Error para abrir mensajes en OWA que fueron cifrados por una plantilla de Information Rights Managements en Exchange Server 2010

Por: Caio Ribeiro Cesar and Pedro Gonzalez Martinez Technical Reviewer: Patricia Cifuentes

En esta ocasión vamos a platicar de un error muy particular cuando tratamos de abrir en OWA un correo que ha sido cifrado por el Information Rights Management (IRM).

Cuando la funcionalidad de seguridad de RMS se extiende al Outlook Web App, tanto para los mensajes internos como externos, tenemos primero que nada, estar seguros de que todos los pasos de configuración se han completado de manera satisfactoria. De lo contrario los usuarios finales pueden obtener el siguiente mensaje desde OWA cuando tratan de abrir un mensaje cifrado por el IRM.

image

Este mensaje generalmente se obtiene cuando no es posible abrir mensajes protegidos por IRM por una carencia de permisos con la cuenta “Federated Delivery Mailbox”.

Una forma de comprobar esto es desde una sesión de Power Shell en el servidor Exchange Server 2010 con el rol de HUB transport y ejecutando el siguiente cmdlet: “Test-IRMConfiguration” para el usuario que no puede abrir el mensaje y posiblemente obtendremos el siguiente resultado:

[PS] C:\Windows\system32>Test-IRMConfiguration -Sender user1@cacesa.corp

Results : Checking Exchange Server ...

- PASS: Exchange Server is running in Enterprise.

Loading IRM configuration ...

- PASS: IRM configuration loaded successfully.

Retrieving RMS Certification Uri ...

- PASS: RMS Certification Uri: https://exchange.cacesa.corp/_wmcs/certification.

Verifying RMS version for https://exchange.cacesa.corp/_wmcs/certification ...

- PASS: RMS Version verified successfully.

Retrieving RMS Publishing Uri ...

- PASS: RMS Publishing Uri: https://exchange.cacesa.corp/_wmcs/licensing.

Acquiring Rights Account Certificate (RAC) and Client Licensor Certificate (CLC) ...

- PASS: RAC and CLC acquired.

Acquiring RMS Templates ...

- PASS: RMS Templates acquired.

Retrieving RMS Licensing Uri ...

- PASS: RMS Licensing Uri: https://exchange.cacesa.corp/_wmcs/licensing.

Verifying RMS version for https://exchange.cacesa.corp/_wmcs/licensing ...

- PASS: RMS Version verified successfully.

Creating Publishing License ...

- PASS: Publishing License created.

Acquiring Prelicense for ´user1@cacesa.corp´ from RMS Licensing Uri (https://exchange.cacesa.corp /_wmcs/licensing) ...

- PASS: Prelicense acquired.

Acquiring Use License from RMS Licensing Uri (https://exchange.cacesa.corp/_wmcs/licensing) ...

- FAIL: Failed to acquire a use license. This failure may cause features such as Transport Decryption, Journal Report Decryption, IRM in OWA, IRM in EAS and IRM Search to not work. Please make sure that the account "FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042" representing the Exchange Servers Group is granted super user privileges on the Active Directory Rights Management Services server. For detailed instructions, see "Add the Federated Delivery Mailbox to the AD RMS Super Users Group" at http://go.microsoft.com/fwlink/?

Como podemos observar, con base en el resultado, es necesario que la cuenta del Federate Email sea parte del grupo de SuperUsers como se describe en el siguiente artículo: Add the Federation Mailbox to the super users group.

También es importante asegurarse que los permisos del Certificacion Pipeline estén definidos correctamente como se describe en el artículo: Set Permissions on the AD RMS Server Certification Pipeline.

Una vez completadas las configuraciones requeridas correctamente, tenemos que recordar que el “Active Directory Domain Services caching” toma 24 horas para aplicar estos cambios para intentar nuevamente. Ahora bien, si este cambio por el impacto no puede esperar el tiempo de replicación, podemos deshabilitar el database caching:

Primero hacer un respaldo de la base de datos del RMS y después proceder con una de las dos siguiente maneras:

1. En la base de datos DRMS_Config, entrar a la tabla DRMS_cluterpolicies y cambiar el valor de PolicyData a 0 (cero) para:

o UseDirectoryServicesCacheDatabase

o EnableNoRightsCaching.

Así quedara deshabilitado el database caching.

  1. El EnableNoRightsCaching es nuevo para el AD RMS y hace uso de un almacenamiento temporal de las fallas por “No permisos” (‘No Rights’ cache). Esto con la finalidad de poder determinar quién trato de tener acceso al contenido que no tiene privilegios.
    Para deshabilitar únicamente el Active Directory caching; ir debajo de la base de datos DRMS_Config , ir a la tabla DRMS_cluterpolicies y cambiar el valor PolicyData a 0 (cero) para los suigentes:
    • DirectoryServicesMemoryPrincipalCacheMaxSize
    • DirectoryServicesMemoryGroupIdCacheMaxSize
    • DirectoryServicesMemoryGroupMembershipCacheMaxSize
    • DirectoryServicesMemoryContactGroupMembershipCacheMaxSize
    • DirectoryServicesMemoryPrincipalCacheExpirationMinutes
    • DirectoryServicesMemoryGroupCacheExpirationMinutes

Una vez aplicado el cambio proceder con un IISReset.

    • Clic en Start, ejecutar un Command Prompt (Run as Administrator).
    • Escribir iisreset, y dar ENTER

Despues de reiniciarse el IIS, correr nuevamente el cmdlet Test-IRMConfiguration y confirmar el resultado como PASS.

También está éste excelente artículo de Jason Tyler explicando con más detalle sobre esta configuración.

En caso de que después de estas acciones el resultado del Test-IRMConfiguration fallas, por favor contactar al Soporte de Microsoft para un troublehsooting más extenso. http://support.microsoft.com/select/Default.aspx?target=assistance

- FAIL: Failed to acquire a use license. This failure may cause features such as Transport Decryption, Journal Report Decryption, IRM in OWA, IRM in EAS and IRM Search to not work. Please make sure that the account "FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042" representing the Exchange Servers Group is granted super user privileges on the Active Directory Rights Management Services server. For detailed instructions, see "Add the Federated Delivery Mailbox to the AD RMS Super Users Group" at http://go.microsoft.com/fwlink/?LinkId=193400.

NOTA: Por favor tomar en consideración que los pasos para configurar la integración de Exchange 2010 con AD RMS en un Single Forest es diferente a la configuración para un Across Multiple Forests:

Configuring AD RMS to Integrate with Exchange Server 2010 in a Single Forest

Configuring AD RMS to Integrate with Exchange Server 2010 Across Multiple Forests

Para mas información consultar: AD RMS Microsoft Exchange Server 2010 Integration Guide