Blog durchsuchen

Mittwoch, 20. Juli 2016

ECP Zugriff vom Internet blockieren

Wenn man sich eine Standard-Exchange-Installation ansieht, und dabei auf die Webseite des EAC (Exchange Admin Center) schaut, wird man schnell feststellen, dass diese Seite auch sehr leicht vom Internet aus aufgerufen werden kann. Es reicht leider nicht, wenn man die "External URL" für das ECP-Verzeichnis nicht setzt. Solange OWA (Outlook Web App) verfügbar ist, kann man mit einer geänderten URL auch auf das EAC zugreifen.



Da es nun mal selten gewünscht ist, dass die Exchange und somit auch viele AD-Einstellungen über das Internet einfach zugänglich sind, gibt es mehrere Möglichkeiten dies zu unterbinden.

1. Das virtuelle Verzeichnis "ECP" auf der Firewall abfangen und blockiern
--> Keine Gute Idee! Das Problem dabei ist, dass auch normale User, wenn sie ihre Optionen Seite aufrufen wollen, das ECP-Verzeichnis benötigen. Wenn man also diese Seite vom Internet nicht erreichbar macht, können User zb. ihren Abwesenheitsassistenten usw vom Internet nicht mehr einstellen. OWA büsst daher einiges an Funktionsumfang ein.

2. Administrationszugriffe für das ECP-Verzeichnis blockieren. 
--> etwas besser, aber unschön für Admins. Man hat die Möglichkeit Administrative Zugriffe auf das EAC für ein VirtualDirectory zu blockieren. Dies erreicht man mit dem Befehl:
Set-EcpVirtualDirectory "ServerName\ecp (Default Web Site)"-AdminEnabled $false
Das Problem dabei ist, dass man dann, als Exchange-Administrator auch nur mehr auf die "Optionen" Seite seines eigenen Postfachs kommt.

Administration erfolgt ab diesem Zeitpunkt nur mehr über die Powershell --> Ist also nur etwas für "HardcorePowersheller" oder große Firmen, welche alles mit Scripts und Zusatzprogrammen automatisiert haben.

3. Einen eigenen Administrationsserver einrichten
--> Schon besser. Wie unter Punkt 2 beschrieben, mittels Set-ECPVirtualDirectory die Administrationszugriffe für alle virtuellen Verzeichnisse welche auf "https://mail.domaene.com/ecp" hören, blockieren. Allerdings auf einem zusätzlichen Server, (nennen wir ihn mal AdminExchange1) wird der Zugriff erlaubt. Hierfür kann man jetzt mittels Firewall (oder anderer Mechanismen) einstellen, dass nur der Zugriff von bestimmten IP-Adressen erlaubt ist. Somit hätten wir folgendes Ergebnis:
https://mail.domaene.com/ecp --> öffnet die "Optionen-Seite" von OWA - vom Internet aus zugreifbar.
https://AdminExchange1/ecp --> öffnet das Exchange Admin Center. - nur intern im LAN verfügbar.

4. Ein zusätzliches virtuelles ECP Verzeichnis einrichten. 
--> Da Exchange-Server ja nicht unbedingt kostenlos sind, überlegt man sich vielleicht ob man wirklich einen eigenen Exchange Server nur für die Administrations-Seite haben möchte. Zumal manche KMUs möglicherweise ohnehin nur einen einzigen Exchange-Server haben.
Hier kommt für mich die eleganteste Lösung ins Spiel: Ein zusätzliches "virtuelles Verzeichnis" (Virtual Directory).

Als Vorbereitung benötigen wir dafür allerdings eine (nur vom internen Netz erreichbare) zusätzeliche IP-Adresse auf dem Exchange-Server.
(in unserem Beispiel mal 192.168.1.20)
Diese Adresse legen wir als Host-Record auch im DNS an und vergeben einen Namen (hier zb. SecureMail)

Jetzt muss man im IIS Manager eine zusätzliche Website erstellen. Dazu rechtsklick auf Sites und dann "Add Website..."
Hier gibt man dann einen Namen für die Seite an (zb.: SecureExchange), sagt wo die Files liegen sollen und ganz wichtig: das Binding auf https und die neue, zusätzliche IP-Adresse setzen.
Weiters sollte man auch das SSL-Zertifikat angeben. (Im Optimalfall hat man den Namen des zusätzlichen Verzeichnisses im Zertifikat als SAN (Subject Alternative Name) berücksichtigt oder gar ein Wildcard-Zert.)

Danach überprüfen ob die Seite eh gestartet wurde.

ACHTUNG: Bitte jetzt auch nochmal für die "Default Web Site" überprüfen, ob das Binding noch passt. (Rechtsklick auf "Default Web Site" und "Edit Bindings..." auswählen) Es kann vorkommen, dass hier das SSL-Zertifikat nicht mehr zugewiesen ist.
Sollte das der Fall sein, einfach nochmal das richtige Zertifikat auswählen und bestätigen.
Weiters muß für die Default Web Site bei IP Address unbedingt "All Unassigned" ausgewählt sein!

So nachdem wir die Webseite angelegt haben, wechseln wir in die Exchange-Shell und erstellen mittels folgendem Befehl ein zusätzliches "Virtual Directory" für ECP

New-EcpVirtualDirectory -Server Servername -WebSiteName SecureExchange -InternalUrl "https://securemail.domain.com/owa"

Da man für die Anmeldung auch ein OWA-Verzeichnis benötigt, legen wir auch ein zusätzliches OWA-Verzeichnis an:

New-OwaVirtualDirectory -Server AXDMEXC1 -WebSiteName SecureExchange -InternalUrl "https://securemail.domain.com/owa"

Zu guter Letzt, machen wir noch einen Restart des IIS mit dem Befehl: iisreset /noforce

Ab nun erscheinen die beiden zuätzlichen Verzeichnisse auch im EAC und wir können uns schon mal anmelden. Dazu einfach die neue URL https://securemail.domain.com/owa im Browser eintippen, anmelden und voilá:


Keine Kommentare:

Kommentar veröffentlichen