IRM保護したExcelが開けない（Microsoft Rights Management System, RMS）

2015年の12月に入ってからIRM保護をかけたExcelを開こうとすると、
「アクセス制限サービスに接続中に問題が発生しました。後でもう一度試すか、
　詳細に関して管理者に問い合わせてください。」
とのメッセージが表示されるようになりました。

上記エラーがファイルが全く開けないのでさて困ったぞとなっていたのですが
どうもRMS 2003 のサポートというか製品寿命が2015/11/25に終了したらしい。

まあサポートが終わっているので仕方がないと言えばそうなのだが、突然ファイルが開けなくなるのは困る。
裏ワザでIRMを外してちょちょっと開けるようになるのならそれでいいのだが、そんな事が簡単にできたらIRMの意味が全くない。

という事で対応を迫られた結果サーバーをRMS 2003 から AD RMS(2008 R2) の環境に移行することになりました。

Technetのブログにやり方が書いてあったので参考に進めました。
[参考URL]RMS Troubleshooting: v1.x certificate expiration issues

一応私がやった手順を記載しますが、実際にサーバーを移行しようと考えている方は上記サイトをご自分で確認してください。


前置きが長くなりましたが、RMS v1(2003)から AD RMS(2008 R2)へRMSを移行する方法です。
手順の概要は次の通り
1.RMSのSQLサーバーのバックアップ
2.[旧サーバ]Trusted publishing domain (TPD) のエクスポート
3.[ADサーバ]ADサーバーからService Connection Point を削除
4.[新サーバ]新マシンのOSインストール(2008 R2)
5.[新サーバ]AD RMSの役割のインストール
6.[新サーバ]システム時刻変更
7.[新サーバ]Trusted publishing domain (TPD) のインポート
8.[新サーバ]システム時刻戻す


ステップバイステップはこちら
1.RMSのSQLサーバーのバックアップ
　SQL Server Enterprise Manager でRMS構成SQL Serverに接続する
　"DRMS_Config_(サーバー名)_80"という名前のデータベースをバックアップする
　　

2.[旧サーバ]Trusted publishing domain (TPD) のエクスポート
　ここでスクショを取り忘れたのですが"RMSの管理"からTPDのエクスポートをします。
　上記のTechnetを参照しながらやってみてください。
　エラーが出ることもあるらしいので気を付けて。
　出力はxmlファイルになります。

　xmlファイルを別の場所に移したら旧サーバのネットワークを無効化してシャットダウンしておきます。

3.[ADサーバ]ADサーバーからService Connection Point を削除
　ADサーバーで"Active Directroyサイトとサービス"を起動
　
　もし見当たらないよ～ってなったら最上位のノードを選択した状態で、メニューの[表示]-[サービスノードを表示]で表示されます。

4.[新サーバ]新マシンのOSインストール(2008 R2)
　コンピュータ名は旧サーバと違う名前にします。
　DNSサーバーでCNAMEを作成して旧サーバの名称での問い合わせに対して新サーバのIPが返るように設定します。

　これはRMS用のhttpアドレスで、旧サーバでのアドレスを使い続けるために必要な設定になります。
　
5.[新サーバ]AD RMSの役割のインストール
　役割の追加で"Active Directory Rights Management サービス"にチェック
　IISとかも勝手にインストールされます。

　
　
　
　
　
　
　
　ここでRMS用のURLを決めるのだが、旧サーバと同じアドレスになるように設定する。
　通常は旧サーバのホスト名のはず。
　
　
　

6.[新サーバ]システム時刻変更
　サーバの時刻を一時的に"2015年11月25日"に修正します。
　Hyper-Vで新サーバを立ち上げた場合は、ホストとの時刻同期を切っておくことをお勧めします。

7.[新サーバ]Trusted publishing domain (TPD) のインポート
　
　1.でエクスポートしたxmlファイルを取り込みます。
　
　ちなみにエクスポート時はパスワードのチェックはありませんが、インポート時はドメインポリシーに沿ったパスワードの複雑性が求められます。
　私はパスワードを適当につけたため１回インポートに失敗しました（汗）
　旧サーバを立ち上げてエクスポートし直して、DNSの設定もやり直したらうまく動いたのでよかったです。


8.[新サーバ]システム時刻戻す

以上の手順でIRM保護をしていたファイルが開けるようになっているはずです。

注意点ですが、

AD RMSはRMS v1のCALでアクセスできません（ライセンス的に。多分）。

私のところではIRMの利用率が低かったこともあり、既存のIRM保護ファイルは全てIRMの解除をして、RMSサーバもつぶす方向で対応するつもりです。