Exchange Server : Désactiver l’accès au Centre d’administration Exchange

  • Article

Le Centre d’administration Exchange (EAC) est l’interface de gestion principale pour Exchange 2013 ou version ultérieure. Pour plus d’informations, consultez Centre d’administration Exchange dans Exchange Server. Par défaut, l’accès au CAE n’est pas limité, et l’accès à Outlook sur le web (anciennement appelé Outlook Web App) sur un sur un serveur Exchange accessible sur Internet donne également accès au CAE. Vous avez toujours besoin d’informations d’identification valides pour vous connecter au CENTRE d’administration Exchange, mais les organisations peuvent vouloir restreindre l’accès au CAE pour les connexions clientes à partir d’Internet.

Dans Exchange Server 2019, vous pouvez utiliser des règles d’accès au client pour bloquer l’accès du client au CAE. Pour plus d’informations, consultez Règles d’accès au client dans Exchange Server.

Le répertoire virtuel du CAE est nommé ECP et est géré par les applets de commande *- ECPVirtualDirectory . Lorsque vous définissez le paramètre AdminEnabled sur la valeur $false sur le répertoire virtuel du CAE, vous désactivez l’accès au CAE pour les connexions client internes et externes, sans affecter l’accès à la page Options de paramètres> dans Outlook sur le web.

Emplacement du menu Options dans Outlook sur le web.

Toutefois, cette configuration introduit un nouveau problème : l’accès au CAE est complètement désactivé sur le serveur, même pour les administrateurs sur le réseau interne. Pour résoudre ce problème, vous avez deux possibilités :

  • Configurez un deuxième serveur Exchange accessible uniquement à partir du réseau interne pour gérer les connexions CAE internes.

  • Sur le serveur Exchange existant, créez un site web IIS (Internet Information Services) avec de nouveaux répertoires virtuels pour le CAE et Outlook sur le web accessibles uniquement à partir du réseau interne.

    Remarque : Vous devez configurer le CAE et Outlook sur le web dans le nouveau site web, car le CAE nécessite le module d’authentification Outlook sur le web à partir du même site web.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée de chaque procédure : 5 minutes.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Connectivité du centre d’administration Exchange » dans la rubrique Infrastructure Exchange et autorisations PowerShell .

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Étape 1 : Utiliser Exchange Management Shell pour désactiver l’accès au CAE

N’oubliez pas que cette étape désactive l’accès au CENTRE d’administration Exchange sur le serveur pour les connexions internes et externes, mais permet toujours aux utilisateurs d’accéder à leur propre page Options de paramètres> dans Outlook sur le web.

Pour désactiver l’accès au CAE sur un serveur Exchange, utilisez la syntaxe suivante :

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

Cet exemple montre comment désactiver l’accès au CAE sur le serveur nommé MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Comment savoir si cette étape a fonctionné ?

Pour vérifier que vous avez désactivé l’accès au Centre d’administration Exchange sur le serveur, remplacez Server> par< le nom de votre serveur Exchange et exécutez la commande suivante pour vérifier la valeur de la propriété AdminEnabled :

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Lorsque vous ouvrez https://<servername>/ecp ou à partir du réseau interne, votre propre page Options de paramètres> dans Outlook sur le web s’ouvre au lieu du Centre d’administration Exchange.

Étape 2 : Accorder l’accès au CAE sur le réseau interne

Choisissez l’une des options suivantes.

Option 1 : Configurer un deuxième serveur Exchange accessible uniquement à partir du réseau interne

La valeur par défaut de la propriété AdminEnabled se trouve True dans le répertoire virtuel eac par défaut. Pour confirmer cette valeur sur le deuxième serveur, remplacez Server> par< le nom du serveur, puis exécutez la commande suivante :

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Si la valeur est False, remplacez Server> par< le nom du serveur, puis exécutez la commande suivante :

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Option 2 : Créer un site web sur le serveur Exchange existant et configurer le CENTRE d’administration Exchange et Outlook sur le web dans le nouveau site web pour le réseau interne

Les étapes requises sont les suivantes :

  1. Ajoutez une deuxième adresse IP au serveur Exchange.

  2. Créez un site web dans IIS qui utilise la deuxième adresse IP et attribuez des autorisations de fichier et de dossier.

  3. Copiez le contenu des sites web par défaut vers le nouveau site web.

  4. Créez des répertoires virtuels cae et Outlook sur le web pour le nouveau site web.

  5. Redémarrez IIS pour que les modifications prennent effet.

Importante

Lorsque vous installez une mise à jour cumulative (CU) Exchange Server, elle ne met pas à jour les fichiers dans le nouveau site web et les répertoires virtuels. Après avoir appliqué la mise à jour cumulative, vous devez supprimer complètement le nouveau site web, les répertoires virtuels et le contenu dans les dossiers, puis recréer le nouveau site web, les répertoires virtuels et le contenu dans les dossiers.

Étape 2a : Ajouter une deuxième adresse IP au serveur Exchange

Vous pouvez ajouter une deuxième carte réseau et affecter l’adresse IP à la deuxième carte réseau, ou vous pouvez affecter une deuxième adresse IP à la carte réseau existante.

Les étapes permettant d’attribuer une deuxième adresse IP à la carte réseau existante sont décrites ci-dessous.

  1. Ouvrez les propriétés de la carte réseau. Par exemple :

    a. À partir d’une fenêtre d’invite de commandes, l’environnement de ligne de commande Exchange Management Shell ou la boîte de dialogue Exécuter , exécutez ncpa.cpl.

    b. Cliquez avec le bouton droit sur la carte réseau, puis choisissez Propriétés.

    Propriétés de la carte réseau dans Windows.

  2. Dans les propriétés de la carte réseau, sélectionnez Protocole Internet Version 4 (TCP/IPv4), puis cliquez sur Propriétés.

  3. Dans la fenêtre Propriétés du protocole Internet Version 4 (TCP/IPv4) qui s’ouvre, sous l’onglet Général , cliquez sur Avancé.

  4. Dans la fenêtre Paramètres TCP/IP avancés qui s’ouvre, sous l’onglet Paramètres IP , dans la section Adresses IP , cliquez sur Ajouter et entrez l’adresse IP.

    Fenêtre Paramètres TCP/IP avancés des propriétés de la carte réseau.

    Remarque : si vous ajoutez une deuxième carte réseau, dans la fenêtre Paramètres TCP/IP avancés, sous l’onglet DNS, annulez case activée Inscrire l’adresse de cette connexion dans DNS.

    Onglet DNS dans la fenêtre Paramètres TCP/IP avancés.

Étape 2b : Créer un site web dans IIS qui utilise la deuxième adresse IP et attribuer des autorisations de fichier et de dossier

  1. Ouvrez le Gestionnaire des services Internet (IIS) sur le serveur Exchange. Un moyen simple pour effectuer cette action dans Windows Server 2012 ou version ultérieure est d'appuyer sur la touche Windows + Q, de taper inetmgr et de sélectionner Gestionnaire des services Internet (IIS) dans les résultats.

  2. Dans le volet Connexions , développez le serveur, sélectionnez Sites, puis dans le volet Actions , cliquez sur Ajouter un site web.

    Dans le Gestionnaire des services Internet, développez le serveur, puis sélectionnez Sites.

  3. Dans la fenêtre Ajouter un site web qui s’affiche, configurez les paramètres suivants :

    • Nom du site : EAC_Secondary

    • Chemin d’accès physique : C:\inetpub\EAC_Secondary

    • Binding

      • Type : https

      • Adresse IP : sélectionnez la deuxième adresse IP que vous avez ajoutée à l’étape précédente.

      • Port : 443

    • Certificat SSL : choisissez le certificat que vous souhaitez utiliser (par exemple, le certificat Exchange par défaut nommé Microsoft Exchange).

    Lorsque vous avez terminé, cliquez sur OK.

    Properites de site web pour le site web secondaire du CAE.

  4. Créez des ecp dossiers et owa dans C:\inetpub\EAC_Secondary.

    a. Dans le Gestionnaire des services Internet, sélectionnez le EAC_Secondary site web, puis dans le volet Actions , cliquez sur Explorer.

    Dans le Gestionnaire des services Internet, sélectionnez le nouveau site web DU CAE dans le volet Sites.

    b. Dans la fenêtre Explorateur de fichiers qui s’ouvre, créez les dossiers suivants dans C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Lorsque vous avez terminé, fermez Explorateur de fichiers.

  5. Attribuez les autorisations Lecture & Exécuter au groupe de sécurité local nommé IIS_IUSRS sur le C:\inetpub\EAC_Secondary dossier.

    a. Dans gestionnaire d’IIS, sélectionnez le EAC_Secondary site web, puis dans le volet Actions , cliquez sur Modifier les autorisations.

    b. Dans la fenêtre Propriétés EAC_Secondary qui s’ouvre, cliquez sur l’onglet Sécurité , puis sur Modifier.

    c. Dans la fenêtre Autorisations pour EAC_Secondary qui s’ouvre, cliquez sur Ajouter.

    d. Dans la fenêtre Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes qui s’ouvre, procédez comme suit :

    i. Cliquez sur Emplacements, puis, dans la boîte de dialogue Emplacements qui s’ouvre, sélectionnez le serveur local, puis cliquez sur OK.

    ii. Dans le champ Entrez les noms d’objets à sélectionner , tapez IIS_IUSRS, cliquez sur Vérifier les noms, puis cliquez sur OK.

    Ajouter des autorisations.

    e. Revenez à la fenêtre Autorisations pour EAC_Secondary , sélectionnez IIS_IUSRS, puis dans la colonne Autoriser , sélectionnez Lecture & Exécuter (qui sélectionne automatiquement les autorisations Lister le contenu du dossier et Lire ), puis cliquez deux fois sur OK .

Étape 2c : Copier le contenu des sites web par défaut vers le nouveau site web

  • Copiez tous les fichiers et dossiers du site web par défaut (C:\inetpub\wwwroot) vers C:\inetpub\EAC_Secondary. Vous pouvez ignorer les fichiers suivants qui ne peuvent pas être copiés :

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copiez tous les fichiers et dossiers de %ExchangeInstallPath%FrontEnd\HttpProxy\ecp vers C:\inetpub\EAC_Secondary\ecp.

  • Copiez tous les fichiers et dossiers de %ExchangeInstallPath%FrontEnd\HttpProxy\owa vers C:\inetpub\EAC_Secondary\owa.

Étape 2d : Utiliser Exchange Management Shell pour créer des répertoires virtuels cae et Outlook sur le web pour le nouveau site web

Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

Remplacez Server> par< le nom de votre serveur et exécutez les commandes suivantes pour créer le nouveau centre d’administration Exchange et Outlook sur le web répertoires virtuels pour le nouveau site web.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Étape 2e : Redémarrer IIS

  1. Dans le Gestionnaire des services Internet, dans le volet Connexions , sélectionnez le serveur.

  2. Dans le volet Actions, cliquez sur Redémarrer.

Remarque : Pour redémarrer IIS à partir de la ligne de commande, ouvrez une invite de commandes avec élévation de privilèges (fenêtre d’invite de commandes que vous avez ouverte en sélectionnant Exécuter en tant qu’administrateur) et exécutez les commandes suivantes :

net stop w3svc /y

net start w3svc

Comment savoir si cette tâche a fonctionné ?

Pour vérifier que vous avez correctement désactivé l’accès au CAE sur un serveur Exchange, procédez comme suit :

  1. Testez l’URL interne et externe de votre organization pour Outlook sur le web. Par exemple, si l’URL externe est https://mail.contoso.com/owaet que l’URL interne est https://mbx01.contoso.com/owa , utilisez les procédures suivantes pour vérifier votre configuration :

    • Vérifiez que les utilisateurs internes et externes peuvent ouvrir leurs boîtes aux lettres à l’aide de Outlook sur le web, y compris la page Options des paramètres>.

    • Vérifiez que https://mail.contoso.com/ecp et https://mbx01.contoso.com/ecp retournez l’un des résultats suivants :

      • 404 - site web introuvable

      • L’utilisateur est redirigé vers sa page Options de paramètres> dans Outlook sur le web.

  2. Vérifiez que les administrateurs peuvent accéder au CAE sur le réseau interne en fonction de votre sélection de configuration :

    • Deuxième serveur Exchange : si le deuxième serveur Exchange est nommé MBX02, vérifiez que https://mbx02.contoso.com/ecp le cae s’ouvre.

    • Nouveau site web EAC sur le serveur Exchange existant : si l’adresse IP du nouveau site web DU CAE est 10.1.1.12, vérifiez que https://10.1.1.12/ecp le cae est ouvert.