2012/07/23

Windows Server 2012 RC > FCI と AD RMS で HRESULT 0x8004CF44

Windows Server 2012 RC の Active Directory Rights Managementサービス (AD RMS) と、ファイルサーバーリソースマネージャーのファイル管理タスクの連携について。

もう随分と古い投稿になりますが、「AD RMS/IRM でいろいろできるようになってきた (2009/11/11)」で、AD RMS Bulk Protection Tool (RMSBulk.exe)を使用して、AD RMS とファイル管理タスクを連携し、ファイルの分類管理で分類したファイルを AD RMS で自動的に暗号化保護する方法を紹介しました。Windows Server 2012 RCのファイル管理タスクでは、AD RMS による暗号化に標準対応していて、AD RMS Bulk Protection Tool を使用しなくても、同じことを簡単に実装できるようになっています。”簡単に”と言いましたが、注意点が1つ...


想像だけで設定していくと、タスク実行時に「HRESULTからの例外: 0x8004CF44」のエラーが発生して、うまくいかないでしょう。

イベントログを見ると、「wwwroot\_wmcs\certification\ServerCertification.asmx」に対する「読み取りと実行」のアクセス権が云々と。

AD RMS Bulk Protection Tool  を試したことがればすぐにガッテンがいきます。「wwwroot\_wmcs\certification\ServerCertification.aspx」のアクセス許可は、AD RMS Bulk Protection Tool でも必要な設定だからです。詳しくは、英語ですがこちらのドキュメントで説明されています。とか言いながら、私はすっかり忘れていて、はまってしまいました。

具体的には、AD RMS サーバーのこのファイルの ACL に、ファイル管理タスクを実行するファイルサーバーのコンピューターアカウントを追加して、「読み取りと実行」のアクセス許可を設定します。また、AD RMS Service Group を追加して、このグループに対しても、「読み取りと実行」のアクセス許可を設定します。AD RMS Service Group に対するアクセス許可については、イベントログでは触れられていないので注意してください。

「社外秘」という文字を含むドキュメント(テキストファイルやOfficeドキュメント)を分類管理で分類し、ファイル管理タスクの「RMS暗号化」で暗号化してみました。

大成功!!

そういえば、エクスプローラーのファイルのプロパティに[分類]タブが追加され、FCI(ファイルの分類管理)で設定した分類プロパティの確認が簡単になったり、手動でクリアしたり、別の値を設定したりとかもできるようになっています。これまでは、OfficeドキュメントのプロパティやSharePointのプロパティとかでしか確認できませんでした。

分類規則における Windows PowerShell分類子のサポートや、分類規則の連続分類、ファイル管理タスクの連続実行がサポートされるなど、うれしい強化点はまだまだあります。

例えば、連続分類と連続実行を利用すると、実行スケジュールが来るのを待たずに、ファイルをフォルダーに保存(または更新)すると、数秒後には分類規則が適用され、ファイル管理タスクで処理してくれます。試して見なしたが、数秒かかりますが、ほとんどリアルタイム気分で分類してくれました。

0 件のコメント: