我们在发送 IRM 加密邮件时，经常会给一个组，如果有意无意地把组人为的展开，这样收件人就有可能有成千上百个，如果发送了这样的邮件，收件人很有可能打不开该加密邮件。 当邮件收件人尝试打开 RMS 加密的文档时，需要向 RMS 服务器申请一个 EUL（End user license），并使用申请到的 license 对邮件进行解密。用户请求 EUL 的时候，会将加密时所有添加的用户/用户组加入到请求的数据包中；如果将大量用户邮箱账号单独加入到收件人区域，那么可能导致这个请求的数据包超过 1M/2M，进而导致问题。 解决方法是： 1．发邮件时，尽量使用邮件组，并且不要展开邮件组。 2．如果一定要把加密邮件发给成千上百个收件人...

  对于一些非域环境的客户端，我们知道，可以通过添加注册表来解决 RMS 服务发现的问题， 具体可以见： 如何让在非域环境下的 Office 客户端也能访问 RMS 服务   有的时候您会发现即使加了注册表，也未必能访问 RMS 服务，可能报出服务暂时不可用的错误。   通过报错界面，我们判断不了问题出在哪里。但是如果您部署的是 HTTPS 的 RMS 服务，并且 SSL   证书中包含了 CRL 下载分发点，那您就要注意了，因为这样的话，外部客户端很有可能拿不到   CRL ，当然我们发布 CRL 到外网，但最快速的解决方法就是： 打开 IE...

在 ADRMS、RMS 安装过程中，或者后台 SQL 数据库迁移过程中，你可能遇到连不上 SQL 数据库的情况。可能在事件日志中看到如下报错： Log Name:      Application Source:        AdRmsLoggingService Date:          XXXXX Event ID:      0...

安装完 ADRMS 服务器后，您可能无法完成 SCP（Service Connection Point，服务连接点）的注册。 遇到这类问题时，我们首先要确认当前登录 ADRMS 的账号是否是森林域的管理员账号，因为注册 SCP 需要有写 DC 的权限。然后按照以下方法在 AD 域内查看是否已经注册了 SCP，如果有，请手工删除。 连接到 AD 域中，用 ADSI Edit 工具，手工删除先前的 SCP 注册信息,删除 CN=RightsManagementServices. 而后即可成功完成 SCP 的注册。 微软安全支持专家 James Yi

相信我们在企业内部的环境中已经部署了微软最新的OS平台，Windows 7和Windows 2008 R2，在这些OS平台上使用IRM功能时，您有可能遇到创建、打开RMS文档非常缓慢的情况，据测试，office程序会停滞大概1到2分钟才会有响应， 这难道是window 7, windows 2008 R2的产品Bug？ 这样的情况往往会发生于一些不能上网的客户端，或者上网有限制的客户端，通过抓取网络包，我们可以很快定位问题，最常见的情况就是：客户端创建/打开RMS文档时，会尝试解析crlmicorsoft.com，去下载微软CRL列表，但内网解析不了crlmicrosoft.com，或者不能连上crlmicrosoft...

RMS/ADRMS的SCP （Service Connection Point，服务连接点）在哪里？ 我们都知道一般在企业内部署RMS、ADRMS时，都需要注册服务连接点SCP，SCP是在整个AD森林中注册的，换句话说，一个AD森林中只能注册一个SCP，那SCP究竟注册在哪里呢？ 其实SCP并不神秘，您可以在AD森林中的任何一台域控中找到它的身影。 登陆AD域控，打开ADSI Edit工具，连到Configuration, 展开CN=Services, CN=RightsManagmentServices就是SCP 所在。 James Yi 微软安全支持专家

在企业内部，RMS 服务器没有注册 SCP，每个客户端通过增加本地注册表来发现 RMS 服务器 (参考文章: 如何让在非域环境下的 Office 客户端也能访问 RMS 服务 )，这样的方式在 Office 2003 和 Office 2007 上工作正常，但 Office 2010 却不行，报错信息为"此服务暂时不可用。请确认已连接到此服务器......"。 我们可以确认导致这个问题的原因是: Office 2010 的 IRM 工作方式和 Office 2003、Office 2007 不同。 我们可以通过以下方式来解决这个问题： 在 RMS 服务器端添加下面的注册表键值...

有时候，你会发觉你的Office 客户端不能打开原来的文档了，或者不能创建新文档了，再或者是碰到一些无法解决的客户端问题时，可以尝试备份并清除客户端 DRM (Digital Rights Management) 缓存。 对于 Windows 2003 ，Window XP， Windows Vista，可以清除以下位置的缓存文件： %USERPROFILE%\Local Settings\Application Data\Microsoft\DRM 对于 Windows 7，Windows 2008, 可以清除以下位置的缓存文件： %USERPROFILE%\AppData\Local\Microsoft...

我们经常会遇到一些 RMS 客户端的问题，例如文件打不开，不能创建文档，当做了许多尝试之后仍旧无法解决。我们可以在客户端启用 RMS Client trace，收集 RMS 客户端 Debug 日志，来更深层次地检查客户端的问题。 以下为在客户端启用 RMS Client trace 步骤 (以下操作均在客户端完成): 1. 增加注册表键值: HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\Trace = 1 (REG_DWORD) 2. 下载并安装Windows DebugView: http://technet.microsoft.com/en-us...

打开 RMS 服务器管理界面报错怎么办？ 您成功安装了 RMS 服务器，但是打开管理界面的时候，发现管理界面不能正常打开，错误码是 HTTP 404.2. 页面打开错误。 这个问题往往是由于 RMS 所基于的 IIS 服务没有正确配置。通过以下两步来检查相关配置是否正确： 1. 打开”Default Web Site”, 查看属性，检查 ASP.NET version 是否是 ”1.1.4322” 2. 打开 IIS 管理界面，在 Web Service Extensions 内查看 ASP.NET v1.1.4322 是否启用 参考： Software Requirements for RMS...

在开发或者测试环境中，我们可能需要把 ADRMS 服务器安装为预生产环境。 对于 Windows 2003 或者 Windows 2008 SP1/SP2，您可以参考以下文档： Setting Up the Pre-production Development Environment http://msdn.microsoft.com/en-us/library/cc542540(VS.85).aspx Setting up Microsoft Office 2007 in a pre-production environment http://blogs.technet...

微软的 Office 应用程序，以及 RMA IE add-on 都会有 IRM (Information Rights Management, 信息权限管理) 使用证书过期的问题，一旦 IRM 证书过期，IRM 功能就不能使用了。 还记得微软 Office 2003 在2009年12月10日发生的问题吗？ 当时所有的 Office 2003 用户不能打开曾经创建的 IRM 文档，或者无法创建新的 IRM 文档。在用户端，当 Office 2003 使用 IRM 功能时，可能会报出下列错误： "Unexpected error occurred. Please try again later...

Office 2003 IRM (Information Rights Management ，信息权限管理) 功能不可用了吗？ 2009年12月11日，可能令全世界所有使用 RMS 服务的用户感到头痛，特别是其中使用 office 2003 的用户。因为这一天，所有的 office 2003 用户不能打开曾经创建的 IRM 文档，或者无法创建新的 IRM 文档。在用户端，当 office 2003 使用 IRM 功能时，可能会报出下列错误： "Unexpected error occurred. Please try again later or contact your system...

迁移 RMS 的 SQL 数据库其实很简单。 在很多情况下，我们可能需要做数据库的迁移，我们可以用以下方法测试一下，一般都能成功，如果按照以下方法迁移未成功，您需要立即恢复原先设置，然后联系技术支持服务。 1. 导出 RMS 所用的三个数据库，并导入到新的 SQL 数据库。 DRMS_Config_XXXX DRMS_DirectoryServices_XXXX DRMS_Logging_XXXX 2. 在 RMS 服务器上增加一条 host 记录，把老的 SQL 服务器名解析到新的服务器 IP 地址。 3. 为了避免 permission 问题， 需要把 RMS 服务账号加到新 SQL 服务器的本地管理员组中...

目前 RMS 1.0 SP1 服务器已经过了软件技术支持生命周期，许多企业需要升级到 RMS 1.0 SP2。但在升级过程中，我们可能遇到失败的情况，比较常见的是以下报错： The provisioning process failed to create a directory, copy files, or set permissions on the directory. The provisioning process cannot continue. Verify that you have appropriate permissions to the location that the...

可能在某一天，由于各种原因，我们需要全新安装 RMS 服务器，(当然全新安装了 RMS 服务器之后，用原来的 RMS 加密的文档都无法打开了)。 我们需要知道在一个 AD Forest 中，只能注册一个 RMS SCP (RMS service connection point)，SCP 的作用是让加入域的客户端从 AD 中得知 RMS 服务器的地址，从而使客户端能正确打开经过加密的文档。 RMS 在安装过程中会到 DC 服务器上检测是否存在 SCP, 如果没有检测到 SCP，安装中会提示把 RMS 服务器装为 Root Server，如果检测到已经存在, 会提示把 RMS 服务器装为 License...

<< 相关博客文章: [技术分享] 关于 RMS 服务器的缓存 >> 在上一篇 BLOG 中我们提到了如何来禁用 RMS 1.0 服务器的缓存，但如今有许多企业已经开始使用 RMS 2.0 服务器，也就是 Active Directory Rights Managements Services (ADRMS)。 和 RMS 1.0 一样，ADRMS 也有缓存，缓存也是会过期的，默认情况下为 12 小时，如果您希望让您在 AD 中对用户的改动在 RMS 查询中立即生效，或者为了排查用户组扩展的问题， 您可以采取一下几个步骤，在禁用 ADRMS 缓存。 Steps...

RMS 服务器的缓存分为两部分，一部分是每台 RMS 服务器的本地 Active Directory 缓存，包括了 Active Directory Global Catalog 的组成员的查询结果。除了每台 RMS 服务器的本地缓存外，还存在一个共享的数据库缓存，存在于 SQL 的 directory services 数据库中。 RMS 的 AD 缓存的目的是减少到 Global Catalog 的请求数，加快查询响应时间。 当一个用户请求一个 use license 时，RMS 服务器会从文档的 publish license 中 判断这个用户是否已经拥有了相应的权限。一般来说，用户请求的...

在企业域环境内，当客户端首次使用RMS时，会弹出以下窗口要求用户验证： 我们需要选择”Use a Microsoft Windows account”,因为客户端是在企业内部。 接着输入用户名以及密码。然后才能使用Office的RMS功能。 但是，以上操作往往会给用户带来麻烦。 我们能不能给用户更好的使用体验呢？ 答案是肯定的，其实只要把RMS的URL加入到IE的Local intranet中就可以了，当用户第一次使用RMS时，不会弹出上述窗口，步骤如下： 打开IE Options的Security选项，选择local intranet,并点击Sites...

一般我们使用 RMS 的 Office 客户端都是在企业域的环境下，如果我们的 RMS Office 客户端不在企业域的环境下，或者说在加入工作组的情况下， 我们需要在客户端的注册表中加入以下键值，使 Office 客户端知道 RMS 系统的 License 服务器以及 Certification 服务器的 URL。 这时 RMS Office 客户端申请到的是临时证书，默认15分钟后过期，客户端在15分钟后需要重新申请证书。 Configure the Office 2003 client to know RMS server in registry =================...