Exchange服務(wù)器中的配置RPC-OVER-HTTP全過程(1).doc

摘要：為了能夠使遠(yuǎn)程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公而利用MS在WINDOWS 2003以及EXCHANGE2003中提供的新功能RPC OVER HTTP。 標(biāo)簽：服務(wù)器配置使用過EXCHANGE服務(wù)器的人都會知道，采用OUTLOOK客戶端連接到Exchange服務(wù)器（MAPI方式），會有很多除郵件以外的功能，比如說日歷，公共文件夾等，現(xiàn)在由于多數(shù)公司的結(jié)構(gòu)都是總部和分支機構(gòu)為不在同一個LAN內(nèi)，這就導(dǎo)致了遠(yuǎn)程用戶不能訪問郵件服務(wù)器服務(wù)器，您也許會說，我可以把 EXCHANGE的POP3以及HTTP方式啟用，遠(yuǎn)程用戶用戶就可以使用這兩種方式進行信箱的登錄了，但是，盡管如此，這基本上只能具有郵件郵件的功能，您又會說，我用HTTP的的OWA方式訪問EXCHANGE服務(wù)器，基本上和本地本地LAN內(nèi)的OUTLOOK有相同的功能，那我可以負(fù)責(zé)任的告訴你，你看到的僅僅是表象表象，OWA方式訪問EXCHANGE，和使用OUTLOOK直接（MAPI）連接服務(wù)器仍然有很大的差別，這也就是為什么MS會提供RPC OVER HTTP方案的最根本原因。 目前，為了能夠使遠(yuǎn)程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進行辦公辦公，現(xiàn)在的解決方案只有兩個，第1個就是采用VPN的方式，這里不再介紹。 第二種就是MS在WINDOWS 2003以及EXCHANGE2003中提供的新功能RPC OVER HTTP。 我在寫這個文章的時候，對于MS提供的RPC OVER HTTP部署實施的文檔，已經(jīng)研究了N次次，然而也沒有一次成功過的，現(xiàn)在再回頭看一下，還是覺得MS目前目前提供的RPC-HTTP參考文檔并不完善，里面很多地方都漏掉了，這就導(dǎo)致了很多人按照MS的指導(dǎo)操作仍然無法順利完成。 下面我就詳細(xì)介紹我的實驗以及實際生產(chǎn)環(huán)境。 我以實驗環(huán)境為例子來介紹如何操作的（都是采用MS的virtual server 2005來建立的，這個軟件非常棒，有興趣的人可以用這個軟件來建立自己的實驗環(huán)境）。 我的實驗環(huán)境是DC 1臺，Exchange 3臺，其中2臺做了群集，做郵件系統(tǒng)的后端，另外1臺EXCHANGE 做前端。 我們先介紹一下這個實驗環(huán)境的網(wǎng)絡(luò)參數(shù)DC（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：域控制器, dns server, wins server;EXCH1（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點1，exchange群集名稱mailsrv,exchange群集IP地址：;EXCH2（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點2，exchange群集名稱mailsrv,exchange群集IP地址：;EXCH3（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點2，exchange群集名稱EXCH2003;以上服務(wù)器中，DC這個服務(wù)器擔(dān)任的角色有DC和GC（全局編錄），EXCH1和EXCH2兩臺服務(wù)器做群集成為exchange的后端，EXCH3為這個exchange組織的前端。服務(wù)器都準(zhǔn)備好了，那么我們?nèi)绻獙崿F(xiàn)整個RPC OVER HTTP，需要的其它條件如下：服務(wù)器端： Windows Server 2003 + Exchange Server 2003推薦安裝Exchange SP1,GC需要運行于Windows Server 2003之上?？蛻魴C端: Windows XP SP1 (需要補丁包 Q331320) + Outlook 2003 SP1或者Windows XP SP2 + Outlook 2003 SP1或者Windows 2003 SP1+ Outlook 2003 SP1（其實客戶機如果是Windows2003,不安裝SP1也可以，推薦安裝）下面我們看一下，對于Exchange服務(wù)器，需要做哪些配置。一、證書服務(wù) 首先，我們需要在整個域中創(chuàng)建一個證書服務(wù)器，這里我們選擇了Windws 2003中的證書頒發(fā)機構(gòu)工具安裝自己的證書頒發(fā)機構(gòu)。要在Windows 2003域中安裝證書服務(wù)器，可以通過下面的步驟進行安裝控制面板=添加/刪除程序=添加/刪除Windows組件 =證書服務(wù)安裝時，選擇“企業(yè)根”。我們這里首先介紹前后端結(jié)構(gòu)中的實現(xiàn)。二、Exchange前后端結(jié)構(gòu)中RPC-HTTP的實現(xiàn)一般來說，Exchange前后端架構(gòu)中，總是以Exchange前端服務(wù)器作為RPC Proxy，后端服務(wù)器作為RPC Server?？蛻舳送ㄟ^前端進行連接。因此我們只需要在前端服務(wù)器上安裝RPC Proxy，頒發(fā)證書，配置IIS中的RPC虛擬目錄等，之后在安裝了Exchange 2003 SP1后，可以配置RPC-HTTP的拓?fù)浣Y(jié)構(gòu)。1、配置RPC-HTTP拓?fù)?下面我們來看如何操作，首先，由于安裝了Exchange 2003 SP1,再打開Exchange管理器（ESM）后會看到如下界面，將前端調(diào)整為RPC-HTTP拓?fù)浣Y(jié)構(gòu)中的前端，將后端調(diào)整為RPC-HTTP拓?fù)浣Y(jié)構(gòu)中的后端即可。同樣，將后端服務(wù)器的RPC-HTTP屬性調(diào)整為RPC-HTTP后端服務(wù)器即可。做完以上步驟后，需要手工的設(shè)置其它項目。2、安裝RpcProxy 對于前后端服務(wù)器的環(huán)境，需要在前端服務(wù)器上安裝RPCProxy組件，這個組件可以通過控制面板=添加刪除程序=添加/刪除WINDOWS組件=網(wǎng)絡(luò)服務(wù)=HTTP代理上的RPC3. EXCHANGE的虛擬站點申請證書在前端Exchange服務(wù)器exch3上，打開IIS服務(wù)管理器，瀏覽到默認(rèn)站點，打開默認(rèn)站點的屬性頁面，切換到“目錄安全性”，點擊”服務(wù)器證書”，打開證書向?qū)АＴ谧C書向?qū)е?，選擇“申請一個新證書”=立即發(fā)送請求到一個在線的證書服務(wù)器=填入相關(guān)信息=完成向?qū)?。請注意，在填寫“公用名”字段或“頒發(fā)給”字段時，務(wù)必使用這臺服務(wù)器在Internet上的FQDN名稱，即這個名稱要與Internet上可用的RPC代理服務(wù)器的URL相同。這個將被Outlook客戶端使用，以驗證服務(wù)器的身份。如果出現(xiàn)證書與客戶端嘗試連接的名稱不匹配的情況，連接將被斷開而沒有任何通知。也就是說，如果我的前端exchange服務(wù)器在Internet上的名稱為，那么exch3申請的證書也需要是這個全稱。證書申請成功并安裝后，可以點擊查看證書，以查看證書。我們需要確保其中“證書目的”欄目中，有且僅有“確保遠(yuǎn)程計算機的身份”。4、調(diào)整RPC虛擬目錄的身份驗證方式在Exchange服務(wù)器上，打開IIS服務(wù)管理器，瀏覽到默認(rèn)站點=RPC，打開RPC的屬性頁面，切換到目錄安全性，點擊“身份驗證和訪問控制”中的編輯，打開“身份驗證方法 ”對話框。在身份驗證方法對話框中，去掉“啟用匿名訪問”選項的勾，選擇”集成Windows身份驗證”和”基本身份驗證”選項。關(guān)閉所有對話框。5.檢查Exchange服務(wù)的配置 默認(rèn)情況下，下面的注冊表項目都是正確的，為了保證能夠順利的實施RPC-HTTP方案，請再次檢查以下相關(guān)信息是否正確。 在Exchange服務(wù)器上，打開注冊表編輯器，檢查下面的鍵值：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeISParametersSystemValue name: Rpc/HTTP PortValue type: REG_DWORDValue data: 0x1771 (Decimal 6001)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParametersValue name: HTTP PortValue type: REG_DWORDValue data: 0x1772 (Decimal 6002)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParametersValue name: Rpc/HTTP NSPI PortValue type: REG_DWORDValue data: 0x1774 (Decimal 6004) 以上操作都是在Exchange的前端服務(wù)器上進行的，下面需要修改其它設(shè)置。 6、配置GC 編輯注冊表： 在Exchange組織所在的所有GC服務(wù)器，上，打開注冊表編輯器，瀏覽到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters在右邊添加下面的數(shù)據(jù)：鍵值: NSPI interface protocol sequences鍵值類型: 多字符串值鍵值數(shù)據(jù): ncacn_http:6004 在我提供的例子中，唯一的DC就是GC，因而該操作是DC 7 Exchange前端服務(wù)器中修改RpcProxy配置 打開注冊表編輯器，瀏覽到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcRpcProxy在右邊雙擊ValidPorts，進入編輯狀態(tài)，然后將值修改為：ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004;GCNETBIOSName:6004;GCFQDN:6004 利用Exchange服務(wù)器的機器名替換其中的ServerNETBIOSName 利用Exchange服務(wù)器的完全合格域名（FQDN）替換其中的ServerFQDN 利用GC服務(wù)器的機器名替換其中的GCNETBIOSName 利用GC服務(wù)器的完全合格域名替換其中的GCFQDN 注意：如果組織中有多臺GC，需要都添加到數(shù)據(jù)中；如果是群集環(huán)境，需要將EXCHANGE群集的NETBIOS和FQDN以及各個節(jié)點的NETBIOS和FQDN都添加進去。在我的實驗環(huán)境中，有一個DC，netbios為dc,FQDN為，Exchange后端為一個群集，其netbios為 mailsrv,FQDN為;節(jié)點1的netbios名字exch1,FQDN為;節(jié)點2 的netbios名字為exch2,FQDN為那么對于我的實驗環(huán)境，這個值應(yīng)該設(shè)置為：mailsrv:6001-6002; :6001-6002; mailsrv:6004; :6004; exch1:6001-6002; :6001-6002; exch1:6004; :6004; exch2:6001-6002; :6001-6002; exch2:6004; :6004; dc:6004; :6004; 設(shè)置完成后，重新啟動Exchange服務(wù)器上的IIS Admin Service及相關(guān)服務(wù)。 至此，前后端結(jié)構(gòu)且后端實施了群集技術(shù)的RPC OVER HTTP配置在服務(wù)器端就順利完成了，假如您只有單臺Exchange Server，不具有前后端結(jié)構(gòu)，那么您需要的操作也很簡單，在以上1-7的步驟中，只需要將第1步中選擇這是RPC-HTTP后端拓?fù)涞囊徊糠郑?-7步是完全相同的即可。 下面來介紹一下客戶端的配置。三、OUTLOOK 2003配置RPC OVER HTTP的實現(xiàn) 由于是通過HTTP代理RPC請求，所以需要客戶端信任HTTP服務(wù)器，也就是RPC OVER HTTP的前端服務(wù)器。 那么我們至少需要兩個證書。 第1個是根CA的證書，第2個是RPC-HTTP前端WEB服務(wù)器的證書。 1. 證書的安裝 我們來看一下如何將這兩個證書進行導(dǎo)入。 1.在安裝有證書服務(wù)的服務(wù)器上，系統(tǒng)路徑下會產(chǎn)生一個后綴名為CRT的文件，這個文件包含了這個證書頒發(fā)機構(gòu)的信息。我們需要將這個文件復(fù)制到客戶端上。 2. 在客戶端，雙擊這個CRT文件，然后點擊Install Certificate，將打開證書導(dǎo)入向?qū)?。然后下一步選擇“根據(jù)證書類型，自動選擇證書存儲區(qū)”，繼續(xù)下一步。完成后，對于安全警告，選擇接受：1.這樣我們就在客戶端導(dǎo)入了CA的根證書 2.接下來需要導(dǎo)入Exchange服務(wù)器證書，也就是在服務(wù)器配置中，通過IIS界面為默認(rèn)站點頒發(fā)的證書，方法是：打開IE瀏覽器，輸入:https:/ /exchange這時IE會彈出提示對話框，要用戶對證書進行確認(rèn)。在上面點擊“查看證書”，然后點擊“安裝證書”，按照向?qū)崾?，接受默認(rèn)設(shè)置導(dǎo)入證書。 3.關(guān)閉所有IE窗口后，重新使用IE打開/Exchange 連接到服務(wù)器，如果不再彈出關(guān)于服務(wù)器證書的警告信息，就說明已經(jīng)成功導(dǎo)入，客戶端開始信任該服務(wù)器提供的證書。 4.另外的驗證方式是打開IE瀏覽器-工具-Internet選項-內(nèi)容-證書，查看“其他人”和“受信任的根證書頒發(fā)機構(gòu)”如果出現(xiàn)上面的兩個證書，查看這兩個證書如果沒有警告信息或紅*，則說明導(dǎo)入成功。 注：如果發(fā)現(xiàn)安裝的Exchange前端服務(wù)器證書無法在客戶端生效，那么您可以通過在與證書服務(wù)器在相同LAN的的一個主機通過http:/my certification server/certsrv進行用戶證書的申請，并將該用戶證書復(fù)制到該計算機進行安裝，即可解決此類信任問題。在我的實驗環(huán)境中，由于在DC上安裝了證書服務(wù)，因而訪問地址為/certsrv進申請。 2 .Outl