Configurando RPC over HTTP no Microsoft Exchange Server 2003 com Service Pack 1

  • Artigo

Por Rodrigo de Oliveira Menezes

Com a aplicação Microsoft Exchange Server 2000, os clientes de e-mail somente podiam acessar o servidor de e-mail com segurança se utilizassem o WebAccess ou uma Rede Virtual Privada (Virtual Private Network – VPN). Essa estrutura era um pouco incômoda pois a modificação de conexão de fora da rede incomoda um pouco usuários que conhecem menos informática e tinham que se deparar com conexões VPN, e outras funções.

Para melhorar a funcionalidade do servidor a Microsoft criou a aplicação de RPC over HTTP para acesso aos servidores Exchange. Essa funcionalidade permite que usuários possam se conectar as suas caixas do Exchange diretamente pela internet.

Com clientes Outlook 2003, os usuários podem acessar suas contas através da internet pela função de tunelamento do procolo de Chamada de procedimento remoto (Remote Procedure Call – RPC) em tráfego sobre o Protocolo de Transferência de Hypertexto (Hypertext Transfer Protocol – HTTP). Esse tunelamento faz possível a utilização do RPC que é o protocolo utilizado pelo Exchange Server para acessar as caixas de correio através de firewalls na internet. O cliente somente necessita poder realizar uma conexão HTTP para um servidor IIS para poder acessar qualquer servidor Exchange através da Internet.

Para se trabalhar com o RPC over HTTP, a Microsoft recomenda 3 tipos de estrutura, cada uma delas distintas no número de servidores e a distribuição deles pela rede. Estaremos comentando as três.

Rede com um ISA Server na DMZ, back-end e front-end server dentro da LAN

Cc668470.configrpc_clip_image002(pt-br,TechNet.10).jpg

Com essa configuração, a rede da empresa estará contando com um ISA Server que fará a conexão dos servidores da rede interna com a rede externa. Esse servidor ISA estará na zona deslimitarizada (DMZ) e fará a ponte entre o servidor front-end e a internet. Com essa estrutura a rede contará com um firewall controlando o acesso ao ISA, um firewall controlando o acesso da rede externa a rede interna e da DMZ a rede interna. A conexão entre o ISA Server e o front-end server usa IPSec para garantir a segurança dos dados.

A conexão chega pelo cliente através da porta 443 TCP do serviço SSL ao servidor ISA que será responsável por receber o RPC over HTTP e o encaminhará ao front-end server que tem acesso completo ao back-end server para trocar as informações necessárias.

Rede com um front-end server na DMZ e back-end server dentro da LAN

Cc668470.configrpc_clip_image003(pt-br,TechNet.10).jpg

Com essa configuração, a rede da empresa estará contando com um front-end server que receberá as solitações dos clientes através da internet pela porta 443 TCP do serviço SSL. Esse servidor estará na zona deslimitarizada (DMZ) e fará a ponte entre o servidor que possui os dados (back-end) e o cliente que está na internet. Com essa estrutura a rede contará com um firewall controlando o acesso ao front-end permitindo o acesso somente pela porta 443 necessária, um firewall controlando o acesso da rede externa a rede interna e da DMZ a rede interna. A conexão entre o front-end server e o back-end server usa IPSec para garantir a segurança dos dados. Para a comunicação desses dois servidores é necessário que o servidor front-end acesse as portas 6001 (store), 6002 (DSReferral) e 6004 (DSProxy), todas TCP.

Rede com um front-end server na DMZ e back-end server dentro da LAN

Cc668470.configrpc_clip_image004(pt-br,TechNet.10).jpg

Com essa configuração, a rede da empresa estará contando com um ISA Server que fará a conexão dos servidores da rede interna com a rede externa. Esse servidor ISA estará na zona deslimitarizada (DMZ) e fará a ponte entre o servidor front-end e a internet. Com essa estrutura a rede contará com um firewall controlando o acesso ao ISA, um firewall controlando o acesso da rede externa a rede interna e da DMZ a rede interna. A conexão entre o ISA Server e o front-end server usa IPSec para garantir a segurança dos dados.

A conexão chega pelo cliente através da porta 443 TCP do serviço SSL ao servidor ISA que será responsável por receber o RPC over HTTP e o encaminhará ao front-end server que tem acesso completo ao back-end server para trocar as informações necessárias.

Instalando o Serviço

O procedimento de instalação é simples, o cliente de e-mail necessita acessar um servidor IIS no front-end server do Exchange 2003 e o mesmo precisa trabalhar como um proxy RPC sobre HTTP. Esse componente faz parte do serviço de rede do Windows 2003 Server.

1. No Exchange front-end server que está rodando Windows Server 2003, pressione Iniciar, Painel de Controle e clique em Adicionar ou Remover Programas.

2. No Adicionar ou Remover Programas, clique em Adicionar/Remover Componentes do Windows no painel da esquerda.

3. No menu que que se abre, selecione a aba Rede, e pressione em Detalhes.

4. No menu de redes, selecione a opção de Proxy RPC sobre HTTP, e pressione o OK.

5. Na página de componentes do Windows, pressione a seleção Próximo para que a instalação se complete.

Com esses procedimentos o Proxy para o RPC sobre HTTP está instalado e funcionando.

O passo seguinte é configurar o Exchange 2003 back-end Server para trabalhar como alvo para o Servidor Proxy RPC. Para isso é necessário as seguintes configurações.

1. No Exchange System Manager, abra o Administrative Groups, e abra o grupo que contem o seu Exchange back-end Server.

2. Abra o objeto Servidores, pressione o botão direito no servidor que você quer configurar, e pressione Propriedades.

3. Na janela de propriedades, pressione a tabulação RPC-HTTP, e pressione a opção RPC-HTTP back-end server.

4. Você pode receber uma mensagem como mostrado na figura abaixo. Clique em OK para ir ao próximo passo.

Cc668470.configrpc_clip_image005(pt-br,TechNet.10).jpg

5. Esse processo é necessário para todos os back-end server que irão servir ao front-end.

Cc668470.configrpc_clip_image006(pt-br,TechNet.10).jpg

A seguir vamos configurar o front-end server que irá receber as solicitações e encaminhar ao servidor back-end.

1. No Exchange System Manager, abra o Administrative Groups, e abra o grupo que contem o seu front-end server.

2. Abra o objeto Server e pressione o botão direito no servidor.

3. Nas Propriedades do Servidor Exchange, pressione a tabula RPC-HTTP, e selecione a opção RPC-HTTP front-end server.

Cc668470.configrpc_clip_image007(pt-br,TechNet.10).jpg

4. Pressione o OK para terminar o processo.

5. Uma mensagem de aviso irá aparecer informando que o SSL é necessário para trabalhar com o RPC sobre HTTP. Para isso pressione OK.

Na configuração do IIS no front-end server, é necessário habilitar a função de SSL no site do Exchange. O RPC over HTTP roda inteiro sobre SSL e nesse caso é necessário utilizar a encriptação no servidor IIS do front-end server para conectar com o cliente Outlook.

No front-end server, abra as propriedades da pasta do Exchange a habilite a opção de aceitar conexões SSL para que o Outlook consiga acessar o site.

Esse procedimento é necessário em todos os servidores front-end.

Configurado o servidor, o proximo passo é configurar o perfil do Outlook no usuário de modo que ele possa trabalhar com o RCP over HTTP. Nessa configuração, se faz necessário habilitar o SSL (Secure Sockets Layer) com autenticação básica, necessário pelo RPC over HTTP. A documentação da Microsoft informa que existe a opção de habilitar o “Use Cached Exchange Mode” para as contas não sendo necessário sua habilitação, mas dizem que é extremamente importante.

Para criar o perfil no Outlook siga o processo:

1. Entre em Início, Painel de Controle.

2. No Painel de Controle, clique no ícone E-mail.

3. Nas configurações do e-mail, em Perfis, clique em Mostrar Perfis.

4. Em e-mail clique em Adicionar.

5. No wizard da conta, clique em nova conta e pressione próximo.

6. No tipo de servidor, selecione o Microsoft Exchange Server e pressione Próximo

7. Nas configurações do Exchange faça o seguinte:

  • 1. Na caixa de Servidor Microsoft Exchange, digite o nome do back-end server onde sua caixa de correio se encontra.

  • 2. Selecione a caixa do Use cached Exchange Mode.

  • 3. Na configuração de nome de usuário, digite seu nome.
    obs.: logo após essa configuração a aplicação cliente irá procurar resolver o servidor Exchange. Se ele não tiver acesso ao back-end server usando TCP/IP, a operação irá dar time out e uma caixa de diálogo irá aparecer pedindo configuração do usuário e a caixa. Pressione cancelar nessa caixa.

  • 4. Na tab de Conexão, onde se encontra o Exchange na Internet, selecione a caixa Conectar a minha caixa Echange usando HTTP.

  • 5. Na caixa de seleção de servidor Proxy, nas Configurações de Conexão, faça o seguinte:

  • * 1. Coloque o nome do domínio completo (URL) do servidor RPC na caixa Use essa URL para conectar ao meu servidor proxy para Exchange.

  • * 2. Selecione o Conectar usando SSL

  • * 3. Selecione Mutuamente autentique a sessão quando conectando com SSL.

  • * 4. No Nome principal para o servidor Proxy, coloque o endereço FQDN do servidor.

  • 6. Na caixa de Configuração Proxy do Exchange, na Configuração de autenticação do Proxy, na seção Use autenticação quando conectar ao servidor Proxy, selecione a Autenticação Básica.

  • 7. Pressione OK.

Com esses passos a configuração de seu RPC over HTTP está completa. O cliente de e-mail dentro da rede interna irá conseguir acessar sua conta via TCP/IP tranquilamente e quanto estiver for a com acesso a internet, irá conseguir acessar a sua caixa no Exchange Server usando o RCP sobre HTTP.

Mais informações:

RPC over HTTP Deployment Recommendations [RPC]

Configuring Outlook 2003 for RPC over HTTP

RPC over HTTP Security [RPC]

Deploying RPC over HTTP for Exchange Server 2003 SP1

Rodrigo de Oliveira Menezes
http://rodrigomenezes.tk