Image One

Quản Lý Client Access trên Exchange Server 2007 – Phần III: Outlook Anywhere (RPC Over HTTP)

Image OneKhi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:

- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP

 

Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:

- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP
 
Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)?
Trong bài viết “How RPC Works” chúng tôi đã có giới thiệu về cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish các port cần thiết trong đó có  RPC Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi người bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả năng bị tấn công sẽ rất cao. Vì vậy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server bằng MAPI (RPC)
 
Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client:
Trong bài viết “How RPC Works” chúng ta đã thấy rõ cơ chế RPC sử dụng các port:

 Service Name
UDP
TCP
HTTP
80, 443, 593
80, 443, 593
Named Pipes
445
445
RPC Endpoint Mapper
135
135
RPC Server Programs
<Dynamically assigned>
<Dynamically assigned>
 
Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoặc Proxy server tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), thì Internet Client sẽ không thể kết nối đến Exchange Server bằng MAPI (RPC).
 
Các hạn chế của POP3 và IMAP4:
Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public Folder, không sử dụng được Meeting request…
Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook  (MAPI) để sử dụng được tất cả tính năng mà Exchange cung cấp.
 
Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bằng MAPI (RPC) mà vẫn đảm bảo được sự thuận tiện và an toàn cho hệ thống. Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS.
 
RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng gói gói tin RPC vào bên trong gói tin HTTP

RPC request inside HTTP tunnel

Gói tin RPC over HTTP sẽ được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta có thể sử dụng Secure Socket Layer (SSL) để bảo mật cho kết nối RPC over HTTP.

Thông thường trong hệ thống Exchange server 2003 RPC Proxy được cài đặt trên Exchange Font-end server (nếu có), còn trong hệ thống Exchange Server 2007 RPC Proxy được cài đặt trên Client Access Server

Dưới đây là các bước kết nối từ MS Outlook client đến RPC Proxy và Exchange server bằng cơ chế RPC over HTTP

 
example of the RPC over HTTP process
 
1. Client khởi tạo kết nối RPC over HTTP đến RPC Proxy server để yêu cầu được kết nối
2. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào DSProxy (port 6002) trên Exchange server
3. Sau khi nhận được trả lời (HTTP respond) từ Exchange server, Client gởi gói tin HTTP request đến RPC Proxy server để yêu cầu chứng thực
4. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP request và chuyển vào Proxy Service (port 6004) trên Exchange server
5. Exchange server chuyển yêu cầu chứng thực đến Global Catalog Server, Global Catalog Server cung cấp cho Exchange server tất cả các thông tin thích hợp
6. Exchange server gởi các thông tin nhận được từ Global Catalog Server cho Client
7. Client gởi HTTP sessions tới RPC Proxy server để kết nối vào hệ thống Exchange
8. RPC Proxy lấy gói tin RPC request từ trong gói tin HTTP sessions và chuyển vào Microsoft Exchange Information Store service (port 6001) trên Exchange server
Lập lại bước 7 và 8 khi Client kết nối tới các dịch vụ khác trên Exchange server như Public Folder…
 
Nhằm mục đích hiểu rõ cơ chế hoạt động của RPC over HTTP, trong bài viết này chúng tôi sẽ giới thiệu cách cấu hình RPC over HTTPS trên Exchange Server 2007
 
Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)
Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Phần III: Oulook Anywhere (RPC over HTTP)
 
Phần III bao gồm các bước:
1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
2. Cấu hình Outlook Anywhere trên Client Access Server
3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
 
II. Chuẩn bị
Để thực hiện phần III, yêu cầu thực hiện hoàn tất phần I và phần II

III. Thực hiện

1. Cài đặt RPC Over HTTP Proxy trên Client Access Server
Logon MSOPENLABAdministrator, mở Control Panel, mở Add or Remove Programs, chọn Add/Remove Windows Components
Trong cửa sổ Windows Components, vào Details của Networking Services

 
Trong cửa sổ Networking Services, đánh dấu chọn RPC over HTTP Proxy, chọn OK, chọn Next
 
 
Trong cửa sổ Completing the Windows Coponents Wizard, chọn Finish
 
2. Cấu hình Outlook Anywhere trên Client Access Server
Mở Exchange Management Console, bung Server Configuration, vào Client Access, chuột phải DCA chọn Enable Outlook Anywhere
 
 
Trong cửa sổ Enable Outlook Anywhere, nhập DCA.msopenlab.com vào ô External host name, chọn Basic authentication, chọn Enable
 
 
Cửa sổ Completion, chọn Finish
 
Mở Services từ Administrative Tools, Restart Microsoft Exchange Active Directory Topology Services
 
3. Cấu hình Microsoft Outlook và kiểm tra kết nối RPC over HTTPS
Logon MSOPENLABAdministrator, mở Microsoft Outlook. Trong System tray, giữ phím Ctrl và chuột phải biểu tượng Microsoft Outlook chọn Connection Status
 
 
Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị TCP/IP, có nghĩa Microsoft Outlook đang kết đến Exchange server bằng MAPI(RPC)
 
 
Mở mục Mail trong Control Panel, chọn Show Profile
 
 
Remove profile đang có, chọn Add để tạo profile mới
 
 
Trong hộp thoại New Profile, đặt tên profile là Administrator, chọn OK
 
 
Trong cửa sổ Auto Account Setup, chọn Next
 
 
Cửa sổ Congratulations, đánh dấu chọn Manually configure server settings, chọn Next
 
Cửa sổ Microsoft Exhcnge Settings, chọn More Settings
 
Trong hộp thoại Microsoft Exchange, qua tab Connection, đánh dấu chọn Connect to Microsoft Exchange using HTTP, chọn Exchange Proxy Settings
 
Trong hộp thoại Microsoft Exchange Proxy Settings, khai báo các thông tin như trong hình bên dưới, chọn OK
 
 
 
Cửa sổ Microsoft Exchange Settings, chọn Finish
 
Mở Microsoft Outlook, đăng nhập bằng account MSOPENLABAdministrator password P@ssword
 
 
Trong System Tray, chuột phải biểu tượng Microsoft Outlook chọn Connection Status
 
Trong cửa sổ Microsoft Exchange Connection Status, kiểm tra cột Conn đang hiển thị HTTPS, có nghĩa Microsoft Outlook đang kết nối tới Exchange bằng RPC over HTTPS
 
 
Cảm ơn các bạn đã theo dõi bộ bài viết của MSOpenlab.com, mong rằng bộ bài viết này giúp ích được cho công việc của các bạn!

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>