Exchange Server. Отключение доступа к Центру администрирования Exchange

  • Статья

Центр администрирования Exchange (EAC) — это основной интерфейс управления для Exchange 2013 или более поздней версии. Дополнительные сведения см. в разделе Центр администрирования Exchange в Exchange Server. По умолчанию доступ к EAC не ограничен, а доступ к Outlook в Интернете (официально известной как Outlook Web App) на сервере Exchange Server с выходом в Интернет также предоставляет доступ к EAC. Для входа в EAC по-прежнему требуются действительные учетные данные, но организациям может потребоваться ограничить доступ к EAC для клиентских подключений из Интернета.

В Exchange Server 2019 году можно использовать правила доступа клиентов, чтобы заблокировать доступ клиентов к EAC. Дополнительные сведения см. в разделе Правила клиентского доступа в Exchange Server.

Виртуальный каталог EAC называется ECP и управляется командлетами *- ECPVirtualDirectory . Если для параметра AdminEnabled задано значение $false в виртуальном каталоге EAC, вы отключаете доступ к EAC для внутренних и внешних клиентских подключений, не затрагивая доступ к > страницеПараметры в Outlook в Интернете.

Расположение меню

Однако такая конфигурация влечет за собою другую проблему: доступ к Центру администрирования Exchange будет полностью отключен на сервере, даже для администраторов во внутренней сети. Есть два варианта устранения этой проблемы:

  • Настройте второй сервер Exchange Server, доступный только из внутренней сети, для обработки внутренних подключений EAC.

  • На существующем сервере Exchange Server создайте новый веб-сайт служб IIS с новыми виртуальными каталогами для Центра администрирования Exchange и Outlook в Интернете, доступные только из внутренней сети.

    Примечание. Необходимо настроить EAC и Outlook в Интернете на новом веб-сайте, так как EAC требует Outlook в Интернете модуля проверки подлинности с того же веб-сайта.

Что нужно знать перед началом работы

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.

Шаг 1. Отключение доступа к EAC с помощью командной консоли Exchange

Помните, что этот шаг отключает доступ к EAC на сервере для внутренних и внешних подключений, но по-прежнему позволяет пользователям получать доступ к собственной> страницепараметров в Outlook в Интернете.

Чтобы отключить доступ к EAC на сервере Exchange Server, используйте следующий синтаксис:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

В этом примере показано, как закрыть доступ к Центру администрирования Exchange на сервере под названием MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Как убедиться, что все получилось?

Чтобы убедиться, что вы отключили доступ к EAC на сервере, замените <Server> именем сервера Exchange Server и выполните следующую команду, чтобы проверить значение свойства AdminEnabled :

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

При открытии https://<servername>/ecp или из внутренней сети вместо EAC открывается собственная> страницаПараметры в Outlook в Интернете.

Шаг 2. Предоставление доступа к Центру администрирования Exchange во внутренней сети

Выберите любой из вариантов ниже.

Вариант 1. Настройка второго сервера Exchange Server, доступного только из внутренней сети

Значение по умолчанию свойства AdminEnabled находится True в виртуальном каталоге EAC по умолчанию. Чтобы подтвердить это значение на втором сервере, замените <Server> именем сервера и выполните следующую команду:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Если значение равно False, замените <Server> именем сервера и выполните следующую команду:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Вариант 2. Создание веб-сайта на существующем сервере Exchange Server и настройка EAC и Outlook в Интернете на новом веб-сайте для внутренней сети

Необходимые действия:

  1. Добавьте второй IP-адрес на сервер Exchange Server.

  2. В службах IIS создайте новый веб-сайт, использующий второй IP-адрес, а затем назначьте разрешения файлов и папок.

  3. Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайт.

  4. Создайте новые каталоги EAC и Outlook в Интернете виртуальные каталоги для нового веб-сайта.

  5. Чтобы изменения вступили в силу, перезагрузите службы IIS.

Важно!

При установке накопительного обновления Exchange Server накопительный пакет обновления не будет обновлять файлы на новом веб-сайте и в виртуальных каталогах. После применения накопительного пакета обновления необходимо полностью удалить новый веб-сайт, виртуальные каталоги и их содержимое, а затем создать все это заново.

Шаг 2a. Добавление второго IP-адреса на сервер Exchange Server

Можно добавить второй сетевой адаптер и назначить ему IP-адрес или назначить второй IP-адрес существующему сетевому адаптеру.

Ниже описаны действия, которые необходимо выполнить, чтобы назначить существующему сетевому адаптеру второй IP-адрес.

  1. Откройте свойства сетевого адаптера. Например:

    А. В окне командной строки, командной консоли Exchange или в диалоговом окне "Выполнить" выполните команду ncpa.cpl.

    Б. Щелкните сетевой адаптер правой кнопкой мыши, а затем выберите Свойства.

    Свойства сетевого адаптера в Windows.

  2. В окне свойств сетевого адаптера выберите Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.

  3. В окне Свойства протокола Интернета версии 4 (TCP/IPv4) откройте вкладку Общие и выберите Дополнительно.

  4. В окне Дополнительные параметры TCP/IP откройте вкладку Параметры IP, нажмите кнопку Добавить в разделе IP-адреса и введите IP-адрес.

    Окно дополнительных параметров TCP/IP свойств сетевого адаптера.

    Примечание. При добавлении второго сетевого адаптера в окне Дополнительные параметры TCP/IP необходимо открыть вкладку DNS и снять флажок Зарегистрировать данные этого подключения в DNS.

    Вкладка DNS в окне Дополнительные параметры TCP/IP.

Шаг 2б. Создание в службах IIS нового веб-сайта, использующего второй IP-адрес, и назначение разрешений файлов и папок

  1. Откройте диспетчер IIS на сервере Exchange Server. Простой способ сделать это в Windows Server 2012 или более поздней версии — нажать клавишу Windows + Q, ввести inetmgr и выбрать Диспетчер служб IIS в результатах.

  2. В области Подключения разверните сервер, выберите Сайты и щелкните элемент Добавить веб-сайт в области Действия.

    В диспетчере IIS разверните сервер и выберите Сайты.

  3. В появившемся окне Добавить веб-сайт настройте следующие параметры:

    • Имя сайта: EAC_Secondary

    • Физический путь: C:\inetpub\EAC_Secondary

    • Binding

      • Тип: https

      • IP-адрес. Выберите второй IP-адрес, добавленный на предыдущем шаге.

      • Порт: 443

    • SSL-сертификат. Выберите нужный сертификат (например, сертификат Exchange по умолчанию с именем Microsoft Exchange).

    После этого нажмите кнопку ОК.

    Собственные веб-сайты для дополнительного веб-сайта EAC.

  4. Создание ecp папок и owa в C:\inetpub\EAC_Secondary.

    А. В диспетчере EAC_Secondary IIS выберите веб-сайт и в области Действия нажмите кнопку Обзор.

    В диспетчере IIS выберите новый веб-сайт EAC в области Сайты.

    Б. В открывавшемся окне проводник создайте следующие папки в C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Когда все будет готово, закройте проводник.

  5. Назначьте разрешения на чтение & выполнение локальной группе безопасности с именем IIS_IUSRS в папке C:\inetpub\EAC_Secondary .

    А. В диспетчере IIS выберите EAC_Secondary веб-сайт и в области Действия щелкните Изменить разрешения.

    Б. В открывшемся окне Свойства: EAC_Secondary откройте вкладку Безопасность и нажмите кнопку Изменить.

    c. В открывшемся окне Разрешения для EAC_Secondary нажмите кнопку Добавить.

    d. В открывшемся окне Выбор пользователей, компьютеров, учетных записей служб или групп выполните указанные ниже действия.

    и. Щелкните элемент Расположения, в появившемся диалоговом окне Расположения выберите локальный сервер и нажмите кнопку ОК.

    ii. В поле Введите имена объектов для выбора введите IIS_IUSRS, нажмите кнопку Проверить имена и нажмите кнопку ОК.

    Добавление разрешений.

    e. Вернитесь в окно Разрешения для EAC_Secondary, выберите группу IIS_IUSRS, в столбце Разрешить выберите Чтение и выполнение (при этом разрешения Вывод списка содержимого папки и Чтение будут выбраны автоматически), а затем дважды нажмите кнопку ОК.

Шаг 2в. Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайт

  • Скопируйте все файлы и папки с веб-сайта по умолчанию (C:\inetpub\wwwroot) в C:\inetpub\EAC_Secondary. Можете пропустить указанные ниже файлы, если они не копируются.

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Скопируйте все файлы и папки из %ExchangeInstallPath%FrontEnd\HttpProxy\ecp в C:\inetpub\EAC_Secondary\ecp.

  • Скопируйте все файлы и папки из %ExchangeInstallPath%FrontEnd\HttpProxy\owa в C:\inetpub\EAC_Secondary\owa.

Шаг 2d. Создание новых каталогов EAC и Outlook в Интернете виртуальных каталогов для нового веб-сайта с помощью командной консоли Exchange

Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.

Замените <Server> именем сервера и выполните следующие команды, чтобы создать новый EAC и Outlook в Интернете виртуальные каталоги для нового веб-сайта.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Шаг 2д. Перезапуск служб IIS

  1. Выберите сервер в области Подключения диспетчера служб IIS.

  2. В области Действия выберите элемент Перезапустить.

Примечание. Чтобы перезапустить СЛУЖБЫ IIS из командной строки, откройте командную строку с повышенными привилегиями (окно командной строки, которое вы открыли, выбрав Запуск от имени администратора) и выполните следующие команды:

net stop w3svc /y

net start w3svc

Как убедиться, что это сработало?

Чтобы убедиться, что вы успешно отключили доступ к EAC на сервере Exchange Server, выполните следующие действия.

  1. Протестируйте внутренний и внешний URL-адрес вашей организации для Outlook в Интернете. Например, если внешний URL-адрес — https://mail.contoso.com/owa, а внутренний URL-адрес — это https://mbx01.contoso.com/owa , используйте следующие процедуры для проверки конфигурации:

    • Убедитесь, что внутренние и внешние пользователи могут открывать свои почтовые ящики с помощью Outlook в Интернете, включая > страницуПараметры.

    • Проверьте это https://mail.contoso.com/ecp и https://mbx01.contoso.com/ecp верните любой из следующих результатов:

      • Отображается сообщение об ошибке 404 — веб-сайт не найден.

      • Пользователь перенаправляется на страницу >параметров в Outlook в Интернете.

  2. Убедитесь, что у администраторов есть доступ к Центру администрирования Exchange во внутренней сети. Способ доступа зависит от того, какую конфигурацию вы выбрали:

    • Второй сервер Exchange. Если второй сервер Exchange имеет имя MBX02, убедитесь, что https://mbx02.contoso.com/ecp откроется EAC.

    • Новый веб-сайт EAC на существующем сервере Exchange Server. Если IP-адрес нового веб-сайта EAC — 10.1.1.12, убедитесь, что https://10.1.1.12/ecp откроется EAC.