通过

Exchange Server:关闭对 Exchange 管理中心的访问

适用于:yes-img-162016 yes-img-192019 yes-img-se订阅版

Exchange 管理中心 (EAC) 是 Exchange 2013 或更高版本的主要管理界面。 有关详细信息,请参阅 Exchange Server 中的 Exchange 管理中心。 默认情况下,对 EAC 的访问不受限制,并且对面向 Internet 的 Exchange 服务器上的 Outlook 网页版 (正式称为 Outlook Web App) 的访问也允许访问 EAC。 你仍然需要有效的凭据才能登录到 EAC,但组织可能希望限制对 EAC 的访问,以便从 Internet 进行客户端连接。

重要

不再建议在 2019 年及更高Exchange Server使用本文档中所述的过程。 相反,可以使用客户端访问规则来阻止客户端对 EAC 的访问。 有关详细信息,请参阅 Exchange Server 中的客户端访问规则

EAC 虚拟目录名为 ECP,由 *- ECPVirtualDirectory cmdlet 管理。 将 AdminEnabled 参数设置为 EAC 虚拟目录上的值$false时,将禁用对 EAC 进行内部和外部客户端连接的访问权限,而不会影响访问 Outlook 网页版 中的“设置>选项”页。

Outlook 网页版中的选项菜单位置。

但是,此配置引入了一个新问题:在服务器上完全禁用对 EAC 的访问,即使是内部网络上的管理员也是如此。 若要解决此问题,有两种选择:

  • 配置只能从内部网络访问的第二个 Exchange 服务器来处理内部 EAC 连接。

  • 在现有 Exchange 服务器上,创建一个新的 Internet Information Services (IIS) 网站,其中包含仅可从内部网络访问的 EAC 和Outlook 网页版的新虚拟目录。

    注意:需要在新网站中配置 EAC Outlook 网页版,因为 EAC 需要来自同一网站的Outlook 网页版身份验证模块。

开始前,有必要了解什么?

  • 估计完成每个步骤的时间:5 分钟。

  • 你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 Exchange 基础结构和 PowerShell 权限 主题中的“Exchange 管理中心连接”条目。

  • 若要了解本主题中的过程可能适用的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

提示

是否有任何疑问? 在 Exchange 的Exchange Server论坛中寻求帮助 |Exchange Server |管理

步骤 1:使用 Exchange 命令行管理程序禁用对 EAC 的访问

请记住,此步骤禁止访问服务器上的 EAC 进行内部和外部连接,但仍允许用户访问Outlook 网页版中自己的“设置选项”>页。

若要禁用对 Exchange 服务器上的 EAC 的访问,请使用以下语法:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

此示例将禁用对名为 MBX01 的服务器上的 EAC 的访问。

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

如何判断这一步生效?

若要验证是否已禁用对服务器上的 EAC 的访问,请将 Server> 替换为< Exchange 服务器的名称,并运行以下命令来验证 AdminEnabled 属性的值:

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

打开或从内部网络打开https://<servername>/ecp时,Outlook 网页版中将打开你自己的“设置>选项”页,而不是 EAC。

步骤 2:授予对内部网络上 EAC 的访问权限

选择以下选项之一。

选项 1:配置第二台只能从内部网络访问的 Exchange 服务器

AdminEnabled 属性的默认值位于True默认 EAC 虚拟目录上。 若要在第二台服务器上确认此值,请将 Server> 替换为<服务器的名称,并运行以下命令:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

如果值为 False,请将 Server> 替换为<服务器的名称,并运行以下命令:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

选项 2:在现有 Exchange 服务器上创建新网站,并在新网站中为内部网络配置 EAC 和Outlook 网页版

所需步骤包括:

  1. 将另一个 IP 地址添加到 Exchange 服务器。

  2. 在 IIS 中创建使用第二个 IP 地址的新网站,并分配文件和文件夹权限。

  3. 将默认网站的内容复制到新网站。

  4. 为新网站创建新的 EAC 并Outlook 网页版虚拟目录。

  5. 重启 IIS,使更改生效。

重要

安装Exchange Server累积更新 (CU) 时,CU 不会更新新网站和虚拟目录中的文件。 应用 CU 后,需要完全删除文件夹中的新网站、虚拟目录和内容,然后重新创建新网站、虚拟目录和文件夹中的内容。

步骤 2a:向 Exchange 服务器添加第二个 IP 地址

可以添加第二个网络适配器并将 IP 地址分配给第二个网络适配器,也可以将第二个 IP 地址分配给现有网络适配器。

下面介绍了将第二个 IP 地址分配给现有网络适配器的步骤。

  1. 打开网络适配器的属性。 例如:

    a. 在命令提示符窗口、Exchange 命令行管理程序或 “运行 ”对话框中,运行 ncpa.cpl

    b. 右键单击网络适配器,然后选择 “属性”。

    Windows 中网络适配器的属性。

  2. 在网络适配器的属性中,选择“ Internet 协议版本 4 (TCP/IPv4) ”,然后单击“ 属性”。

  3. 在打开的 “Internet 协议版本 4 (TCP/IPv4) 属性” 窗口中,单击“ 常规 ”选项卡上的“ 高级”。

  4. 在打开 的“高级 TCP/IP 设置” 窗口中,在 “IP 设置” 选项卡上的“ IP 地址 ”部分中,单击“ 添加 ”并输入 IP 地址。

    网络适配器属性的高级 TCP/IP 设置窗口。

    注意:如果添加第二个网络适配器,请在“高级 TCP/IP 设置”窗口中的“DNS”选项卡上取消检查在 DNS 中注册此连接的地址

    “高级 TCP/IP 设置”窗口中的“DNS”选项卡。

步骤 2b:在 IIS 中创建使用第二个 IP 地址的新网站,并分配文件和文件夹权限

  1. 打开 Exchange 服务器上的 IIS 管理器。 在 Windows Server 2012 或更高版本中执行此操作的简便方法是按 Windows 键 + Q,键入 inetmgr,并在结果中选择" Internet Information Services (IIS) 管理器"。

  2. “Connections”窗格中,展开服务器,选择“站点”,然后在“”窗格中单击“添加网站”。

    在 IIS 管理器中,展开服务器,然后选择“站点”。

  3. 在显示的 “添加网站 ”窗口中,配置以下设置:

    • 站点名称EAC_Secondary

    • 物理路径C:\inetpub\EAC_Secondary

    • Binding

      • 类型:https

      • IP 地址:选择在上一步中添加的第二个 IP 地址。

      • 端口:443

    • SSL 证书:选择要使用的证书 (例如,名为 Microsoft Exchange) 的默认 Exchange 证书。

    完成后,单击“确定”

    辅助 EAC 网站的网站属性。

  4. 在 中创建 ecpC:\inetpub\EAC_Secondaryowa 文件夹。

    a. 在 IIS 管理器中 EAC_Secondary ,选择网站,然后在“ ”窗格中单击“ 浏览”。

    在 IIS 管理器中,在“网站”窗格中选择新的 EAC 网站。

    b. 在打开的文件资源管理器窗口中,在 C:\inetpub\EAC_Secondary中创建以下文件夹:

    • ecp

    • owa

    完成后,关闭文件资源管理器。

  5. “读取 & 执行 ”权限分配给文件夹上名为 IIS_IUSRSC:\inetpub\EAC_Secondary 本地安全组。

    a. 在 IIS 管理器中 EAC_Secondary ,选择网站,然后在“ ”窗格中,单击“ 编辑权限”。

    b. 在打开 的“EAC_Secondary属性” 窗口中,单击“ 安全性 ”选项卡,然后单击“ 编辑”。

    c. 在打开 的“EAC_Secondary权限 ”窗口中,单击“ 添加”。

    d. 在打开 的“选择用户、计算机、服务帐户或组 ”窗口中,执行以下步骤:

    i. 单击“ 位置”,在打开的“ 位置 ”对话框中,选择本地服务器,然后单击“ 确定”。

    ii. 在 “输入要选择的对象名称 ”字段中,键入IIS_IUSRS,单击“ 检查名称”,然后单击“ 确定”。

    添加权限。

    e. 返回“ EAC_Secondary的权限” 窗口,选择“ IIS_IUSRS”,然后在“ 允许 ”列中,选择“ 读取 & 执行 (”,这会自动选择 “列出文件夹内容 ”和“ 读取 权限”) ,然后单击“ 确定” 两次。

步骤 2c:将默认网站的内容复制到新网站

  • 将所有文件和文件夹从默认网站 () C:\inetpub\wwwroot 复制到 C:\inetpub\EAC_Secondary。 可以跳过以下无法复制的文件:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • 将所有文件和文件夹从 %ExchangeInstallPath%FrontEnd\HttpProxy\ecpC:\inetpub\EAC_Secondary\ecp复制到 。

  • 将所有文件和文件夹从 %ExchangeInstallPath%FrontEnd\HttpProxy\owaC:\inetpub\EAC_Secondary\owa复制到 。

步骤 2d:使用 Exchange 命令行管理程序为新网站创建新的 EAC 和Outlook 网页版虚拟目录

若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell

Server> 替换为<服务器的名称,并运行以下命令,为新网站创建新的 EAC 和Outlook 网页版虚拟目录。

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

步骤 2e:重启 IIS

  1. 在 IIS 管理器的“Connections”窗格中,选择服务器。

  2. “作 ”窗格中,单击“ 重启”。

注意:若要从命令行重启 IIS,请选择“以 管理员身份运行 ”) 打开“命令提示符”窗口, (提升的命令提示符,然后运行以下命令:

net stop w3svc /y

net start w3svc

如何判断此任务生效?

若要验证是否已成功禁用对 Exchange 服务器上的 EAC 的访问,请执行以下步骤:

  1. 测试组织的内部和外部 URL 以获取Outlook 网页版。 例如,如果外部 URL 为 https://mail.contoso.com/owa,并且内部 URL https://mbx01.contoso.com/owa 使用以下过程来验证配置:

    • 验证内部和外部用户是否可以使用Outlook 网页版(包括“设置选项”页)>打开其邮箱。

    • 验证 https://mail.contoso.com/ecphttps://mbx01.contoso.com/ecp 返回以下结果之一:

      • 404 - 找不到网站

      • 用户被重定向到Outlook 网页版中的“设置选项”>页。

  2. 根据配置选择,验证管理员是否可以访问内部网络上的 EAC:

    • 第二个 Exchange 服务器:如果第二个 Exchange 服务器名为 MBX02,请验证是否已 https://mbx02.contoso.com/ecp 打开 EAC。

    • 现有 Exchange 服务器上的新 EAC 网站:如果新 EAC 网站的 IP 地址为 10.1.1.12,请验证是否已 https://10.1.1.12/ecp 打开 EAC。