SBS 2003'te ISA ve Exchange RPC over HTTP AyarlarıNEDEN RPC over HTTP?

RPC over HTTP, Microsoft Exchange 2003 sunucu ve Outlook 2003 istemci ile gelen yeni bir e-posta erişim teknolojisidir. Bu teknoloji sayesinde istemciler şirket dışında bile olsalar e-postalarını çok daha güvenli ve etkin bir biçimde, doğrudan Microsoft Exchange 2003 sunucu’dan alabilirler. Bu özellik sayesinde sadece HTTP (80) veya HTTPS (443) portu üzerinden erişerek Outlook 2003’ün tüm fonksiyonlarını çok etkin bir biçimde kullanabilirler.

RPC over HTTP teknolojisini kullanabilmek için aşağıdakiler öncelikle dikkate alınmalıdır:

Tüm istemci’ler Outlook 2003 kullanmalı, Windows Sunucu 2003 veya Microsoft Windows® XP Service Pack 1 (veya üstü) işletim sistemleri ile çalışıyor olmalıdırlar. Eğer Microsoft Windows® XP Service Pack 1 yada üstü istemci’ye yüklenemiyorsa bu durumda aşağıdaki patch istemci’ye kurulmalıdır:

Outlook 2003 Performs Slowly or Stops Responding When Connected to Exchange Sunucu 2003 Through HTTPhttp://support.microsoft.com/kb/331320/

Varsayılan olarak SSL encryption kullan. Tüm istemci sunucu haberleşmelerinde, SSL RPC proxy sunucu ile gereklidir ve ilgili sertifika istemci tarafında yüklü ve sertifika veren sertifika otoritesine (CA) güvenen (trusted) olmalıdır ( CA’nın Kök sertifikası yüklü olmalıdır). Sertifika hatalı yada trusted olarak yüklü değilse, Outook sunucu’a RPC over HTTP olarak bağlanamayacaktır.

Doğru istemci authentication (onaylama) metodunu seçin. Varsayılan olarak RPC klasörü Basic authentication kullanır.

RPC over HTTP ile ilgili çok daha detaylı bilgiye aşağıdaki linkten ulaşabilirsiniz:http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3RPCHTTPDep/4ecf1231-25c7-469f-992b-a41a0d7cc32d.mspx

NASIL RPC over HTTP?

RPC over HTTP’nin nasıl konfigüre edildiğini bir örnekle açıklamaya çalışacağız. Aşağıdaki örnekte bir SBS (Small Business Server) 2003 sunucuda ISA server 2000 ve Exchange 2003’ün RPC over HTTP için yapılandırılması anlatılacaktır. Anlatılan konfigürasyon özel olarak SBS 2003 için oluşturulmuştur.

Bu örnekte kullanılan sistem konfigurasyonu aşağıdaki gibidir:

Sunucu Adı (iç) SBSK2K3 sbsk2k3.contoso.local

Sunucu İç/Dış IP 192.168.200.22 / 192.168.222.254

İnternet domain adı contoso.com

Tam (FQDN) ad (dış) owa.contoso.com

İnternet IP 169.254.3.5

1. DNS sunucu'ya bir Ana makina kaydı ( host record) kaydetmek ve kayıt ile Sunucu ’nun İnternet IP’sini göstermek

RPC over HTTP’i kullanabilmek için sertifika kullanımı zorunludur. Sertifika kullanımında tam ad (FQDN - Fully Qualified Domain Name) zorunlu olduğundan, bu hizmeti verecek olan sunucunun bir tam ad ile internet üzerinde ifade edilmesi gerekecektir. Bu nedenle, domain hosting (alan adı yönetimi) işlemini kendiniz yapıyorsanız, kendi DNS sunucunuzda, eğer siz yapmıyor da bir ISS ( İnternet servis sağlayıcı (ISP))’den bu hizmeti satın alıyorsanız, ISS ’inizden talep ederek, SBS sunucuya yönlendirilen yada atanmış bulunan İnternet IP adresini adresleyecek bir "host" kaydı ( A Record) tanımlatınız.

Domain hosting işlemini kendiniz yapıyorsanız, kendi sisteminizde bu tanımı yapmak için;

a. Contoso.com'u seçiniz b. Sağ tıklayarak "New Host (A)..." seçiniz. c. Publish edilecek host kaydını "name" bölümüne giriniz.

Kullanıcılarınız Outlook 2003 konfigürasyonunda buraya yazacağınız ad, tam ad olarak kullanılacaktır. Örneğin; "owa.contoso.com" yazarak SBS sunucu'ya erişebileceklerdir.

d. IP bölümüne İnternet IP'yi giriniz. "Add Host" butonuna tıklayınız.

Bu işlemin sonucunda DNS sunucu’da aşağıdakine benzer bir ekran oluşmalıdır.

Bu işlem tamamlandığında internet üzerindeki herhangi bir kullanıcı owa.contoso.com isminin ip adresini bulabilmelidir.

2. "To Do List" kullanarak sertifika oluşturma ve OWA’yı yayımlama

Normalde SBS 2003 kurulumu sırasında otomatik olarak çalışan bir setup programı vasıtası ile 2. adımda anlatılmakta olan konfigürasyon yapılmaktadır. Fakat kurulum anında verilen rastgele cevaplar ve eksik donanımlar nedeniyle sorun oluştuğu için bu adımı uygulamakta fayda vardır.

SBS 2003 ile gelen "Server Management" programı kullanılarak "To Do List" bölümüne gelinir. Sağ tarafta network tasks altından "2 Connect to the İnternet" start edilir.

RPC over HTTP servisine ISA server 2000 üzerinden bağlanabilmek için ISA server 2000 sunucuda "web publishing" yapılandırmasının tamamlanması gerekmektedir. Bunun için "Configure E-mail and İnternet Connection Wizard" sihirbazının "Web services configuration" adımında, "Allow access to only the following Web site services from the İnternet" aktif hale getirilmeli ve "Outlook via the İnternet" (RPC over HTTP) seçili olmalıdır. Eğer OWA ( Outlook Web Access ) ve OMA ( Outlook Mobile Access ) erişimi olacaksa bunlar içinde aynı adımda ilgili seçme işlemleri yapılmalıdır.

Web Services Certificate adımında; "Create a new Web server certificate" seçilmeli ve tam adına (FQDN) (örneğimizde owa.contoso.com), bir sertifika oluşturulmalıdır (sbsk2k3.contoso.local gibi bir iç adres değil).

Bu işlem sırasındaki ekran aşağıda görülmektedir.

3. IIS konfigürasyonu

IIS default web site üzerinde, directory security tabına gidilir. Burada secure communications altında "view certificate" butonuna tıklanılır. Açılan pencerede ilgili sertifikanın yüklü olduğu görülür.

Eğer "View Certificate" butonu enable değilse sertifika sağlıklı olarak yüklenmemiştir. Bu durumda 2. adımdaki işlemler gerçekleştirilerek sertifika yükleme işlemi tamamlanmalıdır.

4. Tam adın (FQDN) SBS sunucunun Hosts dosyasına iç IP’yi gösterecek şekilde kaydedilmesi.

SBS 2003 sunucunun kendisi tam ada (owa.contoso.com) iç ip ile erişecektir. Çünkü IIS iç IP üzerinden çalışmaktadır.

Bunun için hosts file aşağıdaki şekilde düzenlenir. ( Bu file %system root%\drivers\etc\ altında yeralmaktadır.) Burada kullanılan 192.168.200.20 nolu adres sunucu’ın yerel ağa bağlandığı internal ip adresidir.

5. İstemci ve Sunucuya sertifika yükleme işlemi...a. İstemci tarafında

Aşağıdaki uyarı mesajı, istemcide kök sertifika yüklü olmadığı için alınmaktadır. RPC over HTTP’nin çalışması için bu mesaj alınmamalıdır. Bunun için istemciye kök sertifika yüklenecektir.

İnternet explorer açılır ve; https://owa.contoso.com/exchange yazılır. "View certificate" buttonuna tıklanır.

Ardından açılan ekranda "install certficate" buttonuna tıklanılır.

"Welcome to the certification import wizard" açılacaktır. Next Butonu ile ilerlenir...

"Certificate Store" ekranından "Place all certificates in the following store" seçeneği işaretlenir ve "Browse" butonuna tıklanılır. "Select certificate store" ekranı açılacaktır.

Buradan "Trusted Root Certification Authorities"‘i seçilir ve ok tıklanılır.

Sonra açılan ekranlardan Next ‘te ve Finish’e tıklandığında aşağıdaki uyarı mesajı karşınıza çıkacaktır.

Burada "YES" butonuna tıklayınız. Sertifika "import succesfull" mesajı ile sunucu’a yüklenmiş olacaktır.

b. Sunucu tarafında

Sunucu’da sertifika yükleme işlemi için öncelikle mmc konsolu açılır.

i. Start – Run – mmc.exe OK ii. File menüsünden Add/Remove Snap-in ‘i seç iii. Add butonuna tıkla ve Certificate ’i seçip Add butonuna

tıkla iv. Karşınıza gelen ekrandan Computer Account’u seçip

Next butonuna tıkla.

v. Buradan "Local Computer" seçerek, sırasıyla Finish, Close ve Ok’ye tıkla

vi. Açılan ekrandan "Trusted Root Certification Authorities" altında owa.contoso.com için sertifika görülmelidir.

vii. Eğer sertifika yüklü değilse ( burada görülemiyorsa ) bu durumda ii ‘den iv ‘ye kadar yapılan işlemler My User Account için tekrarlanır ve burada "Trusted Root Certification Authorities" altından owa.contoso.com ‘a ait sertifika "Local Computer" altındaki "Trusted Root Certification Authorities" altına kopyalanır.

viii. Eğer Current User altında da sertifika bulunamıyor ise bu durumda "a" adımı sunucu için gerçeklenmelidir. Normal koşullar altında 2. adımda çalıştırdığımız "Connect to the İnternet" wizard sertifikayı sağlıklı olarak yüklemelidir.

6. ISA Server 2000 konfigürasyonu

a. ISA Server 2000’e sertifika install etmek

Öncelikle ISA sunucu üzerinden "listener" konfigürasyonunu gözden geçirin. "Incoming Web Requests" bölümünde "Enable SSL listeners" seçili olmalıdır.

"Listener" seçerek "Edit" butonuna tıklayın. "Use a server certificate to authenticate to web clients" seçili hale getirin ve "Select" butonuna tıklayın. Select butonu ile SBS sunucu üzerinde oluşturduğumuz tüm sertifikalar listelenecektir. Hatırlanacağı üzere bu işlem 2. adımda yapılmıştı.

"OK" butonunu kullanarak ilgili sertifikayı ISA sunucu’a yükleyin.

b. Web publishing ve Bridging ayarları

"Web publishing rules" bölümünden varsayılan olarak ayarlı olan "Small Business RPC over HTTP Publishing Rule" seçilerek özelliklerine girilir.

"Destinations included in set" bölümünde owa.contoso.com /rpc/* path alanında tanımlı olduğu görülmelidir. Eğer tanımlı değilse "Destination sets" bölümünü konfigüre etmelisiniz.

Action tabına "Redirect the request to this internal Web sunucu" bölümüne tam adı yazılmalıdır.

Bridging tabında "HTTP requests as: " "HTTP requests" ve "SSL request as:" "SSL requests" seçili olmalıdır.

7. SSL Seritifika testia. Sunucu üzerinden

Sunucu üzerinde internet explorer açılır ve https://owa.contoso.com/exchange yazılır.

Bu test sırasında otomatik olarak internet explorer SSL’i açılmalı herhangi bir uyarı veya hata mesajı vermemelidir.

b. İstemci üzerinden

Sunucu üzerinde internet explorer açılır ve https://owa.contoso.com/exchange yazılır.

Bu test sırasında otomatik olarak internet explorer SSL’i açılmalı herhangi bir uyarı veya hata mesajı vermemelidir.

8. RPC over HTTP için outlook konfigürasyonu

İnternet üzerinden ilk kez ayarlanan outlook’larda "Adı Denetle" (Check Name) fonksiyonu çalışmaz. Bu durumda posta kutusu adını tam olarak yazarak "Adı Denetle" yapmadan, outlook’u aşağıdaki gibi ayarlamaya devam edin. İlk bağlantı sağlandıktan sonra "Adı Denetle" fonksiyonu çalışmaya başlayacaktır. Eğer istemci iç ağda

ise "Adı Denetle" ilk konfigürasyonda da çalışacaktır.

Ayrıca konfigürasyon sırasında "Use Cached Exchange Mode" seçeneğini aktif hale getirirseniz, sonraki tüm maillerinize erişimin çok daha hızlı olacağını gözardı etmemelisiniz.Exchange server ayarlarında yeni bir profile oluşturularak yada mevcut profile üzerinde değişiklik yapılarak RPC over HTTP için konfigürasyon gerçekleştirilebilir. Bunun için "connection" tabında "Exchange over the Internet" bölümünde "Connect to my Exchange mailbox using HTTP" seçili hale getirilerek "Exchange Proxy Settings" ‘e girilir.

"Exchange Proxy Settings" sayfasında connection settings bölümüne tam ad (FQDN) yazılmalı ve "Proxy authentication settings" ‘den "Basic Authentication" seçilmelidir.

9. Hata ayıklamaa. " /RPC " virtual directory’sini kullanarak erişim testi

https://owa.contoso.com/RPC ile erişme testi yapın bu durumda size username password soran bir ekran açılacaktır. Username ve Password girildiğinde;

Eğer windows 2003 sp1 yüklüyse

You are not authorized to view this page. You do not have permission to view this directory or page due to the access control list (ACL) that is configured for this resource on the Web sunucu.

HTTP Error 401.3 - Unauthorized: Access is denied due to an ACL set on the requested resource.

Eğer windows 2003 sp1 yüklü değilse

The page cannot be displayed. "HTTP Error 403.2 – Forbidden: Read access is denied."

mesajları oluşmalıdır.

Detaylı bilgi için;

http://support.microsoft.com/kb/827330/tr/b. RPCPing aracını kullanarak RPC bağlantı testi

RPCPing, RPC over Http bağlantısını istemci’tan sunucu tarafına kadar sertifika dahil test edebileceğiniz bir araçtır.

Istemci tarafında aşağıdaki şekilde komutu çalıştırınız. İşlem sonunda "Pinging successfully completed" mesajı alırsanız herşey yolundadır. Farklı bir mesaj aldığınız durumlarda tüm konfigürasyonu gözden geçirmelisiniz.

C:\>rpcping -t ncacn_http -a connect -o RpcProxy=owa.contoso.com -s sunucu.contoso.local -u 10 -v 3 -E -F 3 -H 1 –P "testuser,contoso,password" -l "testuser,contoso,password"RPCPing v2.12. Copyright (C) Microsoft Corporation, 2002OS Version is: 5.1, Service Pack 2

RPCPinging proxy sunucu owa.batili.com.tr with Echo Request PacketChecking IE setting...The proxy setting is disabled.Sending ping to sunucuResponse from sunucu received: 200Pinging successfully completed in 631 ms

Bu test aracına Windows 2003 Sunucu resource kit içerisinden ulaşabilirsiniz:

Windows Sunucu 2003 Resource Kit Toolshttp://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en

EK BİLGİ

How to configure RPC over HTTP on a single server in Exchange Server 2003http://support.microsoft.com/?id=833401

How to troubleshoot client RPC over HTTP connection issues in Office Outlook 2003http://support.microsoft.com/?id=827330

How to configure ISA Server 2004 to allow for RPC over HTTP clienthttp://support.microsoft.com/?id=884506

Exchange Server 2003 RPC over HTTP deployment scenarioshttp://support.microsoft.com/?id=840255

Configuring Outlook 2003 for RPC Over HTTPhttp://www.microsoft.com/office/ork/2003/three/ch8/OutC07.htm

Windows Server 2003 Resource Kit Toolshttp://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en