FIM/MIM ADMAのExport処理で 0x80004005 エラー

こんにちは、Identity Manager サポート 益戸です。 たびたびお問い合わせいただく、ADMA Export 時のエラーについて、ご紹介いたします。 FIM/MIM をご利用いただく目的の一つとして、Active Directory Domain Controller との連携があります。 通常、FIM/MIM 上にて更新処理が発生した場合などには、Export 処理にて、対象のドメインコントローラーへ更新処理を実施します。 その際に、稀に unexpected-error (0x80004005) のエラーにて Export が失敗する場合があります。 このとき、イベントログには ID 6401 と 6301 のエラーログが記録されます。   たびたびお問い合わせをいただくものの、稀に発生し再現ができず、原因究明が難しいエラーとなります。 今回は、想定原因と影響範囲についてご紹介します。 ============================= 考えられる原因について ============================= 類似の現象で弊社に報告されている事例からは、以下の状況で上記のエラーが発生しております。 1. AD-MA のコネクタ スペースに破損した情報が含まれていた状態で Export した場合 2. Export にて、何らかの要因で AD によって属性が書き込み拒否された場合 1. の現象に関しましては、全てのコネクタ スペースを削除し、再作成にて対応が可能となりますが、多くは 2 のケースに該当しています。 2. の現象に関しましては、既存のオブジェクトが存在するような同期環境において、userAccountControl 属性や unicodePwd…


[RMS]Rights Management Services Client 2.1 (MSIPC.dll) の動作変更 - 所有者 (作成者) に無期限のフル コントロールの権利を付与する設定時

こんにちは。 RMS サポート担当の若狭です。 いつも Microsoft 製品をご愛顧いただきまして、誠にありがとうございます。 Rights Management Services Client 2.1 (MSIPC.dll) の動作が変更されておりますので、以下にご案内いたします。 変更前の動作: Version 1.0.1998.0 (2015年 12月) 以前 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合にも、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられ、使用ライセンス (EUL) がファイルに埋め込まれる。 変更後の動作: Version 1.0.2124.0 (2016年 4月) 以降 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合には、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられない。 なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。 何卒ご留意いただけますようお願い申し上げます。

0

Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて

こんにちは、RMS サポート 益戸です。 本記事では、AD RMS をご利用いただく中で、データベースのメンテナンス処理を実施する際の注意点について、ご案内します。 AD RMS では、以下の 3 つのデータベースを使用し、サービスを提供しております。   • 構成データベース 証明書やクラスター名など、AD RMS が動作する際に必要な情報が格納されます。 • ログ データベース AD RMS へ接続したユーザー情報等が格納されます。 • ディレクトリ サービス データベース ユーザーや、電子メールアドレス、SID など、AD RMS がドメインコントローラーより取得したユーザー情報を確認します。   AD RMS の機能としては、それぞれのデータベースをメンテナンスする機能は有しておらず、バックアップや、メンテナンス処理などを手動にて作りこむ必要があります。 -> AD RMS では、上記のデータベースをメンテナンスする機能を提供いたしておりません。 そのため、バックアップや削除等、メンテナンス処理を手動にて実装いただく必要がある場合もございます。 この際、Windows Server 2008 R2 環境と、Windows Server 2012 以降の環境にて仕様の差異から意図せずサービスが使用できなくなる状況が発生する可能性がある為、以下に注意点としてまとめました。   ログデータベースの削除の際に、以下の公開情報を参考に、ログデータベースの削除処理を実施しているお客様が多いかと存じます。   AD RMS Log Purging…

0

[RMS] IpcSetLicenseProperty 関数と ERD (Encrypted Rights Data) Type の関係

こんにちは。 RMS サポート担当の若狭です。 いつもMicrosoft製品をご愛顧いただきまして、誠にありがとうございます。 本記事では、RMS SDK 2.1 をご利用の皆様に向け、IpcSetLicenseProperty 関数と、ERD (Encrypted Rights Data) Type の関係について解説させていただきます。 まずは、IpcSetLicenseProperty 関数と ERD Type に関する説明を以下に記載いたします。 その後、この関数が ERD Type に与える影響について解説致します。   目次: ————– 1. IpcSetLicenseProperty と ERD 2. ERD (Encrypted Rights Data) Type 3. IpcSetLicenseProperty 関数利用時の ERD Type への影響 ————–   1. IpcSetLicenseProperty と ERD ======================== IpcSetLicenseProperty は、暗号化時に指定するライセンス (IPC_LICENSE_HANDLE) を編集する際に利用します。 このライセンスには、ユーザーに与えられる権利情報や有効期限等の情報が含まれ、編集したライセンスは、IpcfEncryptFile 等の暗号化関数に指定して利用します。…

0

[RMS] SharePoint Server 2013, 2016 での IRM 構成、及び、注意点について

こんにちは、RMS サポートの小島です。 平素よりマイクロソフト製品をご愛顧いただき、誠にありがとうございます。   本記事では SharePoint Server 2013, 2016 で IRM 機能を利用する場合の注意点についてご案内いたします。 ※ SharePoint 2010 については内容が異なる場合がございますのでご留意ください。 SharePoint Server では AD RMS Server や Azure Information Protection (旧 Azure RMS) と連携して、ユーザーがダウンロードする文書を自動的に IRM 保護する機能が用意されております。 この機能の基本的な設定方法については以下でご紹介する公開情報などをご参照ください。   [AD RMS と連携する場合] AD RMS サーバーと連携する場合、AD RMS サーバーのローカルグループである “AD RMS Service Group” に、SharePoint 関連のサービスアカウントとコンピュータアカウントを登録します。また、 AD RMS の ServerCertification.asmx にこの “AD RMS…

0

MIM 2016 SP1 にて PAM を利用する際に、http 404 / 500 エラーが発生する。

こんにちは、Identity Manager サポート 益戸です。 MIM 2016 SP1 の Privilege Access Management(PAM) をご利用いただく際に、いくつかの rest API が HTTP 404 や 500 エラーが出力される場合があります。 この際の対応手順について、ご紹介します。 回避策としては、以下の通り MIM のサービスアカウントの権限の委譲を以下の通り実施します。 実施後は、MIM サーバー上にて、iisreset にて IIS サービスの再起動を実施ください。 変更前 変更後 この事象は、Off box と呼ばれる新しい委任に関連する機能の問題によるものとなります。 MIM 2016 SP1 にて PAM 機能をご活用の際はご注意ください。

0

[RMS] 個人用 RMS の登録について

皆さんこんにちは、日本マイクロソフト小島です。 今回は Azure RMS のライセンスとして弊社が提供している 個人用 RMS ライセンス の概要について記載いたします。まず、Azure RMS のライセンスには以下のようなものがございます。   個人用 RMS ライセンス Azure Rights Management ライセンス Azure Rights Management Premium ライセンス   このうち、Azure Rights Management 及び、Azure Rights Management Premium ライセンスについては有償のライセンスとなります。そして、個人用 RMS ライセンスについてはご自身のメールアドレスさえあれば、登録できるフリーのライセンスとなります。ただし、個人用 RMS ライセンス は保護された文書の “復号化 (閲覧や保護解除など) ” のみを目的としており、文書の “暗号化(保護)”  についてはサポートを行っていないなど、いくつか制限がございますのでご注意ください。   『個人用 RMS と Azure Information Protection』 https://docs.microsoft.com/ja-jp/information-protection/understand-explore/rms-for-individuals   この個人用ライセンスについては下記の方法で登録することが可能となります。 <登録手順について>…

0

Identity Manager サービス再起動時の PCNS への影響について

こんにちは、Identity Manager サポート 髙橋です。今回は Password Change Notification Service (PCNS) を利用している環境で、連携先の Identity Manager のサービスを再起動した場合の影響について紹介します。 役割上サービスの停止や再起動を行う機会の少ない Identity Manager ですが、運用を続けていますとサービスを再起動することもあるかと思います。このとき、サービスを再起動した Identity Manager が PCNS 連携している場合、サービス再起動後はじめて行われるパスワード同期が失敗することを確認しております。以下に具体的な内容をご案内します。 Identity Manager のサービスを再起動後、当該 Identity Manager と連携している PCNS を利用して、パスワード同期を行いますと以下のエラー (イベント ID: 6025) が発生します。エラーのとおりパスワード同期は失敗しますが、1 分後にリトライされることで正常にパスワード同期が完了しますので、ご安心ください。運用においてログを監視されている場合は、下図のとおりアプリケーション ログにエラーが出力されますので、サービス再起動時の想定された動作としてご認識いただけると幸いです。 <PCNS 稼働サーバーのアプリケーション ログ> また、複数の Identity Manager と連携してパスワード同期を行っている PCNS 環境もあると思います。そのような環境においても、いずれかの Identity Manager のサービスが停止 (再起動) した場合は上記と同様の動作 (エラー & リトライ) となることをご考慮ください。 <補足情報:エラーを出力させない方法>上述のとおり、本エラーが発生したとしても…


[RMS] RMS Protection Tool を Azure RMS とともに使用する方法

日本マイクロソフトの 盛 です。   文書の暗号化と復号については、コマンドラインで実施したいという要望は常にございます。 これまで、RMS のファイルの暗号化と復号を行うコマンドラインツールとしては、RMS Bulk Protection Tool が使用されてきました。   “Active Directory Rights Management Services Bulk Protection Tool” http://www.microsoft.com/ja-jp/download/details.aspx?id=11122   しかしこのツールは、Office アプリケーションのファイル(docx/pptxなど)のみの暗号化に対応しており、かつ、Azure RMS には対応しておりません。 このため弊社では、RMS Bulk Protection Tool の後継として、RMS Protection Tool を開発、公開しました。   “RMS Protection Tool” http://www.microsoft.com/en-us/download/details.aspx?id=47256   このツールは、Office 以外の多くのファイル形式暗号化をサポートしております。例えば、PDF やプレーンテキスト、各種画像ファイルの暗号化もサポートしております。 またオンプレミスの ADRMS が展開されている環境では、オンプレミスの Active Directory ドメインアカウントが使用されるため、特に設定をすることなく、RMS Bulk Protection Tool とほぼ同様の感覚で使用することができます。   また、…

0

[RMS]ADRMS クライアントコンポーネントの修正プログラムについて

日本マイクロソフトの盛です。 ADRMS のクライアントコンポーネントには、MSIPC と MSDRM がございます。 これらの最新版のリリースについて、説明いたします。 Office アプリケーションや、Exchange/Sharepoint などで IRM 機能に関する問題が発生した場合には、はじめにこれらを最新版に更新して、問題が回避できるかどうか確認することをお勧めいたします。 MSDRM と MSIPC の概要については、こちらをご参照ください。 http://blogs.technet.com/b/jpffi_team_blog/archive/2013/12/02/rms-msdrm-msipc-1.aspx   MSDRM の修正プログラム MSDRM は オペレーティングシステムの一部として供給されており、Microsoft Update もしくはダウンロードセンターにて提供されています。 以下、2015年6月現在の、MSDRM の修正一覧です。 下表にて、最新(最終)版と記載されているプラットフォームについては、該当の修正プログラムにて、修正済みの既知の問題を回避できますので、適用した状態で運用することをお勧めします。 発行 KB 番号 タイトル(英語) 対象OS 備考 10/30/2014 3000850 (v1.7) November 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R Windows8.1/ Windows Server…

0