Inicio > Exchange > Habilitar RPC sobre HTTPs en un servidor Exchange 2003

Habilitar RPC sobre HTTPs en un servidor Exchange 2003


Un amigo me pregunto como habilitar RPC sobre HTTPs en un unico servidor, y de paso, pregunto tambien si era un requisito habilitar SSL (Secure Sockets Layer) para trabajar con este protocolo. Asi que estoy escribiendo esto para aclarar alguns cosas, terminos y un par de diferencias con Exchange 2007.

¿Que es RPC sobre HTTP?

RPC sobre HTTP (o mejor dicho RPC sobre HTTPs) es un protocolo de transferencia de informacion RPC que va encapsulado sobre otro protocolo (HTTP) y a la vez comprimido y encriptado. La ventaja de este protocolo, llamado informalmente Outlook Anywhere en Exchange 2007, es que permite que los clientes Outlook 2003 SP1 o superiores puedan trabajar de la misma forma desde dentro y fuera de la oficina (red local) sin depender de VPNs para poder acceder al servidor Exchange y a los controladores de dominio, un requerimiento obligatorio para conectarse de manera directa a los servicios de correo. Como un requerimiento previo es tener instalado un certificado digital, mi recomendacion es comprar uno a una entidad certificadora de confianza como Verisign, pero si no cuentan con el dinero suficiente una alternativa es crear tu propio certificado digital siguiendo esta guia (requiere tener creada una ROOT CA):

How to implement SSL in IIS (Contenido en Ingles, cuando tenga menos sueño hago una guia en español)

Nota: En el caso de Exchange 2007 un certificado digital con las caracteristicas requeridas (multiples CNs) podria costar hasta 10 veces mas caro que un certificado normal. En estos casos, lo mejor es generar uno internamente siguiendo la guia anterior. 

Habilitando RPC sobre HTTPs en un entorno Front End – Back End de Exchange 2003

Una vez instalado nuestro certificado digital, debemos proceder a habilitar el servicio. Si tenemos un Servidor de Front End, el proceso es bastante simple, limpio y rápido. En el caso de no contar con uno, debemos hacer modificaciones al registro, asi que empecemos con la opcion mas simple.

Paso 1. Instalar el servicio RPC over HTTP Proxy (solo Front-End)

1. Ve a Add/Remove Programs (Agregar/Quitar Programas)
2. Ve a Networking Services
3. Marca RPC over HTTP proxy (ver imagen 1)
4. Acepta todo

2  Imagen 1 (clic para agrandar)

 

Paso 2. Habilitar el proxy RPC sobre HTTPs en el Front End (Requiere el reinicio de IIS)

1. Ve al administrador de Exchange (System Manager), ubicado en StartAll ProgramsMicrosoft Exchange – System Manager
2. Da clic derecho sobre el servidor Exchange Front End y elige Properties
3. Ve al tab RPC-HTTP
4. Marca la casilla RPC-HTTP front-end server (Ver imagen 2)
5. Acepta todo (Puede aparecer una advertencia, aceptala tambien)
6. Reinicia el servicio IIS (Desde una consola ejecuta IISReset)

1 Imagen 2 (Clic para agrandar)

 

Paso 3. Habilitar el Back End server como objetivo para el proxy RPC sobre HTTPs (podria requierir el reinicio de servidor)

1. Ve al administrador de Exchange (System Manager), ubicado en StartAll ProgramsMicrosoft Exchange – System Manager
2. Da clic derecho sobre el servidor Exchange Back End y elige Properties
3. Ve al tab RPC-HTTP
4. Marca la casilla RPC-HTTP back-end server (Ver imagen 3)
5. Acepta todo (Puede aparecer una advertencia, aceptala tambien)
6. Reinicia el servidor

rpcBE Imagen 3. (Clic para agrandar)

 

Habilitando RPC sobre HTTPs en un unico servidor Exchange 2003

En este caso el proceso es relativamente el mismo, pero debemos realizar algunos cambios al registro para poder trabajar con este protocolo.

 

Paso 1. Instalar el servicio RPC over HTTP Proxy

Nota: Solo en este caso debemos instalar el servicio de Proxy RPC-HTTP en el back-end server

1. Ve a Add/Remove Programs (Agregar/Quitar Programas)
2. Ve a Networking Services
3. Marca RPC over HTTP proxy (ver imagen 3)
4. Acepta todo

2  Imagen 3 (Clic para agrandar)

 

Paso 2. Habilitar el Back End server como objetivo para el proxy RPC sobre HTTPs (podria requierir el reinicio de servidor)
1. Ve al administrador de Exchange (System Manager), ubicado en StartAll ProgramsMicrosoft Exchange – System Manager
2. Da clic derecho sobre el servidor Exchange Back End y elige Properties
3. Ve al tab RPC-HTTP
4. Marca la casilla RPC-HTTP back-end server (Ver imagen 4)
5. Acepta todo (Puede aparecer una advertencia, aceptala tambien)
6. Reinicia el servidor 

rpcBE Imagen 4. (Clic para agrandar)

error Si aparece esta advertencia, dar clic en OK

 

Paso 3. Modificar el registro de Windows (Servidor Back End)

1. Ejecuta el editor del Registro, esto lo puedes hacer llendo a StartRun y escribe Regedit para luego presionar Enter
2. Navega por el registro hasta encontrar la clave: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\RPC\RPCPROXY
3. En el registro llamado ValidPorts dale doble clic para poder editarlo
4. Reemplaza lo que esta escrito por lo siguiente:
server:6001-6002;server.dominio.com:6000-6001;server:6004;server.dominio.com:6004

Nota: donde dice Server debes reemplazarlo por el nombre de tu servidor Back End, y donde dice server.domain.com por el FQDN del servidor (ej. Exchange.contoso.com).

4

 

5. Reinicia el servidor para que los cambios surtan efecto
6. Entra a un catalogo global de Active Directory (Estos pasos deban repetirse en todos los catalogos en contacto con Exchange)
7. Ejecuta el registro de windows (segun punto 1.) y busca la clave: HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\NTDS\PARAMETERS
8. Crea un nuevo registro de tipo: REG_MULTI_SZ (clic derecho – New – REG_MULTI_SZ) con el nombre:
NSPI interface protocol sequences (Mantener las mayusculas y minusculas)
9. Da doble clic sobre el registro recien creado para editarlo
10. Escribe: NCACN_HTTP:6004
11. Acepta el cambio y cierra el registro
12. Reinicia los servidores para que los cambios surtan efecto.

6

Con eso el servicio deberia estar funcionando sin problemas y podran utilizar este excelente servicio con sus clientes Outlook 🙂

 

Confirmar que el directorio virtual de IIS tenga los permisos necesarios

En ciertos casos el directorio virtual que utiliza el servicio RPC sobre HTTPs no cuenta con los permisos necesarios para validar a los clientes. Si tenemos algun problema de autenticacion, lo primero es revisar que los siguientes permisos esten dados correctamente:

1. Ve al administrador de IIS (IIS Manager ubicado en Administrative Tools)
2. Expande Default First Site
3. Da clic derecho sobre el directorio virtual RPC y elige Properties
4. Ve al tab Directory Security y da clic sobre el boton Edit en la zona Authentication and Access Control

7

5. Verifica que Enable Anonymous Access este desmarcado
6. Verifica que Integrated Windows authentication este marcado
7. Verifica que Basic Authentication este marcado (password is sent in clear text) este marcado
8. Acepta esa ventana (no cierres las demas)

  asegurar

9. Siempre en Directory Security ve a Edit en la zona Secure communications
10. Verifica que Requiere Secure Channel este marcado
11. Verifica que Require 128-bit encryption este marcado (opcional – no valido para Francia que por legislacion usa 40 bits) 

SSL

12. Acepta todo y cierra el Administrador de Internet Information Services

 

Con eso terminamos por hoy, ya que tengo sueño 🙂 espero que les guste.

Anuncios
Categorías:Exchange
  1. Gonzalo
    agosto 19, 2007 en 7:51 am

    Excelente Artículo. Me gustó mucho la introducción 😉
    Pregunta: qué sucede si habilito RPC sobre HTTPs en un sólo servidor Exchange 2003, y LUEGO instalo un Front End en la red.. debo "deshacer" los cambios en el registro?
    Gracias!

  2. Cristián
    agosto 20, 2007 en 2:55 pm

    Funciona..!  Y de maravillas.
     
    Thanks..! 

  3. Christian
    septiembre 25, 2007 en 12:43 pm

    Efectivamente Gonzalo, tienes que deshacer los cambios.
    Tambien en el caso de que al backend hayas habilitado el acceso SSL al OMA y RPC habilitando un nuevo virtual directory y redirigiendo el servicio DAV hacia ese directorio. En este caso tienes que poner neutral el registro sino tu servicio fallara en el front-end. 

  4. Oscar
    diciembre 9, 2007 en 12:31 am

    Christian:
     
    Está muy buena tu guía, te sugiero la subas al sitio del GLUE.
     
    Saludos
    Oscar Soto
    MVP Directory Services

  5. absolutforyou
    enero 28, 2008 en 8:34 am

    Excelente Artículo

  6. Cesar
    mayo 20, 2008 en 4:03 pm

    Hola!Muy buen articulo pero a mi no me conecta, sera que tengo que hacer algún cambio en el firewall para que pueda entrar el servicio?Saludos

  7. Cesar
    mayo 20, 2008 en 6:03 pm

    Listo, el .cer lo asigne a una direccionw eb, cree el subdominio, habilite el virtual ip en el firewall y funciono!!gracias por el articulo, muy entendiblesaludos

  8. Unknown
    agosto 19, 2008 en 2:40 pm

    (wow gold) and (wow power leveling) trading site, (wow gold) are cheap, (wow power leveling) credibility Very good! Quickly into the next single! Key words directly to the website click on transactions!

  9. Unknown
    septiembre 16, 2008 en 10:02 pm

    Warcraft game like this to (World of Warcraft gold) and (wow gold)! Price concessions, credibility is also good!

  10. julio
    agosto 18, 2009 en 11:30 pm

    Se puede implementar el RPC en una sola maquina con Exchange 2003 ??? o siempre necesito una segunda que haga de Frond end

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: