Configurando RPC sobre HTTP o HTTPS en Exchange 2003 – Conexión de Outlook desde el exterior

Prozedura hau oso erabilgarria eta segurua da, sirve para que gure bezeroak Outlook 2003 se puedan conectar a gure zerbitzari MS Exchange 2003 vía web, usando el puerto 80 o el 443 (en modu seguru) Using Outlook desde Internet, desde su etxe/hotel/bulego… eta horrela ez tener que usar OWA. Para ello necesitaremos instalar una CA, un componente, modificaciones de registro y nothing más.

Empezamos, lo primero de todo es instalar el servidor de Certificados o ‘Certification Authority’. Para ello, vamos a Inicio > Control panelea > Gehitu edo Kendutako Programak > Agregar o Quitar componentes de Windows. Seleccionamos ‘Servicios de Certificadosy nos saltará esta pantalla. Nos indica que no podremos cambiar el nombre del PC o del dominio para que siga funcionando correctamente esta CA.

Decimos que ‘Sí’.

Escogemos la primera opción y siguiente.

Aquí deberemos de poner el nombre del servidor Futuro de Autoridad de Certificados (CA).

Hurrengoa.

Bai

Esperamos un minuto o así, hará falta el CD de MS Windows 2003.

Una vez finalizada la instalación del CA, entramos en las propietates del 'Default Web Site'. Para ello abrimos la consola de IIS y botón derecho encima del 'Sitio Web', nos ponemos en la pestaña 'Seguridad de Directorio’ y pinchamos en 'Certificado de Servidor’

Crear un certificado nuevo y siguiente.

Primera opción y Siguiente.

Ponemos un izen deskriptivo eta Siguiente.

Dos campos a rellenar y Siguiente.

Here deberemos de ponere el nombre al que accederemos para que se carge perfectamente el ziurtagiria; yo pongo www.bujarra.com por que es la forma a la que access a RPC a internet (HTTP o HTPPS), horregatik ziurtagiria perfektuki kargatzen da hori 'dominio'. Si también queremos que desde la LAN se acceda al RPC usando este certificado daremos de alta este nombre de host en el servidor DNS y que apunte a la IP donde está el servidor IIS, en mi caso creo el ‘host‘wwwy que apunte al PC ‘bujarra01’ (el servidor de MS Exchange/IIS).

Rellenamos la localización

Guardamos el fichero en esa ruta. Hurrengoa.

Hurrengoa,

Amaitu,

Abrimos un Internet Explorer y accedemos a http://nombreservidorCA/certsrv y pinchamos en ‘Request a certificate’.

Pinchamos en ‘advanced certificate request

Pinchamos en ‘Submit a certificate request by using a base-64-encoded CMC or PKCS #10 fitxategia, or submit a renewal request by using a base-64-encoded PKCS #7 file.’

Ahora deberemos de abrir el fichero donde hemos guardado la solicitud del certificado, lehenetsitako: c:certreq.txt. Copiamos todo el texto y lo cerramos.

Pegamos el texto en la web. Y después seleccionamos la plantilla del certificado, tiene que ser 'Servidor Web’ y pinchamos en 'Submit'.

Seleccionamos ‘Base 64 encoded y 'Download certificate'. Guardamos el certificado en C:certnew.cer

Volvemos a las propietates del sitio web y pinchamos en 'Certificado de Servidor’

Hurrengoa

Procesamos el certificado pendiente de instalar y next.

Escogemos este último y next.

Seleccionamos el puerto seguro (lehenetsitako 443), siguiente.

Hurrengoa,

Amaitu…

Pulsamos esta vez en el botón 'Editar'.

Marcamos el check de 'Requerir canal seguro’ y el de 'Requerir encriptación de 128-bits’ y OK,

Orain instalamos el componente “RPC sobre el proxy HTTPS”, horretarako: “Hasi > Control panelea > Gehitu edo Kendutako Programak > Agregar o Quitar componentes de Windows. Y lo seleccionamos dentro de “Sare Zerbitzuak”, Onartzen dugu.

Volvemos a la consola del IIS, y vamos a “Sitios web” > “Sitio web predeterminado” > Propiedades en “Rpc” > Pestaña “Seguridad de directorios” > Pulsamos sobre el botón Modificar de “Authenticación y control de acceso”, eta habilitamos los checks de “Habilitar el acceso anónimo” y el de “Autenticación básica”, Onartzen dugu.

Ahora en la misma pestaña de “Seguridad de directorios”, pulsamos sobre el botón Modificar de “Comunicaciones seguras” eta habilitamos los checks de “Requir canal seguro (SSL)” eta “Zifratzea eskatzea 128 bits”, Onartzen dugu eta itxi.

Ez badugu Exchange SP1 edo SP2: Erregistroa eskuz editatu beharko litzateke,

Vale, orain erregistro pixka bat: sarrera hau ez badugu, sortu:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeISParametersSystem
Balioaren izena: Rpc/HTTP Port
Balio mota: REG_DWORD
Balio datua: 0x1771 (Hamarrekoan 6001)

Orain hau dago:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParameters
Balioaren izena: HTTP Port
Balio mota: REG_DWORD
Balio datua: 0x1772 (Hamarrekoan 6002)

Hau ere izango duzue ziurrenik… bestela, sortu, eh!

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeSAParameters
Balioaren izena: Rpc/HTTP NSPI Port
Balio mota: REG_DWORD
Balio datua: 0x1774 (Hamarrekoan 6004)

Honek bere trikimailua du, HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcRpcProxy, egonkor bat MODIFIKATU beharko litzateke izena duenarekin “VALIDPORTS”, edukia kendu eta hau jarri:

ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004

Nire adibidean, sería: bujarra01:6001-6002;bujarra01.bujarra.com:6001-6002;bujarra016004;bujarra01.bujarra.com:6004

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSParameters multipe kate bat sortu beharko litzateke izen honekin: “NSPI interfazaren protokolo sekuentziak” eta edukia hau, irudiaren adibidean bezala: ncacn_http:6004 y Aceptar.

SP1 edo SP2 Exchange-n baditugu 2003 instalatuta: Bakarrik, Exchange kontsolara joan eta bere funtzioa gaitzea nahikoa litzateke,

Abrimos la consola “System Center”, Exchange zerbitzariaren ezaugarrietara goaz, eta ikusi ahal izango dugu fitxa bat dagoela deiturikoa “RPC-HTTP”, markatu check-a deitzen dena “” eta Exchange zerbitzaria berrabiarazi beharko litzateke aldaketek eragina izateko.

Bezeroaren aldeko konfigurazioa –> Outlook 2003,

Vale, PC hauetan egin beharko zenuke hori Outlook-era modu honetan sartzea nahi dutenetan, gogoratu su-leihoan ataka irekita izan behar duzula 443 eta Exchange/IIS zerbitzari honetara mapatu.

Beraz, Outlook Profila sortzen dugu probatzeko (edo modu definitiboan konfiguratzeko), badakizu, Control panelea > Posta > Profila berria gehitu. Seleccionamos la primera opción, “Helbide elektroniko kontu berri bat gehitu” y Siguiente.

La primera opción “Microsoft Exchange Zerbitzaria” y Siguiente

Ponemos el nombre público del servidor Exchange/IIS, como se supone que ahora estamos en ‘Internetaccederemos a su nombre DNS o a su IP pública, se entiende que eso, que el servidor IIS/Exchange tiene una conexion a internet con una IP pública o nombre público (DNS) y con el puerto 443 mapeado a la IP privada de este server. Onena, esandakoa, ponemos servidor y usuario, y pulsamos sobre “Más configuraciones..”, si por lo que sea no nos abre a la primera, le damos a “Reintentar la conexion”, puede ser un fallo de comunicaciones. Y muy importante desmarcamos el check deUsar modo de intercambio en caché”.

En la pestaña de Conexión marcamos el check deConectar con el buzón de Exchange utilizando HTTP”, y pulsamos sobre “Configuración de proxy de Exchange…”, en la pantaila nueva escribimos de nuevo el nombre DNS o la IP pública del servidor (en mi kasu de nuevo www.bujarra.com), markatu check-a deitzen dena “Conectar utilizando sólo SSL) y ambos checks para que se conecte con HTTP y ondoren TCP/IP y Aceptamos.

Yo en la pestaña de Seguridad suelo marcar que siempre me pida contraseña para abrir el Outlook, más que ezer pq noiz abro Outlook ez nago autenticado en el dominian y ni pedirá contraseña y además x gaiak de seguridad, opcional. Con esto ya estaría la parte client finalizada, Ahora solo queda pruebas hacer y que todo vaya bien.

Testear que funciona bien,

Para comprobar que todo va bien y que el Outlook (bezero) se conecta on al Exchange (servidor) vía HTTPS podemos ejecutar un komando y comprobar como se comporta.

Hasi > Ejecutar: “outlook /rcpdiag” y Aceptar.

Eta Outlook irekiko dugun bitartean gure Outlook-ek irekiko dituen konexioak ikusiko ditugu, eta beti TCP/IP jarriko duen bitartean perfektua izango da. Eso sí, bezeroaren eta zerbitzariaren arteko abiadura txarra bada, sakatu Konexioa berriro saiatu eskatzen dizunean eta dena ondo joango da.


Izenburuko mezuak

Egilea

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!