Hola, en esta oportunidad les comentaré cómo podemos implementar el RPC sobre HTTPS.
Primero me gustaría explicarles que es RPC sobre HTTPS sobre Exchange Server 2003.
RPC sobre HTTPS, permite encapsultar el tráfico RPC sobre paquetes HTTPS, de tal forma que podemos conectarnos a nuestro buzón desde el Cliente Outlook desde Internet y de forma encriptada. Ya no requerimos VPNs ni otros túneles para conectarnos con el servidor de correos.
Ventajas de usar el RPC sobre HTTPS: http://technet.microsoft.com/en-us/library/aa997284(EXCHG.65).aspx
Requisitos
- Contar con la infraestructura: 01 Global Catalog, 01 Exchange 2003 Server Front-End SP2, 01 Exchange Server 2003 Back-End SP2. Cada rol en servidores diferentes.
- Una entidad emisora de certificados o CA.
- En la PC cliente debe tener instalado Windows XP con SP2 o superior y Outlook 2003/2007.
- Más información: http://technet.microsoft.com/en-us/library/aa998943(EXCHG.65).aspx
Pasos para habilitar el RPC sobre HTTPS sobre en una topología Back-End / Front-End:
- Configurar el servidor Front-End como Proxy Server desde Agregar y Quitar programas. http://technet.microsoft.com/en-us/library/aa998125(EXCHG.65).aspx
- Debemos tener un servidor Exchange Front-End.
- Configurar el servidor Back-End como blanco de consultar RPC. Ir al Exchange System Management y seleccionar las Propiedades de RPC y seleccionar RPC-HTTP back-end Server. Nos aparecerá un mensajes de advertencia, debemos agregar un RPC Front-End. Eso lo veremos a continuación.
- En las propiedades del servidor Front-End habilitar: RPC-HTTP front-end.
- Abrir el IIS Admin (Administrative Tools) Seleccionar Propiedades del Default Web Site (Site que contiene el directorio virtual de Exchange Server) e ir a la Pestaña Directory Security.
- Ir a la Opción Secure Communications, Server Certificate. En este proceso pediremos un certificado a una entidad emisora de certificados o CA. Debemos asegurarnos que el nombre de certificado sea idéntico a la URL por donde accedemos al servidor de correos. Ejemplo: Si para acceder al OWA desde Internet escribes: https://mail.exchangepro.com/exchange el nombre del certificado debe ser mail.exchangepro.com. Consideren este paso como importante el CN debe ser idéntido a la dirección pública.
- Aprobar el certificado pedido. Para aceptar el certificado podemos ingresar vía Internet Explorer a la siguiente URL. http://EntidadCertificadora/certsrv EntidadCertificadora debe ser el CA presente en su organización. Es posible comprar un certificado de Verisign, etc. Esto permite que el certificado sea firmado y válido en Internet. Debemos
- Nuevamente ir al IIS Admin e ir a las Propieades del Default Web Site, a la pestaña de Directory Security. Ahora instalaremos el certificado emitido por el CA, el certificado debe ser un archivo con extensión .DER
- En métodos de Autenticación debemos asegurarnos que la autenticación sea Básica. Mejor dicho debemos seleccionar las Propiedades del directorio Virtual RPC y en Directory Security seleccionar Editar Authentication and access control.
- Luego de todos estos cambios debemos reiniciar el IIS. Click derecho en el servidor y seleccionamos Tareas, Reiniciar IIS.
Configurar el Cliente Outlook 2003/2007
- Creamos un nuevo perfil. Escribimos el nombre de servidor que almacena el buzón. El servidor Back-End y ponemos nuestro usuarios. Debemos ir a Más Configuraciones.
- En la pestaña Conexión, marcamos el check de Conectar con el buzón de Exchange utilizando HTTP.
- Vamos a la ventana de Configuración de proxy Exchange. En utulizar esta dirección para conectar al servidor exchange, debemos escribir el nombre DNS público del correo. Ejemplo mail.exchangepro.com
- En nombre principal del servidor proxy escribimos el nombre del servidor público péro añadiendo el prefijo msstd. msstd:mail.exchangepro.com
- Podemos seleccionar la prioridad para conectarnos vía HTTPS o vía RPC (TCP/IP local). Les recomiendo que en redes lenta se conecte vía HTTPS y en redes rápidas vía TCP/IP.
- Finalmente cerramos el Outlook y volvemos a abrirlo, ingresamos la contraseña y verificamos que la conexión sea HTTPS. Para asegurarnos que sea HTTPS apretamos Control+ Click Derecho sobre el ícono de Outlook en la Barra de Herramientas. Seleccionamos Estado de Conexión.
Información:
- Escenarios de despliegue de RPC sobre HTTPS: http://technet.microsoft.com/en-us/library/bb124876(EXCHG.65).aspx
- Despliegue del RPC sobre HTTPS en una topología Back-End/Front-End http://technet.microsoft.com/en-us/library/aa995869(EXCHG.65).aspx
- Configurar el Outlook para que acepte conexiones RPC sobre HTTPS: http://office.microsoft.com/en-us/ork2003/HA011402731033.aspx
- KB: Cómo configurar RPC sobre HTTPS en un sólo servidor. http://support.microsoft.com/kb/833401
Si tienen alguna duda o comentario pueden escribirme.
7 comentarios:
hola Jorge, yo tengo un SBS 2003 y quiero montar RPC sobre HTTP, como hago???
Hola, disculpa por la demora en la respuesta.
Es posible configurar RPC sobre tu SBS 2003 ya sea Premium o Standard.
TE recomiendo revisar los siguientes enlaces:
http://technet.microsoft.com/en-us/library/bb123622(EXCHG.65).aspx y
http://www.smallbizserver.net/Articles/tabid/266/articleType/ArticleView/articleId/57/Configuring-SBS-2003-for-RPC-over-HTTP.aspx
Saludos.
Hola, desea pasar mi servidor excahnge 2003 a un nuevo servidor y eliminar el antiguo, cuales son los pasos o que debo tener en cuenta, es mi único servidor y debe configurarsele RPC sobre HTTPS, si algo mi correo es jcmarin258@gmail.com
Hola muy buen tuto, tambien quisiera que crearas un topico teniendo el mismo escenario que menciono Anonimo.
Un solo servidor Windows server 2003 con Active directory, y sobre el mismo servidor instaldo exchange server 2003 SP2. Queriendo mirar a otro hardware mas nuevo los mismos sistemas operativos mencionados arriba.
Cuales serian los pasos para migrar todo el active directory instalando de dos formas: 1) instalado active directory como master y 2) instalando como secundario y volverlo a master primario.
Lo mismo con el exchange server, migrar todo la BD ntbackup o como? para que queda como master y unico en la red el exchange con https.
Gracias por tus aportes y materiales. Espero una pronta ayuda.
Hola, a pesar de que no posteo nada nuevo veo que aún hay muchas dudas y espero siempre tener tiempo para poder apoyarlos. Si deseas migrar a otro servidor debes realizar lo siguiente, promover un DC en el nuevo servidor, replicar el Active Directory, instalar el DNS, replicar las zonas DNS (si usas WINS también), finalmente mover los roles FSMO usando ntdsutil (revisa: http://exchangepro.blogspot.com/2007/12/transferencia-y-apoderamiento-de-roles.html). Para el caso del Exchange tiene que realizar una nueva instalación y luego mover los buzones, mover el RUS al nuevo servidor, cambiar el OAB para que lo genere el nuevo servidor, replicacar las carpetas públicas, configurar el nuevo servidor como Master. Esta info está detallada aquí: http://support.microsoft.com/kb/822931.
Si tienen dudas me escriben.
Saludos
Hola Jorge,
Antes que nada felicidades por el sitio: está super bien.
Escribo una consulta sobre Exchange y Outlook Anywhere, por si alguien conoce la respuesta.
Tenemos un servidor de dominio en una red local (W2008 R2). Hemos instalado Exchange 2010 y funciona ok.
Querríamos habilitar Outlook anywhere, y nos encontramos con el problema del certificado.
Concretamente, el error que obtenemos es que el nombre del certificado es el nombre local de la máquina (en nuestro caso ardiserver3.arditec.local). Sin embargo, para conectarnos desde fuera, utilizamos el nombre real que hemos asignado a la IP (exchange.arditec.es), y recibimos el error conforme el nombre de certificado no coincide.
Sabes cómo podemos generar un certificado en nuestro servidor que diga que la máquina es ‘exchange.arditec.es’, sin cambiar de nombre el servidor?
Es un controlador de dominio, y no es muy factible cambiar el nombre, generar el certificado, y revertirlo al estado anterior. Me parecería muy chapucero.
Sabes si existe alguna forma alternativa de hacerlo?
Gracias anticipadas,
Diego
Hola Jorge.
Si todavia funciona tu blog.Estoy teniendo problemas con el exchange anywhere.
Migre correctamente mis dc de 2003 a 2008 R2. funciona completamente todo. pero al dar de baja los viejos dc y escalar el dominio a 2008 el anywhere dejo de funcionar en equipos fuera del dominio y fuera de la red. Si conecto el equipo que está fuera del dominio a la red y configuro el exchange en el outlook anda perfectamente.
Publicar un comentario