使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

  1. 云栖社区>
  2. 博客>
  3. 正文

使用Windows Server 2008 R2 AD RMS对Exchange Server 2010进行信息权限管理

余二五 2017-11-15 22:50:00 浏览1244
展开阅读全文

1. 概述

本文章介绍利用Windows Server 2008 R2的AD RMS来进行保护Exchange Server 2010中用户的邮件信息,相比之前版本的RMS和Exchange,二者在最新平台上的集成显得更加强大,而且易于部署。

环境介绍:

DC01.TIGER.COM Windows Server 20008 R2\AD\RMS\CA\DNS

EX01.TIGER.COM Windows Server 2008 R2\Exchange Server 2010

关于Windows Server 2008 R2中AD RMS可以参考:

http://technet.microsoft.com/en-us/library/cc732534.aspx

关于Exchange Server 2010权限保护可以参考:

http://technet.microsoft.com/zh-cn/library/dd351035(EXCHG.140).aspx

2. RMS安装

(备注:事先已经安装好AD\DNS\CA基础服务。)

在DC01上添加RMS角色,如下图

clip_image002

clip_image004

clip_image006

clip_image008

此处需要单独设置一个域用户rmsadmin作为RMS的服务账户和管理账户。(由于是本环境是在域控上安装RMS,所以需要将rmsadmin添加到domain admins组,在域成员服务器上安装需要将rmsadmin添加到本地administrators组中。可以从下图获取该账户需要的权限配置信息。)

clip_image010

clip_image012

clip_image014

clip_image016

在此处我将rms.tiger.com作为RMS群集地址,rms.tiger.com需要事先或之后在域的DNS服务器上添加对应的A记录或者别名,指向DC01.TIGER.COM即可。(直接将计算机名:DC01.TIGER.COM作为群集地址也可以,另外,选择SSL加密连接不是必需的,所以CA服务器角色也不是必需,但是可以使RMS群集和客户机之间的通讯更加安全。)

clip_image018

如果在上图中选择了SSL加密连接,此处需要选择一个证书,证书需要包含上面群集地址对应的FQDN名。(本环境中下图的选择的证书是颁发给dc01.tiger.com的,但是备用名称中也含RMS.TIGER.COM)

clip_image020

此处可以自定义许可方证书,相比之前windows Server 2003,无需向微软申请(个人理解是采用的是自签名的证书,该证书的地位类似与windows中的企业根证书,全林唯一。)

clip_image022

clip_image024

clip_image026

clip_image028

clip_image030

clip_image032

注意:如果安装失败,出现“已经被绑定证书……”之类的错误,请确认之前已经删除或取消了服务器中默认网站的https绑定。

3. 配置RMS与Exchange集成

AD RMS服务器的安装过程完成,接下来需要对AD RMS服务器和Exchange Server 2010服务器进行配置,以使AD RMS服务器能够与Exchange进行集成。

在EX01.tiger.com 通过Exchange 控制台(EMC)建立安全通讯组SuperRMSAdmin,该组将在随后配置为RMS的超级用户,可以解密RMS加密的文件。

clip_image034

clip_image036

clip_image038

clip_image039

在AD计算机和用户控制台中,找到Users组织单元下的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04用户,启用它,并添加到SuperRMSAdmin组中。

(默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试,因此需要将该用户加入到AD RMS超级用户组之中,才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选)

clip_image040

以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,启用超级用户,如下图

clip_image042

将SuperRMSAdmin加入超级用户组

clip_image044

clip_image045

在RMS服务器上(DC01.tiger.com)打开IIS管理器,展开DC01—网站—Default Web Site--_wmcs—certification ,右键点击certification,选择浏览

clip_image047

在certification文件夹中,右键点击ServerCertification.asmx文件,选择属性—安全。在ServerCertification.asmx属性—安全选项中,点击继续,在ServerCertification.asmx的权限页面,点击添加,添加Authenticated Users组,确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限,点击确定完成权限的设置。如下图:

(Exchange OWA在使用RMS权限设置时,会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息,默认仅有System对ServerCertification.asmx文件具有读取权限,因此需要为Authenticated Users组赋予对该文件的读取权限,以确保在Exchange OWA中可以正常使用RMS功能)

clip_image048

在Exchange上打开命令行管理控制台,输入“Set-IRMConfiguration – InternalLicensingEnable $true”启用Exchange组织内部的信息权限管理(IRM)功能,输入get-IRMConfiguration 查看当前RMS启用情况。命令请参考:

http://technet.microsoft.com/zh-cn/library/dd298082(EXCHG.140).aspx

clip_image049

clip_image051

clip_image053

4. 简单测试

完成RMS与Exchange集成后,以下使用默认的“不转发”策略来测试RMS对邮件的保护功能。

通过OWA或者Outlook新建发送邮件,选择不转发策略,如下图:

clip_image054

选择“不转发”后的情况

clip_image056

收件方收到邮件后的情况,“转发”是灰色不可选状态

clip_image058

clip_image060

5. RMS策略自定义

如何添加默认的“不转发”策略之外的RMS策略,操作示例如下:

(通过AD RMS权限模板的定制,企业可以根据自身的需求,灵活定制权限模板,并且将AD RMS与Exchange Server 2010集成起来,从而实现严格合规且安全的企业邮件传输)。

 

以用户rmsadmin登陆rms服务器(DC01.tiger.com),打开AD RMS控制台,选择“权限策略模板”-“创建分布式权限策略模板”。操作见下列截图:clip_image062

clip_image064

输入策略模板名及描述。

clip_image065

点击“下一步”

clip_image067

添加IT组织单元下的两个用户,为了测试策略效果,分别授予了不同的权限(liuzhijian@tiger.com为完全权限,chenyitai@tiger.com为仅查看权限)。

clip_image069

clip_image070

clip_image072

clip_image074

clip_image076

在上图中点击“完成”后创建策略模板完毕。

clip_image078

测试如下:

使用zhoujunyuan@tiger.com使用新建的“IT EMAIL POLICY 01”为这个两个用户发送邮件。

clip_image080

用户chenyitai@tiger.com登录OWA打开RMS TEST 02邮件的情况,全部操作为灰色不可用。

clip_image082

用户liuzhijian@tiger.com登录OWA打开RMS TEST 02邮件的情况

clip_image084

6. 使用邮件传输规则自动匹配RMS策略模板

为了进一步提高安全,消除发件人在客户端漏选、错选RMS策略模板,可以结合Exchange Server 2010的传输规则来自动对收件人匹配对应的RMS策略模板。操作如下:

打开Exchange管理控制台,进行新建传输规则

clip_image086

clip_image088

仍然为liuzhijian@tiger.com和chenyitai@tiger.com启用IT Email Policy 01 RMS策略模板。

clip_image090

clip_image092

clip_image094

测试:

仍然使用zhoujunyuan@tiger.com来发送邮件,此时没有收工选择RMS策略模板,而是直接发送。

clip_image096

分别使用chenyitai@tiger.com和liuzhijian@tiger.com登录OWA查看邮件。测试情况和之前收工权限完全一样,

clip_image098

clip_image099









本文转自 tigerkillu 51CTO博客,原文链接:http://blog.51cto.com/chenyitai/389282,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
余二五
+ 关注