Deaktivieren des Zugriffs auf das EACTurn off access to the Exchange admin center

Das Exchange Admin Center (EAC) ist die primäre Verwaltungsschnittstelle für Exchange 2013 oder höher. Weitere Informationen finden Sie unter Exchange Admin Center in Exchange Server. Standardmäßig ist der Zugriff auf die Exchange-verwaltungsKONSOLE nicht eingeschränkt, und der Zugriff auf Outlook im Web (formell als Outlook Web App bezeichnet) auf einem auf einem mit dem Internet verbundenen Server, mit dem Sie über einen Austauschdienst verfügen, ermöglicht auch den Zugriff auf die EAC. Sie benötigen weiterhin gültige Anmeldeinformationen für die Anmeldung bei der Exchange-verwaltungsKONSOLE, aber Organisationen möchten möglicherweise den Zugriff auf die Exchange-verwaltungsKONSOLE für Clientverbindungen aus dem Internet einschränken.The Exchange admin center (EAC) is the primary management interface for Exchange 2013 or later. For more information, see Exchange admin center in Exchange Server. By default, access to the EAC isn't restricted, and access to Outlook on the web (formally known as Outlook Web App) on an on an Internet-facing Exchange server also gives access to the EAC. You still need valid credentials to sign in to the EAC, but organizations may want to restrict access to the EAC for client connections from the Internet.

In Exchange Server 2019 können Sie Clientzugriffs Regeln verwenden, um den Clientzugriff auf das EAC zu blockieren. Weitere Informationen finden Sie unter Client Zugriffsregeln in Exchange Server.In Exchange Server 2019, you can use Client Access Rules to block client access to the EAC. For more information, see Client Access Rules in Exchange Server.

Das virtuelle Verzeichnis EAC heißt ECP und wird von den * - ECPVirtualDirectory -Cmdlets verwaltet. Wenn Sie den Parameter AdminEnabled auf $false den Wert des virtuellen EAC-Verzeichnisses festlegen, deaktivieren Sie den Zugriff auf die Exchange-Verwaltungskonsole für interne und externe Clientverbindungen, ohne dass der Zugriff auf die Seite mit den Einstellungs > Optionen beeinträchtigt wird. in Outlook im Web.The EAC virtual directory is named ECP, and is managed by the *- ECPVirtualDirectory cmdlets. When you set the AdminEnabled parameter to the value $false on the EAC virtual directory, you disable access to the EAC for internal and external client connections, without affecting access to the Settings > Options page in Outlook on the web.

Optionsmenüspeicherort in Outlook im Web

Diese Konfiguration führt aber zu einem neuen Problem: Der Zugriff auf das EAC ist auch für Administratoren im internen Netzwerk auf dem Server vollständig deaktiviert. Um dieses Problem zu beheben, haben Sie zwei Optionen:But, this configuration introduces a new problem: access to the EAC is completely disabled on the server, even for administrators on the internal network. To fix this issue, you have two choices:

  • Konfigurieren Sie einen zweiten Exchange-Server, auf den nur über das interne Netzwerk zugegriffen werden kann, um interne EAC-Verbindungen zu verarbeiten.Configure a second Exchange server that's only accessible from the internal network to handle internal EAC connections.

  • Erstellen Sie auf dem vorhandenen Exchange-Server eine neue IIS-Website (Internet Informationsdienste) mit neuen virtuellen Verzeichnissen für die EAC und Outlook im Web, auf die nur über das interne Netzwerk zugegriffen werden kann.On the existing Exchange server, create a new Internet Information Services (IIS) web site with new virtual directories for the EAC and Outlook on the web that's only accessible from the internal network.

    Hinweis: Sie müssen die Exchange-Verwaltungskonsole und Outlook im Web in der neuen Website konfigurieren, da die Exchange-Verwaltungskonsole das Outlook im Web-Authentifizierungsmodul von derselben Website benötigt.Note: You need to configure the EAC and Outlook on the web in the new web site, because the EAC requires the Outlook on the web authentication module from the same web site.

Was sollten Sie wissen, bevor Sie beginnen?What do you need to know before you begin?

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Schritt 1: Verwenden der Exchange-Verwaltungsshell zum Deaktivieren des Zugriffs auf das EACStep 1: Use the Exchange Management Shell to disable access to the EAC

Beachten Sie, dass in diesem Schritt der Zugriff auf die Exchange-Verwaltungskonsole auf dem Server für interne und externe Verbindungen deaktiviert wird, aber Benutzern weiterhin der Zugriff auf Ihre eigenen Einstellungs > Optionen in Outlook im Web ermöglicht wird.Remember, this step disables access to the EAC on the server for internal and external connections, but still allows users to access their own Settings > Options page in Outlook on the web.

Verwenden Sie die folgende Syntax, um den Zugriff auf das EAC auf einem Exchange-Server zu deaktivieren:To disable access to the EAC on an Exchange server, use the following syntax:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

In diesem Beispiel wird der Zugriff auf das EAC auf dem Server mit dem Namen MBX01 deaktiviert.This example turns disables access to the EAC on the server named MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Woher wissen Sie, dass dieser Schritt erfolgreich war?How do you know this step worked?

Um zu überprüfen, ob Sie den Zugriff auf die Exchange-Verwaltungskonsole auf dem Server deaktiviert haben, ersetzen _ <> _ Sie den Server durch den Namen des Servers mit Ihrem Server, und führen Sie den folgenden Befehl aus, um den Wert der AdminEnabled -Eigenschaft zu überprüfen:To verify that you've disabled access to the EAC on the server, replace <Server> with the name of your Exchange server, and run the following command to verify the value of the AdminEnabled property:

Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

wenn sie https://<servername>/ecp oder aus dem internen netzwerk öffnen, wird die seite eigene einstellungs > optionen in Outlook im web anstelle der exchange-verwaltungskonsole geöffnet.When you open https://<servername>/ecp or from the internal network, your own Settings > Options page in Outlook on the web opens instead of the EAC.

Schritt 2: Gewähren von Zugriff auf das EAC im internen NetzwerkStep 2: Give access to the EAC on the internal network

Wählen Sie eine der folgenden Optionen aus:Choose either of the following options.

Option 1: Konfigurieren eines zweiten Exchange-Servers, auf den nur über das interne Netzwerk zugegriffen werden kannOption 1: Configure a second Exchange server that's only accessible from the internal network

Der Standardwert der AdminEnabled -Eigenschaft befindet True sich im virtuellen Verzeichnis der Exchange-Verwaltungskonsole. Um diesen Wert auf dem zweiten Server zu bestätigen, _ <ersetzen> Sie Server_ durch den Namen des Servers, und führen Sie den folgenden Befehl aus:The default value of the AdminEnabled property is True on the default EAC virtual directory. To confirm this value on the second server, replace <Server> with the name of the server, and run the following command:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Wenn der Wert lautet False, ersetzen _ <Sie> Server_ durch den Namen des Servers, und führen Sie den folgenden Befehl aus:If the value is False, replace <Server> with the name of the server, and run the following command:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Option 2: Erstellen Sie eine neue Website auf dem vorhandenen Exchange-Server, und konfigurieren Sie die EAC und Outlook im Web in der neuen Website für das interne Netzwerk.Option 2: Create a new web site on the existing Exchange server, and configure the EAC and Outlook on the web in the new web site for the internal network

Folgende Schritte sind erforderlich:The required steps are:

  1. Fügen Sie dem Exchange-Server eine zweite IP-Adresse hinzu.Add a second IP address to the Exchange server.

  2. Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Create a new web site in IIS that uses the second IP address, and assign file and folder permissions.

  3. Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Copy the contents of the default web sites to the new web site.

  4. Erstellen Sie neue Exchange-verwaltungsKONSOLE und Outlook im Web virtuelle Verzeichnisse für die neue Website.Create new EAC and Outlook on the web virtual directories for the new web site.

  5. Starten Sie IIS neu, damit die Änderungen wirksam werden.Restart IIS for the changes to take effect.

Wichtig

Wenn Sie ein kumulatives Update (CU) von Exchange Server installieren, werden die Dateien in der neuen Website und in den virtuellen Verzeichnissen nicht aktualisiert. Nachdem Sie die CU angewendet haben, müssen Sie die neue Website, die virtuellen Verzeichnisse und die Inhalte in den Ordnern vollständig entfernen und dann die neue Website, virtuelle Verzeichnisse und Inhalte in den Ordnern neu erstellen.When you install an Exchange Server Cumulative Update (CU), the CU won't update files in the new web site and virtual directories. After you apply the CU, you need to completely remove the new web site, virtual directories, and content in the folders and then re-create the new web site, virtual directories, and content in the folders.

Schritt 2a: Hinzufügen einer zweiten IP-Adresse zum Exchange-ServerStep 2a: Add a second IP address to the Exchange server

Sie können einen zweiten Netzwerkadapter hinzufügen und ihm die IP-Adresse zuweisen, oder Sie können eine zweite IP-Adresse dem vorhandenen Netzwerkadapter zuweisen.You can add a second network adapter and assign the IP address to the second network adapter, or you can assign a second IP address to the existing network adapter.

Die Schritte zum Zuweisen einer zweiten IP-Adresse an den vorhandenen Netzwerkadapter werden nachfolgend beschrieben.The steps to assign a second IP address to the existing network adapter are described below.

  1. Öffnen Sie die Eigenschaften der Netzwerkkarte. Beispiel:Open the properties of the network adapter. For example:

    a. führen ncpa.cplSie in einem Eingabeaufforderungsfenster, in der Exchange-Verwaltungsshell oder im Dialogfeld Ausführen den Befehl aus.a. From a Command Prompt window, the Exchange Management Shell, or the Run dialog, run ncpa.cpl.

    b. Klicken Sie mit der rechten Maustaste auf den Netzwerkadapter, und wählen Sie dann Eigenschaftenaus.b. Right-click on the network adapter, and then choose Properties.

    Eigenschaften der Netzwerkkarte in Windows

  2. Wählen Sie in den Eigenschaften des Netzwerkadapter, Internet Protocol Version 4 (TCP/IPv4) aus, und klicken Sie dann auf Eigenschaften.In the properties of the network adapter, select Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  3. Klicken Sie im Fenster Eigenschaften Internet Protocol Version 4 (TCP/IPv4) auf der Registerkarte Allgemein auf Erweitert.In the Internet Protocol Version 4 (TCP/IPv4) Properties window that opens, on the General tab, click Advanced.

  4. Klicken Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte IP-Einstellungen im Abschnitt IP-Adressen auf Hinzufügen, und geben Sie die IP-Adresse ein.In the Advanced TCP/IP Settings window that opens, on the IP Settings tab, in the IP addresses section, click Add and enter the IP address.

    Fenster „Erweiterte TCP/IP-Einstellungen“ der Netzwerkkarteneigenschaften

    Hinweis: Wenn Sie einen zweiten Netzwerkadapter hinzufügen, deaktivieren Sie im Fenster Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.Note: If you add a second network adapter, in the Advanced TCP/IP Settings window, on the DNS tab, un-check Register this connection's address in DNS.

    DNS-Registerkarte im Fenster „Erweiterte TCP/IP-Einstellungen“

Schritt 2 b: Erstellen Sie eine neue Website in IIS, die die zweite IP-Adresse verwendet, und weisen Sie Datei- und Ordnerberechtigungen zu.Step 2b: Create a new web site in IIS that uses the second IP address, and assign file and folder permissions

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.Open IIS Manager on the Exchange server. An easy way to do this in Windows Server 2012 or later is to press Windows key + Q, type inetmgr, and select Internet Information Services (IIS) Manager in the results.

  2. Erweitern Sie im Bereich Verbindungen den Server, wählen Sie Websites aus, und klicken Sie im Bereich Aktionen auf Website hinzufügen.In the Connections pane, expand the server, select Sites, and in the Actions pane, click Add Website.

    Erweitern des Servers und Auswählen der Websites im IIS-Manager

  3. Konfigurieren Sie im angezeigten Fenster Website hinzufügen die folgenden Einstellungen:In the Add Website window that appears, configure the following settings:

    • Websitename:EAC_SecondarySite name: EAC_Secondary

    • Physikalischer Pfad:C:\inetpub\EAC_SecondaryPhysical path: C:\inetpub\EAC_Secondary

    • BindungBinding

      • Typ: httpsType: https

      • IP-Adresse: Wählen Sie die zweite IP-Adresse aus, die Sie im vorherigen Schritt hinzugefügt haben.IP address: Select the second IP address that you added in the previous step.

      • Portierung: 443Port: 443

    • SSL-Zertifikat: Wählen Sie das Zertifikat aus, das Sie verwenden möchten (beispielsweise das standardmäßige Exchange-Zertifikat mit dem Namen Microsoft Exchange).SSL certificate: Choose the certificate that you want to use (for example, the default Exchange certificate named Microsoft Exchange).

    Klicken Sie nach Abschluss des Vorgangs auf OK.When you're finished, click OK.

    Websiteeigenschaften für die sekundäre EAC-Website

  4. Erstellen ecp Sie owa und Ordner C:\inetpub\EAC_Secondaryin.Create ecp and owa folders in C:\inetpub\EAC_Secondary.

    a. Wählen Sie im IIS-Manager EAC_Secondary die Website aus, und klicken Sie im Bereich Aktionen auf Durchsuchen.a. In IIS Manager, select the EAC_Secondary web site, and in the Actions pane, click Explore.

    Auswählen Sie der neuen Website für die Exchange-Verwaltungskonsole m IIS-Manager im Bereich „Websites“

    b. Erstellen Sie im Datei-Explorer-Fenster, das geöffnet wird, C:\inetpub\EAC_Secondarydie folgenden Ordner in:b. In the File Explorer window that opens, create the following folders in C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Wenn Sie fertig sind, schließen Sie den Datei-Explorer.When you're finished, close File Explorer.

  5. Weisen Sie der lokalen Sicherheitsgruppe " IIS_IUSRS " die Berechtigung "Lese- C:\inetpub\EAC_Secondary & ausführen " für den Ordner zu.Assign Read & Execute permissions to the local security group named IIS_IUSRS on the C:\inetpub\EAC_Secondary folder.

a. Wählen Sie in IIS-Manager die EAC_Secondary Website aus, und klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.a. In IIS Manger, select the EAC_Secondary web site, and in the Actions pane, click Edit Permissions.

b. Klicken Sie im EAC_Secondary-Eigenschaften Fenster, das geöffnet wird, auf die Registerkarte Sicherheit , und klicken Sie dann auf Bearbeiten.b. In the EAC_Secondary Properties window that opens, click the Security tab, and then click Edit.

c. Klicken Sie im daraufhin geöffneten Fenster Berechtigungen für EAC_Secondary auf Hinzufügen.c. In the Permissions for EAC_Secondary window that opens, click Add.

d. führen Sie im daraufhin geöffneten Fenster Benutzer, Computer, Dienstkonten oder Gruppen auswählen die folgenden Schritte aus:d. In the Select Users, Computers, Service Accounts or Groups window that opens, perform the following steps:

<span data-ttu-id="51132-p119">i. Klicken Sie auf **Standorte**, und wählen Sie im daraufhin geöffneten Dialogfeld **Speicherorte** den lokalen Server aus, und klicken Sie dann auf **OK**.</span><span class="sxs-lookup"><span data-stu-id="51132-p119">i. Click **Locations**, and in the **Locations** dialog box that opens, select the local server, and then click **OK**.</span></span>

<span data-ttu-id="51132-p120">II. Geben Sie im Feld **Geben Sie die zu wählenden Objektnamen ein** IIS_IUSRS ein, klicken Sie auf **Namen überprüfen**, und klicken Sie dann auf **OK**.</span><span class="sxs-lookup"><span data-stu-id="51132-p120">ii. In the **Enter the object names to select** field, type IIS_IUSRS, click **Check Names**, and then click **OK**.</span></span>

  ![Berechtigungen hinzufügen](../../media/b8787b85-5caa-4c23-b167-088bab11baa7.png)

e. Klicken Sie im Fenster Berechtigungen für EAC_Secondary auf IIS_IUSRS, und wählen Sie in der Spalte zulassen die Option Lese-AMP ausführen (die automatisch die Listen Ordnerinhalte und Lese Berechtigungen auswählt) aus. , und klicken Sie dann zweimal auf OK .e. Back on the Permissions for EAC_Secondary window, select IIS_IUSRS, and in the Allow column, select Read & Execute (which automatically selects the List Folder Contents and Read permissions), and then click OK twice.

Schritt 2c: Kopieren Sie den Inhalt der Standardwebsites auf die neue Website.Step 2c: Copy the contents of the default web sites to the new web site

  • Kopieren Sie alle Dateien und Ordner von der Standardwebsite (C:\inetpub\wwwroot) in C:\inetpub\EAC_Secondary. Sie können die folgenden Dateien überspringen, die nicht kopiert werden dürfen:Copy all files and folders from the Default Web Site (C:\inetpub\wwwroot) to C:\inetpub\EAC_Secondary. You can skip the following files that can't be copied:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Kopieren Sie alle Dateien und Ordner %ExchangeInstallPath%FrontEnd\HttpProxy\ecp von C:\inetpub\EAC_Secondary\ecpin.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\ecp to C:\inetpub\EAC_Secondary\ecp.

  • Kopieren Sie alle Dateien und Ordner %ExchangeInstallPath%FrontEnd\HttpProxy\owa von C:\inetpub\EAC_Secondary\owain.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\owa to C:\inetpub\EAC_Secondary\owa.

Schritt 2D: Verwenden der Exchange-Verwaltungsshell zum Erstellen neuer EAC-und Outlook im Web-Verzeichnisse für die neue WebsiteStep 2d: Use the Exchange Management Shell to create new EAC and Outlook on the web virtual directories for the new web site

Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

Ersetzen _ <Sie> Server_ durch den Namen Ihres Servers, und führen Sie die folgenden Befehle aus, um die neue Exchange-Verwaltungskonsole und die virtuellen Outlook im Web-Verzeichnisse für die neue Website zu erstellen.Replace <Server> with the name of your server, and run the following commands to create the new EAC and Outlook on the web virtual directories for the new web site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Schritt 2e: Starten Sie IIS.Step 2e: Restart IIS

  1. Wählen Sie im IIS-Manager im Bereich Verbindungen den Server aus.In IIS Manager, in the Connections pane, select the server.

  2. Klicken Sie im Bereich Aktionen auf Neustart.In the Actions pane, click Restart.

Hinweis: Wenn Sie IIS über die Befehlszeile neu starten möchten, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (ein Eingabeaufforderungsfenster, das Sie durch Auswählen von als Administrator ausführengeöffnet haben), und führen Sie die folgenden Befehle aus:Note: To restart IIS from the command line, open an elevated command prompt (a Command Prompt window that you opened by selecting Run as administrator) and run the following commands:

net stop was /y
net start w3svc

Woher wissen Sie, dass diese Aufgabe erfolgreich war?How do you know this task worked?

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Zugriff auf die Exchange-verwaltungsKONSOLE erfolgreich deaktiviert wurde:To verify that you have successfully disabled access to the EAC on an Exchange server, perform the following steps:

  1. Testen Sie die interne und externe URL Ihrer Organisation für Outlook im Web. Wenn beispielsweise die externe URL lautet https://mail.contoso.com/owaund die interne URL die folgenden Verfahren https://mbx01.contoso.com/owa zum Überprüfen der Konfiguration verwendet:Test your organization's internal and external URL for Outlook on the web. For example, if the external URL is https://mail.contoso.com/owa, and the internal URL is https://mbx01.contoso.com/owa use the following procedures to verify your configuration:
  • Stellen Sie sicher, dass interne und externe Benutzer ihre Postfächer mithilfe von Outlook im Web öffnen können, einschließlich der Seite mit den Einstellungs > Optionen .Verify that internal and external users can open their mailboxes by using Outlook on the web, including the Settings > Options page.

  • Stellen Sie https://mail.contoso.com/ecp sicher https://mbx01.contoso.com/ecp , dass eine der folgenden Ergebnisse zurückgegeben wird:Verify that https://mail.contoso.com/ecp and https://mbx01.contoso.com/ecp return either of the following results:

    • 404 – Website nicht gefunden404 - website not found

    • Der Benutzer wird zur Seite mit den Einstellungs > Optionen in Outlook im Web umgeleitet.The user is redirected to their Settings > Options page in Outlook on the web.

  1. Stellen Sie sicher, dass Administratoren auf das EAC im internen Netzwerk auf Grundlage Ihrer Konfigurationsauswahl zugreifen können:Verify that administrators can access the EAC on the internal network based on your configuration selection:
  • Zweiter Exchange-Server: Wenn der zweite Exchange-Server den Namen "MBX02 https://mbx02.contoso.com/ecp " hat, überprüfen Sie, ob das EAC geöffnet wird.Second Exchange server: If the second Exchange server is named MBX02, verify that https://mbx02.contoso.com/ecp opens the EAC.

  • Neue EAC-Website auf dem vorhandenen Exchange-Server: Wenn die IP-Adresse der neuen EAC-Website 10.1.1.12 lautet, über https://10.1.1.12/ecp prüfen Sie, ob die EAC geöffnet wird.New EAC web site on the existing Exchange server: If the IP address of the new EAC web site is 10.1.1.12, verify that https://10.1.1.12/ecp opens the EAC.