Partilhar via

Exchange Server: Desativar o acesso ao Centro de administração do Exchange

  • Artigo

O Exchange admin center (EAC) é a interface de gestão principal do Exchange 2013 ou posterior. Para obter mais informações, veja Centro de administração do Exchange no Exchange Server. Por predefinição, o acesso ao EAC não é restrito e o acesso a Outlook na Web (formalmente conhecido como Outlook Web App) num servidor exchange com acesso à Internet também dá acesso ao EAC. Ainda precisa de credenciais válidas para iniciar sessão no EAC, mas as organizações podem querer restringir o acesso ao EAC para ligações de cliente a partir da Internet.

No Exchange Server 2019, pode utilizar as Regras de Acesso de Cliente para bloquear o acesso do cliente ao EAC. Para obter mais informações, veja Regras de Acesso de Cliente no Exchange Server.

O diretório virtual EAC tem o nome ECP e é gerido pelos cmdlets *- ECPVirtualDirectory . Quando define o parâmetro AdminEnabled para o valor $false no diretório virtual do EAC, desativa o acesso ao EAC para ligações internas e externas do cliente, sem afetar o acesso à páginaOpções de Definições> no Outlook na Web.

Localização do menu Opções no Outlook na Web.

No entanto, esta configuração introduz um novo problema: o acesso ao EAC está completamente desativado no servidor, mesmo para os administradores na rede interna. Para corrigir este problema, tem duas opções:

  • Configure um segundo servidor Exchange que só esteja acessível a partir da rede interna para processar ligações EAC internas.

  • No servidor Exchange existente, crie um novo web site dos Serviços de Informação Internet (IIS) com novos diretórios virtuais para o EAC e Outlook na Web que só está acessível a partir da rede interna.

    Nota: tem de configurar o EAC e o Outlook na Web no novo site, porque o EAC requer o módulo de autenticação Outlook na Web a partir do mesmo site.

Do que você precisa saber para começar?

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Passo 1: Utilizar o Shell de Gestão do Exchange para desativar o acesso ao EAC

Lembre-se de que este passo desativa o acesso ao EAC no servidor para ligações internas e externas, mas ainda permite que os utilizadores acedam à sua própria páginaOpções de Definições> no Outlook na Web.

Para desativar o acesso ao EAC num servidor Exchange, utilize a seguinte sintaxe:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

Este exemplo desativa o acesso ao EAC no servidor com o nome MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Como saber se esta etapa funcionou?

Para verificar se desativou o acesso ao EAC no servidor, substitua <Servidor> pelo nome do seu servidor Exchange e execute o seguinte comando para verificar o valor da propriedade AdminEnabled :

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Quando abre https://<servername>/ecp ou a partir da rede interna, a sua própria páginaOpções de Definições> no Outlook na Web abre em vez do EAC.

Passo 2: conceder acesso ao EAC na rede interna

Escolha uma das seguintes opções.

Opção 1: Configurar um segundo servidor Exchange que só esteja acessível a partir da rede interna

O valor predefinido da propriedade AdminEnabled está True no diretório virtual EAC predefinido. Para confirmar este valor no segundo servidor, substitua <Servidor> pelo nome do servidor e execute o seguinte comando:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Se o valor for False, substitua <Servidor> pelo nome do servidor e execute o seguinte comando:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Opção 2: criar um novo web site no servidor Exchange existente e configurar o EAC e o Outlook na Web no novo web site para a rede interna

Os passos necessários são:

  1. Adicione um segundo endereço IP ao servidor Exchange.

  2. Crie um novo site no IIS que utilize o segundo endereço IP e atribua permissões de ficheiros e pastas.

  3. Copie o conteúdo dos web sites predefinidos para o novo web site.

  4. Crie um novo EAC e Outlook na Web diretórios virtuais para o novo site.

  5. Reinicie o IIS para que as alterações entrem em vigor.

Importante

Quando instala um Exchange Server Atualização Cumulativa (), a não atualiza os ficheiros no novo site e nos diretórios virtuais. Depois de aplicar a, tem de remover completamente o novo web site, diretórios virtuais e conteúdos nas pastas e, em seguida, recriar o novo site, diretórios virtuais e conteúdo nas pastas.

Passo 2a: adicionar um segundo endereço IP ao servidor Exchange

Pode adicionar uma segunda placa de rede e atribuir o endereço IP à segunda placa de rede ou atribuir um segundo endereço IP à placa de rede existente.

Os passos para atribuir um segundo endereço IP à placa de rede existente são descritos abaixo.

  1. Abra as propriedades do adaptador de rede. Por exemplo:

    a. A partir de uma janela da Linha de Comandos, da Shell de Gestão do Exchange ou da caixa de diálogo Executar , execute ncpa.cpl.

    b. Clique com o botão direito do rato na placa de rede e, em seguida, selecione Propriedades.

    Propriedades da placa de rede no Windows.

  2. Nas propriedades do adaptador de rede, selecione Internet Protocol Versão 4 (TCP/IPv4) e, em seguida, clique em Propriedades.

  3. Na janela Propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) que é aberta, no separador Geral , clique em Avançadas.

  4. Na janela Definições Avançadas de TCP/IP que é aberta, no separador Definições de IP , na secção Endereços IP , clique em Adicionar e introduza o endereço IP.

    Janela Definições avançadas de TCP/IP das propriedades da placa de rede.

    Nota: se adicionar um segundo adaptador de rede, na janela Definições Avançadas de TCP/IP, no separador DNS, anula marcar Registar o endereço desta ligação no DNS.

    Separador DNS na janela Definições Avançadas de TCP/IP.

Passo 2b: criar um novo site no IIS que utilize o segundo endereço IP e atribuir permissões de ficheiros e pastas

  1. Abra o Gestor de IIS no servidor Exchange. Uma forma fácil de o fazer no Windows Server 2012 ou posterior é premir a tecla Windows + Q, escrever inetmgr e selecionar Gestor de Serviços de Informação Internet (IIS) nos resultados.

  2. No painel Connections, expanda o servidor, selecione Sites e, no painel Ações, clique em Adicionar Site.

    No Gestor do IIS, expanda o servidor e selecione Sites.

  3. Na janela Adicionar Site apresentada, configure as seguintes definições:

    • Nome do site: EAC_Secondary

    • Caminho físico: C:\inetpub\EAC_Secondary

    • Associação

      • Tipo: https

      • Endereço IP: selecione o segundo endereço IP que adicionou no passo anterior.

      • Porta: 443

    • Certificado SSL: selecione o certificado que pretende utilizar (por exemplo, o certificado do Exchange predefinido denominado Microsoft Exchange).

    Quando terminar, clique em OK.

    Sites adequados para o web site secundário do EAC.

  4. Criar ecp e owa pastas no C:\inetpub\EAC_Secondary.

    a. No Gestor do IIS, selecione o EAC_Secondary site e, no painel Ações , clique em Explorar.

    No Gestor de IIS, selecione o novo web site EAC no painel Sites.

    b. Na janela Explorador de Arquivos que é aberta, crie as seguintes pastas no C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Quando tiver terminado, feche Explorador de Arquivos.

  5. Atribua permissões de Execução de & de Leitura ao grupo de segurança local com o nome IIS_IUSRS na C:\inetpub\EAC_Secondary pasta.

    a. Em Manjedoura do IIS, selecione o EAC_Secondary site e, no painel Ações , clique em Editar Permissões.

    b. Na janela Propriedades do EAC_Secondary que é aberta, clique no separador Segurança e, em seguida, clique em Editar.

    c. Na janela Permissões para EAC_Secondary que é aberta, clique em Adicionar.

    d. Na janela Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos que é aberta, execute os seguintes passos:

    i. Clique em Localizações e, na caixa de diálogo Localizações que é aberta, selecione o servidor local e, em seguida, clique em OK.

    ii. No campo Introduza os nomes dos objetos a selecionar , escreva IIS_IUSRS, clique em Verificar Nomes e, em seguida, clique em OK.

    Adicionar permissões.

    e. Novamente na janela Permissões para EAC_Secondary , selecione IIS_IUSRS e, na coluna Permitir , selecione Ler & Executar (que seleciona automaticamente o Conteúdo da Pasta de Lista e permissões de Leitura ) e, em seguida, clique duas vezes em OK .

Passo 2c: Copiar o conteúdo dos sites predefinidos para o novo web site

  • Copie todos os ficheiros e pastas do Web Site Predefinido (C:\inetpub\wwwroot) para C:\inetpub\EAC_Secondary. Pode ignorar os seguintes ficheiros que não podem ser copiados:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copie todos os ficheiros e pastas de %ExchangeInstallPath%FrontEnd\HttpProxy\ecp para C:\inetpub\EAC_Secondary\ecp.

  • Copie todos os ficheiros e pastas de %ExchangeInstallPath%FrontEnd\HttpProxy\owa para C:\inetpub\EAC_Secondary\owa.

Passo 2d: Utilizar a Shell de Gestão do Exchange para criar novos diretórios virtuais EAC e Outlook na Web para o novo web site

Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

Substitua <Servidor> pelo nome do servidor e execute os seguintes comandos para criar o novo EAC e Outlook na Web diretórios virtuais para o novo site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Passo 2e: Reiniciar o IIS

  1. No Gestor do IIS, no painel Connections, selecione o servidor.

  2. No painel Ações , clique em Reiniciar.

Nota: para reiniciar o IIS a partir da linha de comandos, abra uma linha de comandos elevada (uma janela da Linha de Comandos que abriu ao selecionar Executar como administrador) e execute os seguintes comandos:

net stop w3svc /y

net start w3svc

Como saber se essa tarefa funcionou?

Para verificar se desativou com êxito o acesso ao EAC num servidor Exchange, execute os seguintes passos:

  1. Teste o URL interno e externo da sua organização para Outlook na Web. Por exemplo, se o URL externo for https://mail.contoso.com/owae o URL interno utilizar https://mbx01.contoso.com/owa os seguintes procedimentos para verificar a configuração:

    • Verifique se os utilizadores internos e externos podem abrir as respetivas caixas de correio com Outlook na Web, incluindo a páginaOpções de Definições>.

    • Verifique e https://mail.contoso.com/ecphttps://mbx01.contoso.com/ecp devolva um dos seguintes resultados:

      • 404 - site não encontrado

      • O utilizador é redirecionado para a páginaOpções de Definições> no Outlook na Web.

  2. Verifique se os administradores podem aceder ao EAC na rede interna com base na sua seleção de configuração:

    • Segundo servidor Exchange: se o segundo servidor Exchange tiver o nome MBX02, verifique se https://mbx02.contoso.com/ecp abre o EAC.

    • Novo web site do EAC no servidor Exchange existente: se o endereço IP do novo web site do EAC for 10.1.1.12, verifique se https://10.1.1.12/ecp abre o EAC.