none
Безопасность Exchange Admin Center в exch 2013 RRS feed

  • Вопрос

  • Все роли на одном сервере.

    https порт проброшен в интернет.

    всё вроде работает.

    вопрос - как закрыть доступ к Exchange Admin Center из интернета оставив при этом доступ из интрасети.

    нашёл на технете мануал в котором это задача решается командлетом

    Set-ECPVirtualDirectory -Identity "server\ecp (default web site)" -AdminEnabled $false

    но у меня после этого пропадает доступ изо всех сетей включая локалхост.

    Требуется совет.

    1 февраля 2013 г. 14:05

Ответы

  • При публикации WEB ресурсов в сеть интрент, простой проброс портов является как минимум не безопасным способом, т.к. весь трафик напрямую переадресовывается на внутренний сервер, который в свою очередь входит в домен Active Directory.

    Для безопасной публикации WEB ресурсов необходимо воспользоваться функционалом Reverse Proxy - например опубликовать необходимые узлы через Microsoft UAG. Подробнее здесь.

    12 февраля 2013 г. 8:34

Все ответы

  • День добрый.

    Возможно этот командлет поможет. Не тестировал.

    Set-CASMailbox -Identity adam@contoso.com -ECPEnabled:$false


    MCITP. Знание - не уменьшает нашей глупости.

    1 февраля 2013 г. 19:21
    Модератор
  • Да, действительно, есть такая проблема.

    На тестовом стенде (чистая установка): при установке "AdminEnabled" в $false - в ECP отображаются только свойства текущего почтового ящика.


    Blog - Smtp25.ru

    3 февраля 2013 г. 12:35
    Отвечающий
  • Это клиентские разрешения, если я всё правильно понял.

    мне то нужно вообще запретить возможность входа в админку из внешней сети.

    4 февраля 2013 г. 7:06
  • Надо запретить доступ к ECP на уровне IIS.

    Эта статья должна Вам помочь. http://blogs.msdn.com/b/vyunev/archive/2012/03/12/iis-8-ip.aspx


    Правда при этом у внешних пользователей OWA, не будет возможности настраивать свой ящик.
    • Изменено Forvard 6 февраля 2013 г. 12:53
    6 февраля 2013 г. 12:15
  • этот вариант рассматривался.

    но колхоз же.

    по мне так проще зарядить консоль управления на другой сервер(недоступный извне) и рулить только оттуда.

    но хотелось бы увидеть решение для стендэлон конфигурации.

    никто не владеет вопросом ?

    8 февраля 2013 г. 7:41
  • При публикации WEB ресурсов в сеть интрент, простой проброс портов является как минимум не безопасным способом, т.к. весь трафик напрямую переадресовывается на внутренний сервер, который в свою очередь входит в домен Active Directory.

    Для безопасной публикации WEB ресурсов необходимо воспользоваться функционалом Reverse Proxy - например опубликовать необходимые узлы через Microsoft UAG. Подробнее здесь.

    12 февраля 2013 г. 8:34