Deaktivieren des Zugriffs auf das EACTurn off access to the Exchange admin center

Das Exchange Admin Center (EAC) ist die primäre Verwaltungsschnittstelle für Exchange 2013 oder höher.The Exchange admin center (EAC) is the primary management interface for Exchange 2013 or later. Weitere Informationen finden Sie unter Exchange Admin Center in Exchange Server.For more information, see Exchange admin center in Exchange Server. Standardmäßig ist der Zugriff auf die Exchange-Verwaltungskonsole nicht eingeschränkt, und der Zugriff auf Outlook im Web (offiziell als Outlook Web App bezeichnet) auf einem Exchange-Server mit Internet Zugang bietet auch Zugriff auf die Exchange-Verwaltungskonsole.By default, access to the EAC isn't restricted, and access to Outlook on the web (formally known as Outlook Web App) on an on an Internet-facing Exchange server also gives access to the EAC. Sie benötigen weiterhin gültige Anmeldeinformationen zum Anmelden am EAC, aber Organisationen möchten möglicherweise den Zugriff auf das EAC für Clientverbindungen aus dem Internet beschränken.You still need valid credentials to sign in to the EAC, but organizations may want to restrict access to the EAC for client connections from the Internet.

In Exchange Server 2019 können Sie Clientzugriffs Regeln verwenden, um den Clientzugriff auf die Exchange-Verwaltungskonsole zu blockieren.In Exchange Server 2019, you can use Client Access Rules to block client access to the EAC. Weitere Informationen finden Sie unter Client Zugriffsregeln in Exchange Server.For more information, see Client Access Rules in Exchange Server.

Das virtuelle Verzeichnis der Exchange-Verwaltungskonsole hat den Namen ECP und * - wird von den ECPVirtualDirectory -Cmdlets verwaltet.The EAC virtual directory is named ECP, and is managed by the *- ECPVirtualDirectory cmdlets. Wenn Sie den AdminEnabled -Parameter auf den Wert $false für das virtuelle Verzeichnis der Exchange-Verwaltungskonsole festlegen, deaktivieren Sie den Zugriff auf die Exchange-Verwaltungskonsole für interne und externe Clientverbindungen, ohne den Zugriff auf die Seite mit den Einstellungs > Optionen zu beeinträchtigen. in Outlook im Internet.When you set the AdminEnabled parameter to the value $false on the EAC virtual directory, you disable access to the EAC for internal and external client connections, without affecting access to the Settings > Options page in Outlook on the web.

Optionsmenüspeicherort in Outlook im Web

Diese Konfiguration führt aber zu einem neuen Problem: Der Zugriff auf das EAC ist auch für Administratoren im internen Netzwerk auf dem Server vollständig deaktiviert. Um dieses Problem zu beheben, haben Sie zwei Optionen:But, this configuration introduces a new problem: access to the EAC is completely disabled on the server, even for administrators on the internal network. To fix this issue, you have two choices:

  • Konfigurieren Sie einen zweiten Exchange-Server, auf den nur über das interne Netzwerk zugegriffen werden kann, um interne EAC-Verbindungen zu verarbeiten.Configure a second Exchange server that's only accessible from the internal network to handle internal EAC connections.

  • Erstellen Sie auf dem vorhandenen Exchange-Server eine neue IIS-Website (Internet Information Services, Internet Informationsdienste) mit neuen virtuellen Verzeichnissen für die Exchange-Verwaltungskonsole und Outlook im Web, auf die nur über das interne Netzwerk zugegriffen werden kann.On the existing Exchange server, create a new Internet Information Services (IIS) web site with new virtual directories for the EAC and Outlook on the web that's only accessible from the internal network.

    Hinweis: Sie müssen die Exchange-Verwaltungskonsole und Outlook im Web in der neuen Website konfigurieren, da für die Exchange-Verwaltungskonsole das Outlook im Web-Authentifizierungsmodul von der gleichen Website benötigt wird.Note: You need to configure the EAC and Outlook on the web in the new web site, because the EAC requires the Outlook on the web authentication module from the same web site.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Schritt 1: Deaktivieren des Zugriffs auf die Exchange-Verwaltungskonsole mithilfe der Exchange-VerwaltungsshellStep 1: Use the Exchange Management Shell to disable access to the EAC

Denken Sie daran, dass in diesem Schritt der Zugriff auf die Exchange-Verwaltungskonsole auf dem Server für interne und externe Verbindungen deaktiviert wird, Benutzern jedoch weiterhin der Zugriff auf Ihre eigene Seite mit den Einstellungs > Optionen in Outlook im Internet ermöglicht wird.Remember, this step disables access to the EAC on the server for internal and external connections, but still allows users to access their own Settings > Options page in Outlook on the web.

Verwenden Sie die folgende Syntax, um den Zugriff auf die Exchange-Verwaltungskonsole auf einem Exchange-Server zu deaktivieren:To disable access to the EAC on an Exchange server, use the following syntax:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

In diesem Beispiel wird der Zugriff auf das EAC auf dem Server mit dem Namen MBX01 deaktiviert.This example turns disables access to the EAC on the server named MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Woher wissen Sie, dass dieser Schritt erfolgreich war?How do you know this step worked?

Um zu überprüfen, ob Sie den Zugriff auf die Exchange-Verwaltungskonsole auf dem Server deaktiviert haben, ersetzen _ <Sie Server> _ durch den Namen Ihres Exchange-Servers, und führen Sie den folgenden Befehl aus, um den Wert der AdminEnabled -Eigenschaft zu überprüfen:To verify that you've disabled access to the EAC on the server, replace <Server> with the name of your Exchange server, and run the following command to verify the value of the AdminEnabled property:

Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Wenn Sie https://<Servername>/ECP oder das interne Netzwerk öffnen, wird anstelle der Exchange-Verwaltungskonsole ihre eigene Seite mit den Einstellungs > Optionen in Outlook im Internet geöffnet.When you open https://<servername>/ecp or from the internal network, your own Settings > Options page in Outlook on the web opens instead of the EAC.

Schritt 2: Gewähren von Zugriff auf das EAC im internen NetzwerkStep 2: Give access to the EAC on the internal network

Wählen Sie eine der folgenden Optionen aus:Choose either of the following options.

Option 1: Konfigurieren eines zweiten Exchange-Servers, auf den nur über das interne Netzwerk zugegriffen werden kannOption 1: Configure a second Exchange server that's only accessible from the internal network

Der Standardwert der AdminEnabled -Eigenschaft befindet True sich im virtuellen Verzeichnis der Exchange-Verwaltungskonsole.The default value of the AdminEnabled property is True on the default EAC virtual directory. Um diesen Wert auf dem zweiten Server zu bestätigen, _ <ersetzen> Sie Server_ durch den Namen des Servers, und führen Sie den folgenden Befehl aus:To confirm this value on the second server, replace <Server> with the name of the server, and run the following command:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Wenn der Wert lautet False, ersetzen _ <Sie> Server_ durch den Namen des Servers, und führen Sie den folgenden Befehl aus:If the value is False, replace <Server> with the name of the server, and run the following command:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Option 2: Erstellen Sie eine neue Website auf dem vorhandenen Exchange-Server, und konfigurieren Sie die Exchange-Verwaltungskonsole und Outlook im Web auf der neuen Website für das interne Netzwerk.Option 2: Create a new web site on the existing Exchange server, and configure the EAC and Outlook on the web in the new web site for the internal network

Folgende Schritte sind erforderlich:The required steps are:

  1. Fügen Sie dem Exchange-Server eine zweite IP-Adresse hinzu.Add a second IP address to the Exchange server.

  2. Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Create a new web site in IIS that uses the second IP address, and assign file and folder permissions.

  3. Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Copy the contents of the default web sites to the new web site.

  4. Erstellen Sie neue Exchange-Verwaltungskonsole und virtuelle Outlook im Web-Verzeichnisse für die neue Website.Create new EAC and Outlook on the web virtual directories for the new web site.

  5. Starten Sie IIS neu, damit die Änderungen wirksam werden.Restart IIS for the changes to take effect.

Wichtig

Wenn Sie ein Exchange Server Kumulatives Update (Cu) installieren, aktualisiert das Cu keine Dateien in der neuen Website und in virtuellen Verzeichnissen.When you install an Exchange Server Cumulative Update (CU), the CU won't update files in the new web site and virtual directories. Nachdem Sie das kumulative Update angewendet haben, müssen Sie die neue Website, die virtuellen Verzeichnisse und Inhalte in den Ordnern vollständig entfernen und dann die neue Website, die virtuellen Verzeichnisse und Inhalte in den Ordnern neu erstellen.After you apply the CU, you need to completely remove the new web site, virtual directories, and content in the folders and then re-create the new web site, virtual directories, and content in the folders.

Schritt 2a: Hinzufügen einer zweiten IP-Adresse zum Exchange-ServerStep 2a: Add a second IP address to the Exchange server

Sie können einen zweiten Netzwerkadapter hinzufügen und ihm die IP-Adresse zuweisen, oder Sie können eine zweite IP-Adresse dem vorhandenen Netzwerkadapter zuweisen.You can add a second network adapter and assign the IP address to the second network adapter, or you can assign a second IP address to the existing network adapter.

Die Schritte zum Zuweisen einer zweiten IP-Adresse an den vorhandenen Netzwerkadapter werden nachfolgend beschrieben.The steps to assign a second IP address to the existing network adapter are described below.

  1. Öffnen Sie die Eigenschaften der Netzwerkkarte. Beispiel:Open the properties of the network adapter. For example:

    a.a. Führen ncpa.cplSie in einem Eingabeaufforderungsfenster den Exchange-Verwaltungsshell oder das Dialogfeld Ausführen aus.From a Command Prompt window, the Exchange Management Shell, or the Run dialog, run ncpa.cpl.

    b.b. Klicken Sie mit der rechten Maustaste auf den Netzwerkadapter, und wählen Sie dann Eigenschaften aus.Right-click on the network adapter, and then choose Properties.

    Eigenschaften des Netzwerkadapters in Windows

  2. Wählen Sie in den Eigenschaften des Netzwerkadapter, Internet Protocol Version 4 (TCP/IPv4) aus, und klicken Sie dann auf Eigenschaften.In the properties of the network adapter, select Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  3. Klicken Sie im Fenster Eigenschaften Internet Protocol Version 4 (TCP/IPv4) auf der Registerkarte Allgemein auf Erweitert.In the Internet Protocol Version 4 (TCP/IPv4) Properties window that opens, on the General tab, click Advanced.

  4. Klicken Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte IP-Einstellungen im Abschnitt IP-Adressen auf Hinzufügen, und geben Sie die IP-Adresse ein.In the Advanced TCP/IP Settings window that opens, on the IP Settings tab, in the IP addresses section, click Add and enter the IP address.

    Fenster "Erweiterte TCP/IP-Einstellungen" der Netzwerkadapter Eigenschaften

    Hinweis: Wenn Sie einen zweiten Netzwerkadapter hinzufügen, deaktivieren Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.Note: If you add a second network adapter, in the Advanced TCP/IP Settings window, on the DNS tab, un-check Register this connection's address in DNS.

    Registerkarte "DNS" im Fenster "Erweiterte TCP/IP-Einstellungen"

Schritt 2 b: Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Step 2b: Create a new web site in IIS that uses the second IP address, and assign file and folder permissions

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.Open IIS Manager on the Exchange server. An easy way to do this in Windows Server 2012 or later is to press Windows key + Q, type inetmgr, and select Internet Information Services (IIS) Manager in the results.

  2. Erweitern Sie im Bereich Verbindungen den Server, wählen Sie Websites aus, und klicken Sie im Bereich Aktionen auf Website hinzufügen.In the Connections pane, expand the server, select Sites, and in the Actions pane, click Add Website.

    Erweitern Sie im IIS-Manager den Server, und wählen Sie Websites aus.

  3. Konfigurieren Sie im angezeigten Fenster Website hinzufügen die folgenden Einstellungen:In the Add Website window that appears, configure the following settings:

    • Websitename:EAC_SecondarySite name: EAC_Secondary

    • Physischer Pfad:C:\inetpub\EAC_SecondaryPhysical path: C:\inetpub\EAC_Secondary

    • BindingBinding

      • Typ: httpsType: https

      • IP-Adresse: Wählen Sie die zweite IP-Adresse aus, die Sie im vorherigen Schritt hinzugefügt haben.IP address: Select the second IP address that you added in the previous step.

      • Port: 443Port: 443

    • SSL-Zertifikat: Wählen Sie das Zertifikat aus, das Sie verwenden möchten (beispielsweise das Exchange-Standardzertifikat mit dem Namen Microsoft Exchange).SSL certificate: Choose the certificate that you want to use (for example, the default Exchange certificate named Microsoft Exchange).

    Klicken Sie nach Abschluss des Vorgangs auf OK.When you're finished, click OK.

    Websiteeigenschaften für die sekundäre EAC-Website

  4. Erstellen ecp und owa Ordner in C:\inetpub\EAC_Secondary.Create ecp and owa folders in C:\inetpub\EAC_Secondary.

    a.a. Wählen Sie im IIS-Manager EAC_Secondary die Website aus, und klicken Sie im Bereich Aktionen auf Durchsuchen.In IIS Manager, select the EAC_Secondary web site, and in the Actions pane, click Explore.

    Wählen Sie im IIS-Manager die neue EAC-Website im Bereich Websites aus.

    b.b. Erstellen Sie im daraufhin geöffneten Fenster des Datei-Explorers folgende Ordner C:\inetpub\EAC_Secondary:In the File Explorer window that opens, create the following folders in C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Wenn Sie fertig sind, schließen Sie den Datei-Explorer.When you're finished, close File Explorer.

  5. Zuweisen von Lese #a0 ausführen von Berechtigungen für die lokale Sicherheitsgruppe mit dem C:\inetpub\EAC_Secondary Namen IIS_IUSRS im Ordner.Assign Read & Execute permissions to the local security group named IIS_IUSRS on the C:\inetpub\EAC_Secondary folder.

    a.a. Wählen Sie in IIS-Manager die EAC_Secondary Website aus, und klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.In IIS Manger, select the EAC_Secondary web site, and in the Actions pane, click Edit Permissions.

    b.b. Klicken Sie im Fenster Eigenschaften für EAC_Secondary auf die Registerkarte Sicherheit Registerkarte und dann auf Bearbeiten.In the EAC_Secondary Properties window that opens, click the Security tab, and then click Edit.

    c.c. Klicken Sie im Fenster Berechtigungen für EAC_Secondary auf Hinzufügen.In the Permissions for EAC_Secondary window that opens, click Add.

    d.d. Führen Sie im Fenster Benutzer, Computer, Dienstkonten oder Gruppen auswählen folgende Schritte aus:In the Select Users, Computers, Service Accounts or Groups window that opens, perform the following steps:

    Ich.i. Klicken Sie auf Speicherorte, und wählen Sie im Dialogfeld Speicherorte, das geöffnet wird, den lokalen Server aus. Klicken Sie dann auf OK.Click Locations, and in the Locations dialog box that opens, select the local server, and then click OK.

    II.ii. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Text IIS_IUSRS ein, klicken Sie auf Namen überprüfen, und klicken Sie dann auf OK.In the Enter the object names to select field, type IIS_IUSRS, click Check Names, and then click OK.

    Berechtigungen hinzufügen

    e.e. Wählen Sie wieder im Fenster Berechtigungen für EAC_Secondary die Option IIS_IUSRS und dann in der Spalte Zulassen die Option Lesen und ausführen aus (wählt automatisch die Berechtigungen Ordnerinhalte auflisten und Lesen aus), und klicken Sie dann zweimal auf OK.Back on the Permissions for EAC_Secondary window, select IIS_IUSRS, and in the Allow column, select Read & Execute (which automatically selects the List Folder Contents and Read permissions), and then click OK twice.

Schritt 2c: Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Step 2c: Copy the contents of the default web sites to the new web site

  • Kopieren Sie alle Dateien und Ordner von der Standardwebsite (C:\inetpub\wwwroot) in C:\inetpub\EAC_Secondary.Copy all files and folders from the Default Web Site (C:\inetpub\wwwroot) to C:\inetpub\EAC_Secondary. Sie können die folgenden Dateien überspringen, die nicht kopiert werden können:You can skip the following files that can't be copied:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Kopieren Sie alle Dateien und Ordner %ExchangeInstallPath%FrontEnd\HttpProxy\ecp von C:\inetpub\EAC_Secondary\ecpin.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\ecp to C:\inetpub\EAC_Secondary\ecp.

  • Kopieren Sie alle Dateien und Ordner %ExchangeInstallPath%FrontEnd\HttpProxy\owa von C:\inetpub\EAC_Secondary\owain.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\owa to C:\inetpub\EAC_Secondary\owa.

Schritt 2D: Verwenden Sie die Exchange-Verwaltungsshell, um neue Exchange-Verwaltungskonsole und Outlook im Web virtuelle Verzeichnisse für die neue Website zu erstellen.Step 2d: Use the Exchange Management Shell to create new EAC and Outlook on the web virtual directories for the new web site

Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

Ersetzen _ <Sie> Server_ durch den Namen Ihres Servers, und führen Sie die folgenden Befehle aus, um die neuen Exchange-Verwaltungskonsole und die virtuellen Verzeichnisse für Outlook im Web für die neue Website zu erstellen.Replace <Server> with the name of your server, and run the following commands to create the new EAC and Outlook on the web virtual directories for the new web site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Schritt 2e: Starten Sie IIS.Step 2e: Restart IIS

  1. Wählen Sie im IIS-Manager im Bereich Verbindungen den Server aus.In IIS Manager, in the Connections pane, select the server.

  2. Klicken Sie im Bereich Aktionen auf Neustart.In the Actions pane, click Restart.

Hinweis: um IIS über die Befehlszeile neu zu starten, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie durch Auswählen von als Administrator ausführengeöffnet haben), und führen Sie die folgenden Befehle aus:Note: To restart IIS from the command line, open an elevated command prompt (a Command Prompt window that you opened by selecting Run as administrator) and run the following commands:

net stop was /y
net start w3svc

Woher wissen Sie, dass diese Aufgabe erfolgreich war?How do you know this task worked?

Führen Sie die folgenden Schritte aus, um die erfolgreiche Deaktivierung des Zugriffs auf die Exchange-Verwaltungskonsole auf einem Exchange-Server zu überprüfen:To verify that you have successfully disabled access to the EAC on an Exchange server, perform the following steps:

  1. Testen Sie die interne und externe URL Ihrer Organisation für Outlook im Internet.Test your organization's internal and external URL for Outlook on the web. Wenn es sich beispielsweise um die externe https://mail.contoso.com/owaURL handelt und die interne URL https://mbx01.contoso.com/owa mit den folgenden Verfahren zum Überprüfen der Konfiguration verwendet wird:For example, if the external URL is https://mail.contoso.com/owa, and the internal URL is https://mbx01.contoso.com/owa use the following procedures to verify your configuration:

    • Stellen Sie sicher, dass interne und externe Benutzer ihre Postfächer mithilfe von Outlook im Internet öffnen können, einschließlich der Seite mit den Einstellungs > Optionen .Verify that internal and external users can open their mailboxes by using Outlook on the web, including the Settings > Options page.

    • Stellen Sie https://mail.contoso.com/ecp sicher https://mbx01.contoso.com/ecp , dass und eine der folgenden Ergebnisse zurückgegeben wird:Verify that https://mail.contoso.com/ecp and https://mbx01.contoso.com/ecp return either of the following results:

      • 404 – Website nicht gefunden404 - website not found

      • Der Benutzer wird in Outlook im Internet zur Seite mit den Einstellungs > Optionen umgeleitet.The user is redirected to their Settings > Options page in Outlook on the web.

  2. Stellen Sie sicher, dass Administratoren auf das EAC im internen Netzwerk auf Grundlage Ihrer Konfigurationsauswahl zugreifen können:Verify that administrators can access the EAC on the internal network based on your configuration selection:

    • Zweiter Exchange-Server: Wenn der zweite Exchange-Server den Namen MBX02 hat https://mbx02.contoso.com/ecp , stellen Sie sicher, dass das EAC geöffnet wird.Second Exchange server: If the second Exchange server is named MBX02, verify that https://mbx02.contoso.com/ecp opens the EAC.

    • Neue EAC-Website auf dem vorhandenen Exchange-Server: Wenn die IP-Adresse der neuen EAC-Website 10.1.1.12 lautet, stellen https://10.1.1.12/ecp Sie sicher, dass die Exchange-Verwaltungskonsole geöffnet wird.New EAC web site on the existing Exchange server: If the IP address of the new EAC web site is 10.1.1.12, verify that https://10.1.1.12/ecp opens the EAC.