none
RPC over HTTPS RRS feed

  • Вопрос

  • конфигурация:
    exchage 2003 sp2 на windows2003sp2
    isa2006 на windows2003sp2

    в исе три интерфейса: int, ext, dmz. эксч один, не fe/be и не кластер (я так по нимаю ему вообще в дмз не место, но это не вопрос этого топика). изначально rpc over https настраивался по этой статье
    _http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm
    Из локальной сети rpc over https работает (ctrl+rclick в графе подключение значится HTTPS)
    Сертификат куплен в thawte, при доступе к ове не ругается.

    На исе есть правило разрершающее HTTPS между dmz и ext (обычное access rule, т.е. никакой публикаци)

    В итоге owa работает и из нутри и из вне, а rpc over https зараза только внутри.

    Гулил безрезультатно, как понял самая распространённая ошибка у всех - это сертификаты. но тут с ними всё ок.
    В общем запутался, есть у кого какие идеи?
    Если нужна доп. инфа - спрашивайте.
    • Перемещено Tina_Tian 19 марта 2012 г. 2:03 forum merge (От:Exchange Server 2003/2000/5.5)
    7 апреля 2008 г. 7:09

Ответы

  • вобщем похоже решил проблему:
    в validports указал, сервер эксч (и внутренее и внешнее имя) + контролерры домена (которые глобал каталоги)
    перезагруузка не потребовалась, rpccfg /hd показывает нужные значения. вобщем осталось ещё потестировать и можно закрывать тему Smile
    • Помечено в качестве ответа Vinokurov Yuriy 22 июля 2009 г. 6:25
    8 апреля 2008 г. 12:54

Все ответы

  • немного подробностей Smile

    1. RPC over HTTP Proxy - установлен на эксче
    2. Сервер с эксчем - не global catalog
    3. В ESM в свойствах серера, на закладке RPC-HTTP выбрано  - RPC-HTTP back-end server
    4. В IIS: Authentication Methods - Enable anonymous access отключен, Authenticated access - Basic authentication (password is sent in clear text), также галки в Require secure channel (SSL) и Require 128-bit encryption
    5. проверил ключи реестра

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
    Value name: Rpc/HTTP Port
    Value type: REG_DWORD
    Value data: 0x1771 (Decimal 6001)

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
    Value name: HTTP Port
    Value type: REG_DWORD
    Value data: 0x1772 (Decimal 6002)

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
    Value name: Rpc/HTTP NSPI Port
    Value type: REG_DWORD
    Value data: 0x1774 (Decimal 6004)


    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy
    Value name: ValidPorts
    Value type: REG_SZ
    Value data: exchange:6001-6002;exchange.имядомена.ru:6001-6002;exchange:6004;exchange.имядомена.ru:6004

    FQDN сервера в локальной сети и для доступа снаружи разное, локально exchange.имядомена.ru, снаружи mail.имядомена.ru - тут в качестве FQDN надо использовать internal FQDN. это так ?


    SSL offloading не включен, т.е. нет ключика HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy\AllowAnonymous=1



    8 апреля 2008 г. 8:19
  • Ещё интересный момент всплыл:

    Взял читсый тестовый ноутбук, не в нашем домене, просто из воркгруппы. поставил на него аутлук и firewall агитум аутпост. Решил посмотреть куда и как будет соединяться аутлук.
    Запретил весь трафик кроме dns, dhcp и разрешил https на mail.имядомена.ru
    Настроил профиль, запусткаю аутлук и вижу, что он пытается соединиться по rpc на почтовик, по логам выглядит так:

    11:22:03 OUTLOOK.EXE: 2176 TCP соединение с ip_почтовика:443 установлено Microsoft Outlook HTTPS connection
    11:22:03 OUTLOOK.EXE: 2176 TCP соединение с ip_почтовика:443 установлено Microsoft Outlook HTTPS connection
    11:23:33 OUTLOOK.EXE: 2176 Соединение завершено (отправлено: 706, получено: 1097 байт)
    11:23:33 OUTLOOK.EXE: 2176 Соединение завершено (отправлено: 671, получено: 1097 байт)
    11:24:33 OUTLOOK.EXE: 2176 Заблокировано TCP-соединение с ip_почтовика:135 Запретить любую активность
    11:24:33 OUTLOOK.EXE: 2176 Заблокировано TCP-соединение с ip_почтовика:135 Запретить любую активность

    Далее интереснее, отключаю фаервол, outlook тут же подключается. Затем включаю фаервол, перезапускаю аутлук и он работает и лезет только по https, такое ощущение что для работы RPC over HTTPS необходимо чтобы клиент сначала подключился имея RPC доступ, а потом уже может и только по https, бред какой-то Sad
    8 апреля 2008 г. 8:47
  • немного разобрался:

    при создании профиля аутлук соединяется с экчем по 135 порту.
    т.е. если профиль сделать в локальной сети, то потом им можно пользоваться снаружи только по 443 порту.
    упоминание про это есть тут http://www.msexchange.org/tutorials/outlookrpchttp.html
    "it is important to note that you must create the Outlook 2003 profile while the Outlook 2003 computer is on the internal network, or while the Outlook 2003 computer is on the Internet and can access the Exchange Server using RPC (TCP 135 – typically through an ISA Server 2000 secure Exchange RPC Publishing rule). You will not be able to create a new profile or change an existing profile to use RPC over HTTP if is does not have access to the Exchange Server via RPC (TCP 135)."

    на isaserver.org есть обсуждение на эту тему: http://forums.isaserver.org/m_50231500/mpage_1/tm.htm
    вобщем кому-то удалось побороть проблему, только у всех разные конфигурации и не понятно что мне делать Smile

    думаю ValidPorts у меня надо поправить, указать там сам эксч и плюс контролеры домена. только вот перезагрузиться проблема Smile

    и ещё, надо ли мне на контролерах домена которые GC делать это - http://technet.microsoft.com/ru-ru/library/bb124159(EXCHG.65).aspx
    ?
    8 апреля 2008 г. 11:07
  • вобщем похоже решил проблему:
    в validports указал, сервер эксч (и внутренее и внешнее имя) + контролерры домена (которые глобал каталоги)
    перезагруузка не потребовалась, rpccfg /hd показывает нужные значения. вобщем осталось ещё потестировать и можно закрывать тему Smile
    • Помечено в качестве ответа Vinokurov Yuriy 22 июля 2009 г. 6:25
    8 апреля 2008 г. 12:54
  • Всплыла небольша побочная проблема: после того как настраиваешь аутлук по rpc over https снаружи, то при первом соединении вся почта переливается с сервера в локальный pst файл.
    И только после этого, в качесте файла данных можно указать не локальный pst, а "Почтовый ящик - ФИО"
    После чего вся новая почта с сервера не удаляется, а синхронизируется межу сервером и клиентом.

    А вот как сразу на этапе настройки сделать так чтобы почта с сервера не забиралась ?
    9 апреля 2008 г. 12:18