Exchange Server: Deaktivieren des Zugriffs auf das Exchange Admin Center
Das Exchange Admin Center (EAC) ist die primäre Verwaltungsschnittstelle für Exchange 2013 oder höher. Weitere Informationen finden Sie unter Exchange Admin Center in Exchange Server. Standardmäßig ist der Zugriff auf die Exchange-Verwaltungskonsole nicht eingeschränkt, und der Zugriff auf Outlook im Web (formal als Outlook Web App bezeichnet) auf einem Exchange-Server mit Internetzugriff ermöglicht auch den Zugriff auf das EAC. Sie benötigen weiterhin gültige Anmeldeinformationen zum Anmelden am EAC, aber Organisationen möchten möglicherweise den Zugriff auf das EAC für Clientverbindungen aus dem Internet beschränken.
In Exchange Server 2019 können Sie Clientzugriffsregeln verwenden, um den Clientzugriff auf das EAC zu blockieren. Weitere Informationen finden Sie unter Clientzugriffsregeln in Exchange Server.
Das virtuelle EAC-Verzeichnis heißt ECP und wird von den Cmdlets *- ECPVirtualDirectory verwaltet. Wenn Sie den Parameter AdminEnabled auf den Wert $false
im virtuellen EAC-Verzeichnis festlegen, deaktivieren Sie den Zugriff auf das EAC für interne und externe Clientverbindungen, ohne den Zugriff auf die Seite Einstellungenoptionen> in Outlook im Web.
Diese Konfiguration führt aber zu einem neuen Problem: Der Zugriff auf das EAC ist auch für Administratoren im internen Netzwerk auf dem Server vollständig deaktiviert. Um dieses Problem zu beheben, haben Sie zwei Optionen:
Konfigurieren Sie einen zweiten Exchange-Server, auf den nur über das interne Netzwerk zugegriffen werden kann, um interne EAC-Verbindungen zu verarbeiten.
Erstellen Sie auf dem vorhandenen Exchange-Server eine neue IIS-Website (Internetinformationsdienste) mit neuen virtuellen Verzeichnissen für das EAC und Outlook im Web, auf die nur über das interne Netzwerk zugegriffen werden kann.
Hinweis: Sie müssen das EAC und die Outlook im Web auf der neuen Website konfigurieren, da das EAC das Outlook im Web-Authentifizierungsmodul von derselben Website erfordert.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 Minuten.
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen dazu, welche Berechtigungen Sie benötigen, finden Sie unter dem Eintrag "Exchange Admin Center-Konnektivität" im Thema Exchange-Infrastruktur und PowerShell-Berechtigungen .
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.
Schritt 1: Deaktivieren des Zugriffs auf das EAC mithilfe der Exchange-Verwaltungsshell
Denken Sie daran, dass dieser Schritt den Zugriff auf das EAC auf dem Server für interne und externe Verbindungen deaktiviert, benutzern jedoch weiterhin den Zugriff auf ihre eigene>Einstellungsoptionenseite in Outlook im Web ermöglicht.
Verwenden Sie die folgende Syntax, um den Zugriff auf das Exchange-Verwaltungskonsole auf einem Exchange-Server zu deaktivieren:
Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false
In diesem Beispiel wird der Zugriff auf das EAC auf dem Server mit dem Namen MBX01 deaktiviert.
Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false
Woher wissen Sie, dass dieser Schritt erfolgreich war?
Um zu überprüfen, ob Sie den Zugriff auf das EAC auf dem Server deaktiviert haben, ersetzen <Sie Server> durch den Namen Ihres Exchange-Servers, und führen Sie den folgenden Befehl aus, um den Wert der AdminEnabled-Eigenschaft zu überprüfen:
Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled
Wenn Sie oder über das interne Netzwerk öffnenhttps://<servername>/ecp
, wird ihre eigene Seite Einstellungenoptionen> in Outlook im Web anstelle des EAC geöffnet.
Schritt 2: Gewähren von Zugriff auf das EAC im internen Netzwerk
Wählen Sie eine der folgenden Optionen aus:
Option 1: Konfigurieren eines zweiten Exchange-Servers, auf den nur über das interne Netzwerk zugegriffen werden kann
Der Standardwert der AdminEnabled-Eigenschaft befindet True
sich im virtuellen Standardverzeichnis des EAC. Um diesen Wert auf dem zweiten Server zu bestätigen, ersetzen Sie <Server> durch den Namen des Servers, und führen Sie den folgenden Befehl aus:
Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled
Wenn der Wert ist False
, ersetzen Sie <Server> durch den Namen des Servers, und führen Sie den folgenden Befehl aus:
Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true
Option 2: Erstellen einer neuen Website auf dem vorhandenen Exchange-Server und Konfigurieren des EAC und Outlook im Web auf der neuen Website für das interne Netzwerk
Folgende Schritte sind erforderlich:
Fügen Sie dem Exchange-Server eine zweite IP-Adresse hinzu.
Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.
Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.
Erstellen Sie ein neues EAC und Outlook im Web virtuellen Verzeichnisse für die neue Website.
Starten Sie IIS neu, damit die Änderungen wirksam werden.
Wichtig
Wenn Sie ein Exchange Server Kumulatives Update (CU) installieren, aktualisiert das CU keine Dateien in der neuen Website und den virtuellen Verzeichnissen. Nachdem Sie das kumulative Update angewendet haben, müssen Sie die neue Website, die virtuellen Verzeichnisse und Inhalte in den Ordnern vollständig entfernen und dann die neue Website, die virtuellen Verzeichnisse und Inhalte in den Ordnern neu erstellen.
Schritt 2a: Hinzufügen einer zweiten IP-Adresse zum Exchange-Server
Sie können einen zweiten Netzwerkadapter hinzufügen und ihm die IP-Adresse zuweisen, oder Sie können eine zweite IP-Adresse dem vorhandenen Netzwerkadapter zuweisen.
Die Schritte zum Zuweisen einer zweiten IP-Adresse an den vorhandenen Netzwerkadapter werden nachfolgend beschrieben.
Öffnen Sie die Eigenschaften der Netzwerkkarte. Zum Beispiel:
a. Führen Sie in einem Eingabeaufforderungsfenster, in der Exchange-Verwaltungsshell oder im Dialogfeld Ausführen aus
ncpa.cpl
.b. Klicken Sie mit der rechten Maustaste auf den Netzwerkadapter, und wählen Sie dann Eigenschaften aus.
Wählen Sie in den Eigenschaften des Netzwerkadapter, Internet Protocol Version 4 (TCP/IPv4) aus, und klicken Sie dann auf Eigenschaften.
Klicken Sie im Fenster Eigenschaften Internet Protocol Version 4 (TCP/IPv4) auf der Registerkarte Allgemein auf Erweitert.
Klicken Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte IP-Einstellungen im Abschnitt IP-Adressen auf Hinzufügen, und geben Sie die IP-Adresse ein.
Hinweis: Wenn Sie einen zweiten Netzwerkadapter hinzufügen, deaktivieren Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.
Schritt 2 b: Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.
Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.
Erweitern Sie im Bereich Verbindungen den Server, wählen Sie Websites aus, und klicken Sie im Bereich Aktionen auf Website hinzufügen.
Konfigurieren Sie im angezeigten Fenster Website hinzufügen die folgenden Einstellungen:
Websitename:
EAC_Secondary
Physischer Pfad:
C:\inetpub\EAC_Secondary
Binding
Typ: https
IP-Adresse: Wählen Sie die zweite IP-Adresse aus, die Sie im vorherigen Schritt hinzugefügt haben.
Port: 443
SSL-Zertifikat: Wählen Sie das Zertifikat aus, das Sie verwenden möchten (z. B. das Exchange-Standardzertifikat mit dem Namen Microsoft Exchange).
Klicken Sie nach Abschluss des Vorgangs auf OK.
Erstellen Sie
ecp
die Ordner undowa
inC:\inetpub\EAC_Secondary
.a. Wählen Sie im IIS-Manager die
EAC_Secondary
Website aus, und klicken Sie im Bereich Aktionen auf Durchsuchen.b. Erstellen Sie im Explorer fenster, das geöffnet wird, die folgenden Ordner in
C:\inetpub\EAC_Secondary
:ecp
owa
Wenn Sie fertig sind, schließen Sie den Datei-Explorer.
Weisen Sie der lokalen Sicherheitsgruppe mit dem Namen IIS_IUSRS für den
C:\inetpub\EAC_Secondary
Ordner Leseberechtigungen& Ausführen zu.a. Wählen Sie in IIS Manager die
EAC_Secondary
Website aus, und klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.b. Klicken Sie im Fenster Eigenschaften für EAC_Secondary auf die Registerkarte Sicherheit Registerkarte und dann auf Bearbeiten.
c. Klicken Sie im Fenster Berechtigungen für EAC_Secondary auf Hinzufügen.
d. Führen Sie im Fenster Benutzer, Computer, Dienstkonten oder Gruppen auswählen folgende Schritte aus:
i. Klicken Sie auf Speicherorte, und wählen Sie im Dialogfeld Speicherorte, das geöffnet wird, den lokalen Server aus. Klicken Sie dann auf OK.
ii. Geben Sie im Feld Geben Sie die auszuwählenden Objektnamen ein IIS_IUSRS ein, klicken Sie auf Namen überprüfen, und klicken Sie dann auf OK.
e. Wählen Sie wieder im Fenster Berechtigungen für EAC_Secondary die Option IIS_IUSRS und dann in der Spalte Zulassen die Option Lesen und ausführen aus (wählt automatisch die Berechtigungen Ordnerinhalte auflisten und Lesen aus), und klicken Sie dann zweimal auf OK.
Schritt 2c: Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.
Kopieren Sie alle Dateien und Ordner von der Standardwebsite (
C:\inetpub\wwwroot
) inC:\inetpub\EAC_Secondary
. Sie können die folgenden Dateien überspringen, die nicht kopiert werden können:MacCertification.asmx
MobileDeviceCertification.asmx
decomission.asmx
editissuancelicense.asmx
Kopieren Sie alle Dateien und Ordner von in
%ExchangeInstallPath%FrontEnd\HttpProxy\ecp
C:\inetpub\EAC_Secondary\ecp
.Kopieren Sie alle Dateien und Ordner von in
%ExchangeInstallPath%FrontEnd\HttpProxy\owa
C:\inetpub\EAC_Secondary\owa
.
Schritt 2d: Verwenden der Exchange-Verwaltungsshell zum Erstellen eines neuen EAC und Outlook im Web virtuellen Verzeichnissen für die neue Website
Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.
Ersetzen Sie <Server> durch den Namen Ihres Servers, und führen Sie die folgenden Befehle aus, um das neue EAC und Outlook im Web virtuellen Verzeichnisse für die neue Website zu erstellen.
New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"
Schritt 2e: Starten Sie IIS.
Wählen Sie im IIS-Manager im Bereich Verbindungen den Server aus.
Klicken Sie im Bereich Aktionen auf Neustart.
Hinweis: Um IIS über die Befehlszeile neu zu starten, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie durch Auswählen von Als Administrator ausführen geöffnet haben), und führen Sie die folgenden Befehle aus:
net stop w3svc /y
net start w3svc
Woher wissen Sie, dass diese Aufgabe erfolgreich war?
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Sie den Zugriff auf das EAC auf einem Exchange-Server erfolgreich deaktiviert haben:
Testen Sie die interne und externe URL Ihrer organization auf Outlook im Web. Wenn die externe URL z. B. lautet https://mail.contoso.com/owaund die interne URL die folgenden Verfahren verwendet, https://mbx01.contoso.com/owa um Ihre Konfiguration zu überprüfen:
Stellen Sie sicher, dass interne und externe Benutzer ihre Postfächer mithilfe von Outlook im Web öffnen können, einschließlich der Seite Einstellungenoptionen>.
Überprüfen Sie dies, https://mail.contoso.com/ecp und https://mbx01.contoso.com/ecp geben Sie eines der folgenden Ergebnisse zurück:
404 – Website nicht gefunden
Der Benutzer wird auf die Seite "Einstellungensoptionen>" in Outlook im Web umgeleitet.
Stellen Sie sicher, dass Administratoren auf das EAC im internen Netzwerk auf Grundlage Ihrer Konfigurationsauswahl zugreifen können:
Zweiter Exchange-Server: Wenn der zweite Exchange-Server MBX02 heißt, überprüfen Sie, https://mbx02.contoso.com/ecp ob das EAC geöffnet wird.
Neue EAC-Website auf dem vorhandenen Exchange-Server: Wenn die IP-Adresse der neuen EAC-Website 10.1.1.12 lautet, überprüfen Sie, https://10.1.1.12/ecp ob das EAC geöffnet wird.