实验：Exchange_Server_2010与RMS集成.doc

RMS与Exchange 2010 集成一、安装AD权限管理服务开始这个任务，使用Contosoadministrator账户登录1. 点击开始菜单，选择管理工具，打开Active Directory用户和计算机2. 在Active Directory用户和计算机控制台中，展开users，在users容器中新建用户rmsadmin，密码password01! 在创建用户时，确保清除用户下次登录时须更改密码选项 为AD RMS服务创建一个服务管理账户，注意不能选择默认的contosoadministrator作为AD RMS的管理账户3. 将用户rmsadmin加入到domain admins组之中 注意此操作将创建的rmsadmin用户加入了域管理员组，只有AD RMS服务安装在域控制器时，才需要进行此操作，如果AD RMS服务器仅安装在域成员服务器上，则无需将rmsadmin加入域管理员组4. 在DNS中新建别名记录5. 点击开始菜单，选择管理工具，打开服务器管理器6. 在服务器管理器中，选择角色，并点击添加角色 首先要部署AD RMS服务，Exchange才能够实现邮件权限控制7. 在开始之前页面，点击下一步8. 在服务器角色页面，选中Active Directory Rights Management Services，在弹出的添加角色向导中，选择添加所需的角色服务，点击下一步9. 在Active Directory Rights Management Services页面中，点击下一步10. 在角色服务页面，确认已经选中了Active Directory权限管理服务器，点击下一步11. 在创建或加入AD RMS群集页面中，选择新建AD RMS群集，点击下一步12. 在配置数据库页面，选择在此服务器上使用Windows内部数据库，点击下一步13. 在服务账户页面，选择指定域用户账户，并输入之前创建的用户rmsadmin，密码password01! 点击下一步14. 在配置AD RMS群集键存储页面，选择使用AD RMS集中管理的密钥存储，点击下一步15. 在群集密钥密码页面，输入AD RMS群集密码password01!16. 在群集网站页面，确认选择为虚拟目录选择网站为Default Web Site，点击下一步17. 在指定群集地址页面，选择使用未加密连接（http:/），并且在完全限定的域名中，输入，并点击验证，看到网络中客户端的群集地址预览为 ，点击下一步18. 在命名许可方证书页面，保持默认名称，点击下一步19. 在注册AD RMS服务连接点页面，选择立即注册AD RMS服务连接点，点击下一步20. 在确认安装选择页面，确认安装设置与之前设置相同，点击安装开始AD RMS服务的安装过程21. 确认所有安装任务成功后，点击关闭完成AD RMS的安装过程配置AD权限管理服务并实现与Exchange Server 2010的集成AD RMS服务器的安装过程完成，接下来需要对AD RMS服务器进行配置，以使AD RMS服务器能够与Exchange Server 2010进行集成。1. 点击开始菜单，选择所有程序，展开Microsoft Exchange Server 2010，打开Exchange Management Console2. 选择收件人配置通讯组3. 在右侧操作窗口中选择新建通讯组4. 在新建通讯组页面，选择新建组，并点击下一步5. 在组信息页面，将组类型设置为安全，指定组的名称及别名为SuperRMSUsers，点击下一步，在新建通讯组页面点击新建 此操作将为AD RMS创建一个超级用户组，AD RMS超级用户组的成员可以对使用RMS加密的内容进行解密6. 点击开始菜单，选择管理工具，选择Active Directory用户和计算机7. 展开users，找到用户FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e04，将该用户加入到SuperRMSUsers组中 默认Exchange Server 2010集线器传输服务器会使用该用户身份对所有收发的RMS加密邮件进行解密尝试，因此需要将该用户加入到AD RMS超级用户组之中，才能够确保Exchange集线器传输服务器能够对RMS加密的邮件进行反垃圾和反病毒邮件检查和筛选8. 以用户contosormsadmin登录 必须使用之前安装AD RMS群集时设置的管理账号登录AD RMS服务器9. 打开开始菜单，选择管理工具，选择Active Directory Rights Management Services10. 展开AD RMS群集，展开安全策略超级用户11. 右键点击超级用户，选择启用超级用户12. 在中间窗口选择更改超级用户组，选择浏览，指定SuperRMSUsers为超级用户组 将之前创建的SuperRMSUsers用户组设置为超级用户组，确保Exchange能够与AD RMS进行集成，实现如OWA RMS加密，RMS邮件传输检查等功能13. 点击开始菜单，选择管理工具，点击Internet信息服务（IIS）管理器14. 展开RMS网站Default Web Site-_wmcscertification ,右键点击certification，选择浏览15. 在certification文件夹中，右键点击ServerCertification.asmx文件，选择属性安全16. 在ServerCertification.asmx属性安全选项中，点击继续，在ServerCertification.asmx的权限页面，点击添加，添加Authenticated Users组、Exchange Servers组和AD RMS Service Group 组，确保这些组对ServerCertification.asmx文件有读取和执行、读取的权限，点击确定完成权限的设置 Exchange OWA在使用RMS权限设置时，会通过Web的方式读取AD RMS服务器上的ServerCertification.asmx文件中存储的权限相关信息，默认仅有System对ServerCertification.asmx文件具有读取权限，因此需要为Authenticated Users组赋予对该文件的读取权限，以确保在Exchange OWA中可以正常使用RMS功能17. 点击任务栏中的powershell图标，选择导入策略模块18. 在posershell中输入get-IRMConfiguration，查看当前Exchange组织的权限管理设置情况InternalLicensingEnable： False 表示当前Exchange组织内部没有启用RMS功能ExternalLicensingEnable： False 表示当前Exchange组织外部没有启用RMS功能 因为已经配置完成了AD RMS服务，但Exchange还没有与AD RMS服务集成，因此需要在Exchange Management Shell中将Exchange与AD RMS集成在