Несовместимость AD RMS Cryptographic Mode 2 и Exchange 2010 Information Rights Management

Если при тестировании IRM конфигурации в среде Exchange 2010 вы видите: «FAIL: Failed to acquire a Rights Account Certificate (RAC) and/or a Client Licensor Certificate (CLC).», а далее в тексте расшифровки ошибки  «UnsupportedCryptographicSetException», то с это значит, что ваш кластер AD RMS был в одностороннем порядке переведен в криптографический режим 2.

В службу Windows Server 2012 AD RMS была добавлена поддержка криптографического режима следующего поколения, которое поддерживает RSA ключи длиной 2048 бит, SHA-1 256 бит и поддержка SHA-2.

Поэтому, если вы планируете обновлять AD RMS службу своего предприятия с включением крипто режима 2 (переключение с режима 1 на режим 2 носит односторонний характер), не забывайте о почтовой системе Exchange 2010 которая работая на серверной платформе раннего поколения чем  Windows Server 2012, не сможет работать, и IRM будет недоступен на вашем предприятии.

Таким образом, если у вас  Exchange 2010 с включенным IRM функционалом, переводя кластер AD RMS на платформу Windows Server 2012 не надо переключать режим шифрования на 2. Стоит подождать перехода на Exchange 2013 в котором данная поддержка будет реализована.

AD RMS Cryptographic Mode 2 and Exchange 2010 Information Rights Management

Update:

Вышел Exchange 2010 Service Pack 3 в котором данная проблема была устранена.