Verhindern der Veröffentlichung des Exchange Admin Centers ins Internet

Das Problem
Bei einer Veröffentlichung der Exchange Dienste ins Internet ist über die OWA/ECP Veröffentlichung das Exchange Admin Center aus dem Internet erreichbar. Wie kann es erreicht werden, dass das Exchange Admin Center aus dem Internet nicht mehr erreichbar und nur über eine interne URL erreichbar ist?

Die LösungDas Exchange Admin Center wird über die virtuellen Verzeichnisse OWA/ECP veröffentlicht. Man kann das Admin Center (EAC) für virtuelle ECP Verzeichnisse deaktivieren:

Get-ECPVirtualDirectory | Set-ECPVirtualDirectory –adminenabled $false

Damit steht aber kein EAC mehr zur Verfügung. Um das EAC zur Verfügung zu stellen, benötigen wir ein weiteres ECP-Verzeichnis, dass nur über eine interne URL (z.B. https://exadmin.foo.local/ECP) erreichbar ist.

Die UmsetzungZunächst erhält der Exchange Server ex001 eine zusätzliche IP-Adresse (zusätzliche Netzwerkkarte ginge auch):

Nslookup ex001.foo.local oder Resolve-DNSName ex001.foo.local –dnsonly zeigten nun beide IP-Adressen für den Server an. In unserem Fall führt ein ping ex001.foo.local sogar dazu, dass die Antwort über 10.0.1.21 kommt. Die von uns gewählte zusätzliche IP-Adresse wird als primäre verwendet, da sie die höhere IP-Adresse ist. Dieses Verhalten wie auch die Registrierung der IP im DNS müssen wir abschalten.

Die zusätzliche IP-Adresse wird als primäre IP-Adresse für ausgehende Netzverkehr deaktiviert. Damit wird auch verhindert, dass der Server diese IP-Adresse im DNS registriert:

Set-NetIPAddress -IPAddress 10.0.1.22 -InterfaceAlias "Ethernet" -SkipAsSource $true

Bemerkung: Wird eine zusätzliche Netzwerkkarte verwendet, wird die DNS-Registrierung der IP-Adressen für diese Netzwerkkarte deaktiviert.
Mit IPConfig /registerDNS wird die automatische Registrierung berichtigt. Nun zeigen DNS-Abfragen für den Server nur noch die alte primäre IP-Adresse an.

Für exadmin.foo.local wird ein DNS Hosteintrag mit 10.0.2.21 erstellt.

Nun wird das zusätzliche virtuelle Verzeichnis erstellt. Als URL für das ECP soll verwendet werden: https://exadmin.foo.local/ecp

Da der Zugriff über https erfolgt, sollte zunächst ein SSL-Zertifikat erstellt werden:

</span> New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "CN=exadmin.foo.local" -FriendlyName "Exadmin" -RequestFile "C:\inst\exadmin.req" –server EX001

Das Zertifikat wird über interne CA abgerufen und in C:\inst\exadmin.cer gespeichert.

Nun kann die ausstehende Zertifikatsanforderung abgeschlossen werden. Achtung: Dem Zertifikat werden keine Dienste zugewiesen:

1 2 $fileData = [Byte[]](Get-Content -Path "C:\inst\exadmin.cer" -Encoding byte) Import-ExchangeCertificate -Filedata $fileData -server EX001

In C:\inetpub\wwwroot wird ein Verzeichnis erstellt: C:\inetpub\wwwroot\ExchangeAdminCenter.
Dieses Verzeichnis wird für eine weitere Website auf dem Server verwendet.

Die Website wird mit dem IIS-Manager erstellt:
Sites -> Website hinzufügen…

Als Pfad wird der eben erstellte Pfad in C:\inetpub\wwwroot verwendet. Als IP-Adresse wird die zusätzlich vergebene IP zugewiesen. Achtung: Der Name der Site ist casesensitive! In den Befehlen zum Erstellen der virtuellen Verzeichnisse muss dies beachtet werden.

Danach ist für die Site https zu binden:


Dabei wird das erstellte Exadmin Zertifikat als SSL-Zertifikat ausgewählt.
Nun müssen zwei virtuelle Verzeichnisse in der Website exadmin erstellt werden. Dabei wird unsere interne URL der Site zugewiesen:

New-OWAVirtualDirectory -WebSiteName "exadmin" -InternalUrl "https://exadmin.foo.local/owa" -server EX001 New-ECPVirtualDirectory -WebSiteName "exadmin" -InternalUrl "https://exadmin.foo.local/ecp" -server EX001

Wir setzen noch die DefaultDomain, damit bei der Anmeldung keine Domäne angegeben werden muss.

Set-OWAVirtualDirectory "EX001\owa (exadmin)" –defaultDomain "\"

Nun wird das EAC für das „normale“ ECP deaktiviert:

Set-ECPVirtualdirectory "EX001\ecp (Default Web Site)" –adminEnabled $false

Nicht vergessen: Für die beide virtuellen Verzeichnisse im IIS in den SSL Einstellungen https konfigurieren:

Mit IISReset kann beschleunigt werden, dass diese Änderungen greift.

Wenn zwei oder mehr Server eingesetzt werden, kann das Ganze für jeden Server oder ausgewählte Server ausgeführt, wobei der Namespace exadmin.foo.local über DNS Round Robin oder einen Loadbalancer angesprochen werden kann. Das Zertifikat kann exportiert und in weitere Server importiert werden. Hinweis: Die Server FQDNs können nicht zur Verbindung mit dem EAC verwendet werden. Sie führen zum Standard ECP mit dem deaktivierten EAC.

Facebook
Twitter
LinkedIn
Pinterest
Email

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen