none
Exchange Server 2013 zugriff auf ECP von extern verbieten RRS feed

  • Frage

  • hi 

    habe eine Exchange 2013 umgebung und funktioniert einwandfrei meine frage wie kann ich verhindern das ich von extern auf die Exchange verwaltungs oberfläche komme soll nur von intern funktionieren 

    https://127.0.0.1/ecp 

    Mittwoch, 17. April 2013 13:04

Alle Antworten

  • Hallo,

    Der EPC läuft ja auf dem IIS, daher kannst du im Fall der Fälle die Einstellungen dort treffen oder die lokale Firewall aktivieren.... 

    Nur läuft die ganze Kommunikation zwischen den Servern mittlerweile auch über RPC over https daher aufpassen. 

    Welches Ziel verfolgst du?

    Viele Grüße

    Philipp


    Meine Antwort war hilfreich? dann freue ich mich über eine Bewertung. If my answer was helpful, I'm glad about a rating!

    Mittwoch, 17. April 2013 17:04
  • Wenn du einen Reverse Proxy hast, dann veröffentliche einfach die URL nicht..
    Mittwoch, 17. April 2013 17:32
  • Hier ist es beschrieben. Einfach testen ob es das gewünschte Resultat bringt.

    http://technet.microsoft.com/en-us/library/jj218639(v=exchg.150).aspx


    Regards Robert Genes

    Mittwoch, 17. April 2013 19:12
  • das ziel ist das es aus dem Internet nicht mehr auf die Verwaltungsoberfläche kommen soll 
    Donnerstag, 18. April 2013 08:25
  • rob genes 

    das hab ich schon aber dann ist die Verwatlungsoberfläche überhaupt nicht mehr erreichbar wurde schon getestet 

    Donnerstag, 18. April 2013 08:28
  • Hallo zusammen,

    gibt es hierzu mittlerweile ein Lösung?

    würde mich wirklich interessieren.... Ich behelfe mir im Moment einfach so, dass ich die Exchange Verwaltungsoberfläche deaktiviere und bei bedarf wieder einschalte.

    Schön wäre eine Zertifikat basierte Lösung.

    Leider habe ich von IIS und Zertifizierungsstellen nicht wirklich viel Ahnung.

    Aber vielleicht hat ja hier jemand einen guten Ansatz oder sogar schon eine Lösung gefunden.

    Beste Grüße aus dem Oberberg,

    Bernhard

    Samstag, 3. August 2013 11:37
  • Wie wärs wenn du einfach die externalURL aus dem ECP-Verzeichnis entfernst?
    Montag, 5. August 2013 11:42
  • Hallo und Danke für den Tip!

    Aber die Externe URL ist nie konfiguriert wurden (hab nachgeschaut und da steht nix drin) und trotzdem ist die Exchange Verwaltungskonsole von Extern zu erreichen.

    Strange aber leider Wahr..... :)

    Per Default wird ja bei beiden WebSites (OWA/ECP) das selbe LogIn Formular verwendet.
    Seit dem ich die Exchange Verwaltungskonsole deaktiviert habe, lande ich zwar bei der Eingabe der URL "https://mail.xxx.yyy.de/ecp" wieder auf diesem LogIn Formular (ich hätte eigentlich einen 404er erwartet) aber nach der erfolgreicher Authentifizierung lande ich auf den "WebApp Optionen" für den eingeloggten Account....... (liegt wahrscheinlich daran, dass die "Optionen" einer Mailbox ja auch über die "ecp (default Web Site)" eingestellt werden).

    So wirklich schlüssig ist mir das alles nicht.... :)

    Also bleibt mir leider weiterhin nur das komplette ausschalten der "Exchange Verwaltungskonsole" und wenn ich etwas Administrieren will, über die GUI schalte ich Sie wieder ein....

    Das meiste funktioniert sowieso über die PowerShell sehr viel schneller und irgendwie Schicker :)

    Alles in allem empfinde ich die Möglichkeit des Externen Zugriffs auf die Verwaltungskonsole einfach über dieses WebFormular als Sicherheitsrisiko. Zumal ja eine Standard Authentifizierung benutzt wird bei der Username und Passwort unverschlüsselt übermittelt wird. 

    Hätten Wir einen TMG in dieser Umgebung, würde sich das alles wahrscheinlich einfacher gestalten lassen aber den gibt es leider nicht.... :)

    Beste Grüße,

    Bernhard



    Montag, 5. August 2013 13:30
  • Ja, weil deine interne IP vom Server Zugriff vom/zum Internet hat, richtig?

    Du hast AdminEnabled $false gesetzt, somit landest du in den OWA Options, damit die User von extern auf ihre OWA Optionen kommen, logisch.

    Erstelle einfach ein zweites virtuelles IIS Verzeichnis (für EAC) und setze bei dem Default, wie du es gemacht hast, auf AdminEnabled $false. Im zweiten, mit einer zusätzlichen IP-Adresse, konfigurierst du den internen Zugriff und schon hast du beide EAC Zugriffsmethoden sauber getrennt (intern und extern).

    # Create a new ECP Virtual directoy, this directory needs to be configured in IIS to use a different IP address<o:p></o:p>

    New-EcpVirtualDirectory -Server
    CAS01 -ExternalURL https://mail.contoso.com/ecp -InternalURL https://mail.contoso.com/ecp
    <o:p></o:p>

    # Disable Admin features from the default website<o:p></o:p>

    Set-ECPVirtualDirectory -Identity
    "CAS01\ecp (default web site)" -AdminEnabled $false<o:p></o:p>

    Gruß

    Dominik

    Montag, 5. August 2013 13:42
  • Hi Dominik...
    zu Deiner Frage: JA... 

    Dankeschön!!!

    klingt logisch.... :)

    Werde testen und berichten..... 

    Gruß,

    Bernhard


    Montag, 5. August 2013 14:23
  • Hi Bernhard,

    die externalURL wird bei Exchange 2013 automatisch mit dem Server FQDN konfiguriert, falls der Wert nicht gesetzt ist. Wenn du jetzt z.B. den Server FQND als A-Record in deinem externen DNS gesetzt hast, dann ist klar, dass Benutzer via Servernamen auf das EAC kommen.

    Nur als Zusatzinfo.

    Gruß

    Dominik

    Dienstag, 6. August 2013 08:20
  • Hi wäre es möglich eine genaue Anleitung zu bekommen wie man es realisiert?

    Bin nicht so fit in Sachen IIS.

    Vielen Dank

    Dienstag, 8. Oktober 2013 09:19
  • Hallo

    Kannst Du das bitte etwas genauer beschreiben? Ich möchte auch gerne die ECP von innen erreichen aber von extern soll sie nicht erreichbar sein.

    Werde aus deiner Anleitung nicht ganz schlau :-(

    Freitag, 18. April 2014 08:04
  • "CAS01\ecp (default web site)" -AdminEnabled $false<o:p></o:p>

    Was bedeutet das <o:p>

    Sonntag, 10. August 2014 13:14
  • Das ist ein Formatierungsfehler der Forumswebseite
    Sonntag, 10. August 2014 15:47