微软大中华区安全博客

Office 2003 IRM (Information Rights Management，信息权限管理) 功能不可用了吗？2009年12月11日，可能令全世界所有使用 RMS 服务的用户感到头痛，特别是其中使用 office 2003 的用户。因为这一天，所有的 office 2003 用户不能打开曾经创建的 IRM 文档，或者无法创建新的 IRM 文档。在用户端，当 office 200

<br />在企业内部，RMS 服务器没有注册 SCP，每个客户端通过增加本地注册表来发现 RMS 服务器 (参考文章: 如何让在非域环境下的 Office 客户端也能访问 RMS 服务)，这样的方式在 Office 2003 和 Office 2007 上工作正常，但 Office 2010 却不行，报错信息为"此服务暂时不可用。请确认已连接到此服务器......"。 <br />我们可以确认导致这个问题的原因是: Office 2010 的 IRM 工作方式和 Office 2003、Office 20

安装完 ADRMS 服务器后，您可能无法完成 SCP（Service Connection Point，服务连接点）的注册。 遇到这类问题时，我们首先要确认当前登录 ADRMS 的账号是否是森林域的管理员账号，因为注册 SCP 需要有写 DC 的权限。然后按照以下方法在 AD 域内查看是否已经注册了 SCP，如果有，请手工删除。连接到 AD 域中，用 ADSI Edit 工具，手工删除先前的 SCP 注册信息,删除 CN=RightsManagementServices.而后即可成功完成 SCP 的注册。微

在 ADRMS、RMS 安装过程中，或者后台 SQL 数据库迁移过程中，你可能遇到连不上 SQL 数据库的情况。可能在事件日志中看到如下报错：Log Name:      ApplicationSource:        AdRmsLoggingServiceDat

对于一些非域环境的客户端，我们知道，可以通过添加注册表来解决 RMS 服务发现的问题，具体可以见：如何让在非域环境下的Office 客户端也能访问 RMS 服务 有的时候您会发现即使加了注册表，也未必能访问RMS 服务，可能报出服务暂时不可用的错误。  通过报错界面，我们判断不了

我们可能会为服务器做一些安全加固，例如启用一些组策略，在启用某些组策略时，我们可能会遇到 Windows 某些服务安装失败的问题。例如安装 ADRMS 服务器。在安装 ADRMS 服务器时，系统会要求我们输入 ADRMS 服务运行账号。我们选择 Specify 后，系统会弹出 Windows Security 的选项，我们选第一个”I want to complete this action by

MAC office 在使用过程中，会需要一些限制，在目前的 MAC office 版本中，MAC  office 不支持 Windows Live ID,   不支持 RMS 的外部 URL 的外网发布。另外如果您按照 technet 上的文档  http://technet.microsoft.com/en-us/library/cc753056.aspx， 启用了 Windows live

我们在发送 IRM 加密邮件时，经常会给一个组，如果有意无意地把组人为的展开，这样收件人就有可能有成千上百个，如果发送了这样的邮件，收件人很有可能打不开该封加密邮件。当邮件收件人尝试打开 RMS 加密的文档时，需要向 RMS 服务器申请一个 EUL（End user license），并使用申请到的 license对邮件进行解密。用户请求 EUL 的时候，会将加密时所有添加的用户/用户组加入到请求

如果您当前打算在您的 AD 域环境部署 ADRMS 服务器，那么请切记不要把它安装 DC 上，如果您坚持要这样做，我们目前发现的问题主要有两个：1.    如果 ADRMS 服务器安装在域控 DC 上，我们需要添加 AD RMS 服务账号（通常我们会设置为 “Domain\adrmssrvc” ）到  Domain Admin 组才能正常工作；而如果 AD RMS 安装在一台域成员服务器上，这个账

如果你是一个 AD RMS 服务器管理员，突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密，在向微软提交 Case 请求协助前，可以按照下面的步骤进行初步排错：1.    确保当前用户为域用户，并且正确配置了邮件地址属性； 2.    确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local In

在安装活动目录权限管理服务（ADRMS）时，请牢记以下几点： 将 AD RMS 服务单独安装在一台服务器上——将 AD RMS 与域控制器、微软邮件服务器（Microsoft Exchange Server）、证书颁发中心（Certification Authority）或者微软 Office SharePoint 等产品安装在同一台服务器上会大大降低AD RMS 的安全性。请勿将 AD RMS

如果您对 RMS 的理解还停留在它只能保护 Office 文档的层面上，那么微软最新的工具"Microsoft Rights Management sharing app for Windows” 将会让您耳目一新，它可以为您保护任何格式的文档。注：目前此工具还在测试版（RC release），正式版将不久后推出。下载链接：https://portal.aadrm.com/Home/Downloa

<br />相信我们在企业内部的环境中已经部署了微软最新的OS平台，Windows 7和Windows 2008 R2，在这些OS平台上使用IRM功能时，您有可能遇到创建、打开RMS文档非常缓慢的情况，据测试，office程序会停滞大概1到2分钟才会有响应， 这难道是window 7, windows 2008 R2的产品Bug？<br />这样的情况往往会发生于一些不能上网的客户端，或者上网有限制的客户端，通过抓取网络包，我们可以很快定位问题，最常见的情况就是：客户端创建/打开RMS文档时，会尝试解析cr

<br />RMS/ADRMS的SCP （Service Connection Point，服务连接点）在哪里？<br />我们都知道一般在企业内部署RMS、ADRMS时，都需要注册服务连接点SCP，SCP是在整个AD森林中注册的，换句话说，一个AD森林中只能注册一个SCP，那SCP究竟注册在哪里呢？<br />其实SCP并不神秘，您可以在AD森林中的任何一台域控中找到它的身影。<br />登陆AD域控，打开ADSI Edit工具，连到Configuration, 展开CN=Services, CN=Rig

有时候，你会发觉你的Office 客户端不能打开原来的文档了，或者不能创建新文档了，再或者是碰到一些无法解决的客户端问题时，可以尝试备份并清除客户端 DRM (Digital Rights Management) 缓存。对于 Windows 2003 ，Window XP， Windows Vista，可以清除以下位置的缓存文件：%USERPROFILE%/Local Settings/Application Data/Microsoft/DRM对于 Windows 7，Windows 2008, 可以清除

一般我们使用 RMS 的 Office 客户端都是在企业域的环境下，如果我们的 RMS Office 客户端不在企业域的环境下，或者说在加入工作组的情况下，我们需要在客户端的注册表中加入以下键值，使 Office 客户端知道 RMS 系统的 License 服务器以及 Certification 服务器的 URL。 这时 RMS Office 客户端申请到的是临时证书，默认15分钟后过期，客户端在

可能在某一天，由于各种原因，我们需要全新安装 RMS 服务器，(当然全新安装了 RMS 服务器之后，用原来的 RMS 加密的文档都无法打开了)。 我们需要知道在一个 AD Forest 中，只能注册一个 RMS SCP (RMS service connection point)，SCP 的作用是让加入域的客户端从 AD 中得知 RMS 服务器的地址，从而使客户端能正确打开经过加密的文档。

RMS 服务器的缓存分为两部分，一部分是每台 RMS 服务器的本地 Active Directory 缓存，包括了 Active Directory Global Catalog 的组成员的查询结果。除了每台 RMS 服务器的本地缓存外，还存在一个共享的数据库缓存，存在于 SQL 的 directory services 数据库中。 RMS 的 AD 缓存的目的是减少到 Global Catalo

目前 RMS 1.0 SP1 服务器已经过了软件技术支持生命周期，许多企业需要升级到 RMS 1.0 SP2。但在升级过程中，我们可能遇到失败的情况，比较常见的是以下报错：The provisioning process failed to create a directory, copy files, or set permissions on the directory.

在企业域环境内，当客户端首次使用RMS时，会弹出以下窗口要求用户验证：我们需要选择”Use a Microsoft Windows account”,因为客户端是在企业内部。接着输入用户名以及密码。然后才能使用Office的RMS功能。但是，以上操作往往会给用户带来麻烦。我们能不能给用户更好的使用体验呢？ 答案是肯定的，其实只要把RMS的URL加入到IE的Local int

[技术分享] 关于 RMS 服务器的缓存 >> 在上一篇 BLOG 中我们提到了如何来禁用 RMS 1.0 服务器的缓存，但如今有许多企业已经开始使用 RMS 2.0 服务器，也就是 Active Directory Rights Managements Services (ADRMS)。 和 RMS 1.0 一样，ADRMS 也有缓存，缓存也是会过期的，默认情况下为 12 小时，如果您希

迁移 RMS 的 SQL 数据库其实很简单。在很多情况下，我们可能需要做数据库的迁移，我们可以用以下方法测试一下，一般都能成功，如果按照以下方法迁移未成功，您需要立即恢复原先设置，然后联系技术支持服务。1. 导出 RMS 所用的三个数据库，并导入到新的 SQL 数据库。DRMS_Config_XXXXDRMS_DirectoryServices_XXXXDRMS_Loggi

微软的 Office 应用程序，以及 RMA IE add-on 都会有 IRM (Information Rights Management, 信息权限管理) 使用证书过期的问题，一旦 IRM 证书过期，IRM 功能就不能使用了。 还记得微软 Office 2003 在2009年12月10日发生的问题吗？ 当时所有的 Office 2003 用户不能打开曾经创建的 IRM 文档，或者无法

在开发或者测试环境中，我们可能需要把 ADRMS 服务器安装为预生产环境。对于 Windows 2003 或者 Windows 2008 SP1/SP2，您可以参考以下文档：Setting Up the Pre-production Development Environmenthttp://msdn.microsoft.com/en-us/library/cc542540(VS.85

<br />打开 RMS 服务器管理界面报错怎么办？<br />您成功安装了 RMS 服务器，但是打开管理界面的时候，发现管理界面不能正常打开，错误码是 HTTP 404.2. 页面打开错误。<br />这个问题往往是由于 RMS 所基于的 IIS 服务没有正确配置。通过以下两步来检查相关配置是否正确：<br />1. 打开”Default Web Site”, 查看属性，检查 ASP.NET version 是否是 ”1.1.4322”<br /><br /> <br />2. 打开 IIS 管理界面，在

<br />我们经常会遇到一些 RMS 客户端的问题，例如文件打不开，不能创建文档，当做了许多尝试之后仍旧无法解决。我们可以在客户端启用 RMS Client trace，收集 RMS 客户端 Debug 日志，来更深层次地检查客户端的问题。<br />以下为在客户端启用 RMS Client trace 步骤 (以下操作均在客户端完成): <br />1. 增加注册表键值: HKEY_LOCAL_MACHINE/Software/Microsoft/MSDRM/Trace = 1 (REG_DWORD)<