Windows Server 2016 AD RMSの構築

こんばんわ、Miyaです。

前回は、AD RMSってなんぞや?というところご紹介しました。
ですので、今回はAD RMSのインストール〜構成までをご紹介したいと思います。

用意するものは、

  • Active Directory
  • 証明機関
  • 証明機関WEB登録サービス

AD RMSをインストールするコンピューターをドメインに参加させておきましょう。
ちなみに、証明機関は必須ではありません。AD RMSではクライアントとサーバー間でhttps通信を実装できるのですが、そのためにはSSL証明書が必要になります。このSSL証明書は自己証明書を使用して実装可能なのですが、今回はきちんと証明機関を使って証明書を発行する手順を記載しています。面倒であれば、スキップしていただいて結構です。

よっしゃやるぞおおおおおお!!

スポンサーリンク:

AD RMSのインストール

[サーバマネージャー]→[役割と機能の追加]から[Active Directory Right Managementサービス]にチェックして進めます。
この時、自動でIISもインストールされるので、別途インストールするものはありません。
RMS

[役割サービスの選択]で以下の二つが表示されますが、[IDフェデレーションサポート]は不要ですので、チェックを外しておきましょう。
この機能は、AD FSというフェデレーションサーバーを使った連携を提供する機能ですので、今回の構成には必要ありません。
RMS

あとは、設定をいじらず[インストール]まで進んじゃってください。

AD RMSの構成

インストールしただけではAD RMSを利用できないので、構成ウィザードからサービスを構成していきます。

構成ウィザード

構成の下準備として、AD RMSのサービスアカウントを事前準備しておきましょう。
RMS

作成したサービスアカウントをダブルクリックして、Enterprise Adminsグループに入れましょう。
RMS

インストールが完了しても、サービスを構成してあげないと利用することは出来ません。
[サーバーマネージャー]の例の嫌なマークから[追加の構成を行います]をクリックします。
RMS

AD RMSからの有り難いご説明を見聞できますので、泣き崩れながら[次へ]をクリックします。
RMS

今回は、フォレストに初めてのAD RMS導入となるので、[新しいAD RMSルートクラスターを作成する]を選択します。
RMS

データベースの選択ですが、必要に応じて選択してください。
私の環境ではWindows Internal Databaseを使用します。
RMS

先の手順で作成したサービスアカウントを指定します。
RMS

暗号化モードでは[暗号化モード2]を選択します。
RMS

クラスターキーの保管場所を選択します。
今回はローカルに保存しますので[AD RMSの一元管理型のキーの格納を使用する]を選択します。
RMS

クラスターキーを暗号化するためのパスワードを入力します。
RMS

AD RMSをホストするサイト名を選択します。
IISを特にいじらなければ[Default Web Site]を選択します。
RMS

クライアントとサーバー間の接続プロトコルを選択します。
https接続としますので[SSLによる…]を選択して、サーバーのFQDNを入力します。
RMS

SSL証明書を未だ発行していないので、[SSL暗号化の証明書を後で選択する]を選択します。
RMS

SLCの名称を入力します。
今回はサーバーのFQDNを入力します。
RMS

[SCPを今すぐに登録する]を選択します。
RMS

構成に問題がなければインストールしましょう。
RMS

SSL証明書の発行

AD RMSサーバーにSSL証明書をインストールして、IISのDefault Web Siteにバインドします。
この手順をスキップしちゃうとhttps接続なのにSSL証明書ないよ?ということで証明書エラーが表示されてしまうのでご注意を。

サーバーマネージャーの[ツール]から[IISマネージャー]起動し、[サーバー証明書]をダブルクリックします。
RMS

右ペインメニューの[証明書の要求の作成]をクリックします。
RMS

識別名プロパティに名称を入力していきます。
一般名にはAD RMSサーバーのFQDNを入力します。
RMS

ビット長を2048bitに変更します。
RMS

証明書要求の保存先を指定し、[終了]します。
指定した保存先のテキストに記述されている文字列が証明書要求になります。
よくCSR(Certificate signing request )と呼ばれている奴です。
後に、使いますのでそっとしておきましょう。
RMS

IEのセキュリティ強化の構成が設定されているとやかましいので、セキュリティ強化を無効にしておきましょう。
サーバーマネージャーの[ローカルサーバー]から設定可能です。
RMS

証明機関WEB登録サービスに接続してCSRから証明書を発行します。
ブラウザからhttps://<CAのFQDN>/certsrvへアクセスします。
RMS

[証明書を要求する]→[証明書の要求の詳細設定]→[Base64エンコードCMCまたは…]へ進みます。
RMS

先ほど作成したCSRが記述されたテキストの全文字列をコピー&ペーストします。
[証明書テンプレート]では[WEBサーバー]を選択し、送信します。
RMS

[はい]を選択します。
RMS

[証明書のダウンロード]からダウンロードします。
ダウンロードした証明書をAD RMSサーバーをコピーし、証明書をダブルクリックから[証明書のインストール]をクリックします。
RMS

インポートウィザードが起動するので、[ローカルコンピューター]を選択します。
RMS

[証明書を次のストアに配置する]を選択し、[参照]から[個人]ストアを選択し、インポートしましょう。
RMS

IISへのバインド

次にIISのDefault Web Siteへ証明書をバインドしてあげましょう。
IIS管理マネージャーを起動し、Default Web Siteを展開します。
右ペインメニューから[バインド]をクリックします。
RMS

[追加]から[種類]をhttpsにしてあげて、[SSL証明書]を先ほどインストールしたSSL証明書を選択します。
RMS

以上で、証明書の発行〜バインドは完了です。
試しにブラウザからhttps://<AD RMSのFQDN>/_wmcsへアクセスしてみると、403エラーが表示されますが、証明書はバインドされているのでSSL通信がしっかり行えているのが確認できますね。
RMS

これでAD RMSが利用できる状態となりました。
AD RMSの設定やクライアントからの権限の設定をご紹介したいのですが、かなりのボリュームになってしまうので、別記事でご紹介したいと思います( ̄▽ ̄;)
AD RMSですが、AzureにもRMSのクラウドサービスがありますので、オンプレに立てるのが面倒だって方はそちらをお試しいてもいいかもですねっ

それでは、良いWindows Server ライフをっ♪

スポンサーリンク