1. 概述
本文章介紹利用Windows Server 2008 R2的AD RMS來進行保護Exchange Server 2010中使用者的郵件資訊,相比之前版本的RMS和Exchange,二者在最新平台上的內建顯得更加強大,而且易于部署。
環境介紹:
DC01.TIGER.COM Windows Server 20008 R2\AD\RMS\CA\DNS
EX01.TIGER.COM Windows Server 2008 R2\Exchange Server 2010
關于Windows Server 2008 R2中AD RMS可以參考:
<a href="http://technet.microsoft.com/en-us/library/cc732534.aspx">http://technet.microsoft.com/en-us/library/cc732534.aspx</a>
關于Exchange Server 2010權限保護可以參考:
<a href="http://technet.microsoft.com/zh-cn/library/dd351035(EXCHG.140).aspx">http://technet.microsoft.com/zh-cn/library/dd351035(EXCHG.140).aspx</a>
2. RMS安裝
(備注:事先已經安裝好AD\DNS\CA基礎服務。)
在DC01上添加RMS角色,如下圖
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963683Vyb0.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963686WEm4.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963688i54F.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963691794p.jpg"></a>
此處需要單獨設定一個域使用者rmsadmin作為RMS的服務賬戶和管理賬戶。(由于是本環境是在域控上安裝RMS,是以需要将rmsadmin添加到domain admins組,在域成員伺服器上安裝需要将rmsadmin添加到本地administrators組中。可以從下圖擷取該賬戶需要的權限配置資訊。)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963694N5sc.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963697CaMf.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963699y1yQ.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839637029Ozp.jpg"></a>
在此處我将rms.tiger.com作為RMS群集位址,rms.tiger.com需要事先或之後在域的DNS伺服器上添加對應的A記錄或者别名,指向DC01.TIGER.COM即可。(直接将計算機名:DC01.TIGER.COM作為群集位址也可以,另外,選擇SSL加密連接配接不是必需的,是以CA伺服器角色也不是必需,但是可以使RMS群集和客戶機之間的通訊更加安全。)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963704UGPh.jpg"></a>
如果在上圖中選擇了SSL加密連接配接,此處需要選擇一個證書,證書需要包含上面群集位址對應的FQDN名。(本環境中下圖的選擇的證書是頒發給dc01.tiger.com的,但是備用名稱中也含RMS.TIGER.COM)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963708Ipjj.jpg"></a>
此處可以自定義許可方證書,相比之前windows Server 2003,無需向微軟申請(個人了解是采用的是自簽名的證書,該證書的地位類似與windows中的企業根證書,全林唯一。)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963711jz15.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963713WLOB.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963717T1jy.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963720cxVm.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963723WGcc.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963725fUkd.jpg"></a>
注意:如果安裝失敗,出現“已經被綁定證書……”之類的錯誤,請确認之前已經删除或取消了伺服器中預設網站的https綁定。
3. 配置RMS與Exchange內建
AD RMS伺服器的安裝過程完成,接下來需要對AD RMS伺服器和Exchange Server 2010伺服器進行配置,以使AD RMS伺服器能夠與Exchange進行內建。
在EX01.tiger.com 通過Exchange 控制台(EMC)建立安全通訊組SuperRMSAdmin,該組将在随後配置為RMS的超級使用者,可以解密RMS加密的檔案。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963727tD2w.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963730k7Pf.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839637320DQP.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963734xqaE.png"></a>
在AD計算機和使用者控制台中,找到Users組織單元下的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04使用者,啟用它,并添加到SuperRMSAdmin組中。
(預設Exchange Server 2010集線器傳輸伺服器會使用該使用者身份對所有收發的RMS加密郵件進行解密嘗試,是以需要将該使用者加入到AD RMS超級使用者組之中,才能夠確定Exchange集線器傳輸伺服器能夠對RMS加密的郵件進行反垃圾和反病毒郵件檢查和篩選)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963735tUQa.png"></a>
以使用者rmsadmin登陸rms伺服器(DC01.tiger.com),打開AD RMS控制台,啟用超級使用者,如下圖
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963736EtHC.jpg"></a>
将SuperRMSAdmin加入超級使用者組
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963738kAg9.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963739DIt7.png"></a>
在RMS伺服器上(DC01.tiger.com)打開IIS管理器,展開DC01—網站—Default Web Site--_wmcs—certification ,右鍵點選certification,選擇浏覽
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963741kuQc.jpg"></a>
在certification檔案夾中,右鍵點選ServerCertification.asmx檔案,選擇屬性—安全。在ServerCertification.asmx屬性—安全選項中,點選繼續,在ServerCertification.asmx的權限頁面,點選添加,添加Authenticated Users組,確定Authenticated Users組對ServerCertification.asmx檔案有讀取和執行、讀取的權限,點選确定完成權限的設定。如下圖:
(Exchange OWA在使用RMS權限設定時,會通過Web的方式讀取AD RMS伺服器上的ServerCertification.asmx檔案中存儲的權限相關資訊,預設僅有System對ServerCertification.asmx檔案具有讀取權限,是以需要為Authenticated Users組賦予對該檔案的讀取權限,以確定在Exchange OWA中可以正常使用RMS功能)
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963744wZDQ.png"></a>
在Exchange上打開指令行管理控制台,輸入“Set-IRMConfiguration – InternalLicensingEnable $true”啟用Exchange組織内部的資訊權限管理(IRM)功能,輸入get-IRMConfiguration 檢視目前RMS啟用情況。指令請參考:
<a href="http://technet.microsoft.com/zh-cn/library/dd298082(EXCHG.140).aspx">http://technet.microsoft.com/zh-cn/library/dd298082(EXCHG.140).aspx</a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839637476FUM.png"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963748QmuQ.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963749G6h3.jpg"></a>
4. 簡單測試
完成RMS與Exchange內建後,以下使用預設的“不轉發”政策來測試RMS對郵件的保護功能。
通過OWA或者Outlook建立發送郵件,選擇不轉發政策,如下圖:
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963752VME5.png"></a>
選擇“不轉發”後的情況
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839637564LP3.jpg"></a>
收件方收到郵件後的情況,“轉發”是灰色不可選狀态
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963758Hjtj.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963760ah5c.jpg"></a>
5. RMS政策自定義
如何添加預設的“不轉發”政策之外的RMS政策,操作示例如下:
(通過AD RMS權限模闆的定制,企業可以根據自身的需求,靈活定制權限模闆,并且将AD RMS與Exchange Server 2010內建起來,進而實作嚴格合規且安全的企業郵件傳輸)。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963765DX6C.jpg"></a>
輸入政策模闆名及描述。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963767OZLU.png"></a>
點選“下一步”
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963769Ci90.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963771FShv.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963773EfnE.png"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963775bmmP.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963778cWVg.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963780yGDf.jpg"></a>
在上圖中點選“完成”後建立政策模闆完畢。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963783fA4P.jpg"></a>
測試如下:
使用[email protected]使用建立的“IT EMAIL POLICY 01”為這個兩個使用者發送郵件。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963786Iooc.jpg"></a>
使用者[email protected]登入OWA打開RMS TEST 02郵件的情況,全部操作為灰色不可用。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963788KzHi.jpg"></a>
使用者[email protected]登入OWA打開RMS TEST 02郵件的情況
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839637911AlS.jpg"></a>
6. 使用郵件傳輸規則自動比對RMS政策模闆
為了進一步提高安全,消除發件人在用戶端漏選、錯選RMS政策模闆,可以結合Exchange Server 2010的傳輸規則來自動對收件人比對對應的RMS政策模闆。操作如下:
打開Exchange管理控制台,進行建立傳輸規則
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963793wTum.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963795iiZp.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963797LvsH.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963801MAhE.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963804aSOs.jpg"></a>
測試:
仍然使用[email protected]來發送郵件,此時沒有收工選擇RMS政策模闆,而是直接發送。
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_12839638060GLH.jpg"></a>
分别使用[email protected]和[email protected]登入OWA檢視郵件。測試情況和之前收工權限完全一樣,
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963809AWsl.jpg"></a>
<a href="http://chenyitai.blog.51cto.com//attachment/201009/8/996951_1283963813xjdc.png"></a>
本文轉自 tigerkillu 51CTO部落格,原文連結:http://blog.51cto.com/chenyitai/389282,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)