с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
- Главная
- Разное
- Бизнес и предпринимательство
- Образование
- Развлечения
- Государство
- Спорт
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Религиоведение
- Черчение
- Физкультура
- ИЗО
- Психология
- Социология
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Геометрия
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Что такое findslide.org?
FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.
Обратная связь
Email: Нажмите что бы посмотреть
Презентация на тему Windows Server 2008. Внешний доступ к службам RMS
Содержание
- 2. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 3. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 4. АвторПолучательRMS ServerSQL DatabaseActive DirectoryАвтор определяет/применяет политику к
- 5. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 6. Внешний доступ к RMS Для чего?Наиболее часто
- 7. Внешний доступ к RMS Бизнес-требования Информация может
- 8. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 9. Внешний доступ к RMS Технические требования Мобильные
- 10. Внешний доступ к RMS Технические требования Внешний
- 11. Внешний доступ к RMS Технические требования Внешний
- 12. Внешний доступ к RMS Технические требования Внешний
- 13. Внешний доступ к RMS RMS-конвейеры для внешнего
- 14. Внешний доступ к RMS RMS-конвейеры для внешнего
- 15. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 16. RMS и ISA Server 2006ISA Server 2006
- 17. Преимущества Доступ к строго определенным виртуальным каталогам
- 18. Для конвейеров сертификатов и лицензий Рекомендуемый подход,
- 19. RMS и ISA 2006 SSL-мост ВозможностиПроверка SSL-трафика
- 20. RMS и ISA 2006 Фильтрация приложенийGeneral Max.
- 21. Входящий трафикHTTPS TCP/443 и HTTP/80 (не рекомендуется
- 22. Содержание Принцип действия Бизнес-требования Технические требования Публикация
- 23. Внешний доступ к RMS Сценарии Базовая архитектура
- 24. Внешний доступ к RMS Базовая архитектура Наиболее
- 25. Внешний доступ к RMS Базовая архитектура Corporate NetworkThe InternetRMS ClusterISA 2006Internal UserMobile User
- 26. Внешний доступ к RMS Базовая архитектура Публикация
- 27. Внешний доступ к RMS Несколько лесов Публикация
- 28. Внешний доступ к RMS Бизнес – бизнес
- 29. Внешний доступ к RMS Бизнес – бизнес, TUDContosoThe InternetContosoRMS ClusterISA 2006Internal UserPartner UserAdatumAdatumRMS Cluster
- 30. Внешний доступ к RMS Бизнес – бизнес,
- 31. Крупная производственная компанияPR-услуги для AdatumФедеративные отношения с
- 32. AdatumContosoRMSWebSSO Дебра применяет политику к письму Дебра
- 33. Внешний доступ к RMS Бизнес – бизнес, ADFSПубликация
- 34. Внешний доступ к RMS Бизнес – бизнес,
- 35. Внешний доступ к RMS Бизнес – пользователь
- 36. Внешний доступ к RMS Windows Live ID
- 37. Вопросыhttp://blogs.technet.com/ashapoОсобенности служб сертификации в Windows Server 2008Веб-трансляция, 20 ноябряhttp://www.microsoft.com/rus/technet
- 38. Скачать презентацию
- 39. Похожие презентации
Содержание Принцип действия Бизнес-требования Технические требования Публикация RMS с помощью ISA Server 2006Сценарии внешнего доступаБазовая архитектура Бизнес – бизнес Федеративные службы Бизнес – пользователь (Windows Live ID)
Слайд 2
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
– бизнесФедеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 3
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 4
Автор
Получатель
RMS Server
SQL Database
Active Directory
Автор определяет/применяет политику к данным;
приложение с помощью RMS-клиента шифрует данные и создает политику;
приложение сохраняет политику вместе с зашифрованными даннымиАвтор распространяет файл
Получатель открывает файл; приложение вызывает RMS-клиента для авторизации пользователя и получения лицензии на использование
Приложение расшифровывает файл с помощью RMS-клиента и реализует указанные в лицензии права; RMS-клиент обеспечивает безопасность работы с данными
При первом использовании RMS автор получает необходимые ключи и, возможно, политики, определенные отделом ИТ
1
RMS-приложение
API RMS-клиента
2
3
RMS-приложение
API RMS-клиента
4
5
Принцип действия RMS
Слайд 5
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 6
Внешний доступ к RMS
Для чего?
Наиболее часто забываемый аспект
при развертывании RMS
Сотрудникам необходим доступ к защищенной информации при
использовании Outlook RPC/HTTPS
Outlook Web Access
Документов Microsoft Office
Windows Mobile 6.0
Если внешний доступ к RMS не настроен, пользователи не смогут работать с защищенными документами (кроме случаев использования VPN)
Слайд 7
Внешний доступ к RMS
Бизнес-требования
Информация может храниться и
использоваться различными способами
Обмен информацией внутри и между организациями
– общее требование Критическая информация должна быть доступна из любого места
Мобильность и гибкий доступ к данным – критическое требование для мобильных пользователей
Слайд 8
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 9
Внешний доступ к RMS
Технические требования
Мобильные пользователи
Если
письмо или документ не открывался во внутренней сети, требуется
аутентификация и ULЕсли документ скопирован с одного компьютера на другой, требуется аутентификация и UL
Если задан срок действия лицензии, или документ требует постоянного подключения, пользователю необходим доступ к серверу RMS, даже если этот пользователь уже имеет UL
Exchange 2007 SP1 Pre-licensing Fetching минимизирует эти требования, однако некоторые вложения и другие документы требуют связь с RMS-сервером
Слайд 10
Внешний доступ к RMS
Технические требования
Внешний доступ к
кластеру RMS
RMS-конвейер (URL-ссылки) должен быть доступен из Internet
В
качестве альтернативы можно настроить VPN, но это ограничивает использование таких продуктов и технологий, как:Outlook RPC/HTTP
OWA
Windows Mobile 6
MOSS 2007
Слайд 11
Внешний доступ к RMS
Технические требования
Внешний доступ
Не
включен по умолчанию
Должен определяться на стадии планирования развертывания
служб RMSДолжен рассматриваться, даже если изначально не требуется
Любой защищенный документ содержит URL сервера лицензирования (конвейера)
Слайд 12
Внешний доступ к RMS
Технические требования
Внешний доступ
Если
внешний доступ включается уже после применения RMS к определенным
документам, необходимо:Снять защиту с документов
Очистить папку DRM в профиле пользователя
Настроить внешний доступ на сервере RMS
Снова защитить документы
Распространить новые версии файлов
Вывод: продумывайте внешний доступ на этапе планирования
Слайд 13
Внешний доступ к RMS
RMS-конвейеры для внешнего доступа
Сертификаты-
/_wmcs/certification/*
Используется для получения пользователем Rights Accounts Certificate (RAC)
Доступ необходим
при первом использовании служб RMSДоступ запрещен за пределами интрасети для защиты структуры RMS
Может влиять на некоторые приложения
OWA
Слайд 14
Внешний доступ к RMS
RMS-конвейеры для внешнего доступа
Лицензии
- /_wmcs/Licensing/*
Используется для получения Use Licenses (UL) для каждого
защищенного документа и Client Licensing Certificates (CLC) для защиты в режиме Offline
Должен быть виден снаружи для реализации внешнего доступа
В зависимости от сценария может требоваться соответствующая аутентификация
Слайд 15
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 16
RMS и ISA Server 2006
ISA Server 2006 сокращает
поверхность атак благодаря следующим возможностям:
Пакетная фильтрация
Аутентификация
Ограничение
путей SSL-мост
Фильтрация уровня приложений
Слайд 17
Преимущества
Доступ к строго определенным виртуальным каталогам и
asmx-файлам сервера RMS
Windows RMS V1.0
/_wmcs/certification/*
/_wmcs/licensing/*
Active Directory RMS V2.0 c
опцией ADFS Integration/_wmcs/certificationexternal/*
/_wmcs/licensingexternal/*
RMS and ISA 2006
Ограничение путей
Слайд 18
Для конвейеров сертификатов и лицензий
Рекомендуемый подход, поскольку
IIS может иметь только один сертификат на веб-сайт
RMS
ServerISA Server 2006 в качестве SSL-моста
Внутренний
пользователь
Внешний
пользователь
SSL-туннель
SSL-туннель
SSL-туннель
RMS и ISA 2006
SSL-мост
Слайд 19
RMS и ISA 2006
SSL-мост
Возможности
Проверка SSL-трафика на вредоносный
код
Различные внешние и внутренние имена для конвейеров
Внешний
конвейер – Сертификат на ISA Server 2006Пример:
https://rms.contoso.com/
Внутренний конвейер – Сертификат на кластере RMS
Пример:
https://rms.contoso.local/
Замечание: на IIS 6 допустимо применение Subject Alternative names, однако не все провайдеры поддерживают эту функцию
Слайд 20
RMS и ISA 2006
Фильтрация приложений
General
Max. URL Length
– 256 bytes
Max. Query Length – 256 bytes
Verify Normalization
– включеноBlock High Bit Characters – включено
Block Responses with Executables –
включено
Methods
Разрешить только POST, SOAP, GET
Extensions
Разрешить только файлы .asmx
Слайд 21
Входящий трафик
HTTPS TCP/443 и HTTP/80 (не рекомендуется для
внешнего доступа )
Исходящий трафик от RMS к DC
Kerberos (88/tcp
и 88/udp)DCE RPC (135/tcp, 135/udp, динамические порты)
NetBIOS/SMB (137-139, 445/tcp и udp)
LDAP, ICMP, NTP
Исходящий трафик от RMS к SQL
1433/TCP
RMS и ISA 2006
RMS в зоне периметра
Слайд 22
Содержание
Принцип действия
Бизнес-требования
Технические требования
Публикация RMS
с помощью ISA Server 2006
Сценарии внешнего доступа
Базовая архитектура
Бизнес
– бизнес Федеративные службы
Бизнес – пользователь (Windows Live ID)
Слайд 23
Внешний доступ к RMS
Сценарии
Базовая архитектура
Базовый сценарий
Несколько лесов, доверенные домены
Бизнес – бизнес
Доверенные домены
Федеративные службы
Бизнес – пользователь
Windows Live ID
Слайд 24
Внешний доступ к RMS
Базовая архитектура
Наиболее простой сценарий
С защищенными документами работают только корпоративные пользователи
Требования бизнеса
Доступ к документам с ноутбуков, мобильных устройств, возможно, с домашних компьютеров
Слайд 25
Внешний доступ к RMS
Базовая архитектура
Corporate Network
The Internet
RMS
Cluster
ISA 2006
Internal User
Mobile User
Слайд 26
Внешний доступ к RMS
Базовая архитектура
Публикация
Аутентификация
Требуется
Набор типовых правил на ISA Server
Одно правило публикации
RMSОдно правило для SSL-сертификата
Слайд 27
Внешний доступ к RMS
Несколько лесов
Публикация
Как в
базовом сценарии
Аутентификация
Требуется
Набор типовых правил на ISA
Server Зависит от доверительных отношений
Конвейер сертификатов необходим, если нужна удаленная активация клиентов (1 на лес)
Конвейеры лицензий можно консолидировать:
http://www.microsoft.com/technet/itshowcase/content/deprmswp.mspx
Слайд 28
Внешний доступ к RMS
Бизнес – бизнес
Для взаимодействия
с внешними организациями
Обычно применяется Trusted User Domains (TUD)
В
Windows 2008 добавляется интеграция с ADFS, существенно расширяющая использование RMS
Слайд 29
Внешний доступ к RMS
Бизнес – бизнес, TUD
Contoso
The Internet
Contoso
RMS
Cluster
ISA 2006
Internal User
Partner User
Adatum
Adatum
RMS Cluster
Слайд 30
Внешний доступ к RMS
Бизнес – бизнес, TUD
Публикация
Аутентификация
Требуется для получения сертификата
Не требуется для получения лицензии
Набор типовых правил на ISA Server
Два правила публикации RMS
Одно правило для SSL-сертификата
Слайд 31
Крупная производственная компания
PR-услуги для Adatum
Федеративные отношения с Contoso
Обмен
конфиденциальными данными между сотрудниками Adatum и Contoso
Дебра
Джейсон
Типовой сценарий
Слайд 32
Adatum
Contoso
RMS
WebSSO
Дебра применяет политику к письму
Дебра посылает
защищенное письмо
Джейсону в Contoso
Компьютер Джейсона обращается к
RMS-серверуАгент ADFS перехватывает запрос
RMS-клиент перенаправляется FS-R для аутентификации
RMS-клиент перенаправляется FS-A для аутентификации
Сформированная заявка (claim) возвращается к FS-R
RMS-клиент запрашивает UL
WebSSO-агент перенаправляет запрос RMS-серверу
RMS-сервер возвращает сертификат RAC Джейсону
RMS-сервер формирует и передает Джейсону UL
Джейсон получает доступ к содержимому письма
Дебра
Джейсон
Взаимодействие на основе ADFS
Слайд 34
Внешний доступ к RMS
Бизнес – бизнес, ADFS
Аутентификация
Требуется
для получения сертификата (внутренними пользователями)
Не требуется для конвейеров RMS/ADFS
Не
требуется для федеративных отношений Набор типовых правил на ISA Server
1 правило для публикации RMS, 1 правило для публикации ADFS
Два правила для SSL-сертификата
Слайд 35
Внешний доступ к RMS
Бизнес – пользователь
Для взаимодействия
с внешними субъектами, не имеющими RMS
Обычно используется Windows
Live IDДля реализации устанавливаются доверительные отношения между RMS-сервером и службой Windows Live ID
Одноразовая операция, RMS-серверу требуется доступ в Internet на этапе конфигурации
Одностороннее взаимодействие – между пользователями Windows Live ID
Публикуется RMS-конвейер лицензий
Слайд 36
Внешний доступ к RMS
Windows Live ID
Corporate Network
The
Internet
RMS Cluster
ISA 2006
Internal User
External User
Windows Live ID
Services (Passport)
Слайд 37
Вопросы
http://blogs.technet.com/ashapo
Особенности служб сертификации в Windows Server 2008
Веб-трансляция, 20
