Exchange 2013: Externen Zugriff auf ECP deaktivieren

Der Release von Exchange Server 2013 brachte mehrere Neuerungen in den administrativen Bereich, darunter eine neue Verwaltungskonsole namens Exchange Admin Center. Das EAC löste die Vorgängerin Exchange Management Console (EMC) (Exchange 2010) ab. Die Konsolen sind kaum zu verwechseln, denn die EMC ist eine Anwendung vom Typ Microsoft Management Console (MMC), und das EAC ist eine webbasierte Verwaltungskonsole, welche unter Client Access Server (CAS) als virtuelles Verzeichnis in IIS installiert wird. Das EAC ist mit Exchange Control Panel (ECP) ausgestattet. Es ist eine Webanwendung, auf die man von überall im Netzwerk (LAN, Internet) zugreifen kann. Jeder mit einem gültigen Usernamen und Passwort kann sich ohne Weiteres anmelden. Daraus ergibt sich ein Risiko, wenn der CAS in einem Umkreisnetzwerk wie der DMZ steht und Hacker mit abgefangenen Passwörtern sich aus dem Internet zum ECP einloggen.

Zum Glück ermöglicht Microsoft Einschränkung des Zugriffs auf das ECP, ohne dass gleichzeitig der Zugang zu OWA gekappt wird. Man erledigt das in Anlehnung an die Dokumentation auf TechNet und mit Hilfe dieses Befehls:

iisreset-noforce-command

Set-EcpVirtualDirectory -identity "ecp <Default Web Site>" -AdminEnabled $false

Wie man anhand des Screenshots unschwer erkennen kann, führt die Eingabe von “iisreset /noforce” dazu, dass die Änderungen sofort greifen.

iisreset /noforce

Von diesem Moment an führt jeder Versuch, die ECP-Seite aufzurufen, zum Anzeigen der Meldung “404 – page not found”, oder die Anfrage wird zu den OWA-Optionen vom Admin-Account umgeleitet (s. Screenshot).

account-details-window

Die Lösung hat allerdings einen Nachteil. Der Zugriff aus dem Internet wurde gesperrt. Dabei ist das ECP auch nicht mehr aus dem internen Netzwerk heraus zugänglich. Für diesen Fall empfiehlt Microsoft einen zusätzlichen CAS Server nur für internen ECP-Zugang zu installieren. Viele IT-Profis neigen jedoch dazu, eine zweite Website mit ECP und virtuellen OWA-Verzeichnissen auf dem mit Internet verbundenen CAS zu installieren. Die Lösung ist günstiger und weniger zeitintensiv.

Um das zu tun, muss man dem Server mit CAS (meistens hat man nur einen) eine zweite IP-Adresse zuweisen. Zu diesem Zweck konfiguriert man eine neue IP-Adresse für einen zweiten Netzwerkadapter auf dem Server, oder man man weist der bestehenden Netzwerkschnittstelle eine zweite IP-Adresse zu. Der erste Weg wird bevorzugt, um die Sicherheitsrichtlinie einzuhalten, obwohl der zweite Weg viel einfacher und günstiger ist. Der nachstehende Screenshot bildet den letzteren Ansatz ab:

TCP-IP-settings

Anschließend muss in der DNS-Zone auf dem DNS-Server ein entsprechender Eintrag erstellt werden. Der Name in dem Eintrag wird für den Zugriff auf das neu erstellte virtuelle ECP-Verzeichnis verwendet. Darüber hinaus muss sich der Eintrag auf die zuvor konfigurierte IP-Adresse beziehen:

DNS-manager-window

Als Nächstes wird ein Ordner für die zweite Website erstellt, z.B. wwwroot2 unter C:\Inetpub.

created-folder-example

Anschließend öffnet man den Manager für Internet Information Services (IIS) und fügt die zweite Website hinzu, z.B. “InternalEAC”, die sich auf C:\inetpub\wwwroot2 bezieht und an TCP/80 (HTTP) und TCP/443 (HTTPS) angeschlossen ist. Die nachstehenden Screenshots bilden den Vorgang ab.

Die neue Website muss mit der neuen IP-Adresse verknüpft werden:

Bind-IP-address-to-website

adding-website

binding-websites

edit-site-binding

Unter der neu erstellten zweiten Website müssen nun virtuelle Verzeichnisse für ECP und OWA eingerichtet werden. Hierfür verwendet man diesen Befehl:

setting-up-virtual-directories.png

New-EcpVirtualDirectory -Server "<ServerIdParameter>"-WebSiteName "InternalEAC" -InternalUrl "<internal url>"
New-OwaVirtualDirectory -Server "<ServerIdParameter>"-WebSiteName "InternalEAC" -InternalUrl "<internal url>"

Anschließend wird der Zugriff auf EAC deaktiviert (s.o). Zu diesem Zweck werden folgende Befehle ausgeführt:

disabling-access-to-EAC1

Set-EcpVirtualDirectory -identity "ecp <Default Web Site>" -AdminEnabled $false
iisreset /noforce

Jetzt müssen noch zwei weitere Dinge erledigt werden. Der Zugriff auf die IP-Adresse, verknüpft mit der neuen Website, muss eingeschränkt werden, z.B. auf interne User oder Admin Management Stations. Das verhindert Zugriff auf die neue Website von unberechtigten Stellen wie Umkreisnetzwerk oder Internet aus.

Abschließend wird der neuen ECP-Website ein entsprechendes Zertifikat für SSL-Zwecke zugeordnet. Es kann ein Drittanbieterzertifikat sein (z.B. Wildcard SSL-Zertifikat, zugewiesen an die Standardwebsite), eins aus dem internen CA oder ein Self-Signed-Zertifikat. Beim Erstellen eines neuen Zertifikats müssen der Name im Zertifikat und der Name in der ECP-URL miteinander gematcht werden.

Empfohlene Artikel:

How to Restrict Exchange Admin Center Access From the Internet Using KEMP VLB – Artikel von Jeff Guillet
Erfahren Sie mehr über SAN-Zertifikate und Split-brain-DNS in Exchange 2013
Office 365: Kennwortsynchronisierung mit lokalem Active Directory
CodeTwo-Software für Exchange

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*