Empfehlungen für das Bereitstellen der RPC über HTTP-Datenkommunikation

Letztes Änderungsdatum des Themas: 2006-04-27

In diesem Thema werden die empfohlenen Vorgehensweisen für das Bereitstellen der RPC über HTTP-Datenkommunikation in Exchange Server 2003 Service Pack 1 (SP1) behandelt.

Empfohlene Vorgehensweise für das Bereitstellen von RPC über HTTP

Folgende Empfehlungen gelten für die Verwendung von Exchange mit RPC über HTTP:

• Verwenden Sie die Standardauthentifizierung über SSL (Secure Sockets Layer).
  Dabei wird empfohlen, die Verwendung von SSL auf dem RPC-Proxyserver für alle Kommunikationen von Client zu Server zu aktivieren und vorzuschreiben. Die HTTP-Sitzung sollte immer über SSL (Secure Sockets Layer) (Anschluss 443) eingerichtet werden. Weitere Informationen zur RPC über HTTP-Authentifizierung mit SSL finden Sie unter Authentifizierung und Sicherheit bei RPC über HTTP.

  Anmerkung:

  Obwohl für RPC über HTTP kein SSL erforderlich ist, müssen Sie in der Registrierung die Aktivierung von RPC über HTTP festlegen, wenn Sie kein SSL verwenden möchten. Es wird empfohlen, SSL für RPC über HTTP-Kommunikationen zu aktivieren und vorzuschreiben. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 833003, "Beschreibung des RPC für HTTP-Feature und den AllowAnonymous-Registrierungseintrag in Windows Server 2003" und Konfigurieren des RPC-Proxyservers für die SSL-Verschiebung auf separate Server.

• Verwenden Sie einen erweiterten Firewallserver im Umkreisnetzwerk.
  Es wird empfohlen, einen entsprechenden Firewallserver zu verwenden, mit dem die Sicherheit des Exchange-Computers noch erhöht werden kann. Microsoft ISA Server 2000 (Internet Security and Acceleration) ist beispielsweise ein geeigneter Firewallserver. Weitere Informationen finden Sie unter Positionieren von RPC-Proxyserver und Firewalls in einer Unternehmensumgebung.

• Fordern Sie ein Zertifikat von der Zertifizierungsstelle eines Drittanbieters an.
  Um SSL für alle Kommunikationen zwischen dem RPC-Proxyserver und den Outlook-Clients zu aktivieren und vorzuschreiben, müssen Sie ein Zertifikat erwerben und auf der Standardwebsite veröffentlichen. Es wird empfohlen, das Zertifikat über eine Drittanbieter-Zertifizierungsstelle zu beziehen, deren Zertifikate von den meisten Webbrowsern als vertrauenswürdig eingestuft werden.

  Wichtig

  Alternativ dazu können Sie in Windows mithilfe des Tools für Zertifizierungsstellen auch eigene Zertifizierungsstellen installieren. Webbrowser vertrauen in diesem Szenario Ihrer Stammzertifizierungsstelle standardmäßig nicht. Wenn ein Benutzer versucht in Outlook 2003 mit RPC über HTTP eine Verbindung herzustellen, wird seine Verbindung zu Exchange unterbrochen. Der Benutzer erhält keine Benachrichtigung. Der Benutzer verliert die Verbindung, wenn eine der folgenden Bedingungen eintritt:

  • Der Client vertraut dem Zertifikat nicht.
  • Das Zertifikat entspricht nicht dem Namen, zu dem der Client versucht, eine Verbindung aufzubauen.
  • Das Zertifikatsdatum ist falsch.
    Deshalb müssen Sie sicherstellen, dass die Clientcomputer der Zertifizierungsstelle vertrauen. Weitere Informationen dazu, wie eine Stammzertifizierungsstelle als vertrauenswürdig eingestuft werden kann, finden Sie im Microsoft Knowledge Base-Artikel 297681 Fehlermeldung: Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie nicht als vertrauenswürdig eingestuft haben.
    Weitere Informationen finden Sie unter Policies to establish trust of root certification authorities.
    Wenn Sie eine eigene Zertifizierungsstelle verwenden, müssen Sie beim Ausstellen eines Zertifikats für Ihren RPC-Proxyserver zusätzlich sicherstellen, dass auf dem Zertifikat das Feld Common Name oder das Feld, in dem angegeben wird für wen das Zertifikat ausgestellt wird, den gleichen Namen wie der URL des im Internet verfügbaren RPC-Proxyservers enthält. Diese beiden Felder müssen beispielsweise einen ähnlichen Namen wie "mail.contoso.com" haben, sie dürfen nicht den intern vollständig qualifizierten Domänennamen des Computers enthalten. Die Felder dürfen beispielsweise keinen Namen wie "MeinComputer.contoso.com" enthalten.

Weitere Informationen

Weitere Informationen finden Sie in den folgenden Themen im Leitfaden zu RPC über HTTP in Exchange Server 2003:

• Systemanforderungen für RPC über HTTP in Exchange Server 2003
• Bereitstellungsszenarien für RPC über HTTP
• Problembehandlung bei der RPC über HTTP-Datenkommunikation

Informationen zu Konfigurationsoptionen des Features "Exchange via Internet" finden Sie im Microsoft Knowledge Base-Artikel 831050 mit Informationen zur Beschreibung der Konfigurationsoptionen für das "Exchange via Internet"-Feature in Outlook 2003.