Exchange笔记之使用RPC over HTTPS实现邮件互访

在配置完了Exchange之后我们趁热打铁，继续实现Exchange的其他功能，今天我们谈谈邮件互访中的outlook通过RPC OVER HTTPS实现互访。那么Exchange还有那些访问方式？

1》outlook为client——使用RPC（远端过程调用）或者RPC OVER HTTPS访问

2》OE为client——使用SMTP \ POPO访问

3》OE为client——使用IMAP4访问

4》IE为client——使用HTTP \ HTTPS访问

5》EXITS访问

从性能和安全、配合（与Exchange）我们还是觉得Outlook更加突出。Office Outlook是微软办公软件的组件之一，它是Windows自带的OE（Outlook Express增强版）功能主要用来收发电子邮件、管理联系人信息、日志、分配任务等。下面我们就来看看如何用Outlook通过RPC/RPC Over HTTPS访问Exchange邮箱。

下面我们来看一个RPC原理图：

RPC是Remote Procedure Call Protocol的简写，中文就是远程过程调用协议。RPC采用C/S。请求程序就是一个客户机，而服务提供程序就是一个服务器。

首先，调用进程发送一个有进程参数的调用信息到服务进程，这个进程参数就是一个UUID，为128位长的数字，用来区分RPC服务，每次一些基于RPC的服务启动时都有一个高端口进行监听，这个端口是随机的，然后等待应答信息。在服务器端，进程保持睡眠状态直到调用信息的到达为止。当一个调用信息到达，服务器获得进程参数，计算结果，发送答复信息，然后等待下一个调用信息，最后，客户端调用过程接收答复信息，获得进程结果，然后调用执行继续进行。这些RPC服务会把自己的UUID以及自己监听的端口存储在EPM(End Point Mapper)中，EPM的端口是135，其记录了本地有多少个基于RPC服务和这些服务监听的高口各是多少。

说了这么多那么大家会想到，RPC的端口是多少呢？呵呵，RPC是一个动态端口，如上图所示，客户机需访问Exchange服务器的话，客户 机要先到服务器的135口，向EPM发出一个查询请求，查询中有自己所要服务的UUID，然后EPM查询后告诉客户机，这个服务在6001端口监听。这个过程就可以和Exchange通讯了。。。我们在公网上有时候发现基于RPC服务的操作做不了，有一些大侠发现了这招，就是用RPC over HTTPS来进行访问邮箱。

简单说下我的环境，Florence是域控制器，Berlin是Exchange服务器，而Istanbul是我们的客户机，同属于一个域内Exchange.com中~~~

一：在Florence上创建企业根CA。

添加证书服务

自己创建一个企业根CA

给命名一个名称，为了方便我们就起个ExchangeCA喽，正儿八经的CA申请很复制，需要审批到###呵呵，不过要是你在企业内部使用，自己创建一个CA也是可以滴

在创建CA时候需要停止掉IIS服务，点击确定即可

安装ing

安装完成喽，嘿嘿

为了试验的尽快进行，我们可以使用非常手段让其策略尽快生效，建议正常情况下（生产环境下）不要这样使用

这个时候可以看到我们的客户端和Exchange服务器已经信任了我们做的CA了（可以到“IE选项中——内容——证书——受信任的根证书颁发机构”）进行查看

二：Berlin的web上申请一个证书

默认的IIS中网站是停止的，我们需要手工启动它（开始菜的——程序——管理工具——IIS管理器）

点击“默认网站属性——服务器证书”来申请证书

选择一个证书分配方法

这里你要注意喽，选择第一个是像我们日常生活的CA去申请一个证书喽，别看是现在准备证书申请，呵呵，其实很慢滴，它审批到了你的身份证是几位数！哈哈，玩笑，反正现实生活申请证书确实很难。我们在前面自己做了一个证书，所以我们选择“立即将证书请求发送到联机证书颁发机构”

输入证书名称，那就是ExchangeCA了

 

输入一些基本信息，试验环境，无所谓，TEST就TEST吧

证书公用名称，要用完全合格域名，客户机访问Exchange服务器时要使用这个计算机名

这里不过是个措词，我就写当地，北京证书颁发机构

使用指定的SSL端口，我们是使用加密的http所以端口自然是443了，这个表要改撒

选择证书颁发机构

在检查一下所填写的信息之后我们就申请了一个证书

好了，在申请完了证书后，我们可以测试一下，看看证书到底有多强，在客户机上我们使用合格域名来访问Exchange服务器Berlin

看到了吗？呵呵，这个就不行了，这个就是怪它死心眼，说访问berlin必需是得有证书、以为是外网访问了

三：Exchange服务器上安装HTTP代理RPC组件

可以到添加删除组件中找到网络服务中的HTTP代理上的RPC进行安装

挂入win2003安装光盘后，我们可以看到结果

四：修改HTTP代理RPC端口

下面我们要对“HTTP代理上的RPC”进行配置，主要是RPC端口。HTTP代理上的RPC可将封装HTTP包内的RPC数据解封装出来，但对HTTP包内的RPC数据包有端口限制，默认情况下，只允许RPC数据包的端口范围在100-5000。那Exchange服务器使用的RPC服务端口不在100-5000。Exchange服务器使用的RPC服务使用的常用端口有6001，6002，6004等，超出了100-5000范围，将RPC端口扩大为100-7000。我们既然知道了，RPC数据包的端口范围是100-5000那么我们可以直接搜索一下

搜到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts]，原来键值是 BERLIN：100-5000修改为BERLIN.EXCHTEST.COM：100-7000

可以看到了，Berlin中的颁发者是berlin.exchange.com，并且由ExchangeCA颁发

五：RPC虚机目录，使用基本验证

到开始菜单—程序—管理工具—IIS管理器－默认网站－RPC属性－目录安全性，把启用匿名访问的钩去掉，并且使用基本身份验证，但是注意到了没有大家？基本身份验证是以明文传输密码的。哈哈，我们前面做了什么操作？我们访问其实以SSL访问的。那个时候是RPC封装后的HTTP进行，不需担心

我们可以看看效果。。。以user2登录进客户机

可以按Ctrl键，右键单击菜单栏右下角的Outlook图标，选择连接状态，这个时候还是TCP传输

我们可以更改其账户看到HTTPS结果，那还等什么？到控制面板—邮件—选择电子邮件账户

选择查看或更改现有电子邮件账户，我们更改user2的账户

点击更改

看到了服务器和用户名不要更改，我们可以到其他设置中进行更改其他选项

勾选使用HTTP链接我的Exchange邮箱，并且打开Exchange代理服务器设置

填写url链接方式，和勾选使用SSL链接和在快速网络和低俗网络中首选HTTP链接，后使TCP链接，并且选择基本身份验证

完成设定

登录Exchange服务器的时候，提示用户名和口令。。。

这个时候我们在看看是不是采用了HTTPS登录链接了

没有问题，RPC OVER HTTPS试验很成功，感兴趣就试试吧