為了能夠使遠程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公而利用MS在WINDOWS
以及EXCHANGE
中提供的新功能RPC OVER HTTP
使用過EXCHANGE服務器的人都會知道采用OUTLOOK客戶端連接到Exchange服務器(MAPI方式)會有很多除郵件以外的功能比如說日歷公共文件夾等現在由於多數公司的結構都是總部和分支機構為不在同一個LAN內這就導致了遠程用戶不能訪問郵件服務器服務器您也許會說我可以把 EXCHANGE的POP以及HTTP方式啟用遠程用戶用戶就可以使用這兩種方式進行信箱的登錄了但是盡管如此這基本上只能具有郵件郵件的功能您又會說我用HTTP的的OWA方式訪問EXCHANGE服務器基本上和本地本地LAN內的OUTLOOK有相同的功能那我可以負責任的告訴你你看到的僅僅是表象表象OWA方式訪問EXCHANGE和使用OUTLOOK直接(MAPI)連接服務器仍然有很大的差別這也就是為什麼MS會提供RPC OVER HTTP方案的最根本原因
目前為了能夠使遠程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公現在的解決方案只有兩個第個就是采用VPN的方式這裡不再介紹
第二種就是MS在WINDOWS 以及EXCHANGE中提供的新功能RPC OVER HTTP
我在寫這個文章的時候對於MS提供的RPC OVER HTTP部署實施的文檔已經研究了N次次然而也沒有一次成功過的現在再回頭看一下還是覺得MS目前目前提供的RPCHTTP參考文檔並不完善裡面很多地方都漏掉了這就導致了很多人按照MS的指導操作仍然無法順利完成
下面我就詳細介紹我的實驗以及實際生產環境
我以實驗環境為例子來介紹如何操作的(都是采用MS的virtual server 來建立的這個軟件非常棒有興趣的人可以用這個軟件來建立自己的實驗環境)
我的實驗環境是DC 台Exchange 台其中台做了群集做郵件系統的後端另外台EXCHANGE 做前端
我們先介紹一下這個實驗環境的網絡參數
DC(Windows server enterprise edition)
Ip addr: FQDN:
包含以下服務域控制器 dns server wins server;
EXCH(Windows server enterprise edition)
Ip addr: FQDN:
包含以下服務Exchange Server enterprise Edition群集節點exchange群集名稱mailsrvexchange群集IP地址;
EXCH(Windows server enterprise edition)
Ip addr: FQDN:
包含以下服務Exchange Server enterprise Edition群集節點exchange群集名稱mailsrvexchange群集IP地址;
EXCH(Windows server enterprise edition)
Ip addr: FQDN:
包含以下服務Exchange Server enterprise Edition群集節點exchange群集名稱EXCH;
以上服務器中DC這個服務器擔任的角色有DC和GC(全局編錄)EXCH和EXCH兩台服務器做群集成為exchange的後端EXCH為這個exchange組織的前端
服務器都准備好了那麼我們如果要實現整個RPC OVER HTTP需要的其它條件如下
服務器端
Windows Server + Exchange Server
推薦安裝Exchange SPGC需要運行於Windows Server 之上
客戶機端:
Windows XP SP (需要補丁包 Q) + Outlook SP或者
Windows XP SP + Outlook SP或者
Windows SP+ Outlook SP(其實客戶機如果是Windows不安裝SP也可以推薦安裝)
下面我們看一下對於Exchange服務器需要做哪些配置
一證書服務
首先我們需要在整個域中創建一個證書服務器這裡我們選擇了Windws 中的證書頒發機構工具安裝自己的證書頒發機構
要在Windows 域中安裝證書服務器可以通過下面的步驟進行安裝
控制面板=>添加/刪除程序=>添加/刪除Windows組件 =>證書服務
安裝時選擇企業根
我們這裡首先介紹前後端結構中的實現
二Exchange前後端結構中RPCHTTP的實現
一般來說Exchange前後端架構中總是以Exchange前端服務器作為RPC Proxy後端服務器作為RPC Server客戶端通過前端進行連接因此我們只需要在前端服務器上安裝RPC Proxy頒發證書配置IIS中的RPC虛擬目錄等之後在安裝了Exchange SP後可以配置RPCHTTP的拓撲結構
配置RPCHTTP拓撲
下面我們來看如何操作首先由於安裝了Exchange SP再打開Exchange管理器(ESM)後會看到如下界面將前端調整為RPCHTTP拓撲結構中的前端將後端調整為RPCHTTP拓撲結構中的後端即可
同樣將後端服務器的RPCHTTP屬性調整為RPCHTTP後端服務器即可
做完以上步驟後需要手工的設置其它項目
安裝RpcProxy
對於前後端服務器的環境需要在前端服務器上安裝RPCProxy組件這個組件可以通過
控制面板=>添加刪除程序=>添加/刪除WINDOWS組件=>網絡服務=>HTTP代理上的RPC
EXCHANGE的虛擬站點申請證書
在前端Exchange服務器exch上打開IIS服務管理器浏覽到默認站點打開默認站點的屬性頁面切換到目錄安全性點擊服務器證書打開證書向導
在證書向導中選擇申請一個新證書=>立即發送請求到一個在線的證書服務器=>填入相關信息=>完成向導
請注意
在填寫
公用名
字段或
頒發給
字段時
務必使用這台服務器在Internet上的FQDN名稱
即這個名稱要與Internet上可用的RPC代理服務器的URL相同
這個將被Outlook客戶端使用
以驗證服務器的身份
如果出現證書與客戶端嘗試連接的名稱不匹配的情況
連接將被斷開而沒有任何通知
也就是說
如果我的前端exchange服務器在Internet上的名稱為
那麼exch
申請的證書也需要是這個全稱
證書申請成功並安裝後可以點擊查看證書以查看證書我們需要確保其中證書目的欄目中有且僅有確保遠程計算機的身份
調整RPC虛擬目錄的身份驗證方式
在Exchange服務器上打開IIS服務管理器浏覽到默認站點=>RPC打開RPC的屬性頁面切換到目錄安全性點擊身份驗證和訪問控制中的編輯打開身份驗證方法 對話框
在身份驗證方法對話框中去掉啟用匿名訪問選項的勾選擇集成Windows身份驗證和基本身份驗證選項關閉所有對話框
檢查Exchange服務的配置
默認情況下下面的注冊表項目都是正確的為了保證能夠順利的實施RPCHTTP方案請再次檢查以下相關信息是否正確
在Exchange服務器上打開注冊表編輯器檢查下面的鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Value name: Rpc/HTTP Port
Value type: REG_DWORD
Value data: x (Decimal )
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: HTTP Port
Value type: REG_DWORD
Value data: x (Decimal )
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: Rpc/HTTP NSPI Port
Value type: REG_DWORD
Value data: x (Decimal )
以上操作都是在Exchange的前端服務器上進行的下面需要修改其它設置
配置GC
編輯注冊表
在Exchange組織所在的所有GC服務器上打開注冊表編輯器浏覽到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
在右邊添加下面的數據
鍵值: NSPI interface protocol sequences
鍵值類型: 多字符串值
鍵值數據:
在我提供的例子中唯一的DC就是GC因而該操作是DC
Exchange前端服務器中修改RpcProxy配置
打開注冊表編輯器浏覽到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy
在右邊雙擊ValidPorts進入編輯狀態然後將值修改為
ServerNETBIOSName:;ServerFQDN:;ServerNetBIOSName:;ServerFQDN:;GCNETBIOSName:;GCFQDN:
利用Exchange服務器的機器名替換其中的ServerNETBIOSName
利用Exchange服務器的完全合格域名(FQDN)替換其中的ServerFQDN
利用GC服務器的機器名替換其中的GCNETBIOSName
利用GC服務器的完全合格域名替換其中的GCFQDN
注意如果組織中有多台GC需要都添加到數據中;如果是群集環境需要將EXCHANGE群集的NETBIOS和FQDN以及各個節點的NETBIOS和FQDN都添加進去
在我的實驗環境中有一個DCnetbios為dcFQDN為Exchange後端為一個群集其netbios為 mailsrvFQDN為;節點的netbios名字exchFQDN為;節點 的netbios名字為exchFQDN為
那麼對於我的實驗環境這個值應該設置為
mailsrv:; :; mailsrv:; :; exch:; :; exch:; :; exch:; :; exch:; :; dc:; :;
設置完成後重新啟動Exchange服務器上的IIS Admin Service及相關服務
至此前後端結構且後端實施了群集技術的RPC OVER HTTP配置在服務器端就順利完成了假如您只有單台Exchange Server不具有前後端結構那麼您需要的操作也很簡單在以上的步驟中只需要將第步中選擇這是RPCHTTP後端拓撲的一部分步是完全相同的即可
下面來介紹一下客戶端的配置
三OUTLOOK 配置RPC OVER HTTP的實現
由於是通過HTTP代理RPC請求所以需要客戶端信任HTTP服務器也就是RPC OVER HTTP的前端服務器
那麼我們至少需要兩個證書
第個是根CA的證書第個是RPCHTTP前端WEB服務器的證書
證書的安裝
我們來看一下如何將這兩個證書進行導入
) 在安裝有證書服務的服務器上系統路徑下會產生一個後綴名為CRT的文件這個文件包含了這個證書頒發機構的信息我們需要將這個文件復制到客戶端上
) 在客戶端雙擊這個CRT文件然後點擊Install Certificate將打開證書導入向導
然後下一步
選擇根據證書類型自動選擇證書存儲區繼續下一步完成後對於安全警告選擇接受
這樣我們就在客戶端導入了CA的根證書
) 接下來需要導入Exchange服務器證書也就是在服務器配置中通過IIS界面為默認站點頒發的證書方法是
打開IE浏覽器輸入:
這時IE會彈出提示對話框要用戶對證書進行確認在上面點擊查看證書然後點擊安裝證書按照向導提示接受默認設置導入證書
) 關閉所有IE窗口後重新使用IE打開 連接到服務器如果不再彈出關於服務器證書的警告信息就說明已經成功導入客戶端開始信任該服務器提供的證書
)
另外的驗證方式是打開IE浏覽器
》工具
》Internet選項
》內容
》證書
查看
其他人
和
受信任的根證書頒發機構
如果出現上面的兩個證書
查看這兩個證書如果沒有警告信息或紅*
則說明導入成功
注如果發現安裝的Exchange前端服務器證書無法在客戶端生效那麼您可以通過在與證書服務器在相同LAN的的一個主機通//my certification server/certsrv進行用戶證書的申請並將該用戶證書復制到該計算機進行安裝即可解決此類信任問題在我的實驗環境中由於在DC上安裝了證書服務因而訪問地址為進申請
Outlook配置文件
) 在Outlook客戶端打開控制面板=>郵件
) 點擊顯示配置文件
) 點擊添加為新的配置文件設置一個名稱點擊OK
) 在向導中選擇添加新郵件帳戶=>Microsoft Exchange Server
輸入服務器名稱(注意此處是後端服務器的名稱在我的實驗環境中應該輸入)和用戶名稱取消使用緩存 Exchange模式選項然後點擊右下角的其它設置如果出現不能解析名稱錯誤點擊取消忽略(此解析過程時間可能會很長)
在Microsoft Exchange Server對話框中切換到連接選項卡
選擇使用Internet Explorer或第三方撥好程序連接同時勾選使用HTTP連接到我的Exchange郵箱之後點Exchange代理服務器設置
在該界面的Exchange代理服務器https://中輸入(此處為RPC代理服務器在我的實驗環境中為前端)同時對在快速網絡中首先使用HTTP連接然後使用TPC/IP連接 和在低速網絡中首先使用HTTP連接然後使用TPC/IP連接進行勾選在代理服務器驗證設置中選擇基本身份驗證確定後退出
確定後即可完成OUTLOOK的RPCHTTP客戶端的配置
驗證配置
在運行中輸入outlook /rpcdiag回車選擇剛才建立的配置文件然後輸入用戶名和密碼如果在網絡連接框中顯示了HTTPS的信息則說明配置完全正確
From:http://tw.wingwit.com/Article/os/fwq/201311/29811.html
