Rights Management Service: gestione del servizio - pt.2

rsm-management1

Una volta implementato il servizio Rights Management Service, è fondamentale che tutte le componenti siano funzionanti per evitare problemi di accesso ai documenti protetti.

Il recupero dei documenti protetti infatti può rivelarsi impossibile dovuto ad una errata configurazione. Un’attenta pianificazione seguita da un’accurata fase di test è quindi fortemente consigliata.

 

Blog serie

Rights Management Service: introduzione - pt.1
Rights Management Service: gestione del servizio - pt.2

 

Configurare il Rights Management Service

Per un funzionamento ottimale di RMS, seguire alcune semplici regole può evitare dei forti mal di testa.

Il servizio RMS non dovrebbe risiedere su domain controller o Exchange server onde evitare il workload dei sistemi con conseguenti rallentamenti dei servizi svolti.

Nel DNS, è opportuno creare un CNAME alias dell'URL definito nell'SCP (Service Connection Point) anzichè il nome del server perchè nel caso di una sostituzione del server o cambio dell'IP del server stesso, il servizio continua a funzionare e non viene interrotto (in configurazione cluster). Si possono utilizzare più CNAME dello stesso url che puntano su diversi server.

rsm-management2

Utilizzare un servizio web (IIS) dedicato solo per RMS.

I certificati per la protezione dei documenti vengono emessi basandosi sull'indirizzo e-mail dell'account. Verificare che ad ogni account venga attribuito un indirizzo e-mail.

Per generare il certificato è meglio utilizzare il nome del cluster.

E' fortemente consigliato che il servizio RMS e il database SQL risiedano fisicamente su due server diversi. Un server SQL generalmente dovrebbe essere configurato in maniera da garantire tempi minimi di ripristino in caso di crash (cluster, backup). Da non dimenticare che tutte le info, certificati e configurazioni risiedono nel database SQL.

Per attivare SCP (registrare l'url in Active Directory) sono richiesti i diritti di Enterprise Admin. Se l'SCP è stato precedentemente registrato e devo re-installare da zero il servizio RMS, SCP va rimosso.

 

Rimuovere SCP

Per rimuovere l'SCP, si può procedere tramite la console grafica Windows RMS Administration.

rsm-management3

Un altro metodo per effettuare l'operazione è tramite lo snap-in ADSIEDIT.MSC (si trova nei Support Tools in W2K3) connettendosi alla Configuration naming context. Aprire il nodo cn=Services e cancellare il nodo cn=RightManagementService che rimuoverà il Service Connection Point. Attenzione ad utilizzare questo tool.

Come alternativa è possibile utilizzare il DRM Toolkit lanciando il comando:

ADSCPRegister:ADSCPRegister unregisterscp https://my_domain/_wmcs/Certification

Il comando ADSCPRegister permette la registrazione dell'SCP in Active Directory. E' utile nel caso non si abbiano sufficienti diritti in AD: mando l'istruzione all'Enterprise Admin per farla eseguire ed effettuare quindi la registrazione. Evito inoltre che altri accedano al server.

 

Sostituire il server RMS

Se ci troviamo nella situazione di dover sostituire un server impiegato per il servizio RMS (hardware obsoleto, upgrade, etc.), l'operazione è semplice in quanto è sufficiente installare un nuovo server nel cluster e rimuovere il vecchio.

  • Una volta configurato il nuovo server, questo deve essere aggiunto nel cluster.
  • Nel vecchio server da rimuovere deve essere fatta l'operazione di unprovisioning (riduzione del numero dei servers nel cluster) che ne azzera la configurazione.
  • Il CNAME precedentemente impostato nel DNS deve essere aggiornato per far puntare l'URL al nuovo server.
  • Aggiornare l'eventuale load balancing se impostato.

 

Rimuovere il servizio RMS

Se spengo il server RMS, tutti i documenti protetti non sono più accessibili. Per la corretta rimozione del servizio RMS deve essere effettuata l'operazione di decommisioning per ripristinare l'accesso ai documenti. Tutti i servers coinvolti devono essere messi in questo stato.

Quando il server è in uno stato di decommissioning, solo le use licenses vengono fornite. Per rimuovere tutte le protezioni è quindi sufficiente aprire il documento protetto e poi salvarlo.

Questa procedura è utile nel caso il progetto pilota non venga approvato.

 

Backup e disaster recovery

Tutte le informazioni, configurazioni e licenze (chiave pubblica e privata) di RMS risiedono nel database SQL, quindi il backup del database è fondamentale. SQL dovrebbe garantire un sistema di fault tolerance (cluster) per evitare blocchi del servizio e naturalmente una strategia di backup adeguata in base all'utilizzo del servizio.

Stesso discorso vale per il server RMS il quale deve essere adeguatamente protetto contro potenziali failures. Per questo scopo possono essere utilizzati sistemi di ripristino come Ghost, Symantec BackupExec o altri per effettuare un veloce ripristino del server.

L'utilizzo di una configurazione cluster (2 front-end) evita il blocco del servizio a patto che il database sia sempre accessibile e funzionante.

rights management service 1