利用ISA发布Exchange的RPC以及把RPC封装成HTTPS

今天我们介绍一下RPC的发布和如何把RPC封装成HTTPS。Florence是域控制器、DNS服务器、Exchange服务器、还是CA证书服务器;Beijing是ISA2006防火墙；istanbul是外网测试客户机。大致的拓扑如下：

  

一、利用 RPC 发布 Exchange 服务器

  首先在防火墙上做设置。打开beijing上的ISA服务器管理，选择“新建邮件发布规则”

为发布规则取个名称

选择提供给客户端的访问类型

选择Outlook （RPC）

写入Exchange服务器的IP地址

选择侦听外部网络

点击“完成”，完成RPC的发布

下面我们在客户端Istanbul上测试一下，启动Outlook2003，弹出向导点下一步

选择是来配置电子邮件账户

服务器类型选择Microsoft Exchange Server

输入Exchange服务器名称以及用户名

点击“完成”，完成Outlook的配置文件

配置完成后，我们在Istanbul上用outlook登陆进入管理员邮箱了，说明RPC发布成功了

二、把 RPC 封装成 HTTPS ，再利用 HTTPS 发布 Exchange 服务器

1.首先在Exchange服务器上安装“HTTP代理上的RPC”。开始——设置——控制面板——添加删除程序——添加删除windows组件——网络服务——HTTP代理上的PRC。选择“HTTP代理上的PRC”后点确定进行安装

 

安装完成后在Exchange服务器的默认网站中就有了RPC虚拟目录，如下图所示

2、下面来修改注册表，注册表的范围是100—5000，但是Exchange服务器使用的端口超过了6000，所以我们要修改一下注册表中RPC的端口范围，我们简单点把它修改成100—7000.我们在运行中输入regedit命令来打开注册表编辑器，在“编辑”命令中点击“查找”输入100—5000，然后敲回车确定进行查找

查找出来后，在编辑字符串对话框中将完全合格域名输入进去(大小写无所谓，我写大写的只是为了和前面的计算机名匹配)，端口范围改成100—7000，然后确定

修改完端口范围后，还得在注册表中添加一个多字符串，路径是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters，找到parameters后右击“添加多字符串”，数值名称是“NSPI interface protocol sequences”数值数据是“ncacn_http:6004”，

三、 IIS 必须支持 HTTPS ，下面在 IIS 中为 Exchange 服务器申请证书

首先点开始——设置——控制面板——添加删除程序——添加或删除windows组件——证书服务。出现下面对话框点下一步

我们颁发一个企业根证书

写入证书的公司名称

点击“完成”，完成证书的颁发

完成后我们打开开始菜单的运行命令，在运行中输入“cmd”，然后在里面输入gpupdate /force命令来刷新一下组策略

 

接下来在Exchange服务器的默认网站中为Exchange服务器申请证书。右击默认网站“属性”

属性打开后我们选择目录安全性，点右下角的“服务器证书”

新建证书

选择“立即将证书请求发送到联机证书颁发机构”

为证书取一个名字

输入单位和部门

公司名称必须输入完全合格的域名

输入地理信息

SSL端口选择默认的443端口

点完成关闭向导

证书申请完后在默认网站中我们就可以查看到刚才申请的证书

下面我们还得把证书导入给ISA服务器，还是上面那个步骤，我们点“详细信息”，右下角的“复制到文件”

出现向导后，点下一步

我们连同私钥一起导出

启用加强保护

输入一个密码用来保护私钥

给要导出的证书选择一个文件名

点“完成”，完成证书导出

下一步在ISA服务器上将证书导入，首先运行MMC控制台，添加证书，如图所示

选择“计算机账户”

本地计算机

完成后将证书导入到个人证书里面

选择从florence上导出的证书

输入私钥密码

导入到“个人”中

四、配置 RPC 虚拟目录的身份验证

打开默认网站的RPC属性，选择“目录安全性”中“身份验证和访问控制属性”具体的操作如图所示

身份验证方法选择“基本身份验证”

五、创建 ISA 发布规则

我们通过ISA发布规则将Exchange的RPC虚拟目录发布到ISA的外网网卡上就行。如下图所示，我们在ISA服务器上选择新建“Exchange Web客户端访问发布规则”。

写入发布规则名称

选择发布的版本以及客户端邮件的服务

发布单个网站或负载平衡器

使用安全的连接

输入内部的站点名称，这个名称必须和证书上的名称一样

输入公用的名称，这个要输入完全合格域名

选择新建一个侦听器，名称是访问443端口

需要与客户端建立安全连接

侦听到外部

选择侦听器使用的证书

选择基本的HTTP身份验证

下一步

侦听器创建完成

这个选基本身份验证

所有通过身份验证的用户

完成exchange发布规则的创建

 

六、配置客户端的 Outlook

打开istanbul上的控制面板，选择“邮件”出现下图后选择“电子邮件账户”

选择“查看或更改现有电子邮件帐户”。

选择更改

弹出此对话框后，我们选择右下角的“其他设置”

进入“其他设置”后，在选择“连接”。把“使用HTTP连接到我的Exchange邮箱”前面的勾划上，然后在选择下面的“Exchange代理服务器设置”，打开“Exchange代理服务器设置”后我们把“Exchange代理服务器”的名称输入，然后在下面选择“基本身份验证”。还得选择无论是在“快速网络”中还是在“低速网络”中都首先使用HTTP连接。然后点击确定完成Outlook的配置。具体的做法如下图：

最后我们启动Outlook来访问一下。如下图我们输入用户名口令及密码

进入了Exchange邮箱，按住Ctrl键，用右键点击屏幕右下角的Outlook图标，如下图所示，选择“连接状态”。

选择“连接状态”后，如下图所示，连接协议使用的是HTTPS，这证明我们发布RPC Over HTTPS成功了！

本篇文章必须细心的做，做本实验考验管理员的耐心。做吧，坚持就是胜利，相信你会成功的。呵呵！