Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook Anywhere RPC Over HTTP Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00 Khi triển khai và quản lý hệ thống Exc
Trang 1Quản Lý Client Access trên Exchange Server 2007 - Phần III:
Outlook Anywhere (RPC Over HTTP)
Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00
Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các
protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP
Skip to Menu
1
Skip to Content
2
Skip to Footer>
3
User Area
Register Free
Contact Us
Home
IT-Training Courses
Windows Server
Messaging System
Sharepoint Server
Network Security
Virtualization Technologies
Other Technology
Trang 2- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các
protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP
Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)?
Trong bài viết “How RPC Works” chúng tôi đã có giới thiệu về cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép
Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish các port cần thiết trong đó có RPC
Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi người bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả
năng bị tấn công sẽ rất cao Vì vậy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server
bằng MAPI (RPC)
Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client:
Trong bài viết “How RPC Works” chúng ta đã thấy rõ cơ chế RPC sử dụng các port:
Service Name UDP TCP
RPC Server Programs <Dynamically assigned> <Dynamically assigned>
Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoặc Proxy server tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho
phép các máy tính kết nối Web (HTTP và HTTPS), thì Internet Client sẽ không thể kết nối đến Exchange Server bằng MAPI (RPC)
Các hạn chế của POP3 và IMAP4:
Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public
Folder, không sử dụng được Meeting request…
Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook (MAPI) để sử dụng được tất
cả tính năng mà Exchange cung cấp
Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bằng MAPI (RPC) mà vẫn đảm bảo được sự
thuận tiện và an toàn cho hệ thống Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với
người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS
RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng gói gói tin RPC vào bên trong gói tin
HTTP
Gói tin RPC over HTTP sẽ được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta
có thể sử dụng Secure Socket Layer (SSL) để bảo mật cho kết nối RPC over HTTP
Thông thường trong hệ thống Exchange server 2003 RPC Proxy được cài đặt trên Exchange Font-end server (nếu có), còn trong hệ thống
Exchange Server 2007 RPC Proxy được cài đặt trên Client Access Server
Dưới đây là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP
Trang 31 Client khởi tạo kết nối RPC over HTTP đến RPC Proxy server để yêu cầu được kết nối
2 RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào DSProxy (port 6002) trên Exchange server
3 Sau khi nhận được trả lời (HTTP respond) từ Exchange server, Client gởi gói tin HTTP request đến RPC Proxy server để yêu cầu chứng thực
4 RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào Proxy Service (port 6004) trên Exchange server
5 Exchange server chuyển yêu cầu chứng thực đến Global Catalog Server, Global Catalog Server cung cấp cho Exchange server tất cả các thông
tin thích hợp
6 Exchange server gởi các thông tin nhận được từ Global Catalog Server cho Client
7 Client gởi HTTP sessions tới RPC Proxy server để kết nối vào hệ thống Exchange
8 RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP sessions và chuyển vào Microsoft Exchange Information Store service (port 6001) trên
Exchange server
Lập lại bước 7 và 8 khi Client kết nối tới các dịch vụ khác trên Exchange server như Public Folder…
Nhằm mục đích hiểu rõ cơ chế hoạt động của RPC over HTTP, trong bài viết này chúng tôi sẽ giới thiệu cách cấu hình RPC over HTTPS
trên Exchange Server 2007
Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)
Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Phần III: Oulook Anywhere (RPC over HTTP)
Phần III bao gồm các bước:
1 Cài đặt RPC Over HTTP Proxy trên Client Access Server
2 Cấu hình Outlook Anywhere trên Client Access Server
3 Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
II Chuẩn bị
Để thực hiện phần III, yêu cầu thực hiện hoàn tất phần I và phần II
III Thực hiện
1 Cài đặt RPC Over HTTP Proxy trên Client Access Server
Logon MSOPENLAB\Administrator, mở Control Panel, mở Add or Remove Programs, chọn Add/Remove Windows Components
Trong cửa sổ Windows Components, vào Details của Networking Services
Trang 4Trong cửa sổ Networking Services, đánh dấu chọn RPC over HTTP Proxy, chọn OK, chọn Next
Trong cửa sổ Completing the Windows Coponents Wizard, chọn Finish
2 Cấu hình Outlook Anywhere trên Client Access Server
Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere
Trang 5Trong cửa sổ Enable Outlook Anywhere, nhập DCA.msopenlab.com vào ô External host name, chọn Basic authentication, chọn Enable
Cửa sổ Completion, chọn Finish
Mở Services từ Administrative Tools, Restart Microsoft Exchange Active Directory Topology Services
Trang 63 Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
Logon MSOPENLAB\Administrator, mở Microsoft Outlook Trong System tray, giữ phím Ctrl và chuột phải biểu tượng Microsoft Outlook
chọn Connection Status
Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị TCP/IP, có nghĩa Microsoft Outlook đang kết đến
Exchange server bằng MAPI(RPC)
Trang 7Mở mục Mail trong Control Panel, chọn Show Profile
Remove profile đang có, chọn Add để tạo profile mới
Trong hộp thoại New Profile, đặt tên profile là Administrator, chọn OK
Trang 8Trong cửa sổ Auto Account Setup, chọn Next
Cửa sổ Congratulations, đánh dấu chọn Manually configure server settings, chọn Next
Cửa sổ Microsoft Exhcnge Settings, chọn More Settings
Trang 9Trong hộp thoại Microsoft Exchange, qua tab Connection, đánh dấu chọn Connect to Microsoft Exchange using HTTP, chọn Exchange Proxy
Settings
Trong hộp thoại Microsoft Exchange Proxy Settings, khai báo các thông tin như trong hình bên dưới, chọn OK
Trang 10Cửa sổ Microsoft Exchange Settings, chọn Finish
Mở Microsoft Outlook, đăng nhập bằng account MSOPENLAB\Administrator password P@ssword
Trang 11Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị HTTPS, có nghĩa Microsoft Outlook đang kết nối tới
Exchange bằng RPC over HTTPS
Cảm ơn các bạn đã theo dõi bộ bài viết của MSOpenlab.com, mong rằng bộ bài viết này giúp ích được cho công việc của các bạn!
Authors
.
MSOPENLAB'S TEAM
Trang 12Đào Duy Hiếu
Nguyễn Mạnh Trọng
Tô Hoàng Nhã
Friends on Facebook
Windows Server
Giải pháp quản lý tập trung cho mô hình quản lý doanh nghiệp - Phần 2: Triển khai nhiều sever chạy song song
1
Tổng quan về Windows Server 2008 R2
2
Giải pháp quản lý tập trung cho mô hình mạng doanh nghiệp - Phần 3: Triển khai Read-Only Domain Controller, Read Only DNS Server và
Active Directory Site
3
Messaging System
Cài đặt Microsoft Exchange Server 2010
1
Tổng quan về Microsoft Exchange Server 2010
2
Đa dạng Disclaimer Text trên Exchange Server 2007 với Code Two Exchange Rule 2007
3
Sharepoint Server
Ứng dụng Workflow cho doanh nghiệp - Phần 1: Ứng dụng Approval Workflow vào Document Library
1
Triển khai Workflow bằng Visual Studio 2008
2
Xây dựng Bloghost trên MOSS 2007 - Phần 2: Thiết kế trang chủ cho Publishing Site
3
Other Technology
Physical Address Extension-Tận dụng tối đa dung lượng RAM trên bộ vi xử lý 32bit
1
Triển khai Load Balancing và Failover cho nhiều line ADSL bằng Kerio Winroute Firewall
2
Đồng bộ hóa dữ liệu với Microsoft SyncToy
3
Copyright © 2008 MSOPENLAB'S TEAM All rights reserved
Go to Top