exchange 2003 RPC访问配置.docVIP

1 创建CA服务器 RPC Over HTTPS意味着RPC包被封装成HTTP格式后，还要利用SSL进行加密处理，这样就需要web服务器提供证书，web服务器的证书从何而来？CA服务器，所以我们需要在域内部署CA服务器。在我们的实验环境中，我们使用Florence承担这个角色，在Florence上，先确认IIS组件已经安装，然后打开控制面板－添加或删除程序－添加/删除Windows组件，勾选“证书服务”，Windows弹出窗口警告一旦安装证书服务，计算机名以及计算机角色都不能再进行更改。如下图所示： 接下来选择CA服务器类型，由于我们部署的是域中的第一台证书服务器，因此选择了“企业根”类型，由于和Active Directory的集成，企业根比独立根更方便。 接下来输入CA的公用名称，在此我们输入 ITETCA，下一步后需要配置证书数据库的路径，使用默认设置，完成CA服务器的安装。 注意：CA服务器安装完成后，Berlin和Istanbul最好使用 Gpupdate/force来刷新一下组策略，确保Florence已经成为了被信任的证书颁发机构。 2、安装RpcProxy 对于前后端服务器的环境，需要在前端服务器上安装RPCProxy组件，这个组件可以通过控制面板=添加删除程序=添加/删除WINDOWS组件=网络服务=HTTP代理上的RPC 500)this.width=500; border=0 3 Exchange服务器申请证书 域内有了CA服务器，Exchange服务器就可以申请证书了，打开管理工具中的Internet信息服务（IIS）管理器，右键点击默认网站，选择属性－目录安全性，如下图所示。点击服务器证书 选择新建证书，准备进行证书申请 选择“立即将证书请求发送到联机证书颁发机构”，这是创建企业根CA的好处，在线申请很方便 输入证书名称以及密钥长度，使用默认设置就可以了 单位及部门信息也不重要，描述性的，随意填写 证书公用名称，这是关键，要用完全合格域名，和刚才修改注册表时所规定的计算机名要保持一致，客户机访问Exchange服务器时也要使用这个计算机名。如果客户机访问服务器使用的格式是 Https://berlin，客户机会被提示证书的名称和访问的站点不一致。 接下来填写证书中的地理信息参数，SSL端口（用默认值443，不要改），选择证书颁发机构，完成申请后默认网站会立即收到颁发的证书。查看一下证书，如下图所示。至此，Exchange服务器证书申请完成。 E 配置IIS的身份验证方式 接下来选择IIS的身份验证方式，客户机的Outlook把RPC封装成HTTP后，经过SSL加密后传到Exchange服务器默认网站的RPC虚拟目录，由于Outlook的访问目标是邮箱，因此RPC虚拟目录默认采用的匿名验证方式是肯定不行的。那我们选择哪种验证方式呢？建议最好选择“基本”验证方式，毕竟基本验证是工业标准，不用考虑兼容性问题。那有人要问了，基本验证是采用明文方式传输数据，就不怕安全性方面有问题吗？不用担心，基本验证不能保护数据安全，但SSL可以，别忘了RPC封装成HTTP后还要用SSL加密！ 打开管理工具－Internet信息服务（IIS）管理器－默认网站－RPC－属性－目录安全性，如下图，在身份验证和访问控制上选择“编辑” 去掉“启用匿名访问”和“集成Windows验证”，勾选“基本身份验证，” 确定结束 5.检查Exchange服务的配置 默认情况下，下面的注册表项目都是正确的，为了保证能够顺利的实施RPC-HTTP方案，请再次检查以下相关信息是否正确。 在Exchange服务器上，打开注册表编辑器，检查下面的键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystemValue name: Rpc/HTTP PortValue type: REG_DWORDValue data: 0x1771 (Decimal 6001)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\ParametersValue name: HTTP PortValue type: REG_DWORDValue data: 0x1772 (Decimal 6002)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\ParametersValue name: Rpc/HTTP NSPI PortValue type: REG_DWORDValue