Ladies and 乡亲们, 新年快乐! 其实实验在年前就完成了, 但一直就是手懒没有把更新上来. 今天上班第一天, 赶紧去年的债的补上, 新年有新的任务嘛. 呵呵!
言归正传, 今天的文章将介绍前后端架构的RPC over HTTP及基于表单的身份验证的OWA的配置, 虽然本实验环境中前后端分别应用了NLB和Cluster, 但本质上配置还是一样的.
A. 由于RPC over HTTP及基于表单的身份验证的OWA都要求启用SSL加密, 所以我们需要一个证书. 证书可以通过付费向第三方颁发机构购买, 也可自已搭建证书服务器. 本例中, 我们就自已在DC上安装证书服务:
1. 首先, 在DC上安装IIS, 否则不能通过Web页申请证书. 再在添加删除组件内选中 "证书服务";
2. 选择 "企业根 CA", 下一步;
3. 填写CA的公用名称, 可任意填写, 有效期限可根据自己的需求更改, 下一步;
4. 指定数据库和日志的保存位置, 本例不作更改, 点击下一步直到完成.
B. 完成了证书服务的安装, 下面我们就到fe1上申请证书:
1. 在IIS中默认网站上, 点右键, 选择属性, 选择 "目录安全性", 单击 "服务器证书";
2. 选择 "新建证书", 下一步, 选择 "创建请求并稍后提交";
3. 下一步;
4. 名称可任意填写, 下一步;
5. 填写单位,部门;
6. 填写公用名称, 这里比较重要, 公用名称一定要填写你的服务器在Internet上发布的完整域名, 否则会产生证书不被信任的情况, 会影响到后面的RPC over HTTP的配置, 这里因为我们是实验环境, 不对Internet发布服务, 所以沿用mail.contoso.local;
7. 填写地理信息;
8. 保存请求文件, 点击下一步完成;
9. 打开IE通过http://<
hostname>/certsrv访问证书服务器, 选择 "申请一个证书";
10. 选择 "高级证书申请";
11. 选择 "使用 base64 编码的 CMC ...";
12. 将刚刚保存的c:\certreq.txt中的复制到下图中的文本框中, 下一步;
13. 完成证书的申请, 下载证书, 保存到本地路径;
14. 回到IIS属性, 选择 "目录安全性", 点击 "服务器证书", 选择 "处理挂起的请求并安装证书", 并安装刚刚下载的证书;
15. 点击 "编辑"
16. 勾选 "要求安全通道 (SSL)" 及 "要求 128 位加密"
C. 至此, 我们就完成了证书的申请及安装, 下面启用为OWA启用基于表单的身份验证:
1. 打开ESM, 依次展开 服务器/FE1/协议/HTTP, 在 "Exchange 虚拟服务器" 上点右键, 选择属性;
2. 点击 "设置", 勾选 "启用基于表单的身份验证", 应用确定.
D. 通过以上的设置, FE1的OWA服务就启用了基于表单的身份验证, 下面我们将FE1上的证书复制FE2上:
1. 同样的我们回到IIS的属性页中的目录安全性, 点击 "服务器证书", 这里我们选择 "将当前证书导出到一个 .pfx 文件";
2. 选择导出路径和名称;
3. 设定一个密码, 下一步将其导出, 并将导出的文件复制到FE2中或一个FE2可以访问的网络路径;
4. 到FE2的IIS中服务器证书, 选择 "从 .pfx 文件导入证书";
5. 选择前文中导出的文件;
6. 输入密码, 下一步完成导入;
7. 在FE2上按B-16, C-1,2步操作. 下面可以通https://mail.contoso.local/exchange来测试, 效果如下图:
E. 下面我们再来配置RPC over HTTP (FE1和FE2同样设置):
1. 在前端服务器上安装 "HTTP 代理上的 RPC", 在 "添加删除组件"中的 "网络服务"中;
2. 打开ESM, 在FE1上点右键, 选择 "RPC-HTTP", 选择 "RPC-HTTP 前端服务器", FE2上同样设置;
3. 同样将 EXCHBAK配置为 "RPC-HTTP 后端服务器";
OK, 服务器的配置就完成了, 就这么简单, 不用改注册表.
F. 为Outlook客户端配置RPC over HTTP:
1. 启动Outlook 2003;
2. 选择 "新建电子邮件帐户", 选择 "Microsoft Exchange Server", 下一步;
3. 填写服务器地址及用户名, 这里一定要填后端服务器的地址, 为了后面测试效果, 我们不使用缓存模式, 点击 "其它设置";
4. 选择 "连接", 勾选 "使用 HTTP 连接到我的 Exchange 邮箱", 点击 "Exchange 代理服务器设置";
5. 如下图设置, 为了测试效果, 我们勾选在快速网络中也使用 HTTP 连接, 确定, 完成设置;
6. 默认情况下自建证书服务器颁发的证书是不被客户端信任的, 这样会造成RPC over HTTP连接的失败, 所以我们需要在客户端上安装证书颁发者的 CA 证书链, 以使用客户端信任此证书服务器的证书, 通过 http://<
hostname>/certsrv 访问证书服务器, 选择 "下载一个 CA 证书, 证书链或 CRL";
7. 安装些 CA 证书链;
8. 下面就可测试RPC over HTTP是否配置成功, 开始-运行: outlook /rpcdiag 运行Outlook并查看和服务器的连接情况;
9. 结果如下图, 可以看到目前客户端和服务器的连接是基于HTTPS的.
本系列的文章到这里就告一段落了, 因为这是本人刚开始写博客, 所以图片比较多而说明性的文字的相对比较少. 以后一定会改进. 大家如果有什么建议欢迎留言或给我mail.
谢谢!