exchange it!

АНДРЕЙ СЕМЕНЮЧЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-008-6

ВНЕШНИЕ СЕРВЕРА, ЯВЛЯЮЩИЕСЯ ТОЧКАМИ ВХОДА ИНТЕРНЕТ ТРАФИКА, ДЛЯ ПОВЫШЕНИЯ БЕЗОПАСНОСТИ ЛУЧШЕ ВСЕГО ИЗОЛИРОВАТЬ В СПЕЦИАЛЬНЫЕ СЕТИ, НАЗЫВАЕМЫЕ ДЕМИЛИТАРИЗОВАННЫМИ ЗОНАМИ (DMZ)

Следующим шагом конфигурирования является настройка виртуального каталога и определение методов аутентификации пользователей. Для этого запускаем менеджер IIS из консоли MMC. Раскрываем нужный нам сервер, которым является локальный компьютер, и находим виртуальную директорию RPC (RPC Virtual Directory). Открываем свойства объекта. На вкладке Directory Security выбираем нужный режим аутентификации: либо Windows Authentication, либо Basic Authentication, если используется SSL. Не забываем отключить anonymous login. К сожалению, RPC через HTTP в качестве Windows аутентификации пока поддерживает только NTLM и не поддерживает Kerberos :(. Будем надеяться, что Microsoft добавит эту функциональность в следующих версиях задействованного ПО.

Кстати, замечание: если между Outlook-клиентом и RPC-прокси установлен файрвол или http-прокси, NTLM аутентификация работать не будет. Единственным выходом в этой ситуации остается использование basic-метода.

ДЛЯ БОЛЕЕ ПОЛНОГО ОПИСАНИЯ НАСТРОЙКИ СЕРВЕРОВ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ RPC ЧЕРЕЗ HTTP ВОСПОЛЬЗУЙСЯ БАЗОЙ ЗНАНИЙ MICROSOFT ПО ССЫЛКЕ HTTP://SUPPORT.MICROSOFT.COM/?KBID=833401

[разрешение портов.] Теперь, для сообщения нашему прокси-серверу нового статуса, нужно внести некоторые изменения в системный реестр. Дело в том, что прокси-сервер RPC должен использовать определенные порты для обмена данными со службой каталога Active Directory и с информационным хранилищем на сервере Exchange. Exchange-сервер по умолчанию использует порты 6001, 6002 и 6004 для доступа к своему хранилищу. Поэтому на прокси-сервере с установленным IIS нужно разрешить использование этих портов. Для этого запускаем regedit.exe и создаем параметр ValidPorts типа REG_SZ и значением ServerNETBIOSName:6001-6002;ServerFQDN:6001-6002;ServerNetBIOSName:6004;ServerFQDN:6004 в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy. Где ServerNetBIOSName - имя используемого NetBIOS сервера, ServerFQDN - имя используемого сервера.

На серверах глобального каталога нужно также изменить значение реестра и разрешить использование порта 6004 для обращения к службе каталогов. Для этого открываем реестр, находим подраздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters и создаем параметр типа Multi-string с именем «NSPI interface protocol sequences» (без кавычек) и значением ncacn_http:6004. Нажимаем OK и на этом заканчиваем серверную настройку.

[конфигурирование клиента.] При использовании подхода Outlook Web Access настраивать на стороне клиента ничего и не нужно. Достаточно лишь запустить любимый веб-браузер и ввести необходимый URL доступа к почтовому или front-end серверу в строке запроса. В случае VPN предварительно нужно будет вставить смарт-карту, содержащую нужный сертификат (это может быть usb-свисток e-token, напоминающий флешку или что-то еще), затем ввести пин-код к карте и активизировать VPN-соединение.