[RMS]RMS Server から ADRMS へ(1)

日本マイクロソフトの盛です。 Windows Server 2003 のサポート終了日が迫ってまいりました。これに伴い、Windows Server 2003 用 Rights Management Services 1.0 SP2(RMS Server) のサポートも終了します。 本稿では、RMS Server をADRMS Server に置き換える必要性について、また、すでに RMS Serverで暗号化されている文書を ADRMS Server で復号可能にする方法について説明致します。 以下の公開文書にある通り、 2015/7/14 に、Windows Server 2003 のサポートが終了します。 "Windows Server 2003 のサポート終了"http://www.microsoft.com/ja-jp/server-cloud/products/windows-server-2003/default.aspx#fbid=Tok_eqwFsiU これに伴い、Windows Server 2003 用 Rights Management Services 1.0 SP2 も、サポートライフサイクルが終了します。 ※RMS Server サポート終了に関しましては、こちらの公開情報でも触れられております。”Server Licensor Certificate Duration for Windows RMS Extended to…

0

[FIM]Exchange Server 2010 / 2013 が混在する環境で GALSync を動作させるとエラー [Message: The property 'AddressListMembership' is on a read-only object and can't be modified.] が出力される

こんにちは。Forefront Identity Manager (FIM) のサポートチームです。 今回は、Exchange 2010 /2013 が混在する環境で発生するトラブルとその回避策を記載いたします。   ■問題の概要 Exchange Server 2010 / 2013 が混在する環境で連絡先オブジェクトの同期機能である GALSync を構成し、Exchange Server 2010 を管理するフォレストに対して Export を実行すると、下記エラーが出力されることを確認しております。   [Message: The property 'AddressListMembership' is on a read-only object and can't be modified.]   このエラーは 連絡先オブジェクトを作成した後に実行される Exchange の PowerShell コマンドレット "Update-Recipient" が実行されるタイミングで発生します。 なお、これは FIM を介さず Exchange サーバー側で "Update-Recipient" を手動で実行した際にも発生いたします。  …

0

[RMS] MSDRM と MSIPC について(2) 証明書の取得について

今回は、MSDRMとMSIPCにおける証明書の取得に関する違いについてご説明致します。 MSIPC でも、IRM 機能を使用する前に、MSDRMと同様、ADRMS サーバーから、ユーザーアカウント証明書と、クライアントライセンサ証明書を取得します。 しかし、MSIPC では、事前に IRM 保護した文書の閲覧を行なわず、一切 ADRMS サーバーへのアクセスが無い状態から、IRM の使用を開始する場合、MSDRMとは異なり、現在のログオンユーザーでの自動ログオンが必須となっております。 以下に詳細を説明いたします。 変更点について MSIPC を使用するアプリケーションは、レジストリによって ADRMS サーバーを指定しても、環境によっては、直ちに IRM の使用を開始できないことがあります。 具体的には、ワークグループ環境でOffice2013のようなアプリケーションにて新規にIRMを使用し始める場合などに、問題が発生します。    例えば、Office 2013 など MSIPC を使用するクライアントで、IRM の使用を開始するとします。 コンピューターは、ユーザーアカウント証明書と、クライアントライセンサ証明書を取得する必要がありますので、ADRMS サーバーにアクセスしますが、この時、ユーザー認証はバックグラウンド処理されなければなりません。つまり、認証ダイアログを表示せずに、ログオンしているユーザーの資格情報を使用して、ADRMS サーバーにログオンできる必要があります。 ドメインに参加しているコンピューターで、ドメインユーザーのアカウントを使用している場合は、この要件を満たすため、問題はありません。 しかし、ワークグループ環境のマシンのように、ログオンしているユーザーと、実際に ADRMS サーバーにアクセスさせたいアカウントが異なる場合は、問題が発生します。 以前は、ワークグループ環境では、 レジストリで ADRMS サーバーの URL を指示するだけで、指定した ADRMS サーバーにアクセスし、必要に応じて認証ダイアログを表示していました。 しかし、MSIPC を使用するアプリケーションでは、レジストリ設定を行っても、認証ダイアログが表示されずに、エラーとなって、ADRMS の使用ができなくなりました。 ただし、このようなマシンでも、既存の IRM 保護済の文書を開く場合には認証ダイアログが表示され、正常に IRM の使用を開始できます。 変更の背景 この変更は、ADRMS サーバーのなりすましに対する、セキュリティ上の強化によるものです。 レジストリで指定した…

0