[RMS]RMS Server から ADRMS へ(1)
日本マイクロソフトの盛です。
Windows Server 2003 のサポート終了日が迫ってまいりました。これに伴い、Windows Server 2003 用 Rights Management Services 1.0 SP2(RMS Server) のサポートも終了します。
本稿では、RMS Server をADRMS Server に置き換える必要性について、また、すでに RMS Serverで暗号化されている文書を ADRMS Server で復号可能にする方法について説明致します。
以下の公開文書にある通り、 2015/7/14 に、Windows Server 2003 のサポートが終了します。
"Windows Server 2003 のサポート終了"
https://www.microsoft.com/ja-jp/server-cloud/products/windows-server-2003/default.aspx#fbid=Tok_eqwFsiU
これに伴い、Windows Server 2003 用 Rights Management Services 1.0 SP2 も、サポートライフサイクルが終了します。
※RMS Server サポート終了に関しましては、こちらの公開情報でも触れられております。
”Server Licensor Certificate Duration for Windows RMS Extended to 7150 Days”
https://support.microsoft.com/kb/2853958
また、RMS Server 用に公開している、サーバーライセンサ証明書の更新サーバーも同時に廃止されます。
これは、RMS Server の運用に必須のサービスであるため、廃止後は、新規に RMS Server を構築することもできなくなります。
このため弊社では、RMS Server をご使用のお客様には、Windows Server 2008 以降の ADRMS Server にアップグレードすることをお勧めしております。
以下、アップグレードの必要性、アップグレードの選択肢などについて説明します。
RMS 1.0 Server を新しいバージョンの ADRMS に置き換える必要性について
Windows Server 2003 を使用して RMS Server を構築され、使用されているお客様は、2015/7/14 を以て直ちに RMS Server が使用できなくなるということはございません。
下記の Blog にある通り、現在からおよそ 20 年ほど、このまま RMS Serverを使用することができます。
"Windows Rights Management Service(RMS) 1.0 のサーバーライセンサ証明書について"
https://blogs.technet.com/b/fcsinfojp/archive/2013/06/06/windows-rights-management-service-rms-1-0.aspx
ただし、前述のとおり、「RMS Server のサポート」は、2015/07/15 を以て終了となります。 このため、RMS Server をお使いのお客様からのお問い合わせの受付(サポート)も、できなくなります。
サポートさせていただくには、少なくとも、Windows Server 2008 以降の ADRMS Server をご使用いただく必要があります。
また、Office 2013 以降のバージョンでは、権利ポリシーテンプレートをADRMS サーバーから直接取得します。
しかし、Windows Server 2003 で動作する RMS Server には、クライアントが権利ポリシーテンプレートを直接取得するための機能は実装されておりません。
現在の Office 2013 は、設定により RMS Server とともに動作しておりますが、今後リリースされる Office は、RMS Server とは動作しなくなる可能性があります。
これらの理由により、弊社では、RMS Server をご使用のお客様に対しては、ADRMS Server への置き換えをお勧めしております。
しかし、ADRMS Server への置き換えには注意が必要です。
RMS Server は 文書を暗号化する基盤サービスです。 すでに長期にわたり RMS Server を運用されているお客様には、多数の暗号化済の文書が存在します。
これら暗号化済の文書は、単に RMS Server を廃止し、ADRMS サーバーを新しく導入するだけでは、復号することができなくなります。
そこで、ADRMS を導入する際には、旧 RMS Server を使用して暗号化された文書も、復号を可能とする必要があります。
これには、RMS Server のADRMS Server への移行またはアップグレード、 または、新規 ADRMS Server を導入し、旧 RMS Server で暗号化した文書を復号できるよう構成する、といった方法があります。
そこで、以下ではそれぞれの方法について、説明致します。
RMS Server を ADRMS Server に置き換えても、過去に暗号化された文書を復号可能にする方法。
新しい ADRMS Server に、既存の RMS Server で暗号化された文書の復号機能を持たせ、新しい ADRMS Server へ置き換えを行った後も既存の暗号化文書を復号可能とするには、以下の 3 つの方法があります。
1. ―移行― 既存 RMS サーバーのデータベースを使用し、新しいバージョンに更新する
RMS Server が動作している環境に、新しい RMS クラスタノードとして、Windows Server 2012 R2 の ADRMS の役割で参加します。
参加の過程で、RMS Server は動作できなくなります。これは、Windows Server 2012 R2 の ADRMS での役割の参加中に、RMS Server が使用するデータベースがアップグレードされ、RMS Server 1.0 と互換性がなくなるためです。
なお、Windows Server 2012 R2 の ADRMS の役割を ADRMS クラスタに参加させるには、SQL Server 2005(全サービスパック) 以上の SQL Server が実行されている必要があります。
ADRMS のクラスタ URL は、不変です。このため、クライアントには一切の変更は不要です。
2. ―アップグレード― RMS Server が稼働している Windows Server 2003 OS のアップグレード
RMS Server が稼働している Windows Server 2003 を、Windows Server 2008 以降にインプレースアップグレードします。
なお、RMS Server が稼働している環境が 32 bit の Windows Server 2003 である場合、最新の Windows Server 2012 R2 にアップグレードするパスはございません。(アップグレードができるのは、Windows Server 2008 の 32bit 版のみとなります。)
Windows Server 2003 の 64bit 版でも、最新の Windows Server 2012 R2 への直接アップグレードはできません。アップグレードするには、一度、Windows Server 2008 R2 にアップグレードし、Windows Server 2012 R2 にアップグレードする必要があります。
ADRMS のクラスタ URL は、不変です。このため、クライアントには一切の変更は不要です。
3. ―新規構築― 新しいADRMS クラスタを構築し、既存 RMS Server のキーペアをインポート
はじめに、既存の RMS Server から、”信頼された発行ドメイン” (TPD)というデータをファイルにエクスポートしておきます。
Windows Server 2012 R2 で新規の ADRMS サーバーを構築し、TPD をインポートします。
これにより、新しい ADRMS サーバーが、旧 RMS サーバーで暗号化済の文書の復号ができるようになります。
例えば、既存の RMS Server 1.0 は HTTP プロトコルで構成されているが、今後は ADRMS のクラスタ URL ではHTTPS を使用したいなど、アップグレードを機にクラスタ URL を変更するような場合には、この方法が必要となります。
なお、ライセンスの取得について、旧 RMS Server の URL に対するアクセスを、新しい ADRMS Server の URL にリダイレクトするように、すべてのクライアントマシン上で追加設定を行う必要があります。
特徴の比較
上記で説明した、RMS Server を Windows Server 2012R2 に置き換える方法の特徴を比較します。
|
1.移行 |
2.アップグレード |
3.新規構築 |
既存の文書の復号 |
〇 |
〇 |
△※1 |
クラスタURL |
不変 |
不変 |
変更必須 |
アップグレードパス制限 |
(N/A) |
あり※2 |
(N/A) |
※1 移行後に、既存の古い RMS Server を使用して暗号化された文書について、新しい ADRMS サーバーにアクセスするよう、クライアントの追加設定が必要。
※2 Windows Server 2012 R2 にアップグレードするには、一度 Windows Server 2008R2 にアップグレードしなければなりません。現在、32bit の Windows Server 2003 で RMS Server を使用している場合、アップグレードパスがありません。
以上より、新しい ADRMS の構成後、クラスタ URL が不変であるためクライアント設定が不要であり、かつ既存の RMS Server のオペレーティングシステムのアップグレードパスの制限等がないことから、RMS Server から ADRMS への「移行」が、もっとも効果的かつ、環境への負荷が少ない方法であるといえます。
次回は、RMS Server を、Windows Server 2012 R2 の ADRMS に「移行」する方法、また各作業での注意点を紹介します。
本稿の内容に関する参考文献
https://technet.microsoft.com/library/cc754277.aspx
https://technet.microsoft.com/ja-jp/library/cc754277(v=ws.10).aspx