Por: Caio Ribeiro César e Pedro Gonzalez Martinez Technical Reviewer: Patricia Cifuentes

Neste post iremos discutir o que precisamos para habilitar a integração do IRM (Information Rights Management ) para o Outlook Web App do Exchange 2010.

O Exchange Server 2010 traz o IRM como a solução para evitar o envio de informações sensíveis por email. Quando combinamos as features do AD RMS, as funções do IRM podem automaticamente proteger mensagens que contêm informações confidenciais.

Quando extendemos as features do RMS para o OWA (mensagens internas e externas), precisamos nos certificar que seguimos os passos de configuração para a ativação do serviço, caso contrário os usuários finais podem receber a seguinte mensagem no OWA quando mensagens com a proteção ativa forem abertas:

image

Isto significa que o RMS não consegue abrir mensagens “IRM-protected” devido à uma falta de permissão para o Federated Delivery Mailbox.

No Exchange HUB Transport , podemos testar a configuração de IRM (Test-IRMConfiguration) para este usuário. Neste caso, teremos as mensagens de erro abaixo:

[PS] C:\Windows\system32>Test-IRMConfiguration -Sender user1@cacesa.corp

Results : Checking Exchange Server ...

- PASS: Exchange Server is running in Enterprise.

Loading IRM configuration ...

- PASS: IRM configuration loaded successfully.

Retrieving RMS Certification Uri ...

- PASS: RMS Certification Uri: https://exchange.cacesa.corp/_wmcs/certification.

Verifying RMS version for https://exchange.cacesa.corp/_wmcs/certification ...

- PASS: RMS Version verified successfully.

Retrieving RMS Publishing Uri ...

- PASS: RMS Publishing Uri: https://exchange.cacesa.corp/_wmcs/licensing.

Acquiring Rights Account Certificate (RAC) and Client Licensor Certificate (CLC) ...

- PASS: RAC and CLC acquired.

Acquiring RMS Templates ...

- PASS: RMS Templates acquired.

Retrieving RMS Licensing Uri ...

- PASS: RMS Licensing Uri: https://exchange.cacesa.corp/_wmcs/licensing.

Verifying RMS version for https://exchange.cacesa.corp/_wmcs/licensing ...

- PASS: RMS Version verified successfully.

Creating Publishing License ...

- PASS: Publishing License created.

Acquiring Prelicense for ´user1@cacesa.corp´ from RMS Licensing Uri (https://exchange.cacesa.corp /_wmcs/licensing) ...

- PASS: Prelicense acquired.

Acquiring Use License from RMS Licensing Uri (https://exchange.cacesa.corp/_wmcs/licensing) ...

- FAIL: Failed to acquire a use license. This failure may cause features such as Transport Decryption, Journal Report Decryption, IRM in OWA, IRM in EAS and IRM Search to not work. Please make sure that the account "FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042" representing the Exchange Servers Group is granted super user privileges on the Active Directory Rights Management Services server. For detailed instructions, see "Add the Federated Delivery Mailbox to the AD RMS Super Users Group" at http://go.microsoft.com/fwlink/?LinkId=193400.

Isto significa que para que o IRM seja habilitado para o MSOutlook Web App, precisamos adicionar a “Federation Mailbox” no grupo “Super Users”: Add the Federation Mailbox to the super users group.

Além desta configuração, devemos nos certificar que você configure as permissões no servidor AD RMS como descrito no artigo: Set Permissions on the AD RMS Server Certification Pipeline.

Devido ao caching do Active Directory Domain Services, esta alteração pode demorar até 24 horas para ser aplicada. Se este problema for crítico para o seu ambiente, podemos desabilitar o database caching:

1. Efetue um Backup da DB do RMS;

2. Na base de DRMS_Config acesse a tabela DRMS_cluterpolicies e altere o valor de PolicyData para 0 em UseDirectoryServicesCacheDatabase e EnableNoRightsCaching. Isto irá desabilitar todo o database caching;

  1. EnableNoRightsCaching é uma opção nova para o AD RMS e é utilizada para o cache em ‘No rights failures’. Por motivos de segurança, isto permite que você veja os usuários que fazem tentativas de acessar conteúdos não permitidos.

Para desabilitar somente o caching do Active Directory, na DB de DRMS_Config, acesse a tabela DRMS_cluterpolicies e altere o valor de PolicyData para 0 em:

    • DirectoryServicesMemoryPrincipalCacheMaxSize
    • DirectoryServicesMemoryGroupIdCacheMaxSize
    • DirectoryServicesMemoryGroupMembershipCacheMaxSize
    • DirectoryServicesMemoryContactGroupMembershipCacheMaxSize
    • DirectoryServicesMemoryPrincipalCacheExpirationMinutes
    • DirectoryServicesMemoryGroupCacheExpirationMinutes
  1. Após tais alterações, efetue um IISReset (iisreset no prompt de comando);

5. Efetue um novo teste com o Test-IRMConfiguration, desta vez com o PASS em todos os resultados.

O artigo “Disabling or Changing AD cache settings with RMS on Windows Server 2008” do Jason Tyler explica estes passos em mais detalhes.

Caso após tais alterações sejam efetuadas e o Test-IRMConfiguration ainda reporte o FAIL, contate o serviço de suporte da Microsoft para um troubleshooting:

http://support.microsoft.com/select/Default.aspx?target=assistance

- FAIL: Failed to acquire a use license. This failure may cause features such as Transport Decryption, Journal Report Decryption, IRM in OWA, IRM in EAS and IRM Search to not work. Please make sure that the account "FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042" representing the Exchange Servers Group is granted super user privileges on the Active Directory Rights Management Services server. For detailed instructions, see "Add the Federated Delivery Mailbox to the AD RMS Super Users Group" at http://go.microsoft.com/fwlink/?LinkId=193400.

NOTA: Os passos para se configurar o AD RMS para a integração com o IRM são diferentes quando falamos em cenários de single/multiple forests:

Configuring AD RMS to Integrate with Exchange Server 2010 in a Single Forest

Configuring AD RMS to Integrate with Exchange Server 2010 Across Multiple Forests

Para maiores informações, consulte o guia de integração do AD RMS: AD RMS Microsoft Exchange Server 2010 Integration Guide.