ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 5256|回复: 8
打印 上一主题 下一主题

[已解决] ROH配置不成功,急!急!

[复制链接]
跳转到指定楼层
顶楼
发表于 2008-7-7 17:41:16 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
基本网络环境:1DC,同时也是GC,做DNS等服务
1exchange服务器(使用Exchange 2003)也是DC,也做GC(本来不是,后来改的),两台服务器都用内网地址,然后通过交换机就直连router了,其中exchange服务器放在routerDMZ里。Exchange的内部FQDN不同于Internet上的FQDN,比如内部FQDNabc-mail.xxx.comInternet上的FQDNmail.xxx.commail.xxx.com解析地址指向router出口地址),由DNSmx转发记录。
Exchange之前做过owa,同时也做了owaSSL(使用默认的443端口),连接一切正常。做owa的时候,将CA服务放在了exchange服务器上。CA做的是“企业根”。

然后按照rpc over http配置要求按步骤做roh
1、
exchange上的IIS上重新配置证书。删除了原来做owaSSL时配置的证书,重新建立证书,其中“证书的公用名称”用的是公网FQDN,其他都是默认。
2、
在控制面板里添加“rpc组件”
3、
IIS里配置RPC的属性。其中:“安全通信”里勾选“要求安全通道”和“128位加密”,“身份验证和安全控制”里取消了“启用匿名访问”和勾选了“基本身份验证”
4、
在“exchange系统管理器”里配置为“RPC-HTTP后端服务器”
5、
修改注册表。其中“Hkey_local_machine\software\Microsft\rpc\rpcproxy”下“ValidPorts”键值为——abc-mail:6001-6002;abc-mail.xxx.com:6001-6002;abc-mail:6004;abc-mail.xxx.com:6004,“Hkey_local_machine\system\CurrentControlSet\Services\NTDS\Parameters”下,“NSPI interface protocol sequences”的键值为“ncacn_http:6004”
做完这些后就重启了服务器。

但在outlook在以roh的方式连接exchange时,outlook客户端自动切换回rpc连接方式?观察netstat命令执行结果会发现这一点(有大量的指向。以“outlook /rpcdiag”方式做诊断测试,发现在弹出的“exchange server连接状态”里根本没有任何“服务器名称”。

我的问题是:1、为什么我的roh没设置成功?
2、如果roh设置能通过,那么我要把exchange服务器取消放在routerDMZ里的话,需要映射哪些端口出去?

执行"outlook /rpcdiag"后的执行效果如附件图

[ 本帖最后由 yangkeli 于 2008-7-9 10:55 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x
沙发
发表于 2008-7-8 23:53:26 | 只看该作者
1)今天已和楼主远程解决设置ROH这个问题。请楼主有空自己结帖。以为后来人借鉴。谢谢!

3)执行"outlook /rpcdiag"后的执行效果如附件图
--用户根本没有登录,所以表上在弹出的“exchange server连接状态”里根本没有任何“服务器名称”。是正常的。


2)如果roh设置能通过,那么我要把exchange服务器取消放在router的DMZ里的话,需要映射哪些端口出去?
--ROH只需要443或是80端口。
藤椅
 楼主| 发表于 2008-7-9 10:55:01 | 只看该作者
感谢钉子的帮助!

在我的设置过程中,有一个地方是错误的:
第4步里,在单机Exchange的情况下,是不需要把server配置为后端的。具体设置如附件图

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x
板凳
发表于 2008-7-9 11:10:06 | 只看该作者
我来补充一点:

之前楼主在设定Outlook时,将Exchagne Server地址写成了公网的FQDN。也是一个错误。
报纸
发表于 2008-8-30 01:08:02 | 只看该作者
请教钉子,我的环境是两台DC,两个GC,一个后端,一个前端。

我也是大概按照LZ参考的那个方案做的,我的是前后端的结构,前端放在DMZ区域里,后端在intranet里,前端通过防火墙映射出去,开放80.25.443端口。
按照那个方案做了后,里面提到要在前端的ValidPorts下添加所有域内的GC,如此格式:abc-mail:6004;abc-mail.xxx.com:6004,结果我按照格式都添加了后,发现好像保存不了?过一会再去看,添加的就没有了?

客户端outlook设置后,运行检查命令,那个连接框里不断闪现连接字样,反复弹出用户名和密码窗口,但是连不上,netstat里看不到任何连接,这个是什么原因?如何处理?

证书用的是企业CA做的,导入了根,现在我https访问发布在公网的这个DNS没有任何问题。

谢谢了先

我的图如下:

[ 本帖最后由 protostar 于 2008-8-30 01:15 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x
地板
发表于 2008-8-30 01:13:04 | 只看该作者
上面钉子还说到“之前楼主在设定Outlook时,将Exchagne Server地址写成了公网的FQDN。也是一个错误。”这是个什么意思?应该写成什么?内部的DNS么?内部的DNS外面不是访问不到么?
7
发表于 2008-8-30 01:46:18 | 只看该作者
泪奔啊,搞定了。终于明白了钉子所说的那个设置为exchange服务器的问题。
我看了http://www.5dmail.net/bbs/viewth ... ht=rpc%2Bove%2Bhttp,搞定了。

那篇教程还是不够细致啊。

我的那个GC添加消失的问题可能和一台DC现在重启起不来了有关,我刚才只添加了现在EX里检测到的GC,然后又参考了上面那个链接里提到的设置方法,现在终于工作正常了,哈哈。

感谢钉子。
8
发表于 2008-9-2 23:08:20 | 只看该作者
原帖由 protostar 于 2008-8-30 01:13 发表
上面钉子还说到“之前楼主在设定Outlook时,将Exchagne Server地址写成了公网的FQDN。也是一个错误。”这是个什么意思?应该写成什么?内部的DNS么?内部的DNS外面不是访问不到么?


exchange server地址直接填你内网的exchange server的fqdn名称就可以了,
"Exchange 代理服务器设置"时才是填公网地址(如主机记录是域名mail.xxx.com)
9
发表于 2008-9-3 15:34:54 | 只看该作者
钉子,再问一个问题,那个注册表中更改“Hkey_local_machine\software\Microsft\rpc\rpcproxy”下“ValidPorts”键值为——abc-mail:6001-6002;abc-mail.xxx.com:6001-6002;abc-mail:6004;abc-mail.xxx.com:6004,是否真的需要更改?

我这边发现当时能更改,更改完了后,确定,退出注册表,再重新打开注册表,发现新加的选项就没了?和没有修改前的一样。
但是在这种情况下,ROH依然工作正常,什么原因呢?
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-29 11:59

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表