Analizziamo in questo post le problematiche relative all'accesso a Microsoft Exchange Server utilizzando un client MAPI (Microsoft Outlook) nel caso in cui tra i due sia presente un firewall nel caso in cui non si utilizzi RPC Over HTTP.

Il problema nasce dal fatto che Microsoft Outlook inizia la conversazione con il server Exchange utilizzando la porta TCP 135 (RPC EndPoint Mapper) e poi la conversazione cpontinua utilizzando delle porte che Microsoft Exchange stabilisce dinamicamente ed in maniera random superiori alla 1024. E' chiaramente improponibile aprire sul firewall tutte le porte superiori alla 1024 !!!!

Diciamo subito che la soluzione *più pulita* consiste proprio nell'utilizzare RPC Over HTTP poichè in questo modo tutto il traffico viene incapsulato in HTTP e bisognerà aprire sul firewall solo le porte relative ad HTTP (TCP 80) e HTTPS (TCP 443).

Purtuttavia esistono delle situazioni in cui non è possibile utilizzare RPC Over HTTP vuoi perchè non disponibile (dipende dalla versione di Exchange e di Outlook), vuoi perchè si decida di non utilizzarlo pur essendo disponibile.

Esaminiamo di seguito il caso relativo ad Exchange 2003. Per una trattazione più completa di questa problematica si veda l'articolo KB 270836.

Per fare in modo che Exchange 2003 utilizzi delle porte fissate staticamente basta effettuare sul server Exchange le seguenti modifiche ai registri:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: TCP/IP Port
Value type: REG_DWORD
Value data: <VALORE1> (Decimal)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
Value name: TCP/IP NSPI Port
Value  type: REG_DWORD
Value data: <VALORE2> (Decimal)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
Value name: TCP/IP Port
Value type: REG_DWORD
Value data: <VALORE3> (Decimal)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
Value name: TCP/IP
Value type: REG_DWORD
Value data: <VALORE3> (Decimal)

Basterà ora configurare il firewall in modo che permetta il traffico verso il server Exchange relativamente alle porte TCP di cui sopra, oltre ovviamente alla TCP 135.