Deaktivieren des Zugriffs auf das EACTurn off access to the Exchange admin center

Der Exchange-Verwaltungskonsole (EAC) ist die primäre Verwaltungsoberfläche für Exchange 2013 oder höher. Weitere Informationen finden Sie unter Exchange Admin center in Exchange Server. Standardmäßig Zugriff auf die Exchange-Verwaltungskonsole nicht eingeschränkt ist, und den Zugriff auf Outlook im Web (formell als Outlook Web App bezeichnet) auf einem auf einer Internet verbundenen Exchange ermöglicht Server auch den Zugriff auf die Exchange-Verwaltungskonsole. Benötigen Sie weiterhin gültige Anmeldeinformationen zur Anmeldung bei der Exchange-Verwaltungskonsole, aber Organisationen möchten möglicherweise Einschränken des Zugriffs auf die Exchange-Verwaltungskonsole für Clientverbindungen aus dem Internet.The Exchange admin center (EAC) is the primary management interface for Exchange 2013 or later. For more information, see Exchange admin center in Exchange Server. By default, access to the EAC isn't restricted, and access to Outlook on the web (formally known as Outlook Web App) on an on an Internet-facing Exchange server also gives access to the EAC. You still need valid credentials to sign in to the EAC, but organizations may want to restrict access to the EAC for client connections from the Internet.

In Exchange Server 2019, Zugriffsregeln Client können Sie um Clientzugriff auf die Exchange-Verwaltungskonsole zu blockieren. Weitere Informationen finden Sie unter ClientAccess Regeln in Exchange Server.In Exchange Server 2019, you can use Client Access Rules to block client access to the EAC. For more information, see Client Access Rules in Exchange Server.

Das virtuelle Verzeichnis der Exchange-Verwaltungskonsole heißt ECP und wird von verwaltet die * - ECPVirtualDirectory -Cmdlets. Bei der Festlegung des AdminEnabled -Parameters auf den Wert $false für das virtuelle Verzeichnis der Exchange-Verwaltungskonsole, deaktivieren Sie Zugriff auf die Exchange-Verwaltungskonsole für interne und externe Clientverbindungen, ohne Zugriff auf die Einstellungen > Seite " Optionen " in Outlook im Web.The EAC virtual directory is named ECP, and is managed by the *- ECPVirtualDirectory cmdlets. When you set the AdminEnabled parameter to the value $false on the EAC virtual directory, you disable access to the EAC for internal and external client connections, without affecting access to the Settings > Options page in Outlook on the web.

Optionsmenüspeicherort in Outlook im Web

Diese Konfiguration führt aber zu einem neuen Problem: Der Zugriff auf das EAC ist auch für Administratoren im internen Netzwerk auf dem Server vollständig deaktiviert. Um dieses Problem zu beheben, haben Sie zwei Optionen:But, this configuration introduces a new problem: access to the EAC is completely disabled on the server, even for administrators on the internal network. To fix this issue, you have two choices:

  • Konfigurieren Sie einen zweiten Exchange-Server, der nur aus dem internen Netzwerk interne Exchange-Verwaltungskonsole Verbindungen verarbeiten muss zugegriffen werden kann.Configure a second Exchange server that's only accessible from the internal network to handle internal EAC connections.

  • Erstellen Sie eine neue Website in Internetinformationsdienste (Internet Information Services, IIS) auf dem vorhandenen Exchange-Server mit neuen virtuellen Verzeichnisse für die Exchange-Verwaltungskonsole und Outlook im Web, die nur aus dem internen Netzwerk zugegriffen werden kann.On the existing Exchange server, create a new Internet Information Services (IIS) web site with new virtual directories for the EAC and Outlook on the web that's only accessible from the internal network.

    Hinweis: müssen Sie die Exchange-Verwaltungskonsole und Outlook im Web in die neue Website zu konfigurieren, da der Exchange-Verwaltungskonsole auf das Outlook auf das Web Authentifizierungsmodul aus der gleichen Website erfordert.Note: You need to configure the EAC and Outlook on the web in the new web site, because the EAC requires the Outlook on the web authentication module from the same web site.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oderExchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Schritt 1: Verwenden der Exchange-Verwaltungsshell, um Zugriff auf die Exchange-Verwaltungskonsole zu deaktivierenStep 1: Use the Exchange Management Shell to disable access to the EAC

Beachten Sie, dass dieser Schritt deaktiviert den Zugriff auf die Exchange-Verwaltungskonsole auf dem Server für interne und externe Verbindungen, jedoch weiterhin ermöglicht es Benutzern, ihre eigenen Einstellungen Aufrufen > Seite Optionen in Outlook im Web.Remember, this step disables access to the EAC on the server for internal and external connections, but still allows users to access their own Settings > Options page in Outlook on the web.

Verwenden Sie die folgende Syntax, um Zugriff auf die Exchange-Verwaltungskonsole auf einem Exchange-Server zu deaktivieren:To disable access to the EAC on an Exchange server, use the following syntax:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

In diesem Beispiel wird der Zugriff auf das EAC auf dem Server mit dem Namen MBX01 deaktiviert.This example turns disables access to the EAC on the server named MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Woher wissen Sie, dass dieser Schritt erfolgreich war?How do you know this step worked?

Ersetzen Sie zum bestätigen, dass Sie Zugriff auf die Exchange-Verwaltungskonsole auf dem Server deaktiviert haben, _ <Server> _ mit dem Namen Ihrer Exchange-Server, und führen den folgenden Befehl, um den Wert der Eigenschaft AdminEnabled überprüfen:To verify that you've disabled access to the EAC on the server, replace <Server> with the name of your Exchange server, and run the following command to verify the value of the AdminEnabled property:

Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Beim Öffnen einer https://<Servername>/ecp oder aus dem internen Netzwerk, eigene Einstellungen > Seite Optionen in Outlook im Web anstelle der Exchange-Verwaltungskonsole wird geöffnet.When you open https://<servername>/ecp or from the internal network, your own Settings > Options page in Outlook on the web opens instead of the EAC.

Schritt 2: Gewähren von Zugriff auf das EAC im internen NetzwerkStep 2: Give access to the EAC on the internal network

Wählen Sie eine der folgenden Optionen aus:Choose either of the following options.

Option 1: Konfigurieren eines zweiten Exchange-Servers, der nur aus dem internen Netzwerk zugegriffen werden kannOption 1: Configure a second Exchange server that's only accessible from the internal network

Ist der Standardwert der Eigenschaft AdminEnabled True für das virtuelle Verzeichnis des Standard-Exchange-Verwaltungskonsole. Ersetzen Sie diesen Wert auf dem zweiten Server zu bestätigen, _ <Server> _ mit dem Namen des Servers, und führen Sie folgenden Befehl:The default value of the AdminEnabled property is True on the default EAC virtual directory. To confirm this value on the second server, replace <Server> with the name of the server, and run the following command:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Wenn der Wert ist False, ersetzen Sie _ <Server> _ mit dem Namen des Servers, und führen Sie folgenden Befehl:If the value is False, replace <Server> with the name of the server, and run the following command:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Option 2: Erstellen einer neuen Website auf dem vorhandenen Exchange-Server, und konfigurieren Sie die Exchange-Verwaltungskonsole und Outlook im Web in die neue Website für das interne NetzwerkOption 2: Create a new web site on the existing Exchange server, and configure the EAC and Outlook on the web in the new web site for the internal network

Folgende Schritte sind erforderlich:The required steps are:

  1. Fügen Sie eine zweite IP-Adresse, an den Exchange-Server.Add a second IP address to the Exchange server.

  2. Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Create a new web site in IIS that uses the second IP address, and assign file and folder permissions.

  3. Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Copy the contents of the default web sites to the new web site.

  4. Erstellen Sie neue Exchange-Verwaltungskonsole und Outlook für die virtuellen Webverzeichnisse für die neue Website.Create new EAC and Outlook on the web virtual directories for the new web site.

  5. Starten Sie IIS neu, damit die Änderungen wirksam werden.Restart IIS for the changes to take effect.

Wichtig

Wenn Sie ein Exchange Server kumulative Update (CU) installieren, wird nicht die CU Dateien in die neue Website und virtuelle Verzeichnisse aktualisieren. Nachdem Sie die CU anwenden möchten, müssen Sie vollständig die neue Website sowie die virtuellen Verzeichnisse und Inhalte in den Ordnern zu entfernen und dann neu erstellen, die neue Website, die virtuellen Verzeichnisse und die Inhalte in den Ordnern.When you install an Exchange Server Cumulative Update (CU), the CU won't update files in the new web site and virtual directories. After you apply the CU, you need to completely remove the new web site, virtual directories, and content in the folders and then re-create the new web site, virtual directories, and content in the folders.

Schritt 2a: hinzufügen eine zweite IP-Adresse auf dem Exchange-ServerStep 2a: Add a second IP address to the Exchange server

Sie können einen zweiten Netzwerkadapter hinzufügen und ihm die IP-Adresse zuweisen, oder Sie können eine zweite IP-Adresse dem vorhandenen Netzwerkadapter zuweisen.You can add a second network adapter and assign the IP address to the second network adapter, or you can assign a second IP address to the existing network adapter.

Die Schritte zum Zuweisen einer zweiten IP-Adresse an den vorhandenen Netzwerkadapter werden nachfolgend beschrieben.The steps to assign a second IP address to the existing network adapter are described below.

  1. Öffnen Sie die Eigenschaften der Netzwerkkarte. Beispiel:Open the properties of the network adapter. For example:

    a. ein Eingabeaufforderungsfenster, die Exchange-Verwaltungsshell oder im Dialogfeld Ausführen , führen ncpa.cpl.a. From a Command Prompt window, the Exchange Management Shell, or the Run dialog, run ncpa.cpl.

    b. mit der rechten Maustaste auf den Netzwerkadapter, und wählen Sie dann auf Eigenschaften.b. Right-click on the network adapter, and then choose Properties.

    Eigenschaften der Netzwerkkarte in Windows

  2. Wählen Sie in den Eigenschaften des Netzwerkadapter, Internet Protocol Version 4 (TCP/IPv4) aus, und klicken Sie dann auf Eigenschaften.In the properties of the network adapter, select Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  3. Klicken Sie im Fenster Eigenschaften Internet Protocol Version 4 (TCP/IPv4) auf der Registerkarte Allgemein auf Erweitert.In the Internet Protocol Version 4 (TCP/IPv4) Properties window that opens, on the General tab, click Advanced.

  4. Klicken Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte IP-Einstellungen im Abschnitt IP-Adressen auf Hinzufügen, und geben Sie die IP-Adresse ein.In the Advanced TCP/IP Settings window that opens, on the IP Settings tab, in the IP addresses section, click Add and enter the IP address.

    Fenster „Erweiterte TCP/IP-Einstellungen“ der Netzwerkkarteneigenschaften

    Hinweis: Wenn Sie einen zweiten Netzwerkadapter hinzufügen, deaktivieren Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.Note: If you add a second network adapter, in the Advanced TCP/IP Settings window, on the DNS tab, un-check Register this connection's address in DNS.

    DNS-Registerkarte im Fenster „Erweiterte TCP/IP-Einstellungen“

Schritt 2 b: Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Step 2b: Create a new web site in IIS that uses the second IP address, and assign file and folder permissions

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.Open IIS Manager on the Exchange server. An easy way to do this in Windows Server 2012 or later is to press Windows key + Q, type inetmgr, and select Internet Information Services (IIS) Manager in the results.

  2. Erweitern Sie im Bereich Verbindungen den Server, wählen Sie Websites aus, und klicken Sie im Bereich Aktionen auf Website hinzufügen.In the Connections pane, expand the server, select Sites, and in the Actions pane, click Add Website.

    Erweitern des Servers und Auswählen der Websites im IIS-Manager

  3. Konfigurieren Sie im angezeigten Fenster Website hinzufügen die folgenden Einstellungen:In the Add Website window that appears, configure the following settings:

    • Der Name der Website:EAC_SecondarySite name: EAC_Secondary

    • Physische Pfad:C:\inetpub\EAC_SecondaryPhysical path: C:\inetpub\EAC_Secondary

    • BindungBinding

      • Typ: HttpsType: https

      • IP-Adresse: Wählen Sie die zweite IP-Adresse, die Sie im vorherigen Schritt hinzugefügt haben.IP address: Select the second IP address that you added in the previous step.

      • Port: 443Port: 443

    • SSL-Zertifikat: Wählen Sie das Zertifikat, das Sie (beispielsweise das Standard-Exchange-Zertifikat mit dem Namen Microsoft Exchange) verwenden möchten.SSL certificate: Choose the certificate that you want to use (for example, the default Exchange certificate named Microsoft Exchange).

    Klicken Sie nach Abschluss des Vorgangs auf OK.When you're finished, click OK.

    Websiteeigenschaften für die sekundäre EAC-Website

  4. Erstellen von ecp und owa Ordner in C:\inetpub\EAC_Secondary.Create ecp and owa folders in C:\inetpub\EAC_Secondary.

    a. Klicken Sie im IIS-Manager, wählen Sie aus der EAC_Secondary -Website, und klicken Sie im Bereich Aktionen auf Durchsuchen.a. In IIS Manager, select the EAC_Secondary web site, and in the Actions pane, click Explore.

    Auswählen Sie der neuen Website für die Exchange-Verwaltungskonsole m IIS-Manager im Bereich „Websites“

    b in der Datei-Explorer-Fenster, das geöffnet wird, erstellen Sie die folgenden Ordner im C:\inetpub\EAC_Secondary:b. In the File Explorer window that opens, create the following folders in C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Wenn Sie fertig sind, schließen Sie den Datei-Explorer.When you're finished, close File Explorer.

  5. Weisen Sie die Berechtigungen Lesen und Ausführen der lokalen Sicherheitsgruppe namens IIS_IUSRS für die C:\inetpub\EAC_Secondary Ordner.Assign Read & Execute permissions to the local security group named IIS_IUSRS on the C:\inetpub\EAC_Secondary folder.

a. Klicken Sie im IIS-Manager, wählen Sie aus der EAC_Secondary -Website, und klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.a. In IIS Manger, select the EAC_Secondary web site, and in the Actions pane, click Edit Permissions.

b. Klicken Sie im Fenster EAC_Secondary Eigenschaften , das geöffnet wird, klicken Sie auf der Registerkarte Sicherheit , und klicken Sie dann auf Bearbeiten.b. In the EAC_Secondary Properties window that opens, click the Security tab, and then click Edit.

c. Klicken Sie im die sich öffnenden Fenster Berechtigungen für EAC_Secondary , klicken Sie auf Hinzufügen.c. In the Permissions for EAC_Secondary window that opens, click Add.

d. Klicken Sie in der Auswahl von Benutzern, Computern, Dienstkonten oder Gruppen Fenster, das geöffnet wird, führen Sie die folgenden Schritte aus:d. In the Select Users, Computers, Service Accounts or Groups window that opens, perform the following steps:

<span data-ttu-id="db292-p119">i. Klicken Sie auf **Standorte**, und wählen Sie im Dialogfeld **Speicherorte** aus dem lokalen Server, und klicken Sie dann auf **OK**.</span><span class="sxs-lookup"><span data-stu-id="db292-p119">i. Click **Locations**, and in the **Locations** dialog box that opens, select the local server, and then click **OK**.</span></span>

<span data-ttu-id="db292-p120">II. im Feld **Geben Sie die zu verwendenden Objektnamen ein** Geben Sie IIS_IUSRS, klicken Sie auf **Namen überprüfen**, und klicken Sie dann auf **OK**.</span><span class="sxs-lookup"><span data-stu-id="db292-p120">ii. In the **Enter the object names to select** field, type IIS_IUSRS, click **Check Names**, and then click **OK**.</span></span>

  ![Berechtigungen hinzufügen](../../media/b8787b85-5caa-4c23-b167-088bab11baa7.png)

e. wieder auf das Fenster Berechtigungen für EAC_Secondary wählen Sie IIS_IUSRS ausund wählen Sie in der Spalte Zulassen Lese- und Ausführungsberechtigungen (die den Ordnerinhalt auflisten und Leseberechtigungen wählt automatisch), und klicken Sie dann zweimal auf OK .e. Back on the Permissions for EAC_Secondary window, select IIS_IUSRS, and in the Allow column, select Read & Execute (which automatically selects the List Folder Contents and Read permissions), and then click OK twice.

Schritt 2c: Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Step 2c: Copy the contents of the default web sites to the new web site

  • Kopieren Sie alle Dateien und Ordner von der Standardwebsite (C:\inetpub\wwwroot) zu C:\inetpub\EAC_Secondary. Sie können die folgenden Dateien auslassen, die nicht kopiert werden kann:Copy all files and folders from the Default Web Site (C:\inetpub\wwwroot) to C:\inetpub\EAC_Secondary. You can skip the following files that can't be copied:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Kopieren Sie alle Dateien und Ordner von %ExchangeInstallPath%FrontEnd\HttpProxy\ecp auf C:\inetpub\EAC_Secondary\ecp.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\ecp to C:\inetpub\EAC_Secondary\ecp.

  • Kopieren Sie alle Dateien und Ordner von %ExchangeInstallPath%FrontEnd\HttpProxy\owa auf C:\inetpub\EAC_Secondary\owa.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\owa to C:\inetpub\EAC_Secondary\owa.

Schritt 2d: Verwenden Sie die Exchange-Verwaltungsshell, um neue Exchange-Verwaltungskonsole und Outlook für die virtuellen Webverzeichnisse für die neue Website erstellenStep 2d: Use the Exchange Management Shell to create new EAC and Outlook on the web virtual directories for the new web site

Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

Ersetzen Sie _ <Server> _ mit dem Namen des Servers, und führen Sie die folgenden Befehle, um die neue Exchange-Verwaltungskonsole und Outlook im Web virtuellen Verzeichnisse für die neue Website erstellen.Replace <Server> with the name of your server, and run the following commands to create the new EAC and Outlook on the web virtual directories for the new web site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Schritt 2e: Starten Sie IIS.Step 2e: Restart IIS

  1. Wählen Sie im IIS-Manager im Bereich Verbindungen den Server aus.In IIS Manager, in the Connections pane, select the server.

  2. Klicken Sie im Bereich Aktionen auf Neustart.In the Actions pane, click Restart.

Hinweis: Neustart von IIS über die Befehlszeile öffnen eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster geöffnet, die Sie geöffnet haben, indem Sie als Administrator ausführenauswählen), und führen Sie die folgenden Befehle aus:Note: To restart IIS from the command line, open an elevated command prompt (a Command Prompt window that you opened by selecting Run as administrator) and run the following commands:

net stop was /y
net start w3svc

Woher wissen Sie, dass diese Aufgabe erfolgreich war?How do you know this task worked?

Um sicherzustellen, dass Sie Zugriff auf die Exchange-Verwaltungskonsole auf einem Exchange-Server erfolgreich deaktiviert haben, führen Sie die folgenden Schritte aus:To verify that you have successfully disabled access to the EAC on an Exchange server, perform the following steps:

  1. Testen Sie Ihrer Organisation interne und externe URL für Outlook im Web. Wenn die externe URL ist beispielsweise https://mail.contoso.com/owa, und die interne URL lautet https://mbx01.contoso.com/owa gehen Sie folgendermaßen vor, um Ihre Konfiguration überprüfen:Test your organization's internal and external URL for Outlook on the web. For example, if the external URL is https://mail.contoso.com/owa, and the internal URL is https://mbx01.contoso.com/owa use the following procedures to verify your configuration:
  • Stellen Sie sicher, dass interne und externe Benutzer auf ihre Postfächer zugreifen können, mithilfe von Outlook im Web, einschließlich der Einstellungen > Seite " Optionen ".Verify that internal and external users can open their mailboxes by using Outlook on the web, including the Settings > Options page.

  • Überprüfen Sie, ob https://mail.contoso.com/ecp und https://mbx01.contoso.com/ecp entweder über die folgenden Ergebnisse zurück:Verify that https://mail.contoso.com/ecp and https://mbx01.contoso.com/ecp return either of the following results:

    • 404 – Website nicht gefunden404 - website not found

    • Der Benutzer, deren Einstellungen umgeleitet wird > Seite Optionen in Outlook im Web.The user is redirected to their Settings > Options page in Outlook on the web.

  1. Stellen Sie sicher, dass Administratoren auf das EAC im internen Netzwerk auf Grundlage Ihrer Konfigurationsauswahl zugreifen können:Verify that administrators can access the EAC on the internal network based on your configuration selection:
  • Zweite Exchange Server: Wenn der zweite Exchange Server MBX02 heißt, überprüfen Sie die https://mbx02.contoso.com/ecp wird der Exchange-Verwaltungskonsole geöffnet.Second Exchange server: If the second Exchange server is named MBX02, verify that https://mbx02.contoso.com/ecp opens the EAC.

  • Website für die neue Exchange-Verwaltungskonsole auf dem vorhandenen Exchange Server: Wenn die IP-Adresse der Website für die neue Exchange-Verwaltungskonsole 10.1.1.12 ist, überprüfen Sie die https://10.1.1.12/ecp wird der Exchange-Verwaltungskonsole geöffnet.New EAC web site on the existing Exchange server: If the IP address of the new EAC web site is 10.1.1.12, verify that https://10.1.1.12/ecp opens the EAC.