サーバー上に RMS を提供した後で、日常の管理作業中に問題が発生する場合があります。以下の情報は、このような問題を解決するときに役立ちます。
RMS 管理 Web サイトを開こうとしたときに、"SQL Server が存在しないか、アクセスが拒否されました。" というメッセージを受信する
データベース サーバーとして SQL Server 2005 の新しいインストールを使用して RMS をインストールした場合、SQL Server サービスが起動されないことがあります。SQL Server 2005 では、サーバーの起動時に MSSQLSERVER サービスが自動的に起動するように構成されていません。RMS のインストール後に SQL Server を再起動して、このサービスが自動的に再起動されるように設定していない場合、[グローバル管理] ページにアクセスできる以外は RMS の機能が動作しません。
MSSQLSERVER サービスの起動後に、RMS サーバー上で IIS を再起動して、RMS の機能を回復させる必要があります。
オフライン登録処理を完了できない
登録サービス Web サイトに送信される前に、登録要求ファイルに不備があったり変更された場合は、オフライン登録を完了できません。悪意のあるプログラム、ユーザー エラー、システム エラーなどによって、登録要求ファイルが破損している可能性があります。
不足している情報に応じて、登録サービス Web サイトは、ファイルを受け付けてサーバー ライセンサ証明書を返す場合もありますが、要求ファイルの受け付けを拒否してエラーが発生する場合もあります。
サーバー ライセンサ証明書が返された場合、証明書には登録要求ファイルで省略または破損された部分が反映されているため、ユーザーが証明書のインポートを試みると RMS でエラーが発生します。
登録処理を完了できない場合は、インターネットに接続されているコンピュータがウイルスに侵されていないことをチェックし、RMS サーバーから登録要求ファイルを再エクスポートします。次に、別のメディアを使用して、そのファイルをインターネットに接続されているコンピュータに転送します。再びエラーが発生する場合は、マイクロソフト製品サポート サービスまでお問い合わせください。
ログ ファイルが作成されない
RMS ログ サービスでは、メッセージ キュー (MSMQ) サービスが必要であり、ログ データベースにアクセスする必要もあります。ログ ファイルが作成されない場合は、これらのコンポーネントが正しく構成されていないか、コンポーネント間の通信が不能となっている可能性があります。
RMS サーバーおよびデータベース サーバーがネットワークに接続されていることを確認してください。ネットワーク接続に問題がない場合は、次の手順に従って RMS ログ サービスに必要な前提条件を調べ、すべてのソフトウェアの依存関係が正しく構成されていることを確認してください。
まず、メッセージ キューが正しく構成されていることを確認します。メッセージ キューは、Active Directory 統合を有効にした状態でインストールする必要があります。
メッセージ キューのインストールおよび構成が正しく行われていることを確認するには
[コントロール パネル] の [プログラムの追加と削除] をクリックします。次に、[Windows コンポーネントの追加と削除] をクリックして、Windows コンポーネント ウィザードを開きます。
Windows コンポーネント ウィザードで [アプリケーション サーバー] チェック ボックスをオンにし、[詳細] をクリックします。
[メッセージ キュー] チェック ボックスをオンにし、[詳細] をクリックします。
[Active Directory 統合] チェック ボックスがオンである場合は、次のテストに進んでメッセージ キューが実行されていることを確認します。[Active Directory 統合] チェック ボックスがオフである場合は、手順 5. ~ 9. を実行します。
[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows RMS] をポイントし、[Windows RMS 管理] をクリックして [グローバル管理] ページを開きます。
次に、RMS が提供されている Web サイト の横の [この Web サイトから RMS を削除する] をクリックし、[OK] をクリックします。
[コントロール パネル] の [プログラムの追加と削除] で [Windows コンポーネントの追加と削除] をクリックし、[アプリケーション サーバー] をクリックして [メッセージ キュー] をクリックします。
Active Directory 統合を有効にするには、[詳細] をクリックし、[Active Directory 統合] チェックボックスをオンにして、[OK] をクリックします。
[グローバル管理] ページを開きます。次に、RMS を提供する Web サイトの名前の横にある [この Web サイトに RMS を提供する] をクリックします。
続いて、メッセージ キューが実行されていることを確認します。
メッセージ キューが実行されていることを確認するには
[コントロール パネル] の [管理ツール] をクリックし、[サービス] をクリックします。
サービスの一覧を下にスクロールし、Message Queuing サービスを表示します。
[状態] 列に "開始" と表示されます。表示されていない場合は、サービス名を右クリックして [開始] をクリックします。
さらに、ログ サービスにログ データベースへのイベント書き込みアクセス許可があることを確認します。RMS ログ サービスは、RMS サービス アカウントを使用して実行されます。RMS サービス アカウントでデータベース サーバーに正しくログインできること、およびそのアカウントにデータベースの作成とファイルへの情報の書き込みに必要なアクセス許可が付与されていることを確認してください。
これらの前提条件をすべて満たしている場合は、サービス スナップインを使用して、RMS ログ サービスをいったん停止してから開始し直します。RMS ログ サービスが再度開始されると、データベース サーバーにログ ファイルが作成されます。データベース サーバーとして SQL Server を使用している場合は、次の手順に従ってログ ファイルが作成されていることを確認してください。
SQL Server でログ ファイルが作成されていることを確認するには
SQL Server Enterprise Manager で、ログ データベースに移動して [データベース] を展開し、RMS ログ データベースを含むデータベースを展開します。
ログ データベースをクリックし、[テーブル] をクリックします。次に [DRMS_log_master] を右クリックして、[テーブルを開く] - [全行を返す] をクリックします。ログ ファイルが作成されていれば、1 つまたは複数のログ ファイルが表示されます。
構成データベースの復元
構成データベースが機能していなければ、RMS は動作しません。データベースの破損やデータベース サーバーのハード ディスク障害など、構成データベースに問題が発生した場合、構成データベースのバックアップを復元することによって RMS の機能を復元できます。RMS 構成データベースをバックアップから復元するには、次の情報が必要です。
- データベースの最新のバックアップの名前
- バックアップ データベースを復元するコンピュータの名前
- 現在の RMS を提供するときに使用したアカウント名とパスワード
- ソフトウェアによる秘密キー保護を使用している場合は、それに対して指定されたパスワード
バックアップ データベースからの復元には、新しいサーバー ライセンサ証明書や新しい秘密キーは必要ありません。RMS ではすべての設定が保持されているため、バックアップ構成データベースから設定が取得されます。
バックアップ データベースは、次の手順で復元できます。
バックアップ データベースを復元するには
[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows RMS] をポイントし、[Windows RMS 管理] をクリックして [グローバル管理] ページを開きます。
次に、RMS が提供されている Web サイト の横の [この Web サイトから RMS を削除する] をクリックし、[OK] をクリックします。
構成データベースのバックアップ データベース ファイルを復元します。バックアップ処理中にログ データベースをバックアップしていて、データの連続性を保持する場合は、ログ データベースも復元します。
- システム全体の障害の後で復元を行う場合は、システム状態バックアップを使用してレジストリを復元してから、バックアップ データベース ファイルを復元してください。
復元するデータベースが単一のルート証明サーバー用である場合は、サービスを再提供する前に、次のレジストリ キーを変更します。
- 32 ビット バージョンの Windows Server 2003 が動作しているコンピュータ :
HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\1.0\ - 64 ビット バージョンの Windows Server 2003 が動作しているコンピュータ :
HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\DRMS\1.0\
次のエントリを文字列として追加し、値は空白のままにします。
GicURLこれにより、Active Directory によるルート証明サーバーの検出が無効になり、ルート証明サーバーの提供ページへのアクセスが可能になります。
- 32 ビット バージョンの Windows Server 2003 が動作しているコンピュータ :
ハードウェア セキュリティ モジュールを使用して RMS 秘密キーを保護していた場合は、キーを取得できるようにバックアップ セキュリティ環境を復元します。
次のいずれかの手順を実行します。
- クラスタ用ではなく単一サーバー用のデータベースを復元する場合は、RMS を提供する Web サイトの横の [この Web サイトに RMS を提供する] をクリックします。 または
- クラスタ用のデータベースを復元する場合は、RMS を提供する Web サイトの横の [このサーバーをクラスタに追加する] をクリックします。
サーバーの提供時に使用された RMS サービス アカウントを指定します。
使用するバックアップ構成データベース (データベース名と、データベースが格納されているコンピュータの名前を含む) を指定します。
前にこのサーバーを提供したときに使用したものと同じパスワードを指定します。
[送信] をクリックします。
提供処理が開始され、RMS がサーバーに再提供されます。
詳細については、このドキュメント コレクションの「RMS 展開の計画」にある「システム回復の計画」と「RMS システムのバックアップと復元」を参照してください。
RMS サービス アカウント パスワードの期限切れ
RMS の動作が停止した場合、RMS サービス アカウント パスワードの有効期限が切れている可能性があります。IIS マネージャで調べてください。RMS アプリケーション プールが停止していて再起動できない場合は、RMS サービス アカウント パスワードの有効期限が切れていると考えられます。
RMS サービス アカウント パスワードの有効期限が切れた場合は、期限切れのパスワードを持つアカウントを使用している各 RMS サーバー上でパスワードを変更してから、IIS を再起動する必要があります。詳細については、このドキュメント コレクションの「RMS サーバーの運用」にある「RMS サービス アカウント パスワードの変更」を参照してください。
以前の RMS インストールの復元
RMS サーバーのハードウェアまたはソフトウェアに障害が発生した場合は、以前にインストールした構成データベースを使用して新しいサーバー インスタンスを提供することにより、RMS サーバーを復元できます。
注意
この手順は、RMS が動作しているサーバーに障害が発生した場合にだけ適用されます。構成データベースが動作しているサーバーに障害が発生した場合は、この項目の「構成データベースの復元」を参照してください。RMS サーバーとデータベース サーバーが同一のコンピュータである場合は、サーバー全体をバックアップ コピーから復元する必要があります。
元のインストールで使用していたものと同じ構成データベースを使用するには、次の手順に従います。
以前の RMS インストールを復元するには
管理者特権を持つアカウントを使用して、RMS サーバーとして構成するコンピュータにログオンします。このコンピュータは、RMS の最小システム要件を満たしている必要があります。RMS のシステム要件の詳細については、このドキュメント コレクションの「RMS 展開の計画」にある「ハードウェア要件」を参照してください。
ハードウェア セキュリティ モジュールを使用して RMS 秘密キーを保護する場合は、ハードウェア セキュリティ モジュールが、以前の RMS インストールで使用していたものと同じ設定およびセキュリティ環境を使用して正しく構成されていることを確認します。
コンピュータに RMS をインストールします。
RMS のインストールが完了した後、[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Windows RMS] をポイントし、[Windows RMS 管理] をクリックして [グローバル管理] ページを開きます。
次に、RMS を提供する Web サイトの横の [このサーバーをクラスタに追加する] をクリックします。
[RMS サービス アカウント] 領域で、「ドメイン名\ユーザー名」の形式の RMS サービス アカウント名と、ほとんどの定型処理で RMS の実行に使用する RMS サービス アカウントのパスワードを指定します。このアカウントは、ドメイン アカウントでなければなりません。
[構成データベース] 領域で、データベース サーバーの名前と、復元する RMS インストールで使用していた構成データベースの名前を指定します。
[秘密キーの保護] 領域で、秘密キーを保護するためにこのクラスタで使用するメカニズムを選択します。ソフトウェア ベースの秘密キー保護を使用していた場合は、このクラスタを最初に提供したときに秘密キーの暗号化に使用したパスワードを指定する必要があります。
[送信] をクリックします。
アクセス許可の期限が切れたために、クライアントが RMS で保護されたコンテンツを開けない
ユーザーのアクセス許可の期限が切れると、そのユーザーは RMS で保護されたコンテンツを使用できなくなります。また、RMS サーバーのシステム時計が RMS クライアントのシステム時計よりも進んでいる場合、アクセス許可の期限が切れていなくても、ユーザーが RMS で保護されたコンテンツを使用できなくなる場合があります。2 台のコンピュータのシステム時計が同期していないため、クライアント コンピュータがコンテンツを開こうとすると、次のエラーが表示される可能性があります。
権限の期限が切れたため、このメッセージを開く権限がありません。別の資格情報を使ってファイルを開きますか?
クライアント ライセンスとコンテンツ ライセンスの両方が有効であるにもかかわらず、時計の誤差のためにクライアントでコンテンツ ライセンスが無効であると解釈されて、ユーザーにエラーが返されます。このため、RM アカウント証明書またはドキュメントに付与された権利に問題があるとユーザーが認識する可能性があります。クライアントのシステム時計がコンテンツの発行ライセンスの有効期間内に入れば、ユーザーはコンテンツを開くことができるようになります。
最善の手法として、RMS システム内のクライアントとサーバーの両方を、同じタイム サービスと同期することをお勧めします。
RMS がアプリケーション イベント ログにイベントを記録しようとすると、"アクセスが拒否されました。" というエラーが発生する
既定では、ASP ページから実行される RMS などのコンポーネントは、IUSR_COMPUTERNAME アカウントで作成されます。このアカウントは Guests グループのメンバですが、アプリケーション イベント ログに書き込むために必要なセキュリティ特権によって、Guests アカウントによるイベント ログへの書き込みができないようになっています。
この問題を解決するには、レジストリ エディタを使用してこの動作を制御するレジストリ キーを変更してください。
注意事項
レジストリに不適切な編集を行うと、システムに大きな損害を与える可能性があります。レジストリに変更を加える前に、コンピュータ上の重要なデータをバックアップしてください。
次のレジストリ キーの設定を 1 から 0 に変更し、コンピュータを再起動して変更内容を有効にします。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application
名前 :RestrictGuestAccess
種類 :REG_DWORD
注意
これにより、すべての Guest アカウントによるアプリケーション イベント ログへの書き込みが可能になります。
このエラーの原因の詳細については、マイクロソフト サポート技術情報 で ASP ページからログを有効化する方法に関する記事を参照してください。