Exchange Server: Desativar o acesso ao centro de administração do Exchange

  • Artigo

O Centro de administração do Exchange (EAC) é a interface de gerenciamento primário do Exchange 2013 ou posterior. Para obter mais informações, consulte Centro de administração do Exchange no Exchange Server. Por padrão, o acesso ao EAC não é restrito e o acesso a Outlook na Web (formalmente conhecido como Outlook Web App) em um servidor exchange voltado para a Internet também dá acesso ao EAC. Você ainda precisa de credenciais válidas para entrar no EAC, mas as organizações podem querer restringir o acesso ao EAC para conexões de cliente da Internet.

No Exchange Server 2019, você pode usar as Regras de Acesso ao Cliente para bloquear o acesso do cliente ao EAC. Para obter mais informações, consulte Regras de Acesso ao Cliente no Exchange Server.

O diretório virtual do EAC é chamado de ECP e é gerenciado pelos cmdlets *- ECPVirtualDirectory . Quando você define o parâmetro AdminEnabled como o valor $false no diretório virtual do EAC, desabilitará o acesso ao EAC para conexões de cliente internas e externas, sem afetar o acesso à páginaOpções de Configurações> no Outlook na Web.

Local do menu opções no Outlook na Web.

Mas essa configuração apresenta um novo problema: o acesso ao EAC está completamente desabilitado no servidor, mesmo para administradores na rede interna. Para corrigir esse problema, você tem duas opções:

  • Configure um segundo servidor exchange que só esteja acessível da rede interna para lidar com conexões internas do EAC.

  • No servidor exchange existente, crie um novo site do IIS (Serviços de Informações da Internet) com novos diretórios virtuais para o EAC e Outlook na Web que só é acessível da rede interna.

    Observação: você precisa configurar o EAC e Outlook na Web no novo site, pois o EAC requer o módulo de autenticação Outlook na Web do mesmo site.

Do que você precisa saber para começar?

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Etapa 1: usar o Shell de Gerenciamento do Exchange para desabilitar o acesso ao EAC

Lembre-se de que essa etapa desabilita o acesso ao EAC no servidor para conexões internas e externas, mas ainda permite que os usuários acessem sua própria páginaOpções de Configurações> no Outlook na Web.

Para desabilitar o acesso ao EAC em um servidor do Exchange, use a seguinte sintaxe:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

Este exemplo transforma desabilita o acesso ao EAC no servidor chamado MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Como saber se esta etapa funcionou?

Para verificar se você desabilitou o acesso ao EAC no servidor, substitua <Server> pelo nome do servidor exchange e execute o seguinte comando para verificar o valor da propriedade AdminEnabled :

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Quando você abre https://<servername>/ecp ou da rede interna, sua própria páginaOpções de Configurações> no Outlook na Web é aberta em vez do EAC.

Etapa 2: dar acesso ao EAC na rede interna

Escolha uma das opções a seguir.

Opção 1: configurar um segundo servidor exchange que só está acessível na rede interna

O valor padrão da propriedade AdminEnabled está True no diretório virtual EAC padrão. Para confirmar esse valor no segundo servidor, substitua <Server> pelo nome do servidor e execute o seguinte comando:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Se o valor for False, substitua <Server> pelo nome do servidor e execute o seguinte comando:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Opção 2: criar um novo site no servidor exchange existente e configurar o EAC e Outlook na Web no novo site para a rede interna

As etapas necessárias são:

  1. Adicione um segundo endereço IP ao servidor exchange.

  2. Crie um novo site no IIS que use o segundo endereço IP e atribua permissões de arquivo e pasta.

  3. Copie o conteúdo dos sites padrão para o novo site.

  4. Crie novos diretórios virtuais EAC e Outlook na Web para o novo site.

  5. Reinicie o IIS para que as alterações entrem em vigor.

Importante

Quando você instala uma CU (Atualização Cumulativa Exchange Server), a CU não atualizará arquivos no novo site e nos diretórios virtuais. Depois de aplicar a CU, você precisa remover completamente o novo site, diretórios virtuais e conteúdo nas pastas e recriar o novo site, diretórios virtuais e conteúdo nas pastas.

Etapa 2a: adicionar um segundo endereço IP ao servidor exchange

Você pode adicionar um segundo adaptador de rede e atribuir o endereço IP ao segundo adaptador de rede ou atribuir um segundo endereço IP ao adaptador de rede existente.

As etapas para atribuir um segundo endereço IP ao adaptador de rede existente são descritas abaixo.

  1. Abra as propriedades do adaptador de rede. Por exemplo:

    a. Em uma janela prompt de comando, o Shell de Gerenciamento do Exchange ou a caixa de diálogo Executar , execute ncpa.cpl.

    b. Clique com o botão direito do mouse no adaptador de rede e escolha Propriedades.

    Propriedades do adaptador de rede no Windows.

  2. Nas propriedades do adaptador de rede, selecione Protocolo da Internet Versão 4 (TCP/IPv4)e clique em Propriedades.

  3. Na janela Propriedades do Protocolo da Internet 4 (TCP/IPv4) que abre, na guia Geral , clique em Avançado.

  4. Na janela Configurações avançadas de TCP/IP que abre, na guia Configurações de IP , na seção Endereços IP , clique em Adicionar e insira o endereço IP.

    Janela Configurações avançadas de TCP/IP das propriedades do adaptador de rede.

    Observação: se você adicionar um segundo adaptador de rede, na janela Configurações avançadas de TCP/IP, na guia DNS, não marcar Registrar o endereço dessa conexão no DNS.

    Guia DNS na janela Configurações avançadas de TCP/IP.

Etapa 2b: criar um novo site no IIS que use o segundo endereço IP e atribuir permissões de arquivo e pasta

  1. Abra o Gerenciador do IIS no servidor exchange. Uma maneira fácil de fazer isso em Windows Server 2012 ou posterior é pressionar a tecla do Windows + Q, digitar inetmgr e selecionar o Gerenciador de Serviços de Informações da Internet (IIS) nos resultados.

  2. No painel Conexões , expanda o servidor, selecione Sites e, no painel Ações , clique em Adicionar Site.

    No Gerenciador do IIS, expanda o servidor e selecione Sites.

  3. Na janela Adicionar Site exibida, configure as seguintes configurações:

    • Nome do site: EAC_Secondary

    • Caminho físico: C:\inetpub\EAC_Secondary

    • Associação

      • Tipo: https

      • Endereço IP: selecione o segundo endereço IP que você adicionou na etapa anterior.

      • Porta: 443

    • Certificado SSL: escolha o certificado que você deseja usar (por exemplo, o certificado padrão do Exchange chamado Microsoft Exchange).

    Quando terminar, clique em OK.

    Sites apropriados para o site secundário do EAC.

  4. Criar ecp e owa pastas em C:\inetpub\EAC_Secondary.

    a. No Gerenciador do IIS, selecione o EAC_Secondary site da Web e, no painel Ações , clique em Explorar.

    No Gerenciador do IIS, selecione o novo site do EAC no painel Sites.

    b. Na janela Explorador de Arquivos que é aberta, crie as seguintes pastas em C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Quando terminar, feche Explorador de Arquivos.

  5. Atribua permissões de Leitura & Executar ao grupo de segurança local chamado IIS_IUSRS na C:\inetpub\EAC_Secondary pasta.

    a. No IIS Manger, selecione o EAC_Secondary site da Web e, no painel Ações , clique em Editar Permissões.

    b. Na janela Propriedades EAC_Secondary que é aberta, clique na guia Segurança e clique em Editar.

    c. Na janela Permissões para EAC_Secondary que é aberta, clique em Adicionar.

    d. Na janela Selecionar Usuários, Computadores, Contas de Serviço ou Grupos que é aberta, execute as seguintes etapas:

    i. Clique em Locais e na caixa de diálogo Locais que abre, selecione o servidor local e clique em OK.

    ii. No campo Inserir os nomes de objeto para selecionar, digite IIS_IUSRS, clique em Verificar Nomes e clique em OK.

    Adicionar permissões.

    e. De volta à janela Permissões para EAC_Secondary , selecione IIS_IUSRS e, na coluna Permitir , selecione Ler & Executar (que seleciona automaticamente o Conteúdo da Pasta de Lista e as permissões de Leitura ) e clique em OK duas vezes.

Etapa 2c: copiar o conteúdo dos sites padrão para o novo site

  • Copie todos os arquivos e pastas do Site padrão (C:\inetpub\wwwroot) para C:\inetpub\EAC_Secondary. Você pode ignorar os seguintes arquivos que não podem ser copiados:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copie todos os arquivos e pastas de %ExchangeInstallPath%FrontEnd\HttpProxy\ecp para C:\inetpub\EAC_Secondary\ecp.

  • Copie todos os arquivos e pastas de %ExchangeInstallPath%FrontEnd\HttpProxy\owa para C:\inetpub\EAC_Secondary\owa.

Etapa 2d: use o Shell de Gerenciamento do Exchange para criar novos diretórios virtuais EAC e Outlook na Web para o novo site

Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

Substitua <Server> pelo nome do servidor e execute os seguintes comandos para criar o novo EAC e Outlook na Web diretórios virtuais para o novo site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Etapa 2e: Reiniciar o IIS

  1. No Gerenciador do IIS, no painel Conexões , selecione o servidor.

  2. No painel Ações , clique em Reiniciar.

Observação: para reiniciar o IIS da linha de comando, abra um prompt de comando elevado (uma janela do Prompt de Comando que você abriu selecionando Executar como administrador) e execute os seguintes comandos:

net stop w3svc /y

net start w3svc

Como saber se essa tarefa funcionou?

Para verificar se você desabilitou com êxito o acesso ao EAC em um servidor do Exchange, execute as seguintes etapas:

  1. Teste a URL interna e externa da sua organização para Outlook na Web. Por exemplo, se a URL externa for https://mail.contoso.com/owa, e a URL interna estiver https://mbx01.contoso.com/owa usando os seguintes procedimentos para verificar sua configuração:

    • Verifique se usuários internos e externos podem abrir suas caixas de correio usando Outlook na Web, incluindo a páginaOpções de Configurações>.

    • Verifique isso https://mail.contoso.com/ecp e https://mbx01.contoso.com/ecp retorne um dos seguintes resultados:

      • 404 – site não encontrado

      • O usuário é redirecionado para a páginaOpções de Configurações> em Outlook na Web.

  2. Verifique se os administradores podem acessar o EAC na rede interna com base na seleção de configuração:

    • Segundo servidor exchange: se o segundo servidor exchange for chamado MBX02, verifique se isso https://mbx02.contoso.com/ecp abre o EAC.

    • Novo site do EAC no servidor exchange existente: se o endereço IP do novo site do EAC for 10.1.1.12, verifique se isso https://10.1.1.12/ecp abre o EAC.