Udostępnij za pośrednictwem


[技术分享--RMS篇] 20130723, AD RMS 自我排错分析篇

如果你是一个 AD RMS 服务器管理员,突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密,在向微软提交 Case 请求协助前,可以按照下面的步骤进行初步排错:

1. 确保当前用户为域用户,并且正确配置了邮件地址属性;

image

2. 确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local Intranet 安全区域;

参考 - https://blogs.technet.com/b/gcrsec/archive/2009/02/27/rms.aspx

事实上,这一步对于 Office2013 客户端来说是必须要做的;

 

3. 确保客户端计算机上使用 IE 可以正常访问 AD RMS 服务器的认证 URL 和授权 URL;

http(s)://<your cluster>/_wmcs/certification/certification.asmx

 

clip_image004

 

http(s)://<your cluster>/_wmcs/licensing/license.asmx

clip_image006 

正常情况下,以上两个 URL 应该可以被直接访问,并且整个过程中没有关于证书的任何警告或报错信息(如果启用了 HTTPS);

4. 如果所有客户端都无法正常使用,请检查下 AD RMS 服务器的 IIS 站点(默认站点 -> ”_wmcs” -> Certification/Licensing)的认证配置,确保匿名访问(Anonymous Authentication)或其他的认证方式没有被手动启用。

 

正确的配置如下图所示:

image

:默认只有 Windows Authentication 会被启用,请不要随意手动改动这里,除非您在部署 RMS 跨域环境时按照文档对 ~/Licensing/license.asmx 这个特定的对象启用匿名访问。

5. 如果以上步骤后,问题还是没能解决,最后请按照下面文档重设 RMS 客户端,看问题是否可以得到解决。

参考 - https://social.technet.microsoft.com/wiki/contents/articles/7697.ad-rms-troubleshooting-reset-the-client-en-us.aspx

 

6. 确保 Windows 自动更新已经启用,并且 Office 已升级至最新版本。

如果以上步骤后,问题还在,那么你可以直接向微软提交一个 Case 做深入分析了。

 

RMS Trace 日志抓取:

 

========

如果有兴趣,也可自行按照下面两篇文档抓取 RMS 客户端和服务器端的 RMS Trace 详细日志进行分析:

 

https://social.technet.microsoft.com/wiki/contents/articles/7700.ad-rms-troubleshooting-client-side-tracing.aspx

 

https://social.technet.microsoft.com/wiki/contents/articles/7838.ad-rms-troubleshooting-server-side-tracing.aspx

 

微软安全支持专家

 

Gary