[求助]OUTLOOK 无法通过rpc over http 访问EXCHANGE 2003邮件服务器 [复制链接]

环境：
       Exchange 2003 服务器1：
                                        IP：192.168.20.1     DC       非前后端
       Exchange 2003 服务器2：
                                        IP：192.168.20.6     DC       后端           FQDN：Blade3.XXXX.cn
       所有的RPC，CA服务器都安装在 Blade3.XXXX.cn上。
      
申请证书时填的公共名称为：Mail.xxxxx.cn （OWA地址）

修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts]时填入" blade3 :6001-6002; blade3.xxxx.cn :6001-6002; blade3 :6004; blade3.xxxx.cn :6004 "

在客户端已经安装CA证书。


问题测试结果如下:

正在测试 RPC/HTTP 连接。
RPC/HTTP 测试失败。
测试步骤
正在尝试解析 DNS 中的主机名 mail.XXXXX.cn。
成功解析了主机名。
其他详细信息
返回的 IP 地址: xx.xx.xx.xx
正在测试主机 mail.xxxxxx.cn 上的 TCP 端口 443，以确保它是否正在侦听/打开。
已成功打开端口。
正在测试 SSL 证书，以确保其有效。
SSL 证书未能对一个或多个证书验证进行检查。
测试步骤
正在验证证书名称。
已成功验证证书名称。
其他详细信息
已在证书主题共用名称中找到主机名 mail.xxxxxx.cn。
正在进行证书信任验证。
证书信任验证失败。
其他详细信息
未能生成证书链。可能缺少必要的中间证书。

现在问题就是在OUTLOOK打开过后显示登录对话框，输入用户名和密码后提示EXCHANGE不可用。

求解答。谢谢！

您好，首先，我建议您禁用前端Exchange服务器的IPv6，然后将您的DC的6004端口也通过注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts发布出去，同时将HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeServiceHost\RpcHttpConfigurator\下的PeriodicPollingMinutes键值设为0以防止RpcHttpConfigurator进程自动更新

相关资料：
http://blogs.technet.com/b/exchange/archive/2008/06/20/3405633.aspx

您好！
1. 我现在的结构是没有前端服务器的。
2. 在Exchange 2003 server上没有 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeServiceHost\RpcHttpConfigurator 注册表信息。
3. 您的DC的6004端口也通过注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts发布出去是什么意思呢？是不是我需要在20.1 的服务器也要做相应的注册表改动？
如： 修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy\ValidPorts]时填入" blade3 :6001-6002; blade3.xxxx.cn :6001-6002; blade3 :6004; blade3.xxxx.cn :6004 "

我模糊得记得，Exchange 2003只有部署了前端服务器，才能启用RCP PROXY。

http://technet.microsoft.com/zh-cn/library/bb124671(EXCHG.65).aspx
http://technet.microsoft.com/zh-cn/library/aa997232(EXCHG.65).aspx
微软上说的可以在无前端服务器上部署 ROH。

1. Exchange 2003的问题建议上在Exchange 2003板块

2. Exchange 2003无前端是可以部署ROH的

3. Exchange 2003不建议装在DC上面，如果一定要装在一起的话，那这台DC最好同时也是GC

4. 从目前情况来看，可能是客户端上未装好根证书。如果在客户端上访问OWA的话会有证书报错吗？

5. 一般你这种情况可以参照下文来部署ROH：

http://technet.microsoft.com/en-us/library/aa997232(EXCHG.65).aspx

6. 如果这台是GC的话，还需要注意设置好NTDS port

How to Set the NTDS Port on a Global Catalog Server Acting as an Exchange Server 2003 Back-End Server
http://technet.microsoft.com/en-us/library/bb124159(EXCHG.65).aspx

OPOP大大，
    a. 没有发在EXCHANGE 2003版块是我的疏忽。
    b. Exchange 2003 是安装在192.168.20.1 和 192.168.2.6 上，2台都是DC，也都是GC。
    c. 在客户端上访问OWA没有任何问题。
    d. 我就是按照微软的指南做的。GC也设置了。

图片:2011-06-24-IIS-CA.png

图片:2011-06-24-pro-regedit.png

      
      

图片:2011-06-24-NTDS.png

用RPCPing工具测试下：

语法：
rpcping -t ncacn_http -s blade3.xxxx.cn -o RpcProxy=mail.xxxx.cn -P "user,domain,*" -I "user,domain,*" -H 1 -u 10 -a connect -F 3 -v 3 -E -R none

替换user为测试用户名，domain为域名。注意大小写。系统将首先提示您输入 Exchange 服务器密码，然后提示您输入 RPC 代理服务器密码。如果 RPC Ping 实用工具测试成功，您将收到以下响应

RPCPinging proxy server ExchServer with Echo Request Packet
Sending ping to server
Response from server received: 200
Pinging successfully completed in Response_Time ms

若得到上述响应的话，进一步执行：

rpcping -t ncacn_http -s blade3.xxxx.cn -o RpcProxy=mail.xxxx.cn -P "user,domain,*" -I "user,domain,*" -H 1 –F 3 –a connect –u 10 –v 3 –e 6001

结果如何？

然后将6001分别替换成6002和6004再看看结果如何

具体请参考http://support.microsoft.com/kb/831051

OPOP大大，


在客户端做了RPC Ping测试，结果是

图片:2011-06-29_RPC Ping-client.png

在服务器端测试，结果如下：

图片:2011-06-29_RPC Ping-server.png

下面是我在网上找到的关于500错误的信息。

SSL
Session Setup with “RpcProxyFqdn” Failed



RPCPing:

Response from server received: 500

HTTP_Test:

1.  -- Request for
'https://ex.pub.isase.lab/rpc/rpcproxy.dll' produced HTTP Response 500, '( The
target principal name is incorrect. )'

2.  -- Request for
'https://ex.pub.isase.lab/rpc/rpcproxy.dll' produced HTTP Response 500, '( The
certificate chain was issued by an authority that is not trusted.  )'

WinHTTPTrace:

1.  HTTP/1.1 500 ( The target principal name is incorrect. )

2.  HTTP/1.1 500 ( The certificate chain was issued by an authority that is not trusted.  )

ISA Logs:

1.  HTTP status Code = 0x80090322

2.  HTTP status Code = 0x80090325

ISA Alerts:

1.  SSL connection failure with published server (name mismatch)

Description: ISA
Server could not establish an SSL connection with the published server
RpcProxyFqdn on port 443 because the name on the SSL server certificate used by
the published server does not match the internal name of the Web server
<IncorrectCert>, as specified in the publishing rule.
Verify that the
internal name specified in the publishing rule is correct. If the problem
persists contact the Web server administrator

2.  SSL connection failure with published server (no trust)

Description: ISA Server could not establish an SSL connection with the published server RpcProxyFqdn on port 443
because it does not trust the issuer of the SSL server certificate used by the
published server. Verify that the root certificate for the certification
authority (CA) that issued the server certificate is installed on the ISA Server
computer. If the problem persists contact the Web server
administrator.

RPC
Proxy (IIS) Logs:

None

Problem Resolution:

1.       Verify that the subject name of the certificate
includes the same name as the RpcProxyFqdn specified in the web publishing rule
To tab.

2.       Verify that the ISA Server includes the certificate
for the issuing authority in the Local Computer Trusted Root Certification
Authorities

因为现在公司内部有一台TMG 2010的Server。 但是应该已经把Exchange 2003 发布出去了。因为能访问OWA的。