今天我们介绍一下RPC的发布和如何把RPC封装成HTTPS。Florence是域控制器、DNS服务器、Exchange服务器、还是CA证书服务器;Beijing是ISA2006防火墙;istanbul是外网测试客户机。大致的拓扑如下:
一、利用
RPC
发布
Exchange
服务器
首先在防火墙上做设置。打开
beijing
上的
ISA
服务器管理,选择“新建邮件发布规则”
为发布规则取个名称
选择提供给客户端的访问类型
选择
Outlook
(
RPC
)
写入
Exchange
服务器的
IP
地址
选择侦听外部网络
点击“完成”,完成
RPC
的发布
下面我们在客户端
Istanbul
上测试一下,启动
Outlook2003
,弹出向导点下一步
选择是来配置电子邮件账户
服务器类型选择
Microsoft Exchange Server
输入
Exchange
服务器名称以及用户名
点击“完成”,完成
Outlook
的配置文件
配置完成后,我们在
Istanbul
上用
outlook
登陆进入管理员邮箱了,说明
RPC
发布成功了
二、把
RPC
封装成
HTTPS
,再利用
HTTPS
发布
Exchange
服务器
1.
首先在
Exchange
服务器上安装“
HTTP
代理上的
RPC
”。开始——设置——控制面板——添加删除程序——添加删除
windows
组件——网络服务——
HTTP
代理上的
PRC
。选择“
HTTP
代理上的
PRC
”后点确定进行安装
安装完成后在
Exchange
服务器的默认网站中就有了
RPC
虚拟目录,如下图所示
2
、下面来修改注册表,注册表的范围是
100
—
5000
,但是
Exchange
服务器使用的端口超过了
6000
,所以我们要修改一下注册表中
RPC
的端口范围,我们简单点把它修改成
100
—
7000.
我们在运行中输入
regedit
命令来打开注册表编辑器,在“编辑”命令中点击“查找”输入
100
—
5000
,然后敲回车确定进行查找
查找出来后,在编辑字符串对话框中将完全合格域名输入进去
(
大小写无所谓,我写大写的只是为了和前面的计算机名匹配
)
,端口范围改成
100
—
7000
,然后确定
修改完端口范围后,还得在注册表中添加一个多字符串,路径是
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
,找到
parameters
后右击“添加多字符串”,数值名称是“
NSPI interface protocol sequences
”数值数据是“
ncacn_http:6004
”,
三、
IIS
必须支持
HTTPS
,下面在
IIS
中为
Exchange
服务器申请证书
首先点开始——设置——控制面板——添加删除程序——添加或删除
windows
组件——证书服务。出现下面对话框点下一步
我们颁发一个企业根证书
写入证书的公司名称
点击“完成”,完成证书的颁发
完成后我们打开开始菜单的运行命令,在运行中输入“
cmd
”,然后在里面输入
gpupdate /force
命令来刷新一下组策略
接下来在
Exchange
服务器的默认网站中为
Exchange
服务器申请证书。右击默认网站“属性”
属性打开后我们选择目录安全性,点右下角的“服务器证书”
新建证书
选择“立即将证书请求发送到联机证书颁发机构”
为证书取一个名字
输入单位和部门
公司名称必须输入完全合格的域名
输入地理信息
SSL
端口选择默认的
443
端口
点完成关闭向导
证书申请完后在默认网站中我们就可以查看到刚才申请的证书
下面我们还得把证书导入给
ISA
服务器,还是上面那个步骤,我们点“详细信息”,右下角的“复制到文件”
出现向导后,点下一步
我们连同私钥一起导出
启用加强保护
输入一个密码用来保护私钥
给要导出的证书选择一个文件名
点“完成”,完成证书导出
下一步在
ISA
服务器上将证书导入,首先运行
MMC
控制台,添加证书,如图所示
选择“计算机账户”
本地计算机
完成后将证书导入到个人证书里面
选择从
florence
上导出的证书
输入私钥密码
导入到“个人”中
四、配置
RPC
虚拟目录的身份验证
打开默认网站的
RPC
属性,选择“目录安全性”中“身份验证和访问控制属性”具体的操作如图所示
身份验证方法选择“基本身份验证”
五、创建
ISA
发布规则
我们通过
ISA
发布规则将
Exchange
的
RPC
虚拟目录发布到
ISA
的外网网卡上就行。如下图所示,我们在
ISA
服务器上选择新建“
Exchange Web
客户端访问发布规则”。
写入发布规则名称
选择发布的版本以及客户端邮件的服务
发布单个网站或负载平衡器
使用安全的连接
输入内部的站点名称,这个名称必须和证书上的名称一样
输入公用的名称,这个要输入完全合格域名
选择新建一个侦听器,名称是访问
443
端口
需要与客户端建立安全连接
侦听到外部
选择侦听器使用的证书
选择基本的HTTP身份验证
下一步
侦听器创建完成
这个选基本身份验证
所有通过身份验证的用户
完成exchange发布规则的创建
六、配置客户端的
Outlook
打开
istanbul
上的控制面板,选择“邮件”出现下图后选择“电子邮件账户”
选择“查看或更改现有电子邮件帐户”。
选择更改
弹出此对话框后,我们选择右下角的“其他设置”
进入“其他设置”后,在选择“连接”。把“使用
HTTP
连接到我的
Exchange
邮箱”前面的勾划上,然后在选择下面的“
Exchange
代理服务器设置”,打开“
Exchange
代理服务器设置”后我们把“
Exchange
代理服务器”的名称输入,然后在下面选择“基本身份验证”。还得选择无论是在“快速网络”中还是在“低速网络”中都首先使用
HTTP
连接。然后点击确定完成
Outlook
的配置。具体的做法如下图:
最后我们启动
Outlook
来访问一下。如下图我们输入用户名口令及密码
进入了
Exchange
邮箱,按住
Ctrl
键,用右键点击屏幕右下角的
Outlook
图标,如下图所示,选择“连接状态”。
选择“连接状态”后,如下图所示,连接协议使用的是
HTTPS
,这证明我们发布
RPC Over HTTPS
成功了!
本篇文章必须细心的做,做本实验考验管理员的耐心。做吧,坚持就是胜利,相信你会成功的