发布面向“HTTP上的RPC”的Exchange Server

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
Digicert DV 证书 单域名,20个 3个月
简介:
在本练习中,您需要在Microsoft Outlook客户端连接到Exchang Server 时,向它们提供Outlook的全部功能。然而,在本练习中,不可能通过远程过程调用(RPC)协议直接发布Exchange Server配置为在HTTP(HTTPS)通讯内进行RPC隧道通讯。这就需要使用"HTTP上的RPC"协议。

在Denver计算机执行以下步骤:

1:在Denver计算机上,安装“HTTP代理上的RPC”网络服务。

A、在Denver计算机上,依次单击“开始”菜单、“控制棉板”,然后单击“添加或删除程序”。
B、在“添加或删除程序”窗口中,单击“添加/删除Windows组建”。
C、在“Windows组建”页面上,选择“网络服务”组建(不要选中该复选框),然后单击“详细信息”。
D、在“网络服务”对话框中,选中“HTTP代理上的RPC”复选框,然后单击确定。
E、在Windows组建“页面上,单击下一布”。请稍后,安装程序正在安装“HTTP代理上的RPC”网络服务。
F、在“完成Windows 组建向导面上,单击”完成“。
通常,您应将”HTTP代理上的RPC“安装到Exchange前端服务器上。在本实验中,只使用一台Exchange服务器计算机(Denver),因此应将该网络服务安装在此计算机上。
G、关闭”添加或删除程序“窗口。

2:在”IIS管理器“控制台中,考察”RPC代理服务器扩展“。

A、在”开始“菜单上,单击”管理工具“,然后单击”Internet信息服务(IIS)管理器“。此时将打开”IIS管理器“控制台。
B、在”IIS管理器“控制台中,展开”DENVER(本地计算机)“,然后在左框中选择”Web服务扩展“。
此时,将安装新的Web服务扩展(RPC代理服务器扩展)。该扩展的状态为”允许“。
注意:在前,面配置OWA的练习中,您已经申请了一个名称为denver.contoso.com的Web服务器证书,并在IIS中加载了该证书。


3:配置/RPC虚拟目录:匿名访问:否身份证方法:仅基本身份验证要求SSL:是

A、在”IIS管理器“控制台中,依次展开”网站“、”默认网站“、然后在左窗格中选择RPC。
ISA Server将发布RPC虚拟目录,以允许通过“HTRP上的RPC”协议访问Exchange Server。
B、右键单击Rpc,然后单击“属性”。
C、在“Rpc属性”对话框的“目录安全性”选项卡上,单击“身份验证和访问控制”框中的“编辑”。
D、在“身份验证方法”对话框中,启用“基本身份验证”。
E、在“IIS管理器”警告消息框中,单击“是”以确认您要继续。
如果采用基本是身份验证愤怒国法,则密码通过网络传送时是不加密的。您将配置虚拟目录以要求对“HTTP上的RPC”连接使用SSL,从而保护凭据信息。
F、在“身份验证方法”对话框中,填写以下信息:
启用匿名访问:禁用  
集成Windows身份验证:禁用  
基本身份验证:启用(上一步中启用)
然后单击“确定”。
现在,基本身份验证是对/Rpc虚拟目录启用的唯一身份验证方法。


G、在“目录安全性”选项卡上的“安全通信”框中,单击“编辑”。
H、在“安全通信”框中,启用“要求安全通道(SSL)”,然后单击“确定”。
为确保“HTTP上的RPC ”连接所用的基本身份验证密码的安全,需要对/Rpc虚拟目录进行SSL加密。实际上,这就变成了“HTTPS上的RPC”。


I、在“目录安全性”选项卡上,单击“查看证书”。
Denver 上的默认网站使用名为denver.contoso.com的Web服务器证书。ISA Server将发  [url]http://denver.contoso.com[/url]  /rpc,以允许访问ExchangeServer。
J、单击“确定”以关闭“证书”对话框。


K、单击“确定”以关闭“RPC属性”对话框。
I、关闭“IIS 管理器”控制台。

4:将“RPC代理”网络服务配置为在以下端口上与ExchangeServer和全局目录服务器
(denver.contoso.com)进行通讯:6001、6002和6004

A、打开一个命令提示符窗口。
B、在命令提示符下,键入cd\tools\erskit,然后按Enter键。
Reskit文件夹中包含一个来自 Windows Server2003资源工具包的配置工具(rpccfg.exe)。在执行下面每一步时,请在键入命令后按Enter键。
C、键入rpccfg/hd。
该命令的输出将先时"RPC代理”服务可以与哪一台计算机上的那些端口建立RPC连接。默认设置为:Denver100-5000。
D、键入rpccfg/hr Denver。
此时,将删除DENVER计算机的当前端口范围设置。接下来的几个命令将为NetBLOS名称以及(后端)ExchangeServer和全局目录服务器的完全限定域名(FQDN)添加所需的端口范围。与ExchangeServer的RPC连接是在端口6001与(Store)\6002(DSReferral)和6004上实现的。
E、键入pccfg/haDenver6001 6002  6004。
F、键入rpccfg/ha denver.contoso.com6001 6002  6004。
G、键入pcfg/hd。
现在,"RPC代理“服务可以在所需的端口上与 ExchangeServer(6001和 6004)和全局目录服务器(6002)建立RPC连接。
如果不使用 rpccfg.exe工具,您还可以直接编辑注册表中的 Validports植。下一个命令显示了 Validports设置的当前值。 


H、键入reg.exe query HKLM\Softwarwe\Microsoft\Rpc\RpcProxy。
注意:以前的Exchange server2003文档提到还必须添加端口 593。此端口用于 DCOM访问。不过,如果未进行修补,则攻击者可以通过 DCOM RCP接口中的漏洞使用受影响系统少年宫的”本地系统“权限来运行代码。 W32/Blaster蠕虫即利用了此漏洞。 Microsoft知识库文章 826382和 Microsoft安全公告 MS03-26对此进行了介绍 。Outlook在使用"HTTP少年宫的RPC"连接到Exchange Server时不需要使用 TCP端口 593,因此在 RPC代理服务的配置中未包括此端口号。
I、关闭命令提示符窗口。
注意:如果在前端/后端方案中部署Exchange, 且前端服务器上安装了Exchange Server2003SP1,则无需手动配置Validports设置。前端 Exchange Server会自动管理 Validports值。


5:将全局目录服务器(Denver)配置为使用端口6004进行"HTTP RPC”连接。

A、在“开始”菜单上,单击“运行”。
B、在“运行”对话框中,键入regedit.exe,然后单击“确定”。
C、在“注册表编辑器”窗口中,选择HKEY-LOCL-MCHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters项。
E、在“新值#1”文本框中,键入“NSPI接口协议序列”替代原有文本,然后按Enter键。
此时,将创建一个新的 REG-MULTI-SZ值,名称为 "NSPL 接口协议序列“。
F、右键单击”NSOI接口协议序列“值,然后单击”修改“。
G、在”编辑多字符串“对话框中,键入ncach-http:6004 然后单击“确定”。
“全局目录”服务器将字TCP端口6004上侦听来自“RPC代理”网络服务的 RPC连接。要使此设置生效,必须重心启动服务器计算机。
H、关闭“注册表编辑器”窗口。


6:重心启动Dever计算机。

A、“开始”菜单上,单击“关机”。
在下一步中,确保是“重新启动” Denver计算机,而不是“关闭”Denver计算机。
B、“关闭 Windows”对话框中,填写以下信息 :
希望计算机做什么:重新启动 
选项:其他(计划的)(默认)
注释:更改RPC代理设置然后单击“确定”。
此时,将重新启动Denver计算机。这需要几分钟时间。

7:登陆到该计算机上:
用户名:Administrator
密码:password
登陆到:CONTOSO

A、重新启动后,在“欢迎使用Windows”对话框中,按右侧Alt-Del组合键 Ctrl-Alt-Del组合键)。
B、在“登陆到windows 对话框中,填写以下信息:
用户名:Administrator
密码: password
域: CONTOSO
然后单击”确定“即可登陆。

在 Florence计算机上执行以下

8. 在Florence计算机上,禁用通过使用RPC发布ExchangeServer的现有规则。

A、在Florence计算机上,在ISAServer控制台的左窗格中,选择”防火墙策略(TALY)“。
B、在右窗格中,右键单击“发布邮件Exchange RPC服务器”,然后单击“禁用”。
之所以在本实验室中禁用此规则,原因是为了清楚地说明Istsnbul计算机上的Outlook2003将使用"HTTPS上的RPC"(而不是直接使用RPC)连接到Exehange Server 。

注意:在前面配置OWA的练习中,您已经申请了一个名称为mail.contoso.com的Web服务器证书,并在 SSL端口 443上创建了使用该证书的 Web侦听器。

9:将“外部Web443”Web侦听器配置为使用“基本”身份验证。

A、在任务窗格的“工具箱”选项卡上,从“网络对象”部分展开“Web侦听器”。
B、右键单击“Web443”,然后单击“属性”。
C、在“外部Web443属性”对话框的“首选项”卡上,单击“身份验证。


D、在”身份验证“对话框中”,从“方法”列表中禁用“集成”。
此时将显示一个警告消息框,因为当前没有选择身份验证方法。
E、在警告消息框中,单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中,从“方法”列表中启用“基本”。
此时又将显示一个警告消息框,这是因为,如果不使用SSL,“基本”身份验证方法通过网络传送密码时是不加密的。


G、在该警告消息框中,单击“是”以确认您要继续。
H、单击“确定”以关闭身份验证”对话框
I、单击“确定”以关闭。“外部Web443属性”对话框。至此,Web侦听器已配置为使用“基本”身份验证。

10:创建安全Web发布规则。
名称:发布邮件(HTTPS上的RPC)
Web服务器:denver.contoso.com/rpc 发送主机头:是
公共名称:mail.contoso.com/rpc

A、在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
B、在任务窗格的“任务”选项卡上,单击“发布安全Web服务器“。
来自Outlook客户端的RPC连接是通过安全Web连接(HTTPS)到达denver.contoso.com/rpc的。
C、在”新建SSL Web发布规则向导“对话框的”SSL Web发布规则名称“文本框中,键入”发布邮件(HTTPS上的RPC),然后单击“下一步”。


D、在“发布模式”页面上,分别单击两个选项,以检查两种SSL发布各有什么不同。
“SSL隧道”选项不允许ISA Server 检查SSL 隧道内的网络通讯。
E、在“发布模式”页面上,选择“SSL桥接”,然后单击“下一步”。
F、在“选择规则操作”页面上,选择“允许”,然后单击“下有步”。
G、在“桥接模式”页面上,选择”加密到客户端和Web服务器的连接“,然后单击”下一步“。


H、在”请定义要发布的网站“页面上,填写以下信息:
计算机名称或IP地址:denver.contoso.com
转发初始主机头:启用
路径:rpc/*
然后单击”下一步“。
发布的网站为denver.contoso.com/rpc.


I、在“公共名称细节”页面上,填写以下信息:
接受请求:此域名(在以下输入):
公共名称:mail.contoso.com  
路径:/rpc/*(默认)
然后单击“下一步”
该网站的公共名称:mail.contoso.com/rpc。


J、在”选择Web侦听器“页面上,从”Web侦听器“列表框中选择”外部Web443“,然后单击”下一步“。
K、在“用户集”页面上,单击“下一步”。
I、在“正在完成新建SSL Web 发布规则向导”页面上,单击“完成”。
此时,将创建一个新的安全Web发布规则,该规则将denver.contoso.com/rpc.网站发布为“外部”网络上的mail.contoso.com/rpc。


M、在右窗格中,右键单击“发布邮件(HTTPS上的RPC)”,然后单击“属性”
N、在“发布邮件(HTTPS上的RPC)属性”对话框的“用户”选项卡上,启用“转发基本身份验证凭据”,然后单击“确定”。
在当前配置中,ISA Server允许匿名连接。但是,如果将发布规则或 Web 侦听器被配置为要求身份验证,则应将身份验证凭据转发给Denver上的RPC代理。这样,可以防止用户在建立连接时出现多个身份验证对话框。
O、单击“应用”以应用新规则,然后单击“确定”。等待,直到CSS状态变"已同步“。


在Istanbul计算机上执行以下步骤:

11:在Istanbul计算机上使用Internet Explorer连接到 [url]http://mail.contoso.com/rpc[/url] 上,以验证安全Web发布规则的配置。预期的错误代码为403、2(拒绝读访问)

A、在Istanbul计算机上,打开Internet Explorer。在”地址“框中,键入 [url]http://mail.contoso.com/rpc[/url] ,然后按Enter键。
B、在”连接到mail.contoso.com“对话框中,填写以下信息:
用户名Administrator 密码:password
记住密码:禁用(默认)
然后单击”确定“。
Internet Explorer中将显示一个错误网页(HTTP错误403、2-被禁止:拒绝读访问)。该结果在意料之中。虽然使用Internet Explorer连接到/RPC虚拟目录对于”HTTP上的RPC “协议这一上下文并没有功能上的意义,但这是一种快速验证ISA Server和RPC代理服务器(Denver)上的Web侦听器、安全Web发布规则和Web服务器证书配置是否正确的方法。预期的错误消息为”403、2错误“网页。
C、关闭Internet Explorer。


12:将当前Outlook配置文件中的电子邮件帐户配置为使用”HTTP上的RPC“:
URL:mail.contoso.com
仅使用SSL:是
主题名称:msstd:mail.contoso.com
在快速/低速网络上,首先使用HTTP:是
代理身份验证:基本

A、在”开始“菜单上,单击”控制面板“,然后单击”邮件“。
B、在”邮件设置-Outlook“对话框中,单击”电子邮件帐户“。
C、在“电子邮件帐户”对话框中,选择“查看或更改现有电子邮件帐户”,然后单击“下一步”。
控制面板小程序尝试(使用RPC)连接到Exchange Server.片刻之后,将显示一个消息框,通知您无法连接Exchange Server。


D、单击“取消”关闭“正在连接Microsoft Exchange Server"消息框。
E、在“电子邮件帐户”页面上,确保选择“ Contoso 邮件”,然后单击“更改”。
F、在“Exchange Server设置”页面上,单击“其他设置”。
G、在“Microsoft Exchange Server”对话框的“连接”选项卡上,启用“使用HTTP连接到我的Exchange邮箱”,然后单击Exchange代理设置“。
H、在Exchange代理设置”对话框中,填写以下信息:
使用此URL( http:// ):mail.contoso.com
仅使用SSL连接:启用(默认)
相互验证会话:启用  
代理服务器的主题名称:msstd:mail.contoso.com  
在快速网络中,首先使用HTTP连接:启用  
在低速网络中,首先使用HTTP连接:启用(默认) 
代理身份验证设置:基本身份验证
然后单击“确定”。
msstd窗体是Microsoft 引用RPC主体名称的标准。连接后,Outlook将使用msstd主体名称验证它是否连接到正确的服务器。
快速网络与低速网络之间的区别有网卡报告的速度确定。如果报告的速度低于128Kbps,则认为这是一个低速网络。
如果启用此选项,Outlook首先将尝试使用HTTP(HTTP上的RPC),然后使用TCP/IP(RPC)进行连接。


I、单击“确定”以关闭“Microsoft Exchange Server”对话框。
K、在“连接到denver.contoso.com”对话框中,填写以下信息:
用户名:contoso、administrator 
密码:password 
然后单击“确定”。
控制面板小程序应该已能够(使用“HTTPS上 的RPC”)连接到Exchange Server上。


L、在“电子邮件帐户”页面上,单击“完成”。
M、单击“关闭”以关闭“邮件设置-Outlook"对话框。

13:启动Outlook2003,然后检查网络连接。
使用:netstat -ano 
使用:连接状态

A、打开一个命令提示符窗口。
B、在命令提示符下,键入netstat -ano |find"EST",然后按Enter.
该命令的输出将显示在启动Outlook之前从Istanbul计算机建立的TCP/IP网络连接(连接数可能为零,也可能有多个)。
C、在“开始”菜单上,依次单击“所有程序”,、“Microsoft Office",然后单击“Microsoft Office Outlook2003”。
D、在“正在连接到denver.contoso.com”对话框中,填写一些信息:
用户名:contoso、administrator  
密码:password 
然后单击“确定”。
此时,将启动Outlook2003并显示 administrator的收件箱。
E、切换到“命令提示符”窗口。
F、在命令提示符下,键入netstat-ano|find "EST",然后按Enter键。
该命令的输出将显示从Istanbul(39、1、1、7)到ISA Server(39.1.1.1)之间急建立的多个连接。所有连接使用的都是ISA Server 上的TCP端口443。
G、关闭命令提示符窗口。


H、按住Ctrl键,然后单击系统任务栏部分的Outlook图标。
I、在系统任务栏Outlook图标的上下文菜单中,单击“连接状态”。
“Exchange Server连接状态”窗口将显示从Outlook到denver.contoso.com的四个连接。Conn列中的HTTPS表明,此时使用的是“HTTPS 上的RPC”连接。
J、单击“关闭”以关闭“Exchange Server连接状态”窗口。

14:发送一封电子邮件给administrator以测试到ISA Server的“HTTP上的RPC”连接。

A、在Outlook的工具栏上,单击“新建”。
B、在“新建邮件”窗口中,填写以下信息:
收件人:administrator 
主题:测试通过“HTTP上的RPC”的邮件-4
(邮件)"HTTP上的RPC “发布Exchange然后单击”发送“。
片刻之后,Outlook即会从”发件箱“中发出该邮件。然后,该邮件就会出现在”收件箱“中。这一结果表明,Outlook已使用与ISA Server的”HTTP上的RPC“连接成功地连接到Denver上的E xchange Server。
C、在”收件箱“中,选择此新邮件。

D、关闭Outlook。




 本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/127455,如需转载请自行联系原作者



相关文章
|
4月前
|
负载均衡 网络协议 小程序
SpringCloud远程调用为啥要采用HTTP,而不是RPC?
【8月更文挑战第28天】在微服务架构日益盛行的今天,SpringCloud凭借其强大的生态系统和灵活的集成能力,成为了众多企业构建微服务系统的首选框架。在微服务之间的远程调用中,一个常见的问题是选择HTTP还是RPC(远程过程调用)作为通信协议。本文将深入探讨SpringCloud为何更倾向于采用HTTP而非RPC进行远程调用。
387 5
|
1月前
|
Dubbo 安全 应用服务中间件
Apache Dubbo 正式发布 HTTP/3 版本 RPC 协议,弱网效率提升 6 倍
在 Apache Dubbo 3.3.0 版本之后,官方推出了全新升级的 Triple X 协议,全面支持 HTTP/1、HTTP/2 和 HTTP/3 协议。本文将围绕 Triple 协议对 HTTP/3 的支持进行详细阐述,包括其设计目标、实际应用案例、性能测试结果以及源码架构分析等内容。
|
1月前
|
监控 开发者 Perl
perl use HTTP::Server::Simple 轻量级 http server
使用 **HTTP::Server::Simple** 模块,Perl 开发者可以快速创建和配置一个轻量级的HTTP服务器。通过继承和扩展 `handle_request` 方法,可以实现复杂的请求处理逻辑。结合日志记录功能,可以更好地监控服务器运行情况。无论是用于开发测试还是简单的生产环境应用,这种轻量级解决方案都能提供很好的支持。
46 2
|
2月前
|
负载均衡 Java 开发者
Spring Cloud 远程调用:为何选择 HTTP 而非 RPC?
【10月更文挑战第1天】在微服务架构中,远程服务调用是一个核心环节。面对HTTP和RPC(Remote Procedure Call,远程过程调用)这两种通信协议,Spring Cloud 选择了HTTP作为其主要通信手段。本文将深入探讨Spring Cloud选择HTTP而非RPC的原因,以及这一选择在实际工作中的优势。
114 0
|
2月前
|
负载均衡 API 数据格式
RPC和HTTP的区别?
RPC和HTTP的区别?
124 0
|
4月前
|
前端开发 C# 开发者
WPF开发者必读:MVVM模式实战,轻松构建可维护的应用程序,让你的代码更上一层楼!
【8月更文挑战第31天】在WPF应用程序开发中,MVVM(Model-View-ViewModel)模式通过分离关注点,提高了代码的可维护性和可扩展性。本文详细介绍了MVVM模式的三个核心组件:Model(数据模型)、View(用户界面)和ViewModel(处理数据绑定与逻辑),并通过示例代码展示了如何在WPF项目中实现MVVM模式。通过这种模式,开发者可以更高效地构建桌面应用程序。希望本文能帮助你在WPF开发中更好地应用MVVM模式。
267 1
|
4月前
|
API 开发者 微服务
RPC和 HTTP协议
【8月更文挑战第8天】RPC(远程过程调用)使程序能像本地调用般请求远程服务,简化网络通信细节。其优点包括高效的数据传输及严格的类型定义,适合微服务间的高效通信。HTTP(超文本传输协议)则是用于万维网数据传输的通用协议,以文本为基础,易于理解和调试,并被广泛支持。两者各有侧重,RPC偏高速服务通信,HTTP则更适用于多样化的网络场景。选择时需根据具体需求决定。
|
4月前
|
缓存 运维 Serverless
函数计算产品使用问题之怎么优化HTTP Server的启动速度
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
4月前
|
网络协议 编译器 Go
揭秘!TCP、RPC、gRPC、HTTP大PK,谁才是网络通信界的超级巨星?一篇文章带你秒懂!
【8月更文挑战第25天】本文以教程形式深入对比了TCP、RPC、gRPC与HTTP这四种关键通信协议,并通过Go语言中的示例代码展示了各自的实现方法。TCP作为一种可靠的传输层协议,确保了数据的完整性和顺序性;RPC与gRPC作为远程过程调用框架,特别适合于分布式系统的函数调用与数据交换,其中gRPC在性能和跨语言支持方面表现出色;HTTP则是广泛应用于Web浏览器与服务器通信的应用层协议。选择合适的协议需根据具体需求综合考量。
329 0
|
4月前
|
Python
【Azure 应用服务】Azure Function HTTP Trigger 遇见奇妙的500 Internal Server Error: Failed to forward request to http://169.254.130.x
【Azure 应用服务】Azure Function HTTP Trigger 遇见奇妙的500 Internal Server Error: Failed to forward request to http://169.254.130.x