通过

Exchange Server:关闭对 Exchange 管理中心的访问

  • 项目

Exchange 管理中心 (EAC) 是 Exchange 2013 或更高版本的主要管理界面。 有关详细信息,请参阅 Exchange Server 中的 Exchange 管理中心。 默认情况下,对 EAC 的访问不受限制,并且对面向 Internet 的 Exchange 服务器上的 Outlook 网页版 (正式称为 Outlook Web App) 的访问也允许访问 EAC。 你仍然需要有效的凭据才能登录到 EAC,但组织可能希望限制对 EAC 的访问,以便从 Internet 进行客户端连接。

在 Exchange Server 2019 中,可以使用客户端访问规则阻止客户端访问 EAC。 有关详细信息,请参阅 Exchange Server 中的客户端访问规则

EAC 虚拟目录名为 ECP,由 *- ECPVirtualDirectory cmdlet 管理。 将 AdminEnabled 参数设置为 EAC 虚拟目录上的值$false时,将禁用对 EAC 进行内部和外部客户端连接的访问权限,而不会影响访问 Outlook 网页版 中的“设置>选项”页。

Outlook 网页版中的选项菜单位置。

但是,此配置引入了一个新问题:在服务器上完全禁用对 EAC 的访问,即使是内部网络上的管理员也是如此。 若要解决此问题,有两种选择:

  • 配置只能从内部网络访问的第二个 Exchange 服务器来处理内部 EAC 连接。

  • 在现有 Exchange 服务器上,创建一个新的 Internet Information Services (IIS) 网站,其中包含仅可从内部网络访问的 EAC 和Outlook 网页版的新虚拟目录。

    注意:需要在新网站中配置 EAC Outlook 网页版,因为 EAC 需要来自同一网站的Outlook 网页版身份验证模块。

开始前,有必要了解什么?

  • 估计完成每个步骤的时间:5 分钟。

  • 你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 Exchange 基础结构和 PowerShell 权限 主题中的“Exchange 管理中心连接”条目。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

步骤 1:使用 Exchange 命令行管理程序禁用对 EAC 的访问

请记住,此步骤禁止访问服务器上的 EAC 进行内部和外部连接,但仍允许用户访问Outlook 网页版中自己的“设置选项”>页。

若要禁用对 Exchange 服务器上的 EAC 的访问,请使用以下语法:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

此示例将禁用对名为 MBX01 的服务器上的 EAC 的访问。

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

如何判断这一步生效?

若要验证是否已禁用对服务器上的 EAC 的访问,请将 Server> 替换为< Exchange 服务器的名称,并运行以下命令来验证 AdminEnabled 属性的值:

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

打开或从内部网络打开https://<servername>/ecp时,Outlook 网页版中将打开你自己的“设置>选项”页,而不是 EAC。

步骤 2:授予对内部网络上 EAC 的访问权限

选择以下选项之一。

选项 1:配置第二台只能从内部网络访问的 Exchange 服务器

AdminEnabled 属性的默认值位于True默认 EAC 虚拟目录上。 若要在第二台服务器上确认此值,请将 Server> 替换为<服务器的名称,并运行以下命令:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

如果值为 False,请将 Server> 替换为<服务器的名称,并运行以下命令:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

选项 2:在现有 Exchange 服务器上创建新网站,并在新网站中为内部网络配置 EAC 和Outlook 网页版

所需步骤包括:

  1. 将另一个 IP 地址添加到 Exchange 服务器。

  2. 在 IIS 中创建使用第二个 IP 地址的新网站,并分配文件和文件夹权限。

  3. 将默认网站的内容复制到新网站。

  4. 为新网站创建新的 EAC 并Outlook 网页版虚拟目录。

  5. 重启 IIS,使更改生效。

重要

安装Exchange Server累积更新 (CU) 时,CU 不会更新新网站和虚拟目录中的文件。 应用 CU 后,需要完全删除文件夹中的新网站、虚拟目录和内容,然后重新创建新网站、虚拟目录和文件夹中的内容。

步骤 2a:向 Exchange 服务器添加第二个 IP 地址

可以添加第二个网络适配器并将 IP 地址分配给第二个网络适配器,也可以将第二个 IP 地址分配给现有网络适配器。

下面介绍了将第二个 IP 地址分配给现有网络适配器的步骤。

  1. 打开网络适配器的属性。 例如:

    a. 在命令提示符窗口、Exchange 命令行管理程序或 “运行 ”对话框中,运行 ncpa.cpl

    b. 右键单击网络适配器,然后选择 “属性”。

    Windows 中网络适配器的属性。

  2. 在网络适配器的属性中,选择“ Internet 协议版本 4 (TCP/IPv4) ”,然后单击“ 属性”。

  3. 在打开的 “Internet 协议版本 4 (TCP/IPv4) 属性” 窗口中,单击“ 常规 ”选项卡上的“ 高级”。

  4. 在打开 的“高级 TCP/IP 设置” 窗口中,在 “IP 设置” 选项卡上的“ IP 地址 ”部分中,单击“ 添加 ”并输入 IP 地址。

    网络适配器属性的高级 TCP/IP 设置窗口。

    注意:如果添加第二个网络适配器,请在“高级 TCP/IP 设置”窗口中的“DNS”选项卡上取消检查在 DNS 中注册此连接的地址

    “高级 TCP/IP 设置”窗口中的“DNS”选项卡。

步骤 2b:在 IIS 中创建使用第二个 IP 地址的新网站,并分配文件和文件夹权限

  1. 打开 Exchange 服务器上的 IIS 管理器。 在 Windows Server 2012 或更高版本中执行此操作的简便方法是按 Windows 键 + Q,键入 inetmgr,并在结果中选择" Internet Information Services (IIS) 管理器"。

  2. 在“ 连接 ”窗格中,展开服务器,选择“ 站点”,然后在“ 操作 ”窗格中,单击“ 添加网站”。

    在 IIS 管理器中,展开服务器,然后选择“站点”。

  3. 在显示的 “添加网站 ”窗口中,配置以下设置:

    • 站点名称EAC_Secondary

    • 物理路径C:\inetpub\EAC_Secondary

    • Binding

      • 类型:https

      • IP 地址:选择在上一步中添加的第二个 IP 地址。

      • 端口:443

    • SSL 证书:选择要使用的证书 (例如,名为 Microsoft Exchange) 的默认 Exchange 证书。

    完成后,单击“确定”

    辅助 EAC 网站的网站属性。

  4. 在 中创建 ecpC:\inetpub\EAC_Secondaryowa 文件夹。

    a. 在 IIS 管理器中 EAC_Secondary ,选择网站,然后在“ 操作 ”窗格中单击“ 浏览”。

    在 IIS 管理器中,在“网站”窗格中选择新的 EAC 网站。

    b. 在打开的文件资源管理器窗口中,在 C:\inetpub\EAC_Secondary中创建以下文件夹:

    • ecp

    • owa

    完成后,关闭文件资源管理器。

  5. “读取 & 执行 ”权限分配给文件夹上名为 IIS_IUSRSC:\inetpub\EAC_Secondary 本地安全组。

    a. 在 IIS 管理器中 EAC_Secondary ,选择网站,然后在“ 操作 ”窗格中,单击“ 编辑权限”。

    b. 在打开 的“EAC_Secondary属性” 窗口中,单击“ 安全性 ”选项卡,然后单击“ 编辑”。

    c. 在打开 的“EAC_Secondary权限 ”窗口中,单击“ 添加”。

    d. 在打开 的“选择用户、计算机、服务帐户或组 ”窗口中,执行以下步骤:

    i. 单击“ 位置”,在打开的“ 位置 ”对话框中,选择本地服务器,然后单击“ 确定”。

    ii. 在 “输入要选择的对象名称 ”字段中,键入IIS_IUSRS,单击“ 检查名称”,然后单击“ 确定”。

    添加权限。

    e. 返回“ EAC_Secondary的权限” 窗口,选择“ IIS_IUSRS”,然后在“ 允许 ”列中,选择“ 读取 & 执行 (”,这会自动选择 “列出文件夹内容 ”和“ 读取 权限”) ,然后单击“ 确定” 两次。

步骤 2c:将默认网站的内容复制到新网站

  • 将所有文件和文件夹从默认网站 () C:\inetpub\wwwroot 复制到 C:\inetpub\EAC_Secondary。 可以跳过以下无法复制的文件:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • 将所有文件和文件夹从 %ExchangeInstallPath%FrontEnd\HttpProxy\ecpC:\inetpub\EAC_Secondary\ecp复制到 。

  • 将所有文件和文件夹从 %ExchangeInstallPath%FrontEnd\HttpProxy\owaC:\inetpub\EAC_Secondary\owa复制到 。

步骤 2d:使用 Exchange 命令行管理程序为新网站创建新的 EAC 和Outlook 网页版虚拟目录

若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

Server> 替换为<服务器的名称,并运行以下命令,为新网站创建新的 EAC 和Outlook 网页版虚拟目录。

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

步骤 2e:重启 IIS

  1. 在 IIS 管理器的“ 连接 ”窗格中,选择服务器。

  2. “操作 ”窗格中,单击“ 重启”。

注意:若要从命令行重启 IIS,请选择“以 管理员身份运行 ”) 打开“命令提示符”窗口, (提升的命令提示符,然后运行以下命令:

net stop w3svc /y

net start w3svc

如何判断此任务生效?

若要验证是否已成功禁用对 Exchange 服务器上的 EAC 的访问,请执行以下步骤:

  1. 测试组织的内部和外部 URL 以获取Outlook 网页版。 例如,如果外部 URL 为 https://mail.contoso.com/owa,并且内部 URL https://mbx01.contoso.com/owa 使用以下过程来验证配置:

    • 验证内部和外部用户是否可以使用Outlook 网页版(包括“设置选项”页)>打开其邮箱。

    • 验证 https://mail.contoso.com/ecphttps://mbx01.contoso.com/ecp 返回以下结果之一:

      • 404 - 找不到网站

      • 用户被重定向到Outlook 网页版中的“设置选项”>页。

  2. 根据配置选择,验证管理员是否可以访问内部网络上的 EAC:

    • 第二个 Exchange 服务器:如果第二个 Exchange 服务器名为 MBX02,请验证是否已 https://mbx02.contoso.com/ecp 打开 EAC。

    • 现有 Exchange 服务器上的新 EAC 网站:如果新 EAC 网站的 IP 地址为 10.1.1.12,请验证是否已 https://10.1.1.12/ecp 打开 EAC。