4
RPC over HTTP - Unter Windows Server 2008 und Exchange 2007
Da in letzter Zeit mehrfach das Problem "RPC over HTTP" mit Windows Server 2008 und Exchange 2007 angesprochen worden ist,
gibt es hier ein kleines HOWTO dazu...
-Windows Server 2008
-Exchange 2007
-Enterprise Zertifizierungsstelle
-Zertifizierungsstellen-Webregistrierung
-Windows 7 (Client)
-Outlook 2003 SP3
Um RPC over HTTP nutzen zu können, muss IPv6 in der Registry auf dem Server deaktiviert werden:
http://support.microsoft.com/kb/929852
Zuerst installieren wir das Feature "RPC-über-HTTP-Proxy"
Ob die Verbindung zustande kommt, können wir mit folgendem Behfel testen:
Dazu öffnen wir die Exchange Management Console.
Mit einem Rechtsklick auf "MSDC01", wählen wir "Outlook Anywhere aktivieren" aus.
Im sich öffnenden Fenster geben wir den externen Hostnamen ein (hier intern= msdc01.mydomain.local)
und klicken zum Abschluss auf "aktivieren".
Als nächstes müssen wir am Client das Stammzertifizierungsstellen-Zertifikat unserer Zertifizierungsstelle
installieren bzw. als vertrauenswürdig einstufen.
Wir verbinden uns mit der Zertifizierungsstellen-Webregistrierung am Server. Dazu öffnen wir den Browser (IE 8) und geben folgendes ein:
https://msdc01.mydomain.local/certsrv
Es erscheint eine Zertifikatswarnung, die uns darauf hinweißen will, dass wir der herausgebenden Zertifizierungsstelle nicht vertrauen.
Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)
Wir ignorieren diese Warnung und müssen uns authentifizieren,
um die Zertifizierungsstellen-Webregistrierung benutzen zu können.
Danach wählen wir "Download eines Zertifizierungsstellenzertifikats" aus!
Nun bekommen das Zertifzierungsstellenzertifikat und die Codierungsmethode angezeigt,
wobei wir "Download des Zertifzierungsstellenzertifikat" auswählen!
Wir wählen im sich öffnenden Fenster "Öffnen" aus und
installieren das Zertifikat in den Zertifikatsspeicher der "Vertrauenswürdigen Stammzertifizierungsstellen":
Wenn wir danach erneut den Browser öffnen und z.B.
https://msdc01.mydomain.local/owa eingeben,
dann sollte keine Zertifikatsfehlermeldung mehr erscheinen!
Am Ende müssen wir Outlook noch so konfigurieren,dass die Verbindung über Https erfolgt.
Wichtig ist hierbei, dass unter "Verbindung" - "Exchange-Proxyeinstellungen"
die korrekte URL angegeben wird, worunter der Exchange erreichbar ist (OWA).
Zu guter Letzt wollen wir die Verbindung zum Exchange Server testen.
Dazu starten wir am Client Outlook, müssen uns ggf. mit Benutzername und Passwort authentifizieren.
Danach lassen wir uns den Verbindungsstatus anzeigen, der uns die Verbindung über Https bestätigt.
Bei Fragen stehe ich natürlich immer zur Verfügung!
Gruß,
Ole
gibt es hier ein kleines HOWTO dazu...
Informationen zum Testsystem:
-Windows Server 2008-Exchange 2007
-Enterprise Zertifizierungsstelle
-Zertifizierungsstellen-Webregistrierung
-Windows 7 (Client)
-Outlook 2003 SP3
Wichtig:
Um RPC over HTTP nutzen zu können, muss IPv6 in der Registry auf dem Server deaktiviert werden:http://support.microsoft.com/kb/929852
Erster Schritt: RPC over HTTP Proxy installieren
Zuerst installieren wir das Feature "RPC-über-HTTP-Proxy"Ob die Verbindung zustande kommt, können wir mit folgendem Behfel testen:
telnet servername 593Zweiter Schritt: Aktivieren von Outlook Anywhere:
Dazu öffnen wir die Exchange Management Console.Mit einem Rechtsklick auf "MSDC01", wählen wir "Outlook Anywhere aktivieren" aus.
Im sich öffnenden Fenster geben wir den externen Hostnamen ein (hier intern= msdc01.mydomain.local)
und klicken zum Abschluss auf "aktivieren".
Dritter Schritt: Clientkonfiguration & Zertifikat Teil 1:
Als nächstes müssen wir am Client das Stammzertifizierungsstellen-Zertifikat unserer Zertifizierungsstelleinstallieren bzw. als vertrauenswürdig einstufen.
Wir verbinden uns mit der Zertifizierungsstellen-Webregistrierung am Server. Dazu öffnen wir den Browser (IE 8) und geben folgendes ein:
https://msdc01.mydomain.local/certsrv
INFO: Falls das Exchange Zertifikat auf mehrere Namen ausgestellt werden soll (z.B. intern & extern) wird Dir dieser Beitrag weiterhelfen:
Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)Vierter Schritt: Clientkonfiguration & Zertifikat Teil 2:
Wir ignorieren diese Warnung und müssen uns authentifizieren,um die Zertifizierungsstellen-Webregistrierung benutzen zu können.
Danach wählen wir "Download eines Zertifizierungsstellenzertifikats" aus!
Nun bekommen das Zertifzierungsstellenzertifikat und die Codierungsmethode angezeigt,
wobei wir "Download des Zertifzierungsstellenzertifikat" auswählen!
Fünfter Schritt: Clientkonfiguration & Zertifikat Teil 3:
Wir wählen im sich öffnenden Fenster "Öffnen" aus undinstallieren das Zertifikat in den Zertifikatsspeicher der "Vertrauenswürdigen Stammzertifizierungsstellen":
Wenn wir danach erneut den Browser öffnen und z.B.
https://msdc01.mydomain.local/owa eingeben,
dann sollte keine Zertifikatsfehlermeldung mehr erscheinen!
Sechster Schritt: Outlook Konfiguration:
Am Ende müssen wir Outlook noch so konfigurieren,dass die Verbindung über Https erfolgt.die korrekte URL angegeben wird, worunter der Exchange erreichbar ist (OWA).
Letzer Schritt: Verbindungstest:
Zu guter Letzt wollen wir die Verbindung zum Exchange Server testen.Dazu starten wir am Client Outlook, müssen uns ggf. mit Benutzername und Passwort authentifizieren.
Danach lassen wir uns den Verbindungsstatus anzeigen, der uns die Verbindung über Https bestätigt.
Bei Fragen stehe ich natürlich immer zur Verfügung!
Gruß,
Ole
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127879
Url: https://administrator.de/contentid/127879
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo ollembyssan
Ich sehe du machst echt tolle Anleitungen!
Diese Anleitung hat bei mir tip top funktioniert. Die Benutzer konnten zu Hause via Internet mit dem Outlook arbeiten.
Jedoch hat Outlook dann auch im Büro via Internet verbunden, was zu starken Performance-Einbussen führte, weshalb ich den Hacken bei "Bei schnellen Netzwerken zuerst eine Verbindung..." wieder entfernen musste.
Da die Benutzer zu Hause alle ADSL Internetzugänge haben, konnten sie so nicht mehr mit Outlook verbinden.
Kennst du eine Lösung mit der die Benutzer von zu Hause aus (mit schnellem LAN) und im Büro arbeiten können?
Liebe Grüsse
computermerlae
Ich sehe du machst echt tolle Anleitungen!
Diese Anleitung hat bei mir tip top funktioniert. Die Benutzer konnten zu Hause via Internet mit dem Outlook arbeiten.
Jedoch hat Outlook dann auch im Büro via Internet verbunden, was zu starken Performance-Einbussen führte, weshalb ich den Hacken bei "Bei schnellen Netzwerken zuerst eine Verbindung..." wieder entfernen musste.
Da die Benutzer zu Hause alle ADSL Internetzugänge haben, konnten sie so nicht mehr mit Outlook verbinden.
Kennst du eine Lösung mit der die Benutzer von zu Hause aus (mit schnellem LAN) und im Büro arbeiten können?
Liebe Grüsse
computermerlae
Hallo Ole,
danke für die Anleitung, ich habe eine ähnliche durchgeführt, um generell den Exchange 2007 auf Windows Server 2008 einzurichten, mit OWA und Outlook-Zugriff von außen. Der DC ist auf einem weiteren Server 2008, sowie TMG 2010 (vormals ISA 2006) auf einem Server 2008 R2.
Das klappt auch soweit prima, allerdings ein Problem taucht bei genauerem Hinsehen auf:
Ein User greift von außen mit Laptop und Outlook auf Exchange zu, ist verbunden, kann Mails empfangen und senden - letzteres aber NUR an Adressen, die IHM schon geschrieben haben, oder an die er bereits einmal eine Mail versandt hat. NEUE Adresse gehen nicht, beim Senden meldet Outlook "Die Verbindung mit Microsoft Exchange ist nicht verfügbar. Outlook muss im Onlinemodus" usw. ONLINE ist er aber.
Startet man Outlook dann mal mit /rpcdiag, sieht man die vermutliche Ursache: Es wird keine Verbindung zum Verzeichnis hergestellt, nur zum Exchange-Server (HTTPS).
Stellt der User eine VPN-Verbindung her, hat er das Problem nicht, der Verzeichnisserver (hier DC) kann angesprochen werden.
In Deinem Screenshot sieht man, dass der Verzeichnisserver GLEICH dem Exchange-Server ist, ebenso habe ich es in einem anderen Beispiel gesehen.
Nun ist die Frage, ob bei mir etwas falsch eingestellt ist
- müsste hier als Verzeichnis der Exchange genutzt und angezeigt werden?
- oder ist der Verzeichnisserver gleich dem DC, und das Problem ist eher ein FW-Thema (ich möchte eigentlich nicht gerne Zugriffe auf den DC durch die FW zulassen...)
Wo muss man den Hebel ansetzen, hast Du eine Idee?
Grüße
Grommit
danke für die Anleitung, ich habe eine ähnliche durchgeführt, um generell den Exchange 2007 auf Windows Server 2008 einzurichten, mit OWA und Outlook-Zugriff von außen. Der DC ist auf einem weiteren Server 2008, sowie TMG 2010 (vormals ISA 2006) auf einem Server 2008 R2.
Das klappt auch soweit prima, allerdings ein Problem taucht bei genauerem Hinsehen auf:
Ein User greift von außen mit Laptop und Outlook auf Exchange zu, ist verbunden, kann Mails empfangen und senden - letzteres aber NUR an Adressen, die IHM schon geschrieben haben, oder an die er bereits einmal eine Mail versandt hat. NEUE Adresse gehen nicht, beim Senden meldet Outlook "Die Verbindung mit Microsoft Exchange ist nicht verfügbar. Outlook muss im Onlinemodus" usw. ONLINE ist er aber.
Startet man Outlook dann mal mit /rpcdiag, sieht man die vermutliche Ursache: Es wird keine Verbindung zum Verzeichnis hergestellt, nur zum Exchange-Server (HTTPS).
Stellt der User eine VPN-Verbindung her, hat er das Problem nicht, der Verzeichnisserver (hier DC) kann angesprochen werden.
In Deinem Screenshot sieht man, dass der Verzeichnisserver GLEICH dem Exchange-Server ist, ebenso habe ich es in einem anderen Beispiel gesehen.
Nun ist die Frage, ob bei mir etwas falsch eingestellt ist
- müsste hier als Verzeichnis der Exchange genutzt und angezeigt werden?
- oder ist der Verzeichnisserver gleich dem DC, und das Problem ist eher ein FW-Thema (ich möchte eigentlich nicht gerne Zugriffe auf den DC durch die FW zulassen...)
Wo muss man den Hebel ansetzen, hast Du eine Idee?
Grüße
Grommit
tolle Anleitung ansich,
doch wo immer ich diese Herangehensweise sehe, stellen sich mir die Haare zu Berge, denn:
IPv6 zu deaktivieren ist falsch - damit nimmst Du dem Server, wenn er DC ist, die grundlage für seine Funktion als solcher. Übrigens sieht man auch in anderen einschlägigen Webseiten den Hinweis immer wieder, man solle ::1 aus der host-Datei entfernen - womit defakto das gleiche passiert. Ein 2008 / R2 kann ohne diese Einträge nicht mehr als DomainController funktionieren - selbst ausprobiert! Wo auch immer das so funktionieren mag, war noch nicht einer im Stande, anzugeben, was als Ersatz hergenommen wird. Keiner unserer Tests hat jemals auf diese Weise funktioniert. Patchlevel Stand Anfang Mai 2010.
In Deiner Anleitung vermisse ich den Punkt, dass beim Client das Root-Zertifikat installiert wird - es sollte der Stammzertifizierungsstelle vertraut werden... oder nicht?
Hattest Du Erfolg damit, einen Nicht-Domänen-PC per Outlook von außerhalb an Exchange anzubinden? Laut msxfaq soll's gehen...
Wie sieht das aus mit der Kernel-Level-Authentifikation, da gibt's doch auch ein Problem im Zusammenhang mit IIS und der wiederkehrenden Abfrage des Passworts - schon ne Lösung gefunden?
vg TC
doch wo immer ich diese Herangehensweise sehe, stellen sich mir die Haare zu Berge, denn:
IPv6 zu deaktivieren ist falsch - damit nimmst Du dem Server, wenn er DC ist, die grundlage für seine Funktion als solcher. Übrigens sieht man auch in anderen einschlägigen Webseiten den Hinweis immer wieder, man solle ::1 aus der host-Datei entfernen - womit defakto das gleiche passiert. Ein 2008 / R2 kann ohne diese Einträge nicht mehr als DomainController funktionieren - selbst ausprobiert! Wo auch immer das so funktionieren mag, war noch nicht einer im Stande, anzugeben, was als Ersatz hergenommen wird. Keiner unserer Tests hat jemals auf diese Weise funktioniert. Patchlevel Stand Anfang Mai 2010.
In Deiner Anleitung vermisse ich den Punkt, dass beim Client das Root-Zertifikat installiert wird - es sollte der Stammzertifizierungsstelle vertraut werden... oder nicht?
Hattest Du Erfolg damit, einen Nicht-Domänen-PC per Outlook von außerhalb an Exchange anzubinden? Laut msxfaq soll's gehen...
Wie sieht das aus mit der Kernel-Level-Authentifikation, da gibt's doch auch ein Problem im Zusammenhang mit IIS und der wiederkehrenden Abfrage des Passworts - schon ne Lösung gefunden?
vg TC
Danke für die Anleitung. Diese hat mir geholfen meinen Fehler zu finden und erfolgreich Exchange einzurichten.
