[技术分享 - RMS 篇] 20101222 - 2，在微软最新 OS 平台创建打开 RMS 文档如何避免时延

相信我们在企业内部的环境中已经部署了微软最新的OS平台，Windows 7和Windows 2008 R2，在这些OS平台上使用IRM功能时，您有可能遇到创建、打开RMS文档非常缓慢的情况，据测试，office程序会停滞大概1到2分钟才会有响应， 这难道是window 7, windows 2008 R2的产品Bug？

这样的情况往往会发生于一些不能上网的客户端，或者上网有限制的客户端，通过抓取网络包，我们可以很快定位问题，最常见的情况就是：客户端创建/打开RMS文档时，会尝试解析crlmicorsoft.com，去下载微软CRL列表，但内网解析不了crlmicrosoft.com，或者不能连上crlmicrosoft.com，而导致了时延。解决问题的方法有两个：

1. 使客户端能连上internet, 正常下载微软CRL列表，之后的一段时间内问题就不会出现，这段时间取决于CRL列表的过期时间。

2. 如果客户端不能连上internet，可以通过缩小客户端的拿取CRL列表的超时时间来解决时延的问题。 步骤如下：

• 打开组策略编辑器 “gpedit.msc”
• 找到 “计算机配置 – Windows 设置 – 安全设置- 公钥策略 – 证书路径验证设置”(“Computer Configuration – Windows Settings – Security Settings – Public Key Policies – Certificate Path Validation Settings”)
• 找到“网络检索”(Network Retrieval) 标签，重新设置“默认检索超时设置”(Default retrieval timeout settings)

例如：

• 默认 URL 检索超时（以秒为单位）(Default URL retrieval timeout (in seconds))：1
• 默认路径验证累计检索超时（以秒为单位）(Default path validation cumulative retrieval timeout (in seconds))：1

参考

======

Configure network timeouts to better control the chain-building timeouts for large certification revocation lists (CRLs)
<https://technet.microsoft.com/en-us/library/cc725911(WS.10).aspx>

James Yi

微软安全支持专家