Désactivation de l’accès au Centre d’administration Exchange

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment désactiver l’accès au Centre d’administration Exchange sur un serveur Exchange 2016.

Dans Exchange Server 2016, le Centre d’administration Exchange est l’interface de gestion principale pour Exchange. Pour plus d’informations, voir Centre d’administration Exchange dans Exchange 2016. Par défaut, l’accès au CAE n’est pas limité et l’accès à Outlook sur le web (anciennement appelé Outlook Web App) sur un serveur Exchange accessible sur Internet donne également accès au CAE. Vous avez encore besoin d’informations d’identification valides pour vous connecter au CAE, mais les organisations peuvent choisir de limiter l’accès au CAE pour les connexions client à partir d’Internet.

Dans Exchange 2016, le répertoire virtuel CAE s’appelle ECP et est géré par les cmdlets *-ECPVirtualDirectory. Lorsque vous définissez le paramètre AdminEnabled sur la valeur $false dans le répertoire virtuel du CAE, vous désactivez l’accès au CAE pour les connexions client internes et externes, sans affecter l’accès à la page Paramètres > Options dans Outlook sur le web.

Options de l’emplacement du menu dans Outlook sur le web

Toutefois, cette configuration présente un nouveau problème : l’accès au CAE est complètement désactivé sur le serveur, même pour les administrateurs du réseau interne. Pour résoudre ce problème, vous avez deux possibilités :

  • Configurer un deuxième serveur Exchange 2016 accessible uniquement à partir du réseau interne pour gérer les connexions CAE internes.

  • Sur le serveur Exchange 2016 existant, créez un site web (IIS) Services Internet (IIS) existant avec de nouveaux répertoires virtuels pour le CAE et Outlook sur le web qui est accessible uniquement à partir du réseau interne.

    Remarque : vous devez configurer le CAE etOutlook Web App dans le nouveau site web, car le CAE exige le module d’authentification Outlook Web App du même site web.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

N’oubliez pas que cette étape désactive l’accès au CAE sur le serveur pour les connexions internes et externes, tout en permettant aux utilisateurs d’accéder à leur propre page Paramètres > Options dans Outlook sur le web.

Pour désactiver l’accès au CAE sur un serveur Exchange, utilisez la syntaxe suivante :

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

Cet exemple désactive l’accès au CAE sur le serveur nommé MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Pour vérifier que vous avez désactivé l’accès au CAE sur le serveur, remplacez <Server> par le nom de votre serveur Exchange et exécutez la commande suivante pour vérifier la valeur de la propriété AdminEnabled :

Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Lorsque vous ouvrez https://<servername>/ecp ou à partir du réseau interne, votre propre page Paramètres > Options dans Outlook sur le web s’ouvre au lieu du CAE.

Choisissez l’une des options suivantes.

La valeur par défaut de la propriété AdminEnabled est True sur le répertoire virtuel du CAE par défaut. Pour confirmer cette valeur sur le deuxième serveur, remplacez <Server> par le nom du serveur et exécutez la commande suivante :

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Si la valeur est False, remplacez <Server> par le nom du serveur et exécutez la commande suivante :

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Les étapes requises sont les suivantes :

  1. Ajoutez une deuxième adresse IP au serveur Exchange.

  2. Créez un site web dans IIS qui utilise la deuxième adresse IP et attribuez des autorisations de fichier et de dossier.

  3. Copiez le contenu des sites web par défaut dans le nouveau site web.

  4. Créez des répertoires virtuels Outlook sur le web et de CAE pour le nouveau site web.

  5. Redémarrez IIS pour que les modifications prennent effet.

importantImportant :
Lorsque vous installez une mise à jour cumulative Exchange 2016, elle ne met pas à jour les fichiers dans le nouveau site web et les nouveaux répertoires virtuels. Après avoir appliqué la mise à jour cumulative, vous devez supprimer complètement le nouveau site web, les nouveaux répertoires virtuels et le contenu dans les dossiers puis recréer le nouveau site web, les nouveaux répertoires virtuels et le contenu dans les dossiers.

Vous pouvez ajouter une deuxième carte réseau et attribuer l’adresse IP à la deuxième carte réseau, ou vous pouvez attribuer une deuxième adresse IP à la carte réseau existante.

La procédure à suivre pour attribuer une deuxième adresse IP à la carte réseau existante est décrite ci-dessous.

  1. Ouvrez les propriétés de la carte réseau. Par exemple :

    1. À partir d’une fenêtre d’invite de commandes, de l’Environnement de ligne de commande Exchange Management Shell ou de la boîte de dialogue Exécuter, exécutez ncpa.cpl.

    2. Cliquez avec le bouton droit de la souris sur la carte réseau, puis sélectionnez Propriétés.

    Propriétés de la carte réseau dans Windows
  2. Dans les propriétés de la carte réseau, sélectionnez Internet Protocol Version 4 (TCP/IPv4), puis cliquez sur Propriétés.

  3. Dans la fenêtre des propriétés Internet Protocol Version 4 (TCP/IPv4) qui s’ouvre, sur l’onglet Général, cliquez sur Avancé.

  4. Dans la fenêtre des paramètres TCP/IP avancés qui s’ouvre, sur l’onglet Paramètres IP de la section Adresses IP, cliquez sur Ajouter et saisissez l’adresse IP.

    Fenêtre des paramètres TCP/IP avancés des propriétés de la carte réseau

Remarque : si vous ajoutez une deuxième carte réseau, dans la fenêtre des paramètres TCP/IP avancés, sur l’onglet DNS, désactivez la case à cocher Enregistrer les adresses de cette connexion dans le système DNS.

Onglet DNS sur la fenêtre des paramètres TCP/IP avancés
  1. Ouvrez le Gestionnaire des services Internet (IIS) sur le serveur Exchange. Un moyen simple pour effectuer cette action dans Windows Server 2012 ou version ultérieure est d’appuyer sur la touche Windows + Q, de taper inetmgr et de sélectionner Gestionnaire des services Internet (IIS) dans les résultats.

  2. Dans le volet Connexions, développez le serveur, sélectionnez Sites, puis, dans le volet Actions, cliquez sur Ajouter un site web.

    Dans le gestionnaire des services Internet, développez le serveur, puis sélectionnez Sites
  3. Dans la fenêtre Ajouter un site web qui s’affiche, configurez les paramètres suivants :

    • Nom du site EAC_Secondary

    • Chemin d’accès physique C:\inetpub\EAC_Secondary

    • Liaison

      • Type   https

      • Adresse IP   Sélectionnez la deuxième adresse IP que vous avez ajoutée à l’étape précédente.

      • Port :   443

    • Certificat SSL   Choisissez le certificat que vous souhaitez utiliser (par exemple, le certificat Exchange par défaut nommé Microsoft Exchange).

    Lorsque vous avez terminé, cliquez sur OK.

    Propriétés du site web pour le site web EAA secondaire
  4. Créez des dossiers ecp et owa dans C:\inetpub\EAC_Secondary.

    1. Dans le Gestionnaire des services Internet, sélectionnez le site web EAC_Secondary, puis dans le volet Actions, cliquez sur Explorer.

      Dans le gestionnaire des services Internet, sélectionnez le nouveau site web du centre d’administration Exchange dans le volet Sites
    2. Dans la fenêtre Explorateur de fichiers qui s’ouvre, créez les dossiers suivants dans C:\inetpub\EAC_Secondary :

      • ecp

      • owa

      Lorsque vous avez terminé, fermez l’Explorateur de fichiers.

  5. Attribuez des autorisations Lecture et exécution au groupe de sécurité local nommé IIS_IUSRS sur le dossier C:\inetpub\EAC_Secondary.

    1. Dans le Gestionnaire des services Internet (IIS), sélectionnez le site web EAC_Secondary, puis dans le volet Actions, cliquez sur Modifier les autorisations.

    2. Dans la fenêtre Propriétés EAC_Secondary qui s’ouvre, cliquez sur l’onglet Sécurité, puis sur Modifier.

    3. Dans la fenêtre Autorisations pour EAC_Secondary qui s’ouvre, cliquez sur Ajouter.

    4. Dans la fenêtre Sélectionner les utilisateurs, les ordinateurs, les comptes de service ou les groupes qui s’ouvre, procédez comme suit :

      1. Cliquez sur Emplacements, puis dans la boîte de dialogue Emplacements qui s’ouvre, sélectionnez le serveur local, puis cliquez sur OK.

      2. Dans le champ Entrez les noms d’objets à sélectionner, tapez IIS_IUSRS, cliquez sur Vérifier les noms, puis cliquez sur OK.

      Ajouter des autorisations
    5. Lorsque vous revenez à la fenêtre Autorisations pour EAC_Secondary, sélectionnez IIS_IUSRS, et, dans la colonne Autoriser, sélectionnez Lecture et exécution (qui sélectionne automatiquement les autorisations Afficher le contenu du dossier et Lecture), puis cliquez deux fois sur OK.

  • Copiez tous les fichiers et dossiers à partir du site web par défaut (C:\inetpub\wwwroot) dans C:\inetpub\EAC_Secondary. Vous pouvez ignorer les fichiers suivants qui ne peuvent pas être copiés :

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copiez tous les fichiers et dossiers de %ExchangeInstallPath%FrontEnd\HttpProxy\ecp à C:\inetpub\EAC_Secondary\ecp.

  • Copiez tous les fichiers et dossiers de %ExchangeInstallPath%FrontEnd\HttpProxy\owa à C:\inetpub\EAC_Secondary\owa.

Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

Remplacez <Server> par le nom de votre serveur et exécutez les commandes suivantes pour créer les répertoires virtuels Outlook sur le web et de CAE pour le nouveau site web.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"
  1. Dans le Gestionnaire des services Internet (IIS), dans le volet Connexions, sélectionnez le serveur.

  2. Dans le volet Actions, cliquez sur Redémarrer.

Remarque : pour redémarrer IIS à partir de la ligne de commande, ouvrez une invite de commandes élevée (une fenêtre d’invite de commandes que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) et exécutez la commande suivante :

iisreset.exe /noforce

Pour vérifier que vous avez bien désactivé l’accès au CAE sur un serveur Exchange, procédez comme suit :

  1. Testez les URL internes et externes de votre organisation pour Outlook sur le web. Par exemple, si l’URL externe est https://mail.contoso.com/owa et l’URL interne est https://mbx01.contoso.com/owa, utilisez les procédures suivantes pour vérifier votre configuration :

    • Vérifiez que les utilisateurs internes et externes peuvent ouvrir leurs boîtes aux lettres en utilisant Outlook sur le web, y compris la page Paramètres > Options

    • Vérifiez que https://mail.contoso.com/ecp et https://mbx01.contoso.com/ecp renvoient l’un des résultats suivants :

      • 404 - site web introuvable

      • L’utilisateur est redirigé vers sa page Paramètres > Options dans Outlook sur le web.

  2. Vérifiez que les administrateurs peuvent accéder au CAE sur le réseau interne en fonction de votre sélection de configuration :

    • Second Exchange serveur   Si le second serveur Exchange s’appelle MBX02, vérifiez que https://mbx02.contoso.com/ecp ouvre le CAE.

    • Nouveau site web CAE sur le serveur Exchange existant   Si l’adresse IP du nouveau site web CAE est 10.1.1.12, vérifiez que https://10.1.1.12/ecp ouvre le CAE.

 
Afficher: