RPC over HTTPS einrichten?

    Jop, habe ich gemacht, bringt leider nichts. Ich kann es von extern im Moment leider nicht testen, nur intern. Was mir nicht ganz in den Kopf will: wieso fehlen mit laut rpcwizard Exchange Dienste?

    • Offizieller Beitrag

    Hi,


    was das Zertifikat angeht bin ich mir nicht zu 100% sicher aber ich meine, dass ich bei einem Kunde dies auch ohne dies von extern unterschreiben zu lassen, am laufen hatte. Ich post dies nun mal bei Euch beiden, da Ihr allem Anschein nach die gleiche Umgebung habt und auch den gleichen Fehler.


    1. Das mit dem RPC Wizardfehler könnt Ihr links liegen lass. Das Toll ist noch recht neu und ich habe den Hinweis an den Entwickler weiter gegeben.


    Stellt sicher, das DNS und auch WINS sauber funktioniert! Exchange braucht WINS zur fehlerfreien Arbeit!


    Bitte stellt sicher, dass der Client folgende Vorraussetzungen erfüllt:
    - Windows XP SP2
    - Outlook 2003


    - RPC over http ist installiert
    - Haken im ESM für RPC over http war gesetzt.
    - Im IIS ist bei RPC ?Basic authentication? und ?Integrated Windows authentication? gesetzt. Zusätzlich ist ?Enable anonymous access? deaktiviert! Ausserdem ist SSL aktiviert.
    - In der Registry unter ?HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy? hat der Key ?ValidPorts? folgenden Eintrag: ?ExchangeServer:6001-6002;ExchangeServerFQDN:6001-6002;ExchangeServer:6004;ExchangeServerFQDN:6004;? (Dabei wurden auch keine Leerzeichen, und auch das Semikolon am Ende des Strings gesetzt.)
    - Im selben Pfad wurde der Key ?AllowAnonymous? auf den Wert ?1? gesetzt.
    - Server neu gestartet!


    Mit einem Browser die URL https://exchangeservername.domain/RPC aufrufen und testen.
    Die CA muss dem Client bekannt sein, wenn Du also über einen Browser https://ExchangeServer/rpc
    aufrufst, kommt die Information des Zertifikates.
    Wenn dabei der Hinweis kommt, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, so musst Du diese am Client als vertrauenswürdig hinzufügen.


    Sollte dies bei Euch beiden nicht gehen, werde ich es am Montag selber nachstellen, um sicher zu sein, dass es auch ohne ein externes Zertifikat geht.


    Gruss
    Heinz

    - DSN/WINS funktionieren jeweils
    - XP SP"/Outlook 2003 SP2 sind vorhanden


    - Reg Einträge gecheckt, ?AllowAnonymous? ergänzt
    - https://ExchangeServer/rpc
    Ich hatte das Zertifikat importiert, habe es jetzt mal gelöscht und bekomme jetzt den Hinweis, wenn ich die oben genannte URI aufrufe. Nach dem Bestätigen werde ich nach Benutzernamen und Passwort gefragt.


    Der Semikolon hatte bei den "ValidPorts" am Ende gefehlt, habe es korrigiert.

    • Offizieller Beitrag

    Hi,


    schau Dir bitte mal folgende Artikel an und teste die Punkte unter Problembehandlung.


    http://support.microsoft.com/?kbid=827330&SD=tech


    http://support.microsoft.com/?kbid=833401


    Auf das Ergebis bin ich mal gespannt!



    Ausserdem prüfe mal bitte, ob folgende Regkeys vorhanden sind:


    Code
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Value name: Rpc/HTTP Port
Value type: REG_DWORD
Value data: 0x1771 (Decimal 6001)


    Code
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: HTTP Port
Value type: REG_DWORD
Value data: 0x1772 (Decimal 6002)


    Code
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: Rpc/HTTP NSPI Port
Value type: REG_DWORD
Value data: 0x1774 (Decimal 6004)


    Bitte diese Keys nicht abändern!!!


    Dann noch bitte die folgenden Einträge:


    Code
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 
Value name: NSPI interface protocol sequences
Value type: Multi-String
Value data: ncacn_http:6004


    Code
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy
Value name: ValidPorts
Value data: ServerNETBIOSName:100-5000


    Falls nicht vorhanden dann bitte setzen!


    Was kommt, wenn Du in der Eingabeaufforderung folgendes eingibst:


    rpccfg /hd


    Gruss
    Heinz

    So, endlich mal Zeit zum Gucken. Also, die MS Artikel habe ich gerade gelesen, allerdings nur bis zur Stelle mit dem Zertifikat, weil ich folgende Meldung bekomme:


    Und bei dem Reg Eintrag mit "ValidPorts" habe ich "BARS:6001-6002;BARS.BAUMANN.LOCAL:6001-6002;BARS:6004;BARS.BAUMANN.LOCAL:6004;" stehen. Hmm, ist dieser Eintrag falsch?



    Vielen Dank schon mal für eure Hilfe!

    Hein,
    sorry, etwas vergessen. Nein, mein PC hier ist kein Mitglied meiner Domäne. Ich habe das Zertifikat via IE bei der Abfrage installiert. Trusted sites msus ich noch abchecken.

    • Offizieller Beitrag

    Es ist keine Bedingung, dann muss das Zertifikat aber im IE importiert werden.


    Wie bei USR sollten alle Haken auf grün stehen!


    usr
    Ich denke mal, dass bei Dir der Name nicht mit dem im Zertifikat übereinstimmt. Der in der URL verwendete Domainenname sollte der common name des Zertifikats sein. Für OWA ist das kein Problem, aber für ActiveSync und RPC!


    Gruss
    Heinz

    Jetzt habe ich einen Ansatzpunkt, sehr schön. Aber: ich verwende ja intern einen anderen Domänennamen als extern. Extern habe ich meinen Dyndns account. Hmm und jetzt?