如何在Exchange 2013中禁用对ECP的外部访问
最近有客户问我,自从Exchange 从2010升级到Exchange 2013后,Exchange管理中心(EAC)是新的管理控制台。它取代了它的前身Exchange管理控制台(EMC),它支持管理Exchange 2013组织。因为EMC是Microsoft管理控制台(MMC)类型的应用程序,EAC是基于Web的管理控制台,它做为IIS上的虚拟目录安装在客户端访问服务器(CAS)上,所以两个控制台都很是独特。EAC配有交换控制面板(ECP)它是一个非限制性的网络应用程序,能够从网络(LAN,Internet)的各个位置实时访问。任何拥有有效用户名和密码的用户,均可能会之前所未有的方式登陆。当CAS安装在像DMZ区域这样的外围网络中时,这可能会形成很大的威胁,一些使用拦截密码的***能够经过互联网登陆ECP。安全
幸运的是,微软给咱们提供了一个限制访问ECP的方案,而没必要关闭对OWA的访问。咱们能够经过简单地遵循Technet的文档并尝试下面的命令来作到这一点:服务器
Set-EcpVirtualDirectory -identity“ecp <默认网站>”-AdminEnabled $ false
从上面的截图能够看出,若是咱们但愿当即生效,咱们能够执行“iisreset / noforce”命令。
网络
iisreset / noforce
解决方案实施后,每次尝试到达ECP页面都将以“404页面未找到”错误结束,或者将请求重定向到管理员账户详细信息的OWA选项(请参见下面的屏幕)。
ide
可是,这个解决方案有一个缺点。尽管经过实现这个功能,咱们成功地限制了从Internet区域访问ECP,可是咱们却没法从内部网络访问ECP。在这种状况下,Microsoft建议咱们在内部网络安装一个CAS服务器仅用于内部ECP访问。但在我本身和专业的IT同事的意见中,更好的办法是在面向互联网的CAS上安装第二个带有ECP和OWA虚拟目录的网站。这是一个更简单,更快捷的解决方案。网站
要应用该解决方案,咱们须要为安装CAS 的服务器分配第二个IP地址(一般都是一个IP地址)。经过在CAS服务器中安装的第二个网络适配器上配置新的IP地址,或者在现有网络接口上分配第二个IP地址,能够轻松完成此任务。第一种方式主要是由管理员在出于安全策略合规性缘由的状况下部署,然而第二种方式在实现方面更容易,更快捷。下面的屏幕说明了后一种解决方案:url
将IP地址分配到CAS以后,咱们须要在DNS服务器上的DNS区域中建立适当的记录。这个记录中的名字将被用来联系自定义的ECP虚拟目录。更重要的是,这个记录还须要指出早一步配置的IP地址:
spa
在下一步中,咱们为 C:\ Inetpub文件夹下的第二个网站建立一个文件夹,例如wwwroot2。orm
当建立文件夹时,咱们必须打开Internet信息服务(IIS)管理器并创建第二个网站,例如“InternalEAC”,指向建立的文件夹C:\ inetpub \ wwwroot2并绑定到TCP / 80(HTTP) TCP / 443(HTTPS)端口。下面的屏幕展现了漫游过程。blog
首先,咱们必须记住将新网站与新的IP地址绑定:接口
在下面的步骤中,咱们须要在新建立的第二个网站下为ECP和OWA创建虚拟目录。咱们将经过执行如下命令来解决这个问题:
New-EcpVirtualDirectory -Server“<ServerIdParameter>” - WebSiteName“InternalEAC”-InternalUrl“<internal url>”
New-OwaVirtualDirectory -Server“<ServerIdParameter>” - WebSiteName“InternalEAC”-InternalUrl“<internal url>”
在此以后,咱们使用前面提到的Microsoft解决方案禁用对EAC的访问。要作到这一点,咱们只需运行如下命令:
Set-EcpVirtualDirectory -identity“ecp <默认网站>”-AdminEnabled $ false
iisreset / noforce
最后,只有两个最后的步骤去。它限制访问绑定到咱们自定义网站的IP地址,例如内部用户或管理员管理站。这将阻止从周边网络或互联网区域等不受欢迎的区域访问咱们的新网站。
最后一步是为自定义ECP网站分配用于SSL目的的适当证书。它能够是第三方证书(例如已经分配给默认网站的现有通配符证书),内部CA的证书或自签名证书。在建立新证书的状况下,咱们必须记住将证书中的名称与ECP URL中使用的名称进行匹配。
- 1. 如何在Exchange 2013中禁用对ECP的外部访问
- 2. Exchange Server 2016 CU5 OWA/ECP访问失败
- 3. 如何设置Exchange-Ecp的管理员
- 4. word 禁用dtd_如何在Word 2013中禁用屏幕提示
- 5. Exchange 2013 ecp中启用重置用户密码功能
- 6. [Troubleshooting]-Exchange 2013 OWA & ECP 发生错误 500意外错误
- 7. 技巧:在Silverlight中如何访问外部xap文件中UserControl
- 8. SFB 项目经验-81-在企业内部外部限制访问ECP
- 9. Exchange 2016/2013 - 禁用OWA密码更改
- 10. Exchange 2013恢复已禁用邮箱
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • Redis在Java Web中的应用 - Redis教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • C# 中 foreach 遍历的用法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 如何在Exchange 2013中禁用对ECP的外部访问
- 2. Exchange Server 2016 CU5 OWA/ECP访问失败
- 3. 如何设置Exchange-Ecp的管理员
- 4. word 禁用dtd_如何在Word 2013中禁用屏幕提示
- 5. Exchange 2013 ecp中启用重置用户密码功能
- 6. [Troubleshooting]-Exchange 2013 OWA & ECP 发生错误 500意外错误
- 7. 技巧:在Silverlight中如何访问外部xap文件中UserControl
- 8. SFB 项目经验-81-在企业内部外部限制访问ECP
- 9. Exchange 2016/2013 - 禁用OWA密码更改
- 10. Exchange 2013恢复已禁用邮箱