Exchange服務(wù)器中的配置RPC-OVER-HTTP全過(guò)程(1).doc

摘要：為了能夠使遠(yuǎn)程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進(jìn)行辦公辦公而利用MS在WINDOWS 2003以及EXCHANGE2003中提供的新功能RPC OVER HTTP。 標(biāo)簽：服務(wù)器配置使用過(guò)EXCHANGE服務(wù)器的人都會(huì)知道，采用OUTLOOK客戶端連接到Exchange服務(wù)器（MAPI方式），會(huì)有很多除郵件以外的功能，比如說(shuō)日歷，公共文件夾等，現(xiàn)在由于多數(shù)公司的結(jié)構(gòu)都是總部和分支機(jī)構(gòu)為不在同一個(gè)LAN內(nèi)，這就導(dǎo)致了遠(yuǎn)程用戶不能訪問(wèn)郵件服務(wù)器服務(wù)器，您也許會(huì)說(shuō)，我可以把 EXCHANGE的POP3以及HTTP方式啟用，遠(yuǎn)程用戶用戶就可以使用這兩種方式進(jìn)行信箱的登錄了，但是，盡管如此，這基本上只能具有郵件郵件的功能，您又會(huì)說(shuō)，我用HTTP的的OWA方式訪問(wèn)EXCHANGE服務(wù)器，基本上和本地本地LAN內(nèi)的OUTLOOK有相同的功能，那我可以負(fù)責(zé)任的告訴你，你看到的僅僅是表象表象，OWA方式訪問(wèn)EXCHANGE，和使用OUTLOOK直接（MAPI）連接服務(wù)器仍然有很大的差別，這也就是為什么MS會(huì)提供RPC OVER HTTP方案的最根本原因。 目前，為了能夠使遠(yuǎn)程用戶采用OUTLOOK的MAPI方式直接連接到EXCHANGE上進(jìn)行辦公辦公，現(xiàn)在的解決方案只有兩個(gè)，第1個(gè)就是采用VPN的方式，這里不再介紹。 第二種就是MS在WINDOWS 2003以及EXCHANGE2003中提供的新功能RPC OVER HTTP。 我在寫這個(gè)文章的時(shí)候，對(duì)于MS提供的RPC OVER HTTP部署實(shí)施的文檔，已經(jīng)研究了N次次，然而也沒(méi)有一次成功過(guò)的，現(xiàn)在再回頭看一下，還是覺(jué)得MS目前目前提供的RPC-HTTP參考文檔并不完善，里面很多地方都漏掉了，這就導(dǎo)致了很多人按照MS的指導(dǎo)操作仍然無(wú)法順利完成。 下面我就詳細(xì)介紹我的實(shí)驗(yàn)以及實(shí)際生產(chǎn)環(huán)境。 我以實(shí)驗(yàn)環(huán)境為例子來(lái)介紹如何操作的（都是采用MS的virtual server 2005來(lái)建立的，這個(gè)軟件非常棒，有興趣的人可以用這個(gè)軟件來(lái)建立自己的實(shí)驗(yàn)環(huán)境）。 我的實(shí)驗(yàn)環(huán)境是DC 1臺(tái)，Exchange 3臺(tái)，其中2臺(tái)做了群集，做郵件系統(tǒng)的后端，另外1臺(tái)EXCHANGE 做前端。 我們先介紹一下這個(gè)實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)參數(shù)DC（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：域控制器, dns server, wins server;EXCH1（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點(diǎn)1，exchange群集名稱mailsrv,exchange群集IP地址：;EXCH2（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點(diǎn)2，exchange群集名稱mailsrv,exchange群集IP地址：;EXCH3（Windows server 2003 enterprise edition）Ip addr: FQDN: 包含以下服務(wù)：Exchange Server 2003 enterprise Edition,群集節(jié)點(diǎn)2，exchange群集名稱EXCH2003;以上服務(wù)器中，DC這個(gè)服務(wù)器擔(dān)任的角色有DC和GC（全局編錄），EXCH1和EXCH2兩臺(tái)服務(wù)器做群集成為exchange的后端，EXCH3為這個(gè)exchange組織的前端。服務(wù)器都準(zhǔn)備好了，那么我們?nèi)绻獙?shí)現(xiàn)整個(gè)RPC OVER HTTP，需要的其它條件如下：服務(wù)器端： Windows Server 2003 + Exchange Server 2003推薦安裝Exchange SP1,GC需要運(yùn)行于Windows Server 2003之上?？蛻魴C(jī)端: Windows XP SP1 (需要補(bǔ)丁包 Q331320) + Outlook 2003 SP1或者Windows XP SP2 + Outlook 2003 SP1或者Windows 2003 SP1+ Outlook 2003 SP1（其實(shí)客戶機(jī)如果是Windows2003,不安裝SP1也可以，推薦安裝）下面我們看一下，對(duì)于Exchange服務(wù)器，需要做哪些配置。一、證書服務(wù) 首先，我們需要在整個(gè)域中創(chuàng)建一個(gè)證書服務(wù)器，這里我們選擇了Windws 2003中的證書頒發(fā)機(jī)構(gòu)工具安裝自己的證書頒發(fā)機(jī)構(gòu)。要在Windows 2003域中安裝證書服務(wù)器，可以通過(guò)下面的步驟進(jìn)行安裝控制面板=添加/刪除程序=添加/刪除Windows組件 =證書服務(wù)安裝時(shí)，選擇“企業(yè)根”。我們這里首先介紹前后端結(jié)構(gòu)中的實(shí)現(xiàn)。二、Exchange前后端結(jié)構(gòu)中RPC-HTTP的實(shí)現(xiàn)一般來(lái)說(shuō)，Exchange前后端架構(gòu)中，總是以Exchange前端服務(wù)器作為RPC Proxy，后端服務(wù)器作為RPC Server?？蛻舳送ㄟ^(guò)前端進(jìn)行連接。因此我們只需要在前端服務(wù)器上安裝RPC Proxy，頒發(fā)證書，配置IIS中的RPC虛擬目錄等，之后在安裝了Exchange 2003 SP1后，可以配置RPC-HTTP的拓?fù)浣Y(jié)構(gòu)。1、配置RPC-HTTP拓?fù)?下面我們來(lái)看如何操作，首先，由于安裝了Exchange 2003 SP1,再打開(kāi)Exchange管理器（ESM）后會(huì)看到如下界面，將前端調(diào)整為RPC-HTTP拓?fù)浣Y(jié)構(gòu)中的前端，將后端調(diào)整為RPC-HTTP拓?fù)浣Y(jié)構(gòu)中的后端即可。同樣，將后端服務(wù)器的RPC-HTTP屬性調(diào)整為RPC-HTTP后端服務(wù)器即可。做完以上步驟后，需要手工的設(shè)置其它項(xiàng)目。2、安裝RpcProxy 對(duì)于前后端服務(wù)器的環(huán)境，需要在前端服務(wù)器上安裝RPCProxy組件，這個(gè)組件可以通過(guò)控制面板=添加刪除程序=添加/刪除WINDOWS組件=網(wǎng)絡(luò)服務(wù)=HTTP代理上的RPC3. EXCHANGE的虛擬站點(diǎn)申請(qǐng)證書在前端Exchange服務(wù)器exch3上，打開(kāi)IIS服務(wù)管理器，瀏覽到默認(rèn)站點(diǎn)，打開(kāi)默認(rèn)站點(diǎn)的屬性頁(yè)面，切換到“目錄安全性”，點(diǎn)擊”服務(wù)器證書”，打開(kāi)證書向?qū)?。在證書向?qū)е?，選擇“申請(qǐng)一個(gè)新證書”=立即發(fā)送請(qǐng)求到一個(gè)在線的證書服務(wù)器=填入相關(guān)信息=完成向?qū)?。?qǐng)注意，在填寫“公用名”字段或“頒發(fā)給”字段時(shí)，務(wù)必使用這臺(tái)服務(wù)器在Internet上的FQDN名稱，即這個(gè)名稱要與Internet上可用的RPC代理服務(wù)器的URL相同。這個(gè)將被Outlook客戶端使用，以驗(yàn)證服務(wù)器的身份。如果出現(xiàn)證書與客戶端嘗試連接的名稱不匹配的情況，連接將被斷開(kāi)而沒(méi)有任何通知。也就是說(shuō)，如果我的前端exchange服務(wù)器在Internet上的名稱為，那么exch3申請(qǐng)的證書也需要是這個(gè)全稱。證書申請(qǐng)成功并安裝后，可以點(diǎn)擊查看證書，以查看證書。我們需要確保其中“證書目的”欄目中，有且僅有“確保遠(yuǎn)程計(jì)算機(jī)的身份”。4、調(diào)整RPC虛擬目錄的身份驗(yàn)證方式在Exchange服務(wù)器上，打開(kāi)IIS服務(wù)管理器，瀏覽到默認(rèn)站點(diǎn)=RPC，打開(kāi)RPC的屬性頁(yè)面，切換到目錄安全性，點(diǎn)擊“身份驗(yàn)證和訪問(wèn)控制”中的編輯，打開(kāi)“身份驗(yàn)證方法 ”對(duì)話框。在身份驗(yàn)證方法對(duì)話框中，去掉“啟用匿名訪問(wèn)”選項(xiàng)的勾，選擇”集成Windows身份驗(yàn)證”和”基本身份驗(yàn)證”選項(xiàng)。關(guān)閉所有對(duì)話框。5.檢查Exchange服務(wù)的配置 默認(rèn)情況下，下面的注冊(cè)表項(xiàng)目都是正確的，為了保證能夠順利的實(shí)施RPC-HTTP方案，請(qǐng)?jiān)俅螜z查以下相關(guān)信息是否正確。 在Exchange服務(wù)器上，打開(kāi)注冊(cè)表編輯器，檢查下面的鍵值：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeISParametersSystemValue name: Rpc/HTTP PortValue type: REG_DWORDValue data: 0x1771 (Decimal 6001)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParametersValue name: HTTP PortValue type: REG_DWORDValue data: 0x1772 (Decimal 6002)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParametersValue name: Rpc/HTTP NSPI PortValue type: REG_DWORDValue data: 0x1774 (Decimal 6004) 以上操作都是在Exchange的前端服務(wù)器上進(jìn)行的，下面需要修改其它設(shè)置。 6、配置GC 編輯注冊(cè)表： 在Exchange組織所在的所有GC服務(wù)器，上，打開(kāi)注冊(cè)表編輯器，瀏覽到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters在右邊添加下面的數(shù)據(jù)：鍵值: NSPI interface protocol sequences鍵值類型: 多字符串值鍵值數(shù)據(jù): ncacn_http:6004 在我提供的例子中，唯一的DC就是GC，因而該操作是DC 7 Exchange前端服務(wù)器中修改RpcProxy配置 打開(kāi)注冊(cè)表編輯器，瀏覽到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcRpcProxy在右邊雙擊ValidPorts，進(jìn)入編輯狀態(tài)，然后將值修改為：ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004;GCNETBIOSName:6004;GCFQDN:6004 利用Exchange服務(wù)器的機(jī)器名替換其中的ServerNETBIOSName 利用Exchange服務(wù)器的完全合格域名（FQDN）替換其中的ServerFQDN 利用GC服務(wù)器的機(jī)器名替換其中的GCNETBIOSName 利用GC服務(wù)器的完全合格域名替換其中的GCFQDN 注意：如果組織中有多臺(tái)GC，需要都添加到數(shù)據(jù)中；如果是群集環(huán)境，需要將EXCHANGE群集的NETBIOS和FQDN以及各個(gè)節(jié)點(diǎn)的NETBIOS和FQDN都添加進(jìn)去。在我的實(shí)驗(yàn)環(huán)境中，有一個(gè)DC，netbios為dc,FQDN為，Exchange后端為一個(gè)群集，其netbios為 mailsrv,FQDN為;節(jié)點(diǎn)1的netbios名字exch1,FQDN為;節(jié)點(diǎn)2 的netbios名字為exch2,FQDN為那么對(duì)于我的實(shí)驗(yàn)環(huán)境，這個(gè)值應(yīng)該設(shè)置為：mailsrv:6001-6002; :6001-6002; mailsrv:6004; :6004; exch1:6001-6002; :6001-6002; exch1:6004; :6004; exch2:6001-6002; :6001-6002; exch2:6004; :6004; dc:6004; :6004; 設(shè)置完成后，重新啟動(dòng)Exchange服務(wù)器上的IIS Admin Service及相關(guān)服務(wù)。 至此，前后端結(jié)構(gòu)且后端實(shí)施了群集技術(shù)的RPC OVER HTTP配置在服務(wù)器端就順利完成了，假如您只有單臺(tái)Exchange Server，不具有前后端結(jié)構(gòu)，那么您需要的操作也很簡(jiǎn)單，在以上1-7的步驟中，只需要將第1步中選擇這是RPC-HTTP后端拓?fù)涞囊徊糠郑?-7步是完全相同的即可。 下面來(lái)介紹一下客戶端的配置。三、OUTLOOK 2003配置RPC OVER HTTP的實(shí)現(xiàn) 由于是通過(guò)HTTP代理RPC請(qǐng)求，所以需要客戶端信任HTTP服務(wù)器，也就是RPC OVER HTTP的前端服務(wù)器。 那么我們至少需要兩個(gè)證書。 第1個(gè)是根CA的證書，第2個(gè)是RPC-HTTP前端WEB服務(wù)器的證書。 1. 證書的安裝 我們來(lái)看一下如何將這兩個(gè)證書進(jìn)行導(dǎo)入。 1.在安裝有證書服務(wù)的服務(wù)器上，系統(tǒng)路徑下會(huì)產(chǎn)生一個(gè)后綴名為CRT的文件，這個(gè)文件包含了這個(gè)證書頒發(fā)機(jī)構(gòu)的信息。我們需要將這個(gè)文件復(fù)制到客戶端上。 2. 在客戶端，雙擊這個(gè)CRT文件，然后點(diǎn)擊Install Certificate，將打開(kāi)證書導(dǎo)入向?qū)АＨ缓笙乱徊竭x擇“根據(jù)證書類型，自動(dòng)選擇證書存儲(chǔ)區(qū)”，繼續(xù)下一步。完成后，對(duì)于安全警告，選擇接受：1.這樣我們就在客戶端導(dǎo)入了CA的根證書 2.接下來(lái)需要導(dǎo)入Exchange服務(wù)器證書，也就是在服務(wù)器配置中，通過(guò)IIS界面為默認(rèn)站點(diǎn)頒發(fā)的證書，方法是：打開(kāi)IE瀏覽器，輸入:https:/ /exchange這時(shí)IE會(huì)彈出提示對(duì)話框，要用戶對(duì)證書進(jìn)行確認(rèn)。在上面點(diǎn)擊“查看證書”，然后點(diǎn)擊“安裝證書”，按照向?qū)崾荆邮苣J(rèn)設(shè)置導(dǎo)入證書。 3.關(guān)閉所有IE窗口后，重新使用IE打開(kāi)/Exchange 連接到服務(wù)器，如果不再?gòu)棾鲫P(guān)于服務(wù)器證書的警告信息，就說(shuō)明已經(jīng)成功導(dǎo)入，客戶端開(kāi)始信任該服務(wù)器提供的證書。 4.另外的驗(yàn)證方式是打開(kāi)IE瀏覽器-工具-Internet選項(xiàng)-內(nèi)容-證書，查看“其他人”和“受信任的根證書頒發(fā)機(jī)構(gòu)”如果出現(xiàn)上面的兩個(gè)證書，查看這兩個(gè)證書如果沒(méi)有警告信息或紅*，則說(shuō)明導(dǎo)入成功。 注：如果發(fā)現(xiàn)安裝的Exchange前端服務(wù)器證書無(wú)法在客戶端生效，那么您可以通過(guò)在與證書服務(wù)器在相同LAN的的一個(gè)主機(jī)通過(guò)http:/my certification server/certsrv進(jìn)行用戶證書的申請(qǐng)，并將該用戶證書復(fù)制到該計(jì)算機(jī)進(jìn)行安裝，即可解決此類信任問(wèn)題。在我的實(shí)驗(yàn)環(huán)境中，由于在DC上安裝了證書服務(wù)，因而訪問(wèn)地址為/certsrv進(jìn)申請(qǐng)。 2 .Outl