Microsoft Windows RMS

なぜ外注した教務システムは使い物にならないのか（１）要件定義に失敗する

ホチキス先生 — Fri, 14 Nov 2008 00:58:00 GMT

自分の学校の教務システム、本校では「支援システム」と呼んでいるのだが、これをSQL ServerとInfoPath、AccessなどのOfficeアプリケーションを組み合わせて作り、「なぜ外注した教務システムは使い物にならないのか」について思うところをまとめてみる。これはあくまでも現時点でのまとめなので、今後また考え方は変わるかもしれないが、あくまでも現時点のまとめである。

まず最も大きな理由は「要件定義に失敗する」ということだ。そもそもシステムを外注するためには、どのような業務を実現したいのかという整理が必要である。実現したいシステムが整理されて、それを「要件定義」にまとめられるのだが、そもそも「何をどうまとめていいかわからない」のが原因である。

学校側は自己の要件定義をまとめる力がない。ではシステム業者はどうか。受注する側は、要件定義が少ないほどいい。作りこまなければならない部分が少なくてすむからだ。だから業者側から積極的に要件定義に協力するということはない。契約の上では仕様を満たせばいいわけだが、本当の目的はシステムが業務にあわせて「ちゃんと動くこと」のはずだ。

最近ある雑誌のコラムに「要求定義は発注側、受注側、両方の責任」という記事があるのを目にした。これなど当たり前のことのように思えるが、実際は問題がおきたとき「仕様を満たしている」ことが責任の範囲になるようだ。このような問題は、大企業間のシステム外注でもおきているらしい。

学校の教務システムに慣れた業者は、「要件定義シート」といった雛形を用意しており、学校の要件定義が簡単にまとめられるようにしている。このようなシートを用意することは一見良心的なように思えるが、実は業者が「作ることができる」あるいは「作りたい」システムの雛形を選択肢に与えているにすぎない。このようなシートにチェックして要件定義ができるなら苦労はない。しかし実際は、このような一般化に現れない部分こそ、学校ごとに異なる仕様が必要になる要件なのだ。

一般化に現れない部分はシステム的には部分的な細部的構造であるのだが、実は部分的な細部の要求を満たそうと思えば、データベースの全体構造を変更せざるを得なくなってくる。これについては別途まとめて述べたい。

要件定義に失敗すれば、その要件定義に基づいた仕様も間違いであり、当然開発されたシステムも使い物にならなくなる。本校ではある意味「要件定義を行いながらシステムを開発している」という同時並行でやっている。したがって常に要件定義を見直しながらシステムを構築、更新している訳だ。

なぜこのようなことが可能になったか。それはSQL ServerとInfoPath、Accessなどのオフィスアプリケーションの組み合わせが、直感的でわかりやすいインタフェース、コードをほとんど書く必要がない、などの変化に順応した開発環境を提供してくれるからだ。

RMSの権利ポリシーテンプレートを配布するには（２）

ホチキス先生 — Wed, 01 Aug 2007 18:28:00 GMT

RMS権利ポリシーテンプレートの共有フォルダの指定を、Officeリソースキットのグループポリシー管理用テンプレートを利用してActiveDirectoryのグループポリシーで配布すると、以下のレジストリに変更が加えられる。

●Office2003の場合
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Common\DRM

●Office2007の場合
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Common\DRM

これら変更されたレジストリについては、ログオンした後、レジストリエディタで確認するとわかる。

RMSの権利ポリシーテンプレートを配布するには（１）

ホチキス先生 — Wed, 01 Aug 2007 18:23:00 GMT

RMSの権利ポリシーテンプレートを作成すると、適切なセキュリティの構成セットがOfficeのメニューからマウスクリックで選択することができるようになる。しかし、この権利ポリシーテンプレートをOfficeで利用するには、Officeアプリケーションに対して、権利ポリシーテンプレートのパスを示してやる必要がある。これにはレジストリの変更が必要である。

権利ポリシーテンプレートのパスを記述するレジストリはOffice2003では次のところにある。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\11.0\Common\DRM

ここにAdminTemplatePathの名前で権利ポリシーテンプレートを保存したディレクトリパスを指定すればよい。

しかし、この方法では、クライアントにログオンするユーザーが、個別にレジストリの値を変更しなければならなくなる。これでは管理上問題がある。これを解決するために、OfficeリソースキットにActiveDirectoryのグループポリシー管理用テンプレートが含まれている。OfficeリソースキットはMincoroftのサイトからダウンロードでき、Office2007用とOffice2003用のものがある。

Office2007用のリソースキットでは、AdminTemplates.exeファイルをダウンロードして展開すると複数のグループポリシー管理用テンプレートが得られ、RMSの権利ポリシーテンプレートのパスを設定するには、office12.admファイルを利用する。Office2003用のリソースキットでは、ork.exeファイルをダウンロードして適当なクライアントマシンにインストールすると、Windows\infフォルダに複数のグループポリシーテンプレートが生成するので、その中のOFFICE11.ADMファイルを利用する。

ActiveDirectory管理コンソールからグループポリシー管理用テンプレートを追加すると、以下のようなグループポリシーを設定できるようになる。

●Office2003用のグループポリシー管理用テンプレートを追加した場合

管理用テンプレート－Microsoft Office 2003－アクセス許可

・Information Rights Managementのユーザーインターフェースを無効にする
・追加権限の要求先
・以前のバージョンのOfficeを使用するユーザーのブラウザでの閲覧
・接続時に必ずユーザーの権限を確認する
・ドキュメントに対しアクセス権が制限されている時に常にグループを展開する
・ドキュメントのアクセス権の制限時に指定グループへのユーザー許可をしない
・グループを展開する為の検索のActive Directoryタイムアウトの設定
・アクセスが制限されているコンテンツにMicrosoft Passportを無効にする
・アクセス許可のポリシーのパスの指定

●Office2007用のグループポリシー管理用テンプレートを追加した場合

管理用テンプレート－Microsoft Office 2007 system－アクセス制限の管理

・権限が管理されたコンテンツに対するアクセス許可をユーザーが変更できないようにする
・権限が管理された電子メールを閲覧できないユーザーに表示されるメッセージ
・権限が管理されたドキュメントがアプリケーションで認識できない場合に表示される、ドキュメントテンプレートの場所を示すURL
・Information Rights Management関連のユーザーインターフェイスを無効にする
・追加権限の要求URL
・以前のバージョンのOfficeを使用するユーザーがブラウザで閲覧できるようにする
・アクセス許可の確認のためユーザーに常に接続を要求する
・ドキュメントのアクセス許可を制限している場合にOfficeでグループを常に展開表示する
・ドキュメントのアクセス許可が制限されている場合はユーザーにグループの指定を許可しない
・グループ拡張のエントリ1つに対して実行するクエリのActive Directoryタイムアウト
・アクセスが制限されたコンテンツに対するMicrosoft Passportサービスを無効にする
・アクセス許可ポリシーのパスを指定する
・Information Rights Managemant構成のアップグレードをユーザーに許可しない

Office2003を利用する場合は、上記の「アクセス許可のポリシーのパスの指定」でRMS権利ポリシーテンプレートファイルのパスを記述し、Office2007を利用する場合は、上記の「アクセス許可ポリシーのパスを指定する」でRMS権利ポリシーテンプレートファイルのパスを記述する。

このようにActiveDirectoryのグループポリシーを設定しておけば、権利ポリシーテンプレートの追加や変更を行う場合も、RMS管理サイトで権利ポリシーを編集すれば、それ以降にユーザーがログオンしたとき、自動的に権利ポリシーテンプレートを共有フォルダから読み取ってOfficeが適切に表示してくれる。ユーザーは画面をマウスクリックするだけで適切なポリシーを設定することができる。

RMSの権利ポリシーテンプレートを作成するには

ホチキス先生 — Wed, 01 Aug 2007 17:20:00 GMT

RMSの権利ポリシーテンプレートを作成すると、あらかじめ決めたポリシーのセットを作ることができる。例えば次のようなものだ。

・教員のみ　生徒は開くことができず、教員グループのみフルアクセスの文書になる。
・管理職へ　作成した教員はフルアクセス、管理職グループにのみ閲覧できる文書になる。
・授業用　教員グループはフルアクセス、生徒グループは閲覧のみできる文書になる。

これらの権利ポリシーテンプレートを作成するのは簡単である。RMS管理サイトのメニューに沿って作成すればよい。ただし、グループごとの権限設定をするためには、ActiveDirectoryのユーザーとグループで作成したセキュリティグループにもメールアドレスを付与しておかなければならない。

作成した権利ポリシーテンプレートはXMLファイルである。これをサーバーの共有フォルダにおき、クライアントからアクセスできるようにしておく。

IRMの導入について校内手続きをとる

ホチキス先生 — Mon, 28 May 2007 19:44:00 GMT

RMSサーバの検証が終わり、技術的に導入のめどがついた。次は校内的な手続きに入る。

RMSサーバの導入は、校内ネットワークの再構築と関係している。またRMSの利用について一般の教員に説明しなければならないし、使い方の研修もしなければならない。

IRMを利用するには、IRM対応クライアントソフトウエアの利用を義務付けなければならない。現時点ではオフィススイートではマイクロソフト製品しかないので、機密文書の作成にはワード、成績などの集計にはエクセルの利用を義務付けなければならない。またIRMクライアントアクセスライセンスの購入も必要である。

これらの諸条件を説明して校内手続きをとっておく必要があり、新支援システム稼動へ向けて関係各部所と連携して作業をすすめる。

Microsoft RMSを構築する方法をまとめる

ホチキス先生 — Thu, 17 May 2007 20:42:00 GMT

いろいろと試行錯誤してRMSを稼動することができた。些細なところで行き詰ったことが何度かあったので、ここにまとめておく。

構築環境
＜ハードウエア＞
　・サーバー　IBM System x3105
　・CPU　AMD Opteron Processor 1210 - 1.80 GHz
　・メモリ　2GB
　・HDD　40GB
＜ソフトウエア＞
　・Windows Server 2003 R2 standard
　・SQL Server 2005 standard
　・RMS 1.0 Service Pack 1

（１）Windows Server 2003 R2のインストール
　・IPの構成をする。
　・ドメインコントローラーにする。最初のサーバーの標準構成。（DHCP、Active Directory、DNS）
　・IISを構成する。ASP.NETにチェックをする。

（２）ユーザーの作成
　・RMSサービスの実行ユーザーを作成する。
　・Active Directoryのデフォルトドメインローカルポリシーで、RMSサービスの実行アカウントを「ローカルログオンを許可する」にする。
　・SQL Serverの実行ユーザーを作成する。
　・テスト用の一般ユーザーを作成する。
　・Active Directoryで一般ユーザーのアカウントにメールアドレスを登録しておく。

（３）メッセージキューのインストール
　・コントロールパネル-プログラムの追加と削除-Windowsコンポーネント-アプリケーションサーバーでメッセージキューをインストールする。

（４）SQL Server 2005のインストール
　・データベースサービスとワークステーションコンポーネントをインストールする。
　・名前つきインスタンスにする。
　・インストールできたらManagement Studioを起動して、RMSサービスの実行アカウントをログインに追加する。

（５）RMS管理Webコンソールを開く
　・このWebサイトにRMSを提供する、を実行する。

（６）RMSグローバル管理を開く
　・このWebサイトのRMSを管理する、を実行する。
　・サーバーライセンス証明書の要求、を実行する。
　・登録要求をファイルにエクスポートする、でファイルにし、インターネットに接続可能なマシンに移す。
　・インターネットに接続可能なマシンから、指示されたURLにアクセスし、ライセンサ証明書をダウンロードする。
　・ダウンロードしたライセンサ証明書をWindows Server 2003 R2に移し、インポートする。
　・サービス接続ポイントで、URLの登録ボタンをクリックする。

（７）SQL Server 2005の設定を変更する
　・MicrosoftのKB913372「SQL Server 2005 で、Windows Rights Management サービス (RMS) サーバーから RM アカウント証明書が発行されない」を見て、SQL Serverに指示されたクエリを実行する。
　　　　http://support.microsoft.com/default.aspx/kb/913372/ja

（８）クライアントの設定
　・Office2003またはOffice2007をインストールする。
　・クライアントコンピュータをドメインに参加させる。
　・RMSクライアントをインストールする。
　・WordなどOfficeアプリケーションを起動する。
　・「ファイル」メニューの「アクセス許可」－「配布禁止」を行う。
　・「アクセス許可」ウィンドウで「このドキュメントへのアクセスを制限する」にチェックを入れ、アクセス制限を行う。

RMSのデータベースをSQL Server 2005で構成したときの問題点と解決方法

ホチキス先生 — Thu, 17 May 2007 17:28:00 GMT

RMSのデータベースをSQL Server 2005で構成した場合、クライアントからサービスアクセスポイントが見えない、という現象が発生する。

SQL Server 2005をデータベースにしてRMSを通常にインストールすると、RMSはインストールできて正常に稼動し、サービスアクセスポイントも公開されているように見える。しかしクライアントでOffice文書を作ってアクセス許可を設定しようとしたとき、OfficeがRMSサーバに接続しようとするがサービスアクセスポイントが認識できず、.NET Pasportの利用かまたはWindowsの一時的なアカウントを利用する、のウィンドウが表示され、権限の設定ができなくなる現象がおこる。

この現象がおこるのは（１） Microsoft SQL Server 2005 をデータベースサーバーとして使用して Windows Rights Management サービス (RMS) が正常にインストール、展開されている場合、（２）インストール済みの既存 Microsoft SQL Server 2000 を SQL Server 2005 にアップグレードした場合、のどちらでも起こるとされている。

この原因は以下の文書に書かれており、解決の方法も文書中のクエリをSQL Serverのmasterに対して投げればよい。

KB913372「SQL Server 2005 で、Windows Rights Management サービス (RMS) サーバーから RM アカウント証明書が発行されない」

http://support.microsoft.com/default.aspx/kb/913372/ja

RMSで認証サーバを構成するにはローカルシステムアカウントではなく特定のユーザーを作るべきである。

ホチキス先生 — Thu, 03 May 2007 16:08:00 GMT

Windows Server 2003 R2にRMSを構成しようとしたが、ルート証明書サーバを構成しようとするが、なかなかできない事象に遭遇した。これが解決したのでまとめておく。

使用したものは以下のとおり。いずれも日本語、32ビット版だ。

・Windows Server 2003 R2 Standard Edition (Microsoft Licensing Disk July 2006)
・Windows Rights Management Services 1.0 with Service Pack 1 (Microsoft Licensing Disk February 2006)
・Microsoft SQL Server 2005 Standard Edition (Microsoft Licensing Disk February 2006)

インストールにおける注意点を箇条書きにすると以下のとおり。

（１）Active Directory Serviceを構成する。RMSを実行するアカウントを作成する。一時的にDomainAdminグループに入れる。
（２）DNS Serverを構成する
（３）IISを構成する。ASP.NETが必要。
（４）Message Queuingが必要。コントロールパネルからアプリケーションサーバーの中にある。
（５）SQL Serverをインストールする。このとき、RMSを実行する専用のアカウントをログインに作成し、dbcreatorにする。
（６）RMSをインストールする。

失敗だったのは、RMSを実行する専用のアカウントを作らず、RMSの構成で「ローカルシステムアカウント」でやるという怠慢をしていたから。ちゃんとRMSを実行するアカウントを作成したらうまくいった。なお、このアカウントを一時的にDomainAdminグループに入れておかないと、RMS構成Webコンソールで認証サーバを構成するときに、「このアカウントは対話的ログインできません」と言われる。