Loading Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook Anywhere (RPC Over HTTP) Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00 Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau: - Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC) - Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau: Skip to Menu1. Skip to Content2. Skip to Footer>3. User Area Register Free Contact Us Home IT-Training Courses Windows Server Messaging System Sharepoint Server Network Security Virtualization Technologies Other Technology Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 1 of 12 6/17/2011 1:45 PM - Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC) - Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)? Trong bài viết “How RPC Works” chúng tôi đã có giới thiệu về cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish các port cần thiết trong đó có RPC Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi người bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả năng bị tấn công sẽ rất cao. Vì vậy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server bằng MAPI (RPC) Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client: Trong bài viết “How RPC Works” chúng ta đã thấy rõ cơ chế RPC sử dụng các port: Service Name UDP TCP HTTP 80, 443, 593 80, 443, 593 Named Pipes 445 445 RPC Endpoint Mapper 135 135 RPC Server Programs <Dynamically assigned> <Dynamically assigned> Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoặc Proxy server tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), thì Internet Client sẽ không thể kết nối đến Exchange Server bằng MAPI (RPC). Các hạn chế của POP3 và IMAP4: Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public Folder, không sử dụng được Meeting request… Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook (MAPI) để sử dụng được tất cả tính năng mà Exchange cung cấp. Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bằng MAPI (RPC) mà vẫn đảm bảo được sự thuận tiện và an toàn cho hệ thống. Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS. RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng gói gói tin RPC vào bên trong gói tin HTTP Gói tin RPC over HTTP sẽ được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta có thể sử dụng Secure Socket Layer (SSL) để bảo mật cho kết nối RPC over HTTP. Thông thường trong hệ thống Exchange server 2003 RPC Proxy được cài đặt trên Exchange Font-end server (nếu có), còn trong hệ thống Exchange Server 2007 RPC Proxy được cài đặt trên Client Access Server Dưới đây là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 2 of 12 6/17/2011 1:45 PM 1. Client khởi tạo kết nối RPC over HTTP đến RPC Proxy server để yêu cầu được kết nối 2. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào DSProxy (port 6002) trên Exchange server 3. Sau khi nhận được trả lời (HTTP respond) từ Exchange server, Client gởi gói tin HTTP request đến RPC Proxy server để yêu cầu chứng thực 4. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào Proxy Service (port 6004) trên Exchange server 5. Exchange server chuyển yêu cầu chứng thực đến Global Catalog Server, Global Catalog Server cung cấp cho Exchange server tất cả các thông tin thích hợp 6. Exchange server gởi các thông tin nhận được từ Global Catalog Server cho Client 7. Client gởi HTTP sessions tới RPC Proxy server để kết nối vào hệ thống Exchange 8. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP sessions và chuyển vào Microsoft Exchange Information Store service (port 6001) trên Exchange server Lập lại bước 7 và 8 khi Client kết nối tới các dịch vụ khác trên Exchange server như Public Folder… Nhằm mục đích hiểu rõ cơ chế hoạt động của RPC over HTTP, trong bài viết này chúng tôi sẽ giới thiệu cách cấu hình RPC over HTTPS trên Exchange Server 2007 Bài viết bao gồm các phần: Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP) Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS) Phần III: Oulook Anywhere (RPC over HTTP) Phần III bao gồm các bước: 1. Cài đặt RPC Over HTTP Proxy trên Client Access Server 2. Cấu hình Outlook Anywhere trên Client Access Server 3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS II. Chuẩn bị Để thực hiện phần III, yêu cầu thực hiện hoàn tất phần I và phần II III. Thực hiện 1. Cài đặt RPC Over HTTP Proxy trên Client Access Server Logon MSOPENLAB\Administrator, mở Control Panel, mở Add or Remove Programs, chọn Add/Remove Windows Components Trong cửa sổ Windows Components, vào Details của Networking Services Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 3 of 12 6/17/2011 1:45 PM Trong cửa sổ Networking Services, đánh dấu chọn RPC over HTTP Proxy, chọn OK, chọn Next Trong cửa sổ Completing the Windows Coponents Wizard, chọn Finish 2. Cấu hình Outlook Anywhere trên Client Access Server Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 4 of 12 6/17/2011 1:45 PM Trong cửa sổ Enable Outlook Anywhere , nhập DCA.msopenlab.com vào ô External host name , chọn Basic authentication , chọn Enable Cửa sổ Completion, chọn Finish Mở Services từ Administrative Tools, Restart Microsoft Exchange Active Directory Topology Services Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 5 of 12 6/17/2011 1:45 PM 3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS Logon MSOPENLAB\Administrator, mở Microsoft Outlook. Trong System tray, giữ phím Ctrl và chuột phải biểu tượng Microsoft Outlook chọn Connection Status Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị TCP/IP, có nghĩa Microsoft Outlook đang kết đến Exchange server bằng MAPI(RPC) Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 6 of 12 6/17/2011 1:45 PM Mở mục Mail trong Control Panel, chọn Show Profile Remove profile đang có, chọn Add để tạo profile mới Trong hộp thoại New Profile, đặt tên profile là Administrator, chọn OK Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 7 of 12 6/17/2011 1:45 PM Trong cửa sổ Auto Account Setup, chọn Next Cửa sổ Congratulations, đánh dấu chọn Manually configure server settings, chọn Next Cửa sổ Microsoft Exhcnge Settings, chọn More Settings Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 8 of 12 6/17/2011 1:45 PM Trong hộp thoại Microsoft Exchange, qua tab Connection, đánh dấu chọn Connect to Microsoft Exchange using HTTP, chọn Exchange Proxy Settings Trong hộp thoại Microsoft Exchange Proxy Settings, khai báo các thông tin như trong hình bên dưới, chọn OK Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 9 of 12 6/17/2011 1:45 PM Cửa sổ Microsoft Exchange Settings, chọn Finish Mở Microsoft Outlook, đăng nhập bằng account MSOPENLAB\Administrator password P@ssword Trong System Tray, chuột phải biểu tượng Microsoft Outlook chọn Connection Status Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id= 10 of 12 6/17/2011 1:45 PM [...]... 1:45 PM Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A 12 of 12 http://msopenlab.com/index.php?option=com_content&view=article&id= Đào Duy Hiếu Nguyễn Mạnh Trọng Tô Hoàng Nhã Friends on Facebook Windows Server 1 Giải pháp quản lý tập trung cho mô hình quản lý doanh nghiệp - Phần 2: Triển khai nhiều sever chạy song song 2 Tổng quan về Windows Server 2008 R2 3 Giải pháp quản lý tập... cho mô hình mạng doanh nghiệp - Phần 3: Triển khai Read-Only Domain Controller, Read Only DNS Server và Active Directory Site Messaging System 1 Cài đặt Microsoft Exchange Server 2010 2 Tổng quan về Microsoft Exchange Server 2010 3 Đa dạng Disclaimer Text trên Exchange Server 2007 với Code Two Exchange Rule 2007 Sharepoint Server 1 Ứng dụng Workflow cho doanh nghiệp - Phần 1: Ứng dụng Approval Workflow.. .Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A 11 of 12 http://msopenlab.com/index.php?option=com_content&view=article&id= Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị HTTPS, có nghĩa Microsoft Outlook đang kết nối tới Exchange bằng RPC over HTTPS Cảm ơn các bạn đã theo dõi bộ bài... - Phần 1: Ứng dụng Approval Workflow vào Document Library 2 Triển khai Workflow bằng Visual Studio 2008 3 Xây dựng Bloghost trên MOSS 2007 - Phần 2: Thiết kế trang chủ cho Publishing Site Other Technology 1 Physical Address Extension-Tận dụng tối đa dung lượng RAM trên bộ vi xử lý 32bit 2 Triển khai Load Balancing và Failover cho nhiều line ADSL bằng Kerio Winroute Firewall 3 Đồng bộ hóa dữ liệu với . Anywhere trên Client Access Server Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere Quản Lý Client Access trên Exchange Server. là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A http://msopenlab.com/index.php?option=com_content&view=article&id=. Loading Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook Anywhere (RPC Over HTTP) Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00 Khi triển khai và quản lý hệ thống Exchange,