Active Directory ドメイン サービス (AD DS) では、AD RMS のユーザーに対して認証を行います。ログが有効になっていれば、AD RMS クラスターが受信するすべてのユーザー アカウント要求がログ データベースに記録されます。
構成データベースからアカウントを削除する
AD DS からユーザー アカウントを削除しても、そのユーザーの RMS アカウント証明書 (RAC) に対応するユーザー キー テーブル内の構成データベース エントリは自動的に削除されません。このため、新しいユーザー キーの追加に伴って、古いユーザー キーが削除されないままユーザー キー テーブルが無限に増大する可能性があります。
構成データベースを維持するには 2 つの方法があります。その 1 つとして、AD DS からユーザー アカウントを削除するときに、関連するユーザー キーをセキュリティ識別子 (SID) で識別して削除するストアド プロシージャを作成して実行できます。
もう 1 つの方法として、AD DS に SID が存在しなくなったユーザー キーを構成データベースから削除するスクリプトを作成し、定期的に実行できます。この方法では、データベース サーバーと AD DS の両方に多大な負荷がかかるため、稼働率の低い時間帯にスクリプトを実行するようにスケジュールを設定してください。
ユーザー アカウントを別の AD DS フォレストに移動する
組織内でルート クラスターを設定してプロビジョニングする場合は、Active Directory フォレストごとに 1 つしかルート クラスターを配置できません。
一般に、同じフォレスト内のドメイン間でユーザー アカウントを移動すると、移動先のユーザー アカウントに新しい SID が作成されます。その後でユーザーがクラスター内のサーバーから新しい RAC を取得しようとすると、SID が異なることからそのユーザーは新しいユーザーとして表示されます。クラスターは、そのユーザー アカウントに新しいキーを生成し、ユーザーの元の電子メール アドレスを使用して新しい RAC を発行します。このユーザーが、既存の使用ライセンスで新しい RAC を使おうとすると、SID とキーが一致しないことになります。ユーザーは、新しい使用ライセンスを取得する必要があります。これは、別のフォレストにあるドメインにユーザー アカウントを移動する場合も同様です。