发布面向“HTTP上的RPC”的Exchange Server-阿里云开发者社区

在本练习中，您需要在Microsoft Outlook客户端连接到Exchang Server 时，向它们提供Outlook的全部功能。然而，在本练习中，不可能通过远程过程调用（RPC）协议直接发布Exchange Server配置为在HTTP(HTTPS)通讯内进行RPC隧道通讯。这就需要使用"HTTP上的RPC"协议。

在Denver计算机执行以下步骤：

1：在Denver计算机上，安装“HTTP代理上的RPC”网络服务。

A、在Denver计算机上，依次单击“开始”菜单、“控制棉板”，然后单击“添加或删除程序”。
B、在“添加或删除程序”窗口中，单击“添加/删除Windows组建”。
C、在“Windows组建”页面上，选择“网络服务”组建（不要选中该复选框），然后单击“详细信息”。
D、在“网络服务”对话框中，选中“HTTP代理上的RPC”复选框，然后单击确定。
E、在Windows组建“页面上，单击下一布”。请稍后，安装程序正在安装“HTTP代理上的RPC”网络服务。
F、在“完成Windows 组建向导面上，单击”完成“。
通常，您应将”HTTP代理上的RPC“安装到Exchange前端服务器上。在本实验中，只使用一台Exchange服务器计算机(Denver)，因此应将该网络服务安装在此计算机上。
G、关闭”添加或删除程序“窗口。

2：在”IIS管理器“控制台中，考察”RPC代理服务器扩展“。

A、在”开始“菜单上，单击”管理工具“，然后单击”Internet信息服务（IIS）管理器“。此时将打开”IIS管理器“控制台。
B、在”IIS管理器“控制台中，展开”DENVER（本地计算机）“，然后在左框中选择”Web服务扩展“。
此时，将安装新的Web服务扩展（RPC代理服务器扩展）。该扩展的状态为”允许“。
注意：在前，面配置OWA的练习中，您已经申请了一个名称为denver.contoso.com的Web服务器证书，并在IIS中加载了该证书。

3：配置/RPC虚拟目录：匿名访问：否身份证方法：仅基本身份验证要求SSL：是

A、在”IIS管理器“控制台中，依次展开”网站“、”默认网站“、然后在左窗格中选择RPC。
ISA Server将发布RPC虚拟目录，以允许通过“HTRP上的RPC”协议访问Exchange Server。
B、右键单击Rpc，然后单击“属性”。
C、在“Rpc属性”对话框的“目录安全性”选项卡上，单击“身份验证和访问控制”框中的“编辑”。
D、在“身份验证方法”对话框中，启用“基本身份验证”。
E、在“IIS管理器”警告消息框中，单击“是”以确认您要继续。
如果采用基本是身份验证愤怒国法，则密码通过网络传送时是不加密的。您将配置虚拟目录以要求对“HTTP上的RPC”连接使用SSL，从而保护凭据信息。
F、在“身份验证方法”对话框中，填写以下信息：
启用匿名访问：禁用
集成Windows身份验证：禁用
基本身份验证：启用（上一步中启用）
然后单击“确定”。
现在，基本身份验证是对/Rpc虚拟目录启用的唯一身份验证方法。

G、在“目录安全性”选项卡上的“安全通信”框中，单击“编辑”。
H、在“安全通信”框中，启用“要求安全通道（SSL）”，然后单击“确定”。
为确保“HTTP上的RPC ”连接所用的基本身份验证密码的安全，需要对/Rpc虚拟目录进行SSL加密。实际上，这就变成了“HTTPS上的RPC”。

I、在“目录安全性”选项卡上，单击“查看证书”。
Denver 上的默认网站使用名为denver.contoso.com的Web服务器证书。ISA Server将发 [url]http://denver.contoso.com[/url] /rpc,以允许访问ExchangeServer。
J、单击“确定”以关闭“证书”对话框。

K、单击“确定”以关闭“RPC属性”对话框。
I、关闭“IIS 管理器”控制台。

4：将“RPC代理”网络服务配置为在以下端口上与ExchangeServer和全局目录服务器
(denver.contoso.com)进行通讯：6001、6002和6004

A、打开一个命令提示符窗口。
B、在命令提示符下，键入cd\tools\erskit,然后按Enter键。
Reskit文件夹中包含一个来自 Windows Server2003资源工具包的配置工具(rpccfg.exe)。在执行下面每一步时，请在键入命令后按Enter键。
C、键入rpccfg/hd。
该命令的输出将先时"RPC代理”服务可以与哪一台计算机上的那些端口建立RPC连接。默认设置为:Denver100-5000。
D、键入rpccfg/hr Denver。
此时，将删除DENVER计算机的当前端口范围设置。接下来的几个命令将为NetBLOS名称以及（后端）ExchangeServer和全局目录服务器的完全限定域名(FQDN)添加所需的端口范围。与ExchangeServer的RPC连接是在端口6001与(Store)\6002(DSReferral)和6004上实现的。
E、键入pccfg/haDenver6001 6002 6004。
F、键入rpccfg/ha denver.contoso.com6001 6002 6004。
G、键入pcfg/hd。
现在，"RPC代理“服务可以在所需的端口上与 ExchangeServer(6001和 6004)和全局目录服务器(6002)建立RPC连接。
如果不使用 rpccfg.exe工具，您还可以直接编辑注册表中的 Validports植。下一个命令显示了 Validports设置的当前值。

H、键入reg.exe query HKLM\Softwarwe\Microsoft\Rpc\RpcProxy。
注意：以前的Exchange server2003文档提到还必须添加端口 593。此端口用于 DCOM访问。不过，如果未进行修补，则攻击者可以通过 DCOM RCP接口中的漏洞使用受影响系统少年宫的”本地系统“权限来运行代码。 W32/Blaster蠕虫即利用了此漏洞。 Microsoft知识库文章 826382和 Microsoft安全公告 MS03-26对此进行了介绍。Outlook在使用"HTTP少年宫的RPC"连接到Exchange Server时不需要使用 TCP端口 593，因此在 RPC代理服务的配置中未包括此端口号。
I、关闭命令提示符窗口。
注意：如果在前端/后端方案中部署Exchange, 且前端服务器上安装了Exchange Server2003SP1,则无需手动配置Validports设置。前端 Exchange Server会自动管理 Validports值。

5：将全局目录服务器（Denver)配置为使用端口6004进行"HTTP RPC”连接。

A、在“开始”菜单上，单击“运行”。
B、在“运行”对话框中，键入regedit.exe,然后单击“确定”。
C、在“注册表编辑器”窗口中，选择HKEY-LOCL-MCHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters项。
E、在“新值#1”文本框中，键入“NSPI接口协议序列”替代原有文本，然后按Enter键。
此时，将创建一个新的 REG-MULTI-SZ值，名称为 "NSPL 接口协议序列“。
F、右键单击”NSOI接口协议序列“值，然后单击”修改“。
G、在”编辑多字符串“对话框中，键入ncach-http:6004 然后单击“确定”。
“全局目录”服务器将字TCP端口6004上侦听来自“RPC代理”网络服务的 RPC连接。要使此设置生效，必须重心启动服务器计算机。
H、关闭“注册表编辑器”窗口。

6：重心启动Dever计算机。

A、“开始”菜单上，单击“关机”。
在下一步中，确保是“重新启动” Denver计算机，而不是“关闭”Denver计算机。
B、“关闭 Windows”对话框中，填写以下信息：
希望计算机做什么：重新启动
选项：其他（计划的）（默认）
注释：更改RPC代理设置然后单击“确定”。
此时，将重新启动Denver计算机。这需要几分钟时间。

7：登陆到该计算机上：
用户名：Administrator
密码：password
登陆到：CONTOSO

A、重新启动后，在“欢迎使用Windows”对话框中，按右侧Alt-Del组合键 Ctrl-Alt-Del组合键）。
B、在“登陆到windows 对话框中，填写以下信息：
用户名：Administrator
密码： password
域： CONTOSO
然后单击”确定“即可登陆。

在 Florence计算机上执行以下

8. 在Florence计算机上，禁用通过使用RPC发布ExchangeServer的现有规则。

A、在Florence计算机上，在ISAServer控制台的左窗格中，选择”防火墙策略（TALY）“。
B、在右窗格中，右键单击“发布邮件Exchange RPC服务器”，然后单击“禁用”。
之所以在本实验室中禁用此规则，原因是为了清楚地说明Istsnbul计算机上的Outlook2003将使用"HTTPS上的RPC"（而不是直接使用RPC）连接到Exehange Server 。

注意：在前面配置OWA的练习中，您已经申请了一个名称为mail.contoso.com的Web服务器证书，并在 SSL端口 443上创建了使用该证书的 Web侦听器。

9：将“外部Web443”Web侦听器配置为使用“基本”身份验证。

A、在任务窗格的“工具箱”选项卡上，从“网络对象”部分展开“Web侦听器”。
B、右键单击“Web443”，然后单击“属性”。
C、在“外部Web443属性”对话框的“首选项”卡上，单击“身份验证。

D、在”身份验证“对话框中”，从“方法”列表中禁用“集成”。
此时将显示一个警告消息框，因为当前没有选择身份验证方法。
E、在警告消息框中，单击“确定”以确认当前要求身份验证的请求将被拒绝。
F、在“身份验证”对话框中，从“方法”列表中启用“基本”。
此时又将显示一个警告消息框，这是因为，如果不使用SSL，“基本”身份验证方法通过网络传送密码时是不加密的。

G、在该警告消息框中，单击“是”以确认您要继续。
H、单击“确定”以关闭身份验证”对话框
I、单击“确定”以关闭。“外部Web443属性”对话框。至此，Web侦听器已配置为使用“基本”身份验证。

10：创建安全Web发布规则。
名称：发布邮件（HTTPS上的RPC）
Web服务器：denver.contoso.com/rpc 发送主机头：是
公共名称：mail.contoso.com/rpc

A、在右窗格中，选择第一个规则，以指示新规则将添加到规则列表中的位置。
B、在任务窗格的“任务”选项卡上，单击“发布安全Web服务器“。
来自Outlook客户端的RPC连接是通过安全Web连接（HTTPS）到达denver.contoso.com/rpc的。
C、在”新建SSL Web发布规则向导“对话框的”SSL Web发布规则名称“文本框中，键入”发布邮件（HTTPS上的RPC），然后单击“下一步”。

D、在“发布模式”页面上，分别单击两个选项，以检查两种SSL发布各有什么不同。
“SSL隧道”选项不允许ISA Server 检查SSL 隧道内的网络通讯。
E、在“发布模式”页面上，选择“SSL桥接”，然后单击“下一步”。
F、在“选择规则操作”页面上，选择“允许”，然后单击“下有步”。
G、在“桥接模式”页面上，选择”加密到客户端和Web服务器的连接“，然后单击”下一步“。

H、在”请定义要发布的网站“页面上，填写以下信息：
计算机名称或IP地址：denver.contoso.com
转发初始主机头：启用
路径：rpc/*
然后单击”下一步“。
发布的网站为denver.contoso.com/rpc.

I、在“公共名称细节”页面上，填写以下信息：
接受请求：此域名（在以下输入）：
公共名称：mail.contoso.com
路径：/rpc/*（默认）
然后单击“下一步”
该网站的公共名称：mail.contoso.com/rpc。

J、在”选择Web侦听器“页面上，从”Web侦听器“列表框中选择”外部Web443“，然后单击”下一步“。
K、在“用户集”页面上，单击“下一步”。
I、在“正在完成新建SSL Web 发布规则向导”页面上，单击“完成”。
此时，将创建一个新的安全Web发布规则，该规则将denver.contoso.com/rpc.网站发布为“外部”网络上的mail.contoso.com/rpc。

M、在右窗格中，右键单击“发布邮件（HTTPS上的RPC）”，然后单击“属性”
N、在“发布邮件（HTTPS上的RPC）属性”对话框的“用户”选项卡上，启用“转发基本身份验证凭据”，然后单击“确定”。
在当前配置中，ISA Server允许匿名连接。但是，如果将发布规则或 Web 侦听器被配置为要求身份验证，则应将身份验证凭据转发给Denver上的RPC代理。这样，可以防止用户在建立连接时出现多个身份验证对话框。
O、单击“应用”以应用新规则，然后单击“确定”。等待，直到CSS状态变"已同步“。

在Istanbul计算机上执行以下步骤：

11：在Istanbul计算机上使用Internet Explorer连接到[url]http://mail.contoso.com/rpc[/url]上，以验证安全Web发布规则的配置。预期的错误代码为403、2（拒绝读访问）

A、在Istanbul计算机上，打开Internet Explorer。在”地址“框中，键入[url]http://mail.contoso.com/rpc[/url]，然后按Enter键。
B、在”连接到mail.contoso.com“对话框中，填写以下信息：
用户名Administrator 密码：password
记住密码：禁用（默认）
然后单击”确定“。
Internet Explorer中将显示一个错误网页（HTTP错误403、2-被禁止：拒绝读访问）。该结果在意料之中。虽然使用Internet Explorer连接到/RPC虚拟目录对于”HTTP上的RPC “协议这一上下文并没有功能上的意义，但这是一种快速验证ISA Server和RPC代理服务器（Denver)上的Web侦听器、安全Web发布规则和Web服务器证书配置是否正确的方法。预期的错误消息为”403、2错误“网页。
C、关闭Internet Explorer。

12：将当前Outlook配置文件中的电子邮件帐户配置为使用”HTTP上的RPC“：
URL：mail.contoso.com
仅使用SSL：是
主题名称：msstd:mail.contoso.com
在快速/低速网络上，首先使用HTTP：是
代理身份验证：基本

A、在”开始“菜单上，单击”控制面板“，然后单击”邮件“。
B、在”邮件设置-Outlook“对话框中，单击”电子邮件帐户“。
C、在“电子邮件帐户”对话框中，选择“查看或更改现有电子邮件帐户”，然后单击“下一步”。
控制面板小程序尝试（使用RPC）连接到Exchange Server.片刻之后，将显示一个消息框，通知您无法连接Exchange Server。

D、单击“取消”关闭“正在连接Microsoft Exchange Server"消息框。
E、在“电子邮件帐户”页面上，确保选择“ Contoso 邮件”，然后单击“更改”。
F、在“Exchange Server设置”页面上，单击“其他设置”。
G、在“Microsoft Exchange Server”对话框的“连接”选项卡上，启用“使用HTTP连接到我的Exchange邮箱”，然后单击Exchange代理设置“。
H、在Exchange代理设置”对话框中，填写以下信息：
使用此URL（http://):mail.contoso.com
仅使用SSL连接：启用（默认）
相互验证会话：启用
代理服务器的主题名称：msstd:mail.contoso.com
在快速网络中，首先使用HTTP连接：启用
在低速网络中，首先使用HTTP连接：启用（默认）
代理身份验证设置：基本身份验证
然后单击“确定”。
msstd窗体是Microsoft 引用RPC主体名称的标准。连接后，Outlook将使用msstd主体名称验证它是否连接到正确的服务器。
快速网络与低速网络之间的区别有网卡报告的速度确定。如果报告的速度低于128Kbps，则认为这是一个低速网络。
如果启用此选项，Outlook首先将尝试使用HTTP（HTTP上的RPC），然后使用TCP/IP（RPC）进行连接。

I、单击“确定”以关闭“Microsoft Exchange Server”对话框。
K、在“连接到denver.contoso.com”对话框中，填写以下信息：
用户名：contoso、administrator
密码：password
然后单击“确定”。
控制面板小程序应该已能够（使用“HTTPS上的RPC”）连接到Exchange Server上。

L、在“电子邮件帐户”页面上，单击“完成”。
M、单击“关闭”以关闭“邮件设置-Outlook"对话框。

13：启动Outlook2003，然后检查网络连接。
使用：netstat -ano
使用：连接状态

A、打开一个命令提示符窗口。
B、在命令提示符下，键入netstat -ano |find"EST",然后按Enter.
该命令的输出将显示在启动Outlook之前从Istanbul计算机建立的TCP/IP网络连接（连接数可能为零，也可能有多个）。
C、在“开始”菜单上，依次单击“所有程序”，、“Microsoft Office",然后单击“Microsoft Office Outlook2003”。
D、在“正在连接到denver.contoso.com”对话框中，填写一些信息：
用户名：contoso、administrator
密码：password
然后单击“确定”。
此时，将启动Outlook2003并显示 administrator的收件箱。
E、切换到“命令提示符”窗口。
F、在命令提示符下，键入netstat-ano|find "EST",然后按Enter键。
该命令的输出将显示从Istanbul(39、1、1、7）到ISA Server(39.1.1.1)之间急建立的多个连接。所有连接使用的都是ISA Server 上的TCP端口443。
G、关闭命令提示符窗口。

H、按住Ctrl键，然后单击系统任务栏部分的Outlook图标。
I、在系统任务栏Outlook图标的上下文菜单中，单击“连接状态”。
“Exchange Server连接状态”窗口将显示从Outlook到denver.contoso.com的四个连接。Conn列中的HTTPS表明，此时使用的是“HTTPS 上的RPC”连接。
J、单击“关闭”以关闭“Exchange Server连接状态”窗口。

14：发送一封电子邮件给administrator以测试到ISA Server的“HTTP上的RPC”连接。

A、在Outlook的工具栏上，单击“新建”。
B、在“新建邮件”窗口中，填写以下信息：
收件人：administrator
主题：测试通过“HTTP上的RPC”的邮件-4
（邮件）"HTTP上的RPC “发布Exchange然后单击”发送“。
片刻之后，Outlook即会从”发件箱“中发出该邮件。然后，该邮件就会出现在”收件箱“中。这一结果表明，Outlook已使用与ISA Server的”HTTP上的RPC“连接成功地连接到Denver上的E xchange Server。
C、在”收件箱“中，选择此新邮件。

D、关闭Outlook。

本文转自 rickyfang 51CTO博客，原文链接：http://blog.51cto.com/rickyfang/127455，如需转载请自行联系原作者