Exchange Server 2010与RMS集成

与权限管理服务（Rights Management Services/RMS）集成是Exchange Server 2010的新功能，也是一大亮点。随着RMS还会提到一个名词是IRM，即：信息权限管理/Information Rights Management。实际上，RMS是服务，而IRM是具体实现。安装RMS之后，才可以使用IRM。在 Exchange Server 2010 中，可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。

通过与RMS的集成，Exchange邮件用户可以控制收件人对电子邮件拥有的权限，允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。

用户可在 Microsoft Outlook 或 Outlook Web App 中应用 IRM 保护，或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同，IRM 还允许组织解密受保护的内容，以强制执行策略遵从性。

IRM 可以实现：

• 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容；
• 用与邮件相同的保护级别保护所支持的附件文件格式；
• 支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看；
• 防止使用 Windows 中的截图工具复制受 IRM 保护的内容。

但是，IRM 无法防止：

• 第三方屏幕捕获程序；
• 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相；
• 用户记住或手动抄录信息。

 

Exchange Server 2010与RMS集成，可以应用在以下几个方面：

1. 传输保护规则
   可以根据传输规则中定义的筛选条件，为满足条件的邮件自动应用指定的RMS模板，以利用IRM来保护邮件信息；
2. 传输解密
   被IRM保护的邮件可以被解密并进行防病毒扫描，之后再次加密进行后续传递；
3. 日记报告解密
   被IRM保护的邮件，如果被日记规则归档，可以先解密再归档；
4. 为Exchange Search实现IRM解密
   使Exchange Search能够搜索受IRM保护的邮件内容；
5. OWA/Outlook
   用户可以在Outlook和OWA中发送/接收利用IRM保护的邮件，而不需要额外安装任何插件；
6. 保护语音邮件
   可以利用IRM来保护语音邮件，特别是私人的语言邮件，可以设置“不可转发(Do not forward)”模板进行保护；
7. 预授权
   在受IRM保护的邮件中，插入一个RMS的预授权。这样可以实现客户端的脱机浏览，而不需要联系RMS服务器来获取授权；
8. Outlook保护规则（需要Outlook 2010/Exchange Server 2010 SP1）
   在发送邮件之前，通过应用 Outlook 2010 中的RMS模板，来使用信息权限管理 (IRM) 保护邮件。

要使用RMS，特别是进行解密工作，需要特殊的权限；Exchange为了简化管理，并且减少Exchange与RMS直接的访问请求（用于获得RMS授权），在安装Exchange Server 2010时，会在活动目录中创建一个专门的用户帐号，显示名称为FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042。将这个帐号加入到RMS的Super Users组中即可获得相应的权限。后面会再作说明。

Exchange与RMS的集成主要分为3个步骤：

1. 安装RMS并注册服务连接点（Service Connection Point/SCP）；
2. 设置Exchange在RMS服务上能够使用的权限；
3. 创建并配置RMS的Super Users组。

安装Rights Management Services

在Windows Server 2008/R2中，RMS是作为操作系统的组件直接提供的，不再像Windows Server 2003中需要额外下载并安装。要实现Exchange Server 2010与RMS的集成，运行RMS的操作系统需要是Windows Server 2008 R2，或者Windows Server 2008 SP2，并且安装了KB973247补丁。通过Windows Server 2008/R2的服务器管理控制台，通过添加角色菜单，启动RMS的安装向导。

1. 选择Active Directory Rights Management Services，向导会提示需要安装IIS角色，点击Add Required Role Services进行添加
   
2. 复核需要安装的角色
   
3. 在RMS介绍页面点击Next，进入到选择RMS的服务页面，如下图所示。其中没有核选的Identity Federation Support是用于与ADFS集成的。
   
4. 选择创建一个新的AD RMS Cluster
   
5. RMS将使用SQL数据库作为存储。可以使用Windows自带的数据库引擎，也可以指定一个已经安装好的SQL实例。
   
6. 指定RMS服务的运行帐号，这个帐号需要是域帐号，不能是域管理员帐号，并且已经加入到本机的Local Administrators组里
   
7. 选择RMS Cluster的密钥存放位置
   
8. 输入用于灾难恢复的密码
   
9. 指定RMS使用的IIS站点名称
   
10. 指定RMS的发布位置和访问方式
    
11. 指定RMS使用的服务器证书友好名称
    
12. 后面是关于IIS的组件安装，接受默认配置即可
13. 检查配置信息，点击Install开始安装
    
14. 如果已经在其它服务器上安装了RMS Cluster，需要额外添加一台服务器，可以在前面第4步时，选择Join an existing AD RMS cluster
    
15. 输入已经存在的RMS服务器所使用的SQL数据库信息
    
16. 输入已经安装的RMS上，用于密钥保护的密码
    
17. 输入本机用于运行RMS服务的帐号
    
18. 选择本机上用于发布RMS的IIS站点
    
19. 接受关于IIS的默认配置
20. 复核配置信息，点击Install开始安装
    

需要注意的是，不支持在实际生产环境中，将RMS与Exchange安装在同一台服务器上。

配置RMS的访问连接点SCP

安装好RMS后，打开管理工具中的RMS管理控制台，打开服务器的属性页面后，切换到SCP页面，可以看到SCP的值，这是一个URL，RMS的用户将使用这个URL来进行访问：

这个属性会被记录到活动目录的Configuration中，位置如下：

设置RMS的访问控制权限

RMS通过Web Service方式来提供服务。默认情况下，这些Web Service的权限（Discretionary Access Control List /DACL）是受到限制的，Exchange服务器没有足够的权限来实现对RMS的调用。需要手动指定正确的权限，才能够实现Exchange与RMS的集成。步骤如下：

1. 在安装了RMS的服务器上，打开资源管理器
2. 浏览到%systemdrive%\Inetpub\wwwroot\_wmcs\Certification
3. 选中ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑
4. 添加活动目录中的Exchange Servers组，并设置为允许“读取”和“读取及运行”（”Read & execute” 和 “Read”）
   
5. 如果访问控制列表中没有AD RMS Service Group组（这是一个本地组），那么重复第4步，添加该组，权限也是允许“读取”和“读取及运行”
6. 应用更改后，关闭属性对话框
7. 如果RMS Cluster中有多个成员，需要在每个成员上重复前面的操作

设置RMS Super Users组

RMS的Super Users组中成员，可以不受限制地访问所有被IRM保护的数据，也就是说，该组的成员可以进行解密工作。默认情况下，Super Users组是禁用状态，需要手动进行启用。同时，这个组需要是一个启用了邮件功能的通用组（universal group ）。前面提到的FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中，这个帐号是系统邮箱，从Exchange Management Console中是看不到的，需要使用Exchange Management Shell命令行工具，通过Add-DistributionGroupMember 进行添加。

1. 在Exchange Management Console中，创建一个名为RMS_SuperUsers的通讯组
2. 打开Exchange Management Shell，输入命令
   Add-DistributionGroupMember RMS_SuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
3. 打开RMS管理控制台，展开Security Policies，右键单击Super Users，选择Enable Super Users
   
4. 将前面创建的RMS_SuperUsers组选入
   

在Exchange中检查IRM是否可用

配置好前面的步骤后，Exchange Server 2010就可以实现利用RMS进行邮件数据保护的功能了。使用前，可以检查一下配置是否正确。

1. 打开Exchange Management Shell
2. 运行命令Get-IRMConfiguration，确保其中的InternalLicensingEnabled是True状态。
   
3. 运行命令Test-IRMConfiguration -Sender User@Sample.com
   其中的User@Sample.com是一个Exchange邮件用户的邮件地址
   

现在，就可以确定Exchange与RMS的集成成功了。后面会讨论用户如何使用RMS来保证邮件安全。

原创文章，转载请注明出处。George Wu