Das Problem
Bei einer Veröffentlichung der Exchange Dienste ins Internet ist über die
OWA/ECP Veröffentlichung das Exchange Admin Center aus dem Internet erreichbar.
Wie kann es erreicht werden, dass das Exchange Admin Center aus dem Internet
nicht mehr erreichbar und nur über eine interne URL erreichbar ist?
Die LösungDas Exchange Admin Center wird über die virtuellen Verzeichnisse OWA/ECP veröffentlicht. Man kann das Admin Center (EAC) für virtuelle ECP Verzeichnisse deaktivieren:
Get-ECPVirtualDirectory |
Set-ECPVirtualDirectory –adminenabled $false
|
Damit steht aber kein EAC mehr zur Verfügung. Um das EAC zur Verfügung zu stellen, benötigen wir ein weiteres ECP-Verzeichnis, dass nur über eine interne URL (z.B. https://exadmin.foo.local/ECP) erreichbar ist.
Die UmsetzungZunächst erhält der Exchange Server ex001 eine zusätzliche IP-Adresse (zusätzliche Netzwerkkarte ginge auch):
Nslookup ex001.foo.local oder Resolve-DNSName ex001.foo.local –dnsonly zeigten nun beide IP-Adressen für den Server an. In unserem Fall führt ein ping ex001.foo.local sogar dazu, dass die Antwort über 10.0.1.21 kommt. Die von uns gewählte zusätzliche IP-Adresse wird als primäre verwendet, da sie die höhere IP-Adresse ist. Dieses Verhalten wie auch die Registrierung der IP im DNS müssen wir abschalten.
Die zusätzliche IP-Adresse wird als primäre IP-Adresse für ausgehende Netzverkehr deaktiviert. Damit wird auch verhindert, dass der Server diese IP-Adresse im DNS registriert:
Set-NetIPAddress -IPAddress 10.0.1.22 -InterfaceAlias "Ethernet" -SkipAsSource $true
|
Bemerkung: Wird eine zusätzliche Netzwerkkarte verwendet,
wird die DNS-Registrierung der IP-Adressen für diese Netzwerkkarte deaktiviert.
Mit IPConfig /registerDNS wird die automatische Registrierung
berichtigt. Nun zeigen DNS-Abfragen für den Server nur noch die alte primäre
IP-Adresse an.
Für exadmin.foo.local wird ein DNS Hosteintrag mit 10.0.2.21 erstellt.
Nun wird das zusätzliche virtuelle Verzeichnis erstellt. Als URL für das ECP soll verwendet werden: https://exadmin.foo.local/ecp
Da der Zugriff über https erfolgt, sollte zunächst ein SSL-Zertifikat erstellt werden:
</span>
New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "CN=exadmin.foo.local" -FriendlyName "Exadmin" -RequestFile "C:\inst\exadmin.req" –server EX001
|
Das Zertifikat wird über interne CA abgerufen und in C:\inst\exadmin.cer gespeichert.
Nun kann die ausstehende Zertifikatsanforderung abgeschlossen werden. Achtung: Dem Zertifikat werden keine Dienste zugewiesen:
1 2 |
$fileData =
[Byte[]](Get-Content -Path "C:\inst\exadmin.cer" -Encoding byte)
Import-ExchangeCertificate -Filedata $fileData -server EX001
|
In C:\inetpub\wwwroot wird ein Verzeichnis erstellt: C:\inetpub\wwwroot\ExchangeAdminCenter.
Dieses Verzeichnis wird für eine weitere Website auf dem Server verwendet.
Die Website wird mit dem IIS-Manager erstellt:
Sites -> Website hinzufügen…
Als Pfad wird der eben erstellte Pfad in C:\inetpub\wwwroot verwendet. Als IP-Adresse wird die zusätzlich vergebene IP zugewiesen. Achtung: Der Name der Site ist casesensitive! In den Befehlen zum Erstellen der virtuellen Verzeichnisse muss dies beachtet werden.
Danach ist für die Site https zu binden:
Dabei wird das erstellte Exadmin Zertifikat als SSL-Zertifikat ausgewählt.
Nun müssen zwei virtuelle Verzeichnisse in der Website exadmin
erstellt werden. Dabei wird unsere interne URL der Site zugewiesen:
New-OWAVirtualDirectory -WebSiteName "exadmin" -InternalUrl " https://exadmin.foo.local/owa" -server EX001
New-ECPVirtualDirectory -WebSiteName "exadmin" -InternalUrl " https://exadmin.foo.local/ecp" -server EX001
|
Wir setzen noch die DefaultDomain, damit bei der Anmeldung keine Domäne angegeben werden muss.
Set-OWAVirtualDirectory "EX001\owa
(exadmin)"
–defaultDomain "\"
|
Nun wird das EAC für das „normale“ ECP deaktiviert:
Set-ECPVirtualdirectory "EX001\ecp
(Default Web Site)" –adminEnabled $false
|
Nicht vergessen: Für die beide virtuellen Verzeichnisse im IIS in den SSL Einstellungen https konfigurieren:
Mit IISReset kann beschleunigt werden, dass diese Änderungen greift.
Wenn zwei oder mehr Server eingesetzt werden, kann das Ganze für jeden Server oder ausgewählte Server ausgeführt, wobei der Namespace exadmin.foo.local über DNS Round Robin oder einen Loadbalancer angesprochen werden kann. Das Zertifikat kann exportiert und in weitere Server importiert werden. Hinweis: Die Server FQDNs können nicht zur Verbindung mit dem EAC verwendet werden. Sie führen zum Standard ECP mit dem deaktivierten EAC.