如何使用ISARPCFilter安全的发布MicrosoftExchange200

一、 为发布exchange RPC配置协议

在配置exchange发布规则之前，请先确认DNS Query（UDP 53）、DNS zone transfer（TCP 53）和SMTP（TCP 25）这几个端口可以被使用。

1、 首先需要创建一个允许Microsoft Outlook MAPI客户端，使135端口可以通过防火墙。展开Access Policy选择Protocol Rules，在上面点击右键，选择NewRule

在新出现的新建规则向导设置为：

Name: Exchange Outlook MAPI

Action: allow

Applies to the following protocols: Selected Porlocols RPC

Schedile: Always

Apple the rule to request from: Any request

2、 在创建exchange RPC发布规则之前，你要先确定你的RPC Filter是启用状态，如果你的RPC Filter是禁用的，你将无法从Protocol Definition中找到Exchange RPC Server协议。打开RPC Filter方法是展开extensions选择application filters，在右边选择RPC filter选择启用。在确认RPC filter后，创建一个exchange RPC Publishing规则，展开Publishing选择Server Publishing Rule。点击右键选择NEWRule

在新出现的新建规则向导设置为：

name: exchange MAPI Publishing

Internal IP: exchange 内网IP地址

External IP: 将要发布的公网IP地址

Protocol: Exchange RPC Server

Applies to requests from: Any Request

配置完成后，重新启动Firewall Service

二、 为发布exchange RPC 配置身份验证

当outlook client登陆到exchange 的时候，exchange会要求outlook client到AD去验证身份，但是AD无法直接验证远程主机，所以你要配置由exchange server代理outlook Client 向AD进行身份验证。

具体方法是，打开exchange server上的注册表找到：

HKLM\System\CurrentControlSet\Services\MSEchangeSA\Paramenters

加入下列信息：

value: No RFR Service 注意大小写

Type: REG_DWORD

Data: 1

添加完成后重新启动Exchange Server

三、 为发布exchange RPC配置DNS

对DNS配置是很多网络管理员都会忽略的问题，当你在outlook MAPI Client配置exchange账号，并成功的“检查名称”之后，你会发现你服务器的地址栏上，变成了你Exchange Server的NETBIOS名称。这时你再使用Outlook MAPI Client连接Exchange Server的时候，outlook MAPI Client已经开始使用Exchange Server 的NETBIOS名称在公网上进行查询。所以很多人在配置exchange账号的时候，可以正确“检查名称”，但是在使用outlook client 的时候会提示连接失败的原因。

在知道原因后介绍一下解决办法，一般企业的DNS会配置为两种方案一种是使用Split-Brain DNS，另一种是企业使用内外网的DNS名称不一致。我们来分别介绍一下这两种类型的DNS如何配置。

如果你的公司使用的是Split-Brain DNS。你将有两个DNS区域使用相同的域名，这是你只需要在你的公网的DNS区域添加一个exchange server name的主机（A）记录。使得你的内网和外网outlook MAPI Client在都可以正确的解析到你的exchange server的计算机名称。

例如：你的内网的exchange server的名称是mail.domain.com并指向一个你内网的ip地址，那么需要保证你的外网DNS区域也可以解析mail.domain.com名称，并且该域名应该指向你的exchange rpc publishing rule里设置的ip地址上。

如果你的公司使用的是内外网不一致的域名，那么你就需要在你的外网的dns区域添加一个以你的exchange server 的netbios名称为主机名的主机（A）记录，你保证你的外网的Outlook MAPI Client可以正确的使用NETBIOS名称，解析到你的exchange server的地址。

四、 配置Outlook MAPI客户端

在创建账号的问题上我相信大家不会有任何问题，在这里我只说一下DNS配置的问题，在前面我们说过Outlook MAPI客户端的excahnge账号在“检查名称”后，Outlook MAPI客户端将使用EXCHANGE SERVER的NETBIOS在公网进行查询。这时就会出现问题，因为NETBIOS名称不能够在公网上被解析，你必须自己配置连接的主要DNS后缀以保证你的Outlook mapi客户端可以通过netbios解析到你的exchange server。在win200/xp增加主要DNS后缀有很多方法，我在这里只介绍一种

打开拨号网络和连接，找到拨号连接，右健属性，打开TCP/IP协议的属性，选择高级，在TCP/IP协议的高级设置对话框中，选择DNS选项卡，在DNS BUFFIX FOR THIS CONNECTION中填入你的公网的DNS区域名称。

完成后在命令行模式中使用ping命令测试以下，如果可以使用netbios名称正确的解析到你的exchange server的地址就可以了。

现在你就可以使用outlook client连接你的exchange安全的进行收信了，如有其他疑问可以在winmag论坛上发帖子，我会尽力解答的。由于是第一个写这样的文章有不对地方还望指正,