[技术分享--RMS篇] 20130723, AD RMS 自我排错分析篇
如果你是一个 AD RMS 服务器管理员,突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密,在向微软提交 Case 请求协助前,可以按照下面的步骤进行初步排错:
1. 确保当前用户为域用户,并且正确配置了邮件地址属性;
2. 确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local Intranet 安全区域;
参考 - https://blogs.technet.com/b/gcrsec/archive/2009/02/27/rms.aspx
事实上,这一步对于 Office2013 客户端来说是必须要做的;
3. 确保客户端计算机上使用 IE 可以正常访问 AD RMS 服务器的认证 URL 和授权 URL;
http(s)://<your cluster>/_wmcs/certification/certification.asmx
http(s)://<your cluster>/_wmcs/licensing/license.asmx
正常情况下,以上两个 URL 应该可以被直接访问,并且整个过程中没有关于证书的任何警告或报错信息(如果启用了 HTTPS);
4. 如果所有客户端都无法正常使用,请检查下 AD RMS 服务器的 IIS 站点(默认站点 -> ”_wmcs” -> Certification/Licensing)的认证配置,确保匿名访问(Anonymous Authentication)或其他的认证方式没有被手动启用。
正确的配置如下图所示:
注 :默认只有 Windows Authentication 会被启用,请不要随意手动改动这里,除非您在部署 RMS 跨域环境时按照文档对 ~/Licensing/license.asmx 这个特定的对象启用匿名访问。
5. 如果以上步骤后,问题还是没能解决,最后请按照下面文档重设 RMS 客户端,看问题是否可以得到解决。
6. 确保 Windows 自动更新已经启用,并且 Office 已升级至最新版本。
如果以上步骤后,问题还在,那么你可以直接向微软提交一个 Case 做深入分析了。
RMS Trace 日志抓取:
========
如果有兴趣,也可自行按照下面两篇文档抓取 RMS 客户端和服务器端的 RMS Trace 详细日志进行分析:
微软安全支持专家
Gary