3.配置AD RMS与Exchange Server 2010集成,实现邮件传输保护.doc

3：配置AD RMS与Exchange Server 2010集成，实现邮件传输保护虚拟机操作系统角色内存IPWS2008R2DCWindows Server 2008 R2域控制器、DNS1GEx2010AWindows Server 2008 R2Exchange 2010邮箱、集线器传输、客户端访问服务器2G0000Ex2010BWindows Server 2008 R2Exchange 2010邮箱服务器2G0000Windows7Windows 7+Office 2010客户端1G0安装AD权限管理服务WS2008R2DC1. 在Active Directory用户和计算机users容器中新建用户rmsadmin，密码password01! 2. 将用户rmsadmin加入到domain admins组之中3. 添加角色Active Directory Rights Management Services4. 在创建或加入AD RMS群集页面中，选择新建AD RMS群集，点击下一步5. 在配置数据库页面，选择在此服务器上使用Windows内部数据库，点击下一步6. 在服务账户页面，选择指定域用户账户，并输入之前创建的用户rmsadmin，密码password01! 点击下一步7. 在配置AD RMS群集键存储页面，选择使用AD RMS集中管理的密钥存储，点击下一步8. 在群集密钥密码页面，输入AD RMS群集密码password01!9. 在群集网站页面，确认选择为虚拟目录选择网站为Default Web Site，点击下一步10. 在指定群集地址页面，选择使用SSL加密连接（https:/），并且在完全限定的域名中，输入，并点击验证，看到网络中客户端的群集地址预览为 ，点击下一步11. 在服务器身份验证证书页面，选择为SSL加密选择现有证书（推荐），选择证书列表中的 点击下一步12. 在命名许可方证书页面，保持默认名称WS2008R2DC，点击下一步13. 在注册AD RMS服务连接点页面，选择立即注册AD RMS服务连接点，点击下一步14. 在Web服务器（IIS）页面，点击下一步15. 在选择服务角色页面，保持默认选择，点击下一步16. 在确认安装选择页面，确认安装设置与之前设置相同，点击安装开始AD RMS服务的安装过程17. 确认所有安装任务成功后，点击关闭完成AD RMS的安装过程配置AD权限管理服务并实现与Exchange Server 2010的集成1. EX2010A2. 点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，打开Exchange Management Console3. 选择收件人配置通讯组4. 在右侧操作窗口中选择新建通讯组5. 在新建通讯组页面，选择新建组，并点击下一步6. 在组信息页面，将组类型设置为安全，指定组的名称及别名为SuperRMSUsers，点击下一步，在新建通讯组页面点击新建 此操作将为AD RMS创建一个超级用户组，AD RMS超级用户组的成员可以对使用RMS加密的内容进行解密7. WS2008R2DC8. 点击开始菜单，选择管理工具，选择Active Directory用户和计算机9. 展开users，找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04，将该用户加入到SuperRMSUsers组中 默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试，因此需要将该用户加入到AD RMS超级用户组之中，才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选10. 以用户contosormsadmin，密码password01!登录虚拟机WS2008R2DC 必须使用之前安装AD RMS群集时设置的管理账号登录AD RMS服务器11. 打开开始菜单，选择管理工具，选择Active Directory Rights Management Services12. 展开AD RMS群集，展开安全策略超级用户13. 右键点击超级用户，选择启用超级用户14. 在中间窗口选择更改超级用户组，选择浏览，指定SuperRMSUsers为超级用户组 将之前创建的SuperRMSUsers用户组设置为超级用户组，确保Exchange能够与AD RMS进行集成，实现如OWA RMS加密，RMS邮件传输检查等功能15. 点击开始菜单，选择管理工具，点击Internet信息服务（IIS）管理器16. 展开WS2008R2DC网站Default Web Site-_wmcscertification ,右键点击certification，选择浏览17. 在certification文件夹中，右键点击ServerCertification.asmx文件，选择属性安全18. 在ServerCertification.asmx属性安全选项中，点击继续，在ServerCertification.asmx的权限页面，点击添加，添加Authenticated Users组，确保Authenticated Users组对ServerCertification.asmx文件有读取和执行、读取的权限，点击确定完成权限的设置 Exchange OWA在使用RMS权限设置时，会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息，默认仅有System对ServerCertification.asmx文件具有读取权限，因此需要为Authenticated Users组赋予对该文件的读取权限，以确保在Exchange OWA中可以正常使用RMS功能19. Ex2010A20. 点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，选择Exchange Management Shell21. 在Exchange Management Shell中输入get-IRMConfiguration，查看当前Exchange组织的权限管理设置情况InternalLicensingEnable： False 表示当前Exchange组织内部没有启用RMS功能ExternalLicensingEnable： False 表示当前Exchange组织外部没有启用RMS功能 因为已经配置完成了AD RMS服务，但Exchange还没有与AD RMS服务集成，因此需要在Exchange Management Shell中将Exchange与AD RMS集成在一起。22. 输入Set-IRMConfiguration InternalLicensingEnable $true在Exchange组织内部启用RMS功能23. 再使用get-IRMConfiguration查看Exchange组织的RMS配置情况，确保设置为InternalLicensingEnable： True 24. admin登录到虚拟机Windows 725. 打开IE浏览器，在IE地址栏输入进入Exchange的OWA页面26. 使用用户contosowangqi，密码password01!登录OWA27. 进入OWA页面后，选择新建邮件，确认可以在OWA中看到权限选项卡，如下图所示： 通过AD RMS与Exchange的集成，Exchange Server 2010用户可以在OWA或Outlook上使用权限功能，对邮件的权限进行控制，从而实现邮件传输和存储的实时安全保护。默认Exchange提供了一条不转发策略（如上图所示），可以在AD RMS服务器上对策略进行定义。28. 给用户libin发送一封测试邮件，并且将邮件权限设置为不转发29. 以用户contosolibin，密码password01!登录OWA，查看刚刚用户wangqi发送的测试邮件，确认所收到的测试邮件如下图所示，无法进行转发30. WS2008R2DC31. 打开AD RMS管理控制台，展开RMS群集 ，选择权限策略模板，选择创建分布式权限策略模板 通过AD RMS群集中的权限模板管理，可以为Exchange定制不同的权限策略，以便于灵活管理企业用户邮件的安全传输32. 在添加模板表示信息页面，选择添加，输入模板名称IT E-mail Policy，描述IT E-mail Policy，点击添加，点击下一步33. 在添加用户权限页面，点击添加，分别添加用户contosolibin和contosoliliang34. 在权限设置区域，为用户contosolibin设置完全控制权限，为用户contosoliliang设置查看权限35. 点击完成，完成权限模板的创建。 AD RMS策略模板添加完成，若在OWA中查看到该模板，需要等待一段时间，为了加快策略同步速度，可以重启虚拟机EX2010A36. 登录虚拟机Windows 7，打开IE浏览器，在IE地址栏输入进入OWA登录页面37. 以用户 contosowangqi，密码password01!登录OWA，选择新建邮件，确认在权限设置框中可以看到在AD RMS服务器上添加的IT E-mail Policy策略，如下图所示：发送一封测试邮件给用户contosoliliang和contosolibin，并设置权限为IE E-mail Policy