利用ISA发布Exchange的RPC以及把RPC封装成HTTPS

今天我们介绍一下RPC的发布和如何把RPC封装成HTTPS。Florence是域控制器、DNS服务器、Exchange服务器、还是CA证书服务器;Beijing是ISA2006防火墙；istanbul是外网测试客户机。大致的拓扑如下：

  

一、利用 RPC 发布 Exchange 服务器

  首先在防火墙上做设置。打开 beijing 上的 ISA 服务器管理，选择“新建邮件发布规则”

为发布规则取个名称

选择提供给客户端的访问类型

选择 Outlook （ RPC ）

写入 Exchange 服务器的 IP 地址

选择侦听外部网络

点击“完成”，完成 RPC 的发布

下面我们在客户端 Istanbul 上测试一下，启动 Outlook2003 ，弹出向导点下一步

选择是来配置电子邮件账户

服务器类型选择 Microsoft Exchange Server

输入 Exchange 服务器名称以及用户名

点击“完成”，完成 Outlook 的配置文件

配置完成后，我们在 Istanbul 上用 outlook 登陆进入管理员邮箱了，说明 RPC 发布成功了

二、把 RPC 封装成 HTTPS ，再利用 HTTPS 发布 Exchange 服务器

1. 首先在 Exchange 服务器上安装“ HTTP 代理上的 RPC ”。开始――设置――控制面板――添加删除程序――添加删除 windows 组件――网络服务―― HTTP 代理上的 PRC 。选择“ HTTP 代理上的 PRC ”后点确定进行安装

 

安装完成后在 Exchange 服务器的默认网站中就有了 RPC 虚拟目录，如下图所示

2 、下面来修改注册表，注册表的范围是 100 ― 5000 ，但是 Exchange 服务器使用的端口超过了 6000 ，所以我们要修改一下注册表中 RPC 的端口范围，我们简单点把它修改成 100 ― 7000. 我们在运行中输入 regedit 命令来打开注册表编辑器，在“编辑”命令中点击“查找”输入 100 ― 5000 ，然后敲回车确定进行查找

查找出来后，在编辑字符串对话框中将完全合格域名输入进去 ( 大小写无所谓，我写大写的只是为了和前面的计算机名匹配 ) ，端口范围改成 100 ― 7000 ，然后确定

修改完端口范围后，还得在注册表中添加一个多字符串，路径是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters ，找到 parameters 后右击“添加多字符串”，数值名称是“ NSPI interface protocol sequences ”数值数据是“ ncacn_http:6004 ”，

三、 IIS 必须支持 HTTPS ，下面在 IIS 中为 Exchange 服务器申请证书

首先点开始――设置――控制面板――添加删除程序――添加或删除 windows 组件――证书服务。出现下面对话框点下一步

我们颁发一个企业根证书

写入证书的公司名称

点击“完成”，完成证书的颁发

完成后我们打开开始菜单的运行命令，在运行中输入“ cmd ”，然后在里面输入 gpupdate /force 命令来刷新一下组策略

 

接下来在 Exchange 服务器的默认网站中为 Exchange 服务器申请证书。右击默认网站“属性”

属性打开后我们选择目录安全性，点右下角的“服务器证书”

新建证书

选择“立即将证书请求发送到联机证书颁发机构”

为证书取一个名字

输入单位和部门

公司名称必须输入完全合格的域名

输入地理信息

SSL 端口选择默认的 443 端口

点完成关闭向导

证书申请完后在默认网站中我们就可以查看到刚才申请的证书

下面我们还得把证书导入给 ISA 服务器，还是上面那个步骤，我们点“详细信息”，右下角的“复制到文件”

出现向导后，点下一步

我们连同私钥一起导出

启用加强保护

输入一个密码用来保护私钥

给要导出的证书选择一个文件名

点“完成”，完成证书导出

下一步在 ISA 服务器上将证书导入，首先运行 MMC 控制台，添加证书，如图所示

选择“计算机账户”

本地计算机

完成后将证书导入到个人证书里面

选择从 florence 上导出的证书

输入私钥密码

导入到“个人”中

四、配置 RPC 虚拟目录的身份验证

打开默认网站的 RPC 属性，选择“目录安全性”中“身份验证和访问控制属性”具体的操作如图所示

身份验证方法选择“基本身份验证”

五、创建 ISA 发布规则

我们通过 ISA 发布规则将 Exchange 的 RPC 虚拟目录发布到 ISA 的外网网卡上就行。如下图所示，我们在 ISA 服务器上选择新建“ Exchange Web 客户端访问发布规则”。

写入发布规则名称

选择发布的版本以及客户端邮件的服务

发布单个网站或负载平衡器

使用安全的连接

输入内部的站点名称，这个名称必须和证书上的名称一样

输入公用的名称，这个要输入完全合格域名

选择新建一个侦听器，名称是访问 443 端口

需要与客户端建立安全连接

侦听到外部

选择侦听器使用的证书

选择基本的HTTP身份验证

下一步

侦听器创建完成

这个选基本身份验证

所有通过身份验证的用户

完成exchange发布规则的创建

 

六、配置客户端的 Outlook

打开 istanbul 上的控制面板，选择“邮件”出现下图后选择“电子邮件账户”

选择“查看或更改现有电子邮件帐户”。

选择更改

弹出此对话框后，我们选择右下角的“其他设置”

进入“其他设置”后，在选择“连接”。把“使用 HTTP 连接到我的 Exchange 邮箱”前面的勾划上，然后在选择下面的“ Exchange 代理服务器设置”，打开“ Exchange 代理服务器设置”后我们把“ Exchange 代理服务器”的名称输入，然后在下面选择“基本身份验证”。还得选择无论是在“快速网络”中还是在“低速网络”中都首先使用 HTTP 连接。然后点击确定完成 Outlook 的配置。具体的做法如下图：

最后我们启动 Outlook 来访问一下。如下图我们输入用户名口令及密码

进入了 Exchange 邮箱，按住 Ctrl 键，用右键点击屏幕右下角的 Outlook 图标，如下图所示，选择“连接状态”。

选择“连接状态”后，如下图所示，连接协议使用的是 HTTPS ，这证明我们发布 RPC Over HTTPS 成功了！

本篇文章必须细心的做，做本实验考验管理员的耐心。做吧，坚持就是胜利，相信你会成功的。呵呵！