In Teil 1 dieser Artikelserie wurde der RMS Server installiert und in Teil 2 fand die Konfiguration statt. Jetzt folgt die Integration in Exchange 2016.
Zur Erinnerung noch einmal die Umgebung aus Teil 1 und 2:
Umgebung
Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:
Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.
Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.
Vorbereitung
Damit die Integration in Exchange 2016 funktioniert, muss das Active Directory Konto der Systemmailbox „FederatedEMail“ Mitglied der RMS Admin Gruppe sein. In meinem Fall füge ich das Konto „FederatedEmail“ zur Gruppe „SG_RMSAdmins“ hinzu:
Anschließend müssen wieder ein paar zusätzliche Berechtigungen vergeben werden. Dazu wird im IIS-Manager auf die Anwendung „certification“ geklickt und zur Inhaltsansicht gewechselt:
Für die Datei ServerCertification.asmx können nun die Berechtigungen bearbeitet werden:
Die Gruppe „Exchange Servers“ und „FederatedEmail“ erhalten „Lesen“ und „Lesen und Ausführen“ Rechte:
Jetzt sollten die Berechtigungen wie folgt aussehen:
Weiter geht es mit der Integration in Exchange 2016
Integration RMS in Exchange 2016
AD RMS wird innerhalb von Exchange Server als IRM (Information Rights Management) benannt. Daher sind auch die CMDLets und Einstellungen entsprechend mit IRM gekennzeichnet (Get-IRMConfiguration, Set-IRMConfiguration, etc.).
In der Standardeinstellung ist IRM für die ClientAccessServer bereits eingeschaltet, wie an vielen Stellen ist „ClientAccessServer“ hier noch ein Überbleibsel aus Exchange 2013, denn ClientAccess und Postfach Rolle, wurden zusammengelegt, sodass es nur noch die Postfachrolle gibt.
Die Lizenzierung, also das Austellen von Lizenzen für Dokumente ist in der Standard Einstellung allerdings deaktiviert:
Mit dem folgenden Befehl lässt sich RMS für den internen Gebrauch einschalten:
Set-IRMConfiguration –InternalLicensingEnabled $true
Hinweis: Hier geht es erst einmal darum RMS intern zu aktivieren. Damit es auch mit externen Empfängern, also Empfängern außerhalb des eigenen Acktive Directory funktioniert, ist noch mehr erforderlich.
Auch für OWA ist RMS (IRM) bereits aktiviert:
Um IRM intern zur Verfügung zu stellen, muss also zunächst nur das „Set-IRMConfiguration“-CMDLet ausgeführt werden, danach lässt sich bereits testen:
Test-IRMConfiguration -Sender <a href="mailto:administrator@frankysweb.com">administrator@frankysweb.com </a>
Überall ein Erfolg, es kann getestet werden.
Outlook und OWA
Zum Testen erstelle ich eine neue E-Mail in OWA, über die „3 Punkte“-Schaltfläche wird nun die Option „Berechtigungen festlegen“ angezeigt. Hier ist nun die „Nur Lesen“-Richtlinie aus Teil 2 sichtbar. Die beiden anderen Richtlinien sind Standard Exchange Richtlinien:
Wenn „Nur Lesen“ ausgewählt wird, werden entsprechende Mail Tipps mit den Informationen der Richtlinie angezeigt. Diese wurden ebenfalls in Teil 2 konfiguriert:
Die Mail wird an einen internen Empfänger mit Outlook 2016 verschickt. Beim Öffnen der RMS geschützten Mail, wird zunächst Outlook einmalig für due Nutzung von AD RMS konfiguriert:
Danach kann die Mail gelesen werden, aber die Schaltflächen für „Antworten“ und „Weiterleiten“ sind ausgegraut, da in der Richtlinie „Nur Lesen“ definiert wurde.
Hinweis: Versucht doch mal Kopieren und Einfügen oder ein Bildschirmfoto…
Ich habe dazu ein kleines Video erstellt:
