В этой статье я покажу вам, как настроить удаленный вызова процедур (RPC) поверх HTTPS для подключения вашего сервера Exchange к вашему клиенту Outlook Client по HTTPS. Эта статья особенно будет интересна для небольших организаций, т.к. имеет дело со средой с одним сервером Exchange / Domain Controller (контроллером домена).
Приступим
Выше я писал, что мы будем использовать один Exchange / Domain Controller в этой статье. Необходимая нам конфигурация будет включать:
- 1 стандартный сервер Exchange Server 2003 Standard с пакетом обновлений SP1 и операционная система Windows Server 2003 Standard SP1 в качестве контроллера домена Active Directory Domain Controller
- 1 компьютер, работающий под управлением операционной системы Windows XP Professional с пакетом обновлений SP2 и Microsoft Office Outlook 2003 с пакетом обновлений SP2
Шаг за шагом
Для использования RPC по HTTPS в среде с одним сервером Exchange необходимо выполнить следующую последовательность шагов:
- Настроить back-end сервер Exchange Server 2003 для работы в качестве RPC proxy сервера
- Настроить виртуальные директории RPC virtual directory для основной аутентификации (Basic authentication) и SSL
- Настроить RPC proxy server для использования указанных портов для RPC по HTTP
- Установить порт службы директорий NT Directory Services (NTDS) на всех серверах глобального каталога (global catalog server), которые работают как back-end сервера Exchange Server 2003
- Создать профиль Microsoft Office Outlook 2003 Profile для того, чтобы ваши пользователи могли использовать RPC по HTTPS
- Проверить соединение
Настройка back-end сервера Exchange Server 2003 для работы в качестве RPC proxy сервера
Вы должны установить компонент RPC over HTTP Proxy на Windows Server 2003. Компонент RPC over HTTP Proxy отвечает за инкапсуляцию (encapsulation) пакетов RPC поверх HTTP(S) и является компонентом операционной системы Windows Server 2003. Поэтому вы можете установить этот инструмент точно так же, как и любой другой инструмент Windows при помощи помощника по установке/удалению компонентов Windows (Add/Remove components wizard).
Настройка виртуальной директории RPC для основной аутентификации и SSL
Следующим шагом мы должны настроить вновь созданную виртуальную директорию RPC virtual directory в IIS для использования основной аутентификации (Basic Authentication) и SSL.
Основная аутентификация необходима для работы с RPC по HTTPS, и поэтому, если вы используете основную аутентификацию, то вы должны использовать SSL, т.к. основная аутентификация посылает учетную запись и пароль пользователя открытым текстом.
Запустите менеджер Internet Information Service Manager, перейдите к Default Website (вебсайт по умолчанию) и нажмите правой кнопкой мыши на RPC Virtual Directory. Откройте закладку Directory Security (безопасность директории) и уберите галочку напротив поля Enable Anonymous Access (разрешить анонимный доступ) и поставьте галочку напротив поля Basic Authentication (основная аутентификация). Поле Integrated Windows Authentication (расширенная аутентификация) вы можете оставить без изменений.
Если вы включите основную аутентификацию, то появится следующее предупреждение:
Если вы используете SSL для виртуальной директории, вы можете безопасно игнорировать предупреждение менеджера IIS Manager.
Далее, вы должны подключить SSL для виртуальной директории RPC Virtual Directory. В рамках этой статьи я предполагаю, что у вас уже есть установленный сертификат SSL certificate. Поставьте галочку напротив поля Require 128-bit encryption (требовать 128 битного шифрования) для дополнительной безопасности.
Настройка RPC proxy server для использования определенных портов для RPC по HTTP
Теперь, мы должны настроить RPC Proxy Server на сервере Exchange Server 2003 для использования определенного интервала портов (Port Range). Ключ реестра (Registry Key) уже существует, но вы должны изменить его значение.
Путь к реестру следующий:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\RPC\RPCPROXY.
Измените данные, как показано на рисунке ниже. Вы должны использовать интервал портов Port Range 6001-6002 для NetBIOS и DNS FQDN и порт Port 6004 также для NetBIOS и DNS FQDN.
Рисунок 5: Настройка RPC Proxy Directory (нажмите для увеличения изображения)
Настройка порта NT Directory Services (NTDS) на всех серверах глобального каталога, которые работают в качестве back-end серверов Exchange 2003
Снова мы должны исправить реестр (Registry) для указания статического порта (static port) для настроек интерфейса NSPI (Name Service Provider Interface).
Запустите программу Regedit и перейдите к:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NTDS\PARAMETERS.
Создайте запись REG_MULTI_SZ под названием NSPI interface protocol sequence со значением NCACN_HTTP:6004, что показано на рисунке ниже.
Создание профиля Microsoft Office Outlook 2003 Profile для того, чтобы пользователи могли использовать RPC по HTTPS
Затем, мы должны настроить профиль Microsoft Outlook 2003 Profile, чтобы пользователи могли использовать RPC по HTTPS.
Перейдите к панели управления (Control Panel) на вашей рабочей станции с операционной системой Windows XP Professional и нажмите на иконку Mail (почта). Добавьте новый почтовый профиль (Mail profile) или измените существующий профиль. Перейдите на закладку Connection (соединение) и поставьте галочку в поле Connect to my Exchange mailbox using HTTP (подключаться к моему почтовому ящику с помощью HTTP), а затем нажмите на кнопку Exchange Proxy Settings (параметры прокси).
Введите ваш информационный сервер (Server Information), как на рисунке 8.
Проверка соединения
После подключения настроек прокси RPC Proxy, ваше Outlook соединение к серверу Exchange Server должно успешно установиться. Теперь возникает вопрос: «Как убедиться, что это соединение RPC поверх HTTPS?»
Ответ очень прост. Нажмите правой кнопкой на иконке Outlook на рабочем столе, удерживая при этом клавишу CTRL. Появится контекстное меню, и у вас теперь есть возможность увидеть статус соединения к серверу Exchange Server Connection Status.
Поздравляю! Вы успешно подключили ваш Exchange Server 2003 / Microsoft Outlook 2003 для использования RPC по HTTPS.
Заключение
Использование Exchange Server 2003 с RPC поверх HTTPS в среде с одним Exchange / Domain Controller очень просто, если вы выполнили все инструкции, представленные выше, или если вы следовали гиду RPC over HTTP Deployment Scenarios Guide для сервера Exchange Server 2003 (ссылка ниже). С помощью этой включенной возможности, все ваши внешние пользователи могут использовать Outlook через Internet, как будто они подключены к ваше локальной сети LAN. Если у вас есть брандмауэр ISA Server 2004, то вы можете воспользоваться дополнительными преимуществами и опубликовать ваш сервер Exchange Server на RPC/HTTPS.