共用方式為

Exchange Server:關閉 Exchange 系統管理中心的存取

  • 發行項

Exchange 系統管理中心 (EAC) 是 Exchange 2013 或更新版本的主要管理介面。 如需詳細資訊,請參閱 Exchange Server 中的 Exchange 系統管理中心。 根據預設,不會限制對 EAC 的存取,而且在因特網對向 Exchange 伺服器上正式稱為 Outlook Web App) 的 Outlook 網頁版 (存取也會提供 EAC 的存取權。 您仍然需要有效的認證才能登入 EAC,但組織可能會想要限制從因特網進行用戶端連線的 EAC 存取。

在 Exchange Server 2019 中,您可以使用用戶端存取規則來封鎖用戶端對 EAC 的存取。 如需詳細資訊,請參閱 Exchange Server 中的用戶端存取規則

EAC 虛擬目錄名為 ECP,並由 *- ECPVirtualDirectory Cmdlet 管理。 當您將 AdminEnabled 參數設定為 EAC 虛擬目錄上的值$false時,您會停用內部和外部用戶端連線的 EAC 存取權,而不會影響對 Outlook 網頁版 中 [設定選項] 頁面>存取。

Outlook 網頁版 中的 [選項] 選單位置。

但是,此設定會產生新的問題:伺服器上已完全停用對EAC的存取,即使是內部網路上的系統管理員也一般。 若要修正此問題,您有兩個選擇:

  • 設定只能從內部網路存取的第二部 Exchange 伺服器來處理內部 EAC 連線。

  • 在現有的 Exchange 伺服器上,建立新的 Internet Information Services (IIS) 網站,其中包含 EAC 的新虛擬目錄,以及只能從內部網路存取的 Outlook 網頁版。

    注意:您需要在新的網站中設定 EAC Outlook 網頁版,因為 EAC 需要來自相同網站的 Outlook 網頁版 驗證模組。

開始之前有哪些須知?

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection

步驟 1:使用 Exchange 管理命令介面來停用對 EAC 的存取

請記住,此步驟會針對內部和外部連線停用伺服器上的EAC存取權,但仍允許使用者存取 Outlook 網頁版 中自己的 [設定>選項] 頁面。

若要停用對 Exchange Server 上 EAC 的存取,請使用下列語法:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

本範例會在名為 MBX01 的伺服器上停用對 EAC 的存取。

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

如何才能了解此步驟是否正常運作?

若要確認您已停用伺服器上 EAC 的存取權,請將 Server> 取代<為 Exchange 伺服器的名稱,然後執行下列命令來驗證 AdminEnabled 屬性的值:

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

當您開啟或從內部網路開啟https://<servername>/ecp時,您自己的 [設定>選項] 頁面會在 Outlook 網頁版 中開啟,而不是 EAC。

步驟 2:授與內部網路上 EAC 的存取權

選擇下列其中一個選項。

選項 1:設定只能從內部網路存取的第二部 Exchange 伺服器

AdminEnabled 屬性的預設值位於True預設 EAC 虛擬目錄上。 若要在第二部伺服器上確認此值,請以伺服器名稱取代 <Server> ,然後執行下列命令:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

如果值為 False,請以伺服器名稱取代 <Server> ,然後執行下列命令:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

選項 2:在現有的 Exchange 伺服器上建立新的網站,並在內部網路的新網站中設定 EAC 和 Outlook 網頁版

必要步驟如下:

  1. 將第二個IP位址新增至Exchange伺服器。

  2. 在 IIS 中建立使用第二個 IP 位址的新網站,並指派檔案和資料夾許可權。

  3. 將預設網站的內容複製到新的網站。

  4. 建立新的EAC並 Outlook 網頁版 新網站的虛擬目錄。

  5. 重新啟動 IIS,變更才會生效。

重要事項

當您安裝 Exchange Server 累積更新 (CU) 時,CU 不會更新新網站和虛擬目錄中的檔案。 套用 CU 之後,您必須完全移除資料夾中的新網站、虛擬目錄和內容,然後在資料夾中重新建立新的網站、虛擬目錄和內容。

步驟 2a:將第二個 IP 位址新增至 Exchange 伺服器

您可以新增第二個網路適配器,並將IP位址指派給第二個網路配接器,也可以將第二個IP位址指派給現有的網路適配器。

以下說明將第二個IP位址指派給現有網路適配器的步驟。

  1. 開啟網路適配器的屬性。 例如:

    a. 從 [命令提示字元] 視窗、[Exchange 管理命令介面] 或 [ 執行] 對話框中,執行 ncpa.cpl

    b. 以滑鼠右鍵按兩下網路適配器,然後選擇 [ 屬性]

    Windows 中網路適配器的屬性。

  2. 在網路適配器的屬性中,選取 [ 因特網通訊協定第 4 版 (TCP/IPv4) ],然後按兩下 [ 屬性]

  3. 在開啟的 [ 因特網通訊協定第 4 版] (TCP/IPv4) [屬性 ] 視窗中,按兩下 [ 一般 ] 索引標籤上的 [ 進階]

  4. 在開啟的 [ 進階 TCP/IP 設定 ] 視窗中,於 [ IP 設定 ] 索引卷標的 [IP 位址 ] 區段中,按兩下 [ 新增 ] 並輸入IP位址。

    網路適配器屬性的 [進階 TCP/IP 設定] 視窗。

    注意:如果您新增第二個網络適配器,請在 [ 進階 TCP/IP 設定 ] 視窗的 [DNS ] 索引標籤上,取消核取 [ 在 DNS 中註冊此連線的位址]

    [進階 TCP/IP 設定] 視窗上的 [DNS] 索引標籤。

步驟 2b:在 IIS 中建立使用第二個 IP 位址的新網站,並指派檔案和資料夾許可權

  1. 在 Exchange 伺服器上開啟 IIS 管理員。 在 Windows Server 2012 或更新版本中執行此動作的簡單方式是按 Windows 鍵 + Q,輸入 inetmgr,然後在結果中選取 [Internet Information Services (IIS) Manager]。

  2. 在 [ 連線] 窗格中,展開伺服器,選取 [ 網站],然後在 [ 動作 ] 窗格中,按兩下 [ 新增網站]

    在 [IIS 管理員] 中,展開伺服器,然後選取 [月臺]。

  3. 在出現的 [ 新增網站 ] 視窗中,設定下列設定:

    • 網站名稱EAC_Secondary

    • 實體路徑C:\inetpub\EAC_Secondary

    • Binding

      • 類型:HTTPs

      • IP 位址:選取您在上一個步驟中新增的第二個IP位址。

      • :443

    • SSL 憑證:選擇您想要使用的憑證 (例如,名為 Microsoft Exchange) 的預設 Exchange 憑證。

    完成後,按一下 [確定]

    次要 EAC 網站的網站專有網站。

  4. 在中C:\inetpub\EAC_Secondary建立 ecpowa 資料夾。

    a. 在 [IIS 管理員] 中,選取 EAC_Secondary 網站,然後在 [ 動作 ] 窗格中,按兩下 [ 探索]

    在 [IIS 管理員] 的 [網站] 窗格中,選取新的 EAC 網站。

    b. 在開啟的 檔案總管 視窗中,於 中C:\inetpub\EAC_Secondary建立下列資料夾:

    • ecp

    • owa

    當您完成時,請關閉 檔案總管。

  5. [讀取 & 執行] 許可權指派給資料夾上名為 IIS_IUSRSC:\inetpub\EAC_Secondary 本機安全組。

    a. 在 [IIS 管理員] 中,選 EAC_Secondary 取網站,然後在 [ 動作 ] 窗格中,按兩下 [ 編輯許可權]

    b. 在開啟 的 [EAC_Secondary 屬性 ] 視窗中,按兩下 [ 安全 性] 索引標籤,然後按兩下 [ 編輯]

    c. 在開啟 的 [EAC_Secondary 許可權] 視窗中,按兩下 [ 新增]

    d. 在開啟的 [ 選取使用者、計算機、服務帳戶或群組 ] 視窗中,執行下列步驟:

    i. 按兩下 [位置],然後在開啟的 [ 位置 ] 對話框中,選取本地伺服器,然後按兩下 [ 確定]

    ii. 在 [ 輸入要選取的物件名稱 ] 字段中,輸入IIS_IUSRS,按兩下 [檢查名稱],然後按兩下 [ 確定]

    新增許可權。

    e. 回到 [EAC_Secondary 的許可權] 視窗,選取 [IIS_IUSRS],然後在 [允許] 數據行中選取 [讀取 & 執行 (會自動選取 [清單資料夾內容] 和 [取] 許可權) ,然後按兩次。

步驟 2c:將預設網站的內容複製到新的網站

  • 將預設網站 () C:\inetpub\wwwroot 的所有檔案與資料夾複製到 C:\inetpub\EAC_Secondary。 您可以略過下列無法複製的檔案:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • 將所有檔案與資料夾複製 %ExchangeInstallPath%FrontEnd\HttpProxy\ecpC:\inetpub\EAC_Secondary\ecp

  • 將所有檔案與資料夾複製 %ExchangeInstallPath%FrontEnd\HttpProxy\owaC:\inetpub\EAC_Secondary\owa

步驟 2d:使用 Exchange 管理命令介面為新的網站建立新的 EAC 和 Outlook 網頁版 虛擬目錄

若要了解如何在內部部署 Exchange 組織中開啟 Exchange 管理命令介面,請參閱 Open the Exchange Management Shell

您的伺服器名稱取代< Server>,然後執行下列命令來建立新的 EAC,並 Outlook 網頁版 新網站的虛擬目錄。

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

步驟 2e:重新啟動 IIS

  1. 在 [IIS 管理員] 的 [ 連線] 窗格中,選取伺服器。

  2. 在 [ 動作] 窗格中,按兩下 [ 重新啟動]

注意:若要從命令行重新啟動 IIS,請在命令提示字元視窗 (開啟提升許可權的命令提示字元,選取 [ 以系統管理員 身分執行]) 並執行下列命令:

net stop w3svc /y

net start w3svc

如何才能了解此工作是否正常運作?

若要確認您已成功停用 Exchange 伺服器上 EAC 的存取權,請執行下列步驟:

  1. 測試組織的內部和外部 URL 以取得 Outlook 網頁版。 例如,如果外部 URL 是 https://mail.contoso.com/owa,且內部 URL 是 https://mbx01.contoso.com/owa 使用下列程式來驗證您的設定:

    • 確認內部和外部使用者可以使用 Outlook 網頁版 開啟其信箱,包括 [設定>選項] 頁面。

    • 確認並https://mail.contoso.com/ecphttps://mbx01.contoso.com/ecp傳回下列其中一個結果:

      • 404 - 找不到網站

      • 用戶會重新導向至 Outlook 網頁版 中的 [設定>選項] 頁面。

  2. 根據您的組態選擇,確認系統管理員可以存取內部網路上的EAC:

    • 第二部 Exchange 伺服器:如果第二部 Exchange 伺服器名為 MBX02,請確認 https://mbx02.contoso.com/ecp 會開啟 EAC。

    • 現有 Exchange 伺服器上的新 EAC 網站:如果新 EAC 網站的 IP 位址是 10.1.1.12,請確認 https://10.1.1.12/ecp 會開啟 EAC。