[技术分享–RMS篇] 20130917, 迁移 AD RMS SQL 数据库

有时候,您可能需要迁移 AD RMS 服务器的数据库到另外一台服务器。常见的一些场景如下: 1. 您最初部署 AD RMS 的时候使用了 Windows 内部数据库(Internal Database),这样的情况下 AD RMS 无法部署群集,为了启用群集功能部署多台 AD RMS 前端服务器均衡负载,您需要将数据库从内部数据库迁移到另外一台独立的 SQL 服务器; 2. 您可能还在使用已经过期的 SQL2000 版本,因此需要迁移到 SQL2005 及以上版本; 3. 您的组织架构调整,需要将 AD RMS 数据库服务器迁移到另外一台独立的 SQL 服务器上。   针对 AD RMS 数据库的迁移,微软在2011年就发布了如下文档供您参考: http://technet.microsoft.com/en-us/library/ff625704(v=ws.10).aspx — AD RMS Database Relocation with a CNAME Record Step-by-Step http://technet.microsoft.com/en-us/library/ff660055(v=ws.10).aspx — AD RMS Database Relocation…

0

[技术分享–RMS篇] 20130827, 使用 RMS 保护任何文件类型的文档

如果您对 RMS 的理解还停留在它只能保护 Office 文档的层面上,那么微软最新的工具”Microsoft Rights Management sharing app for Windows” 将会让您耳目一新,它可以为您保护任何格式的文档。 注:目前此工具还在测试版(RC release),正式版将不久后推出。 下载链接:https://portal.aadrm.com/Home/Download/ (点击 Windows 图标即可)   首先,让我们来列举一下当前版本提供的一些新功能: 使用用户自定义的权限(通过调用 RMS 模板)保护任何文件; 直接调用默认邮件客户端,通过邮件将加密保护的文档共享给公司内部用户; 支持任何文件类型,包括 Office 和 PDF 文档; 允许 Office2010 与云端的 Azure Active Rights Management 协同工作; 在 Word, Excel, PowerPoint 工具栏上添加了新的按钮,在您完成文档的编辑后直接点击这个按钮即可加密和邮件发给您要共享的人。   使用举例: 工具安装完成后,重启您的计算机,之后您会选择某个特定文件右键时会增加两个选项:Protect in-place 和 Share Protected。 1. 当您选择了第一个选项 Protect in-place 后,您可以使用 RMS 预定义模版对文档进行加密,也可以指定允许打开的用户或组,还可以移除对文档的保护(文档所有者)….

0

[转译] AD RMS 安装最佳实践

在安装活动目录权限管理服务(AD RMS)时,请牢记以下几点:   将 AD RMS 服务单独安装在一台服务器上——将 AD RMS 与域控制器、微软邮件服务器(Microsoft Exchange Server)、证书颁发中心(Certification Authority)或者微软 Office SharePoint 等产品安装在同一台服务器上会大大降低 AD RMS 的安全性。 请勿将 AD RMS 安装在域控制器上。如果一定要这么做,那么您必须将 AD RMS 服务账号添加到域管理员用户组中(将 AD RMS 服务安装在域成员服务器时,该服务账号只需要是普通域用户即可,无需额外权限)。 请勿在部署活动目录联合服务(Active Directory Federation Services, AD FS)服务器之前安装 “联合身份认证支持”服务。如果您安装 AD RMS 时, AD FS 还未完成配置,那么请在您完成 AD FS 配置后再安装该服务。 Windows 服务器上的内部数据库服务(Windows Internal Database)仅适用于测试环境,它不支持远程连接,因此,如果使用内部数据库,您将无法向您的群集中添加额外的 AD RMS 服务器。在生产环境部署 AD RMS 时,请使用微软的…

1

[技术分享–RMS篇] 20130723, AD RMS 自我排错分析篇

如果你是一个 AD RMS 服务器管理员,突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密,在向微软提交 Case 请求协助前,可以按照下面的步骤进行初步排错: 1.     确保当前用户为域用户,并且正确配置了邮件地址属性; 2.     确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local Intranet 安全区域; 参考 – http://blogs.technet.com/b/gcrsec/archive/2009/02/27/rms.aspx 事实上,这一步对于 Office2013 客户端来说是必须要做的;   3.     确保客户端计算机上使用 IE 可以正常访问 AD RMS 服务器的认证 URL 和授权 URL; http(s)://<your cluster>/_wmcs/certification/certification.asmx     http(s)://<your cluster>/_wmcs/licensing/license.asmx   正常情况下,以上两个 URL 应该可以被直接访问,并且整个过程中没有关于证书的任何警告或报错信息(如果启用了 HTTPS); 4.     如果所有客户端都无法正常使用,请检查下 AD…

0

[技术分享–RMS篇] 20130711, 请不要把 AD RMS 服务器安装到 DC 上

如果您当前打算在您的 AD 域环境部署 AD RMS 服务器,那么请切记不要把它安装到 DC 上,如果您坚持要这样做,我们目前发现的问题主要有两个: 1.     如果 AD RMS 服务器安装在域控 DC 上,我们需要添加 AD RMS 服务账号(通常我们会设置为 “Domain\adrmssrvc” )到 Domain Admin 组才能正常工作;而如果 AD RMS 安装在一台域成员服务器上,这个账号只需要是普通的 Domain Users 用户即可; 2.     安装好 AD RMS 服务器后,默认IIS站点仅赋予了 “Domain\Users” 这个默认容器的用户可以访问 AD RMS 的 Web 服务; 对于第1点来说,这可能带来一些安全上的问题,毕竟 Domain Admin 组设计来是为了管理整个 Domain 的;对于第2点来说,如果某个用户不属于 Users 这个默认容器,那么这个用户是无法使用 RMS 服务的。当然我们可以手动添加不在“Domain\Users” 组的用户到 IIS 的安全访问列表里(参照下图),但是毕竟这带来了管理上的不便。  …

0

[技术分享-RMS]20130110 无法打开加密邮件

我们在发送 IRM 加密邮件时,经常会给一个组,如果有意无意地把组人为的展开,这样收件人就有可能有成千上百个,如果发送了这样的邮件,收件人很有可能打不开该加密邮件。 当邮件收件人尝试打开 RMS 加密的文档时,需要向 RMS 服务器申请一个 EUL(End user license),并使用申请到的 license 对邮件进行解密。用户请求 EUL 的时候,会将加密时所有添加的用户/用户组加入到请求的数据包中;如果将大量用户邮箱账号单独加入到收件人区域,那么可能导致这个请求的数据包超过 1M/2M,进而导致问题。 解决方法是: 1.发邮件时,尽量使用邮件组,并且不要展开邮件组。 2.如果一定要把加密邮件发给成千上百个收件人,那么我们必须需要调整 IIS 配置: 在 RMS 的安装路径下(_wmcs\licensing\),找到 web.config,增大 maxRequestLength 数值: <httpRuntime maxRequestLength=”2048″ executionTimeout=”300″ /> RMS 的 MaxRequestLength 默认为1024(1M), ADRMS 默认为2M 调整完成后,重启 IIS 服务。     微软安全专家 James Yi

0

[技术分享——RMS篇] 20110930,外部客户端不能够访问 RMS 服务

  对于一些非域环境的客户端,我们知道,可以通过添加注册表来解决 RMS 服务发现的问题, 具体可以见:如何让在非域环境下的 Office 客户端也能访问 RMS 服务   有的时候您会发现即使加了注册表,也未必能访问 RMS 服务,可能报出服务暂时不可用的错误。   通过报错界面,我们判断不了问题出在哪里。但是如果您部署的是 HTTPS 的 RMS 服务,并且 SSL  证书中包含了 CRL 下载分发点,那您就要注意了,因为这样的话,外部客户端很有可能拿不到  CRL,当然我们发布 CRL 到外网,但最快速的解决方法就是: 打开 IE 高级界面,取消以下两个证书 CRL 相关的选项   微软安全支持专家 James Yi

0

[技术分享] 20110710,ADRMS/RMS 连不上后台 SQL 服务器

在 ADRMS、RMS 安装过程中,或者后台 SQL 数据库迁移过程中,你可能遇到连不上 SQL 数据库的情况。可能在事件日志中看到如下报错: Log Name:      Application Source:        AdRmsLoggingService Date:          XXXXX Event ID:      0 Task Category: None Level:         Error Keywords:      Classic User:          N/A Computer:      XXXXX Description: Service cannot be started. System.Data.SqlClient.SqlException: Login failed for user ”. The user is not associated with a trusted SQL Server connection.    at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean…

0

[技术分享– RMS 篇] 20110429,安装 ADRMS 无法注册服务连接点的解决方法

安装完 ADRMS 服务器后,您可能无法完成 SCP(Service Connection Point,服务连接点)的注册。 遇到这类问题时,我们首先要确认当前登录 ADRMS 的账号是否是森林域的管理员账号,因为注册 SCP 需要有写 DC 的权限。然后按照以下方法在 AD 域内查看是否已经注册了 SCP,如果有,请手工删除。 连接到 AD 域中,用 ADSI Edit 工具,手工删除先前的 SCP 注册信息,删除 CN=RightsManagementServices. 而后即可成功完成 SCP 的注册。 微软安全支持专家 James Yi

0

[技术分享 – RMS 篇] 20101222 – 2,在微软最新 OS 平台创建打开 RMS 文档如何避免时延

相信我们在企业内部的环境中已经部署了微软最新的OS平台,Windows 7和Windows 2008 R2,在这些OS平台上使用IRM功能时,您有可能遇到创建、打开RMS文档非常缓慢的情况,据测试,office程序会停滞大概1到2分钟才会有响应, 这难道是window 7, windows 2008 R2的产品Bug? 这样的情况往往会发生于一些不能上网的客户端,或者上网有限制的客户端,通过抓取网络包,我们可以很快定位问题,最常见的情况就是:客户端创建/打开RMS文档时,会尝试解析crlmicorsoft.com,去下载微软CRL列表,但内网解析不了crlmicrosoft.com,或者不能连上crlmicrosoft.com,而导致了时延。解决问题的方法有两个: 1. 使客户端能连上internet, 正常下载微软CRL列表,之后的一段时间内问题就不会出现,这段时间取决于CRL列表的过期时间。 2. 如果客户端不能连上internet,可以通过缩小客户端的拿取CRL列表的超时时间来解决时延的问题。步骤如下: 打开组策略编辑器 “gpedit.msc” 找到 “计算机配置 – Windows 设置 – 安全设置- 公钥策略 – 证书路径验证设置”(“Computer Configuration – Windows Settings – Security Settings – Public Key Policies – Certificate Path Validation Settings”) 找到“网络检索”(Network Retrieval) 标签,重新设置“默认检索超时设置”(Default retrieval timeout settings) 例如: 默认 URL 检索超时(以秒为单位)(Default URL retrieval…

0