна, исправьте ее или создайте новую точку подключения, а затем установите службу управления правами Active Directory снова. в Microsoft.RightsManagementServices.Configuration.LicensingServerSelfEnrollment.DecideCertificateHierarchy () в Microsoft.RightsManagementServices.Configuration.CertificationServerSelfEnrollment.Enroll (EnrolleeServerInformation enrolleeInformation, EnrolleeRevocationInformation revocationInformation, String certificateDisplayName, String cspName, String keyContainerName) в Microsoft.RightsManagementServices.Configuration.ProvisioningBase.Enroll () в Microsoft.RightsManagementServices.Configuration.ProvisioningBase.Run () в Microsoft.RightsManagementServices.Configuration.ProvisionerBase.DoProvision () в Microsoft.RightsManagementServices.Configuration.ProvisionerHelper.Run (OperationType operationType, Object data) в Microsoft.RightsManagementServices.Configuration.CmdLineHandler.Run () Удалите и переустановите службу управления правами Active Directory, чтобы повторить попытку выполнения подготовки.

    Я так понимаю, что неообходимо удалить точку подключения службы (SCP) управления правами Active Directory зарегистрированную в Active Directory.

    Но как это сделать?

  34. Идите с этим в форум. forum.itband.ru. Там попробую помочь.

  35. Нашел — удалить или отредактировать точку подключения службы (SCP) управления правами Active Directory зарегистрированную в Active Directory можно через ADSI Edit далее Configuration->Services->RightsManegmentServices

  36. Илья, отличная статья! Подскажите не планируете ли вы писать цикл статей про службы федерации?

  37. Хорошая статья, но возникла проблема, установил все по статье, но при загрузки RMS пишет сообщение:

    не удалось подключиться к локальной службе администрирования службы управления правами Active Directory так как значение параметра AdminLocalConnection Point в разделе реестра «HKEY_LOCAL_MASHINE\Software\Microsoft\DRMS\2.0 недопустимо»

    Весь день боюсь с этой ошибкой, в чем может быть проблема?

  38. доброго времени суток, сделал все по этой замечательной статье, как протестировать доступность сервера с клиента, ибо запуская ворд, к примеру, этот гад предлагает мне зарегить учетку live id а к серверу ни шиша не коннеутиться, прошу помощи товарищи спецы!

Опубликовать

Я не робот.