使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

时间:2021-05-17 00:33:30

1. 概述

本文章介绍利用Windows Server 2008 R2的AD RMS来进行保护Exchange Server 2010中用户的邮件信息,相比之前版本的RMS和Exchange,二者在最新平台上的集成显得更加强大,而且易于部署。

环境介绍:

DC01.TIGER.COM Windows Server 20008 R2\AD\RMS\CA\DNS

EX01.TIGER.COM Windows Server 2008 R2\Exchange Server 2010

关于Windows Server 2008 R2中AD RMS可以参考:

http://technet.microsoft.com/en-us/library/cc732534.aspx

关于Exchange Server 2010权限保护可以参考:

http://technet.microsoft.com/zh-cn/library/dd351035(EXCHG.140).aspx

2. RMS安装

(备注:事先已经安装好AD\DNS\CA基础服务。)

在DC01上添加RMS角色,如下图

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

此处需要单独设置一个域用户rmsadmin作为RMS的服务账户和管理账户。(由于是本环境是在域控上安装RMS,所以需要将rmsadmin添加到domain admins组,在域成员服务器上安装需要将rmsadmin添加到本地administrators组中。可以从下图获取该账户需要的权限配置信息。)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在此处我将rms.tiger.com作为RMS群集地址,rms.tiger.com需要事先或之后在域的DNS服务器上添加对应的A记录或者别名,指向DC01.TIGER.COM即可。(直接将计算机名:DC01.TIGER.COM作为群集地址也可以,另外,选择SSL加密连接不是必需的,所以CA服务器角色也不是必需,但是可以使RMS群集和客户机之间的通讯更加安全。)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

如果在上图中选择了SSL加密连接,此处需要选择一个证书,证书需要包含上面群集地址对应的FQDN名。(本环境中下图的选择的证书是颁发给dc01.tiger.com的,但是备用名称中也含RMS.TIGER.COM)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

此处可以自定义许可方证书,相比之前windows Server 2003,无需向微软申请(个人理解是采用的是自签名的证书,该证书的地位类似与windows中的企业根证书,全林唯一。)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

注意:如果安装失败,出现“已经被绑定证书……”之类的错误,请确认之前已经删除或取消了服务器中默认网站的https绑定。

3. 配置RMS与Exchange集成

AD RMS服务器的安装过程完成,接下来需要对AD RMS服务器和Exchange Server 2010服务器进行配置,以使AD RMS服务器能够与Exchange进行集成。

在EX01.tiger.com 通过Exchange 控制台(EMC)建立安全通讯组SuperRMSAdmin,该组将在随后配置为RMS的超级用户,可以解密RMS加密的文件。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在AD计算机和用户控制台中,找到Users组织单元下的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04用户,启用它,并添加到SuperRMSAdmin组中。

(默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试,因此需要将该用户加入到AD RMS超级用户组之中,才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,启用超级用户,如下图

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

将SuperRMSAdmin加入超级用户组

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在RMS服务器上(DC01.tiger.com)打开IIS管理器,展开DC01—网站—Default Web Site--_wmcs—certification ,右键点击certification,选择浏览

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在certification文件夹中,右键点击ServerCertification.asmx文件,选择属性—安全。在ServerCertification.asmx属性—安全选项中,点击继续,在ServerCertification.asmx的权限页面,点击添加,添加Authenticated Users组,确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限,点击确定完成权限的设置。如下图:

(Exchange OWA在使用RMS权限设置时,会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息,默认仅有System对ServerCertification.asmx文件具有读取权限,因此需要为Authenticated Users组赋予对该文件的读取权限,以确保在Exchange OWA中可以正常使用RMS功能)

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在Exchange上打开命令行管理控制台,输入“Set-IRMConfiguration – InternalLicensingEnable $true”启用Exchange组织内部的信息权限管理(IRM)功能,输入get-IRMConfiguration 查看当前RMS启用情况。命令请参考:

http://technet.microsoft.com/zh-cn/library/dd298082(EXCHG.140).aspx

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

4. 简单测试

完成RMS与Exchange集成后,以下使用默认的“不转发”策略来测试RMS对邮件的保护功能。

通过OWA或者Outlook新建发送邮件,选择不转发策略,如下图:

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

选择“不转发”后的情况

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

收件方收到邮件后的情况,“转发”是灰色不可选状态

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

5. RMS策略自定义

如何添加默认的“不转发”策略之外的RMS策略,操作示例如下:

(通过AD RMS权限模板的定制,企业可以根据自身的需求,灵活定制权限模板,并且将AD RMS与Exchange Server 2010集成起来,从而实现严格合规且安全的企业邮件传输)。

 

以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,选择“权限策略模板”-“创建分布式权限策略模板”。操作见下列截图:使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

输入策略模板名及描述。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

点击“下一步”

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

添加IT组织单元下的两个用户,为了测试策略效果,分别授予了不同的权限(liuzhijian@tiger.com为完全权限,chenyitai@tiger.com为仅查看权限)。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

在上图中点击“完成”后创建策略模板完毕。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

测试如下:

使用zhoujunyuan@tiger.com使用新建的“IT EMAIL POLICY 01”为这个两个用户发送邮件。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

用户chenyitai@tiger.com登录OWA打开RMS TEST 02邮件的情况,全部操作为灰色不可用。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

用户liuzhijian@tiger.com登录OWA打开RMS TEST 02邮件的情况

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

6. 使用邮件传输规则自动匹配RMS策略模板

为了进一步提高安全,消除发件人在客户端漏选、错选RMS策略模板,可以结合Exchange Server 2010的传输规则来自动对收件人匹配对应的RMS策略模板。操作如下:

打开Exchange管理控制台,进行新建传输规则

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

仍然为liuzhijian@tiger.com和chenyitai@tiger.com启用IT Email Policy 01 RMS策略模板。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

测试:

仍然使用zhoujunyuan@tiger.com来发送邮件,此时没有收工选择RMS策略模板,而是直接发送。

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

分别使用chenyitai@tiger.com和liuzhijian@tiger.com登录OWA查看邮件。测试情况和之前收工权限完全一样,

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

本文出自 “两只老虎” 博客,请务必保留此出处http://chenyitai.blog.51cto.com/996951/389282