1. 概述
本文章介绍利用Windows Server 2008 R2的AD RMS来进行保护Exchange Server 2010中用户的邮件信息,相比之前版本的RMS和Exchange,二者在最新平台上的集成显得更加强大,而且易于部署。
环境介绍:
DC01.TIGER.COM Windows Server 20008 R2\AD\RMS\CA\DNS
EX01.TIGER.COM Windows Server 2008 R2\Exchange Server 2010
关于Windows Server 2008 R2中AD RMS可以参考:
http://technet.microsoft.com/en-us/library/cc732534.aspx
关于Exchange Server 2010权限保护可以参考:
http://technet.microsoft.com/zh-cn/library/dd351035(EXCHG.140).aspx
2. RMS安装
(备注:事先已经安装好AD\DNS\CA基础服务。)
在DC01上添加RMS角色,如下图
此处需要单独设置一个域用户rmsadmin作为RMS的服务账户和管理账户。(由于是本环境是在域控上安装RMS,所以需要将rmsadmin添加到domain admins组,在域成员服务器上安装需要将rmsadmin添加到本地administrators组中。可以从下图获取该账户需要的权限配置信息。)
在此处我将rms.tiger.com作为RMS群集地址,rms.tiger.com需要事先或之后在域的DNS服务器上添加对应的A记录或者别名,指向DC01.TIGER.COM即可。(直接将计算机名:DC01.TIGER.COM作为群集地址也可以,另外,选择SSL加密连接不是必需的,所以CA服务器角色也不是必需,但是可以使RMS群集和客户机之间的通讯更加安全。)
如果在上图中选择了SSL加密连接,此处需要选择一个证书,证书需要包含上面群集地址对应的FQDN名。(本环境中下图的选择的证书是颁发给dc01.tiger.com的,但是备用名称中也含RMS.TIGER.COM)
此处可以自定义许可方证书,相比之前windows Server 2003,无需向微软申请(个人理解是采用的是自签名的证书,该证书的地位类似与windows中的企业根证书,全林唯一。)
注意:如果安装失败,出现“已经被绑定证书……”之类的错误,请确认之前已经删除或取消了服务器中默认网站的https绑定。
3. 配置RMS与Exchange集成
AD RMS服务器的安装过程完成,接下来需要对AD RMS服务器和Exchange Server 2010服务器进行配置,以使AD RMS服务器能够与Exchange进行集成。
在EX01.tiger.com 通过Exchange 控制台(EMC)建立安全通讯组SuperRMSAdmin,该组将在随后配置为RMS的超级用户,可以解密RMS加密的文件。
在AD计算机和用户控制台中,找到Users组织单元下的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04用户,启用它,并添加到SuperRMSAdmin组中。
(默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试,因此需要将该用户加入到AD RMS超级用户组之中,才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选)
以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,启用超级用户,如下图
将SuperRMSAdmin加入超级用户组
在RMS服务器上(DC01.tiger.com)打开IIS管理器,展开DC01—网站—Default Web Site--_wmcs—certification ,右键点击certification,选择浏览
在certification文件夹中,右键点击ServerCertification.asmx文件,选择属性—安全。在ServerCertification.asmx属性—安全选项中,点击继续,在ServerCertification.asmx的权限页面,点击添加,添加Authenticated Users组,确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限,点击确定完成权限的设置。如下图:
(Exchange OWA在使用RMS权限设置时,会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息,默认仅有System对ServerCertification.asmx文件具有读取权限,因此需要为Authenticated Users组赋予对该文件的读取权限,以确保在Exchange OWA中可以正常使用RMS功能)
在Exchange上打开命令行管理控制台,输入“Set-IRMConfiguration – InternalLicensingEnable $true”启用Exchange组织内部的信息权限管理(IRM)功能,输入get-IRMConfiguration 查看当前RMS启用情况。命令请参考:
http://technet.microsoft.com/zh-cn/library/dd298082(EXCHG.140).aspx
4. 简单测试
完成RMS与Exchange集成后,以下使用默认的“不转发”策略来测试RMS对邮件的保护功能。
通过OWA或者Outlook新建发送邮件,选择不转发策略,如下图:
选择“不转发”后的情况
收件方收到邮件后的情况,“转发”是灰色不可选状态
5. RMS策略自定义
如何添加默认的“不转发”策略之外的RMS策略,操作示例如下:
(通过AD RMS权限模板的定制,企业可以根据自身的需求,灵活定制权限模板,并且将AD RMS与Exchange Server 2010集成起来,从而实现严格合规且安全的企业邮件传输)。
以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,选择“权限策略模板”-“创建分布式权限策略模板”。操作见下列截图:
输入策略模板名及描述。
点击“下一步”
添加IT组织单元下的两个用户,为了测试策略效果,分别授予了不同的权限(liuzhijian@tiger.com为完全权限,chenyitai@tiger.com为仅查看权限)。
在上图中点击“完成”后创建策略模板完毕。
测试如下:
使用zhoujunyuan@tiger.com使用新建的“IT EMAIL POLICY 01”为这个两个用户发送邮件。
用户chenyitai@tiger.com登录OWA打开RMS TEST 02邮件的情况,全部操作为灰色不可用。
用户liuzhijian@tiger.com登录OWA打开RMS TEST 02邮件的情况
6. 使用邮件传输规则自动匹配RMS策略模板
为了进一步提高安全,消除发件人在客户端漏选、错选RMS策略模板,可以结合Exchange Server 2010的传输规则来自动对收件人匹配对应的RMS策略模板。操作如下:
打开Exchange管理控制台,进行新建传输规则
仍然为liuzhijian@tiger.com和chenyitai@tiger.com启用IT Email Policy 01 RMS策略模板。
测试:
仍然使用zhoujunyuan@tiger.com来发送邮件,此时没有收工选择RMS策略模板,而是直接发送。
分别使用chenyitai@tiger.com和liuzhijian@tiger.com登录OWA查看邮件。测试情况和之前收工权限完全一样,
