En circunstancias normales, la nueva instalación de lanzamiento de Exchange Server para el público, será junto con el directorio de gestión (ECP) también liberar a cabo, esto conducirá a un problema de seguridad, que puede ser fácilmente comprometida con el fin de entrar en contacto con la administración Exchagne en toda la organización, con el tiempo intercambio en riesgo de ser robados o dañados datos de correo.
Esta vez tenemos que encontrar una manera de resolver, en general, hay cuatro soluciones:
A. Adición de un proxy inverso (por ejemplo, Microsoft TMG, AD FS) en Exchagne delante, y para limitar el acceso a la red IP pública a través del proxy inverso. Las necesidades del programa para configurar servidores adicionales para lograr, durante el despliegue y que también tenga que configurar el firewall de red, proxy inverso también tienen en cuenta los problemas de alta disponibilidad, esto dará lugar a la arquitectura Exchagne es más compleja.
En segundo lugar, para construir uno o dos adicionales Cambio de publicación para el público, en este intercambio ha desactivado el acceso Directorio de ECP (utilizando PowerShell para deshabilitar ECP: Set-EcpVirtualDirectory -Identity "CAS01 \ ECP (sitio web predeterminado)" -AdminEnabled $ falsa) . Para que los administradores y los usuarios sólo pueden acceder al directorio a través de ECP red interna de la compañía, la red pública ECP no puede acceder al directorio.
III. La actualización Exchange2013 / 2016 para Exchange2019. Esta nueva característica es Exchange2019 detalles, consulte: https://docs.microsoft.com/zh-cn/exchange/new-features/new-features?view=exchserver-2019 . Esta es la solución perfecta para resolver el problema, pero se requiere una tasa de actualización adicional.
IV. IP función de restricción de dirección por IIS de lograr. una operación tan sencilla, pero no cambia la infraestructura existente de Exchange, permitir que sólo determinadas direcciones IP para acceder a la red pública. En resumen, sin tener en cuenta la mejora Exchange2019 tomar este enfoque es el más práctico y sencillo. Se presentarán los siguientes experimentos.
El experimento de Let demuestra IIS restringir el acceso público a la Guía de Gestión 2013/2016 Exchange (ECP):
1. Abra el IIS de Exchange, seleccione ECP - Dirección IP y restricciones de dominio
2. Seleccionar los Modificar configuración de característica
3. Seleccionar negó, y haga clic en OK. De esta manera todas las direcciones se les niega por defecto, y entonces el extremo abierto y una dirección IP específica a una dirección IP pública.
4. entradas Añadir permitido
5. Añadir el segmento de red IP permitida, o añadir una dirección IP específica (por ejemplo, una sola dirección IP pública)
6. confirmar la adición de un segmento de red permisible
7. red de acceso IP no pertenece al directorio no puede ECP, como se muestra a continuación.
8. Aunque directorio de ECP se le niega el acceso, pero no afecta a otra de acceso al directorio OWA.
9. asociado al cliente de segmento de red puede acceder con éxito el ECP, como se muestra a continuación.
10. Agregar permite una única dirección IP
11. Agregar después de intentos exitosos para acceder a la ECP
En este punto, IIS restringir el acceso público a Exchange 2013/2016 Catálogo de Gestión (ECP) ha sido completada! Para mayor seguridad, no se olvide de hacer los mismos ajustes restricciones PowerShell directorio de IP.