Loading
Quản Lý Client Access trên Exchange Server 2007 - Phần III:
Outlook Anywhere (RPC Over HTTP)
Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00
Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy
tắc sau:
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các
protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP

Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:
Skip to Menu1.
Skip to Content2.
Skip to Footer>3.
User Area
Register Free
Contact Us
Home
IT-Training Courses
Windows Server
Messaging System
Sharepoint Server
Network Security
Virtualization Technologies
Other Technology
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

1 of 12
6/17/2011 1:45 PM
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các

protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP

Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)?
Trong bài viết “How RPC Works” chúng tôi đã có giới thiệu về cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép
Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish các port cần thiết trong đó có RPC
Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi người bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả
năng bị tấn công sẽ rất cao. Vì vậy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server
bằng MAPI (RPC)

Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client:
Trong bài viết “How RPC Works” chúng ta đã thấy rõ cơ chế RPC sử dụng các port:
Service Name UDP TCP
HTTP 80, 443, 593 80, 443, 593
Named Pipes 445 445
RPC Endpoint Mapper 135 135
RPC Server Programs <Dynamically assigned> <Dynamically assigned>

Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoặc Proxy server tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho
phép các máy tính kết nối Web (HTTP và HTTPS), thì Internet Client sẽ không thể kết nối đến Exchange Server bằng MAPI (RPC).

Các hạn chế của POP3 và IMAP4:
Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public
Folder, không sử dụng được Meeting request…
Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook (MAPI) để sử dụng được tất
cả tính năng mà Exchange cung cấp.

Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bằng MAPI (RPC) mà vẫn đảm bảo được sự
thuận tiện và an toàn cho hệ thống. Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với
người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS.


RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng gói gói tin RPC vào bên trong gói tin
HTTP
Gói tin RPC over HTTP sẽ được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta
có thể sử dụng Secure Socket Layer (SSL) để bảo mật cho kết nối RPC over HTTP.
Thông thường trong hệ thống Exchange server 2003 RPC Proxy được cài đặt trên Exchange Font-end server (nếu có), còn trong hệ thống
Exchange Server 2007 RPC Proxy được cài đặt trên Client Access Server
Dưới đây là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP

Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

2 of 12
6/17/2011 1:45 PM

1. Client khởi tạo kết nối RPC over HTTP đến RPC Proxy server để yêu cầu được kết nối
2. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào DSProxy (port 6002) trên Exchange server
3. Sau khi nhận được trả lời (HTTP respond) từ Exchange server, Client gởi gói tin HTTP request đến RPC Proxy server để yêu cầu chứng thực
4. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào Proxy Service (port 6004) trên Exchange server
5. Exchange server chuyển yêu cầu chứng thực đến Global Catalog Server, Global Catalog Server cung cấp cho Exchange server tất cả các thông
tin thích hợp
6. Exchange server gởi các thông tin nhận được từ Global Catalog Server cho Client
7. Client gởi HTTP sessions tới RPC Proxy server để kết nối vào hệ thống Exchange
8. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP sessions và chuyển vào Microsoft Exchange Information Store service (port 6001) trên
Exchange server
Lập lại bước 7 và 8 khi Client kết nối tới các dịch vụ khác trên Exchange server như Public Folder…

Nhằm mục đích hiểu rõ cơ chế hoạt động của RPC over HTTP, trong bài viết này chúng tôi sẽ giới thiệu cách cấu hình RPC over HTTPS
trên Exchange Server 2007

Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)

Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Phần III: Oulook Anywhere (RPC over HTTP)

Phần III bao gồm các bước:
1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
2. Cấu hình Outlook Anywhere trên Client Access Server
3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS

II. Chuẩn bị
Để thực hiện phần III, yêu cầu thực hiện hoàn tất phần I và phần II
III. Thực hiện
1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
Logon MSOPENLAB\Administrator, mở Control Panel, mở Add or Remove Programs, chọn Add/Remove Windows Components
Trong cửa sổ Windows Components, vào Details của Networking Services
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

3 of 12
6/17/2011 1:45 PM

Trong cửa sổ Networking Services, đánh dấu chọn RPC over HTTP Proxy, chọn OK, chọn Next


Trong cửa sổ Completing the Windows Coponents Wizard, chọn Finish

2. Cấu hình Outlook Anywhere trên Client Access Server
Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere


Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A


4 of 12
6/17/2011 1:45 PM
Trong cửa sổ
Enable Outlook Anywhere
, nhập
DCA.msopenlab.com
vào ô
External host name
, chọn
Basic authentication
, chọn
Enable


Cửa sổ Completion, chọn Finish

Mở Services từ Administrative Tools, Restart Microsoft Exchange Active Directory Topology Services
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

5 of 12
6/17/2011 1:45 PM

3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
Logon MSOPENLAB\Administrator, mở Microsoft Outlook. Trong System tray, giữ phím Ctrl và chuột phải biểu tượng Microsoft Outlook
chọn Connection Status


Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị TCP/IP, có nghĩa Microsoft Outlook đang kết đến
Exchange server bằng MAPI(RPC)


Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

6 of 12
6/17/2011 1:45 PM

Mở mục Mail trong Control Panel, chọn Show Profile


Remove profile đang có, chọn Add để tạo profile mới


Trong hộp thoại New Profile, đặt tên profile là Administrator, chọn OK

Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

7 of 12
6/17/2011 1:45 PM

Trong cửa sổ Auto Account Setup, chọn Next


Cửa sổ Congratulations, đánh dấu chọn Manually configure server settings, chọn Next

Cửa sổ Microsoft Exhcnge Settings, chọn More Settings
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

8 of 12
6/17/2011 1:45 PM

Trong hộp thoại Microsoft Exchange, qua tab Connection, đánh dấu chọn Connect to Microsoft Exchange using HTTP, chọn Exchange Proxy

Settings

Trong hộp thoại Microsoft Exchange Proxy Settings, khai báo các thông tin như trong hình bên dưới, chọn OK


Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

9 of 12
6/17/2011 1:45 PM

Cửa sổ Microsoft Exchange Settings, chọn Finish

Mở Microsoft Outlook, đăng nhập bằng account MSOPENLAB\Administrator password P@ssword


Trong System Tray, chuột phải biểu tượng Microsoft Outlook chọn Connection Status
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

10 of 12
6/17/2011 1:45 PM

Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị HTTPS, có nghĩa Microsoft Outlook đang kết nối tới
Exchange bằng RPC over HTTPS


Cảm ơn các bạn đã theo dõi bộ bài viết của MSOpenlab.com, mong rằng bộ bài viết này giúp ích được cho công việc của các bạn!

Authors
.
MSOPENLAB'S TEAM

Trần Thủy Hoàng
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A

11 of 12
6/17/2011 1:45 PM
Đào Duy Hiếu
Nguyễn Mạnh Trọng
Tô Hoàng Nhã
Friends on Facebook
Windows Server
Giải pháp quản lý tập trung cho mô hình quản lý doanh nghiệp - Phần 2: Triển khai nhiều sever chạy song song1.
Tổng quan về Windows Server 2008 R22.
Giải pháp quản lý tập trung cho mô hình mạng doanh nghiệp - Phần 3: Triển khai Read-Only Domain Controller, Read Only DNS Server và
Active Directory Site
3.
Messaging System
Cài đặt Microsoft Exchange Server 20101.
Tổng quan về Microsoft Exchange Server 20102.
Đa dạng Disclaimer Text trên Exchange Server 2007 với Code Two Exchange Rule 20073.
Sharepoint Server
Ứng dụng Workflow cho doanh nghiệp - Phần 1: Ứng dụng Approval Workflow vào Document Library1.
Triển khai Workflow bằng Visual Studio 20082.
Xây dựng Bloghost trên MOSS 2007 - Phần 2: Thiết kế trang chủ cho Publishing Site3.
Other Technology
Physical Address Extension-Tận dụng tối đa dung lượng RAM trên bộ vi xử lý 32bit1.
Triển khai Load Balancing và Failover cho nhiều line ADSL bằng Kerio Winroute Firewall2.
Đồng bộ hóa dữ liệu với Microsoft SyncToy3.
Copyright © 2008 MSOPENLAB'S TEAM. All rights reserved.
Go to Top
Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A


12 of 12
6/17/2011 1:45 PM