In Teil 1 dieser Artikelserie wurde der RMS Server installiert und in Teil 2 fand die Konfiguration statt. Jetzt folgt die Integration in Exchange 2016.
Zur Erinnerung noch einmal die Umgebung aus Teil 1 und 2:
Umgebung
Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:
Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.
Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.
Vorbereitung
Damit die Integration in Exchange 2016 funktioniert, muss das Active Directory Konto der Systemmailbox „FederatedEMail“ Mitglied der RMS Admin Gruppe sein. In meinem Fall füge ich das Konto „FederatedEmail“ zur Gruppe „SG_RMSAdmins“ hinzu:
Anschließend müssen wieder ein paar zusätzliche Berechtigungen vergeben werden. Dazu wird im IIS-Manager auf die Anwendung „certification“ geklickt und zur Inhaltsansicht gewechselt:
Für die Datei ServerCertification.asmx können nun die Berechtigungen bearbeitet werden:
Die Gruppe „Exchange Servers“ und „FederatedEmail“ erhalten „Lesen“ und „Lesen und Ausführen“ Rechte:
Jetzt sollten die Berechtigungen wie folgt aussehen:
Weiter geht es mit der Integration in Exchange 2016
Integration RMS in Exchange 2016
AD RMS wird innerhalb von Exchange Server als IRM (Information Rights Management) benannt. Daher sind auch die CMDLets und Einstellungen entsprechend mit IRM gekennzeichnet (Get-IRMConfiguration, Set-IRMConfiguration, etc.).
In der Standardeinstellung ist IRM für die ClientAccessServer bereits eingeschaltet, wie an vielen Stellen ist „ClientAccessServer“ hier noch ein Überbleibsel aus Exchange 2013, denn ClientAccess und Postfach Rolle, wurden zusammengelegt, sodass es nur noch die Postfachrolle gibt.
Die Lizenzierung, also das Austellen von Lizenzen für Dokumente ist in der Standard Einstellung allerdings deaktiviert:
Mit dem folgenden Befehl lässt sich RMS für den internen Gebrauch einschalten:
Set-IRMConfiguration –InternalLicensingEnabled $true
Hinweis: Hier geht es erst einmal darum RMS intern zu aktivieren. Damit es auch mit externen Empfängern, also Empfängern außerhalb des eigenen Acktive Directory funktioniert, ist noch mehr erforderlich.
Auch für OWA ist RMS (IRM) bereits aktiviert:
Um IRM intern zur Verfügung zu stellen, muss also zunächst nur das „Set-IRMConfiguration“-CMDLet ausgeführt werden, danach lässt sich bereits testen:
Test-IRMConfiguration -Sender <a href="mailto:administrator@frankysweb.com">administrator@frankysweb.com </a>
Überall ein Erfolg, es kann getestet werden.
Outlook und OWA
Zum Testen erstelle ich eine neue E-Mail in OWA, über die „3 Punkte“-Schaltfläche wird nun die Option „Berechtigungen festlegen“ angezeigt. Hier ist nun die „Nur Lesen“-Richtlinie aus Teil 2 sichtbar. Die beiden anderen Richtlinien sind Standard Exchange Richtlinien:
Wenn „Nur Lesen“ ausgewählt wird, werden entsprechende Mail Tipps mit den Informationen der Richtlinie angezeigt. Diese wurden ebenfalls in Teil 2 konfiguriert:
Die Mail wird an einen internen Empfänger mit Outlook 2016 verschickt. Beim Öffnen der RMS geschützten Mail, wird zunächst Outlook einmalig für due Nutzung von AD RMS konfiguriert:
Danach kann die Mail gelesen werden, aber die Schaltflächen für „Antworten“ und „Weiterleiten“ sind ausgegraut, da in der Richtlinie „Nur Lesen“ definiert wurde.
Hinweis: Versucht doch mal Kopieren und Einfügen oder ein Bildschirmfoto…
Ich habe dazu ein kleines Video erstellt:
Hallo Frank,
erstmal vielen Dank für die Anleitung. Mit dieser Schritt-für-Schritt-Anleitung kommt man wirklich ans Ziel.
Jedem, der über die Fehler
FEHLER: Fehler beim Abrufen eines Rechtekontozertifikats (RAC) und/oder eines Clientlizenzgeberzertifikats (CLC).
In OWA sind die Vorlagen verfügbar, aber Mails werden nicht versendet..
stolpert:
Der Exchange-Server hat zwar alle Berechtigungen, allerdings erbt er diese über Berechtigungsgruppen erst nach einem Reboot. Ich habe mir lange den Kopf zerbrochen, aber Reboot tut gut. Danach ist das „Gesamtergebnis: Erfolg“
1. Opened the location C:inetpubwwwroot_wmcscertification
2. Select ServerCertification.asmx
3. Right click –>properties and click the Security tab.
4. Click the Edit button –> click the Add button –> set From this location field to the local server then type AD RMS Service Group
into the object names field –> then click the Check Names button. Click or
5. Add Read & execute and Read permissions.
6. Also make sure Exchange servers domain group is already added.
7. Did the same on all AD RMS servers
Now we ran the following cmd:
Test-IRMConfiguration –Sender AdminEmailID
Bei den Hinweisen wird erwähnt, dass RMS mit externen Empfängern mehr erfordert.
Leider habe ich bisher nicht herausgefunden, wie dieses „mehr“ zu schaffen ist. Geht es ohne Azure-Dienste?
Bei mir das gleiche allerdings sehe ich noch folgendes beim Test-IRMConfiguration:
Acquiring Rights Account Certificate (RAC) and Client Licensor Certificate (CLC) …
– FAIL: Failed to acquire a Rights Account Certificate (RAC) and/or a Client Licensor Certificate (CLC).
This failure may cause features such as Transport Decryption, Transport Protection Rules, Journal Report
Decryption, IRM in Outlook Web App, IRM in Exchange ActiveSync, and IRM Search to not work. Make sure that
the Exchange Servers Group is granted „Read“ and „Read & Execute“ rights on the ServerCertification.asmx and
Publish.asmx pipelines on your AD RMS server. For details, see „Set Permissions on the AD RMS Certification
Pipeline“ at http://go.microsoft.com/fwlink/?LinkId=186951.
—————————————-
Microsoft.Exchange.Security.RightsManagement.RightsManagementException: Failed to acquire server box RAC
from . —>
System.Web.Services.Protocols.SoapException: System.Web.Services.Protocols.SoapException: Exception of type
‚System.Web.Services.Protocols.SoapException‘ was thrown. —>
Microsoft.DigitalRightsManagement.Cryptography.UnsupportedCryptographicSetException: Exception of type
‚Microsoft.DigitalRightsManagement.Cryptography.UnsupportedCryptographicSetException‘ was thrown.
— End of inner exception stack trace —
at Microsoft.DigitalRightsManagement.Certification.BaseCertificationWebService.Certify(CAType caType,
CertifyParams requestParameters)
at Microsoft.DigitalRightsManagement.Certification.ServerCertificationWebService.Certify(CertifyParams
requestParams)
at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message,
WebResponse response, Stream responseStream, Boolean asyncCall)
at System.Web.Services.Protocols.SoapHttpClientProtocol.EndInvoke(IAsyncResult asyncResult)
at Microsoft.Exchange.Security.RightsManagement.SOAP.ServerCertification.ServerCertificationWS.EndCertify(
IAsyncResult asyncResult)
at Microsoft.Exchange.Security.RightsManagement.ServerCertificationWSManager.EndAcquireRac(IAsyncResult
asyncResult)
— End of inner exception stack trace —
at Microsoft.Exchange.Data.Storage.RightsManagement.RmsClientManager.EndAcquireInternalOrganizationRACAndC
LC(IAsyncResult asyncResult)
at Microsoft.Exchange.Management.RightsManagement.IRMConfigurationValidator.TryGetRacAndClc()
Weiss leider auch keinen Rat mehr und der Microsoft Support weiss auch nichts mehr….
Die Berechtigungen habe ich gesetzt, TechNet nachgesehen, Federated Postfach usw…
Alles nach Vorschrift gesetzt und er will nicht :(
hm, ich verzweifle gerade..
Ich habe die Konfiguration nachgestellt und bekomme unter Exchange 2016 immer dieselbe Fehlermeldung:
RAC (Rechtekontozertifikat) und CLC (Client-Lizenzgeberzertifikat) werden abgerufen…
– FEHLER: Fehler beim Abrufen eines Rechtekontozertifikats (RAC) und/oder eines Clientlizenzgeberzertifikats (CLC).
In OWA sind die Vorlagen verfügbar, aber Mails werden nicht versendet..