Exchange Server: Exchange 管理センターへのアクセスを無効にする

  • [アーティクル]

Exchange 管理センター (EAC) は、Exchange 2013 以降のプライマリ管理インターフェイスです。 詳細については、「Exchange Serverの Exchange 管理センター」を参照してください。 既定では、EAC へのアクセスは制限されません。また、インターネットに接続する Exchange サーバー上の Outlook on the web (正式にはOutlook Web App) へのアクセスも EAC にアクセスできます。 EAC にサインインするには引き続き有効な資格情報が必要ですが、組織はインターネットからのクライアント接続のために EAC へのアクセスを制限したい場合があります。

Exchange Server 2019 では、クライアント アクセス規則を使用して、EAC へのクライアント アクセスをブロックできます。 詳細については、「Exchange Serverのクライアント アクセス規則」を参照してください。

EAC 仮想ディレクトリは ECP という名前で、*- ECPVirtualDirectory コマンドレットによって管理されます。 AdminEnabled パラメーターを EAC 仮想ディレクトリの値$falseに設定すると、Outlook on the webの [設定オプション]> ページへのアクセスに影響を与えずに、内部および外部のクライアント接続の EAC へのアクセスを無効にします。

Outlook on the webの [オプション] メニューの場所。

ただし、この構成では、内部ネットワーク上の管理者に対しても、サーバーで EAC へのアクセスが完全に無効になっているという新しい問題が発生します。 この問題を解決するには、次の 2 つの選択肢があります。

  • 内部 EAC 接続を処理するために、内部ネットワークからのみアクセスできる 2 つ目の Exchange サーバーを構成します。

  • 既存の Exchange サーバーで、EAC 用の新しい仮想ディレクトリと、内部ネットワークからのみアクセスできるOutlook on the webを含む新しいインターネット インフォメーション サービス (IIS) Web サイトを作成します。

    : EAC には同じ Web サイトのOutlook on the web認証モジュールが必要であるため、新しい Web サイトで EAC Outlook on the webを構成する必要があります。

はじめに把握しておくべき情報

ヒント

問題がある場合は、 Exchange Server、Exchange Online、Exchange Online Protection。 必要な作業 シェルを使用して送信者フィルターを有効または無効にする

手順 1: Exchange 管理シェルを使用して EAC へのアクセスを無効にする

この手順では、内部接続と外部接続のためにサーバー上の EAC へのアクセスを無効にしても、ユーザーはOutlook on the webの [設定オプション]> ページにアクセスできます。

Exchange サーバー上の EAC へのアクセスを無効にするには、次の構文を使用します。

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

この例では、MBX01 という名前のサーバー上の EAC へのアクセスを無効にします。

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

このステップの検証方法

サーバー上の EAC へのアクセスを無効にしたことを確認するには、サーバーを Exchange サーバー>の名前に置き換え<、次のコマンドを実行して AdminEnabled プロパティの値を確認します。

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

内部ネットワークからまたはを開https://<servername>/ecpくと、EAC ではなく、Outlook on the webの独自の [設定オプション]> ページが開きます。

手順 2: 内部ネットワーク上の EAC へのアクセス権を付与する

次のいずれかのオプションを選択します。

オプション 1: 内部ネットワークからのみアクセスできる 2 つ目の Exchange サーバーを構成する

AdminEnabled プロパティの既定値は、True既定の EAC 仮想ディレクトリにあります。 2 番目のサーバーでこの値を確認するには、Server を>サーバーの名前に置き換え<、次のコマンドを実行します。

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

の値が の場合はFalseServer をサーバー>の名前に置き換え<、次のコマンドを実行します。

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

オプション 2: 既存の Exchange サーバーに新しい Web サイトを作成し、内部ネットワーク用の新しい Web サイトで EAC とOutlook on the webを構成する

必要な手順は次のとおりです。

  1. Exchange サーバーに 2 つ目の IP アドレスを追加します。

  2. 2 番目の IP アドレスを使用する新しい Web サイトを IIS に作成し、ファイルとフォルダーのアクセス許可を割り当てます。

  3. 既定の Web サイトの内容を新しい Web サイトにコピーします。

  4. 新しい Web サイトの新しい EAC とOutlook on the web仮想ディレクトリを作成します。

  5. 変更を有効にするには、IIS を再起動します。

Important

Exchange Server累積的な更新プログラム (CU) をインストールすると、CU は新しい Web サイトと仮想ディレクトリ内のファイルを更新しません。 CU を適用した後、フォルダー内の新しい Web サイト、仮想ディレクトリ、コンテンツを完全に削除し、新しい Web サイト、仮想ディレクトリ、およびフォルダー内のコンテンツを再作成する必要があります。

手順 2a: Exchange サーバーに 2 つ目の IP アドレスを追加する

2 つ目のネットワーク アダプターを追加し、2 番目のネットワーク アダプターに IP アドレスを割り当てるか、既存のネットワーク アダプターに 2 つ目の IP アドレスを割り当てることができます。

既存のネットワーク アダプターに 2 つ目の IP アドレスを割り当てる手順を次に示します。

  1. ネットワーク アダプターのプロパティを開きます。 例:

    a. コマンド プロンプト ウィンドウ、Exchange 管理シェル、または [実行 ] ダイアログで を実行 ncpa.cplします。

    b. ネットワーク アダプターを右クリックし、[プロパティ] を選択 します

    Windows のネットワーク アダプターのプロパティ。

  2. ネットワーク アダプターのプロパティで、[ インターネット プロトコル バージョン 4 (TCP/IPv4)] を選択し、[ プロパティ] をクリックします。

  3. 開いた [インターネット プロトコル バージョン 4 (TCP/IPv4) のプロパティ ] ウィンドウで、[ 全般 ] タブの [ 詳細設定] をクリックします。

  4. 開いた [TCP/IP 設定の詳細設定] ウィンドウの [ IP 設定 ] タブの [ IP アドレス ] セクションで、[ 追加 ] をクリックし、IP アドレスを入力します。

    ネットワーク アダプターのプロパティの [TCP/IP の詳細設定] ウィンドウ。

    : 2 つ目のネットワーク アダプターを追加する場合は、[TCP/IP の詳細設定] ウィンドウの [DNS] タブで、この接続のアドレスを DNS に登録チェック解除します。

    [TCP/IP の詳細設定] ウィンドウの [DNS] タブ。

手順 2b: 2 番目の IP アドレスを使用する新しい Web サイトを IIS に作成し、ファイルとフォルダーのアクセス許可を割り当てる

  1. Exchange サーバーで IIS マネージャーを開きます。 これを Windows Server 2012 以降で簡単に行うには、Windows キー + Q を押し、inetmgr と入力して、結果から [インターネット インフォメーション サービス (IIS) マネージャー] を選択します。

  2. [ 接続 ] ウィンドウでサーバーを展開し、[ サイト] を選択し、[ 操作 ] ウィンドウで [ Web サイトの追加] をクリックします。

    IIS マネージャーでサーバーを展開し、[サイト] を選択します。

  3. 表示される [ Web サイトの追加] ウィンドウで、次の設定を構成します。

    • サイト名: EAC_Secondary

    • 物理パス: C:\inetpub\EAC_Secondary

    • Binding

      • : https

      • IP アドレス: 前の手順で追加した 2 番目の IP アドレスを選択します。

      • ポート: 443

    • SSL 証明書: 使用する証明書 (Microsoft Exchange という名前の既定の Exchange 証明書など) を選択します。

    完了したら、[OK] をクリックします。

    セカンダリ EAC Web サイトの Web サイトのサイトのサイト。

  4. で と フォルダーをC:\inetpub\EAC_Secondaryowa作成ecpします。

    a. IIS マネージャーで Web サイトを EAC_Secondary 選択し、[ 操作 ] ウィンドウで [ 探索] をクリックします。

    IIS マネージャーで、[サイト] ウィンドウで新しい EAC Web サイトを選択します。

    b. 開いたエクスプローラー ウィンドウでC:\inetpub\EAC_Secondary、 で次のフォルダーを作成します。

    • ecp

    • owa

    完了したら、エクスプローラーを閉じます。

  5. フォルダーの IIS_IUSRS という名前のローカル セキュリティ グループに 読み取& 実行アクセス許可を C:\inetpub\EAC_Secondary 割り当てます。

    a. IIS マネージャーで Web サイトを EAC_Secondary 選択し、[ 操作 ] ウィンドウで [ アクセス許可の編集] をクリックします。

    b. 開いた [EAC_Secondaryのプロパティ ] ウィンドウで、[ セキュリティ ] タブをクリックし、[ 編集] をクリックします。

    c. 開いた [ EAC_Secondaryのアクセス許可] ウィンドウで、[ 追加] をクリックします。

    d. 開いた [ ユーザー、コンピューター、サービス アカウント、またはグループの選択 ] ウィンドウで、次の手順を実行します。

    i. [ 場所] をクリックし、開いた [ 場所 ] ダイアログ ボックスでローカル サーバーを選択し、[OK] をクリック します

    ii. [ 選択するオブジェクト名を入力します ] フィールドに「IIS_IUSRS」と入力し、[ 名前の確認] をクリックして、[OK] をクリック します

    アクセス許可を追加します。

    e. [EAC_Secondaryのアクセス許可] ウィンドウに戻り、[IIS_IUSRS] を選択し、[許可] 列で [読み取り & 実行] (フォルダーの内容の一覧表示読み取りアクセス許可が自動的に選択されます) を選択し、[OK] を 2 回クリックします。

手順 2c: 既定の Web サイトの内容を新しい Web サイトにコピーする

  • すべてのファイルとフォルダーを既定の Web サイト (C:\inetpub\wwwroot) から に C:\inetpub\EAC_Secondaryコピーします。 コピーできない次のファイルはスキップできます。

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • すべてのファイルとフォルダーを から %ExchangeInstallPath%FrontEnd\HttpProxy\ecp にコピーします C:\inetpub\EAC_Secondary\ecp

  • すべてのファイルとフォルダーを から %ExchangeInstallPath%FrontEnd\HttpProxy\owa にコピーします C:\inetpub\EAC_Secondary\owa

手順 2d: Exchange 管理シェルを使用して、新しい Web サイトの新しい EAC とOutlook on the web仮想ディレクトリを作成する

オンプレミスの Exchange 組織で Exchange 管理シェルを開く方法については、「 Open the Exchange Management Shell」をご覧ください。

サーバーをサーバーの名前に置き換え<、次のコマンドを実行して新しい EAC を作成し、新しい Web サイトの仮想ディレクトリをOutlook on the webします。>

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

手順 2e: IIS を再起動する

  1. IIS マネージャーの [ 接続 ] ウィンドウで、サーバーを選択します。

  2. [操作] ウィンドウで [再起動] をクリックします。

: コマンド ラインから IIS を再起動するには、管理者特権のコマンド プロンプト ([ 管理者として実行] を選択して開いたコマンド プロンプト ウィンドウ) を開き、次のコマンドを実行します。

net stop w3svc /y

net start w3svc

このタスクの検証方法

Exchange サーバー上の EAC へのアクセスが正常に無効になっていることを確認するには、次の手順を実行します。

  1. Outlook on the webのorganizationの内部 URL と外部 URL をテストします。 たとえば、外部 URL が で https://mail.contoso.com/owa、内部 URL が である場合は https://mbx01.contoso.com/owa 、次の手順を使用して構成を確認します。

    • [設定オプション]> ページなど、Outlook on the webを使用して、内部ユーザーと外部ユーザーがメールボックスを開くことができることを確認します。

    • https://mail.contoso.com/ecp 確認し、 https://mbx01.contoso.com/ecp 次のいずれかの結果を返します。

      • 404 - Web サイトが見つかりません

      • ユーザーは、Outlook on the webの [設定オプション]> ページにリダイレクトされます。

  2. 管理者が構成の選択に基づいて内部ネットワーク上の EAC にアクセスできることを確認します。

    • 2 番目の Exchange サーバー: 2 つ目の Exchange サーバーの名前が MBX02 の場合は、EAC が開かれることを https://mbx02.contoso.com/ecp 確認します。

    • 既存の Exchange サーバー上の新しい EAC Web サイト: 新しい EAC Web サイトの IP アドレスが 10.1.1.12 の場合は、EAC が開かれることを https://10.1.1.12/ecp 確認します。