很多企业的邮件服务器都采用了微软的Exchange,而Exchange的客户端访问服务通过动态RPC端口来实现。通常情况下,企业中的Exchange服务器都被放在DMZ区域当中,也就是说:Outlook客户端不论是从外网连接到Exchange Server或从内网连接到Exchange服务器,都必需要通过防火墙的筛选策略,才能够正常访问Exchange 2010客户端访问服务器或客户端访问阵列。
然而,Windows Server 2008和 2008 R2在默认情况下,动态RPC的出站连接端口范围为49152-65535,早期Windows Server版本的RPC动态端口范围为1025-65535。当Exchange 2010客户端访问服务器角色安装在Windows Server 2008或2008 R2上时,RPC动态端口的使用范围会自动规定为6005-59530,并且最高可用端口为60554,RPC协议采用动态端口的特性就为企业安全发布Exchange服务带来了一些麻烦。通常情况下,企业可以采用能与Exchange进行联动的防火墙(例如ISA Server或Forefront TMG)来解决这一问题和麻烦。但如果企业内没有能与Exchange联动的防火墙时又该怎么办呢?当然不可能在防火墙上大范围开放高端口了。
其实,我们可以通过如下的方法将Exchange 2010 RPC客户端访问服务固定在特定的端口上。
下面我们通过一个案例来讲解下RPC的端口设置。
很多人都喜欢用foxmail收发邮件,在企业外部的话我们有多种选择,一种是pop模式,这个是用的最多的,还有比如imap模式,再有就是exchange模式,下面我们在外网设置exchange模式。
步骤1、输入账号、密码和exchange服务器地址。
步骤2、点开代理设置,输入exchange服务器地址https://xxx.com,代理服务器验证设置根据你的服务器端的设置的验证方式。
步骤3、点击确定,创建账号,提示RPC服务器不可用。这个原因就是我们的RPC端口没有对外开放,通过抓包工具,我们可以看到没有连接到RPC的端口。
因为RPC是随机的,使用范围会自动规定为6005-59530,我们不可能开放这些多高位端口了。我们可以通过以下步骤把RPC的动态端口进行固定。
步骤4、配置RPC客户端访问服务静态端口
当Outlook客户端建立与Exchange的连接时,默认情况下,Exchange 2010客户端访问服务器的RPC客户端在访问服务的出站连接使用TCP终结点映射器端口(tcp/135)和动态RPC端口(6005-59530)。
如果要配置客户端访问服务器的RPC客户端访问服务采用静态端口,需要更改如下注册表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC
您需要创建一个 ParametersSystem键, 并在目录中创建一个名为TCP/IP Port的 REG_DWORD值。在这个DWORD中填写您需要使用的静态端口值。我们输入端口55000,
·微软推荐管理员将静态端口范围固定在59531和60554之间,并在同一活动目录站点内的所有CAS服务器上都采用相同值。
·注册表配置完成后,您还需要重启Microsoft Exchange RPC以使其生效。
步骤5、配置Exchange通讯簿服务静态端口
当Outlook客户建立与Exchange的连接时,端默认情况下Exchange 2010客户端访问服务器的通讯簿服务的出站连接使用TCP终结点映射器端口(tcp/135)和动态RPC端口(6005-59530)。
我们在如下目录新建一个“RpcTcpPort” 的注册表值,端口设置为60001.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters
在Exchange 2010 SP1中配置 Exchange通讯簿服务使用静态端口
配置文件更改完成后,还需要重启Exchang通讯簿服务以使其生效。
步骤6、配置公共文件夹连接静态端口
当Outlook客户建立与Exchange的连接时,端默认情况下公共文件夹出站连接使用TCP终结点映射器端口(tcp/135)和动态RPC端口(49152-59535)。
配置邮箱服务器公共文件夹连接采用静态端口,邮箱服务器方式与配置RPC客户端访问服务采用静态端口的方法相同:
配置 Exchange公共文件夹连接使用静态端口
验证端口是否配置成功
当我们将Exchange 2010的几大客户端访问方式的RPC端口固定下来后,可以使用TCPView工具或者是其他工具来查看Exchange相应服务所使用的端口是否已经正常改为我们自行设置的静态端口:
查看Exchange 2010 RPC客户端访问服务和地址簿服务端口
本文转自 zhou_ping 51CTO博客,原文链接:http://blog.51cto.com/yuntcloud/1351013,如需转载请自行联系原作者
