Support

  
 

Bereitstellung von RPC über HTTPS

 

In einer lokalen Netzwerk-Umgebung (LAN-Umgebung) kommuniziert Microsoft Outlook mit Microsoft Exchange Server mithilfe eines Remoteprozeduraufrufs über TCP/IP. Diese Methode bietet schnellen, effizienten Zugriff für ein Firmennetzwerk. In früheren Versionen von Exchange Server und Outlook erforderte der Zugriff auf einen Exchange Server von Remotebenutzern eine VPN-Verbindung (VPN = Virtual Privat Network) zu dem Firmennetzwerk. Ein VPN bietet einem Remotebenutzer eine Verbindung im Firmennetz einer Organisation und innerhalb deren Firewall. VPN ermöglicht den Zugriff auf mehr Netzwerkdienste, als nur für E-Mail-Zugriff erforderlich. Für Remoteverbindungen bietet Outlook jetzt eine Alternative zu VPN-Verbindungen. Outlook kann die Verbindung zu einem Exchange Server über das Internet mithilfe von RPC über HTTP herstellen. Dieses Feature ermöglicht Ihnen den Remotezugriff auf Ihr Exchange Server-Konto vom Internet aus, wenn Sie außerhalb der Firewall Ihrer Organisation arbeiten, ohne spezielle Verbindungen oder Hardware, wie Smartcards und Sicherheits-Tokens.

Es gibt einige Mindestanforderungen für die Verwendung dieses Features. Zu ihnen zählen folgende Anforderungen:

  • Microsoft Windows XP Service Pack 1 (SP1) mit den Updates aus dem Microsoft Knowledge Base-Artikel 331320 oder ein aktuellerer Service Pack muss installiert sein.

  • Microsoft Exchange Server 2003 muss auf einem Microsoft Windows Server 2003 ausgeführt werden.

  • Ihr Exchange Server-Administrator muss den Server so konfiguriert haben, dass Verbindungen über HTTP zugelassen werden.

Weitere Informationen zur Konfiguration dieses Features finden Sie im Microsoft Office Resource Kit und in der Dokumentation zu Microsoft Exchange Server.

Wenn Sie RPC über HTTP in Ihrer Unternehmensumgebung bereitstellen, stehen Ihnen zwei Bereitstellungsoptionen zur Verfügung, je nachdem, wo Sie Ihren RPC-Proxyserver platzieren:

Option 1 (empfohlen)   Stellen Sie einen erweiterten Firewallserver wie z. B. ISA Server (Internet Security and Acceleration) im Perimeternetzwerk bereit, und positionieren Sie Ihren RPC-Proxyserver innerhalb des Unternehmensnetzwerks.

Hinweis   Wenn Sie ISA Server als erweiterten Firewallserver verwenden, stehen Ihnen mehrere Bereitstellungsoptionen zur Verfügung. Weitere Informationen zum Installieren von ISA Server als erweitertem Firewallserver finden Sie im Handbuch Using Microsoft Exchange 2000 Front-End Servers (http://go.microsoft.com/fwlink/?linkid=14575&clcid=0x409).

Option 2   Positionieren Sie den Exchange 2003-Front-End-Server, der als RPC-Proxyserver fungiert, innerhalb des Perimeternetzwerks. Der Einsatz eines Front-End-Server ist allerdings nur erforderlich, wenn Sie Benutzern einen zentralen Zugang zu den Postfächern anbieten wollen, ohne das Ihre einzelnen Exchange Server 2003 veröffentlicht werden müssen. Wenn Sie nur über einen Exchange Server 2003 verfügen, ist kein Front-End-Server zusätzlich erforderlich. Konfigurieren Sie einfach den RPC-Proxyserver auf diesem einen Exchange Server 2003.

Weitere Informationen zu diesen Optionen finden Sie unter „Planen der Exchange-Infrastruktur“ im Handbuch Planen eines Exchange Server 2003-Messagingsystems.

 

Systemanforderungen für RPC über HTTP

Um RPC über HTTP verwenden zu können, müssen Sie Windows Server 2003 auf folgenden Computern ausführen:

  • Alle Exchange 2003-Server, auf die mit Outlook 2003-Clients unter Verwendung von RPC über HTTP zugegriffen wird

  • Exchange 2003-Front-End-Server, der als RPC-Proxyserver fungiert

  • Der globale Katalogserver, der von Outlook 2003 Clients verwendet wird, und die Exchange 2003 Server, die für die Verwendung von RPC über HTTP konfiguriert wurden

Exchange 2003 muss auf allen Exchange-Servern installiert sein, die von dem Computer verwendet werden, der als RPC-Proxyserver festgelegt wurde. Zusätzlich muss auf allen Clientcomputern, auf denen Outlook 2003 ausgeführt wird, auch Microsoft Windows XP Service Pack 1 (SP1) oder höher ausgeführt werden.

 

Bereitstellen von RPC über HTTP

Dieser Abschnitt enthält ausführliche Informationen zum Bereitstellen von RPC über HTTP in Ihrer Exchange 2003-Organisation. Führen Sie zum Bereitstellen von RPC über HTTP folgende Schritte aus:

1.        Konfigurieren Sie Ihren Exchange-Front-End-Server für die Verwendung von RPC über HTTP.

2.        Konfigurieren Sie das virtuelle RPC-Verzeichnis in Internet Information Services (IIS).

3.        Konfigurieren Sie den RPC-Proxyserver für die Verwendung von angegebenen Anschlüssen.

Hinweis   Mit diesem Schritt öffnen Sie die angegebenen Anschlüsse auf der internen Firewall für RPC über HTTP sowie die Standardanschlüsse, die für die Exchange-Front-End-Kommunikation benötigt werden.

4.        Erstellen Sie ein Outlook-Profil für Ihre Benutzer zur Verwendung von RPC über HTTP.

Die einzelnen Schritte werden in den folgenden Abschnitten ausführlich beschrieben. Nachdem Sie diese Schritte durchgeführt haben, können die Benutzer mit RPC über HTTP auf den Exchange-Front-End-Server zugreifen.

 

Schritt 1: Konfigurieren Ihres Exchange-Front-End-Servers für die Verwendung von RPC über HTTP

Der RPC-Proxyserver verarbeitet die Outlook 2003-RPC-Anforderungen, die über das Internet eingehen. Damit der RPC-Proxyserver die RPC über HTTP-Anforderungen verarbeiten kann, müssen Sie die RPC über HTTP-Proxynetzwerkkomponente von Windows Server 2003 auf Ihrem Exchange-Front-End-Server installieren.

Hinweis   Sie können jeden Webserver als RPC-Proxyserver konfigurieren. Das empfohlene Bereitstellungsszenario für RPC über HTTP ist jedoch die Verwendung des Exchange-Front-End-Servers als RPC-Proxyservers.

So konfigurieren Sie Ihren Exchange-Front-End-Server für die Verwendung von RPC über HTTP

1.        Klicken Sie auf dem Exchange-Front-End-Server, auf dem Windows Server 2003 ausgeführt wird, im linken Fensterbereich des Dialogfelds Software auf Windows-Komponenten hinzufügen/entfernen.

2.        Wählen Sie im Assistenten für Windows-Komponenten auf der Seite Windows-Komponenten die Option Netzwerkdienste, und klicken Sie anschließend auf Details.

3.        Aktivieren Sie unter Netzwerkdienste das Kontrollkästchen RPC über HTTP-Proxy, und klicken Sie dann auf OK.

4.        Klicken Sie auf der Seite Windows-Komponenten auf Weiter, um die Windows-Komponente RPC über HTTP-Proxy zu installieren.

 

Schritt 2: Konfigurieren des virtuellen RPC-Verzeichnisses in IIS

Nachdem Sie Ihren Exchange-Front-End-Server für die Verwendung von RPC über HTTP konfiguriert haben, müssen Sie das virtuelle RPC-Verzeichnis in IIS konfigurieren.

So konfigurieren Sie das virtuelle RPC-Verzeichnis

1.        Starten Sie den Internetinformationsdienste-Manager.

2.        Erweitern Sie im Internetinformationsdienste-Manager in der Konsolenstruktur den gewünschten Server, erweitern Sie Websites, erweitern Sie Standardwebsite, klicken Sie mit der rechten Maustaste auf das virtuelle RPC-Verzeichnis, und klicken Sie dann auf Eigenschaften.

3.        Klicken Sie unter RPC-Eigenschaften auf der Registerkarte Verzeichnissicherheit im Bereich Authentifizierung und Zugriffsteuerung auf Bearbeiten.

Hinweis   RPC über HTTP gestattet keinen anonymen Zugriff.

4.        Aktivieren Sie unter Authentifizierter Zugriff das Kontrollkästchen Standardauthentifizierung (Kennwort wird unverschlüsselt gesendet), und klicken Sie dann auf OK.

5.        Klicken Sie zum Speichern Ihrer Einstellungen auf Übernehmen und dann auf OK.

Ihr virtuelles RPC-Verzeichnis ist nun für die Verwendung der Standardauthentifizierung eingerichtet.

 

Schritt 3: Konfigurieren des RPC-Proxyservers für die Verwendung von angegebenen Anschlüssen

Nachdem Sie die RPC über HTTP-Netzwerkkomponente für IIS aktiviert haben, können Sie den RPC-Proxyserver für die Verwendung der angegebenen Anschlüsse zur Kommunikation mit den Servern im Unternehmensnetzwerk konfigurieren. In diesem Szenario wird der RPC-Proxyserver für die Verwendung angegebener Anschlüsse konfiguriert. Die einzelnen Computer, mit denen der RPC-Proxyserver kommuniziert, werden ebenfalls für die Verwendung von angegebenen Anschlüsse konfiguriert, wenn Sie Anforderungen vom RPC-Proxyserver empfangen. Wenn Sie das Exchange 2003-Setup ausführen, wird Exchange automatisch für die Verwendung der in Tabelle 8.2 aufgeführten Anschlüssen konfiguriert.

 

Tabelle 8.2   Erforderliche Standardanschlüsse für RPC über HTTP

Server

Anschlüsse (Dienste)

Exchange-Back-End-Server

593 (Endpunktzuordnung)

6001 (Speicher)

6002 (DS-Verweis)

6004 (DS-Proxy)

Globaler Katalogserver

593 und 6004

 

Gehen Sie wie folgt vor, um den RPC-Proxyserver für die Verwendung angegebener Anschlüsse zu konfigurieren.

So konfigurieren Sie den RPC-Proxyserver für die Verwendung mit den Standardanschlüssen für RPC über HTTP innerhalb des Unternehmensnetzwerks

Warnung   Die fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten.

1.        Starten Sie auf dem RPC-Proxyserver den Registrierungs-Editor (regedit).

2.        Navigieren Sie in der Konsolenstruktur zu folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy

3.        Klicken Sie im Detailausschnitt mit der rechten Maustaste auf den untergeordneten Schlüssel ValidPorts, und klicken Sie dann auf Ändern.

4.        Geben Sie im Fenster Zeichenfolge bearbeiten unter Wert die folgenden Informationen ein:

ExchangeServer:593;ExchangeServerFQDN:593;ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004; GlobalCatalogServer:593;GlobalCatalogServerFQDN:593;GlobalCatalogServer:6004;GlobalCatalogServerFQDN:6004

  • ExchangeServer und GlobalCatalogServer sind die NetBIOS-Namen Ihres Exchange-Servers und globalen Katalogservers.

  • ExchangeServerFQDN und GlobalCatalogServerFQDN sind die vollständig qualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) Ihres Exchange-Servers und globalen Katalogservers.

Listen Sie dann im Registrierungsschlüssel alle Server im Unternehmensnetzwerk auf, mit denen der RPC-Proxyserver kommunizieren muss.

Wichtig   Um mit dem RPC-Proxyserver zu kommunizieren, müssen für alle Server, auf die vom Outlook-Client zugegriffen wird, Anschlüsse angegeben werden. Wenn ein Server, wie zum Beispiel ein Exchange-Server für Öffentliche Ordner, nicht für die Verwendung der angegebenen Anschlüsse für RPC über HTTP-Kommunikation konfiguriert wurde, kann der Client nicht auf den Server zugreifen.

So konfigurieren Sie die globalen Katalogserver für die Verwendung mit den Standardanschlüssen für RPC über HTTP innerhalb des Perimeternetzwerks

1.        Starten Sie auf dem globalen Katalogserver den Registrierungs-Editor (regedit).

2.        Navigieren Sie zum folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

3.        Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf Mehrwertige Zeichenfolge.

4.        Erstellen Sie im Detailausschnitt eine mehrwertige Zeichenfolge mit dem Namen NSPI-Schnittstellenprotokollsequenzen.

5.        Klicken Sie mit der rechten Maustaste auf die mehrwertige Zeichenfolge NSPI-Schnittstellenprotokollsequenzen und dann auf Ändern.

6.        Geben Sie im Fenster Zeichenfolge bearbeiten unter Wert die Zeichenfolge ncacn_http:6004 ein.

7. Starten Sie den globalen Katalogserver neu.

 

Schritt 4: Erstellen eines Outlook-Profils für die Verwendung von RPC über HTTP

Sie aktivieren RPC über HTTP, indem Sie in den Benutzerprofilen die RPC über HTTP-Kommunikation zulassen. Anstatt RPC über HTTP nacheinander auf den einzelnen Computern zu aktivieren, können Sie den Benutzern auch entsprechende Anweisungen geben. Diese Einstellungen ermöglichen SSL-Kommunikation (Secure Sockets Layer) mit Standardauthentifizierung, die bei der Verwendung von RPC über HTTP erforderlich ist.

Obwohl optional, wird dringend empfohlen, dass Sie die Option Zwischengespeicherten Exchange-Modus verwenden für alle Profile aktivieren, die mit RPC über HTTP eine Verbindung zu Exchange herstellen.

So erstellen Sie ein Outlook-Profil zur Verwendung mit RPC über HTTP

1.        Führen Sie auf dem Computer, auf dem Outlook 2003 installiert ist, folgende Schritte in der Systemsteuerung aus:

  • Klicken Sie bei Verwendung der Kategorieansicht im linken Fensterbereich unter Siehe auch auf Weitere Systemsteuerungsoptionen und dann auf E-Mail.

  • Doppelklicken Sie in der klassischen Ansicht auf E-Mail.

2.        Klicken Sie im Dialogfeld Mail-Setup unter Profile auf Profile anzeigen.

3.        Klicken Sie im Dialogfeld E-Mail auf Hinzufügen.

4.        Geben Sie im Dialogfeld Neues Profil im Feld Profilname den Namen für dieses Profil ein, und klicken Sie auf OK.

5.        Klicken Sie im Assistenten E-Mail-Konten auf Ein neues E-Mail-Konto hinzufügen und dann auf Weiter.

6.        Klicken Sie auf der Seite Servertyp auf Microsoft Exchange Server und dann auf Weiter.

7.        Führen Sie auf der Seite Exchange Server-Einstellungen die folgenden Schritte durch:

a.        Geben Sie im Feld Microsoft Exchange Server den Namen des Exchange-Back-End-Servers ein, auf dem sich das Postfach befindet.

b.        Aktivieren Sie das Kontrollkästchen Zwischengespeicherten Exchange-Modus verwenden (optional, aber empfohlen).

c.        Geben Sie im Feld Benutzername den Benutzernamen ein.

8.        Klicken Sie auf Weitere Einstellungen.

9.        Aktivieren Sie auf der Registerkarte Verbindung im Bereich Exchange über Internet das Kontrollkästchen Mit Exchange-Postfach über HTTP verbinden.

10.     Klicken Sie auf Exchange-Proxyeinstellungen.

11.     Führen Sie auf der Seite Exchange-Proxyeinstellungen unter Verbindungseinstellungen die folgenden Schritte durch:

a.        Geben Sie in das Feld Diesen URL für die Verbindung zum Exchange-Proxyserver verwenden den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des RPC-Proxyservers ein.

b.        Aktivieren Sie das Kontrollkästchen Nur über SSL verbinden.

c.        Aktivieren Sie das Kontrollkästchen Sitzung beim Verbinden über SSL gegenseitig authentifizieren.

d.        Geben Sie im Feld Prinzipalname für Proxyserver den FQDN des RPC-Proxyservers ein. Verwenden Sie folgendes Format: msstd:FQDN des RPC-Proxyservers.

e.        Als optionalen Schritt können Sie Outlook 2003 so konfigurieren, dass die Verbindung zum Exchange-Server standardmäßig mit RPC über HTTP hergestellt wird. Aktivieren Sie das Kontrollkästchen In schnellen Netzwerken die Verbindung mit Exchange zuerst über HTTP herstellen, und stellen Sie dann eine Verbindung über TCP/IP her.

12.     Wählen Sie im Fenster Proxyauthentifizierungseinstellungen auf der Seite Exchange-Proxyeinstellungen in der Liste Bei der Verbindung zum Exchange-Proxyserver diese Authentifizierung verwenden die Option Standardauthentifizierung aus.

13.     Klicken Sie auf OK.

14. Wiederholen Sie diesen Vorgang für jeden Computer. Sie können den Benutzern auch Anweisungen zum Erstellen ihres eigenen Profils geben.

Für die Benutzer ist nun RPC über HTTP konfiguriert.

 

Registrierung

Exchange

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]

"Rpc/HTTP Port"=dword:00001771

"HTTP Port"=dword:00001772

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters]

"Rpc/HTTP NSPI Port"=dword:00001774

GC

Windows Registry Editor Version 5.00

[HKLM\CurrentControlSet\Services\NTDS\Parameters]

"NSPI interface protocol sequences"= reg_multi_sz:"ncacn_http:00001774"

RpcHttpProxy

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy]

"Enabled"=dword:00000001

"ValidPorts"="Back-End:593;Back-End.re.pro:593;Back-End:6001;Back-End.re.pro:6001;Back-End:6002;Back-End.re.pro:6002;Back-End:6004;Back-End.re.pro:6004;GC:593;GC.re.pro:593;GC:6004;GC.re.pro:6004"

 

Ergänzende Informationen

Einrichtung einer Umgebung für RPC über HTTP mit Exchange Server 2003,
Windows Server 2003

Szenarien mit Exchange Server 2003 und Microsoft ISA Server 2004

Installation der eigenen vertrauten CA für Outlook RPC über HTTP

Probleme bei der Anmeldung mit Outlook 2003 via RPC über HTTP

 

zurück