如何使用ISA RPC Filter安全的發布Microsoft Exchange 200

一、 為發布exchange RPC配置協議
在配置exchange發布規則之前，請先確認DNS Query（UDP 53）、DNS zone transfer（TCP 53）和SMTP（TCP 25）這幾個端口可以被使用。
1、 首先需要創建一個允許Microsoft Outlook MAPI客戶端，使135端口可以通過防火墻。展開Aclearcase/" target="_blank" >ccess Policy選擇Protocol Rules，在上面點擊右鍵，選擇NewRule
 
在新出現的新建規則向導設置為：
Name: Exchange Outlook MAPI
Action: allow
Applies to the following protocols: Selected Porlocols RPC
Schedile: Always
Apple the rule to request from: Any request

2、 在創建exchange RPC發布規則之前，你要先確定你的RPC Filter是啟用狀態，如果你的RPC Filter是禁用的，你將無法從Protocol Definition中找到Exchange RPC Server協議。打開RPC Filter方法是展開extensions選擇application filters，在右邊選擇RPC filter選擇啟用。在確認RPC filter后，創建一個exchange RPC Publishing規則，展開Publishing選擇Server Publishing Rule。點擊右鍵選擇NEWRule
 

在新出現的新建規則向導設置為：
name: exchange MAPI Publishing
Internal IP: exchange 內網IP地址
External IP: 將要發布的公網IP地址
Protocol: Exchange RPC Server
Applies to requests from: Any Request
配置完成后，重新啟動Firewall Service

二、 為發布exchange RPC 配置身份驗證
    當outlook client登陸到exchange 的時候，exchange會要求outlook client到AD去驗證身份，但是AD無法直接驗證遠程主機，所以你要配置由exchange server代理outlook Client 向AD進行身份驗證。
    具體方法是，打開exchange server上的注冊表找到：
    HKLM\System\CurrentControlSet\Services\MSEchangeSA\Paramenters
    加入下列信息：
    value: No RFR Service   注意大小寫
    Type: REG_DWORD
 Data: 1
 添加完成后重新啟動Exchange Server
    
三、 為發布exchange RPC配置DNS
對DNS配置是很多網絡管理員都會忽略的問題，當你在outlook MAPI Client配置exchange賬號，并成功的“檢查名稱”之后，你會發現你服務器的地址欄上，變成了你Exchange Server的NETBIOS名稱。這時你再使用Outlook MAPI Client連接Exchange Server的時候，outlook MAPI Client已經開始使用Exchange Server 的NETBIOS名稱在公網上進行查詢。所以很多人在配置exchange賬號的時候，可以正確“檢查名稱”，但是在使用outlook client 的時候會提示連接失敗的原因。
在知道原因后介紹一下解決辦法，一般企業的DNS會配置為兩種方案一種是使用Split-Brain DNS，另一種是企業使用內外網的DNS名稱不一致。我們來分別介紹一下這兩種類型的DNS如何配置。
   如果你的公司使用的是Split-Brain DNS。你將有兩個DNS區域使用相同的域名，這是你只需要在你的公網的DNS區域添加一個exchange server name的主機（A）記錄。使得你的內網和外網outlook MAPI Client在都可以正確的解析到你的exchange server的計算機名稱。
    例如：你的內網的exchange server的名稱是mail.domain.com并指向一個你內網的ip地址，那么需要保證你的外網DNS區域也可以解析mail.domain.com名稱，并且該域名應該指向你的exchange rpc publishing rule里設置的ip地址上。
如果你的公司使用的是內外網不一致的域名，那么你就需要在你的外網的dns區域添加一個以你的exchange server .netbios名稱為主機名的主機（A）記錄，你保證你的外網的Outlook MAPI Client可以正確的使用NETBIOS名稱，解析到你的exchange server的地址。

四、 配置Outlook MAPI客戶端
在創建賬號的問題上我相信大家不會有任何問題，在這里我只說一下DNS配置的問題，在前面我們說過Outlook MAPI客戶端的excahnge賬號在“檢查名稱”后，Outlook MAPI客戶端將使用EXCHANGE SERVER的NETBIOS在公網進行查詢。這時就會出現問題，因為NETBIOS名稱不能夠在公網上被解析，你必須自己配置連接的主要DNS后綴以保證你的Outlook mapi客戶端可以通過netbios解析到你的exchange server。在win200/xp增加主要DNS后綴有很多方法，我在這里只介紹一種
打開撥號網絡和連接，找到撥號連接，右健屬性，打開TCP/IP協議的屬性，選擇高級，在TCP/IP協議的高級設置對話框中，選擇DNS選項卡，在DNS BUFFIX FOR THIS CONNECTION中填入你的公網的DNS區域名稱。
 

完成后在命令行模式中使用ping命令測試以下，如果可以使用netbios名稱正確的解析到你的exchange server的地址就可以了。
現在你就可以使用outlook client連接你的exchange安全的進行收信了，如有其他疑問可以在winmag論壇上發帖子，我會盡力解答的。由于是第一個寫這樣的文章有不對地方還望指正,

原文轉自：http://www.kjueaiud.com