Exchange Server010与RMS集成之二-利用权限管理模板来保护邮件安全

Exchange Server 2010Exchange 网络端口参考适用于：Exchange Server 2010 SP1上一次修改主题：2011-04-22本主题介绍 Microsoft Exchange Server 2010 所使用的所有数据路径的端口、身份验证和加密。

每个表后面的“注释”部分解释或定义非标准的身份验证方法或加密方法。

传输服务器Exchange 2010 包含两个执行邮件传输功能的服务器角色：集线器传输服务器和边缘传输服务器。

下表提供这些传输服务器之间以及与其他 Exchange 2010 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。

传输服务器的数据路径有关传输服务器的注释•集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密，这些证书通过 Exchange 2010 安装程序安装。

注意：在 Exchange 2010 中，可以在集线器传输服务器上禁用 TLS，以便与同一Exchange 组织中的其他集线器传输服务器进行内部 SMTP 通信。

除非绝对需要，否则建议不要执行此操作。

有关详细信息，请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化。

•边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。

Mutual TLS 是基础的身份验证和加密机制。

Exchange 2010 使用“直接信任”（而不是使用 X.509 验证）来验证证书。

直接信任意味着Active Directory 或 Active Directory 轻型目录服务 (AD LDS) 中存在证书即证明证书有效。

Active Directory 被视为是受信任的存储机制。

使用直接信任时，证书是自签名还是由证书颁发机构 (CA) 签名并不重要。

为边缘传输服务器订阅 Exchange 组织时，边缘订阅将在 ActiveDirectory 中发布边缘传输服务器证书，以便集线器传输服务器进行验证。

exchange 认证机制
Exchange 认证机制是一种用于验证用户身份和授权访问的安全机制。

它通常用于企业邮件系统中，以确保只有授权用户能够访问和使用邮件服务。

Exchange 认证机制使用了多种技术来实现身份验证和授权。

其中一种常见的技术是使用用户名和密码进行身份验证。

用户需要提供正确的用户名和密码才能登录到 Exchange 服务器并访问其邮件。

另外，Exchange 认证机制还支持使用智能卡、双重身份验证等更高级的身份验证方式，以提高安全性。

除了身份验证，Exchange 认证机制还可以用于授权用户对邮件系统的访问权限。

管理员可以根据用户的角色和职责，为其分配不同的权限，例如只读、读写、管理员等。

Exchange 认证机制是一种重要的安全机制，它可以帮助企业保护其邮件系统的安全，并确保只有授权用户能够访问和使用邮件服务。

客户需求说明1.创建、另存等文档操作时，必须输入密级属性，并且文档密级必须与人员密级匹配，低密人员不能创建高密文档。

2.禁止高密低传。

人员密级分为绝密、机密、秘密、内部，文档密级分为机密、秘密、内部，人员能打开的文档要与自己的密级相匹配，即绝密人员能打开全部文档，机密人员可打开机密、秘密、内部文档，秘密人员可打开秘密、内部文档，内部人员只能打开内部文档。

该权限严格通过系统限制。

测试环境描述服务器列表测试前测试环境准备1.在AD域主机上（）建立三个组织单位分别为：机密，秘密，内部，如图：在三个组织单位中分别建立三组测试账号，建立账号如下：机密账号：jimi01, jimi02秘密账号：mimi01, mimi02内部账号：neibu01, neibu022.在RMS主机上建立权限策略模板，如下图：测试场景描述（1）场景一描述：用机密账号jimi01登录电脑，创建一份Word文档，并赋予机密权限，接着注销此账号，分别用秘密账号mimi01,内部账号neibu01,机密账号jimi02，登录电脑打开jimi01创建的Word文档,看能否顺利打开。

场景一测试步骤：第1步：用机密账号jimi01登录电脑，创建一份Word文档，文档名为机密文档测试，并赋予机密权限，如下图：文档经过授权后，如下图：第2步：(a)注销机密账号jimi01，用秘密账号mimi01登录电脑，打开jimi01创建的Word文档（机密文档测试），文件不能打开,结果如下图：(b)注销机密账号jimi01，用内部账号neibu01登录电脑，打开jimi01创建的Word文档（机密文档测试）,文件不能打开，结果如下图：(c)注销机密账号jimi01，用机密账号neibu01登录电脑，打开jimi01创建的Word文档（机密文档测试）,文件可以打开，结果如下图：场景一测试结果：用机密账号jimi01创建一份Word文档，并赋予机密权限，秘密账号mimio1,内部账号neibu01不能打开机密账号jimi01创建的Word文档，机密账号jimi02可以打开机密账号jimi01创建的Word文档。

微软免费的文档权限管理方案(RMS)一.客户需求分析一)需求分析1.在公司的日常工作中，经常会产生或查阅一些重要的技术文档，信息的使用者经常通过电子邮件、磁盘复制或文件服务器来共享他们的文档，随着这种使用计算机来创建和处理机密信息、敏感数据的情况越来越多，并且计算设备的功能也愈来愈强大，使得保护信息和数据成为公司内部工作中的一项艰巨而长久的任务。

此外，信息窃取行为也使得如何更好地保护公司数字信息这一需求变得更为强烈二.设计方案一)规划建议1.针对公司的需求，微软建议在公司内部署Windows RMS平台（Rights Management Service），通过与Windows Server中的活动目录紧密集成，实现对日常工作中产生的机密Office文档、电子邮件、Web内容的保护，通过设置策略，更好地控制哪些用户可以复制、打印或转发在Word 2003、Excel 2003、PowerPoint 2003 和Outlook 2003中创建的信息，监控机密信息的流动，防止信息内容的外泻。

并且基于Windows RMS的保护方案是基于文件内容的信息权限管理方案，配合传统的基于文件目录的方式，形成一个完整的、更灵活、更安全的信息权限解决方案二)方案功能实现1.让你可以保护你的文档，只有你允许的用户，才能执行您允许的操作2.你可以赋于用户，不能查看，允许查看，允许修改的权限3.基于AD的用户和组的权限管理，用户只需要通过单点登录的方式就可以获得自己的相关权限4.具体的功能图片，可在后面的客户端使用见到三)逻辑架构设计1.RMS服务器硬件建议配置如下a).两个P4 2.4G以上CPU，可扩充至4个；512K或1M二级缓存；1GB内存；采用RAID1或RAID5磁盘阵列2.RMS服务器的软件组件要求如下：a).操作系统：Windows Server 2003企业版；启用MSMQ、RMS、WEB服务；NTFS文件系统b).数据库：MSDE 或SQL Server 2000企业版；安装SP3补丁3.设计说明a).配置网络，使得内网中的机器可以访问RMS服务器，可以不能访问Internet；而RMS服务器即可以访问内部网络，又可以访问Internet。

微软RMS‎常见问题解‎答之部署篇‎1、如果用于 RMS 的安全主体‎是全局地址‎列表 (GAL) 成员，则 Excha‎n ge 的版本是否‎存在任何依‎赖关系？RMS 依赖于 Activ‎e Direc‎t ory，而不是 Excha‎n ge。

但是，Excha‎n ge 5.5保留其自己‎的目录，而不使用 Activ‎e Direc‎t ory。

确保 Activ‎e Direc‎t ory 中的所有用‎户和组对象‎都有一个有‎效的电子邮‎件属性，该属性包含‎完全限定的‎域名。

如果使用的‎是 Excha‎n ge 2000 或更高版本‎，则此操作是‎自动完成的‎。

2、SQL Serve‎r在 RMS 中扮演什么‎角色？RMS 使用数据库‎来存储所有‎服务配置数‎据、有关系统中‎主体的信息‎和所有日志‎记录数据，并在 Activ‎e Direc‎t ory 和通讯组列‎表扩展期间‎缓存查找。

已使用 SQL Serve‎r 2000 和 SQL Serve‎r 2005 完全测试 RMS。

3、用户计算机‎是否必须加‎入 RMS 服务器所在‎的域才能使‎用 RMS？用户计算机‎不必是 RMS 群集所在域‎的成员，但该计算机‎需要能够找‎到 RM S 群集。

客户端计算‎机找到 RMS 群集的最简‎单方法是通‎过服务连接‎点 (SCP) 使用 Activ‎e Direc‎t ory 查找。

但是，也可以将客‎户端上的注‎册表设置设‎置为找到 RMS 群集，而不必使用‎Activ‎e Direc‎t ory 查找。

确切的注册‎表设置取决‎于启用了 RMS 的应用程序‎。

4、如果客户希‎望将 RMS 服务器放在‎外围网络中‎，则要与 RMS 通信，必须对面向‎Inter‎n et 的防火墙和‎面向 Intra‎n et 的防火墙打‎开哪些端口‎？内部用户需‎要访问颁发‎权限帐户证‎书 (RAC) 和用户许可‎证的 RMS 服务器。

产品Exchange版本8.0 (Exchange Server 2007)ID 8365源MSExchangeAL警告类型ErrorMOM 规则路径Microsoft Exchange Server/Exchange 2007/Mailbox/System AttendantMOM 规则名称无法从Exchange Server 对象读取安全描述符。

在本地Exchange Server 上，代理地址计算RPC 接口将不可用。

说明此错误事件表示无法从Active Directory 目录服务读取带有全局唯一标识符(GUID) %1 的Microsoft Exchange 的安全描述符。

此服务器将无法计算添加到服务器的新邮箱的代理地址。

如果Exchange 服务器不是Active Directory 中Microsoft Exchange 安全组的Exchange 服务器组的成员或者Active Directory 复制延迟正在引起组成员身份的冲突，则通常会遇到此错误。

用户操作要解决此错误，请执行下列一项或多项操作：在系统和应用程序事件日志中查看相关事件。

例如，紧挨此事件前后发生的事件可能提供有关此错误根本原因的更多信息。

打开Exchange 命令外壳并执行下列命令：Get-ExchangeServer | fl name,guid（其中name 是Exchange 服务器名称，guid 为GUID）此命令将使GUID 与Exchange 服务器名称匹配。

验证Exchange 服务器是否是Exchange 服务器组的成员。

如果Exchange 服务器是Exchange 服务器组的成员，请让管理员验证Microsoft Windows 站点中的Active Directory 复制是否为最新的。

如果Active Directory 复制是最新的，请运行Exchange 提供用于帮助管理员分析和诊断其Exchange 环境的工具。

RMS与Exchange集成安装证书服务先安装AD证书服务（需要提前安装AD域服务角色DNS服务器角色Web服务器（IIS）角色文件服务角色（安全性中必须安装“基本身份验证和windows 身份验证否则不能登录到OWA））注意：安全性中的基本身份验证和windows身份验证需要勾选，否则将无法登入到OWA中申请证书在IE里键入https://192.168.13.235/certsrv----申请证书----高级证书申请创建并向CA提交一个申请----姓名： 需要的证书类型：服务器身份验证书标记密钥为可导出-----提交注意：姓名必须正规，后面有用，服务器身份验证证书标记密钥为可导出查看挂起的证书申请状态点击是安装此证书注意：在个人用户里的证书里导出私钥并导入本地计算机账户中的证书中创建RMS服务管理员用户创建RMS服务管理员用户rmsadmin并将其添加到“dominadminis在AD用户和计算机中的user中的“dominadminis中添加账户并查看安装RMS添加角色Active Adrectory Rights Management Services注意：需要验证需要在DNS中创建一条rms的记录IP：192.168.13.235创建安全通讯组（在Exchange 2010 中创建）用RMS管理员用户登录系统（用rmsadmin的登录）在Active Director Rights Management Services 中添加超级用户组在Internet 信息服务（IIS）管理器中修改文件的安全性在windows powershell modules中运行命令Get-IRMconfiguration然后在运行Set-IRMconfiguration–InternalLicensingEnable$true验证实验结果用IE登录https://192.168.13.220/owa用户名：administrator 密码：123-abc。