在配置完了Exchange之後我們趁熱打鐵,繼續實現Exchange的其他功能,今天我們談談郵件互訪中的outlook通過RPC OVER HTTPS實現互訪。那麼Exchange還有那些訪問方式?
1》outlook爲client——使用RPC(遠端過程調用)或者RPC OVER HTTPS訪問
2》OE爲client——使用SMTP \ POPO訪問
3》OE爲client——使用IMAP4訪問
4》IE爲client——使用HTTP \ HTTPS訪問
5》EXITS訪問
從性能和安全、配合(與Exchange)我們還是覺得Outlook更加突出。Office Outlook是微軟辦公軟件的組件之一,它是Windows自帶的OE(Outlook Express增強版)功能主要用來收發電子郵件、管理聯繫人信息、日誌、分配任務等。下面我們就來看看如何用Outlook通過RPC/RPC Over HTTPS訪問Exchange郵箱。
下面我們來看一個RPC原理圖:
RPC是Remote Procedure Call Protocol的簡寫,中文就是遠程過程調用協議。RPC採用C/S。請求程序就是一個客戶機,而服務提供程序就是一個服務器。
首先,調用進程發送一個有進程參數的調用信息到服務進程,這個進程參數就是一個UUID,爲128位長的數字,用來區分RPC服務,每次一些基於RPC的服務啓動時都有一個高端口進行監聽,這個端口是隨機的,然後等待應答信息。在服務器端,進程保持睡眠狀態直到調用信息的到達爲止。當一個調用信息到達,服務器獲得進程參數,計算結果,發送答覆信息,然後等待下一個調用信息,最後,客戶端調用過程接收答覆信息,獲得進程結果,然後調用執行繼續進行。這些RPC服務會把自己的UUID以及自己監聽的端口存儲在EPM(End Point Mapper)中,EPM的端口是135,其記錄了本地有多少個基於RPC服務和這些服務監聽的高口各是多少。
說了這麼多那麼大家會想到,RPC的端口是多少呢?呵呵,RPC是一個動態端口,如上圖所示,客戶機需訪問Exchange服務器的話,客戶 機要先到服務器的135口,向EPM發出一個查詢請求,查詢中有自己所要服務的UUID,然後EPM查詢後告訴客戶機,這個服務在6001端口監聽。這個過程就可以和Exchange通訊了。。。我們在公網上有時候發現基於RPC服務的操作做不了,有一些大俠發現了這招,就是用RPC over HTTPS來進行訪問郵箱。
簡單說下我的環境,Florence是域控制器,Berlin是Exchange服務器,而Istanbul是我們的客戶機,同屬於一個域內Exchange.com中~~~
一:在Florence上創建企業根CA。
添加證書服務
自己創建一個企業根CA
給命名一個名稱,爲了方便我們就起個ExchangeCA嘍,正兒八經的CA申請很複製,需要審批到###呵呵,不過要是你在企業內部使用,自己創建一個CA也是可以滴
在創建CA時候需要停止掉IIS服務,點擊確定即可
安裝ing
安裝完成嘍,嘿嘿
爲了試驗的儘快進行,我們可以使用非常手段讓其策略儘快生效,建議正常情況下(生產環境下)不要這樣使用
這個時候可以看到我們的客戶端和Exchange服務器已經信任了我們做的CA了(可以到“IE選項中——內容——證書——受信任的根證書頒發機構”)進行查看
二:Berlin的web上申請一個證書
默認的IIS中網站是停止的,我們需要手工啓動它(開始菜的——程序——管理工具——IIS管理器)
點擊“默認網站屬性——服務器證書”來申請證書
選擇一個證書分配方法
這裏你要注意嘍,選擇第一個是像我們日常生活的CA去申請一個證書嘍,別看是現在準備證書申請,呵呵,其實很慢滴,它審批到了你的身份證是幾位數!哈哈,玩笑,反正現實生活申請證書確實很難。我們在前面自己做了一個證書,所以我們選擇“立即將證書請求發送到聯機證書頒發機構”
輸入證書名稱,那就是ExchangeCA了
輸入一些基本信息,試驗環境,無所謂,TEST就TEST吧
證書公用名稱,要用完全合格域名,客戶機訪問Exchange服務器時要使用這個計算機名
這裏不過是個措詞,我就寫當地,北京證書頒發機構
使用指定的SSL端口,我們是使用加密的http所以端口自然是443了,這個表要改撒
選擇證書頒發機構
在檢查一下所填寫的信息之後我們就申請了一個證書
好了,在申請完了證書後,我們可以測試一下,看看證書到底有多強,在客戶機上我們使用合格域名來訪問Exchange服務器Berlin
看到了嗎?呵呵,這個就不行了,這個就是怪它死心眼,說訪問berlin必需是得有證書、以爲是外網訪問了
三:Exchange服務器上安裝HTTP代理RPC組件
可以到添加刪除組件中找到網絡服務中的HTTP代理上的RPC進行安裝
掛入win2003安裝光盤後,我們可以看到結果
四:修改HTTP代理RPC端口
下面我們要對“HTTP代理上的RPC”進行配置,主要是RPC端口。HTTP代理上的RPC可將封裝HTTP包內的RPC數據解封裝出來,但對HTTP包內的RPC數據包有端口限制,默認情況下,只允許RPC數據包的端口範圍在100-5000。那Exchange服務器使用的RPC服務端口不在100-5000。Exchange服務器使用的RPC服務使用的常用端口有6001,6002,6004等,超出了100-5000範圍,將RPC端口擴大爲100-7000。我們既然知道了,RPC數據包的端口範圍是100-5000那麼我們可以直接搜索一下
搜到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts],原來鍵值是 BERLIN:100-5000修改爲BERLIN.EXCHTEST.COM:100-7000
可以看到了,Berlin中的頒發者是berlin.exchange.com,並且由ExchangeCA頒發
五:RPC虛機目錄,使用基本驗證
到開始菜單—程序—管理工具—IIS管理器-默認網站-RPC屬性-目錄安全性,把啓用匿名訪問的鉤去掉,並且使用基本身份驗證,但是注意到了沒有大家?基本身份驗證是以明文傳輸密碼的。哈哈,我們前面做了什麼操作?我們訪問其實以SSL訪問的。那個時候是RPC封裝後的HTTP進行,不需擔心
我們可以看看效果。。。以user2登錄進客戶機
可以按Ctrl鍵,右鍵單擊菜單欄右下角的Outlook圖標,選擇連接狀態,這個時候還是TCP傳輸
我們可以更改其賬戶看到HTTPS結果,那還等什麼?到控制面板—郵件—選擇電子郵件賬戶
選擇查看或更改現有電子郵件賬戶,我們更改user2的賬戶
點擊更改
看到了服務器和用戶名不要更改,我們可以到其他設置中進行更改其他選項
勾選使用HTTP鏈接我的Exchange郵箱,並且打開Exchange代理服務器設置
填寫url鏈接方式,和勾選使用SSL鏈接和在快速網絡和低俗網絡中首選HTTP鏈接,後使TCP鏈接,並且選擇基本身份驗證
完成設定
登錄Exchange服務器的時候,提示用戶名和口令。。。
這個時候我們在看看是不是採用了HTTPS登錄鏈接了
沒有問題,RPC OVER HTTPS試驗很成功,感興趣就試試吧