Chinaunix首页 | 论坛 | 博客
  • 博客访问: 511776
  • 博文数量: 158
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 904
  • 用 户 组: 普通用户
  • 注册时间: 2016-10-10 11:17
文章分类

全部博文(158)

文章存档

2018年(74)

2017年(84)

我的朋友

分类: 服务器与存储

2018-05-29 14:14:33

在 Exchange Server 2016 中,Exchange 管理中心 是 Exchange 的主要管理界面。默认情况下,不会限制对 EAC 的访问,并且对面向 Internet 的 Exchange 服务器上 Web 上的 Outlook(以前称为 Outlook Web App)的访问也可访问 EAC。但是,在实际的企业管理中,我们希望能够限制来自 Internet 的客户端连接对 EAC 的访问。

      本文转自-学领未来

一、解决方案

在 Exchange 2016 中,EAC 虚拟目录被命名为 ECP,并由 *-ECPVirtualDirectory cmdlet 进行管理。当你在 EAC 虚拟目录上将 AdminEnabled 参数设置为值 $false 时,便禁用了内部和外部客户端连接对 EAC 的访问,而不会影响对 Web 上的 Outlook 中的“设置”>“选项”页的访问。

但这种配置会带来新问题:服务器上会完全禁用对 EAC 的访问,甚至对内部网络上的管理员也禁用访问。为了解决这个问题,在现有的 Exchange 2016 上,为 EAC 新建一个带有新虚拟目录的 Internet Information Services (IIS) 网站,并且 Web 上的 Outlook 只能从内部网络进行访问。

二、实验验证

步骤一:向Exchange服务器添加第二个IP地址:

  1. 打开网络适配器的属性。例如:

    1. 从命令提示符窗口,Exchange命令行管理程序或运行对话框运行ncpa.cpl。

    2. 用鼠标右键单击网络适配器,然后选择属性。

image001.gif

  1. 在网络适配器的属性中,选择Internet协议版本4(TCP / IPv4),然后单击属性。

  2. 在打开的Internet协议版本4(TCP / IPv4)属性窗口中,在常规选项卡上,单击高级。

  3. 在打开的高级TCP / IP设置窗口中,在IP设置选项卡的IP地址部分中,单击添加并输入IP地址。

image002.gif

注意:如果添加第二个网络适配器,请在“ 高级TCP / IP设置”窗口的“ DNS”选项卡上取消选中在DNS中注册此连接的地址。

image003.gif

步骤二:在IIS中创建一个使用第二个IP地址的新网站,并分配文件和文件夹权限

  1. 在Exchange服务器上打开IIS管理器。在Windows Server 2012或更高版本中执行此操作的简单方法是按Windows键+ Q,键入inetmgr,然后在结果中选择“ Internet信息服务(IIS)管理器 ”。

  2. 在“ 连接”窗格中,展开服务器,选择“ 站点”,然后在“ 操作”窗格中单击添加网站。

image004.jpg

  1. 在出现的添加网站窗口中,配置以下设置:

    • 网站名称   EAC_Secondary

    • 物理路径   C:\inetpub\EAC_Secondary

    • 网址配置

      • 协议    https

      • IP地址    选择您在上一步中添加的第二个IP地址。

      • 端口    443

    • SSL证书    选择要使用的证书(例如,名为Microsoft       Exchange的默认Exchange证书)。

完成后,单击确定。

image005.jpg

  1. 在中创建ecp和owa文件夹C:\inetpub\EAC_Secondary。

a.  在IIS管理器中,选择该EAC_Secondary网站,然后在“ 操作”窗格中单击“ 浏览”。

image006.jpg

b.  在打开的文件资源管理器窗口中,在以下位置创建以下文件夹C:\inetpub\EAC_Secondary:

?  ecp

?  owa

完成后,关闭文件资源管理器。

5.  将读取和执行权限分配给文件夹上名为IIS_IUSRS的本地安全组C:\inetpub\EAC_Secondary。

a)      在IIS管理器中,选择该EAC_Secondary网站,然后在“ 操作”窗格中单击编辑权限。

b)      在打开的EAC_Secondary属性窗口中,单击安全选项卡,然后单击编辑。

c)      在打开的EAC_Secondary窗口中,单击添加。

d)      在打开的“ 选择用户,计算机,服务帐户或组”窗口中,执行以下步骤:

                 i.          单击位置,并在打开的位置对话框中选择本地服务器,然后单击确定。

                ii.          在输入要选择的对象名称字段中,键入IIS_IUSRS,单击检查名称,然后单击确定。

image007.gif

e)      返回EAC_Secondary窗口的权限,选择IIS_IUSRS,然后在允许列中,选择读取和执行(自动选择列表文件夹内容和读取权限),然后单击确定两次。

步骤三:将默认网站的内容复制到新网站

l  将所有文件和文件夹从默认网站(C:\inetpub\wwwroot)复制到C:\inetpub\EAC_Secondary。您可以跳过以下无法复制的文件:

?  MacCertification.asmx

?  MobileDeviceCertification.asmx

?  decomission.asmx

?  editissuancelicense.asmx

l  从所有文件和文件夹复制%ExchangeInstallPath%FrontEnd\HttpProxy\ecp到C:\inetpub\EAC_Secondary\ecp。

l  从所有文件和文件夹复制%ExchangeInstallPath%FrontEnd\HttpProxy\owa到C:\inetpub\EAC_Secondary\owa。

步骤四:使用Exchange命令行管理程序在新Web站点的Web虚拟目录中创建新的EAC和Outlook

在exchange 2016中,运行以下命令以在新Web站点的Web虚拟目录中创建新的EAC和Outlook。

New-EcpViryualDirectory -Server “exsv-2” -WebsiteName “EAC_Secondary” -Path “c:\inetpub\EAC_secondary\ecp”

New-OwaViryualDirectory -Server “exsv-2” -WebsiteName “EAC_Secondary” -Path “c:\inetpub\EAC_secondary\owa”

image008.jpg

步骤五:重新启动IIS

1.    确认EAC_Secondary的绑定网址无误后,启用EAC_Secondary网站。

2.    在IIS管理器的“ 连接”窗格中,选择服务器。

3.    在“ 操作”窗格中,单击“ 重新启动”。

验证:

访问,可以正常访问ecp。


阅读(2825) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~