如果你是一个 AD RMS 服务器管理员，突然有用户跟你报告说无法使用 RMS 服务对文档进行加解密，在向微软提交 Case 请求协助前，可以按照下面的步骤进行初步排错：

1.     确保当前用户为域用户，并且正确配置了邮件地址属性；

2.     确保 AD RMS 服务器的认证 URL 和授权 URL 都加入到了 IE 的 Local Intranet 安全区域；

参考 - http://blogs.technet.com/b/gcrsec/archive/2009/02/27/rms.aspx

事实上，这一步对于 Office2013 客户端来说是必须要做的；

3.     确保客户端计算机上使用 IE 可以正常访问 AD RMS 服务器的认证 URL 和授权 URL；

http(s)://<your cluster>/_wmcs/certification/certification.asmx

http(s)://<your cluster>/_wmcs/licensing/license.asmx

正常情况下，以上两个 URL 应该可以被直接访问，并且整个过程中没有关于证书的任何警告或报错信息（如果启用了 HTTPS）；

4.     如果所有客户端都无法正常使用，请检查下 AD RMS 服务器的 IIS 站点（默认站点 ->  ”_wmcs” -> Certification/Licensing）的认证配置，确保匿名访问（Anonymous Authentication）或其他的认证方式没有被手动启用。

正确的配置如下图所示：

注：默认只有 Windows Authentication 会被启用，请不要随意手动改动这里，除非您在部署 RMS 跨域环境时按照文档对 ~/Licensing/license.asmx 这个特定的对象启用匿名访问。

5.     如果以上步骤后，问题还是没能解决，最后请按照下面文档重设 RMS 客户端，看问题是否可以得到解决。

参考 - http://social.technet.microsoft.com/wiki/contents/articles/7697.ad-rms-troubleshooting-reset-the-client-en-us.aspx

6.     确保 Windows 自动更新已经启用，并且 Office 已升级至最新版本。

如果以上步骤后，问题还在，那么你可以直接向微软提交一个 Case 做深入分析了。

RMS Trace 日志抓取：

========

如果有兴趣，也可自行按照下面两篇文档抓取 RMS 客户端和服务器端的 RMS Trace 详细日志进行分析：

http://social.technet.microsoft.com/wiki/contents/articles/7700.ad-rms-troubleshooting-client-side-tracing.aspx

http://social.technet.microsoft.com/wiki/contents/articles/7838.ad-rms-troubleshooting-server-side-tracing.aspx

微软安全支持专家

Gary