邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: ROH配置不成功，急！急！ [打印本页]

作者: yangkeli 时间: 2008-7-7 17:41
标题: ROH配置不成功，急！急！
基本网络环境：1台DC，同时也是GC，做DNS等服务
1台exchange服务器（使用Exchange 2003）也是DC，也做GC（本来不是，后来改的），两台服务器都用内网地址，然后通过交换机就直连router了，其中exchange服务器放在router的DMZ里。Exchange的内部FQDN不同于Internet上的FQDN，比如内部FQDN叫abc-mail.xxx.com，Internet上的FQDN叫mail.xxx.com（mail.xxx.com解析地址指向router出口地址），由DNS做mx转发记录。
Exchange之前做过owa，同时也做了owa的SSL（使用默认的443端口），连接一切正常。做owa的时候，将CA服务放在了exchange服务器上。CA做的是“企业根”。

然后按照rpc over http配置要求按步骤做roh。
1、
在exchange上的IIS上重新配置证书。删除了原来做owa的SSL时配置的证书，重新建立证书，其中“证书的公用名称”用的是公网FQDN，其他都是默认。
2、
在控制面板里添加“rpc组件”
3、
在IIS里配置RPC的属性。其中：“安全通信”里勾选“要求安全通道”和“128位加密”，“身份验证和安全控制”里取消了“启用匿名访问”和勾选了“基本身份验证”
4、
在“exchange系统管理器”里配置为“RPC-HTTP后端服务器”
5、
修改注册表。其中“Hkey_local_machine\software\Microsft\rpc\rpcproxy”下“ValidPorts”键值为——abc-mail:6001-6002;abc-mail.xxx.com:6001-6002;abc-mail:6004;abc-mail.xxx.com:6004，“Hkey_local_machine\system\CurrentControlSet\Services\NTDS\Parameters”下，“NSPI interface protocol sequences”的键值为“ncacn_http:6004”。
做完这些后就重启了服务器。

但在outlook在以roh的方式连接exchange时，outlook客户端自动切换回rpc连接方式？观察netstat命令执行结果会发现这一点（有大量的指向。以“outlook /rpcdiag”方式做诊断测试，发现在弹出的“exchange server连接状态”里根本没有任何“服务器名称”。

我的问题是：1、为什么我的roh没设置成功？
2、如果roh设置能通过，那么我要把exchange服务器取消放在router的DMZ里的话，需要映射哪些端口出去？

执行"outlook /rpcdiag"后的执行效果如附件图

[ 本帖最后由 yangkeli 于 2008-7-9 10:55 编辑 ]

作者: 钉子 时间: 2008-7-8 23:53
1）今天已和楼主远程解决设置ROH这个问题。请楼主有空自己结帖。以为后来人借鉴。谢谢！

3）执行"outlook /rpcdiag"后的执行效果如附件图
－－用户根本没有登录，所以表上在弹出的“exchange server连接状态”里根本没有任何“服务器名称”。是正常的。

2）如果roh设置能通过，那么我要把exchange服务器取消放在router的DMZ里的话，需要映射哪些端口出去？
－－ROH只需要443或是80端口。

作者: yangkeli 时间: 2008-7-9 10:55
感谢钉子的帮助！

在我的设置过程中，有一个地方是错误的：
第4步里，在单机Exchange的情况下，是不需要把server配置为后端的。具体设置如附件图

作者: 钉子 时间: 2008-7-9 11:10
我来补充一点：

之前楼主在设定Outlook时，将Exchagne Server地址写成了公网的FQDN。也是一个错误。

作者: protostar 时间: 2008-8-30 01:08
请教钉子，我的环境是两台DC，两个GC，一个后端，一个前端。

我也是大概按照LZ参考的那个方案做的，我的是前后端的结构，前端放在DMZ区域里，后端在intranet里，前端通过防火墙映射出去，开放80.25.443端口。
按照那个方案做了后，里面提到要在前端的ValidPorts下添加所有域内的GC，如此格式：abc-mail:6004;abc-mail.xxx.com:6004，结果我按照格式都添加了后，发现好像保存不了？过一会再去看，添加的就没有了?

客户端outlook设置后，运行检查命令，那个连接框里不断闪现连接字样，反复弹出用户名和密码窗口，但是连不上，netstat里看不到任何连接，这个是什么原因？如何处理？

证书用的是企业CA做的，导入了根，现在我https访问发布在公网的这个DNS没有任何问题。

谢谢了先

我的图如下：

[ 本帖最后由 protostar 于 2008-8-30 01:15 编辑 ]

作者: protostar 时间: 2008-8-30 01:13
上面钉子还说到“之前楼主在设定Outlook时，将Exchagne Server地址写成了公网的FQDN。也是一个错误。”这是个什么意思？应该写成什么？内部的DNS么？内部的DNS外面不是访问不到么？

作者: protostar 时间: 2008-8-30 01:46
泪奔啊，搞定了。终于明白了钉子所说的那个设置为exchange服务器的问题。
我看了http://www.5dmail.net/bbs/viewth ... ht=rpc%2Bove%2Bhttp，搞定了。

那篇教程还是不够细致啊。

我的那个GC添加消失的问题可能和一台DC现在重启起不来了有关，我刚才只添加了现在EX里检测到的GC，然后又参考了上面那个链接里提到的设置方法，现在终于工作正常了，哈哈。

感谢钉子。

作者: 钉子 时间: 2008-9-2 23:08

原帖由 protostar 于 2008-8-30 01:13 发表
上面钉子还说到“之前楼主在设定Outlook时，将Exchagne Server地址写成了公网的FQDN。也是一个错误。”这是个什么意思？应该写成什么？内部的DNS么？内部的DNS外面不是访问不到么？

exchange server地址直接填你内网的exchange server的fqdn名称就可以了,
"Exchange 代理服务器设置"时才是填公网地址(如主机记录是域名mail.xxx.com)

作者: protostar 时间: 2008-9-3 15:34
钉子，再问一个问题，那个注册表中更改“Hkey_local_machine\software\Microsft\rpc\rpcproxy”下“ValidPorts”键值为——abc-mail:6001-6002;abc-mail.xxx.com:6001-6002;abc-mail:6004;abc-mail.xxx.com:6004，是否真的需要更改？

我这边发现当时能更改，更改完了后，确定，退出注册表，再重新打开注册表，发现新加的选项就没了？和没有修改前的一样。
但是在这种情况下，ROH依然工作正常，什么原因呢？

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/bbs/)