有关部署 RPC over HTTP 通信的建议
上一次修改主题: 2006-04-27
在本主题中,我们将讨论在 Exchange Server 2003 Service Pack 1 (SP1) 中部署 RPC over HTTP 通信时应遵循的最佳实践。
部署 RPC over HTTP 时应遵循的最佳实践
当您将 Exchange 和 RPC over HTTP 配合使用时,我们提供以下建议:
在安全套接字层 (SSL) 上使用基本身份验证。
我们建议您在 RPC 代理服务器上对所有客户端到服务器通信启用并要求使用 SSL。HTTP 会话应该始终建立在安全套接字层 (SSL)(端口 443)上。有关使用 SSL 的 RPC over HTTP 身份验证的信息,请参阅 RPC over HTTP 身份验证和安全。注意: 虽然 RPC over HTTP 不要求 SSL,但是如果您不希望使用 SSL,就必须修改注册表以启用 RPC over HTTP。我们建议您对您的 RPC over HTTP 通信启用并要求 SSL。有关详细信息,请参阅 Microsoft 知识库文章 833003 Description of the RPC over HTTP feature and the AllowAnonymous registry entry in Windows Server 2003(英文)和如何配置 RPC 代理服务器以允许在单独服务器上使用 SSL 减负功能。 在外围网络上使用高级防火墙服务器。
我们建议您使用专用防火墙服务器来帮助增强 Exchange 计算机的安全性。Microsoft Internet Security and Acceleration (ISA) Server 2000 是专用防火墙服务器产品的一个示例。有关其他信息,请参阅在公司环境中放置 RPC 代理服务器和防火墙。从第三方证书颁发机构 (CA) 获取证书。
若要对 RPC 代理服务器和 Outlook 客户端之间的所有通信启用并要求 SSL,必须获取证书,并在默认 Web 站点级别发布证书。我们建议您从多种 Web 浏览器都信任其证书的第三方证书颁发机构购买证书。重要提示: 作为备用方案,您可以在 Windows 中使用证书颁发机构工具来安装自己的证书颁发机构。默认情况下,Web 浏览器不信任此方案中的根证书颁发机构。当用户尝试在 Outlook 2003 中通过使用 RPC over HTTP 进行连接时,该用户会失去与 Exchange 之间的连接。用户不会收到任何通知。如果满足下列条件之一,则用户将失去连接: - 客户端不信任证书。
- 证书与客户端尝试连接到的名称不匹配。
- 证书日期不正确。
因此,您必须确保客户端计算机信任该证书颁发机构。有关如何信任根证书颁发机构的详细信息,请参阅 Microsoft 知识库文章 297681 错误消息:This Security Certificate Was Issued by a Company that You Have Not Chosen to Trust(该安全证书是由一家您不愿信任的公司颁发的)。
有关其他信息,请参阅 Policies to establish trust of root certification authorities(英文)。
此外,如果您使用自己的证书颁发机构,则当您向 RPC 代理服务器颁发证书时,您必须确保该证书上的“公用名”字段或“颁发给”字段中包含的名称与 Internet 上可用的 RPC 代理服务器的 URL 一样。例如,“公用名”字段或“颁发给”字段必须包含类似于 mail.contoso.com 的名称。“公用名”字段或“颁发给”字段不能包含计算机的内部完全限定域名。例如,这些字段不能包含类似于 mycomputer.contoso.com 的名称。
详细信息
有关详细信息,请参阅 Exchange Server 2003 RPC over HTTP 部署方案中的下列主题:
有关 Exchange Over the Internet 功能的配置选项的信息,请参阅 Microsoft 知识库文章 831050 Outlook 2003 中 Exchange Over the Internet 功能的配置选项。