如何使用ISA RPC Filter安全的发布Microsoft Exchange 200
一、 为发布exchange RPC配置协议
在配置exchange发布规则之前,请先确认DNS Query(UDP 53)、DNS zone transfer(TCP 53)和SMTP(TCP 25)这几个端口可以被使用。
1、 首先需要创建一个允许Microsoft Outlook MAPI客户端,使135端口可以通过防火墙。展开Access Policy选择Protocol Rules,在上面点击右键,选择NewRule
在新出现的新建规则向导设置为:
Name: Exchange Outlook MAPI
Action: allow
Applies to the following protocols: Selected Porlocols RPC
Schedile: Always
Apple the rule to request from: Any request
2、 在创建exchange RPC发布规则之前,你要先确定你的RPC Filter是启用状态,如果你的RPC Filter是禁用的,你将无法从Protocol Definition中找到Exchange RPC Server协议。打开RPC Filter方法是展开extensions选择application filters,在右边选择RPC filter选择启用。在确认RPC filter后,创建一个exchange RPC Publishing规则,展开Publishing选择Server Publishing Rule。点击右键选择NEWRule
在新出现的新建规则向导设置为:
name: exchange MAPI Publishing
Internal IP: exchange 内网IP地址
External IP: 将要发布的公网IP地址
Protocol: Exchange RPC Server
Applies to requests from: Any Request
配置完成后,重新启动Firewall Service
二、 为发布exchange RPC 配置身份验证
当outlook client登陆到exchange 的时候,exchange会要求outlook client到AD去验证身份,但是AD无法直接验证远程主机,所以你要配置由exchange server代理outlook Client 向AD进行身份验证。
具体方法是,打开exchange server上的注册表找到:
HKLM\System\CurrentControlSet\Services\MSEchangeSA\Paramenters
加入下列信息:
value: No RFR Service 注意大小写
Type: REG_DWORD
Data: 1
添加完成后重新启动Exchange Server
三、 为发布exchange RPC配置DNS
对DNS配置是很多网络管理员都会忽略的问题,当你在outlook MAPI Client配置exchange账号,并成功的“检查名称”之后,你会发现你服务器的地址栏上,变成了你Exchange Server的NETBIOS名称。这时你再使用Outlook MAPI Client连接Exchange Server的时候,outlook MAPI Client已经开始使用Exchange Server 的NETBIOS名称在公网上进行查询。所以很多人在配置exchange账号的时候,可以正确“检查名称”,但是在使用outlook client 的时候会提示连接失败的原因。
在知道原因后介绍一下解决办法,一般企业的DNS会配置为两种方案一种是使用Split-Brain DNS,另一种是企业使用内外网的DNS名称不一致。我们来分别介绍一下这两种类型的DNS如何配置。
如果你的公司使用的是Split-Brain DNS。你将有两个DNS区域使用相同的域名,这是你只需要在你的公网的DNS区域添加一个exchange server name的主机(A)记录。使得你的内网和外网outlook MAPI Client在都可以正确的解析到你的exchange server的计算机名称。
例如:你的内网的exchange server的名称是mail.domain.com并指向一个你内网的ip地址,那么需要保证你的外网DNS区域也可以解析mail.domain.com名称,并且该域名应该指向你的exchange rpc publishing rule里设置的ip地址上。
如果你的公司使用的是内外网不一致的域名,那么你就需要在你的外网的dns区域添加一个以你的exchange server 的netbios名称为主机名的主机(A)记录,你保证你的外网的Outlook MAPI Client可以正确的使用NETBIOS名称,解析到你的exchange server的地址。
四、 配置Outlook MAPI客户端
在创建账号的问题上我相信大家不会有任何问题,在这里我只说一下DNS配置的问题,在前面我们说过Outlook MAPI客户端的excahnge账号在“检查名称”后,Outlook MAPI客户端将使用EXCHANGE SERVER的NETBIOS在公网进行查询。这时就会出现问题,因为NETBIOS名称不能够在公网上被解析,你必须自己配置连接的主要DNS后缀以保证你的Outlook mapi客户端可以通过netbios解析到你的exchange server。在win200/xp增加主要DNS后缀有很多方法,我在这里只介绍一种
打开拨号网络和连接,找到拨号连接,右健属性,打开TCP/IP协议的属性,选择高级,在TCP/IP协议的高级设置对话框中,选择DNS选项卡,在DNS BUFFIX FOR THIS CONNECTION中填入你的公网的DNS区域名称。
完成后在命令行模式中使用ping命令测试以下,如果可以使用netbios名称正确的解析到你的exchange server的地址就可以了。
现在你就可以使用outlook client连接你的exchange安全的进行收信了,如有其他疑问可以在winmag论坛上发帖子,我会尽力解答的。由于是第一个写这样的文章有不对地方还望指正,
在配置exchange发布规则之前,请先确认DNS Query(UDP 53)、DNS zone transfer(TCP 53)和SMTP(TCP 25)这几个端口可以被使用。
1、 首先需要创建一个允许Microsoft Outlook MAPI客户端,使135端口可以通过防火墙。展开Access Policy选择Protocol Rules,在上面点击右键,选择NewRule
在新出现的新建规则向导设置为:
Name: Exchange Outlook MAPI
Action: allow
Applies to the following protocols: Selected Porlocols RPC
Schedile: Always
Apple the rule to request from: Any request
2、 在创建exchange RPC发布规则之前,你要先确定你的RPC Filter是启用状态,如果你的RPC Filter是禁用的,你将无法从Protocol Definition中找到Exchange RPC Server协议。打开RPC Filter方法是展开extensions选择application filters,在右边选择RPC filter选择启用。在确认RPC filter后,创建一个exchange RPC Publishing规则,展开Publishing选择Server Publishing Rule。点击右键选择NEWRule
在新出现的新建规则向导设置为:
name: exchange MAPI Publishing
Internal IP: exchange 内网IP地址
External IP: 将要发布的公网IP地址
Protocol: Exchange RPC Server
Applies to requests from: Any Request
配置完成后,重新启动Firewall Service
二、 为发布exchange RPC 配置身份验证
当outlook client登陆到exchange 的时候,exchange会要求outlook client到AD去验证身份,但是AD无法直接验证远程主机,所以你要配置由exchange server代理outlook Client 向AD进行身份验证。
具体方法是,打开exchange server上的注册表找到:
HKLM\System\CurrentControlSet\Services\MSEchangeSA\Paramenters
加入下列信息:
value: No RFR Service 注意大小写
Type: REG_DWORD
Data: 1
添加完成后重新启动Exchange Server
三、 为发布exchange RPC配置DNS
对DNS配置是很多网络管理员都会忽略的问题,当你在outlook MAPI Client配置exchange账号,并成功的“检查名称”之后,你会发现你服务器的地址栏上,变成了你Exchange Server的NETBIOS名称。这时你再使用Outlook MAPI Client连接Exchange Server的时候,outlook MAPI Client已经开始使用Exchange Server 的NETBIOS名称在公网上进行查询。所以很多人在配置exchange账号的时候,可以正确“检查名称”,但是在使用outlook client 的时候会提示连接失败的原因。
在知道原因后介绍一下解决办法,一般企业的DNS会配置为两种方案一种是使用Split-Brain DNS,另一种是企业使用内外网的DNS名称不一致。我们来分别介绍一下这两种类型的DNS如何配置。
如果你的公司使用的是Split-Brain DNS。你将有两个DNS区域使用相同的域名,这是你只需要在你的公网的DNS区域添加一个exchange server name的主机(A)记录。使得你的内网和外网outlook MAPI Client在都可以正确的解析到你的exchange server的计算机名称。
例如:你的内网的exchange server的名称是mail.domain.com并指向一个你内网的ip地址,那么需要保证你的外网DNS区域也可以解析mail.domain.com名称,并且该域名应该指向你的exchange rpc publishing rule里设置的ip地址上。
如果你的公司使用的是内外网不一致的域名,那么你就需要在你的外网的dns区域添加一个以你的exchange server 的netbios名称为主机名的主机(A)记录,你保证你的外网的Outlook MAPI Client可以正确的使用NETBIOS名称,解析到你的exchange server的地址。
四、 配置Outlook MAPI客户端
在创建账号的问题上我相信大家不会有任何问题,在这里我只说一下DNS配置的问题,在前面我们说过Outlook MAPI客户端的excahnge账号在“检查名称”后,Outlook MAPI客户端将使用EXCHANGE SERVER的NETBIOS在公网进行查询。这时就会出现问题,因为NETBIOS名称不能够在公网上被解析,你必须自己配置连接的主要DNS后缀以保证你的Outlook mapi客户端可以通过netbios解析到你的exchange server。在win200/xp增加主要DNS后缀有很多方法,我在这里只介绍一种
打开拨号网络和连接,找到拨号连接,右健属性,打开TCP/IP协议的属性,选择高级,在TCP/IP协议的高级设置对话框中,选择DNS选项卡,在DNS BUFFIX FOR THIS CONNECTION中填入你的公网的DNS区域名称。
完成后在命令行模式中使用ping命令测试以下,如果可以使用netbios名称正确的解析到你的exchange server的地址就可以了。
现在你就可以使用outlook client连接你的exchange安全的进行收信了,如有其他疑问可以在winmag论坛上发帖子,我会尽力解答的。由于是第一个写这样的文章有不对地方还望指正,
- 没有相关文章
- 没有评论