部署 RPC over HTTP 通訊的建議事項

 

上次修改主題的時間: 2006-04-27

在這個主題中,我們討論在 Exchange Server 2003 Service Pack 1 (SP1) 部署 RPC over HTTP 通訊的最佳實務。

部署 RPC over HTTP 的最佳實務

當您搭配 RPC over HTTP 使用 Exchange 時,我們建議下列動作:

  • 透過 Secure Sockets Layer (SSL) 使用基本驗證。
    建議您針對所有用戶端至伺服器通訊,於 RPC Proxy 伺服器啟用並要求使用 SSL。HTTP 工作階段應永遠建立在安全通訊端層 (SSL) (連接埠 443) 上。如需有關使用 SSL 對 RPC over HTTP 進行驗證的詳細資訊,請參閱<RPC over HTTP 驗證和安全性>。

    note附註:
    雖然 RPC over HTTP 不需要 SSL,若您不想使用 SSL,必須修改登錄以啟用 RPC over HTTP。建議您針對 RPC over HTTP 通訊啟用並要求使用 SSL。如需詳細資訊,請參閱 Microsoft 知識庫文件 833003<Description of the RPC over HTTP feature and the AllowAnonymous registry entry in Windows Server 2003>(Windows Server 2003 中的 RPC over HTTP 功能及 AllowAnonymous 登錄項目的說明) 以及<如何設定 RPC Proxy 伺服器以便在不同的伺服器進行 SSL 卸載>。
  • 在周邊網路上使用進階防火牆伺服器。
    建議您使用專用的防火牆伺服器,以協助增強 Exchange 電腦的安全性。Microsoft Internet Security and Acceleration (ISA) Server 2000 是專用防火牆伺服器產品的範例。如需其他資訊,請參閱<在企業環境中定位 RPC Proxy 伺服器和防火牆>。

  • 從第三方憑證授權單位 (CA) 取得憑證。
    若要針對 RPC Proxy 伺服器及 Outlook 用戶端之間的所有通訊啟用並要求使用 SSL,您必須在預設的 Web 網站層級取得並發佈憑證。建議您向第三方憑證授權單位購買憑證,而且該授權單位的憑證必須受到各種不同的 Web 瀏覽器所信任。

    important重要事項:
    或者,您可以使用 Windows 中的「憑證授權單位」工具,來安裝您自己的憑證授權單位。依照預設值,Web 瀏覽器不信任您在這個案例中的根憑證授權單位。當使用者嘗試利用 RPC over HTTP 在 Outlook 2003 進行連線時,將會失去與 Exchange 的連線。使用者並不會收到通知。當下列其中一項情況為真時,使用者就會失去連線:
    • 用戶端不信任憑證。
    • 憑證不符合用戶端嘗試連線的名稱。
    • 憑證日期不正確。
      因此,您必須確定用戶端電腦信任憑證授權單位。如需有關如何信任根憑證授權單位的詳細資訊,請參閱 Microsoft 知識庫文件 297681<Error message:This security certificate was issued by a company that you have not chosen to trust>(錯誤訊息:這個安全性憑證是由您尚未選擇要信任的公司所發行)。
      如需其他資訊,請參閱<用來建立根憑證授權單位之信任的原則>。
      此外,若您使用自己的憑證授權單位,當您發行憑證至 RPC Proxy 伺服器時,必須確認該憑證上的「一般名稱」欄位或「已發行至」欄位所包含的名稱,必須和網際網路上可取得的 RPC Proxy 伺服器 URL 名稱相同。例如,「一般名稱」欄位或「已發行至」欄位所包含的名稱必須類似於 mail.contoso.com。「一般名稱」欄位或「已發行至」欄位不得包含電腦的內部完整合格的網域名稱。例如,這些欄位不能包含類似 mycomputer.contoso.com 的名稱。

如需詳細資訊

如需詳細資訊,請參閱<Exchange Server 2003 RPC over HTTP Guide>(Exchange Server 2003 RPC over HTTP 手冊) 中的下列主題:

如需有關「透過網際網路連線 Exchange」功能設定選項的詳細資訊,請參閱 Microsoft 知識庫文件 831050<Description of the configuration options for the Exchange over the Internet feature in Outlook 2003>(Outlook 2003 中透過網際網路連線 Exchange 功能之設定選項說明)。