Exchange Server: Desativar o acesso ao centro de administração do Exchange
O Centro de administração do Exchange (EAC) é a interface de gerenciamento primário do Exchange 2013 ou posterior. Para obter mais informações, consulte Centro de administração do Exchange no Exchange Server. Por padrão, o acesso ao EAC não é restrito e o acesso a Outlook na Web (formalmente conhecido como Outlook Web App) em um servidor exchange voltado para a Internet também dá acesso ao EAC. Você ainda precisa de credenciais válidas para entrar no EAC, mas as organizações podem querer restringir o acesso ao EAC para conexões de cliente da Internet.
No Exchange Server 2019, você pode usar as Regras de Acesso ao Cliente para bloquear o acesso do cliente ao EAC. Para obter mais informações, consulte Regras de Acesso ao Cliente no Exchange Server.
O diretório virtual do EAC é chamado de ECP e é gerenciado pelos cmdlets *- ECPVirtualDirectory . Quando você define o parâmetro AdminEnabled como o valor $false
no diretório virtual do EAC, desabilitará o acesso ao EAC para conexões de cliente internas e externas, sem afetar o acesso à páginaOpções de Configurações> no Outlook na Web.
Mas essa configuração apresenta um novo problema: o acesso ao EAC está completamente desabilitado no servidor, mesmo para administradores na rede interna. Para corrigir esse problema, você tem duas opções:
Configure um segundo servidor exchange que só esteja acessível da rede interna para lidar com conexões internas do EAC.
No servidor exchange existente, crie um novo site do IIS (Serviços de Informações da Internet) com novos diretórios virtuais para o EAC e Outlook na Web que só é acessível da rede interna.
Observação: você precisa configurar o EAC e Outlook na Web no novo site, pois o EAC requer o módulo de autenticação Outlook na Web do mesmo site.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: 5 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Conectividade do centro de administração do Exchange" no tópico de permissões de infraestrutura do Exchange e do PowerShell .
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.
Etapa 1: usar o Shell de Gerenciamento do Exchange para desabilitar o acesso ao EAC
Lembre-se de que essa etapa desabilita o acesso ao EAC no servidor para conexões internas e externas, mas ainda permite que os usuários acessem sua própria páginaOpções de Configurações> no Outlook na Web.
Para desabilitar o acesso ao EAC em um servidor do Exchange, use a seguinte sintaxe:
Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false
Este exemplo transforma desabilita o acesso ao EAC no servidor chamado MBX01.
Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false
Como saber se esta etapa funcionou?
Para verificar se você desabilitou o acesso ao EAC no servidor, substitua <Server> pelo nome do servidor exchange e execute o seguinte comando para verificar o valor da propriedade AdminEnabled :
Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled
Quando você abre https://<servername>/ecp
ou da rede interna, sua própria páginaOpções de Configurações> no Outlook na Web é aberta em vez do EAC.
Etapa 2: dar acesso ao EAC na rede interna
Escolha uma das opções a seguir.
Opção 1: configurar um segundo servidor exchange que só está acessível na rede interna
O valor padrão da propriedade AdminEnabled está True
no diretório virtual EAC padrão. Para confirmar esse valor no segundo servidor, substitua <Server> pelo nome do servidor e execute o seguinte comando:
Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled
Se o valor for False
, substitua <Server> pelo nome do servidor e execute o seguinte comando:
Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true
Opção 2: criar um novo site no servidor exchange existente e configurar o EAC e Outlook na Web no novo site para a rede interna
As etapas necessárias são:
Adicione um segundo endereço IP ao servidor exchange.
Crie um novo site no IIS que use o segundo endereço IP e atribua permissões de arquivo e pasta.
Copie o conteúdo dos sites padrão para o novo site.
Crie novos diretórios virtuais EAC e Outlook na Web para o novo site.
Reinicie o IIS para que as alterações entrem em vigor.
Importante
Quando você instala uma CU (Atualização Cumulativa Exchange Server), a CU não atualizará arquivos no novo site e nos diretórios virtuais. Depois de aplicar a CU, você precisa remover completamente o novo site, diretórios virtuais e conteúdo nas pastas e recriar o novo site, diretórios virtuais e conteúdo nas pastas.
Etapa 2a: adicionar um segundo endereço IP ao servidor exchange
Você pode adicionar um segundo adaptador de rede e atribuir o endereço IP ao segundo adaptador de rede ou atribuir um segundo endereço IP ao adaptador de rede existente.
As etapas para atribuir um segundo endereço IP ao adaptador de rede existente são descritas abaixo.
Abra as propriedades do adaptador de rede. Por exemplo:
a. Em uma janela prompt de comando, o Shell de Gerenciamento do Exchange ou a caixa de diálogo Executar , execute
ncpa.cpl
.b. Clique com o botão direito do mouse no adaptador de rede e escolha Propriedades.
Nas propriedades do adaptador de rede, selecione Protocolo da Internet Versão 4 (TCP/IPv4)e clique em Propriedades.
Na janela Propriedades do Protocolo da Internet 4 (TCP/IPv4) que abre, na guia Geral , clique em Avançado.
Na janela Configurações avançadas de TCP/IP que abre, na guia Configurações de IP , na seção Endereços IP , clique em Adicionar e insira o endereço IP.
Observação: se você adicionar um segundo adaptador de rede, na janela Configurações avançadas de TCP/IP, na guia DNS, não marcar Registrar o endereço dessa conexão no DNS.
Etapa 2b: criar um novo site no IIS que use o segundo endereço IP e atribuir permissões de arquivo e pasta
Abra o Gerenciador do IIS no servidor exchange. Uma maneira fácil de fazer isso em Windows Server 2012 ou posterior é pressionar a tecla do Windows + Q, digitar inetmgr e selecionar o Gerenciador de Serviços de Informações da Internet (IIS) nos resultados.
No painel Conexões , expanda o servidor, selecione Sites e, no painel Ações , clique em Adicionar Site.
Na janela Adicionar Site exibida, configure as seguintes configurações:
Nome do site:
EAC_Secondary
Caminho físico:
C:\inetpub\EAC_Secondary
Associação
Tipo: https
Endereço IP: selecione o segundo endereço IP que você adicionou na etapa anterior.
Porta: 443
Certificado SSL: escolha o certificado que você deseja usar (por exemplo, o certificado padrão do Exchange chamado Microsoft Exchange).
Quando terminar, clique em OK.
Criar
ecp
eowa
pastas emC:\inetpub\EAC_Secondary
.a. No Gerenciador do IIS, selecione o
EAC_Secondary
site da Web e, no painel Ações , clique em Explorar.b. Na janela Explorador de Arquivos que é aberta, crie as seguintes pastas em
C:\inetpub\EAC_Secondary
:ecp
owa
Quando terminar, feche Explorador de Arquivos.
Atribua permissões de Leitura & Executar ao grupo de segurança local chamado IIS_IUSRS na
C:\inetpub\EAC_Secondary
pasta.a. No IIS Manger, selecione o
EAC_Secondary
site da Web e, no painel Ações , clique em Editar Permissões.b. Na janela Propriedades EAC_Secondary que é aberta, clique na guia Segurança e clique em Editar.
c. Na janela Permissões para EAC_Secondary que é aberta, clique em Adicionar.
d. Na janela Selecionar Usuários, Computadores, Contas de Serviço ou Grupos que é aberta, execute as seguintes etapas:
i. Clique em Locais e na caixa de diálogo Locais que abre, selecione o servidor local e clique em OK.
ii. No campo Inserir os nomes de objeto para selecionar, digite IIS_IUSRS, clique em Verificar Nomes e clique em OK.
e. De volta à janela Permissões para EAC_Secondary , selecione IIS_IUSRS e, na coluna Permitir , selecione Ler & Executar (que seleciona automaticamente o Conteúdo da Pasta de Lista e as permissões de Leitura ) e clique em OK duas vezes.
Etapa 2c: copiar o conteúdo dos sites padrão para o novo site
Copie todos os arquivos e pastas do Site padrão (
C:\inetpub\wwwroot
) paraC:\inetpub\EAC_Secondary
. Você pode ignorar os seguintes arquivos que não podem ser copiados:MacCertification.asmx
MobileDeviceCertification.asmx
decomission.asmx
editissuancelicense.asmx
Copie todos os arquivos e pastas de
%ExchangeInstallPath%FrontEnd\HttpProxy\ecp
paraC:\inetpub\EAC_Secondary\ecp
.Copie todos os arquivos e pastas de
%ExchangeInstallPath%FrontEnd\HttpProxy\owa
paraC:\inetpub\EAC_Secondary\owa
.
Etapa 2d: use o Shell de Gerenciamento do Exchange para criar novos diretórios virtuais EAC e Outlook na Web para o novo site
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.
Substitua <Server> pelo nome do servidor e execute os seguintes comandos para criar o novo EAC e Outlook na Web diretórios virtuais para o novo site.
New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"
Etapa 2e: Reiniciar o IIS
No Gerenciador do IIS, no painel Conexões , selecione o servidor.
No painel Ações , clique em Reiniciar.
Observação: para reiniciar o IIS da linha de comando, abra um prompt de comando elevado (uma janela do Prompt de Comando que você abriu selecionando Executar como administrador) e execute os seguintes comandos:
net stop w3svc /y
net start w3svc
Como saber se essa tarefa funcionou?
Para verificar se você desabilitou com êxito o acesso ao EAC em um servidor do Exchange, execute as seguintes etapas:
Teste a URL interna e externa da sua organização para Outlook na Web. Por exemplo, se a URL externa for https://mail.contoso.com/owa, e a URL interna estiver https://mbx01.contoso.com/owa usando os seguintes procedimentos para verificar sua configuração:
Verifique se usuários internos e externos podem abrir suas caixas de correio usando Outlook na Web, incluindo a páginaOpções de Configurações>.
Verifique isso https://mail.contoso.com/ecp e https://mbx01.contoso.com/ecp retorne um dos seguintes resultados:
404 – site não encontrado
O usuário é redirecionado para a páginaOpções de Configurações> em Outlook na Web.
Verifique se os administradores podem acessar o EAC na rede interna com base na seleção de configuração:
Segundo servidor exchange: se o segundo servidor exchange for chamado MBX02, verifique se isso https://mbx02.contoso.com/ecp abre o EAC.
Novo site do EAC no servidor exchange existente: se o endereço IP do novo site do EAC for 10.1.1.12, verifique se isso https://10.1.1.12/ecp abre o EAC.