在 Exchange Server 2016 中，Exchange 管理中心 是 Exchange 的主要管理界面。默认情况下，不会限制对 EAC 的访问，并且对面向 Internet 的 Exchange 服务器上 Web 上的 Outlook（以前称为 Outlook Web App）的访问也可访问 EAC。但是，在实际的企业管理中，我们希望能够限制来自 Internet 的客户端连接对 EAC 的访问。

      本文转自-学领未来

一、解决方案

在 Exchange 2016 中，EAC 虚拟目录被命名为 ECP，并由 *-ECPVirtualDirectory cmdlet 进行管理。当你在 EAC 虚拟目录上将 AdminEnabled 参数设置为值 $false 时，便禁用了内部和外部客户端连接对 EAC 的访问，而不会影响对 Web 上的 Outlook 中的“设置”>“选项”页的访问。

但这种配置会带来新问题：服务器上会完全禁用对 EAC 的访问，甚至对内部网络上的管理员也禁用访问。为了解决这个问题，在现有的 Exchange 2016 上，为 EAC 新建一个带有新虚拟目录的 Internet Information Services (IIS) 网站，并且 Web 上的 Outlook 只能从内部网络进行访问。

二、实验验证

步骤一：向Exchange服务器添加第二个IP地址：

1. 打开网络适配器的属性。例如：

1. 从命令提示符窗口，Exchange命令行管理程序或运行对话框运行ncpa.cpl。

2. 用鼠标右键单击网络适配器，然后选择属性。

2. 在网络适配器的属性中，选择Internet协议版本4（TCP / IPv4），然后单击属性。

3. 在打开的Internet协议版本4（TCP / IPv4）属性窗口中，在常规选项卡上，单击高级。

4. 在打开的高级TCP / IP设置窗口中，在IP设置选项卡的IP地址部分中，单击添加并输入IP地址。

注意：如果添加第二个网络适配器，请在“ 高级TCP / IP设置”窗口的“ DNS”选项卡上取消选中在DNS中注册此连接的地址。

步骤二：在IIS中创建一个使用第二个IP地址的新网站，并分配文件和文件夹权限

1. 在Exchange服务器上打开IIS管理器。在Windows Server 2012或更高版本中执行此操作的简单方法是按Windows键+ Q，键入inetmgr，然后在结果中选择“ Internet信息服务（IIS）管理器 ”。

2. 在“ 连接”窗格中，展开服务器，选择“ 站点”，然后在“ 操作”窗格中单击添加网站。

3. 在出现的添加网站窗口中，配置以下设置：

• 网站名称   EAC_Secondary

• 物理路径   C:\inetpub\EAC_Secondary

• 网址配置

• 协议    https

• IP地址    选择您在上一步中添加的第二个IP地址。

• 端口    443

• SSL证书    选择要使用的证书（例如，名为Microsoft       Exchange的默认Exchange证书）。

完成后，单击确定。

4. 在中创建ecp和owa文件夹C:\inetpub\EAC_Secondary。

a.  在IIS管理器中，选择该EAC_Secondary网站，然后在“ 操作”窗格中单击“ 浏览”。

b.  在打开的文件资源管理器窗口中，在以下位置创建以下文件夹C:\inetpub\EAC_Secondary：

?  ecp

?  owa

完成后，关闭文件资源管理器。

5.  将读取和执行权限分配给文件夹上名为IIS_IUSRS的本地安全组C:\inetpub\EAC_Secondary。

a)      在IIS管理器中，选择该EAC_Secondary网站，然后在“ 操作”窗格中单击编辑权限。

b)      在打开的EAC_Secondary属性窗口中，单击安全选项卡，然后单击编辑。

c)      在打开的EAC_Secondary窗口中，单击添加。

d)      在打开的“ 选择用户，计算机，服务帐户或组”窗口中，执行以下步骤：

                 i.          单击位置，并在打开的位置对话框中选择本地服务器，然后单击确定。

                ii.          在输入要选择的对象名称字段中，键入IIS_IUSRS，单击检查名称，然后单击确定。

e)      返回EAC_Secondary窗口的权限，选择IIS_IUSRS，然后在允许列中，选择读取和执行（自动选择列表文件夹内容和读取权限），然后单击确定两次。

步骤三：将默认网站的内容复制到新网站

l  将所有文件和文件夹从默认网站（C:\inetpub\wwwroot）复制到C:\inetpub\EAC_Secondary。您可以跳过以下无法复制的文件：

?  MacCertification.asmx

?  MobileDeviceCertification.asmx

?  decomission.asmx

?  editissuancelicense.asmx

l  从所有文件和文件夹复制%ExchangeInstallPath%FrontEnd\HttpProxy\ecp到C:\inetpub\EAC_Secondary\ecp。

l  从所有文件和文件夹复制%ExchangeInstallPath%FrontEnd\HttpProxy\owa到C:\inetpub\EAC_Secondary\owa。

步骤四：使用Exchange命令行管理程序在新Web站点的Web虚拟目录中创建新的EAC和Outlook

在exchange 2016中，运行以下命令以在新Web站点的Web虚拟目录中创建新的EAC和Outlook。

New-EcpViryualDirectory -Server “exsv-2” -WebsiteName “EAC_Secondary” -Path “c:\inetpub\EAC_secondary\ecp”

New-OwaViryualDirectory -Server “exsv-2” -WebsiteName “EAC_Secondary” -Path “c:\inetpub\EAC_secondary\owa”

步骤五：重新启动IIS

1.    确认EAC_Secondary的绑定网址无误后，启用EAC_Secondary网站。

2.    在IIS管理器的“ 连接”窗格中，选择服务器。

3.    在“ 操作”窗格中，单击“ 重新启动”。

验证：

访问，可以正常访问ecp。