Notizen zur Bereitstellung des Rights Management Service-Clients

  • Artikel

Der Rights Management Service-Client (RMS-Client) Version 2 wird auch als MSIPC-Client bezeichnet. Es handelt sich um Software für Windows-Computer, die lokal oder in der Cloud mit Microsoft Rights Management-Diensten kommunizieren, um den Zugriff auf Informationen und die Nutzung von Informationen zu schützen, die sich auf ihrem Weg über Anwendungen und Geräte innerhalb der Grenzen Ihrer Organisation oder außerhalb dieser verwalteten Grenzen befinden.

Der RMS-Client ist als optionaler Download erhältlich, der mit Anerkennung und Akzeptanz der Lizenzvereinbarung frei mit Software von Drittanbietern verteilt werden kann, so dass Kunden Inhalte schützen und nutzen können, die durch Rights Management-Dienste geschützt wurden.

Weiterverteilen des RMS-Clients

Der RMS-Client kann frei zusammen mit anderen Anwendungen und IT-Lösungen weiterverteilt und gebündelt werden. Wenn Sie ein Anwendungsentwickler oder Lösungsanbieter sind und den RMS-Client weitergeben möchten, haben Sie zwei Möglichkeiten:

  • Empfohlen: Betten Sie das RMS-Clientinstallationsprogramm in Ihre Anwendungsinstallation ein und führen Sie es im unbeaufsichtigten Modus aus (/quiet-Schalter, der im nächsten Abschnitt ausführlich behandelt wird).

  • Machen Sie den RMS-Client zu einer Voraussetzung für Ihre Anwendung. Mit dieser Option müssen Sie Benutzern möglicherweise zusätzliche Anweisungen zum Abrufen, Installieren und Aktualisieren ihrer Computer mit dem Client bereitstellen, bevor sie Ihre Anwendung verwenden können.

Installieren des RMS-Clients

Der RMS-Client ist in einer ausführbaren Installationsdatei namens setup_msipc_<arch>.exe enthalten, wobei <arch> entweder x86 (für 32-Bit-Client-Computer) oder x64 (für 64-Bit-Client-Computer). Das 64-Bit (x64)-Installationspaket installiert sowohl eine ausführbare 32-Bit-Laufzeitdatei für die Kompatibilität mit 32-Bit-Anwendungen, die auf einer 64-Bit-Betriebssysteminstallation ausgeführt werden, als auch eine ausführbare 64-Bit-Laufzeitdatei zur Unterstützung integrierter 64-Bit-Anwendungen. Das 32-Bit-Installationsprogramm (x86) wird nicht auf einer 64-Bit-Windows-Installation ausgeführt.

Hinweis

Zum Installieren des RMS-Clients müssen Sie über erhöhte Rechte verfügen, z. B. als Mitglied der Administratorengruppe auf dem lokalen Computer.

Sie können den RMS-Client mithilfe einer der folgenden Installationsmethoden installieren:

  • Unbeaufsichtigter Modus. Durch Verwendung des /quiet-Schalters als Teil der Befehlszeilenoptionen können Sie den RMS-Client unbeaufsichtigt auf Clientcomputern installieren. Das folgende Beispiel zeigt eine Silent-Mode-Installation für den RMS-Client auf einem 64-Bit-Client-Computer:

    setup_msipc_x64.exe /quiet

  • Interaktiver Modus. Alternativ können Sie den RMS-Client über das interaktive GUI-basierte Setup installieren, das vom Installations-Assistenten für den RMS-Client bereitgestellt wird. Zur interaktiven Installation doppelklicken Sie auf das RMS-Client-Installationspaket (setup_msipc_<arch>.exe) in dem Ordner, in den es auf Ihrem lokalen Computer kopiert oder heruntergeladen wurde.

Fragen und Antworten zum RMS-Client

Der folgende Abschnitt enthält häufig gestellte Fragen zum RMS-Client und die Antworten darauf.

Welche Betriebssysteme unterstützen den RMS-Client?

Der RMS-Client wird unter Windows Server 2012 und höher und Windows 8.1 und höher unterstützt.

Welche Prozessoren oder Plattformen unterstützen den RMS-Client?

Der RMS-Client wird auf x86- und x64-Computerplattformen unterstützt.

Wo ist der RMS-Client installiert?

In der Standardeinstellung wird der RMS-Client in "%ProgramFiles%\Active Directory Rights Management Services Client 2.<Nebenversionsnummer> installiert.

Welche Dateien sind mit der RMS-Client-Software verbunden?

Die folgenden Dateien werden als Teil der RMS-Client-Software installiert:

  • Msipc.dll

  • Ipcsecproc.dll

  • Ipcsecproc_ssp.dll

  • MSIPCEvents.man

Zusätzlich zu diesen Dateien installiert der RMS-Client auch Dateien mit Unterstützung der mehrsprachigen Benutzeroberfläche (MUI) in 44 Sprachen. Um festzustellen, welche Sprachen unterstützt werden, können Sie die RMS-Clientinstallation ausführen und nach Abschluss der Installation den Inhalt der Ordner mit Unterstützung mehrerer Sprachen unter dem Standardpfad prüfen.

Ist der RMS-Client standardmäßig enthalten, wenn ich ein unterstütztes Betriebssystem installiere?

Nein Die Version des RMS-Client wird als optionaler Download bereitgestellt, der separat auf Computern mit unterstützten Version des Betriebssystems Microsoft Windows installiert werden kann.

Wird der RMS-Client von Microsoft Update automatisch aktualisiert?

Wenn Sie diesen RMS-Client mit der Option für die automatische Installation installiert haben, erbt der RMS-Client Ihre aktuellen Microsoft Update-Einstellungen. Wenn Sie den RMS-Client mit dem GUI-basierten Setupprogramm installiert haben, werden Sie vom Installations-Assistenten für den RMS-Client aufgefordert, Microsoft Update zu aktivieren.

Einstellungen des RMS-Clients

Der folgende Abschnitt enthält Informationen zu den Einstellungen des RMS-Clients. Diese Informationen können hilfreich sein, wenn Sie Probleme mit Anwendungen oder Diensten haben, die den RMS-Client verwenden.

Hinweis

Einige Einstellungen hängen davon ab, ob die RMS-erweiterte Anwendung als Client-Anwendung (wie Microsoft Word und Outlook oder der Azure Information Protection-Client mit Windows File Explorer) oder als Server-Anwendung (wie SharePoint und Exchange) ausgeführt wird. In den folgenden Tabellen werden diese Einstellungen als Clientmodus und Servermodus bezeichnet.

Wo der RMS-Client Lizenzen auf Clientcomputern speichert

Der RMS-Client speichert die Lizenzen auf der lokalen Festplatte und speichert einige Informationen in der Windows-Registrierung.

Beschreibung Pfade für Clientmodus Pfade für Servermodus
Lizenzenspeicherort %localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\<SID>
Vorlagenspeicherort %localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\<SID>
Registrierungsort HKEY_CURRENT_USER
\Software
\Classes
\Local Settings
\Software
\Microsoft
\MSIPC		 HKEY_CURRENT_USER
\Software
\Microsoft
\MSIPC
\Server
\<SID>

Hinweis

<SID> ist die Sicherheitskennung (SID) für das Konto, unter dem die Serveranwendung ausgeführt wird. Wenn die Anwendung beispielsweise unter dem integrierten Netzwerkdienstkonto ausgeführt wird, ersetzen Sie <SID> durch den bekannten Wert der SID für dieses Konto (S-1-5-20).

Windows-Registrierungseinstellungen für den RMS-Client

Zum Festlegen oder Ändern einiger RMS-Clientkonfigurationen können Sie Windows-Registrierungsschlüssel verwenden. Vielleicht möchten Sie zum Beispiel als Administrator für RMS-basierte Anwendungen, die mit AD RMS-Servern kommunizieren, den Speicherort des Unternehmensdiensts abhängig vom aktuellen Speicherort des Clientcomputers in Ihrer Active Directory-Topologie aktualisieren (den derzeit für die Veröffentlichung ausgewählten AD RMS-Server außer Kraft setzen). Oder Sie können AD RMS-Ablaufverfolgung auf dem Clientcomputer aktivieren, um das Beheben eines Problems mit einer RMS-fähigen Anwendung zu unterstützen. Anhand der folgenden Tabelle können Sie die Registrierungseinstellungen ermitteln, die Sie für den RMS-Client ändern können.

Aufgabe Einstellungen
Wenn der Client die Version 1.03102.0221 oder höher hat:

Steuern der Sammlung von Anwendungsdaten		 Wichtig: Um die Privatsphäre des Benutzers zu wahren, müssen Sie als Administrator den Benutzer um Zustimmung bitten, bevor Sie die Datensammlung aktivieren.

Wenn Sie die Datenerfassung aktivieren, erklären Sie sich damit einverstanden, Daten über das Internet an Microsoft zu senden. Microsoft verwendet diese Daten, um die Qualität, Sicherheit und Integrität von Microsoft-Produkten und -Diensten sicherzustellen und zu verbessern. Beispielsweise analysiert Microsoft die Leistung und Zuverlässigkeit wie die von Ihnen verwendeten Features, deren Reaktionsschnelligkeit, die Geräteleistung, Interaktionen mit der Benutzeroberfläche und etwaige Probleme, die bei der Nutzung des Produkts auftreten. Zu den Daten gehören auch Informationen zur Konfiguration Ihrer Software, z. B. der Software, die zurzeit ausgeführt wird, und die IP-Adresse.

Für Version 1.0.3356 oder höher:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticAvailability

Für Versionen vor 1.0.3356:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticState

Wert: 0 für Anwendung definiert (Standard) durch Verwendung der Umgebungseigenschaft IPC_EI_DATA_COLLECTION_ENABLED, 1 für Deaktiviert, 2 für Aktiviert

Hinweis: Wenn Ihre 32-Bit-MSIPC-basierte Anwendung auf einer 64-Bit-Version von Windows ausgeführt wird, ist der Speicherort HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
Nur AD RMS:

Aktualisieren des Speicherorts des Unternehmensdiensts für einen Clientcomputer		 Aktualisieren Sie die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: default

Wert:<http oder https>://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: default

Wert: <http oder https>://RMS_Cluster_Name/_wmcs/Licensing
Aktivieren und Deaktivieren der Ablaufverfolgung Aktualisieren Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: Trace

Wert: 1 zum Aktivieren der Ablaufverfolgung, 0 zum Deaktivieren der Ablaufverfolgung (Standardwert)
Ändern der Häufigkeit in Tagen zum Aktualisieren von Vorlagen Mit den folgenden Registrierungswerten wird festgelegt, wie oft Vorlagen auf dem Computer des Benutzers aktualisiert werden, wenn der Wert "TemplateUpdateFrequencyInSeconds" nicht festgelegt ist. Wenn keiner dieser Werte eingestellt ist, beträgt das standardmäßige Aktualisierungsintervall für Anwendungen, die den RMS-Client (Version 1.0.1784.0) zum Herunterladen von Vorlagen verwenden, 1 Tag. Der Standardwert früherer Versionen ist alle 7 Tage.

Clientmodus:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequency

Wert: Ein Ganzzahlwert, mit dem die Anzahl der Tage (mindestens 1) zwischen Downloads angegeben wird.

Servermodus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequency

Wert: Ein Ganzzahlwert, mit dem die Anzahl der Tage (mindestens 1) zwischen Downloads angegeben wird.
Andern der Häufigkeit in Sekunden zum Aktualisieren von Vorlagen

Wichtig: Wenn diese Einstellung angegeben ist, wird der Wert zum Aktualisieren von Vorlagen in Tagen ignoriert. Geben Sie das eine oder das andere an, nicht beides.		 Mit den folgenden Registrierungswerten wird festgelegt, wie oft Vorlagen auf dem Computer des Benutzers aktualisiert werden. Wenn dieser Wert oder der Wert zum Ändern der Häufigkeit in Tagen (TemplateUpdateFrequency) nicht festgelegt ist, beträgt das standardmäßige Aktualisierungsintervall für Anwendungen, die den RMS-Client (Version 1.0.1784.0) zum Herunterladen von Vorlagen verwenden, 1 Tag. Der Standardwert früherer Versionen ist alle 7 Tage.

Clientmodus:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSeconds

Wert: Ein Ganzzahlwert, mit dem die Anzahl der Sekunden zwischen Downloads (mindestens 1) angegeben wird.

Servermodus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyInSeconds

Wert: Ein Ganzzahlwert, mit dem die Anzahl der Sekunden zwischen Downloads (mindestens 1) angegeben wird.
Nur AD RMS:

Sofortiges Herunterladen von Vorlagen bei der nächsten Veröffentlichungsanforderung		 Im Lauf von Tests und Bewertungen möchten Sie vielleicht, dass Vorlagen vom RMS-Client so schnell wie möglich heruntergeladen werden. Entfernen Sie für diese Konfiguration den folgenden Registrierungsschlüssel. Der RMS-Client lädt dann Vorlagen bei der nächsten Veröffentlichungsanforderung sofort herunter, statt die von der Registrierungseinstellung TemplateUpdateFrequency vorgegebene Zeit abzuwarten:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\Template

Hinweis:<Servername> kann sowohl externe (corprights.contoso.com) als auch interne (corprights) URLs und damit zwei verschiedene Einträge haben.
Nur AD RMS:

Aktivieren der Unterstützung der Verbundauthentifizierung		 Wenn der RMS-Clientcomputer anhand einer Verbundvertrauensstellung eine Verbindung mit einem AD RMS-Cluster herstellt, müssen Sie den Partnerverbund-Startbereich konfigurieren.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealm

Wert: Der Wert dieses Registrierungseintrags ist der Uniform Ressource Identifier (URI) für den Verbunddienst (z. B. <http://TreyADFS.trey.net/adfs/services/trust>).

Hinweis: Es ist wichtig, für diesen Wert http und nicht https anzugeben. Wenn Ihre 32-Bit-MSIPC-basierte Anwendung auf einer 64-Bit-Version von Windows ausgeführt wird, ist der Speicherort HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. Eine Beispielkonfiguration finden Sie unter Bereitstellen von Active Directory Rights Management Services mit Active Directory-Verbunddiensten.
Nur AD RMS:

Unterstützen von Partnerverbundservern, die die formularbasierte Authentifizierung für Benutzereingaben erfordern		 Standardmäßig arbeitet der RMS-Client im unbeaufsichtigten Modus, und es ist keine Benutzereingabe erforderlich. Partnerverbundserver können allerdings so konfiguriert werden, dass Benutzereingaben, z. B. über formularbasierte Authentifizierung, erforderlich sind. In diesem Fall müssen Sie den RMS-Client so konfigurieren, dass er den unbeaufsichtigten Modus ignoriert, sodass das Verbundauthentifizierungsformular in einem Browserfenster angezeigt wird und der Benutzer für die Authentifizierung höhergestuft wird.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowser

Hinweis: Wenn der Verbundserver für die Verwendung der formularbasierten Authentifizierung konfiguriert ist, ist dieser Schlüssel erforderlich. Wenn der Verbundserver für die Verwendung der integrierten Windows-Authentifizierung konfiguriert ist, ist dieser Schlüssel nicht erforderlich.
Nur AD RMS:

Blockieren der ILS-Dienstnutzung		 Standardmäßig ermöglicht der RMS-Client die Nutzung von Inhalten, die durch den ILS-Dienst geschützt sind. Durch Festlegen des folgenden Registrierungsschlüssels können den Client jedoch so konfigurieren, dass dieser Dienst blockiert wird. Wenn dieser Registrierungsschlüssel so festgelegt ist, dass der ILS-Dienst blockiert wird, wird bei jedem Versuch, Inhalte zu öffnen und zu nutzen, die durch den ILS-Dienst geschützt sind, der folgende Fehler zurückgegeben:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertification

Wert: 1 zum Blockieren des ILS-Verbrauchs, 0 zum Zulassen des ILS-Verbrauchs (Standardwert)

Verwalten der Vorlagenverteilung für den RMS-Client

Vorlagen erleichtern Benutzern und Administratoren das schnelle Anwenden des Rights Management-Schutzes, und der RMS-Client lädt Vorlagen automatisch von seinen RMS-Servern oder dem Dienst herunter. Wenn Sie die Vorlagen am folgenden Ordnerspeicherort ablegen, lädt der RMS-Client keine Vorlagen vom Standardspeicherort herunter, sondern lädt stattdessen die Vorlagen herunter, die Sie in diesem Ordner abgelegt haben. Der RMS-Client lädt möglicherweise weiterhin Vorlagen von anderen verfügbaren RMS-Servern herunter.

Clientmodus: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

Servermodus: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>

Wenn Sie diesen Ordner verwenden, ist keine besondere Namenskonvention erforderlich, außer dass die Vorlagen vom RMS-Server oder -Dienst ausgegeben werden sollten und die Dateinamenerweiterung .xml haben müssen. Contoso-Confidential.xml oder Contoso-ReadOnly.xml sind beispielsweise gültige Namen.

Nur AD RMS: Beschränken des RMS-Clients auf die Verwendung vertrauenswürdiger AD RMS-Server

Mit den folgenden Änderungen an der Windows-Registrierung auf lokalen Computern kann der RMS-Client darauf beschränkt werden, nur bestimmte vertrauenswürdige AD RMS-Server zu verwenden.

Aktivieren der Beschränkung des RMS-Clients auf die Verwendung vertrauenswürdiger AD RMS-Server

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnly

    Wert:Wenn ein Wert ungleich Null angegeben wird, vertraut der RMS-Client nur den angegebenen Servern, die in der Liste "TrustedServers" und dem Azure Active Directory Rights Management-Dienst angegeben sind.

Hinzufügen von Mitgliedern zur Liste der vertrauenswürdigen AD RMS-Server

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ:<URL_or_HostName>

    Wert: Die Zeichenfolgenwerte in diesem Registrierungsschlüssel können entweder das Format von DNS-Domänennamen (z. B. adrms.contoso.com) oder vollständige URLs zu vertrauenswürdigen AD RMS-Servern (z. B. https://adrms.contoso.com) sein. Wenn eine angegebene URL mit https:// beginnt, verwendet der RMS-Client SSL oder TLS zum Kontaktieren der angegebenen AD RMS-Server.

RMS-Dienstermittlung

Mithilfe der RMS-Dienstermittlung kann der RMS-Client überprüfen, mit welchem RMS-Server oder -Dienst er vor dem Schützen von Inhalten kommunizieren soll. Die Dienstermittlung kann auch erfolgen, wenn der RMS-Client geschützte Inhalte nutzt. Diese Art der Ermittlung ist aber weniger wahrscheinlich, da die zum Inhalt gehörige Richtlinie den bevorzugten RMS-Server oder -Dienst enthält. Nur wenn diese Quellen nicht zum Erfolg führen, nimmt der Client die Dienstermittlung vor.

Zum Ausführen der Dienstermittlung überprüft der RMS-Client Folgendes:

  1. Die Windows-Registrierung auf dem lokalen Computer: Wenn die Einstellungen für die Dienstermittlung in der Registrierung konfiguriert sind, werden diese Einstellungen zuerst ausprobiert.

    Standardmäßig sind diese Einstellungen nicht in der Registrierung konfiguriert, aber ein Administrator kann sie für AD RMS konfigurieren, wie in einem folgenden Abschnitt dokumentiert. Ein Administrator konfiguriert diese Einstellungen für den Azure Rights Management-Dienst in der Regel während des Migrationsprozesses von AD RMS zu Azure Information Protection.

  2. Active Directory Domain Services:: Ein in eine Domäne eingebundener Computer fragt von Active Directory einen Dienstverbindungspunkt (SCP) ab.

    Wenn ein SCP, wie im folgenden Abschnitt dokumentiert, registriert ist, wird die URL des AD RMS-Servers an den RMS-Client zur Verwendung zurückgegeben.

  3. Der Azure Rights Management-Ermittlungsdienst: Der RMS-Client stellt eine Verbindung mit https://discover.aadrm.com her, und der Benutzer wird zur Authentifizierung aufgefordert.

    Wenn die Authentifizierung erfolgreich ist, wird anhand des Benutzernames (und der Domäne) aus der Authentifizierung der zu verwendenden Azure Information Protection-Mandanten ermittelt. Die für dieses Benutzerkonto verwendete Azure Information Protection-URL, wird an den RMS-Client zurückgegeben. Die URL hat das folgende Format: https://<YourTenantURL>/_wmcs/licensing

    Zum Beispiel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    <IhreMieterURL> hat das folgende Format: {GUID}.rms.[Region].aadrm.com.Sie können diesen Wert finden, indem Sie den Wert RightsManagementServiceId identifizieren, wenn Sie das Cmdlet Get-AipServiceConfiguration ausführen.

Hinweis

Für diesen Dienstermittlungsfluss gibt es vier wichtige Ausnahmen:

  • Mobile Geräte eignen sich am besten für die Nutzung eines Cloud-Dienstes, daher verwenden sie standardmäßig die Diensterkennung für den Azure Rights Management-Dienst (https://discover.aadrm.com). Wenn Sie diese Standardeinstellung außer Kraft setzen möchten, damit mobile Geräte AD RMS anstelle des Azure Rights Management-Diensts verwenden, müssen Sie SRV-Einträge in DNS angeben und die Mobilgeräteerweiterung gemäß der Dokumentation in Active Directory Rights Management Services-Mobilgeräteerweiterung installieren.

  • Wenn der Rights Management-Dienst von einer Azure Information Protection-Bezeichnung aufgerufen wird, wird die Dienstermittlung nicht ausgeführt. Stattdessen wird die URL direkt in der Bezeichnungseinstellung angegeben, die in der Azure Information Protection-Richtlinie konfiguriert ist.

  • Wenn ein Benutzer die Anmeldung von einer Office-Anwendung aus initiiert, wird der Benutzername (und die Domäne) aus der Authentifizierung zum Ermitteln des zu verwendenden Azure Information Protection-Mandanten verwendet. In diesem Fall sind keine Registrierungseinstellungen erforderlich, und der SCP wird nicht überprüft.

  • Wenn Sie die DNS-Umleitung für Office-Klick-und-Los-Desktop-Apps konfiguriert haben, findet der RMS-Client den Azure Rights Management-Dienst dadurch, dass ihm der Zugriff auf den zuvor gefundenen AD RMS-Cluster verweigert wird. Diese Verweigerungsaktion veranlasst den Client, nach dem SRV-Eintrag zu suchen, der den Client zum Azure Rights Management-Dienst für Ihren Mandanten umleitet. Mit diesem SRV-Eintrag kann Exchange Online auch E-Mails entschlüsseln, die durch Ihren AD RMS-Cluster geschützt wurden.

Nur AD RMS: Aktivieren der serverseitigen Dienstermittlung mithilfe von Active Directory

Wenn Ihr Konto über ausreichende Berechtigungen (Organisations-Admin und lokaler Administrator für den AD RMS-Server) verfügt, können Sie bei der Installation des AD RMS-Stammclusterservers einen Dienstverbindungspunkt automatisch registrieren. Wenn bereits ein AD RMS-Dienstverbindungspunkt in der Gesamtstruktur vorhanden ist, müssen Sie zunächst den vorhandenen Dienstverbindungspunkt löschen, ehe Sie einen neuen erstellen können.

Sie können einen SCP nach der folgenden Vorgehensweise registrieren und löschen, nachdem AD RMS installiert wurde. Stellen Sie vor Beginn sicher, dass Ihr Konto über die erforderlichen Berechtigungen verfügt (Unternehmensadministratoren und lokaler Administrator für den AD RMS-Server).

So aktivieren Sie die AD RMS-Diensterkennung durch Registrierung eines Dienstverbindungspunkts in Active Directory

  1. Öffnen Sie die Active Directory Management Services-Konsole auf dem AD RMS-Server:

    • Für Windows Server 2012 R2 oder Windows Server 2012 wählen Sie im Server Manager Tools>Active Directory Rights Management Services.

    • Für Windows Server 2008 R2 wählen Sie Start>Verwaltungstools>Active Directory Rights Management Services.

  2. Klicken Sie in der AD RMS-Konsole mit der rechten Maustaste auf den AD RMS-Cluster, und klicken Sie anschließend auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte SCP.

  4. Aktivieren Sie das Kontrollkästchen SCP ändern.

  5. Wählen Sie die Option SCP auf aktuellen Zertifizierungscluster festlegen aus und klicken Sie dann auf OK.

Aktivieren der clientseitigen Dienstermittlung mithilfe der Windows-Registrierung

Alternativ zur Verwendung eines SCP oder wenn kein SCP vorhanden ist, können Sie die Registrierung auf dem Clientcomputer so konfigurieren, dass der RMS-Client seinen AD RMS-Server finden kann.

Aktivieren der clientseitigen AD RMS-Dienstermittlung mithilfe der Windows-Registrierung

  1. Öffnen Sie den Windows-Registrierungs-Editor (regedit.exe):

    • Geben Sie auf dem Clientcomputer im Fenster Ausführen regedit ein und drücken Sie dann die Eingabetaste, um den Registrierungs-Editor zu öffnen.

  2. Navigieren Sie im Registrierungs-Editor zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    Hinweis

    Wenn Sie eine 32-Bit-Anwendung auf einem 64-Bit-Computer ausführen, navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. Klicken Sie zum Erstellen des Unterschlüssels ServiceLocation mit der rechten Maustaste auf MSIPC, zeigen Sie auf Neu, klicken Sie auf Schlüssel und geben Sie dann ServiceLocation ein.

  4. Klicken Sie zum Erstellen des Unterschlüssels EnterpriseCertification mit der rechten Maustaste auf ServiceLocation, zeigen Sie auf Neu, klicken Sie auf Schlüssel und geben Sie dannEnterpriseCertification ein.

  5. Zum Festlegen der URL der Unternehmenszertifizierung doppelklicken Sie unter dem Unterschlüssel EnterpriseCertification auf (Standardwert). Wenn der Dialog Zeichenkette bearbeiten angezeigt wird, geben Sie für Wertdaten<http or https>://<AD RMS_cluster_name>/_wmcs/Certification ein und klicken Sie dann auf OK.

  6. Klicken Sie zum Erstellen des Unterschlüssels EnterprisePublishing mit der rechten Maustaste auf ServiceLocation, zeigen Sie auf Neu, klicken Sie auf Schlüssel und geben Sie dann EnterprisePublishing ein.

  7. Zum Festlegen der URL der Unternehmensveröffentlichung doppelklicken Sie unter dem Unterschlüssel EnterprisePublishing auf (Standardwert). Wenn der Dialog Zeichenkette bearbeiten angezeigt wird, geben Sie für Wertdaten<http or https>://<AD RMS_cluster_name>/_wmcs/Licensing ein und klicken Sie dann auf OK.

  8. Schließen Sie den Registrierungs-Editor.

Wenn der RMS-Client durch Abfragen von Active Directory keinen SCP finden kann und er nicht in der Registrierung angegeben ist, schlägt die Dienstermittlung für AD RMS fehl.

Umleiten des Lizenzserverdatenverkehrs

In manchen Fällen müssen Sie den Datenverkehr während der Dienstermittlung gegebenenfalls umleiten, z. B. wenn zwei Organisationen zusammengeführt werden und der alte Lizenzserver in einer Organisation aufgegeben wird und Clients zu einem neuen Lizenzserver umgeleitet werden müssen. Oder Sie migrieren von AD RMS zu Azure RMS. Gehen Sie folgendermaßen vor, um eine Umleitung von Lizenzierungsinformationen zu aktivieren.

Aktivieren der RMS-Lizenzierungsumleitung mithilfe der Windows-Registrierung

  1. Öffnen Sie den Windows-Registrierungs-Editor (regedit.exe).

  2. Navigieren Sie Registrierungs-Editor zu einer der folgenden Stellen:

    • Für 64-Bit-Version von Office auf x64-Plattform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • Für 32-Bit-Version von Office auf x64-Plattform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. Erstellen Sie einen Unterschlüssel LicensingRedirection, indem Sie mit der rechten Maustaste auf Servicelocation klicken, auf Neu zeigen, auf Schlüssel klicken und dann LicensingRedirection eingeben.

  4. Klicken Sie zum Festlegen der Lizenzierungsumleitung mit der rechten Maustaste auf den Unterschlüssel LicensingRedirection, wählen Sie Neu aus, und wählen Sie dann Zeichenkettenwert aus. Geben Sie für Name die bisherige Serverlizenzierungs-URL an, und geben Sie für Wert die neue Serverlizenzierungs-URL an.

    Wenn Sie z. B. die Lizenzierungsdaten von einem Server bei Contoso.com auf einen Server bei Fabrikam.com umleiten möchten, könnten Sie die folgenden Werte eingeben:

    Name: https://contoso.com/_wmcs/licensing

    Wert: https://fabrikam.com/_wmcs/licensing

    Hinweis

    Wenn für den alten Lizenzserver sowohl Intranet- als auch Extranet-URLs angegeben sind, muss für beide URLs unter dem Schlüssel LicensingRedirection eine neue Namen- und Wertzuordnung festgelegt werden.

  5. Wiederholen Sie den vorherigen Schritt für alle Server, die umgeleitet werden müssen.

  6. Schließen Sie den Registrierungs-Editor.