SE の雑記

先ほどの環境で一度 AD RMS をアンインストールしてインストールしたところ以下のエラーが。

AD RMS の管理コンソールで接続を使用してもエラーになってしまいます。

きちんとインストールができていないようですね…。

?

■SCP のコンテナの削除

SCP 関係でインストールが失敗しているようなので、ADSI エディターを使って AD RMS の SCP を削除して
再度インストールしてみます。

SCP を削除後にインストールしてみたところ正常にインストールが完了しました。
?

■ SCP の登録

AD RMS の管理コンソールを開いて設定を確認してみると SCP が登録されていないみたいですね。

[SCP を変更する] を有効にして SCP を登録してみます。

SCP を登録しようとするとエラーになってしまいました…。

?

■SCP のコンテナの作成

この現象ですが SCP 用のコンテナが登録されていないので発生しているみたいですね。
ADSI エディターを開いて SCP 用のコンテナを作成します。

[CN=RightsManagementServices] を右クリックして、[新規作成] → [オブジェクト] をクリックします。

オブジェクトの種類に [serviceConnectionPoint] がありますので、これを選択して、

[SCP] という名称で作成します。

?

SCP のコンテナを再作成した後に SCP の変更をすると正常に登録がされます。

?

私が使っている環境は、手動で SCP を書き換えたりしていたので、必ず発生する現象とは思えませんがメモとして。

そもそもの始まりは AD RMS をインストールするときに内部アドレスの設定を FQDN ではなく
コンピューター名で設定してしまったことから…。

AD RMS で使用する証明書は FQDN で設定していました。

そのため、IRM で文章を保護しようとするとこのようなセキュリティ警告が表示されてしまいます。
# HTTPS 通信時に AD RMS で設定している内部アドレスはコンピュータ名で、証明書は FQDN のため。
?
[はい] を選択すれば開けるのですがちょっと面倒ですよね。

この状態で AD RMS の管理コンソールを開くと、こちらも証明書の警告が表示されます。
?

AD RMS の管理コンソールをに関しては管理コンソールからスナップインを一度削除して、

[クラスターの追加] でリモートコンピューターとして FQDN でスナップインを追加すれば回避できます。

?

■SCP の設定

クライアントの接続時の接続先は上記のスナップインとはまた別で、AD RMS の [Service Control Point] (SCP) で
設定されている値が使用されます。

インストール時に、[構成した後で、このアドレスまたはポート番号を変更することができません。]と表示されているように
AD RMS の管理コンソールを開いても、この SCP のアドレスは変更ができないようになっています。

この接続の時に使用されているのが SCP のアドレスになるのですが、グレーアウトしています。
SCP のアドレス自体は、[クラスターの URL] の [証明] がベースになっているのですがこちらも同様にグレーアウトしています。

SCP は AD の構成パーティションに設定されていますので、ADSI エディタで直接変更してしまえば、値を修正することはできたりします。
# 構成パーティションの変更ですので [Enterprise Admins] の権限が必要となります。

構成パーティションの [CN=SCP,CN=RightsManagementServices,CN=Services] のプロパティを開くと設定を確認できます。

[serviceBindingInformation] の属性が SCP の URL となっています。
こ値を FQDN に設定することでクライアントのセキュリティ警告は一応回避することができます。

インストール時にアドレスを変更することはできませんと表示されているので、一度役割を削除して
再度追加したほうが良いとは思いますが。

?

■SQL Server に格納されている情報

URL としては、ライセンスの URL もありますがこちらに関しては SQL Server のデータベースに格納されています。
[DRMS_Config_<サーバー名>_443] というデータベースの [dbo].[DRMS_ClusterPolicies] テーブルを SELECT すると
情報を確認することが可能です。

実際に SELECT して確認してみると、[LicensingClusterUrl] に値が設定されているのが確認できますね。?

?

AD RMS をインストールしていてちょっと調べてみたことをまとめてみました。

最近、ちょっと調べたので投稿を。

Office には [Rights Management Services]? (RMS) と連携して文書保護をする
[Information Rights Management] (IRM) という機能があります。

家の AD の環境に AD RMS の役割を追加して構築をして、さて Excel で試そうとしたところ、IRM を設定するための項目がない…。

IRM を設定する場合は、[配布準備] の [アクセスの制限] を使うのですが、私の用意した環境には表示されていない…。

なんでだろうと思っていたら、Office のエディションによって IRM で文書保護を設定する機能がないんですね。

今回、[アクセスの制限] が表示されていなかった Excel は [Office 2007 Professional] を使用していました。
# OS は Windows XP ですが、IRM クライアントはインストール済みです。

[アクセスの制限] が表示されているのは [Office 2007 Ultimate] を使用していました。
# こちらの OS は Vista です。

?

■Office で IRM が使用できるエディション

Office の製品ページを見たところ、以下の情報が掲載されていました。

Office Professional Edition 2003 の IRM (Information Rights Management)
2007 Microsoft Office system スイート
Office 2010 製品エディション

Office 2007 の場合は、Professional Plus 以上のエディションでないと、IRM で文書を保護することができないんですね。
今まで意識したことがなかったので気づいていませんでした。
# 企業ですと Enterprise が使用されていることが多かったので。

このエディションですが文章の保護ができるエディションになるようで、それ以外のエディションでも IRM で保護された
文章を開くことはできました。

今回は、無償の Excel Viewer を使ってみたのですが、以下の画像のようにアクセス制限が有効になった状態で開けています。
?

アクセス権がない場合はこの通り。

IRM で保護できない理由がわからず、半日ぐらい悩んでしまいました…。