Вопросы Теги

Отключение Outlook Anywhere для внешних пользователей в Exchange 2013

Я безуспешно искал в Google эту проблему и сейчас точка, где предложение Microsoft на поддержку в 2000 долларов на самом деле выглядит разумным, но я надеялся, что, возможно, у кого-то из присутствующих появится идея.

ПРОБЛЕМА: мы хотели бы отключить доступ к Exchange для всех, кто не находится в нашей корпоративной локальной сети. Это место является небольшим ответвлением от основного филиала, и его электронная почта размещена локально по соображениям безопасности. Мы не Я не хочу, чтобы кто-либо за пределами здания мог добавить свою учетную запись Exchange в установку Outlook, мобильное устройство или что-то подобное. Мы запускаем Exchange 2013 на Server 2012R2, IIS 8.

Мы решили проблему мобильных устройств с помощью функции карантина Exchange, но для пользователей настольных компьютеров такой вещи не существует. Я пробовал :

  • войти в EPC, Серверы -> Outlook Anywhere и очистить имя внешнего хоста Outlook Anywhere / заменить его чем-то, что не разрешается - это абсолютно ничего не дало мне Я могу сказать
  • , запустив команду Get-Mailbox -MAPIBlockOutlookRpcHttp в почтовых ящиках, я не хочу иметь доступ к Outlook вне сети. Раньше это работало на Exchange 2007, в 2013 году он также отключает доступ для внутренних пользователей
  • , настраивая ограничения IP-адресов и доменов на веб-сайте RPC в IIS, чтобы запретить все, что не является локальным IP-адресом, - также абсолютно ничего не делало, даже если было настроено отклонение каждого IP-адреса. диапазон
  • магия крови

Я чувствую, что это не должно быть так сложно. Нас не беспокоит внешний доступ к OWA, поскольку перед ним стоит двухфакторное устройство. Отключение автообнаружения тоже не поможет; любые запросы на аутентификацию в Exchange с общедоступного IP-адреса должны быть отклонены, точка.

Я знаю, что эта проблема довольно узкая (учитывая, что я обнаружил всего несколько подобных инцидентов в Google), но я надеюсь, что кто-то из присутствующих сможет выяснить, что я делаю неправильно. Заранее благодарим!

1
задан 29 January 2016 в 17:53
2 ответа

Вам нужен обратный прокси. Команда разработчиков продукта Exchange рассказала, как это сделать, в посте блога с 2013 года.

http://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx

Это позволит вам контролировать доступ к 443, так что вы можете разрешить OWA, ActiveSync, но заблокировать Outlook Anywhere.

Хотя ограничения IP-адресов должны были сработать. Вы запустили IISRESET после этого, чтобы он вступил в силу?

0
ответ дан 4 December 2019 в 06:41

Самый простой способ - это просто не подвергать ваш почтовый сервер на портах 80/443 внешнему миру, если вы не хотите, чтобы к нему имел доступ кто-либо из внешних пользователей. Тем не менее, это позволяет осуществлять внутреннюю связь. Если у вас есть правила брандмауэра, разрешающие это, то выключите их.

.
0
ответ дан 4 December 2019 в 06:41

Теги

Похожие вопросы