Exchange2003系列之精通.docVIP

Exchange2003学习系列之精通Exchange2003学习系列之一：Exchange2003+SP2部署2Exchange2003学习系列之二：邮箱的创建及配置24如何修改邮箱的英文界面:Exchange2003系列之三43Outlook通过RPC或RPC over HTTPS访问Exchane邮箱:Exchange2003系列之四56用OWA访问Exchange邮箱:Exchange2003系列之五81用SMTP,POP3访问Exchange邮箱:Exchange2003系列之六98用IMAP4访问Exchange邮箱:Exchange2003系列之七116具有邮件功能的用户和联系人有什么区别?-Exchange2003系列之八123用通讯组实现邮件列表:Exchange2003系列之九131邮件策略在域树中的实战应用:Exchange2003系列之十140详解Exchange2003灾难重建:Exchange2003系列之十一155子域部署Exchange服务器详细攻略及故障剖析：Exchange2003系列之十二172编者：巧妙绝情 百度博客：/qiaomiao209本书出自 “岳雷的微软网络课堂” 博客，请务必保留此出处/202879/95414时间：20100906 21：30Exchange2003学习系列之一：Exchange2003+SP2部署Exchange是微软公司出品的一款功能强大的邮件服务器，是目前世界上最好的信息协作平台。我们推出Exchange学习系列，希望能够对大家学习Exchange有所帮助。学习Exchange，我们首先从部署Exchange开始。部署Exchange2003，需满足下列条件：a 操作系统是Win2003或Win2000+SP3b 有Active Directory的支持c 安装ASP.NETd 安装IIS中的Web，SMTP，NNTP三个组件注意：Exchange服务器上不能安装Win2003的POP3组件，因为这个组件和Exchange2003中的POP3会产生冲突！实验环境如下图F是域的域控制器，B是域的成员服务器，exchange2003安装在B上，Florence和Berlin都安装了Win2003简体中文企业版安装步骤如下一 将Berlin加入域E，并以域管理员身份登录二 在Berlin上安装ASP.NET和IIS在Berlin上，点击开始设置控制面板添加或删除组件添加/删除Windows组件，选择应用程序服务器，点击详细信息，如下图选择。选中Internet信息服务（IIS），点选详细信息，在IIS的组件中选择SMTP，NNTP，万维网服务等组件，如下图所示点击确定后，放入Win2003安装光盘，等待安装完成三 林架构扩展ForestPrepExchange Server 2003 安装时首先要进行ForestPrep操作，也即Active Directory架构扩展。 扩展后的Active Directory架构可包含 Exchange 专有的类和属性，ForestPrep 还会在 Active Directory 中为 Exchange 组织创建容器对象。扩展架构时，应注意以下两点：a 确保架构主机在线，如果操作主机中的架构主机离线，架构扩展会失败b 进行架构扩展的用户，应加入schema admins组，具有架构修改的权限，一般情况下， 用EXCHTESTAdministrator就可满足条件。扩展架构时从效率上考虑，建议直接在域控 制器上进行操作。在Florence机器中放入Exchange2003光盘，弹出安装向导，如下图所示，选择Exchange部署工具接下来选择是否是安装域中的第一台Exchange服务器，这个选择很重要，因为第一台Exchange安装时需要扩展架构，其他Exchange服务器安装时就不再需要扩展架构了。我们选择部署第一台Exchange2003服务器。接下来进行安装环境选择，是选择安装一个新的Exchange还是和早期版本的Exchange共存，我们选择安装全新的Exchange 2003接下来安装向导列出了建议的安装步骤，一共有八个步骤，但有一些步骤是建议我们检查域控制器状态，检查网络连接情况，作用是确保安装前的准备工作就绪。如我们确定安装准备没有问题，可省略不做，直接选择进行Exchange2003安装操作的第六步，“立即运行ForestPrep”来进行AD架构的扩展：注：如不想通过Exchange2003光盘中的部署工具来进行架构扩展，也可在命令提示符下直接输入 D:Setup.exe /forestprep ，D是Exchange光盘所在盘符同意许可协议，继续选择下一步，安装向导将你选择的操作列了出来，确定无误，点击下一步接下来安装向导会提示，EXCHTESTAdministrator已被授予管理Exchange2003的权限，继续下一步，开始架构扩展，等待一段时间直至扩展完成 四 域准备 DomainPrepDomainPrep 用于创建 Exchange 服务器在读取和修改用户属性时所必需的组和权限。Exchange Server 2003 版本的 DomainPrep 将在域中执行下列操作： 创建 Exchange Domain Servers 和 Exchange Enterprise Servers 组。 将全局 Exchange Domain Servers 组嵌套到 Exchange Enterprise Servers 本地组中。 创建“Exchange 系统对象”容器，该容器用于存放已启用邮件的公用文件夹。 在域的根位置设置 Exchange Enterprise Servers 组的权限，使收件人更新服务有正确的权限来处理收件人对象。 修改 Windows 用来为本地 Domain Administrator 组的成员设置权限的 AdminSdHolder 模板。 将本地 Exchange Domain Servers 组添加到 Pre-Windows 2000 Compatible Access 组中。 执行安装程序的安装前检查域准备属于对Active Directory数据进行更新，建议在域控制器Florence上进行操作在Florence上完成架构扩展操作后，继续在安装向导中选择Exchange2003安装步骤中的第七步，“立即运行Domainprep”注：也可直接在命令提示符下输入 D:Setup.exe /Domainprep弹出Domainprep安装向导，选择下一步同意许可协议后，选择下一步，确认接下来进行的操作是Domainprep，如下图所示，继续下一步开始Domainprep，Domainprep会在很短的时间内完成。五 安装Exchange完成域准备工作后，接下来我们要在Berlin上开始Exchange的部署了，我们在Berlin上放入Exchange安装光盘，在安装向导中选择Exchange2003安装步骤的第八步，“立即运行安装程序“注：也可在命令提示符下输入 D:Setup.exe 弹出安装向导，选择下一步同意许可协议后，选择是进行典型安装，最小安装还是定制安装，在此我们选择典型安装即可，安装组件包括 “Microsoft Exchange消息与协作服务”，“Microsoft 系统管理工具”，其余的安装组件我们暂时不需要。接下来安装程序询问是新建一个组织还是加入现有的Exchange5.5组织，Exchange 组织定义邮件环境。组织包括所有 Exchange 服务器、域控制器、全局编录服务器、用户以及其他作为单个实体一起工作的Microsoft Active Directory 目录服务对象。在此我们选择新建Exchange组织，并为组织命名为 ITET同意协议后，Exchange要求提供管理组的名称，在 Exchange5.5中，站点同时定义一组服务器的管理边界和物理路由拓扑。Exchange2003将站点的概念分成了物理和逻辑两部分： 路由组定义 Exchange 服务器的物理网络拓扑。管理组为方便管理而定义服务器和其他对象的逻辑组在此我们给管理组取名 MAIL安装程序列出用户准备安装的项目，检查无误后选下一步开始安装至此，Exchagne2003安装完成，我们需要在后续操作中安装上Exchange的SP2补丁六 安装Exchange SP2在Win2003上安装Exchange的SP2，需要先安装一个KB831464补丁，我们在Berlin上安装这个补丁同意软件协议后开始安装，安装结束后重新启动计算机重新登录之后，我们开始执行SP2的安装程序 update.exe点击下一步，同意许可协议后，确定安装内容，如图所示，点击确定进行安装安装完毕后，重启计算机，至此，Exchange2003SP2部署顺利完成。本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处/202879/74679Exchange2003学习系列之二：邮箱的创建及配置我们在上一篇文章中介绍了如何进行Exchange2003的安装，本文中我们介绍如何在Exchange2003中进行邮箱的创建和配置。Exchange2003中有四种邮件接收对象，邮箱，定制接收者，列表，公共文件夹。邮箱是最重要也是最常用的邮件接收对象。由于Exchange和Active Directory的高度集成，创建邮箱成了一件很轻松的任务，利用管理工具中的Active Directory用户和计算机就能完成邮箱的创建，配置，迁移，删除等一系列任务。实验环境如下图：F是域的域控制器，B是域的成员服务器，exchange2003安装在B上，Florence和Berlin都安装了Win2003简体中文企业版一 安装系统管理工具在Berlin上打开管理工具中的Active Directory用户和计算机，查看一个用户的属性，如下图所示，我们可以很清楚地看到Active Directory的架构扩展后，用户属性中已经多了一些和Exchange相关的设置，例如Exchange常规，Exchange功能，Exchange高级，电子邮件地址等。但我们在域控制器Florence利用Active Directory用户和计算机查看用户的属性，却发现结果如下图所示：很显然，在Florence上我们没有看到和Exchange相关的属性，为什么呢？因为如果要查看扩展后的Active Directory架构，就必须安装Exchange系统管理工具。在Florence上放入Exchange2003的光盘，在安装向导中选择“仅安装Exchange系统管理工具”在同意了许可协议后，进行组件选择。注意，我们需要选择“自定义”操作，然后仅仅在“Microsoft Exchange系统管理工具”组件上选择安装即可。如果不小心选择进行“典型”安装，那就会让Florence也成为一个Exchange服务器。Exchange管理工具安装完成之后，我们在Florence上也可以查看扩展后的Active Directory架构了。二 创建用户邮箱在Active Directory用户和计算机中右键单击用户，选择“Exchange任务”在Exchange任务中选择创建邮箱，任务成功完成后，我们就很轻松地创建出了一个邮箱。为多个用户创建邮箱也不难，如下图所示，选中多个用户，选择“Exchange任务”，在任务中选择“创建邮箱”即可。三 邮箱访问测试邮箱创建之后，我们选择两个邮箱进行简单测试，我们以administrator身份在florence登录，以mabin身份在berlin登录，准备在两个用户间进行简单的邮件传递测试。访问邮箱时，我们使用的客户端软件是outlook2003，这是微软推荐的最好的exchange客户端软件。我们第一次启动outlook时，outlook会创建一个配置文件，配置文件中记录了后台邮件服务器的类型，服务器的计算机名或IP，被访问的邮箱名等参数，有了配置文件记录这些参数，我们就不用每次启动outlook时都得回答这些问题了。配置文件的创建过程是这样的，第一次启动outook时，会出现配置文件创建向导，如下图所示，我们选择下一步向导询问是否需要配置电子邮件账户，选择“是”，继续下一步接下来需要回答邮件服务器类型,我们选择Microsoft Exchange Server。然后在电子邮件账号配置中，我们输入Exchange服务器的计算机名，以及要访问的邮箱名，不选择使用缓存模式，如下图所示。设置参数后选择“检查姓名”，以确保所输入参数的正确。填写参数完成后就可以进入用户邮箱了。下图就是进入administrator邮箱后的界面，有两个地方值得我们注意A 进入邮箱时没有被询问口令，这是因为outook使用了集成身份验证B administrator邮箱中的文件夹都是英文名称，为什么？暂且卖个关子，后续文章中会有解决办法，好在这个界面问题并不影响我们使用outlook进行测试。测试时我们选择administrator给mabin发一封邮件，在outlook的“新建”菜单中选择邮件，点击“收件人”，从收件人列表中选择mabin，主题为：邮件测试，如下图点击“发送”，送出测试邮件。然后我们以mabin身份启动outlook，检查邮箱中有没有收到测试邮件，如下图所示，mabin已经收到了administrator的测试邮件。测试成功，证明我们创建的邮箱已经可以正常工作了。四 Exchange+-邮箱常规配置 利用Active Directory用户和计算机访问用户属性，来到“Exchange常规”标签，如下图所示，我们可对Exchang邮箱的一些常规属性进行简单配置和，具体如下：a 点击“传递限制”，如下图所示，我们可在配置界面中设置邮件接收/发送时的一些参数。如下图所示，我们配置了发送邮件最大不能超过10M，接收邮件最大不能超过15M，注意，这里的设置仅对当前用户有效，如果想针对所有用户，那需要在Exchange服务器的全局设置中进行配置。如果选择了“仅来自通过身份验证的用户”，那么只有经过身份验证的用户发来的电子邮件才会被邮箱接收，这一选项可让你基本上收不到互联网上其他邮局发来的邮件，因为来自互联网邮局的发件人基本不可能通过Exchange服务器的身份验证。在接受邮件的设置里，默认接受来自任何用户发来的邮件，可设置为只接受特定用户发来的邮件或排除特定用户发来的邮件。b 传递选项中可设置代表发送的权限，代表发送指的是赋予其他用户以赋予者的名义向外发送邮件，例如总经理允许秘书以总经理的名义给客户发送邮件。我们在代表发送中通过添加按钮将代表发送的权限赋予administrator，这样administrator可以wangning用户的身份发送邮件，我们来测试一下。管理员运行outlook，选择新建邮件，在邮件的视图栏目中选择发件人，如下图所示。选择此项后，发送邮件时我们就可以选择邮件的发送者了，否则默认以邮箱主人的身份向外发送。管理员在发件人中个选择wangning，以wangning的身份给mabin发了一封测试邮件，如下图所示，我们来看看结果如何用户mabin运行outlook，发现收件箱中有一封wangning发来的邮件，其实这封邮件是administrator以wangning的名义发出的，代表发送测试成功。传递选项中还有一个转发地址的设置，这项设置允许将当前邮箱用户收到的邮件转到另外一个指定的邮箱中（用于监视邮件还是比较方便的），如果选中“将邮件同时传递到转发地址和原始收件人的邮箱”，那么原始收件人和转发邮箱都将收到发来的邮件；如果没有选中这个设置，那么就只有转发邮箱能收到发来的邮件。如下图所示，我们设置了将wangning的邮箱转发到administrator，我们可以让mabin给wangning发一封测试邮件，如果wangning收不到邮件，而administrator能收到，那就证明邮件拦截成功了。Mabin运行outlook，给wangning发送一封测试邮件，如下图邮件发出后，检查administrator邮箱，发现已收到测试邮件，如下图所示：检查wangning的邮箱，没有收到测试邮件，拦截实验成功。c 邮箱常规配置中的存储限制允许我们设置邮箱的容量以及邮箱删除后的保留时间，如下图所示：我们修改了一下存储设置，如下图所示，修改后的属性对邮箱容量作了这样的限定：当用户邮箱达到200M时,Exchange服务器将向邮箱中发出一封警告邮件，提醒用户应及时删除不用的邮件；当邮箱容量达到220M时，用户将不能用自己的邮箱向外发送邮件，但仍然可以接收邮件；当用户邮箱达到230M时，用户将既不能发送邮件，也不能接收邮件。保留已删除项目的期限设定为20天，这意味着用户邮件被删除后的20天内仍然会保留在邮箱存储中，我们可以在邮件保留期内通过Outlook从“已删除邮件”中很轻松地恢复被删除的邮件。本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处/202879/74696如何修改邮箱的英文界面:Exchange2003系列之三在前面的文章中，有这样一个现象。我们创建完Exchange邮箱后，用outlook访问用户邮箱，进入邮箱后发现看到的是英文界面，邮箱中是Inbox，Outbox这样的英文文件夹，如下图所示。这是怎么一回事呢？这是因为Exchange支持多国语言，邮箱创建完毕后，Exchange服务器并不立即决定邮箱所属语系，而是根据用户第一次登录时的客户机上的语言版本来决定在邮箱中应该使用哪种语言来创建文件夹。这是一个非常灵活实用的界面策略，可惜稳定性还有待提高。在我们搭建的实验环境中，我们第一次登录administrator邮箱时，无论是操作系统还是outlook，使用的都是中文版，不知为什么Exchange会误判为英文版？有人测试说主要是安装了Exchange系统管理工具的原因，有这个可能。因为在其他未安装系统管理工具的客户机上就没有这个问题。在网络上也看到有其他管理员抱怨Exchange邮箱的界面有时会莫名其妙地发生变换，有时是中文，有时是英文，弄得他们无所适从。这个问题其实并不难解决，我们提供下列方法供大家参考。一 用OWA访问邮箱直接修改二 用outlook加上参数进行修改三 重新创建邮箱四 通过EXIFS进行修改一 用OWA访问邮箱直接修改用Outlook Web Access访问用户邮箱，可直接修改邮箱中的文件夹，将文件夹从英文名称改为中文名称即可。如下图所示。注意，此方法适用于Exchange2003，但不适用于Exchange2003SP2。在邮箱中直接选择Rename，将英文名称改为中文即可。下图是在Exchange2003SP2环境下，OWA的操作中已经没有了Rename选项二 用Outlook修改Outlook可以通过一个隐蔽的参数 ResetFolderNames来重新命名邮箱中的文件夹名称，我们来试试看这个参数是否有效，下图是用户mabin的邮箱截图，当前邮箱中是英文文件夹关闭outlook，在C:Program FilesMicrosoft OfficeOFFICE11下运行outlook /ResetFolderNames,，如下图所示Outlook启动后，看看邮箱中的文件夹是不是已经换成中文了，OK，实验成功！三 重新创建邮箱如果邮箱中没有重要邮件，也可以选择删除邮箱后重新创建邮箱的方法来解决这个问题，我们先利用Active Directory用户和计算机来删除administrator的邮箱，然后再将administrator邮箱重新创建。问题是：如何保证重建后的邮箱就一定是中文界面呢？我们可尝试这种办法，在客户端的IE浏览器中选择 工具Internet选项常规语言，查看语言首选项，如下图所示：确定首选语言为中文，然后用OWA访问刚创建出的邮箱。是不是一切正常了？当用户第一次用OWA登录邮箱时，Exchange服务器就是根据刚才我们设定的语言首选项来判断客户端的语言环境，然后在邮箱中创建和客户端语言环境相匹配的文件夹。四 通过EXIFS来修改邮箱界面Exchange2000的管理员都知道，在安装Exchange Server 2000后，系统会出现一个M盘。这个M盘，就是由微软通过IFS（Installable File System）技术实现的一个数据库到文件系统的映射。研发人员能够通过标准的文档操作API（如CreateFile, OpenFile等）来访问Exchange Server的邮箱和邮件。打开M盘，您能够看到一个以您当前域名命名的文档夹。在这个文档加下面，您会看到一个包含了任何邮箱的文件夹，名为MBX。MBX下面，是以用户的姓名来命名的邮箱文件夹，在每个文件夹下面，都能够看到收件箱、发件箱等子目录。每一封信件，都是以扩展名为EML的文档来表示的。IFS是微软技术中较有争议的一项技术，我们知道，文档系统和Exchange Server的store是两个完全不同的体系结构。文档系统中的文档只包含比较少的属性，而保存在Store中的邮件，有其特定的属性，并且，在Store中，邮件之间更有很复杂的关联关系（跟邮箱的关系，邮箱文档夹的视图等）。因此，M中以EML形式存在的文档（邮件），只是反映了邮件任 何属性和关系的一个子集。一些对于M盘的不适当操作，往往会破坏数据库内部的关系，造成数据库损坏。比较典型的例子是，防病毒软件扫描M盘，发现“嫌疑病 毒”并予以清除。根据微软技术支持部门的统计，这是造成Exchange Server Store数据库损坏的主要原因之一。因为防病毒软件在清除病毒文档（EML文档）时，采取“野蛮施工”手段，往往会破坏数据库内部的关联和邮件结构，进而造成数据库文档内部结构的损坏。因此在Exchange2003中，IFS改为一个系统隐藏的服务，而且没有启用。如果想利用IFS修改邮箱中的英文文件夹，步骤如下： 1 修改组织对象的安全性，强制显示“Exchange System 管理员”中的安全选项卡。 运行注册表编辑器regedit.exe. 在HKEY_CURRENT_USER_Software_Microsoft_Exchange_ExAdmin 项下添加： 名称:：ShowSecurityPage类型：REG_DWORD 键值：1 如下图所示，修改后立即生效。 2 此时可以看到在Exchange系统管理器服务器Berlin第一个存储组 右键属性上看到安全选项。 在访问控制列表中清除管理员继承的拒绝权限。 如下图所示，这样可确保管理员对所有邮箱都具有完全控制权限，否则管理员只能查看自己的邮箱。3 建立一个EXIFS （Exchange Installable File System driver）盘符，可以通过建立一个注册表项来完成： HKEY_LOCAL_MACHINE_SYSTEM_CurrentControlSet_Services_EXIFS_Parameters 名称：DriveLetter 类型：REG_SZ 键值：M 如下图所示：不一定非得M,可以自己指定一个盘符，改完后重新启动Exchange服务器或者重新启动EXIFS服务也可以，用 net stop exifs命令停止EXIFS服务，值得注意的是，“Microsoft Exchange Information Store”服务依赖EXIFS服务，所以停止EXIFS后，“Microsoft Exchange Information Store”也会跟着停止。用 net start exifs启动EXIFS服务，然后手工启动“Microsoft Exchange Information Store”。这时在我的电脑中就可以看到多了一个M盘。4 现在管理员可以访问M:/E/MBX/下的用户目录了，如下图所示：可以运行一下脚本来把邮箱中的英文文件夹改为中文。下面这段脚本作者是Amit Zinman,一位令人尊敬的Exchange大师！dim fso, shell set fso = CreateObject(Scripting.FileSystemObject) runThem(M:) set fso = nothing wscript.quit Sub runThem(xPath) Dim S Set f = fso.GetFolder( xPath ) For Each Folder In f.SubFolders S = Select Case S Case Inbox = 收件箱 Case Contacts = 联系人 Case Drafts = 草稿 Case Journal = 日记 Case Calendar = 日历 Case Tasks = 任务 Case Sent Items = 已发送邮件 Case Deleted Items = 已删除邮件 Case Notes = 便笺 Case Outbox = 发件箱 Case Junk E-Mail = 垃圾邮件 End Select Call runThem(Folder) Next Folder End Sub 任务完成，现在所有用户登录OWA后都是中文界面。 本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处/202879/74839Outlook通过RPC或RPC over HTTPS访问Exchane邮箱:Exchange2003系列之四我们在前面的文章中已经介绍了Exchange邮箱的创建和配置，现在我们来看看如何访问Exchange邮箱。访问邮箱我们可以通过以下方式A 用Outlook作客户端软件 通过RPC/RPC Over HTTPS访问B 用IE作客户端软件 通过HTTP/HTTPS访问C 用Outlook Express作客户端软件 通过SMTP/POP3访问D 用Outlook Express作客户端软件 通过IMAP访问E 通过EXIFS访问从性能和安全考虑，用户倾向于采用Outlook和IE访问邮箱，这两种方式无论是性能还是安全与其他方式相比明显占优。Outlook和IE再进行对比，显然号称Exchange最佳客户端软件的Outlook还是更胜一筹。下面我们就来看看如何用Outlook通过RPC/RPC Over HTTPS访问Exchange邮箱。在完成具体实现方法之前，我们要先了解一下RPC协议的特点，然后才能明白为什么很多防火墙管理员对RPC很头疼？为什么RPC数据包需要封装成HTTP格式？RPC是远端过程调用的缩写，RPC协议特点很鲜明。普通的基于Winsock的网络服务大多有自己的固定端口，比如FTP守护21，HTTP守护80，但基于RPC实现的服务却可以守护随机端口。随机端口？！有没有搞错！客户端程序怎么知道每次随机产生的监听端口是多少？客户端该如何连接服务器呢。为了解决这些问题，RPC设计成这样的工作方式。首先，每个基于RPC的服务都有一个UUID，UUID是一组128位长的数字，被用来区分RPC服务。UUID的定义是国际标准，跨操作系统。例如 Exchange信息存储服务的UUID是A4F1DB00-CA47-B31F-00DD010662DA。每次这些基于RPC的服务启动时都会选择一个高端端口进行监听，这个端口可以是随机的，然后这些服务会把自己的UUID以及自己这次监听的端口存储在终点映射器（End Point Mapper 简称EPM）的一个表中 ，EPM是专门为RPC设计的一个服务，端口是135，EPM记录了本机有多少个基于RPC的服务以及这些服务监听的高端端口各是多少。现在假设有一个客户机要访问服务器上的Exchange信息存储服务，客户机首先要连接服务器的135端口，向EPM发起一个查询请求，查询请求中描述了自己所请求服务的UUID，此例应是A4F1DB00-CA47-B31F-00DD010662DA，然后请EPM告知这个服务对应的端口是多少。EPM查询后告诉客户机，你所请求的这个服务在6001端口监听。客户机接到这个答案后，接下来就会去连接6001端口，和Exchange信息存储服务胜利会师了！听了上面的描述，大家就明白了为什么很多防火墙管理员对RPC很头疼，就因为RPC的动态端口！普通防火墙工作在网络层，传输层的居多，基本上只开放几个固定端口，用来保障网络安全。但如果防火墙后面有RPC服务，就麻烦了，为了保证RPC服务能被顺利访问，管理员有可能要被迫开放1024以上的所有高端端口！但如果开放得这么多，那防火墙也就成筛子了.所以这个问题直到应用层防火墙问世以后才得以较好解决，例如ISA就作得不错，以后我们会给大家介绍，这里就不多说了。电信部门对RPC服务也比较敏感，前两年的冲击波，震荡波等病毒，就是利用了RPC的一些漏洞在互联网上大肆传播，危害巨大。电信部门闻风丧胆，唯恐避之不及，干脆采用一刀切的手段，有些运营商把访问135端口的数据包直接丢弃，来它个难言之隐，一丢了之。这下运营商省事了，工程师们费事了。所有有时候Exchange服务器在内网用RPC访问很正常，一放到公网用RPC访问就很容易出问题。罪魁祸首其实是后台的运营商，所以工程师们为了应付电信的封锁，想出了给RPC包化化妆，封装给HTTP包这样的主意。这也是为什么今天我们要尝试用RPC/RPC Over HTTPS来访问邮箱的原因。介绍一下今天的实验环境，如下图所示，由三台虚拟机构成，Florence是的域控制器，CA服务器，Berlin是ExchangeSP2，Istanbul是域内的工作站，安装了Outlook2003，用来作访问邮箱的客户机。三台计算机的操作系统都安装了Win2003中文企业版，DNS服务器是我的物理主机4。一 Outlook通过RPC访问Exchange邮箱这个操作很easy，只要在客户机上为Outlook创建一个正确的配置文件并注意权限问题就可以了，以访问管理员邮箱为例，具体如下A 在Isatnbul上以exchtestadministrator登录，保证登录用户有访问邮箱的权限B 为Outlook创建配置文件，启动Outlook，弹出Outlook配置向导，点击下一步Outlook询问是否将Outlook Express的邮件账号升级过来，选择“不升级”，下一步Outlook询问是否要配置一个邮箱账号，当然选“是“，下一步Outlook询问后台邮件服务器的类型，选择“Microsoft Exchange Server”，下一步 接下来我们填写了Exchange服务器的完全合格域名 ，要访问的邮箱是administrator，不使用缓存Exchange模式，完成配置后登录进入administrator的邮箱。我们如何得知Outlook的连接状态呢？Outlook和Exchange服务器是用RPC连接还是RPC Over HTTPS呢，这个问题很简单。按住Ctrl键，右键单击屏幕右下角的Outlook图标，如下图所示，选择“连接状态”看看连接状态到底是什么样，如下图所示，现在Outlook和exchange服务器是靠RPC连接的。提示：如果Outlook的配置文件有误，导致无法进入邮箱，可利用控制面板邮件显示配置文件，删除当前的配置文件。然后重新启动Outlook，Outlook会提示你创建新的配置文件。二 Outlook通过RPC Over HTTPS访问邮箱这种邮箱访问方式意味着要将Outlook发出的RPC数据包封装成HTTP格式，然后用SSL进行加密，服务器收到加密数据后，先对数据进行解密，再将HTTP包还原成RPC格式。要达到这个目标，需要以下步骤：A Exchange服务器安装“HTTP代理上的RPC”B 对“HTTP代理上的RPC进行配置”C 创建CA服务器D Exchange服务器申请证书E 配置IIS的身份验证方式F 配置客户机上的Outlook我们从第一步开始A Exchange服务器安装“HTTP代理上的RPC”这是最基本的一步，目的是让Exchange服务器有能力对封装在HTTP包内的RPC数据包进行解封装，将其还原为RPC数据包。我们在Exchange服务器上，打开控制面板添加或删除程序添加/删除Windows组件，找到网络服务组件，点击详细信息，选择安装“HTTP代理上的RPC”，如下图所示安装了“HTTP代理上的RPC”后，在IIS的默认web站点中多出一个虚拟目录RPC，如下图所示，RPC虚拟目录中有一个Rpcproxy.dll的动态链接库。客户机将RPC包封装为HTTP格式，然后加密后发送到服务器的RPC虚拟目录下（这个虚拟目录的名称是约定好的，不能改变），对HTTP包进行解封装的工作主要Rpcproxy.dll来完成。B 对“HTTP代理上的RPC” 进行配置“HTTP代理上的RPC”需要进行什么配置呢，主要是RPC端口。“HTTP代理上的RPC”可以将封装在HTTP包内的RPC数据解封装出来，但对HTTP包内的RPC数据包有端口限制，默认情况下，只允许RPC数据包的端口范围在100-5000。那Exchange服务器使用的RPC服务端口在不在这个范围内呢？很遗憾，不在。Exchange服务器使用的RPC服务使用的常用端口有6001，6002，6004等，都超出了100-5000的范围，所以我们要对“HTTP代理上的RPC”进行配置，让它将RPC端口扩大一些，在本例中，我们将其更改为100-7000。我们可以通过注册表，也可以通过win2003 Resource kit中的Rpccfg.exe进行修改，我们演示一下如何用注册表进行修改，在Exchange服务器上运行Regedit.exe，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcRpcProxyValidPorts，如下图所示：将键值从原来的 BERLIN：100-5000修改为BERLIN.EXCHTEST.COM：100-7000。100-7000大家都理解了，计算机名为什么也要修改呢，这个参数取决于客户机访问服务器时用哪种方式描述服务器，是用NETBIOS名称例如urlHTTP:/Berlin/url，还是完全合格域名例如urlHTTP:/Berlin.E/url，再或者干脆用IP地址。考虑到访问者有可能来源于广域网上，我们决定用完全合格域名来表示。提醒一下，一旦决定客户机访问服务器是用完全合格域名的方式，那接下来Exchange服务器申请证书时，证书名称也要用完全合格域名。顺便介绍一下，我们怎么知道自己机器上的RPC服务使用了哪些端口呢？微软的Resource Kit工具集中提供了一个Rpcdump.exe的工具，我们把它拷贝到Exchange服务器上，执行Rpcdump /v /i，在输出的结果中可以看到本机注册的RPC服务的UUID以及端口号，如下图所示：C 创建CA服务器RPC Over HTTPS意味着RPC包被封装成HTTP格式后，还要利用SSL进行加密处理，这样就需要web服务器提供证书，web服务器的证书从何而来？CA服务器，所以我们需要在域内部署CA服务器。在我们的实验环境中，我们使用Florence承担这个角色，在Florence上，先确认IIS组件已经安装，然后打开控制面板添加或删除程序添加/删除Windows组件，勾选“证书服务”，Windows弹出窗口警告一旦安装证书服务，计算机名以及计算机角色都不能再进行更改。如下图所示：接下来选择CA服务器类型，由于我们部署的是域中的第一台证书服务器，因此选择了“企业根”类型，由于和Active Directory的集成，企业根比独立根更方便。接下来输入CA的公用名称，在此我们输入 ITETCA，下一步后需要配置证书数据库的路径，使用默认设置，完成CA服务器的安装。注意：CA服务器安装完成后，Berlin和Istanbul最好使用 Gpupdate/force来刷新一下组策略，确保Florence已经成为了被信任的证书颁发机构。D Exchange服务器申请证书域内有了CA服务器，Exchange服务器就可以申请证书了，打开管理工具中的Internet信息服务（IIS）管理器，右键点击默认网站，选择属性目录安全性，如下图所示。点击服务器证书选择新建证书，准备进行证书申请选择“立即将证书请求发送到联机证书颁发机构”，这是创建企业根CA的好处，在线申请很方便输入证书名称以及密钥长度，使用默认设置就可以了单位及部门信息也不重要，描述性的，随意填写证书公用名称，这是关键，要用完全合格域名，和刚才修改注册表时所规定的计算机名要保持一致，客户机访问Exchange服务器时也要使用这个计算机名。如果客户机访问服务器使用的格式是 urlHttps:/berlin/url，客户机会被提示证书的名称和访问的站点不一致。接下来填写证书中的地理信息参数，SSL端口（用默认值443，不要改），选择证书颁发机构，完成申请后默认网站会立即收到颁发的证书。查看一下证书，如下图所示。至此，Exchange服务器证书申请完成。E 配置IIS的身份验证方式接下来选择IIS的身份验证方式，客户机的Outlook把RPC封装成HTTP后，经过SSL加密后传到Exchange服务器默认网站的RPC虚拟目录，由于Outlook的访问目标是邮箱，因此RPC虚拟目录默认采用的匿名验证方式是肯定不行的。那我们选择哪种验证方式呢？建议最好选择“基本”验证方式，毕竟基本验证是工业标准，不用考虑兼容性问题。那有人要问了，基本验证是采用明文方式传输数据，就不怕安全性方面有问题吗？不用担心，基本验证不能保护数据安全，但SSL可以，别忘了RPC封装成HTTP后还要用SSL加密！打开管理工具Internet信息服务（IIS）管理器默认网站RPC属性目录安全性，如下图，在身份验证和访问控制上选择“编辑”去掉“启用匿名访问”和“集成Windows验证”，勾选“基本身份验证，” 确定结束F 配置客户机上的Outlook最后，我们应该来更改Outlook配置了，我们要让Outlook把RPC包封装成HTTP格式。在Istanbul上，打开控制面板邮件电子邮件账号，如下图所示，选择“查看或更改现有电子邮件账户”这是我们刚刚在Outlook中创建的电子邮件账号，选择“更改”不用更改现有的参数，选择“其他设置”选择“连接”标签，勾选“使用HTTP连接到我的Exchange邮箱”，点击“Exchange代理服务器设置”Exchange代理服务器处填写Exchange服务器的完全合格域名，这个名称和我们申请证书的公用名称以及配置Exchange服务器注册表时填写的RPC服务器名