Active Directory Rechteverwaltungsdienste (RMS) und Exchange Server 2016 (Teil 2)

In Teil 1 dieser Artikelserie wurde der RMS Server installiert, in Teil 2 geht es nun um die Konfiguration. Zur Erinnerung noch einmal die Umgebung aus Teil 1:

Umgebung

Die Umgebung in der die Active Directory Rechteverwaltungsdienste installiert werden, sieht wie folgt aus:

RMS_thumb1

Es gibt ein paar Benutzer mit Outlook 2016, einen Domain Controller, 3 Exchange Server (eine DAG), ein File Server für das Quorum und einen Windows Server 2012 R2 der in Teil 1 als Rechteverwaltungsdienste Server installiert wurde.

Das Active Directory hört auf den Namen frankysweb.de, die Benutzer verwenden Windows 10 mit Outlook 2016.

Vorbereitung

Damit RMS korrekt funktioniert, müssen zunächst die Authentifizierungseinstellungen im IIS angepasst werden. Im IIS Manager findet sich unterhalb der „Default Web Site“ eine Anwendung mit dem Namen „_wmcs“. Für diese Anwendung muss die „Anonyme Authentifizierung“ aktiviert werden:

image

Unterhalb von „_wmcs“ befindet sich die Anwendung „licensing“, auch hier wird die „Anonyme Authentifizierung“ aktivuert.

image

Die restlichen Anwendungen brauchen nicht angepasst werden:

image

Jetzt kann eine neue Active Directory Gruppe angelegt werden. Die Gruppe dient für die AD RMS Administratoren:

image

Als Mitglieder der Gruppe werden nun die Konten hinzugefügt, die AD RMS verwalten dürfen. In meinem Fall ist das „Administrator“

image

Die Admin Gruppe benötigt eine E-Mail Adresse, daher muss die Gruppe am Exchange Server als Verteilergruppe aktiviert werden.

Enable-DistributionGroup SG_RMSAdmins

image

Für die Verteilung der RMS Vorlagen wird eine Freigabe benötigt. Ich habe dazu einen Ordner auf Laufwerk C: mit dem Namen „ADRMS Vorlagen“ angelegt:

image

Der Ordner wird für das RMS Dienstkonto freigegeben:

 New-SmbShare -Name ADRMSVorlagen -Path "c:\ADRMS Vorlagen" -FullAccess frankysweb\ADRMSServiceAccount

image

Konfiguration Active Directory Rechteverwaltungsdienste (AD RMS)

Im Startmenü findet sich nach der Installation von AD RMS eine entsprechende Verwaltungskonsole die nun zur Konfiguration benötigt wird:

image

Als Erstes wird der Export von Vorlagen für Benutzerrechterichtlinien in die zuvor erstellte Freigabe aktiviert:

image

Für den Export wird der UNS Pfad der Freigabe angegeben:

image

Unter dem Punkt Sicherheitsrichtlinien gibt es den Punkt Administratoren. Hier kann der Administratorzugriff aktiviert werden und die zuvor erstellte Gruppe „SG_RMSAdmins“ eingetragen werden. Dazu wird zunächst auf „Administratoren aktivieren“ geklickt:

image

Unter dem Punkt „Administratorengruppe ändern“ kann jetzt die erstellte Verteilergruppe angegeben werden:

image

Konfiguration der ersten „Vorlage für Benutzerrechterichtlinien“

Die Benutzerrechterichtlinien steuern, wie der Name vermuten lässt, welche Rechte Benutzern für Dokumente oder Mails eingeräumt werden. Via Benutzerrechterichtlinien wird zum Beispiel festgelegt, dass ein Empfänger (der Benutzer) eine Mail lesen, aber nicht weiterleiten oder drucken darf. In diesem Beispiel wird eine „Nur Lesen“-Richtlinie erzeugt.

Dazu wird eine „Verteilte Vorlage für Benutzerrechterichtlinien“ erzeugt:

RMS

Es startet ein Assistent, hier müssen zunächst die Sprachen hinzugefügt werden. Eine Benutzerrechterichtlinie unterstützt mehrere Sprachen um den Benutzern mitzuteilen, welche Rechte über die Richtlinie vergeben werden. Ich füge zunächst nur „Deutsch“ als Sprache hinzu:

image

Name und Beschreibung werden den Benutzern angezeigt, daher sind hier kurze und sprechende Namen/Beschreibungen sinnvoll:

image

Nachdem die Sprachen konfiguriert wurden, kann es weitergehen:

image

Im folgenden Dialog werden die Rechte für die entsprechenden Benutzer konfiguriert. Hier lassen sich auch unterschiedliche Rechte für unterschiedliche Gruppen konfigurieren.

Ich verwende zunächst alle Benutzer:

image

Und vergebe das Recht „Ansicht“

image

Mit der Ablaufrichtlinie kann gesteuert werden, die lange die Lizenz gültig ist. Beispielsweise kann konfiguriert werden, dass ein Empfänger eine Mail einen Tag lang lesen darf, danach aber nicht mehr.

Ich lasse Lizenzen erst einmal nicht ablaufen:

image

Für meinen Test aktiviere ich das bei jedem Zugriff eine neue Lizenz angefordert werden muss:

image

Eine Sperrrichtlinie wird hier zunächst nicht konfiguriert. Die erste Richtlinie ist fertig und der Assistent kann geschlossen werden:

image

In der RMS Konsole finden wir jetzt die zuvor erstellte Richtlinie:

image

Ebenfalls wurde die Richtlinie in die Freigabe exportiert:

image

Soweit so gut. Im nächsten Artikel ist Exchange an der Reihe.

1 thought on “Active Directory Rechteverwaltungsdienste (RMS) und Exchange Server 2016 (Teil 2)”

  1. Hi
    ich verzweifle noch und frage daher gerne den Profi.
    Habe ADRMS erfolgreich auf einem Server 2019 interne Datenbank installiert. Da bei mir bereits der https Port 443 besetzt war, änderte ich bei der Installation diesen Port auf 4443 ab. Der Server heisst SS1 und wird so auch in der Konsole angezeigt [ss1 (lokal)]
    Das Zertifikat ist ein Wildcard Cert von GoDaddy. Clusteradresse lautet adrms.xy.com
    Leider erhalte ich bei der Verbindung zum RMS Dienst immer folgende Fehlermeldung:
    Mit dem AD RMS Cluster „ss1“ konnte keine Verbindung hergestellt werden. Grund:
    Die zugrunde liegende Verbindung wurde geschlossen. Unerwarteter Fehler beim senden.
    Vergewissern sie sich, dass für die Verbindung das korrekte Protokoll (bsp HTTP oder HTTPS) sowie die korrekte Portnummer verwendet wird.
    Der Versuch einen Cluster hinzuzufügen mit „adrms.xy.com mit Port 4443 hinzuzufügen scheitert mit demselben Verbindungsfehler.
    Woran scheitere ich, bzw. was muss ich korrigieren damit es klappt?

    Danke und Gruss
    Markus

    Reply

Leave a Comment