Loading...
Quản Lý Client Access trên Exchange Server 2007 - Phần III:
Outlook Anywhere (RPC Over HTTP)
Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00
Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy
tắc sau:
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các
protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP
Khi triển khai và quản lý hệ thống Exchange, để bảo mt các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:
Skip to Menu1.
Skip to Content2.
Skip to Footer>3.
User Area
Register Free
Contact Us
Home
IT-Training Courses
Windows Server
Messaging System
Sharepoint Server
Network Security
Virtualization Technologies
Other Technology
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A...
http://msopenlab.com/index.php?option=com_content&view=article&id=...
1 of 12
6/17/2011 1:45 PM
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các
protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP
Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)?
Trong bài viết “How RPC Workschúng tôi đã có giới thiu v cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép
Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish c port cần thiết trong đó có RPC
Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi ngưi bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả
năng bị tấn công sẽ rất cao. Vì vy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server
bằng MAPI (RPC)
Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client:
Trong bài viết “How RPC Workschúng ta đã thấy rõ cơ chế RPC sử dụng các port:
Service Name UDP TCP
HTTP 80, 443, 593 80, 443, 593
Named Pipes 445 445
RPC Endpoint Mapper 135 135
RPC Server Programs <Dynamically assigned> <Dynamically assigned>
Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoc Proxy server tại các điểm internet công cộng (trungm hội thảo, internet cafe…) chỉ cho
phép các máy tính kết nối Web (HTTP HTTPS), thì Internet Client s không th kết nối đến Exchange Server bằng MAPI (RPC).
Các hạn chế của POP3 và IMAP4:
Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public
Folder, không sử dụng đưc Meeting request…
Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook (MAPI) để sử dụng được tất
cả tính năng mà Exchange cung cấp.
Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bng MAPI (RPC) mà vẫn đảm bảo được sự
thuận tiện và an toàn cho hệ thống. Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với
người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS.
RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng góii tin RPC vào bên trong gói tin
HTTP
Gói tin RPC over HTTP s được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta
có thể sử dụng Secure Socket Layer (SSL) để bảo mật cho kết nối RPC over HTTP.
Thông thường trong hệ thống Exchange server 2003 RPC Proxy đưc cài đặt trên Exchange Font-end server (nếu có), còn trong hệ thống
Exchange Server 2007 RPC Proxy được cài đặt trên Client Access Server
Dưới đây là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A...
http://msopenlab.com/index.php?option=com_content&view=article&id=...
2 of 12
6/17/2011 1:45 PM
1. Client khởi tạo kết nối RPC over HTTP đến RPC Proxy server để yêu cầu được kết nối
2. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào DSProxy (port 6002) trên Exchange server
3. Sau khi nhận được trả lời (HTTP respond) từ Exchange server, Client gởi gói tin HTTP request đến RPC Proxy server đ yêu cầu chứng thực
4. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào Proxy Service (port 6004) trên Exchange server
5. Exchange server chuyn yêu cầu chứng thực đến Global Catalog Server, Global Catalog Server cung cấp cho Exchange server tất cả các thông
tin thích hợp
6. Exchange server gởi các thông tin nhận được từ Global Catalog Server cho Client
7. Client gởi HTTP sessions tới RPC Proxy server để kết nối vào hệ thống Exchange
8. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP sessions và chuyển vào Microsoft Exchange Information Store service (port 6001) trên
Exchange server
Lập lại bước 7 và 8 khi Client kết nối tới các dịch vụ khác trên Exchange server như Public Folder…
Nhằm mục đích hiểu rõ cơ chế hoạt động của RPC over HTTP, trong bài viết này chúng tôi sẽ giới thiệu cách cấu hình RPC over HTTPS
trên Exchange Server 2007
Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)
Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Phần III: Oulook Anywhere (RPC over HTTP)
Phần III bao gồm các bước:
1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
2. Cu hình Outlook Anywhere trên Client Access Server
3. Cu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
II. Chuẩn b
Đ thực hiện phần III, yêu cầu thực hiện hoàn tất phần I và phần II
III. Thực hiện
1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
Logon MSOPENLAB\Administrator, m Control Panel, mAdd or Remove Programs, chọn Add/Remove Windows Components
Trong cửa sWindows Components, vào Details của Networking Services
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A...
http://msopenlab.com/index.php?option=com_content&view=article&id=...
3 of 12
6/17/2011 1:45 PM
Trong cửa sNetworking Services, đánh dấu chọn RPC over HTTP Proxy, chọn OK, chọn Next
Trong cửa sCompleting the Windows Coponents Wizard, chọn Finish
2. Cấu hình Outlook Anywhere trên Client Access Server
Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A...
http://msopenlab.com/index.php?option=com_content&view=article&id=...
4 of 12
6/17/2011 1:45 PM
Trong cửa s
Enable Outlook Anywhere
, nhập
DCA.msopenlab.com
vào ô
External host name
, chọn
Basic authentication
, chọn
Enable
Cửa sCompletion, chọn Finish
Mở Services từ Administrative Tools, Restart Microsoft Exchange Active Directory Topology Services
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A...
http://msopenlab.com/index.php?option=com_content&view=article&id=...
5 of 12
6/17/2011 1:45 PM