发布面向“HTTP上的RPC”的Exchange Server

在本练习中,您需要在Microsoft Outlook客户端连接到Exchang Server 时,向它们提供Outlook的全部功能。然而,在本练习中,不可能通过远程过程调用(RPC)协议直接发布Exchange Server配置为在HTTP(HTTPS)通讯内进行RPC隧道通讯。这就需要使用"HTTP上的RPC"协议。

在Denver计算机执行以下步骤:

1:在Denver计算机上,安装“HTTP代理上的RPC”网络服务。

A、在Denver计算机上,依次单击“开始”菜单、“控制棉板”,然后单击“添加或删除程序”。
B、在“添加或删除程序”窗口中,单击“添加/删除Windows组建”。
C、在“Windows组建”页面上,选择“网络服务”组建(不要选中该复选框),然后单击“详细信息”。
D、在“网络服务”对话框中,选中“HTTP代理上的RPC”复选框,然后单击确定。
E、在Windows组建“页面上,单击下一布”。请稍后,安装程序正在安装“HTTP代理上的RPC”网络服务。
F、在“完成Windows 组建向导面上,单击”完成“。
通常,您应将”HTTP代理上的RPC“安装到Exchange前端服务器上。在本实验中,只使用一台Exchange服务器计算机(Denver),因此应将该网络服务安装在此计算机上。
G、关闭”添加或删除程序“窗口。
发布面向“HTTP上的RPC”的Exchange Server
2:在”IIS管理器“控制台中,考察”RPC代理服务器扩展“。

A、在”开始“菜单上,单击”管理工具“,然后单击”Internet信息服务(IIS)管理器“。此时将打开”IIS管理器“控制台。
B、在”IIS管理器“控制台中,展开”DENVER(本地计算机)“,然后在左框中选择”Web服务扩展“。
此时,将安装新的Web服务扩展(RPC代理服务器扩展)。该扩展的状态为”允许“。
注意:在前,面配置OWA的练习中,您已经申请了一个名称为denver.contoso.com的Web服务器证书,并在IIS中加载了该证书。
发布面向“HTTP上的RPC”的Exchange Server

3:配置/RPC虚拟目录:匿名访问:否身份证方法:仅基本身份验证要求SSL:是

A、在”IIS管理器“控制台中,依次展开”网站“、”默认网站“、然后在左窗格中选择RPC。
ISA Server将发布RPC虚拟目录,以允许通过“HTRP上的RPC”协议访问Exchange Server。
B、右键单击Rpc,然后单击“属性”。
C、在“Rpc属性”对话框的“目录安全性”选项卡上,单击“身份验证和访问控制”框中的“编辑”。
D、在“身份验证方法”对话框中,启用“基本身份验证”。
E、在“IIS管理器”警告消息框中,单击“是”以确认您要继续。
如果采用基本是身份验证愤怒国法,则密码通过网络传送时是不加密的。您将配置虚拟目录以要求对“HTTP上的RPC”连接使用SSL,从而保护凭据信息。
F、在“身份验证方法”对话框中,填写以下信息:
启用匿名访问:禁用  
集成Windows身份验证:禁用  
基本身份验证:启用(上一步中启用)
然后单击“确定”。
现在,基本身份验证是对/Rpc虚拟目录启用的唯一身份验证方法。
发布面向“HTTP上的RPC”的Exchange Server

G、在“目录安全性”选项卡上的“安全通信”框中,单击“编辑”。
H、在“安全通信”框中,启用“要求安全通道(SSL)”,然后单击“确定”。
为确保“HTTP上的RPC ”连接所用的基本身份验证密码的安全,需要对/Rpc虚拟目录进行SSL加密。实际上,这就变成了“HTTPS上的RPC”。
发布面向“HTTP上的RPC”的Exchange Server

I、在“目录安全性”选项卡上,单击“查看证书”。
Denver 上的默认网站使用名为denver.contoso.com的Web服务器证书。ISA Server将发 [url]http://denver.contoso.com[/url] /rpc,以允许访问ExchangeServer。
J、单击“确定”以关闭“证书”对话框。
发布面向“HTTP上的RPC”的Exchange Server

K、单击“确定”以关闭“RPC属性”对话框。
I、关闭“IIS 管理器”控制台。

4:将“RPC代理”网络服务配置为在以下端口上与ExchangeServer和全局目录服务器
(denver.contoso.com)进行通讯:6001、6002和6004

A、打开一个命令提示符窗口。
B、在命令提示符下,键入cd\tools\erskit,然后按Enter键。
Reskit文件夹中包含一个来自 Windows Server2003资源工具包的配置工具(rpccfg.exe)。在执行下面每一步时,请在键入命令后按Enter键。
C、键入rpccfg/hd。
该命令的输出将先时"RPC代理”服务可以与哪一台计算机上的那些端口建立RPC连接。默认设置为:Denver100-5000。
D、键入rpccfg/hr Denver。
此时,将删除DENVER计算机的当前端口范围设置。接下来的几个命令将为NetBLOS名称以及(后端)ExchangeServer和全局目录服务器的完全限定域名(FQDN)添加所需的端口范围。与ExchangeServer的RPC连接是在端口6001与(Store)\6002(DSReferral)和6004上实现的。
E、键入pccfg/haDenver6001 6002  6004。
F、键入rpccfg/ha denver.contoso.com6001 6002  6004。
G、键入pcfg/hd。
现在,"RPC代理“服务可以在所需的端口上与 ExchangeServer(6001和 6004)和全局目录服务器(6002)建立RPC连接。
如果不使用 rpccfg.exe工具,您还可以直接编辑注册表中的 Validports植。下一个命令显示了 Validports设置的当前值。 
发布面向“HTTP上的RPC”的Exchange Server

H、键入reg.exe query HKLM\Softwarwe\Microsoft\Rpc\RpcProxy。
注意:以前的Exchange server2003文档提到还必须添加端口 593。此端口用于 DCOM访问。不过,如果未进行修补,则攻击者可以通过 DCOM RCP接口中的漏洞使用受影响系统少年宫的”本地系统“权限来运行代码。 W32/Blaster蠕虫即利用了此漏洞。 Microsoft知识库文章 826382和 Microsoft安全公告 MS03-26对此进行了介绍 。Outlook在使用"HTTP少年宫的RPC"连接到Exchange Server时不需要使用 TCP端口 593,因此在 RPC代理服务的配置中未包括此端口号。
I、关闭命令提示符窗口。
注意:如果在前端/后端方案中部署Exchange, 且前端服务器上安装了Exchange Server2003SP1,则无需手动配置Validports设置。前端 Exchange Server会自动管理 Validports值。
发布面向“HTTP上的RPC”的Exchange Server

5:将全局目录服务器(Denver)配置为使用端口6004进行"HTTP RPC”连接。

A、在“开始”菜单上,单击“运行”。
B、在“运行”对话框中,键入regedit.exe,然后单击“确定”。
C、在“注册表编辑器”窗口中,选择HKEY-LOCL-MCHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters项。
E、在“新值#1”文本框中,键入“NSPI接口协议序列”替代原有文本,然后按Enter键。
此时,将创建一个新的 REG-MULTI-SZ值,名称为 "NSPL 接口协议序列“。
F、右键单击”NSOI接口协议序列“值,然后单击”修改“。
G、在”编辑多字符串“对话框中,键入ncach-http:6004 然后单击“确定”。
“全局目录”服务器将字TCP端口6004上侦听来自“RPC代理”网络服务的 RPC连接。要使此设置生效,必须重心启动服务器计算机。
H、关闭“注册表编辑器”窗口。
发布面向“HTTP上的RPC”的Exchange Server

6:重心启动Dever计算机。

A、“开始”菜单上,单击“关机”。
在下一步中,确保是“重新启动” Denver计算机,而不是“关闭”Denver计算机。
B、“关闭 Windows”对话框中,填写以下信息 :
希望计算机做什么:重新启动 
选项:其他(计划的)(默认)
注释:更改RPC代理设置然后单击“确定”。
此时,将重新启动Denver计算机。这需要几分钟时间。

7:登陆到该计算机上:
用户名:Administrator
密码:password
登陆到:CONTOSO

A、重新启动后,在“欢迎使用Windows”对话框中,按右侧Alt-Del组合键 Ctrl-Alt-Del组合键)。
B、在“登陆到windows 对话框中,填写以下信息:
用户名:Administrator
密码: password
域: CONTOSO
然后单击”确定“即可登陆。

在 Florence计算机上执行以下

8. 在Florence计算机上,禁用通过使用RPC发布ExchangeServer的现有规则。

A、在Florence计算机上,在ISAServer控制台的左窗格中,选择”防火墙策略(TALY)“。
B、在右窗格中,右键单击“发布邮件Exchange RPC服务器”,然后单击“禁用”。
之所以在本实验室中禁用此规则,原因是为了清楚地说明Istsnbul计算机上的Outlook2003将使用"HTTPS上的RPC"(而不是直接使用RPC)连接到Exehange Server 。

注意:在前面配置OWA的练习中,您已经申请了一个名称为mail.contoso.com的Web服务器证书,并在 SSL端口 443上创建了使用该证书的 Web侦听器。

9:将“外部Web443”Web侦听器配置为使用“基本”身份验证。

A、在任务窗格的“工具箱”选项卡上,从“网络对象”部分展开“Web侦听器”。
B、右键单击“Web443”,然后单击“属性”。
C、在“外部Web443属性”对话框的“首选项”卡上,单击“身份验证。
发布面向“HTTP上的RPC”的Exchange Server

D、在”身份验证“对话框中”,从“方法”列表中禁用“集成”。
此时将显示一个警告消息框,因为当前没有选择身份验证方法。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“基本”。
此时又将显示一个警告消息框,这是因为,如果不使用SSL,“基本”身份验证方法通过网络传送密码时是不加密的。
发布面向“HTTP上的RPC”的Exchange Server

G、在该警告消息框中,单击“是”以确认您要继续。
H、单击“确定”以关闭身份验证”对话框
I、单击“确定”以关闭。“外部Web443属性”对话框。至此,Web侦听器已配置为使用“基本”身份验证。

10:创建安全Web发布规则。
名称:发布邮件(HTTPS上的RPC)
Web服务器:denver.contoso.com/rpc 发送主机头:是
公共名称:mail.contoso.com/rpc

A、在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
B、在任务窗格的“任务”选项卡上,单击“发布安全Web服务器“。
来自Outlook客户端的RPC连接是通过安全Web连接(HTTPS)到达denver.contoso.com/rpc的。
C、在”新建SSL Web发布规则向导“对话框的”SSL Web发布规则名称“文本框中,键入”发布邮件(HTTPS上的RPC),然后单击“下一步”。
发布面向“HTTP上的RPC”的Exchange Server

D、在“发布模式”页面上,分别单击两个选项,以检查两种SSL发布各有什么不同。
“SSL隧道”选项不允许ISA Server 检查SSL 隧道内的网络通讯。
E、在“发布模式”页面上,选择“SSL桥接”,然后单击“下一步”。
F、在“选择规则操作”页面上,选择“允许”,然后单击“下有步”。
G、在“桥接模式”页面上,选择”加密到客户端和Web服务器的连接“,然后单击”下一步“。
发布面向“HTTP上的RPC”的Exchange Server

H、在”请定义要发布的网站“页面上,填写以下信息:
计算机名称或IP地址:denver.contoso.com
转发初始主机头:启用
路径:rpc/*
然后单击”下一步“。
发布的网站为denver.contoso.com/rpc.
发布面向“HTTP上的RPC”的Exchange Server

I、在“公共名称细节”页面上,填写以下信息:
接受请求:此域名(在以下输入):
公共名称:mail.contoso.com  
路径:/rpc/*(默认)
然后单击“下一步”
该网站的公共名称:mail.contoso.com/rpc。
发布面向“HTTP上的RPC”的Exchange Server

J、在”选择Web侦听器“页面上,从”Web侦听器“列表框中选择”外部Web443“,然后单击”下一步“。
K、在“用户集”页面上,单击“下一步”。
I、在“正在完成新建SSL Web 发布规则向导”页面上,单击“完成”。
此时,将创建一个新的安全Web发布规则,该规则将denver.contoso.com/rpc.网站发布为“外部”网络上的mail.contoso.com/rpc。
发布面向“HTTP上的RPC”的Exchange Server

M、在右窗格中,右键单击“发布邮件(HTTPS上的RPC)”,然后单击“属性”
N、在“发布邮件(HTTPS上的RPC)属性”对话框的“用户”选项卡上,启用“转发基本身份验证凭据”,然后单击“确定”。
在当前配置中,ISA Server允许匿名连接。但是,如果将发布规则或 Web 侦听器被配置为要求身份验证,则应将身份验证凭据转发给Denver上的RPC代理。这样,可以防止用户在建立连接时出现多个身份验证对话框。
O、单击“应用”以应用新规则,然后单击“确定”。等待,直到CSS状态变"已同步“。
发布面向“HTTP上的RPC”的Exchange Server

在Istanbul计算机上执行以下步骤:

11:在Istanbul计算机上使用Internet Explorer连接到[url]http://mail.contoso.com/rpc[/url]上,以验证安全Web发布规则的配置。预期的错误代码为403、2(拒绝读访问)

A、在Istanbul计算机上,打开Internet Explorer。在”地址“框中,键入[url]http://mail.contoso.com/rpc[/url],然后按Enter键。
B、在”连接到mail.contoso.com“对话框中,填写以下信息:
用户名Administrator 密码:password
记住密码:禁用(默认)
然后单击”确定“。
Internet Explorer中将显示一个错误网页(HTTP错误403、2-被禁止:拒绝读访问)。该结果在意料之中。虽然使用Internet Explorer连接到/RPC虚拟目录对于”HTTP上的RPC “协议这一上下文并没有功能上的意义,但这是一种快速验证ISA Server和RPC代理服务器(Denver)上的Web侦听器、安全Web发布规则和Web服务器证书配置是否正确的方法。预期的错误消息为”403、2错误“网页。
C、关闭Internet Explorer。
发布面向“HTTP上的RPC”的Exchange Server

12:将当前Outlook配置文件中的电子邮件帐户配置为使用”HTTP上的RPC“:
URL:mail.contoso.com
仅使用SSL:是
主题名称:msstd:mail.contoso.com
在快速/低速网络上,首先使用HTTP:是
代理身份验证:基本

A、在”开始“菜单上,单击”控制面板“,然后单击”邮件“。
B、在”邮件设置-Outlook“对话框中,单击”电子邮件帐户“。
C、在“电子邮件帐户”对话框中,选择“查看或更改现有电子邮件帐户”,然后单击“下一步”。
控制面板小程序尝试(使用RPC)连接到Exchange Server.片刻之后,将显示一个消息框,通知您无法连接Exchange Server。
发布面向“HTTP上的RPC”的Exchange Server

D、单击“取消”关闭“正在连接Microsoft Exchange Server"消息框。
E、在“电子邮件帐户”页面上,确保选择“ Contoso 邮件”,然后单击“更改”。
F、在“Exchange Server设置”页面上,单击“其他设置”。
G、在“Microsoft Exchange Server”对话框的“连接”选项卡上,启用“使用HTTP连接到我的Exchange邮箱”,然后单击Exchange代理设置“。
H、在Exchange代理设置”对话框中,填写以下信息:
使用此URL(http://):mail.contoso.com
仅使用SSL连接:启用(默认)
相互验证会话:启用  
代理服务器的主题名称:msstd:mail.contoso.com  
在快速网络中,首先使用HTTP连接:启用  
在低速网络中,首先使用HTTP连接:启用(默认) 
代理身份验证设置:基本身份验证
然后单击“确定”。
msstd窗体是Microsoft 引用RPC主体名称的标准。连接后,Outlook将使用msstd主体名称验证它是否连接到正确的服务器。
快速网络与低速网络之间的区别有网卡报告的速度确定。如果报告的速度低于128Kbps,则认为这是一个低速网络。
如果启用此选项,Outlook首先将尝试使用HTTP(HTTP上的RPC),然后使用TCP/IP(RPC)进行连接。
发布面向“HTTP上的RPC”的Exchange Server

I、单击“确定”以关闭“Microsoft Exchange Server”对话框。
K、在“连接到denver.contoso.com”对话框中,填写以下信息:
用户名:contoso、administrator 
密码:password 
然后单击“确定”。
控制面板小程序应该已能够(使用“HTTPS上 的RPC”)连接到Exchange Server上。
发布面向“HTTP上的RPC”的Exchange Server

L、在“电子邮件帐户”页面上,单击“完成”。
M、单击“关闭”以关闭“邮件设置-Outlook"对话框。

13:启动Outlook2003,然后检查网络连接。
使用:netstat -ano 
使用:连接状态

A、打开一个命令提示符窗口。
B、在命令提示符下,键入netstat -ano |find"EST",然后按Enter.
该命令的输出将显示在启动Outlook之前从Istanbul计算机建立的TCP/IP网络连接(连接数可能为零,也可能有多个)。
C、在“开始”菜单上,依次单击“所有程序”,、“Microsoft Office",然后单击“Microsoft Office Outlook2003”。
D、在“正在连接到denver.contoso.com”对话框中,填写一些信息:
用户名:contoso、administrator  
密码:password 
然后单击“确定”。
此时,将启动Outlook2003并显示 administrator的收件箱。
E、切换到“命令提示符”窗口。
F、在命令提示符下,键入netstat-ano|find "EST",然后按Enter键。
该命令的输出将显示从Istanbul(39、1、1、7)到ISA Server(39.1.1.1)之间急建立的多个连接。所有连接使用的都是ISA Server 上的TCP端口443。
G、关闭命令提示符窗口。
发布面向“HTTP上的RPC”的Exchange Server

H、按住Ctrl键,然后单击系统任务栏部分的Outlook图标。
I、在系统任务栏Outlook图标的上下文菜单中,单击“连接状态”。
“Exchange Server连接状态”窗口将显示从Outlook到denver.contoso.com的四个连接。Conn列中的HTTPS表明,此时使用的是“HTTPS 上的RPC”连接。
J、单击“关闭”以关闭“Exchange Server连接状态”窗口。

14:发送一封电子邮件给administrator以测试到ISA Server的“HTTP上的RPC”连接。

A、在Outlook的工具栏上,单击“新建”。
B、在“新建邮件”窗口中,填写以下信息:
收件人:administrator 
主题:测试通过“HTTP上的RPC”的邮件-4
(邮件)"HTTP上的RPC “发布Exchange然后单击”发送“。
片刻之后,Outlook即会从”发件箱“中发出该邮件。然后,该邮件就会出现在”收件箱“中。这一结果表明,Outlook已使用与ISA Server的”HTTP上的RPC“连接成功地连接到Denver上的E xchange Server。
C、在”收件箱“中,选择此新邮件。

D、关闭Outlook。




 本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/127455,如需转载请自行联系原作者



上一篇:部分带宽 | 带你读《5G 空口设计与实践进阶 》之二十一


下一篇:专访诸葛io:数据分析,让用户“路人转粉”的奇妙魔术