Вопрос или проблема
По соображениям безопасности наша компания решила отключить OWA (по крайней мере, для внешнего мира), но хотела бы оставить доступным EAS (Activesync) для синхронизации мобильных устройств.
Это возможно? Оба используют HTTP, поэтому я не понимаю, как разрешить одно, но запретить другое (у нас простая межсетевого экрана).
Можно также отключить OWA для внутреннего использования. Возможно ли это сделать через IIS или ECP, чтобы отключить только OWA?
Насколько мне известно:
1. Вы можете удалить внешний URL OWA VD в EAC, чтобы заблокировать внешний доступ:
Если вы хотите отключить доступ к OWA для определенного пользователя, вы можете выполнить команду “Set-CASMailbox [email protected] -OWAEnabled $false -PopEnabled $false” (от Включение или отключение Outlook в Интернете для почтового ящика)
2. Или вы можете применить другой метод (настройки IP Addresses and Domain Restrictions в IIS) для ограничения внешнего IP. Перед этим вам нужно добавить роль сервера “IP and Domain Restrictions” в Server Manager:
После этого вы можете разрешить вашему внутреннему IP адрес сервера или конкретному IP адресу доступ к OWA в IIS, нажав Add Allow Entry, а затем запретить неопределенным клиентам доступ, нажав Edit Feature Settings:
Ответ или решение
Чтобы отключить OWA в Exchange 2016 и оставить работающим Exchange ActiveSync (EAS), можно воспользоваться несколькими методами. Это решение может быть связано с повышением уровня безопасности вашей компании, особенно в отношении внешнего доступа к ресурсам. Ниже приведены шаги и методы, которые помогут вам достичь этой цели.
1. Отключение внешнего доступа к OWA через EAC
Первым и наиболее простым методом является удаление внешнего URL для виртуального каталога OWA с помощью Центра администрирования Exchange (EAC).
- Шаги:
- Зайдите в EAC.
- Перейдите в раздел «Серверы» > «Виртуальные каталоги».
- Найдите OWA и удалите внешний URL, оставив внутренний адрес для внутренней сети, если необходимо.
Это действие заблокирует доступ к OWA из внешних сетей.
2. Отключение OWA для конкретных пользователей с помощью PowerShell
Если целью является ограничение доступа к OWA для определённых пользователей, вы можете воспользоваться командлетом PowerShell:
- Команда:
Set-CASMailbox [email protected] -OWAEnabled $false -PopEnabled $false
Эта команда отключит возможность использования OWA для указанного пользователя.
3. Использование настроек IIS для ограничения доступа по IP-адресам
Если целью является блокировка OWA для определённых IP-адресов, можно настроить ограничения IP и доменов в IIS. Этот метод требует установки роли «Ограничения IP и доменов» через диспетчер сервера.
- Шаги:
- Убедитесь, что роль «IP и доменные ограничения» установлена.
- В IIS, выберите сайт OWA.
- Перейдите в настройки IP-адресов и доменных ограничений.
- Добавьте разрешения для внутренних IP-адресов с помощью «Add Allow Entry».
- Установите запрет для остальных IP, изменив «Edit Feature Settings».
Заключение
Каждый из предложенных методов имеет свои преимущества и ограничения. Ваш выбор будет зависеть от конкретных требований безопасности вашей компании и ваших сетевых конфигураций. Удаление внешнего URL является наиболее простым и эффективным способом блокировки OWA извне, в то время как настройки IIS предлагают более тонкий контроль над доступом по IP-адресам. С помощью PowerShell вы можете детализировать доступ на уровне каждого пользователя. Убедитесь, что любые изменения протестированы в тестовой среде перед применением в производственной среде, чтобы избежать ненужных сбоев в работе.