許多組織選擇在整個組織實施 RMS 技術之前,先在試驗部署中部署該技術。試驗程序的用戶數目通常有限,且服務器可能是由本地專門的管理員維護,而不是由 IT 小組維護的數據中心的一部分。當組織在試驗完成之後在數據庫中心爲所有客戶端實施 RMS 時,將部署新的 RMS 服務器來支持更多數目的可能用戶。
但是,受 RMS 保護的內容與用來創建它的 RMS 服務器有聯繫,因此如果刪除或替換了服務器,必須採取措施以便可以使用生產 RMS 服務器解密和授權使用試驗 RMS 服務器加密的內容。
如果已將 RMS 部署爲試驗程序並想將 RMS 服務器移到組織的生產環境中,且還想維護通過使用試驗 RMS 服務器保護的內容的完整性,則應制訂一個遷移計劃,該計劃將確保平滑過渡,並可以在需要的時候回滾到試驗程序以恢復數據。
提供下列步驟作爲您的遷移計劃應包括的某些項目的示例,您的部署可能還有其他要求。
服務器 | 步驟 | 注 |
---|---|---|
試驗 |
備份 RMS 配置數據庫。 |
這允許在需要的時候恢復試驗服務器。 配置數據庫包括 RMS 私鑰。 確保您知道私鑰密碼。 |
試驗 |
如果使用了硬件安全模塊 (HSM) 來保護 RMS 私鑰,請按照 HSM 製造商的指導來備份 HSM 的配置。 |
將在新服務器上恢復 HSM。 確保具備安裝和配置 HSM 必需的所有組件。 |
試驗 |
導出可信發佈域文件。 |
這允許另一個 RMS 服務器解密此服務器創建的發佈許可證和給受保護的內容頒發用戶許可證。 可信發佈域包括此服務器所建立的服務器許可方證書、RMS 私鑰以及所有權限策略模板。 可信發佈域文件是一個 XML 文件,已使用創建該文件時指定的強密碼對它進行了加密。必須使用此密碼來導入可信發佈域文件。 |
試驗 |
導出可信用戶域。 |
這允許另一個 RMS 服務器給用戶授予用戶許可證,這些用戶的權限帳戶證書 (RAC) 以前是由試驗 RMS 服務器授予的。 建立了可信用戶域的方法是將此服務器的服務器許可方證書導入到另一個 RMS 服務器。 |
生產 |
準備讓新服務器成爲根認證服務器。 |
確保它可以訪問數據庫服務器,且已安裝 IIS 和 Message Queuing。 儘可能使用與此服務器相同的服務器名。 |
生產 |
如果您使用 HSM,請安裝 HSM 並使用在試驗服務器上創建的備份恢復它的配置。 |
建立解密 RMS 私鑰所需的憑據。 |
生產 |
安裝 RMS。 |
RMS 將驗證是否正確安裝和配置了所有必需的服務。 |
生產 |
使用新的私鑰設置 RMS。如果使用聯機註冊,將在設置過程期間通過使用 Internet 連接到 Microsoft 註冊服務來註冊您的服務器。如果此服務器上沒有 Internet 連接,則需要使用脫機註冊。 |
如果此服務器名不同於試驗服務器名,可以將羣集 URL 設置修改爲與試驗服務器相同的 URL。 如果不修改,則需要設置一個從先前羣集 URL 到新羣集 URL 的 URL 重定向,以便用戶能夠使用現有內容獲取用戶許可證。 |
生產 |
如果使用脫 機註冊,請完成新 RMS 服務器的手動註冊過程。有關詳細信息,請參閱本文檔集中的“運行 RMS 服務器”中的“手動註冊根認證服務器”。 |
直到註冊了 RMS 服務器,才能使用它。 另外,直到註冊了該服務器,才能訪問 RMS 管理網頁。 |
生產 |
導入在步驟 3 中導出的可信發佈域文件。 |
RMS 服務帳戶必須對存儲該文件的位置具有讀取權限,才能成功導入該文件。 |
生產 |
重新簽署隨可信發佈域一起導入的每個模板。 |
模板是用服務器私鑰簽署的。因爲此服務器具有新的私鑰,所以模板必須重新簽署纔會有效。有關詳細信息,請參閱本文檔集中的“運行 RMS 服務器”中的“重新簽署權限策略模板”。 |
生產 |
將模板重新分發給參與過試驗的客戶端計算機。 |
需要刪除舊模板並用此服務器簽署的模板取代它們。 |
生產 |
導入在步驟 4 中導出的可信用戶域文件。 |
啓用要使用的舊客戶端許可方證書和 RAC。 如果在此遷移過程中在林之間移動了用戶帳戶,請注意這些帳戶必須具有匹配的 SMTP 代理服務器。 |
一旦完成了設置生產服務器,請驗證試驗用戶是否仍可創建和讀取先前保護的郵件。然後可以添加支持組織中的用戶數所需的那樣多 RMS 服務器到羣集中。