Exchange 2013信息权限保护之Exchange集成RMS

完成了AD RMS的部署后，下面就需要让Exchange 2013来集成RMS了。首先我们需要了解，Exchange IRM的工作方式，Exchange是调用RMS通过Web Service来提供服务。Exchange服务器必须对 AD RMS 服务器证书管道（AD RMS 服务器上的 ServerCertification.asmx 文件）的读取和执行权限。下面就来对Exchange以及RMS进行配置，使得Exchange可以正常的使用到RMS服务。

1. 登陆到AD RMS服务器中，定位到\inetpub\wwwroot\_wmcs\certification\ 文件夹中。

2. 选中ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑

3. 添加活动目录中的Exchange Servers、AD RMS Service Group组，并设置为允许“读取”和“读取及运行”

4. 下面需要登录到Exchange Server中，打开Exchange Powershell，键入New-DistributionGroup –Name ‘RMS_SuperUser’ –SamAccountName ‘RMS_SuperUser’ –Alias ‘RMS_SuperUser’添加RMS超级用户组。RMS的超级用户组中成员，可以不被限制地访问被IRM保护的数据，RMS组的成员可以进行解密工作。超级用户组默认是被禁用的，需要手动启用。同时，这个组需要是一个启用了邮件功能的通用组。系统邮箱FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中。

5. 继续运行Add-DistributionGroupMember RMS_SuperUser -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042，把系统邮箱加入到组中。

6. 下面回到RMS的服务器中，打开AD RMS管理控制台，展开安全策略，启用超级用户。

7. 完成启用后打开更改超级用户组，把之前创建的RMS_SuperUser添加进去。

8. 下面登录到Exchange Server，打开Exchange Poweshell，运行Set-IRMConfiguration -InternalLicensingEnable $true在Exchange组织内部启用RMS功能。然后运行Get-IRMConfiguration，确保InternalLicensingEnable为true。

9. 运行命令Test-IRMConfiguration -Sender [email protected]来验证RMS与Exchange的集成。