在公司内部,我们在打开一份RMS权限文档时都会首先连接到RMS服务器进行身份验证,验证后方能根据自身拥有的权限对文档进行操作,可是文档一旦带离公司到了外部后,就无法联系到RMS服务器了,也就是无法打开文档,为了能使外部的用户也能像内部一样正常打开RMS权限文档,需要对RMS服务器进行一些配置,最后通过防火墙将RMS服务器发布出去
在拓扑图中,cqwin7是一台外部工作组环境中的计算机,装有Office 2010,可以看做是员工家中的一台计算机,bjtmg为防火墙,通过它发布公司内部的bjrms(RMS服务器),本次试验将模拟这个情景,最终使员工在家中能顺利通过RMS验证并打开权限文档
103
 
1.配置RMS支持外部用户
打开RMS管理控制台,在bjrms上打开属性
104
 
切换到【群集 URL】卡片,勾选【Extranet URL】,并配置授权和认证URL地址
105
 
2.将RMS证书导出到TMG服务器
在TMG上发布RMS是需要用到证书的,先将bjrms上的证书导出,打开MMC,选择RMS证书,然后导出
106
 
一定要导出私钥
107
 
指定导出路径,这里导出到D:\ADRMS.pfx
108
 
导出完成后,将bjrms服务器D盘上的ADRMS.pfx复制到bjtmg的D盘中
在bjtmg上打开MMC,展开【证书(本地计算机)】-【个人】,在【证书】上选择导入
109
 
指定导入路径
110
 
导入成功后可以看到这张证书
111
 
3.创建Web侦听器
打开TMG管理控制台,在右侧工具箱中新建一个Web侦听器
指定Web侦听器名称
112
 
由于RMS授权认证站点是一个经过SSL加密的站点,这里要选择【需要与客户端建立 SSL 安全连接】
113
 
选择侦听【外部】,并选择一个IP地址(我这里TMG外部网卡绑定的IP较多,任选一个)
114
 
选择证书,就是刚才导入的RMS证书
115
 
选择【没有身份验证】
116
 
Web侦听器创建完成后,来创建一条网站发布规则
4.创建网站发布规则
在【防火墙策略】上新建【网站发布规则】
117
 
指定规则名称
118
 
选择【允许】
119
 
选择【发布单个网站或负载平衡器】
120
 
选择【使用 SSL 连接到发布的 Web 服务器或服务器场】
121
 
指定内部站点名称【bjrms.zf.com】
122
 
指定要发布站点下的哪些内容,这里用【/*】来表示全部
123
 
指定公用名称,也就是客户端打开权限文档后提交的域名,这里是【bjrms.zf.com】
124
 
指定Web侦听器
125
 
由于RMS存在身份验证,这里要选择【无委派,但是客户端可以直接进行身份验证】
126
 
5.配置外部客户端
首先要确保信认我们企业内部的根CA,外部客户端获取CA根证书可以从TMG发布的内部CA网站下载到,也可以在企业内部下载后通过U盘带回家再做导入,方法很多
127
 
确保外部客户端可以通过域名bjrms.zf.com解析到公司TMG服务器的外部网卡IP地址【222.16.2.3】,这需要在公网的DNS服务器上创建这条纪录
128
 
在IE浏览器中打开【Internet选项】,切换至【安全】面板,选择【本地Intranet】,将安全级别将至最低,然后打开【站点】
129
 
选择【高级】
130
 
将RMS站点的域名添至其中
131
 
打开我们从公司带回来的权限文档,此时会弹出身份验证框,这里我还是用IT部的jqq用户来进行验证,这份文档我在公司创建的时候应用了【IT部只读】这个权限策略模板
132
 
由于在TMG上发布了RMS服务器,这里顺利的下载到了权限
133
 
到这里我们就通过外部客户端成功的打开了RMS权限文档,我们来看看jqq有哪些权限,点击【查看权限】按钮后,发现用户jqq仅有查看权限
134