none
[RMS問題]Rights Management Service 跨網域驗證問題! RRS feed

  • 問題

  •  

    各位先進,您好

    小弟遇到一個關於Rights Management Service 跨網域驗證的問題,還請各位先進幫忙找出問題,並能解決謝謝。

    目前公司網路狀況是

    1.2003主網域 ABC.COM

    2.2003子網域 KHH.ABC.COM

    3.RMS架設於主網域 ABC.COM並與SharePoint Server搭配使用!

    4.在使用者登入主網域 ABC.COM,使用RMS來管制正常。

    5.在使用者登入子網域 KHH.ABC.COM,使用者開啟RMS管理之檔案會發生錯誤訊息。

    所以想請教各位先進RMS在主網域與子網域下,是否有需要注意的地方。

    在此先感激各位先進,謝謝。

     

    2008年2月15日 上午 08:38

解答

  • 理論來看不會, 因為當設定文件權限時; 可選擇的對象是 email enable 的帳號; 但顯示的方式不是 email, 而是帳號的 display name. 因此實際上來說, 選取的是 AD 的帳號. 同時間 license server 就會將權限賦予所選取的帳號.

     

    例如說某位使用者要為一份文件加 RMS 的權限時, 在視窗中可選擇的是 email enable的信箱 (當然您也可以使用前面所提的方式來 workaround). 雖然 email 相同, 但是所顯示的名稱不同; 因此 license server 不會判斷錯誤.

     

    網域: Contoso.com

    帳號: ryan

    Display Name: Ryan

    郵件: ryan@contoso.com

     

    網域: US.Contoso.com

    帳號: ryan_liao

    Display Name: Ryan_Liao

    郵件: ryan@contoso.com

     

    這是就理論面來看, 但還是請你時測比較準.

    2008年2月19日 上午 04:00

所有回覆

  •  

    1. 錯誤訊息為何?
    2. 在 KHH.ABC.COM 網域的用戶端電腦檢查 IE 的設定, 確認有將 RMS 的 FQDN 加入到 "近端內部網路" (包含 http & https).
    3. 在 KHH.ABC.COM 網域的用戶端電腦是否可以正確解析 RMS 的名稱 (FQDN)?
      個人經驗中, 多數是因為用戶端電腦無法解析造成.
    4. RMS 在同一個 Forest 下, 需要有下列三種的角色; 除非是跨 forest 或是對外提供 RMS 服務, 除此之外並無特別要設定的地方
      1. RMS License server
      2. RMS Certificate server
      3. Database server
    2008年2月18日 上午 10:48
  • 補充幾個資料
    • 使用 IRMcheck.exe 檢查. 若出現某檔案簽章不正確,就應該是RMS Client

      案已被病毒破壞,若使用系統內建的 sfc /scannow 指令應該也會出現很多未簽章的系

      統檔案,正常的系統檔案都是經過數位簽章的。

    • 大部分的問題都可透過IRMcheck.exe得知狀況

    • 若要真正清除乾淨RM Client,必須在新增/移除程式的地方移除,以及在

      regedit中搜尋包含Rights ManagementKey,將之刪除。

    同時確認您已將 IRM 升到最新版本

    2008年2月19日 上午 01:07
  •  

    您好,首先感謝您的回答,謝謝。

    1.錯誤訊息為何?

    A:

    事件類型: 錯誤
    事件來源: Windows SharePoint Services 3
    事件類別目錄: IRM
    事件識別碼: 5065
    日期:  2008/2/19
    時間:  上午 08:54:29
    使用者:  N/A
    電腦: SPS
    描述:
    資訊版權管理 (IRM): 嘗試為保護的檔案自訂基礎發行授權時發生問題。
    目前檔案: DocLib2/原材料價格.xls
    目前清單的 GUID: {FBF6E796-D256-4213-8E7D-51C748A7208B}

    儲存在 IRM 保護的檔案中的發行授權是透過一般發行授權範本來自訂的。

    其他資料
    錯誤值: 80070057

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
    ----------------------------------------------------------------------------------------------------------------------------------

    事件類型: 錯誤
    事件來源: Windows SharePoint Services 3
    事件類別目錄: IRM
    事件識別碼: 5085
    日期:  2008/2/19
    時間:  上午 08:54:29
    使用者:  N/A
    電腦: SPS
    描述:
    資訊版權管理 (IRM):  可被當作 Rights Management Services (RMS) 使用者身分建立關聯。
    使用者:
    目前檔案: DocLib2/原材料價格.xls
    目前清單的 GUID: {FBF6E796-D256-4213-8E7D-51C748A7208B}

    最有可能的原因是,使用者的電子郵件地址和 RMS 伺服器沒有關聯。除非加以登錄,否則該使用者無法使用或檢視 IRM 保護的內容。

    其他資料
    錯誤值: 80070057

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
    -----------------------------------------------------------------------------------------------------------------------------------

    2. 在 KHH.ABC.COM 網域的用戶端電腦檢查 IE 的設定, 確認有將 RMS 的 FQDN 加入到 "近端內部網路" (包含 http & https).

    A: 我有先行將RMS FQDN加入信任網站,並調整其安全性等級至低,目前未啟用HTTPS。

     

    3.在 KHH.ABC.COM 網域的用戶端電腦是否可以正確解析 RMS 的名稱 (FQDN)? 個人經驗中, 多數是因為用戶端電腦無法解析造成.

    A : 關於這點,我有事先預想到,所以已在Hosts檔加入一筆資訊,預防解析問題來測試。

     

    4.RMS 在同一個 Forest 下, 需要有下列三種的角色; 除非是跨 forest 或是對外提供 RMS 服務, 除此之外並無特別要設定的地方

    1. RMS License server
    2. RMS Certificate server
    3. Database server

    A: 目前我的架構是RMS License server跟Database server同一台主機,RMS Certificate server則是安裝於AD Server ,此兩台主機都是在ABC.COM 網域下。

     

    5.順帶一提,目前我是整合MOSS2007啟用資訊管控功能之服務,所產生之問題。

     

    以上

     

     

    2008年2月19日 上午 01:21
  • 謝謝您的答覆!!

    就目前的狀況來看,應不是中毒導致,而是在RMS做驗證時發生之問題,只是我無法確認跟排除這個問題,謝謝。

     

    2008年2月19日 上午 01:25
    1. 如果單純使用 RMS 不透過 MOSS 來授權一個 Excel 的文件, 在 KHH.ABC.COM 的使用者是否可以開啟檔案?
    2. MOSS 授權部份, 名稱是否可以正確解析 (email)?
    2008年2月19日 上午 01:28
  •  

    您好

    想做個釐清,RMS是針對Mail Address來做身分驗證嗎?

    我會這樣問是因為!

    目前我的ABC.COM網域USER都是使用user@ABC.COM

    而KHH.ABC.COM網域USER也是使用user@ABC.COM

    所以在KHH.ABC.COM網域下的USER會有兩組帳號及密碼,一組是開機密碼(登入KHH.ABC.COM),一組是MAIL帳號密碼。

     

    而KHH.ABC.COM的USER並沒有MAIL ADDRESS屬性,是不是因為這樣所以RMS無法驗證呢?

    以上

     

     

     

     

     

     

    2008年2月19日 上午 01:59
  • 就我了解, 是的. 如需使用 RMS 使用者必須要有 email 帳號. 但不需要一個實際有信箱的帳號; 可以使用 workaround 的方式.

    建議你可以這樣做看看.

    • 在開啟 KHH.ABC.COM 網域控制站中的 dsa.msc
    • 開啟將使用者帳號屬性
    • 新增加一個 email 帳號在 General tab 中的 e-mail 欄位.
    • 等待 AD 複製完成後, 在嘗試

    先嘗試文件的 RMS (不透過 MOSS) 來設定, 確認 KHH.ABC.COM 使用者可以正確開啟與否.

    2008年2月19日 上午 02:07
  • 您好,直接使用RMS而不使用MOSS來管理文件測試結果如下

    1.擁有KHH.ABC.COM 並未有EMAIL屬性,所以RMS服務,無法賦予讀取或變更之權限

    2.要使用RMS確實需要EMAIL屬性才可使用。

    3.因為我有兩個網域,但一個網域的帳號有EMAIL(ABC.COM),一個網域EMAIL(KHH.ABC.COM),而開機時必須使用KHH.ABC.COM來登入,故RMS會判斷登入之使用者並無EMAIL屬性,所以無法開啟文件。

    4.已經解決我的問題了,謝謝您!

     

    最後在請教一下,如果不同帳號,但使用同一個EMAIL值,會有問題嗎??

     

    以上,非常感激您的協助!!

     

     

    2008年2月19日 上午 03:34
  • 理論來看不會, 因為當設定文件權限時; 可選擇的對象是 email enable 的帳號; 但顯示的方式不是 email, 而是帳號的 display name. 因此實際上來說, 選取的是 AD 的帳號. 同時間 license server 就會將權限賦予所選取的帳號.

     

    例如說某位使用者要為一份文件加 RMS 的權限時, 在視窗中可選擇的是 email enable的信箱 (當然您也可以使用前面所提的方式來 workaround). 雖然 email 相同, 但是所顯示的名稱不同; 因此 license server 不會判斷錯誤.

     

    網域: Contoso.com

    帳號: ryan

    Display Name: Ryan

    郵件: ryan@contoso.com

     

    網域: US.Contoso.com

    帳號: ryan_liao

    Display Name: Ryan_Liao

    郵件: ryan@contoso.com

     

    這是就理論面來看, 但還是請你時測比較準.

    2008年2月19日 上午 04:00
  • 非常感謝您的答覆,讓小弟我獲益良多,再次感謝您的協助!

     

     

    2008年2月19日 上午 07:13