如何在Exchange 2013中禁用對ECP的外部訪問

        最近有客戶問我，自從Exchange 從2010升級到Exchange 2013後，Exchange管理中心（EAC）是新的管理控制檯。它取代了它的前身Exchange管理控制檯（EMC），它支持管理Exchange 2013組織。因爲EMC是Microsoft管理控制檯（MMC）類型的應用程序，EAC是基於Web的管理控制檯，它做爲IIS上的虛擬目錄安裝在客戶端訪問服務器（CAS）上，所以兩個控制檯都很是獨特。EAC配有交換控制面板（ECP）它是一個非限制性的網絡應用程序，能夠從網絡（LAN，Internet）的各個位置實時訪問。任何擁有有效用戶名和密碼的用戶，均可能會之前所未有的方式登陸。當CAS安裝在像DMZ區域這樣的外圍網絡中時，這可能會形成很大的威脅，一些使用攔截密碼的***能夠經過互聯網登陸ECP。

    幸運的是，微軟給咱們提供了一個限制訪問ECP的方案，而沒必要關閉對OWA的訪問。咱們能夠經過簡單地遵循Technet的文檔並嘗試下面的命令來作到這一點：

     

Set-EcpVirtualDirectory -identity「ecp <默認網站>」-AdminEnabled $ false

從上面的截圖能夠看出，若是咱們但願當即生效，咱們能夠執行「iisreset / noforce」命令。

iisreset / noforce

解決方案實施後，每次嘗試到達ECP頁面都將以「404頁面未找到」錯誤結束，或者將請求重定向到管理員賬戶詳細信息的OWA選項（請參見下面的屏幕）。

               

可是，這個解決方案有一個缺點。儘管經過實現這個功能，咱們成功地限制了從Internet區域訪問ECP，可是咱們卻沒法從內部網絡訪問ECP。在這種狀況下，Microsoft建議咱們在內部網絡安裝一個CAS服務器僅用於內部ECP訪問。但在我本身和專業的IT同事的意見中，更好的辦法是在面向互聯網的CAS上安裝第二個帶有ECP和OWA虛擬目錄的網站。這是一個更簡單，更快捷的解決方案。

要應用該解決方案，咱們須要爲安裝CAS 的服務器分配第二個IP地址（一般都是一個IP地址）。經過在CAS服務器中安裝的第二個網絡適配器上配置新的IP地址，或者在現有網絡接口上分配第二個IP地址，能夠輕鬆完成此任務。第一種方式主要是由管理員在出於安全策略合規性緣由的狀況下部署，然而第二種方式在實現方面更容易，更快捷。下面的屏幕說明了後一種解決方案：

     

將IP地址分配到CAS以後，咱們須要在DNS服務器上的DNS區域中建立適當的記錄。這個記錄中的名字將被用來聯繫自定義的ECP虛擬目錄。更重要的是，這個記錄還須要指出早一步配置的IP地址：

       

在下一步中，咱們爲 C：\ Inetpub文件夾下的第二個網站建立一個文件夾，例如wwwroot2。

         

當建立文件夾時，咱們必須打開Internet信息服務（IIS）管理器並創建第二個網站，例如「InternalEAC」，指向建立的文件夾C：\ inetpub \ wwwroot2並綁定到TCP / 80（HTTP） TCP / 443（HTTPS）端口。下面的屏幕展現了漫遊過程。

首先，咱們必須記住將新網站與新的IP地址綁定：

            

  

 

     

在下面的步驟中，咱們須要在新建立的第二個網站下爲ECP和OWA創建虛擬目錄。咱們將經過執行如下命令來解決這個問題：

    

New-EcpVirtualDirectory -Server「<ServerIdParameter>」 -  WebSiteName「InternalEAC」-InternalUrl「<internal url>」

New-OwaVirtualDirectory -Server「<ServerIdParameter>」 -  WebSiteName「InternalEAC」-InternalUrl「<internal url>」

在此以後，咱們使用前面提到的Microsoft解決方案禁用對EAC的訪問。要作到這一點，咱們只需運行如下命令：

 

Set-EcpVirtualDirectory -identity「ecp <默認網站>」-AdminEnabled $ false

iisreset / noforce

最後，只有兩個最後的步驟去。它限制訪問綁定到咱們自定義網站的IP地址，例如內部用戶或管理員管理站。這將阻止從周邊網絡或互聯網區域等不受歡迎的區域訪問咱們的新網站。

最後一步是爲自定義ECP網站分配用於SSL目的的適當證書。它能夠是第三方證書（例如已經分配給默認網站的現有通配符證書），內部CA的證書或自簽名證書。在建立新證書的狀況下，咱們必須記住將證書中的名稱與ECP URL中使用的名稱進行匹配。