Active Directory Rechteverwaltungsdienste (RMS) und Exchange 2016 (Teil 3)

In Teil 1 dieser Artikelserie wurde der RMS Server installiert und  in Teil 2 fand die Konfiguration statt. Jetzt folgt die Integration in Exchange 2016.

Zur Erinnerung noch einmal die Umgebung aus Teil 1 und 2:

Umgebung

Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:

RMS_thumb1_thumb

Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.

Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.

Vorbereitung

Damit die Integration in Exchange 2016 funktioniert, muss das Active Directory Konto der Systemmailbox „FederatedEMail“ Mitglied der RMS Admin Gruppe sein. In meinem Fall füge ich das Konto „FederatedEmail“ zur Gruppe „SG_RMSAdmins“ hinzu:

image

Anschließend müssen wieder ein paar zusätzliche Berechtigungen vergeben werden. Dazu wird im IIS-Manager auf die Anwendung „certification“ geklickt und zur Inhaltsansicht gewechselt:

image

Für die Datei ServerCertification.asmx können nun die Berechtigungen bearbeitet werden:

image

Die Gruppe „Exchange Servers“ und „FederatedEmail“ erhalten „Lesen“ und „Lesen und Ausführen“ Rechte:

image

Jetzt sollten die Berechtigungen wie folgt aussehen:

image

Weiter geht es mit der Integration in Exchange 2016

Integration RMS in Exchange 2016

AD RMS wird innerhalb von Exchange Server als IRM (Information Rights Management) benannt. Daher sind auch die CMDLets und Einstellungen entsprechend mit IRM gekennzeichnet (Get-IRMConfiguration, Set-IRMConfiguration, etc.).

In der Standardeinstellung ist IRM für die ClientAccessServer bereits eingeschaltet, wie an vielen Stellen ist „ClientAccessServer“ hier noch ein Überbleibsel aus Exchange 2013, denn ClientAccess und Postfach Rolle, wurden zusammengelegt, sodass es nur noch die Postfachrolle gibt.

Die Lizenzierung, also das Austellen von Lizenzen für Dokumente ist in der Standard Einstellung allerdings deaktiviert:

image

Mit dem folgenden Befehl lässt sich RMS für den internen Gebrauch einschalten:

Set-IRMConfiguration –InternalLicensingEnabled $true

Hinweis: Hier geht es erst einmal darum RMS intern zu aktivieren. Damit es auch mit externen Empfängern, also Empfängern außerhalb des eigenen Acktive Directory funktioniert, ist noch mehr erforderlich.

Auch für OWA ist RMS (IRM) bereits aktiviert:

image

Um IRM intern zur Verfügung zu stellen, muss also zunächst nur das „Set-IRMConfiguration“-CMDLet ausgeführt werden, danach lässt sich bereits testen:

Test-IRMConfiguration -Sender <a href="mailto:administrator@frankysweb.com">administrator@frankysweb.com
</a>

RMS

Überall ein Erfolg, es kann getestet werden.

Outlook und OWA

Zum Testen erstelle ich eine neue E-Mail in OWA, über die „3 Punkte“-Schaltfläche wird nun die Option „Berechtigungen festlegen“ angezeigt. Hier ist nun die „Nur Lesen“-Richtlinie aus Teil 2 sichtbar. Die beiden anderen Richtlinien sind Standard Exchange Richtlinien:

image

Wenn „Nur Lesen“ ausgewählt wird, werden entsprechende Mail Tipps mit den Informationen der Richtlinie angezeigt. Diese wurden ebenfalls in Teil 2 konfiguriert:

image

Die Mail wird an einen internen Empfänger mit Outlook 2016 verschickt. Beim Öffnen der RMS geschützten Mail, wird zunächst Outlook einmalig für due Nutzung von AD RMS konfiguriert:

image

Danach kann die Mail gelesen werden, aber die Schaltflächen für „Antworten“ und „Weiterleiten“ sind ausgegraut, da in der Richtlinie „Nur Lesen“ definiert wurde.

image

Hinweis: Versucht doch mal Kopieren und Einfügen oder ein Bildschirmfoto…

Ich habe dazu ein kleines Video erstellt:

 

6 Gedanken zu „Active Directory Rechteverwaltungsdienste (RMS) und Exchange 2016 (Teil 3)“

  1. Hallo Frank,
    erstmal vielen Dank für die Anleitung. Mit dieser Schritt-für-Schritt-Anleitung kommt man wirklich ans Ziel.

    Jedem, der über die Fehler
    FEHLER: Fehler beim Abrufen eines Rechtekontozertifikats (RAC) und/oder eines Clientlizenzgeberzertifikats (CLC).
    In OWA sind die Vorlagen verfügbar, aber Mails werden nicht versendet..
    stolpert:
    Der Exchange-Server hat zwar alle Berechtigungen, allerdings erbt er diese über Berechtigungsgruppen erst nach einem Reboot. Ich habe mir lange den Kopf zerbrochen, aber Reboot tut gut. Danach ist das „Gesamtergebnis: Erfolg“

    Antworten
  2. 1. Opened the location C:inetpubwwwroot_wmcscertification
    2. Select ServerCertification.asmx
    3. Right click –>properties and click the Security tab.
    4. Click the Edit button –> click the Add button –> set From this location field to the local server then type AD RMS Service Group
    into the object names field –> then click the Check Names button. Click or
    5. Add Read & execute and Read permissions.
    6. Also make sure Exchange servers domain group is already added.
    7. Did the same on all AD RMS servers

    Now we ran the following cmd:

    Test-IRMConfiguration –Sender AdminEmailID

    Antworten
  3. Bei den Hinweisen wird erwähnt, dass RMS mit externen Empfängern mehr erfordert.
    Leider habe ich bisher nicht herausgefunden, wie dieses „mehr“ zu schaffen ist. Geht es ohne Azure-Dienste?

    Antworten
  4. Bei mir das gleiche allerdings sehe ich noch folgendes beim Test-IRMConfiguration:
    Acquiring Rights Account Certificate (RAC) and Client Licensor Certificate (CLC) …
    – FAIL: Failed to acquire a Rights Account Certificate (RAC) and/or a Client Licensor Certificate (CLC).
    This failure may cause features such as Transport Decryption, Transport Protection Rules, Journal Report
    Decryption, IRM in Outlook Web App, IRM in Exchange ActiveSync, and IRM Search to not work. Make sure that
    the Exchange Servers Group is granted „Read“ and „Read & Execute“ rights on the ServerCertification.asmx and
    Publish.asmx pipelines on your AD RMS server. For details, see „Set Permissions on the AD RMS Certification
    Pipeline“ at http://go.microsoft.com/fwlink/?LinkId=186951.
    —————————————-
    Microsoft.Exchange.Security.RightsManagement.RightsManagementException: Failed to acquire server box RAC
    from . —>
    System.Web.Services.Protocols.SoapException: System.Web.Services.Protocols.SoapException: Exception of type
    ‚System.Web.Services.Protocols.SoapException‘ was thrown. —>
    Microsoft.DigitalRightsManagement.Cryptography.UnsupportedCryptographicSetException: Exception of type
    ‚Microsoft.DigitalRightsManagement.Cryptography.UnsupportedCryptographicSetException‘ was thrown.
    — End of inner exception stack trace —
    at Microsoft.DigitalRightsManagement.Certification.BaseCertificationWebService.Certify(CAType caType,
    CertifyParams requestParameters)
    at Microsoft.DigitalRightsManagement.Certification.ServerCertificationWebService.Certify(CertifyParams
    requestParams)
    at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message,
    WebResponse response, Stream responseStream, Boolean asyncCall)
    at System.Web.Services.Protocols.SoapHttpClientProtocol.EndInvoke(IAsyncResult asyncResult)
    at Microsoft.Exchange.Security.RightsManagement.SOAP.ServerCertification.ServerCertificationWS.EndCertify(
    IAsyncResult asyncResult)
    at Microsoft.Exchange.Security.RightsManagement.ServerCertificationWSManager.EndAcquireRac(IAsyncResult
    asyncResult)
    — End of inner exception stack trace —
    at Microsoft.Exchange.Data.Storage.RightsManagement.RmsClientManager.EndAcquireInternalOrganizationRACAndC
    LC(IAsyncResult asyncResult)
    at Microsoft.Exchange.Management.RightsManagement.IRMConfigurationValidator.TryGetRacAndClc()

    Weiss leider auch keinen Rat mehr und der Microsoft Support weiss auch nichts mehr….

    Antworten
  5. hm, ich verzweifle gerade..
    Ich habe die Konfiguration nachgestellt und bekomme unter Exchange 2016 immer dieselbe Fehlermeldung:
    RAC (Rechtekontozertifikat) und CLC (Client-Lizenzgeberzertifikat) werden abgerufen…
    – FEHLER: Fehler beim Abrufen eines Rechtekontozertifikats (RAC) und/oder eines Clientlizenzgeberzertifikats (CLC).
    In OWA sind die Vorlagen verfügbar, aber Mails werden nicht versendet..

    Antworten

Schreibe einen Kommentar