In Teil 1 dieser Artikelserie wurde der RMS Server installiert, in Teil 2 geht es nun um die Konfiguration. Zur Erinnerung noch einmal die Umgebung aus Teil 1:
Umgebung
Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:
Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.
Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.
Vorbereitung
Damit RMS korrekt funktioniert, müssen zunächst die Authentifizierungseinstellungen im IIS angepasst werden. Im IIS Manager findet sich unterhalb der „Default Web Site“ eine Anwendung mit dem Namen „_wmcs“. Für diese Anwendung muss die „Anonyme Authentifizierung“ aktiviert werden:
Unterhalb von „_wmcs“ befindet sich die Anwendung „licensing“, auch hier wird die „Anonyme Authentifizierung“ aktivuert.
Die restlichen Anwendungen brauchen nicht angepasst werden:
Jetzt kann eine neue Active Directory Gruppe angelegt werden. Die Gruppe dient für die AD RMS Administratoren:
Als Mitglieder der Gruppe werden nun die Konten hinzugefügt, die AD RMS verwalten dürfen. In meinem Fall ist das „Administrator“
Die Admin Gruppe benötigt eine E-Mail Adresse, daher muss die Gruppe am Exchange Server als Verteilergruppe aktiviert werden.
Enable-DistributionGroup SG_RMSAdmins
Für die Verteilung der RMS Vorlagen wird eine Freigabe benötigt. Ich habe dazu einen Ordner auf Laufwerk C: mit dem Namen „ADRMS Vorlagen“ angelegt:
Der Ordner wird für das RMS Dienstkonto freigegeben:
New-SmbShare -Name ADRMSVorlagen -Path "c:\ADRMS Vorlagen" -FullAccess frankysweb\ADRMSServiceAccount
Konfiguration Active Directory Rechteverwaltungsdienste (AD RMS)
Im Startmenü findet sich nach der Installation von AD RMS eine entsprechende Verwaltungskonsole die nun zur Konfiguration benötigt wird:
Als Erstes wird der Export von Vorlagen für Benutzerrechterichtlinien in die zuvor erstellte Freigabe aktiviert:
Für den Export wird der UNS Pfad der Freigabe angegeben:
Unter dem Punkt Sicherheitsrichtlinien gibt es den Punkt Administratoren. Hier kann der Administratorzugriff aktiviert werden und die zuvor erstellte Gruppe „SG_RMSAdmins“ eingetragen werden. Dazu wird zunächst auf „Administratoren aktivieren“ geklickt:
Unter dem Punkt „Administratorengruppe ändern“ kann jetzt die erstellte Verteilergruppe angegeben werden:
Konfiguration der ersten „Vorlage für Benutzerrechterichtlinien“
Die Benutzerrechterichtlinien steuern, wie der Name vermuten lässt, welche Rechte Benutzern für Dokumente oder Mails eingeräumt werden. Via Benutzerrechterichtlinien wird zum Beispiel festgelegt, dass ein Empfänger (der Benutzer) eine Mail lesen, aber nicht weiterleiten oder drucken darf. In diesem Beispiel wird eine „Nur Lesen“-Richtlinie erzeugt.
Dazu wird eine „Verteilte Vorlage für Benutzerrechterichtlinien“ erzeugt:
Es startet ein Assistent, hier müssen zunächst die Sprachen hinzugefügt werden. Eine Benutzerrechterichtlinie unterstützt mehrere Sprachen um den Benutzern mitzuteilen, welche Rechte über die Richtlinie vergeben werden. Ich füge zunächst nur „Deutsch“ als Sprache hinzu:
Name und Beschreibung werden den Benutzern angezeigt, daher sind hier kurze und sprechende Namen/Beschreibungen sinnvoll:
Nachdem die Sprachen konfiguriert wurden, kann es weitergehen:
Im folgenden Dialog werden die Rechte für die entsprechenden Benutzer konfiguriert. Hier lassen sich auch unterschiedliche Rechte für unterschiedliche Gruppen konfigurieren.
Ich verwende zunächst alle Benutzer:
Und vergebe das Recht „Ansicht“
Mit der Ablaufrichtlinie kann gesteuert werden, die lange die Lizenz gültig ist. Beispielsweise kann konfiguriert werden, dass ein Empfänger eine Mail einen Tag lang lesen darf, danach aber nicht mehr.
Ich lasse Lizenzen erst einmal nicht ablaufen:
Für meinen Test aktiviere ich das bei jedem Zugriff eine neue Lizenz angefordert werden muss:
Eine Sperrrichtlinie wird hier zunächst nicht konfiguriert. Die erste Richtlinie ist fertig und der Assistent kann geschlossen werden:
In der RMS Konsole finden wir jetzt die zuvor erstellte Richtlinie:
Ebenfalls wurde die Richtlinie in die Freigabe exportiert:
Soweit so gut. Im nächsten Artikel ist Exchange an der Reihe.
Hi
ich verzweifle noch und frage daher gerne den Profi.
Habe ADRMS erfolgreich auf einem Server 2019 interne Datenbank installiert. Da bei mir bereits der https Port 443 besetzt war, änderte ich bei der Installation diesen Port auf 4443 ab. Der Server heisst SS1 und wird so auch in der Konsole angezeigt [ss1 (lokal)]
Das Zertifikat ist ein Wildcard Cert von GoDaddy. Clusteradresse lautet adrms.xy.com
Leider erhalte ich bei der Verbindung zum RMS Dienst immer folgende Fehlermeldung:
Mit dem AD RMS Cluster „ss1“ konnte keine Verbindung hergestellt werden. Grund:
Die zugrunde liegende Verbindung wurde geschlossen. Unerwarteter Fehler beim senden.
Vergewissern sie sich, dass für die Verbindung das korrekte Protokoll (bsp HTTP oder HTTPS) sowie die korrekte Portnummer verwendet wird.
Der Versuch einen Cluster hinzuzufügen mit „adrms.xy.com mit Port 4443 hinzuzufügen scheitert mit demselben Verbindungsfehler.
Woran scheitere ich, bzw. was muss ich korrigieren damit es klappt?
Danke und Gruss
Markus