Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Introduction
Active Directory Rights Management Services (AD RMS) is een Microsoft-service die gevoelige documenten en e-mailberichten beveiligt. In tegenstelling tot traditionele beveiligingsmethoden, zoals firewalls en ACL's, zijn AD RMS-versleuteling en -beveiliging permanent, ongeacht waar een bestand naartoe gaat of hoe het wordt vervoerd.
Dit document bevat richtlijnen voor het migreren van Windows Server 2012 R2 met SQL Server 2012 naar Windows Server 2016 en SQL Server 2016. Hetzelfde proces kan worden gebruikt om te migreren van oudere, maar ondersteunde versies van AD RMS. Houd er rekening mee dat Active Directory Rights Management Services niet langer actief is en dat klanten voor de nieuwste mogelijkheden overwegen om te migreren naar Azure Information Protection-, wat een veel uitgebreidere set functies biedt met volledigere ondersteuning voor apparaten en toepassingen.
Zie de Documentatie voor Azure Information Protection-migratievoor informatie over het migreren naar Azure Information Protection van AD RMS zonder dat u uw inhoud opnieuw hoeft te beveiligen.
Informatie over de omgeving die in deze handleiding wordt gebruikt
AD FS is een optioneel onderdeel van een AD RMS-installatie. In deze handleiding wordt ervan uitgegaan dat AD FS wordt gebruikt. Als AD FS niet is gebruikt in uw omgeving voor het ondersteunen van AD RMS-gebruikers, kunt u alle stappen die verwijzen naar AD FS overslaan.
In deze handleiding wordt SQL Server bijgewerkt naar SQL Server 2016 door een parallelle installatie uit te voeren en de databases via een back-up te verplaatsen. Als u uw AD RMS- en AD FS-databaseservers kunt upgraden naar SQL Server 2016 in-place, kunt u naar de volgende sectie in dit document gaan nadat u dit hebt gedaan zonder de stappen in deze sectie te hoeven volgen.
Installation
SQL Server 2016 configureren
In de volgende sectie vindt u informatie over implementatietaken die rechtstreeks betrekking hebben op de SQL Server 2016-configuratie. Deze handleiding is gericht op het gebruik van Serverbeheer en SQL Server Management Studio om deze taken te voltooien.
Deze stappen moeten worden uitgevoerd op een SQL Server 2016-installatie. Installeer SQL Server 2016 op geschikte hardware volgens de standaardprocedures en beleidsregels van uw organisatie.
De SQL Server voorbereiden
In de volgende sectie wordt beschreven hoe u de SQL Server voorbereidt, zodat deze kan worden bijgewerkt naar SQL Server 2016 voordat u andere services in het AD RMS-platform bijwerken voor het gebruik van Windows Server 2016.
CNAME voor SQL Server 2016 toevoegen aan DNS
De CNAME wordt gebruikt om ervoor te zorgen dat de installatie van Windows Server 2016 de juiste gegevens krijgt, omdat deze wordt verwezen naar de nieuwe SQL Server 2016. Opmerking: als u al een CNAME gebruikt voor de AD FS- en AD RMS-service, kunt u doorgaan met de volgende stappen.
Een CNAME voor SQL Server 2016 toevoegen aan DNS-
Log in op de Windows Server 2012 R2-domeincontroller met domeinbeheerderreferenties.
Open Serverbeheer.
Klik op Extra en selecteer DNS om DNS-beheer te openen.
Vouw in het linkernavigatiedeelvenster de DC uit en open vervolgens Forward Lookup Zones.
Open de juiste domeinbronnen en klik met de rechtermuisknop in het rechterdeelvenster en selecteer Nieuwe alias (CNAME) om de CNAME te maken.
Voer voor de aliasnaam een logische naam in om deze te onderscheiden van een andere naam die mogelijk aanwezig is (bijvoorbeeld SQLADRMS of SQLADFS)
Geef na het invoeren van de naam de FQDN op voor de doelhost. Dit is de nieuwe SQL Server 2016-server. (bijvoorbeeld SQL2016.contoso.com)
Zodra alle gegevens zijn ingevoerd, klikt u op OK.
Back-up maken van de AD RMS- en AD FS-databases
De AD RMS- en AD FS-databases bevatten essentiële informatie die nodig is voor AD RMS, zoals de openbare sleutel van het serverlicentiecertificaat, sjablonen voor rechtenbeleid, AD FS-configuratiegegevens en logboekregistratiegegevens. Zonder deze databases kunnen clients geen licenties verlenen om beveiligde inhoud te gebruiken, onder andere.
Van de databases wordt de AD RMS-configuratiedatabase beschouwd als de belangrijkste, omdat deze de SLC, rechtenbeleidssjablonen, sleutels van gebruikers en configuratiegegevens opslaat. Daarom moet u ervoor zorgen dat u een back-up maakt van alle AD RMS- en AD FS-databases. Daarnaast moet u van plan zijn om regelmatig een back-up van de configuratiedatabase te maken.
De logboekregistratiedatabase slaat informatie op over gebruikersaanvragen naar het AD RMS-cluster voor certificaten en het gebruik van licenties. Uw back-upstrategie van deze database moet zijn gebaseerd op het bedrijfsbeleid voor het behouden van dit type informatie.
De database van directoryservices is niet essentieel voor de AD RMS-functionaliteit en als de meest recente gegevens verloren gaan, wordt de database opnieuw gevuld met informatie omdat de AD RMS-server aanvragen voor certificaten ontvangt en licenties gebruikt. U hoeft niet regelmatig een back-up van deze database te maken, maar u moet ten minste een kopie van de database hebben omdat deze oorspronkelijk is geconfigureerd na het implementeren van AD RMS.
Een back-up maken van een AD RMS- en/of AD FS-database met Microsoft SQL Server
Meld u aan bij de Windows Server 2012 R2 AD RMS-databaseserver met SQL 2012.
Klik op Start, klik op Alle programma's, klik op Microsoft SQL Server en klik op SQL Server Management Studio.
Controleer in het venster Verbinding maken met server of de server waarop de AD RMS-databases worden gehost, zich in het vak Servernaam bevindt en klik op Verbinding maken.
Vouw databases uit. Klik met de rechtermuisknop op de juiste database (DRMS en Adfs), wijsTaken aan en selecteer Back-up.
Herhaal stap 4 voor de resterende databases.
Zorg ervoor dat de back-up van de databases toegankelijk is voor andere computers in het netwerk of met behulp van een opslagapparaat, omdat deze nodig zijn voor latere stappen tijdens de migratie.
U kunt de databasekopieën nu opslaan op een veilige locatie. Vergeet niet om regelmatig een back-up te maken van uw databases.
Domeinbeheerder, SQL, AD RMS en/of AD FS-serviceaccount toevoegen aan SQL Server 2016
In de volgende stappen ziet u hoe u de verschillende serviceaccounts toevoegt aan SQL Server 2016 om u te helpen bij het migreren van de gegevens uit de Windows Server 2012 R2-omgeving. Hiermee krijgt u de juiste machtigingen bij het openen van de inhoud en het afhandelen van de gegevens.
De domeinbeheerder, SQL, AD RMS en/of AD FS-serviceaccount toevoegen aan SQL Server-
Meld u als lokaal beheerdersaccount aan bij de server met SQL Server 2016.
Klik op Start, klik op Alle programma's, klik op Microsoft SQL Server en klik op SQL Server Management Studio.
Controleer in het venster Verbinding maken met server of de server die als host fungeert voor de AD RMS-databases zich in het vak Servernaam bevindt. Klik vervolgens voor Verificatie op de vervolgkeuzelijst en selecteer SQL Server-verificatie.
Voer in het aanmeldingsveld de naam in van het lokale beheerdersaccount (bijvoorbeeld localadmin) en geef vervolgens het juiste wachtwoord op en klik op Verbinding maken.
Vouw Beveiliging uit en klik met de rechtermuisknop op Aanmeldingen en selecteer Nieuwe aanmelding in het contextmenu dat wordt weergegeven.
Zodra het venster wordt weergegeven, voert u het domeinbeheerdersaccount in het veld Aanmeldingsnaam in (bijvoorbeeld Contoso\ContosoAdmin)
Kies serverfuncties in het linkernavigatiedeelvenster.
Schakel vervolgens het selectievakje in voor sysadmin onder de serverfuncties en klik op OK.
Start SQL Server Management-opnieuw op.
Controleer in het venster Verbinding maken met server of de server waarop de AD RMS-databases worden gehost zich in het vak Servernaam bevindt. Klik vervolgens op de vervolgkeuzelijst voor verificatie en selecteer Windows-verificatie en klik op Verbinding maken.
De AD RMS- en AD FS-databases herstellen naar SQL Server 2016
In de volgende stappen ziet u hoe u de gegevens van het vorige SQL Server-exemplaar herstelt naar het nieuwe exemplaar van 2016. Hierdoor kan de nieuwe SQL gebruikmaken van de relevante configuratiegegevens uit de vorige AD RMS- en AD FS-databases.
De gegevens van de vorige SQL Server herstellen naar de nieuwe SQL Server-
Meld u aan bij de server met SQL Server 2016 met het juiste account.
Klik in het linkernavigatiedeelvenster met de rechtermuisknop op Databases en selecteer Database herstellen om het herstelproces te starten.
Kies apparaat bij Bron en blader vervolgens naar de locatie waar de databasebestanden zijn opgeslagen in de eerdere stappen.
Zodra de bestanden zijn geselecteerd, klikt u op OK.
Zorg ervoor dat alle databasebestanden zijn toegevoegd en voltooi het proces door op OK te klikken.
Windows Server 2016 Active Directory Federation Services (AD FS) configureren
AD FS is geïmplementeerd om eenmalige aanmelding (SSO) toegang te bieden tot AD RMS als toepassing. Het is ook geconfigureerd met de AD RMS Mobile Device Extension (MDE), waarmee ondersteuning voor Mac- en mobiele apparaten voor eindgebruikers mogelijk is.
De volgende secties bevatten richtlijnen voor operationele taken die u mogelijk moet uitvoeren op uw AD FS-implementatie.
Een 2016 AD FS-server toevoegen aan de farm
U kunt extra AD FS-servers implementeren ter ondersteuning van de AD RMS-implementatie. U kunt ervoor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers of aanvullende toepassingen, of als u een van de servers die momenteel worden gebruikt voor AD FS buiten gebruik wilt stellen.
Bekijk de vereisten voor Microsoft Entra Connect voordat u doorgaat.
De AD FS-server 2016 toevoegen aan de farm
Dubbelklik op de Microsoft Entra Connect-server op het pictogram Microsoft Entra Connect om de wizard Microsoft Entra Connect te starten.
Klik op de welkomstpagina op Configureren.
Klik op de pagina Aanvullende taken op Een extra federatieserver implementeren en klik vervolgens op Volgende.
Voer op de pagina Verbinding maken met Microsoft Entra ID de gebruikersnaam en het wachtwoord van een account in met de juiste machtigingen zoals gedefinieerd in microsoft Entra Connect-installatievereisten en klik vervolgens op Volgende.
Voer op de pagina Referenties van domeinbeheerder de gebruikersnaam en het wachtwoord in van een account met domeinbeheerdersmachtigingen en klik op Volgende.
Klik op Bladeren en selecteer het certificaatbestand dat wordt gebruikt bij het configureren van de AD FS-farm met behulp van Microsoft Entra Connect.
Klik op Wachtwoord invoeren om het dialoogvenster Certificaatwachtwoord te openen.
Voer het wachtwoord van het certificaat in het veld Wachtwoord in en klik op OK.
Klik op Volgende.
Voer op de pagina AD FS-servers de naam of het IP-adres van de nieuwe AD FS-server in en klik op Toevoegen.
Klik op de pagina Gereed om te configureren op Installeren.
Klik op de pagina Installatie voltooid op Afsluiten.
Het gedragsniveau van de AD FS-farm verhogen
Wanneer u een AD FS-server implementeert die het huidige omgevingsniveau overschrijdt, zoals een AD FS op Windows Server 2012 R2 en vervolgens een AD FS Windows Server 2016 toevoegen, moet het gedragsniveau van de farm worden verhoogd. Dit is nodig om ervoor te zorgen dat de omgeving de meest recente informatie en functies gebruikt.
Het gedragsniveau van de AD FS-farm verhogen
Navigeer naar Windows Server 2016 AD FS.
Open een PowerShell-sessie met beheerdersrechten.
Voer de volgende opdracht in: $cred = Get-Credential
Er wordt een venster weergegeven waarin u wordt gevraagd om referenties en voert u de referenties van de domeinbeheerder in.
Voer vervolgens deze opdracht in: Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred
Er wordt een prompt weergegeven met de vraag Wilt u doorgaan met deze bewerking? voer vervolgens een in om de prompt te accepteren.
Nadat de opdracht is voltooid, wordt het farmgedragsniveau ingesteld en gereed.
Logboekregistratie van mobiele apparaatextensie inschakelen
De extensie voor mobiele apparaten kan aanvragen registreren die worden ontvangen van apparaten van eindgebruikers. Logboekregistratie is standaard uitgeschakeld en we raden u aan logboekregistratie alleen in te schakelen in een scenario voor probleemoplossing. Alle aanvragen, van mobiele apparaten en desktopcomputers, om een licentie voor eindgebruik te bootstrapen of verkrijgen, worden geregistreerd in de AD RMS-logboekregistratiedatabase of het Azure-opslagaccount. MDE-logboekregistratie maakt twee extra tabellen voor de SQL Server die door AD RMS wordt gebruikt: de logboektabel voor foutopsporing van de client en de tabel met clientprestaties.
Logging van de Mobile Device Extension inschakelen
Open Windows PowerShell als beheerder vanaf een AD RMS-server.
Typ de volgende opdracht en druk op Enter: Import-Module AdRmsAdmin
Typ de volgende opdracht en druk op Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Typ de volgende opdracht en druk op Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true
Als u MDE-logboekregistratie gebruikt voor het oplossen van problemen, raden we u aan deze uit te schakelen nadat u het probleem hebt opgelost.
Logboekregistratie van mobiele apparaatuitbreiding uitschakelen
Open Windows PowerShell als beheerder vanaf een AD RMS-server.
Typ de volgende opdracht en druk op Enter: Import-Module AdRmsAdmin
Typ de volgende opdracht en druk op Enter: New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Root https://localhost
Typ de volgende opdracht en druk op Enter: Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false
AD RMS upgraden naar Windows Server 2016
De volgende secties bevatten richtlijnen voor het toevoegen van een AD RMS-server op basis van Windows Server 2016 aan het huidige Windows Server 2012 R2-cluster. De server wordt toegevoegd aan het cluster en de informatie wordt ernaar gerepliceerd, zodat de vorige AD RMS-server kan worden afgeschaft om resources vrij te maken.
Nadat u één op Windows Server 2016 gebaseerde AD RMS-server hebt toegevoegd aan uw AD RMS-cluster, worden alle knooppunten op basis van oudere versies van Windows inactief. Nadat dit is gebeurd, kunt u de inrichting van deze servers ongedaan maken (bijvoorbeeld afsluiten, opnieuw gebruiken of opnieuw installeren met Windows Server 2016 om lid te worden van het AD RMS-cluster).
U kunt extra AD RMS-servers implementeren in het cluster ter ondersteuning van de belasting van uw AD RMS-implementatie. U kunt er ook voor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers.
Deze handleiding behandelt niet de stappen die nodig zijn om de mechanismen voor taakverdeling te wijzigen die u mogelijk in uw omgeving gebruikt om de servers die u wilt afschakken uit te sluiten en de servers op te nemen die u aan het cluster toevoegt.
Een 2016 AD RMS-server toevoegen
Als uw AD RMS-cluster gebruikmaakt van een hardwarebeveiligingsmodule in plaats van een centraal beheerde sleutel voor het serverlicentiecertificaat, moet u de software en andere HSM-artefacten (e.g. key en configuratiebestanden) op de server installeren voordat u AD RMS installeert. U moet de HSM ook verbinden met de server, fysiek of via de relevante netwerkconfiguraties. Volg de HSM-richtlijnen voor deze stappen.
Een 2016 AD RMS-server toevoegen
Installeer de AD RMS-rol op de gewenste Windows Server 2016-implementatie.
Nadat de installatie is voltooid, selecteert u de koppeling naar Uitvoeren van extra configuratie.
Selecteer Een bestaand AD RMS-cluster toevoegen en klik op Volgende.
Voer op de pagina Configuratiedatabase selecteren de CNAME in die in de DNS is opgegeven voor de SQL Server 2016 (FQDN).
Klik op Lijst op de tweede regel en selecteer de DefaultInstance in de vervolgkeuzelijst.
Selecteer onder naam van de configuratiedatabasede vervolgkeuzelijst en kies de DRMS-configuratie die wordt weergegeven. Klik vervolgens op Volgende.
Voer op de pagina Databasegegevens het wachtwoord voor de clustersleutel in het opgegeven veld in. Klik daarna op Volgende.
Geef op de volgende pagina van de wizard het AD RMS-serviceaccount op en geef het wachtwoord op en klik op Volgende zodra deze is geverifieerd.
Zodra de Cluster Web Site pagina wordt weergegeven, controleer of de juiste website is geselecteerd en klik op Volgende.
Selecteer op de pagina Een serververificatiecertificaat kiezen het geïmporteerde SSL-certificaat en klik op Volgende.
Klik op Installeren om de installatie te starten.
Nadat de configuratie is voltooid, moet u zich afmelden en weer aanmelden om AD RMS te beheren.
Nadat u bent aangemeld, opent u Serverbeheerhulpprogramma's en selecteert u vervolgens Active Directory Rights Management. Het beheervenster moet worden weergegeven en geeft aan dat het cluster de extra server in het cluster heeft.
Als de AD RMS-extensie voor mobiele apparaten is geïnstalleerd in het oorspronkelijke AD RMS-cluster, moet u ook de MDE installeren in de bijgewerkte clusterknooppunten. Volg de instructies in de MDE-documentatie om MDE toe te voegen aan uw AD RMS-cluster. Op dit moment kunt u alle bestaande knooppunten opnieuw gebruiken of ze upgraden naar Windows Server 2016 en deze opnieuw koppelen aan het AD RMS-cluster met behulp van hetzelfde hierboven beschreven proces.
Windows Server 2016 Web Application Proxy (WAP) configureren
De volgende secties bevatten richtlijnen voor operationele taken die u mogelijk moet uitvoeren bij de implementatie van uw webtoepassingsproxy. Dit is een optionele stap, niet vereist als u AD RMS publiceert op internet via andere mechanismen.
Een Windows Server 2016 WAP-server toevoegen
U kunt extra webtoepassingsproxyservers implementeren ter ondersteuning van de AD RMS-implementatie. U kunt ervoor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers of als u een van de servers die momenteel worden gebruikt voor de webtoepassingsproxy buiten gebruik moet stellen.
Een 2016-webtoepassingsproxyserver toevoegen
Ga vanaf de server die u wilt instellen als webtoepassingsproxy naar de console Serverbeheer en klik op Functies en onderdelen toevoegen.
Klik in de Wizard Rollen en Functies toevoegenop Volgende totdat u bij het Selectiescherm Serverfuncties bent.
Selecteer externe toegang in het scherm Serverfuncties selecteren en klik vervolgens op Volgende totdat u weer terug bent in het scherm Serverfuncties selecteren.
Selecteer op het scherm "Serverfuncties selecteren" Web Application Proxy, klik op Functies toevoegenen klik vervolgens op Volgende.
Klik in het scherm Installatieselecties bevestigen op Installeren.
Zodra de installatie is voltooid, klikt u op Sluiten.
Nu is het tijd om de server te configureren. Hiervoor opent u de beheerconsole voor externe toegang op de webtoepassingsproxyserver. Open het startmenu , typ RAMgmtUI.exeen selecteer vervolgens de toepassing.
Klik in het navigatiedeelvenster op Webtoepassingsproxy.
Klik in de beheerconsole voor externe toegang op De wizard Webtoepassingsproxy configurerenuitvoeren. Klik in de wizard op Volgende.
Voer op het scherm Federatieserver de volledig gekwalificeerde domeinnaam van de AD FS-server (bijvoorbeeld adfs.contoso.com) in en voer vervolgens referenties in voor een beheerder op de AD FS-server.
Selecteer in het scherm AD FS-proxycertificaat in de lijst met certificaten die momenteel zijn geïnstalleerd op de webtoepassingsproxyserver een certificaat dat moet worden gebruikt door webtoepassingsproxy voor AD FS-proxy en klik vervolgens op Volgende.
Controleer in het bevestigingsscherm de instellingen en klik vervolgens op Configureren.
Zodra de configuratie is voltooid, klikt u op Sluiten.
DNS-configuratie voor 2016 WAP-server
Zodra de Windows Server 2016-webtoepassingsproxyserver is ingesteld, moeten er enkele DNS-wijzigingen worden aangebracht. Hiervoor moet u een DNS-service, zoals GoDaddy, gebruiken om de AD FS- en AD RMS-services op de WAP-server 2016 te laten verwijzen.
om de DNS te laten wijzen op de WAP-server
Navigeer naar de website van uw provider (bijvoorbeeld GoDaddy).
Ga naar Domeinbeheer en vervolgens DNS-beheer.
Zoek de AD FS- en AD RMS-service en vervang het punt naar gedeelte door het openbare IP-adres van de WAP-server 2016 en Opslaan.
De wijzigingen kunnen even duren om door te voeren, maar zodra dit gebeurt, is de installatie voltooid.
Logboeken voor foutopsporing inschakelen
Gedetailleerde informatie over logboekregistratie is beschikbaar op de webtoepassingsproxyservers. U kunt geavanceerde foutopsporingslogboeken configureren met behulp van de Evenementenviewer. Aanvullende instellingen kunnen ook worden geselecteerd voor de grootte van de logboeken om ervoor te zorgen dat de analyse nuttig is voor de viewer.
logboeken voor foutopsporing inschakelen voor de webtoepassingsproxy
Open de Logboeken-console in de webtoepassingsproxy.
Vouw het Microsoft-knooppunt uit.
Vouw het Windows-knooppunt uit.
Open de Webtoepassingsproxy--logboeken.
Vervolgens kunt u de beheerderslogboeken openen.
Open het menu Actie , linksboven en selecteer Eigenschappen.
Kies op het tabblad Algemeen de optie voor het inschakelen van logboekregistratie.
Ten slotte kunt u de maximale logboekgrootte aanpassen en wat er gebeurt wanneer de maximale grootte van het gebeurtenislogboek wordt bereikt.
Hoge beschikbaarheid configureren voor Windows Server 2016-services
De volgende secties bevatten richtlijnen voor operationele taken die u mogelijk nodig hebt om uw Windows Server 2016-omgeving in hoge beschikbaarheid in te stellen.
Een 2016 AD RMS-server toevoegen voor hoge beschikbaarheid
U kunt extra AD RMS-servers implementeren om hoge beschikbaarheid in te stellen. U kunt ervoor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers.
Een 2016 AD RMS-server toevoegen voor hoge beschikbaarheid
Installeer de AD RMS-rol op de gewenste Windows Server 2016-implementatie.
Nadat de installatie is voltooid, selecteert u de koppeling naar Uitvoeren van extra configuratie.
Selecteer Een bestaand AD RMS-cluster toevoegen en klik op Volgende.
Voer op de pagina Configuratiedatabase selecteren de CNAME in die in de DNS is opgegeven voor de SQL Server 2016 (FQDN).
Klik op Lijst op de tweede regel en selecteer de DefaultInstance in de vervolgkeuzelijst.
Selecteer onder naam van de configuratiedatabasede vervolgkeuzelijst en kies de DRMS-configuratie die wordt weergegeven. Klik vervolgens op Volgende.
Voer op de pagina Databasegegevens het wachtwoord voor de clustersleutel in het opgegeven veld in. Klik daarna op Volgende.
Geef op de volgende pagina van de wizard het AD RMS-serviceaccount op en geef het wachtwoord op en klik op Volgende zodra deze is geverifieerd.
Zodra de Cluster Web Site pagina wordt weergegeven, controleer of de juiste website is geselecteerd en klik op Volgende.
Selecteer op de pagina Een serververificatiecertificaat kiezen het geïmporteerde SSL-certificaat en klik op Volgende.
Klik op Installeren om de installatie te starten.
Nadat de configuratie is voltooid, moet u zich afmelden en weer aanmelden om AD RMS te beheren.
Nadat u bent aangemeld, opent u Serverbeheerhulpprogramma's en selecteert u vervolgens Active Directory Rights Management. Het beheervenster moet worden weergegeven en geeft aan dat het cluster de extra server in het cluster heeft.
Nadat u de serverinstallatie hebt bevestigd, configureert u de load balancing-service om de belasting tussen de verschillende AD RMS-servers in het cluster te verdelen.
Een Windows Server 2016 AD FS-server toevoegen voor hoge beschikbaarheid
U kunt extra AD FS-servers implementeren om hoge beschikbaarheid in te stellen. U kunt ervoor kiezen om deze actie uit te voeren in het geval van toegenomen verkeer naar de AD FS-servers. Opmerking: na het verhogen van het farmgedragsniveau wordt een nieuwe databasevermelding ingevoerd in sql Server 2016(Adfs Configv3) en moet de oude configuratiedatabase worden verwijderd voordat u doorgaat met deze stappen.
De Windows Server 2016 AD FS-server toevoegen voor hoge beschikbaarheid
Installeer de AD RMS-rol op de gewenste Windows Server 2016-implementatie.
Nadat de installatie is voltooid, selecteert u de koppeling naar De federation-service configureren op deze server.
Kies in het welkomstgedeelte van de wizard de optie om een federatieserver toe te voegen aan een federatieserverfarm en klik vervolgens op Volgende.
Geef het juiste beheerdersaccount op en klik op Volgende.
Kies op de pagina Farm opgeven de locatie van de database opgeven voor een bestaande farm met behulp van SQL Server en voer vervolgens de CNAME in voor de SQL-service voor de databasehostnaam en klik op Volgende.
Voer in het gebied Serviceaccount opgeven van de wizard de inloggegevens voor het AD FS-serviceaccount in en klik vervolgens op Volgende.
Klik in Opties controleren op Volgende.
Klik op Configureren wanneer de knop beschikbaar is.
Start de machine na de configuratie opnieuw op.
Nadat u de serverinstallatie hebt bevestigd, dient u de AD FS-servers indien nodig te voorzien van load balancing.
Een Windows Server 2016 WAP-server toevoegen voor hoge beschikbaarheid
U kunt extra WAP-servers implementeren om hoge beschikbaarheid in te stellen. U kunt ervoor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers.
Een Windows Server 2016-webtoepassingsproxyserver toevoegen voor hoge beschikbaarheid
Ga vanaf de server die u wilt instellen als webtoepassingsproxy naar de console Serverbeheer en klik op Functies en onderdelen toevoegen.
Klik in de Wizard Rollen en Functies toevoegenop Volgende totdat u bij het Selectiescherm Serverfuncties bent.
Selecteer externe toegang in het scherm Serverfuncties selecteren en klik vervolgens op Volgende totdat u weer terug bent in het scherm Serverfuncties selecteren.
Selecteer op het scherm "Serverfuncties selecteren" Web Application Proxy, klik op Functies toevoegenen klik vervolgens op Volgende.
Klik in het scherm Installatieselecties bevestigen op Installeren.
Zodra de installatie is voltooid, klikt u op Sluiten.
Nu is het tijd om de server te configureren. Hiervoor opent u de beheerconsole voor externe toegang op de webtoepassingsproxyserver. Open het startmenu , typ RAMgmtUI.exeen selecteer vervolgens de toepassing.
Klik in het navigatiedeelvenster op Webtoepassingsproxy.
Klik in de beheerconsole voor externe toegang op De wizard Webtoepassingsproxy configurerenuitvoeren. Klik in de wizard op Volgende.
Voer op het scherm Federatieserver de volledig gekwalificeerde domeinnaam van de AD FS-server (bijvoorbeeld adfs.contoso.com) in en voer vervolgens referenties in voor een beheerder op de AD FS-server.
Selecteer in het scherm AD FS-proxycertificaat in de lijst met certificaten die momenteel zijn geïnstalleerd op de webtoepassingsproxyserver een certificaat dat moet worden gebruikt door webtoepassingsproxy voor AD FS-proxy en klik vervolgens op Volgende.
Controleer in het bevestigingsscherm de instellingen en klik vervolgens op Configureren.
Zodra de configuratie is voltooid, klikt u op Sluiten.
Nadat u de serverinstallatie hebt bevestigd, moet u de WAP-servers in de DMZ verdelen.
Een SQL Server 2016-knooppunt toevoegen voor AlwaysOn Hoge beschikbaarheid
U kunt extra SQL-servers implementeren om AlwaysOn Hoge beschikbaarheid in te stellen. U kunt ervoor kiezen om deze actie uit te voeren in het geval van meer verkeer naar de AD RMS-servers. Opmerking: zorg ervoor dat voor beide SQL-servers de binnenkomende poort 5022 is geopend.
Een SQL Server 2016-server toevoegen voor AlwaysOn High Availability
Ga vanaf de server die u wilt instellen als een extra SQL Server 2016-server naar de console Serverbeheer en klik op Functies en onderdelen toevoegen.
Klik op Volgende tot het dialoogvenster Functies selecteren .
Schakel het selectievakje Failoverclustering in. Opmerking: volg deze stap voor de oorspronkelijke SQL Server 2016-server, zodat beide SQL-servers de functie Failoverclustering hebben.
Klik op Installeren om de functie Failoverclustering te installeren.
Open Nu Serverbeheer en selecteer Hulpprogramma's en vervolgens Failoverclusterbeheer.
Klik in het linkermenuvenster met de rechtermuisknop op Failoverclusterbeheer en selecteer Cluster maken
Hiermee opent u de Cluster Maken Wizard.
Blader naar de SQL Server 2016-servers die worden gebruikt voor AlwaysOn Hoge beschikbaarheid en voer deze in en klik op Volgende.
U ontvangt een validatiewaarschuwing. Selecteer Ja om de clusterknooppunten te valideren en klik vervolgens op Volgende.
Selecteer op de pagina Testopties de optie Alle tests uitvoeren en klik op Volgende.
Opmerking: de wizard Clustervalidatie zal naar verwachting verschillende waarschuwingsberichten retourneren, met name als u geen gedeelde opslag gebruikt. Afgezien daarvan, als u foutmeldingen vindt, moet u deze oplossen voordat u het Windows Server-failovercluster maakt..
Voer in het dialoogvenster Toegangspunt voor het beheren van het cluster de clusternaam en het virtuele IP-adres voor het Windows Server-failovercluster in en klik vervolgens op Volgende.
Controleer of de configuratie is geslaagd in Samenvatting en klik op Voltooien.
Klik in Failoverclusterbeheer met de rechtermuisknop op het cluster en selecteer Meer acties en kies vervolgens Clusterquoruminstellingen configureren
Klik op Volgende en kies vervolgens de optie voor De quorumwitness selecteren en druk nogmaals op Volgende .
Selecteer op de pagina Quorumwitness selecteren de optie Een bestandssharewitness configureren optie. Klik vervolgens op Volgende.
Selecteer Bladeren en zoek het pad naar de bestandsshare die u wilt gebruiken in het dialoogvenster Bestandssharepad. Klik op Volgende.
Klik op de bevestigingspagina op Volgende.
Klik op de pagina Samenvatting op Voltooien.
Open nu het startmenu en zoek naar SQL Server Configuration Manager.
Klik met de rechtermuisknop op de SQL Server-naam en kies Eigenschappen.
Selecteer in het dialoogvenster Eigenschappen het tabblad AlwaysOn Hoge Beschikbaarheid. Vink het selectievakje Inschakelen van AlwaysOn-beschikbaarheidsgroepen aan. Klik op OK. Opmerking: doe dit op beide SQL Server 2016-servers.
Start vervolgens de SQL Server-service opnieuw op.
Open nu het startmenu en zoek naar SQL Server Management Studio en klik in het linkernavigatiedeelvenster met de rechtermuisknop op Beschikbaarheidsgroepen en klik vervolgens op De wizard Nieuwe beschikbaarheidsgroep en klik vervolgens op Volgende.
Kies op de pagina Naam van beschikbaarheidsgroep opgeven een groepsnaam (bijvoorbeeld SQLAvailabilityGroup2016). Klik vervolgens op Volgende.
Geef in de sectie Databases selecteren de databases op. Klik vervolgens op Volgende. Opmerking: mogelijk moet een back-up van een database opnieuw worden gemaakt of in de modus Volledig herstel worden geplaatst.
Klik op de pagina Replica's opgeven op de knop Replica toevoegen en kies uw andere SQL Server 2016.
Nadat u de andere server hebt toegevoegd, klikt u op de selectievakjes en stelt u de secundaire server in op een leesbare secundaire server.
Ga naar het tabblad Eindpunten en klik op de optie Vernieuwen . Scrol hier ook door en zorg ervoor dat hetzelfde serviceaccount zich op het primaire en secundaire knooppunt bevindt.
Kies nu het tabblad Back-upvoorkeuren en selecteer de optie Voorkeur secundair .
Ga verder naar het tabblad Listener .
Geef een naam (bijvoorbeeld SQLListener) op en zorg ervoor dat de poort 1433 is en klik vervolgens op Volgende.
Kies op de pagina Eerste gegevenssynchronisatie selecteren van de wizard de optie Volledig en geef een netwerklocatie op die toegankelijk is voor alle SQL-servers en klik vervolgens op Volgende.
Klik ten slotte op Voltooien en het proces wordt voltooid.
Windows Server 2012 R2-knooppunten buiten gebruik stellen
De volgende secties bevatten richtlijnen voor operationele taken die u mogelijk moet verwijderen van uw Windows Server 2012 R2-servers nadat het AD RMS-cluster is bijgewerkt naar Windows Server 2016.
Een Windows Server 2012 R2 AD RMS-server verwijderen
U kunt overbodige AD RMS-servers verwijderen na een upgrade. U kunt ervoor kiezen om deze actie uit te voeren wanneer deze nodig is om AD RMS-servers buiten gebruik te stellen.
EenWindows Server 2012 R2 AD RMS-server verwijderen
Op de Windows Server 2012 R2 AD RMS-server in Serverbeheer selecteert u Beheren in de menu's rechtsboven en kiest u vervolgens Functies en onderdelen verwijderen.
De Wizard Rollen en Functies Verwijderen wordt geopend en op het Voordat u Begint scherm, klik op Volgende.
Klik in het scherm Serverselectie op Volgende.
Verwijder in het scherm Serverfuncties de controle naast Active Directory Rights Management Services en klik op Volgende.
Klik in het scherm Onderdelen op Volgende.
Klik in het bevestigingsscherm op Verwijderen.
Zodra dit is voltooid, start u de server opnieuw op.
U kunt deze server nu afsluiten en de resources indien nodig opnieuw toewijzen.