管理客户端访问

管理 Outlook 2003 管理 Outlook 2003 Exchange Server 2003 和 Outlook 2003 构建在以前版本的 Exchange 和 Outlook 上，并在客户端邮件传递方面进行了几项改进： ​ Exchange 和 Outlook 现在只要求从客户端向服务器传递较少的信息，从而提高了性能，并改善了最终用户在慢速网络上的体验。 ​ Exchange 和 Outlook 现在支持使用 Windows RPC over HTTP 功能，从而使得 Outlook 2003 客户端可以使用 HTTPS 或 HTTP 直接连接到内部网络。 ​ Exchange 和 Outlook 现在包括缓存 Exchange 模式功能，从而可以借助 Outlook 实现真正的脱机访问。 配置缓存 Exchange 模式 缓存 Exchange 模式使用户可以使用其计算机上的本地邮箱副本并借助 Outlook 2003 获得真正的脱机体验。也就是说，如果 Outlook 2003 客户端与 Exchange 2003 之间的网络连接丢失，用户能够继续使用缓存的信息工作，而不会出现弹出消息，指出 Outlook 正在向 Exchange 服务器请求信息。 默认情况下，新安装的 Outlook 2003 使用缓存 Exchange 模式。如果要从以前版本的 Outlook 升级到 Outlook 2003，并且希望用户能够使用缓存 Exchange 模式，必须手动配置 Outloo 客户端使用缓存 Exchange 模式。要进行此项操作，应修改用户的配置文件，让其使用 Exchange 邮箱的本地副本。 对 Outlook 2003 升级手动启用缓存 Exchange 模式 1. 在运行 Outlook 2003 的计算机上的“控制面板”中，执行下列任务之一： ​ 如果您使用的是“分类视图”，请在左侧窗格中的“请参阅”下，单击“其它控制面板选项”，然后单击“邮件”。 ​ 如果您使用的是“经典视图”，则双击“邮件”。 2. 在“邮件设置”中，单击“电子邮件帐户”。 3. 在“电子邮件帐户向导”中，单击“查看或更改现有电子邮件帐户”，然后单击“下一步”。 4. 在“电子邮件帐户”页中，突出显示您要修改的帐户，然后单击“更改”。 5. 在“Exchange 服务器设置”页，选中“使用缓存 Exchange 模式”复选框。 6. 单击“下一步”，然后单击“完成”保存对本地配置文件的更改。 管理 Outlook Web Access 用于 Exchange Server 2003 的 Outlook Web Access 包括与用户界面和管理有关的重大改进。 管理 Outlook Web Access 时，应使用 Exchange 系统管理器和 IIS 管理单元。下面具体说明这两个工具的使用： ​ 使用 Exchange 系统管理器修改与 Outlook Web Access 访问控制有关的设置。 ​ 使用 IIS 管理单元控制用于 Outlook Web Access 虚拟目录（包括 \Exchange、\Exchweb 和 \Public）的“身份验证”设置。 ​ 使用 IIS 管理单元对 Outlook Web Access 启用 SSL。 以下各节说明了如何使用 Exchange 系统管理器和 IIS 管理单元执行与 Outlook Web Access 相关的各种管理任务。 仅对内部客户端启用和禁用 Outlook Web Access 可以允许公司网络内的用户访问 Outlook Web Access，同时拒绝外部客户端的访问。此方法的关键是将收件人策略与专用的 HTTP 虚拟服务器结合起来使用。此方法的步骤如下： 1. 就 SMTP 域名创建一个收件人策略。连接到 HTTP 虚拟服务器的用户的电子邮件地址必须具有与虚拟服务器相同的 SMTP 域。创建收件人策略是对多个用户应用相同 SMTP 域的有效方法。 2. 将收件人策略应用于要允许访问的用户帐户。 3. 然后，在前端服务器上创建一个新的 HTTP 虚拟服务器，以指定在收件人策略中使用的域。 完成上述步骤后，电子邮件地址与 HTTP 虚拟服务器具有不同 SMTP 域的用户将无法登录并访问 Outlook Web Access。此外，只要您不将 SMTP 域用作默认域，外部用户将无法确定 SMTP 域，因为当用户向组织外发送电子邮件时，该域不会出现在“发件人”字段中。 除了对公司网络内的用户启用 Outlook Web Access 外，还可以阻止特定的内部用户访问 Outlook Web Access。可以通过对这些用户禁用 HTTP 和 NNTP 协议来完成此项操作。 阻止内部用户访问 Outlook Web Access 1. 在 Active Directory 用户和计算机中，打开用户的“属性”对话框。 2. 在“Exchange 功能”选项卡上，清除用于 HTTP 和 NNTP 的设置。 设置登录页 可以对 Outlook Web Access（在 cookie 而不是浏览器中存储用户名和密码）启用新的登录页。当用户关闭浏览器时，该 cookie 将被清除。此外，如果一段时间未活动，该 cookie 也将被自动清除。新的登录页要求用户在访问电子邮件之前输入域、用户名和密码，或完整的用户主要名称 (UPN) 电子邮件地址和密码。 要启用此登录页，必须首先在服务器上启用基于表单的身份验证，然后通过设置 cookie 超时期限并调整客户端安全设置来确保登录页的安全。 启用基于表单的身份验证 要启用 Outlook Web Access 登录页，必须在服务器上启用基于表单的身份验证。 启用基于表单的身份验证 1. 在 Exchange 服务器上，使用 Exchange 管理员帐户登录，然后启动 Exchange 系统管理器。 2. 在控制台树中，展开“服务器”。 3. 展开要启用基于表单的身份验证的服务器，然后展开“协议”。 4. 展开“HTTP”，用鼠标右键单击“Exchange 虚拟服务器”，然后单击“属性”。 5. 在“Exchange 虚拟服务器属性”对话框“设置”选项卡上的“Outlook Web Access”窗格中，选择“启用基于表单的身份验证”选项。 6. 单击“应用”，再单击“确定”。 设置 Cookie 身份验证超时 在 Exchange 2003 中，Outlook Web Access 用户凭据存储在 cookie 中。当用户从 Outlook Web Access 注销时，cookie 将被清除，并且对于身份验证而言不再有效。此外，默认情况下，如果用户使用公用计算机，并在 Outlook Web Access 登录屏幕上选择了“公用或共享计算机”选项，该计算机上的 cookie 将自动在 15 分钟的用户未活动期后过期。 自动超时很有用，因为它有助于防止用户的帐户受到未经授权的访问。但是，虽然自动超时极大地减小了未授权访问的风险，但并不能完全排除这样一种可能：如果 Outlook Web Access 帐户在公用计算机上留下了一个会话在运行，则未经授权的用户可以访问该帐户。因此，教育用户采取预防措施来避免风险很重要。 为了满足组织的安全需要，管理员可以在 Exchange 前端服务器上配置未活动超时值。要配置超时值，必须修改服务器上的注册表设置。 设置 Outlook Web Access 基于表单的身份验证中公用计算机的 cookie 超时值 1. 在 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器 (regedit)。 2. 在注册表编辑器中，找到下列注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSExchangeWeb\OWA 3. 从“编辑”菜单中，指向“新建”，然后单击“DWORD 值”。 4. 在详细信息窗格中，将新的值命名为 PublicClientTimeout。 5. 用鼠标右键单击 PublicClientTimeout Dword 值，然后单击“修改”。 6. 在“编辑 DWORD 值”中的“基数”下，单击“十进制”。 7. 在“数值数据”框中，键入 1 到 432000 之间的一个值（分钟）。 8. 单击“确定”。 设置 Outlook Web Access 基于表单的身份验证中信任计算机的 cookie 超时值 1. 在 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器 (regedit)。 2. 在注册表编辑器中，找到下列注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSExchangeWeb\OWA 3. 从“编辑”菜单中，指向“新建”，然后单击“DWORD 值”。 4. 在详细信息窗格中，将新的值命名为 TrustedClientTimeout。 5. 用鼠标右键单击 TrustedClientTimeout Dword 值，然后单击“修改”。 6. 在“编辑 DWORD 值”中的“基数”下，单击“十进制”。 7. 在“数值数据”框中，键入 1 到 432000 之间的一个值（分钟）。 8. 单击“确定”。 为用户调整客户端安全选项 对于 Outlook Web Access 登录页，有两种类型的安全选项供身份验证使用。用户可以基于自己的需要在 Outlook Web Access 登录页上选择其中的一个安全选项： ​ 公用或共享计算机：用户当从不符合您组织的安全设置的计算机（如 Internet 网亭计算机）上访问 Outlook Web Access 时选择该选项。这是默认选项，并提供一个较短时间的默认超时选项：15 分钟。 ​ 私有计算机：通知用户当他们是符合组织的安全设置的计算机上的唯一操作者时选择该选项。如果选定该选项，则在自动结束会话之前所允许的未活动期要长得多。其内部默认值为 24 小时。设计该选项是考虑到在办公室或家里使用个人计算机的 Outlook Web Access 用户。 启用 Outlook Web Access 压缩 Outlook Web Access 支持数据压缩，这一功能用在速度较慢的网络连接上是最理想的。Outlook Web Access 压缩的对象可以是静态或动态网页，这取决于使用的压缩设置。 压缩设置 描述 高 压缩静态和动态页面 低 仅压缩静态页面。 无 不采用压缩。 采用数据压缩，用户在使用速度较慢的网络连接（如传统的拨号访问）时的性能体验的改善可高达 50%。 要在 Exchange 2003 中对 Outlook Web Access 采用数据压缩，必须满足下列先决条件： ​ 针对 Outlook Web Access 对用户进行身份验证的 Exchange 服务器运行的是 Windows Server 2003。 ​ 用户的邮箱位于 Exchange 2003 服务器上。（如果具有混合部署的 Exchange 邮箱，可以在 Exchange 服务器上专门针对 Exchange 2003 用户创建一个单独的虚拟服务器，然后在该虚拟服务器上启用压缩。） 客户端计算机在运行 Internet Explorer 6.0 或更高版本。 除了前面的先决条件，可能还需要通过代理服务器对某些拨号连接启用 HTTP 1.1 支持。（必须具有 HTTP 1.1 支持，压缩才能正常工作。） 启用数据压缩 1. 在 Exchange 服务器上，使用 Exchange 管理员帐户登录，然后启动 Exchange 系统管理器。 2. 在详细信息窗格中，展开“服务器”，再展开要在其上启用数据压缩的服务器，然后展开“协议”。 3. 展开“HTTP”，用鼠标右键单击“Exchange 虚拟服务器”，然后单击“属性”。 4. 在“Exchange 虚拟服务器属性”的“设置”选项卡中的“Outlook Web Access”下，使用“压缩”列表选择需要的压缩级别（“无”、“低”或“高”）。 5. 单击“应用”，再单击“确定”。 阻止 Web 信号 在 Exchange 2003 中，Outlook Web Access 使得垃圾电子邮件发件人更难使用信号来检索电子邮件地址。信号通常采用图像的形式，并且当用户打开垃圾电子邮件项目时会下载到用户计算机上。图像下载后，会向垃圾电子邮件的发件人发送信号通知，告知您用户的电子邮件地址是有效的。最终的结果是用户将更频繁地收到垃圾电子邮件，因为垃圾电子邮件发件人现在知道该电子邮件地址是有效的。 在 Outlook Web Access 中，传入邮件只要包含可能用作信号的任何内容，则无论该邮件中是否真的包含信号，都会提示 Outlook Web Access 显示下列警告消息： 为了帮助保护您的隐私，该邮件中到图像、声音和其他外部内容的链接已被禁止。单击此处可解除对这些内容的封锁。 如果用户知道邮件是合法的，可以单击警告消息中的“单击此处可解除对这些内容的封锁”链接并取消对该内容的阻止。如果用户不确定发件人或邮件，可以打开邮件但不取消内容阻止，然后删除邮件并且不触发信号。如果组织不想使用此项功能，可以对 Outlook Web Access 禁用阻止选项。 禁用阻止选项 ​ 在用户的 Outlook Web Access“选项”页中的“隐私和垃圾邮件保护”下，清除“禁止 HTML 格式电子邮件中的外部内容”复选框。 阻止附件 使用 Outlook Web Access，可以阻止用户打开、发送或接收指定类型的附件。尤其是，可以实现下列功能： ​ 阻止用户访问某些文件类型的附件：默认情况下，所有新安装的 Exchange 2003 都阻止 1 级和 2 级文件类型以及 1 级和 2 级 MIME 类型的附件。如果要阻止 Outlook Web Access 用户在公用 Internet 终端打开附件（存在危及公司安全的潜在风险），此功能尤其有用。如果附件被阻止，将在电子邮件信息栏中显示一条警告消息，指出用户无法打开附件。 在办公室工作或从家里连接到公司网络的 Outlook Web Access 用户可以打开并阅读附件。通过提供指向后端服务器的 URL 并允许附件存放在 Exchange 后端服务器上，可以启用对附件的完全 Intranet 访问。 ​ 阻止用户发送或接收带有可能包含病毒的特定文件扩展名附件：Outlook Web Access 中的此项功能与 Outlook 中的附件阻止功能一致。接收邮件时，会在电子邮件的信息栏中显示一条警告消息，指出附件已被阻止。发送邮件时，用户无法上载带有阻止列表中的扩展名的任何文件。 要更改附件阻止设置，必须修改服务器上的注册表设置。 修改 Exchange 服务器上的附件阻止设置 1. 在 Exchange 服务器上，使用 Exchange 管理员帐户登录，然后启动注册表编辑器 (regedit)。 2. 在注册表编辑器中，找到下列注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ MSExchangeWeb\OWA 3. 从“编辑”菜单中，指向“新建”，然后单击“DWORD 值”。 4. 在详细信息窗格中，将新的值命名为 DisableAttachments。 5. 用鼠标右键单击 DisableAttachments，再单击“修改”。 6. 在“编辑 DWORD 值”中的“基数”下，单击“十进制”。 7. 在“数值数据”框中，键入下列数字之一： ​ 要接受所有附件，请键入 0。 ​ 要拒绝所有附件，请键入 1。 ​ 要仅接受来自后端服务器的附件，请键入 2。 8. 单击“确定”。 管理 Exchange ActiveSync 使用 Exchange ActiveSync，具有 Windows 驱动的移动设备以及桌面 ActiveSync 软件的用户可以通过 Internet 将其设备与其 Exchange 服务器同步。用户通过 Internet 连接到其 Exchange 前端服务器并从 Exchange 邮箱服务器请求信息。当允许使用 Exchange ActiveSync 访问 Exchange 时，应执行下列操作。 1. 使用前端/后端服务器体系结构为连接到网络的用户提供单个命名空间（推荐）。 2. 在前端服务器上安装 SSL 证书。。 3. 向用户介绍如何使用其设备连接到 Internet，以及如何使用其设备上的 ActiveSync 连接到其 Exchange 服务器。 以下各节介绍了如何为组织管理 Exchange ActiveSync，包括如何启用和禁用 Exchange ActiveSync 应用程序以及如何对用户启用 ActiveSync。 对组织启用 Exchange ActiveSync 默认情况下，对组织中的所有用户启用 Exchange ActiveSync。如果用户具有 Windows 驱动的移动设备，可以向他们介绍如何配置其设备使用 Exchange ActiveSync。 要对组织启用和禁用 Exchange ActiveSync，应使用 Exchange 系统管理器。但是，当有新的用户添加到组织中，并要允许其使用 Exchange ActiveSync 和 Windows 驱动的移动设备来访问 Exchange 时，应使用 Active Directory 用户和计算机来修改一个或一组用户的设置。下面的过程描述了如何对组织启用或禁用 Exchange ActiveSync 应用程序以及如何针对新用户修改 Exchange ActiveSync 设置。 对组织启用或禁用 Exchange ActiveSync 1. 在运行 Exchange ActiveSync 的 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动 Exchange 系统管理器。 2. 展开“全局设置”，用鼠标右键单击“移动服务”，然后单击“属性”。 3. 在“移动服务属性”页的“Exchange ActiveSync”窗格中，选中或清除“启用用户启动的同步”旁边的复选框。 4. 单击“确定”。 修改 Exchange ActiveSync 设置 1. 在具有用户邮箱的 Exchange 服务器上，使用 Exchange 管理员帐户登录，然后启动 Active Directory 用户和计算机。 2. 展开域，然后打开要管理的用户所在的位置。 3. 用鼠标右键单击要修改其 Exchange ActiveSync 设置的一个或多个用户，然后选择“Exchange 任务”。 4. 在“Exchange 任务向导”中的“可用任务”页，选择“配置 Exchange 功能”，然后单击“下一步”。 5. 在“配置 Exchange 功能”页，选择“用户启动的同步”，然后选择下列选项之一： ​ 要允许用户使用 Exchange ActiveSync 将其 Exchange 邮箱与其移动设备同步，请选择“启用”。 ​ 要阻止用户使用 Exchange ActiveSync，请选择“禁用”。 ​ 要防止在选定了多个用户的情况下用户的设置被修改，请选择“不修改”。 6. 单击“下一步”应用更改。 7. 单击“完成”。 对组织启用最新通知 在配置组织使用 Exchange ActiveSync 后，可以配置 Exchange 2003 服务器，以便当有新的邮件到达用户的 Exchange 邮箱时，用户可以接收最新通知，从而使其设备也相应地拥有更改后的最新信息。 最新通知是当新邮件到达用户的 Exchange 邮箱时发送到用户设备的通知。此通知提示用户设备自动与 Exchange 邮箱同步。 对组织启用最新通知 1. 在运行 Exchange ActiveSync 的 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动 Exchange 系统管理器。 2. 展开“全局设置”，用鼠标右键单击“移动服务”，然后单击“属性”。 3. 在“移动服务属性”页的“Exchange ActiveSync”窗格中，选择“启用最新通知”。 4. 单击“确定”。 修改用户的最新通知设置 1. 在具有用户邮箱的 Exchange 服务器上，使用 Exchange 管理员帐户登录，然后启动 Active Directory 用户和计算机。 2. 展开域，然后打开要修改其设置的用户所在的位置。 3. 用鼠标右键单击要修改其最新通知设置的一个或多个用户，然后选择“Exchange 任务”。 4. 在“Exchange 任务向导”中的“可用任务”页，选择“配置 Exchange 功能”，然后单击“下一步”。 5. 在“配置 Exchange 功能”页，选择“最新通知”，然后选择下列选项之一： ​ 要允许用户使用最新通知，请选择“启用”。 ​ 要阻止用户使用最新通知，请选择“禁用”。 ​ 要防止在选定了多个用户的情况下用户的设置被修改，请选择“不修改”。 允许用户使用移动操作员接收通知 如果启用了 Exchange ActiveSync 最新通知功能，用户将使用移动操作员来将邮件从公司网络传递到其设备上。允许用户接收通知有两种方法： 1：为用户指定移动操作员 如果要为用户指定移动操作员，应在这些用户的邮箱所在的 Exchange 服务器上禁用“对用户指定的 SMTP 地址启用通知”。如果选择此方案，需要向用户介绍如何设置其设备，让其使用您指定用来接收最新通知的移动操作员。 方案 2：允许用户使用他们自己的移动操作员 如果用户有他们自己的 Windows 驱动的移动设备，可以允许他们使用自己的移动操作员来将通知传递到其设备上。如果选择此方案，需要向用户介绍如何设置其设备，让其使用所希望用来接收最新通知的移动操作员。 下面的两个过程描述了如何配置这些选项。第一个过程描述了如何设置“对用户指定的 SMTP 地址启用通知”选项，第二个过程描述了如何在用户的设备上设置移动操作员。 对组织设置“对用户指定的 SMTP 地址启用通知”选项 1. 在运行 Exchange ActiveSync 的 Exchange 前端服务器上，使用 Exchange 管理员帐户登录，然后启动 Exchange 系统管理器。 2. 展开“全局设置”，用鼠标右键单击“移动服务”，然后单击“属性”。 3. 在“移动服务属性”页的“Exchange ActiveSync”窗格中，按照下列说明设置“对用户指定的 SMTP 地址启用通知”选项。 ​ 如果要为用户指定移动操作员，请清除“对用户指定的 SMTP 地址启用通知”。 ​ 如果要允许用户自己指定移动操作员，请选择“对用户指定的 SMTP 地址启用通知”。 4. 单击“确定”。 在设备上指定用于接收最新通知的移动操作员 1. 在 Windows 驱动的移动设备上的 ActiveSync 中，点击“工具”，然后点击“选项”。 2. 在“服务器”选项卡上，点击“选项”。 3. 在“服务器同步选项”屏幕上，点击“设备地址”。 4. 在“设备地址”屏幕上，执行下列操作之一： ​ 如果用户使用您指定的移动操作员，请选择“公司服务提供商”，然后在所提供的字段中输入“设备电话号码”和“服务提供商名称”。 ​ 如果用户使用他们自己的移动操作员，请选择“设备 SMS 地址”，然后在所提供的字段中输入设备地址。 管理 Outlook Mobile Access 使用 Outlook Mobile Access，用户可以使用设备（如 Microsoft Windows 驱动的 Smartphone 或具有 cHTML 功能的设备）浏览其 Exchange 邮箱。还可以允许用户使用 Microsoft 未正式支持、但有可能正常运行（只是由于通过不支持的设备来使用 Outlook Mobile Access 而导致的几个小的兼容性问）的设备。 以下各节介绍了如何为组织管理 Outlook Mobile Access，包括如何对组织启用 Outlook Mobile Access 应用程序以及如何允许用户使用 Outlook Mobile Access。 配置 Exchange 使用 Outlook Mobile Access 默认情况下，安装 Exchange Server 2003 时禁用 Outlook Mobile Access。要使用户可以使用 Outlook Mobile Access，必须首先启用它。要允许使用 Outlook Mobile Access 访问 Exchange，应执行下列操作： 1. 使用前端/后端服务器体系结构为连接到网络的用户提供单个命名空间。 2. 在前端服务器上安装 SSL 证书。 3. 向用户介绍如何使用其设备连接到 Internet，以及如何使用 Outlook Mobile Access 访问其 Exchange 信息。 对组织启用 Outlook Mobile Access 要对组织启用 Outlook Mobile Access，应使用 Exchange 系统管理器。启用 Outlook Mobile Access 后，可以使用 Active Directory 用户和计算机来修改用户或用户组的 Outlook Mobile Access 设置。 对组织启用 Outlook Mobile Access 1. 以 Exchange 管理员的身份登录到用户邮箱所在的 Exchange 服务器上，然后启动 Exchange 系统管理器。 2. 展开“全局设置”，用鼠标右键单击“移动服务”，然后单击“属性”。 3. 在“移动服务属性”页的“Outlook Mobile Access”窗格中，选择“启用 Outlook Mobile Access”。 4. 要允许用户使用不支持的设备，请选择“启用不支持的设备”。 5. 单击“确定”。 修改 Outlook Mobile Access 设置 1. 以 Exchange 管理员的身份登录到用户邮箱所在的 Exchange 服务器上，然后启动 Active Directory 用户和计算机。 2. 展开域，然后打开要修改其设置的用户所在的位置。 3. 用鼠标右键单击要修改其 Outlook Mobile Access 设置的一个或多个用户，然后选择“Exchange 任务”。 4. 在“Exchange 任务向导”中的“可用任务”页，选择“配置 Exchange 功能”，然后单击“下一步”。 5. 在“配置 Exchange 功能”页，选择“Outlook Mobile Access”，然后选择下列选项之一： ​ 要允许用户使用 Outlook Mobile Access，请选择“启用”。 ​ 要阻止用户使用 Outlook Mobile Access，请选择“禁用”。 ​ 要防止在选定了多个用户的情况下用户的设置被修改，请选择“不修改”。 6. 单击“下一步”应用更改。 7. 单击“完成”。 RPC over HTTP Exchange Server 2003 和 Microsoft Outlook 2003 支持使用 Microsoft Windows® 中的 RPC over HTTP 功能来访问 Exchange。使用 RPC over HTTP 功能，远程办公室用户无需使用虚拟专用网 (VPN) 来连接到他们的 Exchange 服务器。运行 Outlook 2003 的用户可以直接通过 Internet 连接到公司环境内的 Exchange 服务器。 Windows RPC over HTTP 功能使得 RPC 客户端（如 Outlook 2003）可以通过建立 RPC over HTTP 通信隧道来跨越 Internet 建立连接。由于 RPC 通信不是设计用于 Internet，并且不能与外围防火墙一起很好地工作，因此 RPC over HTTP 使得将 RPC 客户端与外围防火墙结合起来使用成为可能。如果 RPC 客户端可以与运行 Internet 信息服务 (IIS) 的远程计算机建立 HTTP 连接，则该客户端可以连接到远程网络中的任何可用服务器，并执行远程过程调用。此外，RPC 客户端和服务器程序可以跨越 Internet 建立连接，即使二者均位于各自网络中的防火墙的后面。 对 Outlook 2003 配置 RPC over HTTP 在公司环境中部署 RPC over HTTP 时，根据 RPC 代理服务器所在的位置，有两个主要的部署选项可供选择： ​ 选项 1（推荐）   将高级防火墙服务器（如 Internet Security and Acceleration (ISA) Server）部署在外围网络中，并将 RPC 代理服务器放置在公司网络内部。 ​ 选项 2   将充当 RPC 代理服务器的 Exchange 2003 前端服务器放置在外围网络中。 选项 1：将 ISA Server 部署在外围网络中，并将 RPC 代理服务器放置在公司网络中 这是推荐采用的选项。通过使用外围网络中的 ISA Server 来路由 RPC over HTTP 请求，并将 Exchange 前端服务器放置在公司网络中，只需要打开内部防火墙上的端口 80 或端口 443，供 Outlook 2003 客户端与 Exchange 通信使用。 位于外围网络中的 ISA server 负责将 RPC over HTTP 请求路由到充当 RPC 代理服务器的 Exchange 前端服务器。在此方案中，RPC 代理服务器使用指定端口与使用 RPC over HTTP 的其他服务器通信。 选项 2：将 RPC 代理服务器放置在外围网络中 虽然不推荐这样做，但可以将充当 RPC 代理服务器的 Exchange Server 2003 前端服务器放置在外围网络内。在此方案中，可以指定 RPC 代理服务器需要的限定编号的端口。请注意，在下面的示例中，除了用于 RPC over HTTP 的端口外，Exchange 前端服务器仍然需要所有的标准端口来与公司内部网络进行通信。 有关如何配置 RPC over HTTP 部署选项 1 和 2 的信息， RPC Over HTTP 系统要求 要使用 RPC over HTTP，必须在下列计算机上运行 Windows Server 2003： ​ 将使用 RPC over HTTP 并通过 Outlook 2003 客户端访问的所有 Exchange 2003 服务器。 ​ 充当 RPC 代理服务器的 Exchange 2003 前端服务器。 ​ 配置为使用 RPC over HTTP 的 Outlook 2003 客户端及 Exchange 2003 服务器所使用的全局编录服务器。 部署 RPC Over HTTP 此部分提供有关如何在 Exchange 2003 组织中部署 RPC over HTTP 的详细步骤。请按顺序完成下列步骤。 1.​ 将 Exchange 前端服务器配置为 RPC 代理服务器。 2.​ 在 Exchange 前端服务器上的 Internet 信息服务 (IIS) 中配置 RPC 虚拟目录。 3.​ 配置与 RPC 代理服务器通信的 Exchange 2003 计算机上的注册表，以便对 RPC over HTTP 通信使用特定的端口。 4.​ 打开内部防火墙上用于 RPC over HTTP 的特定端口，以及用于 Exchange 前端通信的标准 端口。 5.​ 为每个用户创建一个配置文件，以便使用 RPC over HTTP。 其中的每个步骤将在以下各部分中进行详细说明。完成上述步骤后，用户即可以开始使用 RPC over HTTP 访问 Exchange 前端服务器。 步骤 1：配置 Exchange 前端服务器使用 RPC Over HTTP RPC 代理服务器处理通过 Internet 进来的 Outlook 2003 RPC 请求。为了使 RPC 代理服务器能够成功地处理 RPC over HTTP 请求，必须在 Exchange 前端服务器上安装 Windows Server 2003 RPC over HTTP Proxy 网络组件。 配置 Exchange 前端服务器使用 RPC over HTTP 1.​ 在运行 Windows Server 2003 的 Exchange 前端服务器上，单击“开始”，再单击“控制面板”，然后单击“添加或删除程序”。 2.​ 在“添加或删除程序”中，单击左侧窗格中的“添加/删除 Windows 组件”。 3.​ 在“Windows 组件向导”中的“Windows 组件”页，突出显示“网络服务”，然后单击“详细信息”。 4.​ 在“网络服务”中，选中“HTTP 代理上的 RPC”复选框，然后单击“确定”。 5.​ 在“Windows 组件”页，单击“下一步”开始安装“HTTP 代理上的 RPC”Windows 组件。 步骤 2：在 Internet 信息服务中配置 RPC 虚拟目录 现在，您已经配置 Exchange 前端服务器使用 RPC over HTTP，接下来必须在 IIS 中配置 RPC 虚拟目录。 配置 RPC 虚拟目录 1.​ 单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Internet 信息服务 (IIS) 管理器”。 2.​ 在 Internet 信息服务 (IIS) 管理器的控制台树中，依次展开需要的服务器、“网站”、“默认网站”，以鼠标右键单击“RPC”虚拟目录，然后单击“属性”。 3.​ 在“RPC 属性”的“目录安全性”选项卡中，单击“身份验证和访问控制”面板中的 “编辑”。 4.​ 在“验证的访问”下，选中“基本身份验证（以明文形式发送密码）”旁边的复选框，然后单击“确定”。 5.​ 要保存设置，请单击“应用”，然后单击“确定”。 RPC 虚拟目录现在设置为使用基本身份验证。 如果使用 SSL，请跳过针对非 SSL 配置的下列过程，但是，必须配置 RPC 代理服务器，以便允许转发非 SSL 会话。可以通过将特定的注册表值添加到服务器来转发非 SSL 会话。 允许通过 RPC over HTTP 进行非 SSL 加密通信 1.​ 在 RPC 代理服务器上，启动注册表编辑器 (regedit)： 2.​ 在控制台树中，导航到以下注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy 3.​ 在详细信息窗格中，以鼠标右键单击并添加名为 AllowAnonymous 的新“DWORD 值”，然后以鼠标右键单击该值并选择“修改”。 4.​ 在“编辑 DWORD 值”中的“数值数据”框中，输入 1。 RPC 代理服务器现在配置为无需首先建立 SSL 加密会话即可转发请求。“强制已通过身份验证的请求”这一设置仍然在“身份验证和访问控制”设置中控制。 步骤 3：配置 RPC 代理服务器使用指定端口 对 IIS 启用 RPC over HTTP 网络组件后，应配置 RPC 代理服务器使用特定的端口号来与公司网络中的服务器通信。在此方案中，RPC 代理服务器配置为使用特定端口，并且 RPC 代理服务器与之通信的每台计算机也配置为使用特定端口接收来自 RPC 代理服务器的请求。 步骤 3 包括下面两个过程。 1.​ 配置 RPC 代理服务器使用指定用于 RPC over HTTP 请求的端口与公司网络内部的服务器通信。 2.​ 配置全局编录服务器使用指定用于 RPC over HTTP 请求的端口与外围网络内部的 RPC 代理服务器通信。 配置 RPC 代理服务器对 RPC over HTTP 使用指定的默认端口 下列端口是 RPC over HTTP 所要求的端口。    RPC over HTTP 所要求的端口 服务器 端口（服务） Exchange 后端服务器 593（终点映射器） 6001（存储） 6002（DS 引用） 6004（DS 代理） 全局编录服务器 593 和 6004 1.​ 在 RPC 代理服务器上，启动注册表编辑器 (regedit)。 2.​ 在控制台树中，导航到以下注册表项： HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy 3.​ 在详细信息窗格中，以鼠标右键单击“ValidPorts”子项，然后单击“修改”（图 2.4）。   RPCProxy 注册表设置 4.​ 在“编辑字符串”中的“数值数据”框中，键入下列信息： ExchangeBEServer:593;ExchangeBEServerFQDN:593;ExchangeBEServer:6001-6002;ExchangeBEServerFQDN:6001-6002;ExchangeBEServer:6004;ExchangeBEServerFQDN:6004; GlobalCatalogServer:593;GlobalCatalogServerFQDN:593;GlobalCatalogServer:6004;GlobalCatalogServerFQDN:6004 ​ ExchangeBEServer 和 GlobalCatalogServer 分别是 Exchange 后端服务器和全局编录服务器的 NetBIOS 名称。 ​ ExchangeBEFQDN 和 GlobalCatalogServerFQDN 分别是 Exchange 后端服务器和全局编录服务器的完全限定域名 (FQDN)。 在注册表项中，继续列出公司网络内需要与 RPC 代理服务器通信的所有服务器。 要点   要与 RPC 代理服务器通信，Outlook 客户端访问的所有服务器都必须设定端口。如果尚未配置某个服务器（如 Exchange 公用文件夹服务器）使用指定端口进行 RPC over HTTP 通信，客户端将无法访问该服务器。 配置全局编录服务器对 RPC over HTTP 使用特定端口 1.​ 在全局编录服务器上，启动注册表编辑器 (regedit)。 2.​ 导航到下列注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Parameters 3.​ 从“编辑”菜单中，指向“新建”，然后单击“多字符串值”。 4.​ 在详细信息窗格中，创建名为 NSPI interface protocol sequences 的多字符串值。 5.​ 以鼠标右键单击“NSPI interface protocol sequences”多字符串值，然后单击“修改”。 6.​ 在“编辑字符串”的“数值数据”框中，键入 ncacn_http:6004。 7.​ 重新启动全局编录服务器。 步骤 4：创建 Outlook 配置文件以使用 RPC Over HTTP 用户若要从他们的客户端计算机使用 RPC over HTTP，必须创建包含必要的 RPC over HTTP 设置的 Outlook 配置文件。这些设置启用使用基本身份验证的安全套接字层 (SSL) 通信，这在使用 RPC over HTTP 时是必要的。 虽然不要求，但强烈建议您对将使用 RPC over HTTP 连接到 Exchang 的所有配置文件启用“使用缓存 Exchange 模式”选项。 创建 Outlook 配置文件以使用 RPC over HTTP 1.​ 单击“开始”，然后单击“控制面板”。 2.​ 在“控制面板”中，执行下列任务之一： ​ 如果您使用的是“分类视图”，请在左侧窗格中的“请参阅”下，单击“其它控制面板选项”，然后单击“邮件”。 ​ 如果您使用的是“经典视图”，则双击“邮件”。 3.​ 在“邮件设置”中的“配置文件”下，单击“显示配置文件”。 4.​ 在“邮件”中，单击“添加”。 5.​ 在“新建配置文件”中的“配置文件名称”框中，键入此配置文件的名称，然后单击 “确定”。 6.​ 在“电子邮件帐户”向导中，单击“添加新电子邮件帐户”，然后单击“下一步”。 7.​ 在“服务器类型”页，单击“Microsoft Exchange Server”，然后单击“下一步”。 8.​ 在“Exchange Server 设置”页，执行下列操作： 9.​ 在“Microsoft Exchange Server”框中，键入驻留您邮箱的后端 Exchange 服务器的名称。 10.​ 选中“使用缓存 Exchange 模式”旁边的复选框。 11.​ 在“用户名”框中，键入用户名。 12.​ 单击“其他设置”。 13.​ 在“连接”选项卡上的“Internet 上的 Exchange”窗格中，选中“使用 HTTP 连接到我的 Exchange 邮箱”复选框。 14.​ 单击“Exchange 代理设置”。 15.​ 在“Exchange 代理服务器设置”页中的“连接设置”下，执行下列操作： a.​ 在“使用此 URL 连接到我的 Exchange 代理服务器”框中，输入 RPC 代理服务器的完全限定域名 (FQDN)。 b.​ 选中“仅使用 SSL 连接”复选框。 c.​ 接下来选中“使用 SSL 连接时相互验证会话”复选框。 d.​ 在“代理服务器主体名称”框中输入 RPC 代理服务器的 FQDN。采用如下格式：msstd:FQDN of RPC Proxy Server。 e.​ 通过选中“在快速网络中，首先使用 HTTP 连接，然后使用 TCP/IP 连接”旁边的复选框，配置 Outlook 2003 在默认情况下使用 RPC over HTTP 连接到 Exchange 服务器。此步骤可选。 16.​ 在“Exchange 代理服务器设置”页“代理服务器验证设置”窗口中的“连接到我的 Exchange 代理服务器时使用此验证”列表中，选择“基本身份验证”。 17.​ 单击“确定”。 18.​ 通过配置用户的配置文件以便允许与 Outlook 2003 进行 RPC over HTTP 通信来启用 RPC over HTTP。或者，可以指导用户如何手动对其 Outlook 2003 配置文件启用 RPC over HTTP。 注意   如果已配置客户端使用 SSL 进行通信，则必须在客户端计算机上的“受信任根目录证书颁发机构”中添加完整的 SSL 证书链。 现在，已将用户配置为使用 RPC over HTTP。