ExchangeからAD RMSサーバーの機能を利用してメッセージへのアクセス制御を行う方法

ExchangeからAD RMSサーバーの機能を利用してメッセージへのアクセス制御を行う方法

Windows

ExchangeからAD RMSサーバーの機能を利用してメッセージへのアクセス制御を行う方法

ExchangeサーバからAD RMSサーバーの機能を利用して
メッセージへのアクセス制御を行う方法です。

 

Exchange Server 2010 自習書シリーズ  1.インストール編
に沿って試行しました。

 

 

まずAD RMSサーバーを構成する

AD RMSの役割を追加したいサーバーへEnterprise Adminsグループの
権限を持つアカウントでログインする。

 

「役割の追加」から「Active Directory Rights Managementサービス」を
選択しインストールする。

 

※AD RMSサーバーは、別にデータベースサーバーが必要。
※運用上、複数台で冗長性を持たせることが一般的。
※データベース「Windows Intarnal Database」では冗長化構成不可。

 

AD RMSを実行するサービスアカウントはDomain Users権限のアカウントで良い。
AD RMSクラスタキーのパスワードを指定します。AD RMSクラスタに他のサーバーを
追加するときに必要。

 

AD RMSサービス接続ポイント(SCP)を作成する。
SCPを作成することにより、他のAD RMSに対応したサービスはAD RMSサーバーを
特定してサービスを利用することができる。

 

証明書要求から証明書のバインド(関連付け)までを行う。

 

「役割」から「Active Directory Rights Management サービス」- クラスタ名を
選択し「イントラネット クラスタのURL」の2つのリンクをクリックし、
Webページが問題なく開けることを確認する。

https://ADRMS のクラスタ名:443/_wmcs/certification/certification.asmx
https://ADRMS のクラスタ名:443/_wmcs/licensing/license.asmx

 

※アクセス時、ログオンの資格情報を要求されるが、ローカル権限では
問題無し&ドメインの資格情報では認証されない。
適切な証明書は得られてるし、SCPの設定も問題無さそう。

 

iisstart.htmlを開いた際は資格情報を要求されずにアクセスできるので
_wmcs以下のライセンス周りの問題かな。
ドメインコントローラでAD RMSサーバーがどのように認識されているかとか。

 

webから確認するだけならIISでWindows認証から匿名認証に変更するだけで
良いけど、実際にRMSの機能を使用する時もログオン要求が表出し、ドメインの
資格情報を入力してもアクセスできない。

 

再度別環境で試行する時に、今回との相違点探しながら見直していこうと思う。

 

 

クライアントで個々にAD RMSの機能を使用する方法

 

使用したいアカウントのプロパティで、電子メール欄にSMTPアドレスが有ることを確認。
クライアントのインターネットオプション設定で、ローカルイントラネットへ
「https://ADRMSN のクラスタ名」を追加する。
RMSサーバーへhttpsアクセスし証明書を確認する。

 

outlook2010を開き「新しい電子メール」を選択し、「ファイル」 - 「アクセス権の
設定」をクリックする。
※XP SP3では「権限管理サービスクライアント」のインストール案内があるので
ダウンロード&インストール。

 

「サービスの選択」ウィンドウが表示され、「Windows Live IDを使用してサインイン」
か「Microsoft Windows アカウントの使用」のどちらかを選択する。

 

設定終了後、転送不可にチェックが入る。有効期限の設定なども見ておく。
メールを送信する。

 

送信先のアカウントでログオンし、実際にメール確認し転送不可等が設定
されているか確認する。

 

 

トランスポートルールを利用する方法

※トランスポートルールとは、RMSのテンプレートを利用して
 管理者が特定の条件を持つメールに対して包括的にルール設定できる機能。
クライアント個々が毎回設定しなくても良いのが利点。

 

Exchange ServerをAD RMS証明書パイプラインに追加する
※証明書パイプラインとは以下のアドレスのこと。
http(s):///_wmcs/certification/certification.asmx
参照サイト
http://technet.microsoft.com/ja-jp/library/cc753922(WS.10).aspx

 

AD RMSサーバーで
C:\inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx
の権限を親フォルダから継承し、「AD RMS Service Group」に「読み取りと実行」の
アクセス権が付与されることを確認する。

 

Exchange Serverのコンピュータアカウントにも「読み取りと実行」の権限を与える。
「Exchange Servers」グループに権限を与える、でも可。

 

「iisreset /noforce」の実行。

 

 

Exchange ServerにてAD RMSを利用したInformation Rights
Management(IRM)を有効にする。

 

手順は以下。
Exchange Management Shellを使用して、組織内部でのライセンシング サービスを有効に&
AD RMSからRMSテンプレートの情報を参照できることを確認。

 

※IRM とは、機密事項が記載されたドキュメントや電子メール メッセージが
無断で転送、編集、またはコピーされるのを防ぐ機能。

 

 

トランスポートルールの作成、効果確認
「Exchange 管理コンソール」の「組織の構成」 - 「ハブ トランスポート」から
トランスポートルールを作成する。

 

クライアントからルールに沿ったメールを送信し、別アカウントにて受信しルールに沿った結果に
なっているか確認する。

 

 

OWAでRMSを使用する方法

OWAでRMSを使用できるようにするためにはExchangeサーバーがAD RMSにより
暗号化されたメッセージを復号できる必要がある。

 

 

配布グループの設定

 

Exchangeサーバーで、「Exchange 管理コンソール」の「受信者の構成」
- 「配布グループ」から配布グループを作成する。

 

「Exchange管理シェル」から、作成した配布グループにフェデレーション
配信メールボックスを追加する。

Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

 

参照サイト
http://technet.microsoft.com/ja-jp/library/ee424431.aspx

 

 

スーパーユーザーの有効化

 

AD RMSサーバーで、「管理ツール」から「Active Directory Rights Managementサービス」
からスーパーユーザーを有効化する。先程の配布グループを割り当てる。

 

「iisreset /noforce」の実行。

 

※AD RMSがグループメンバーシップを12 時間キャッシュする関係なのか
反映されるまでは少し時間がかかる様子。