最近有客戶問我,自從Exchange 從2010更新到Exchange 2013後,Exchange管理中心(EAC)是新的管理控制台。它取代了它的前身Exchange管理控制台(EMC),它支援管理Exchange 2013組織。由于EMC是Microsoft管理控制台(MMC)類型的應用程式,EAC是基于Web的管理控制台,它作為IIS上的虛拟目錄安裝在用戶端通路伺服器(CAS)上,是以兩個控制台都非常獨特。EAC配有交換控制台(ECP)它是一個非限制性的網絡應用程式,可以從網絡(LAN,Internet)的各個位置實時通路。任何擁有有效使用者名和密碼的使用者,都可能會以前所未有的方式登入。當CAS安裝在像DMZ區域這樣的外圍網絡中時,這可能會造成很大的威脅,一些使用攔截密碼的黑客可以通過網際網路登入ECP。
從上面的截圖可以看出,如果我們希望立即生效,我們可以執行“iisreset / noforce”指令。
解決方案實施後,每次嘗試到達ECP頁面都将以“404頁面未找到”錯誤結束,或者将請求重定向到管理者帳戶詳細資訊的OWA選項(請參見下面的螢幕)。
但是,這個解決方案有一個缺點。盡管通過實作這個功能,我們成功地限制了從Internet區域通路ECP,但是我們卻無法從内部網絡通路ECP。在這種情況下,Microsoft建議我們在内部網絡安裝一個CAS伺服器僅用于内部ECP通路。但在我自己和專業的IT同僚的意見中,更好的辦法是在面向網際網路的CAS上安裝第二個帶有ECP和OWA虛拟目錄的網站。這是一個更簡單,更快捷的解決方案。
要應用該解決方案,我們需要為安裝CAS 的伺服器配置設定第二個IP位址(通常都是一個IP位址)。通過在CAS伺服器中安裝的第二個網絡擴充卡上配置新的IP位址,或者在現有網絡接口上配置設定第二個IP位址,可以輕松完成此任務。第一種方式主要是由管理者在出于安全政策合規性原因的情況下部署,然而第二種方式在實作方面更容易,更快捷。下面的螢幕說明了後一種解決方案:
将IP位址配置設定到CAS之後,我們需要在DNS伺服器上的DNS區域中建立适當的記錄。這個記錄中的名字将被用來聯系自定義的ECP虛拟目錄。更重要的是,這個記錄還需要指出早一步配置的IP位址:
在下一步中,我們為 C:\ Inetpub檔案夾下的第二個網站建立一個檔案夾,例如wwwroot2。
當建立檔案夾時,我們必須打開Internet資訊服務(IIS)管理器并建立第二個網站,例如“InternalEAC”,指向建立的檔案夾C:\ inetpub \ wwwroot2并綁定到TCP / 80(HTTP) TCP / 443(HTTPS)端口。下面的螢幕展示了漫遊過程。
首先,我們必須記住将新網站與新的IP位址綁定:
在下面的步驟中,我們需要在新建立的第二個網站下為ECP和OWA建立虛拟目錄。我們将通過執行以下指令來解決這個問題:
在此之後,我們使用前面提到的Microsoft解決方案禁用對EAC的通路。要做到這一點,我們隻需運作以下指令:
最後,隻有兩個最後的步驟去。它限制通路綁定到我們自定義網站的IP位址,例如内部使用者或管理者管理站。這将阻止從周邊網絡或網際網路區域等不受歡迎的區域通路我們的新網站。
最後一步是為自定義ECP網站配置設定用于SSL目的的适當證書。它可以是第三方證書(例如已經配置設定給預設網站的現有通配符證書),内部CA的證書或自簽名證書。在建立新證書的情況下,我們必須記住将證書中的名稱與ECP URL中使用的名稱進行比對。
本文轉自 Juck_Zhang 51CTO部落格,原文連結:http://blog.51cto.com/itsoul/2047682