Exchange Server: Disattivare l'accesso all'interfaccia di amministrazione di Exchange

  • Articolo

L'interfaccia di amministrazione di Exchange (EAC) è l'interfaccia di gestione primaria per Exchange 2013 o versione successiva. Per altre informazioni, vedere Interfaccia di amministrazione di Exchange in Exchange Server. Per impostazione predefinita, l'accesso all'interfaccia di amministrazione di Exchange non è limitato e l'accesso a Outlook sul web (formalmente noto come Outlook Web App) in un server Exchange con connessione Internet consente anche l'accesso all'interfaccia di amministrazione di Exchange. Sono comunque necessarie credenziali valide per accedere all'interfaccia di amministrazione di Exchange, ma le organizzazioni potrebbero voler limitare l'accesso all'interfaccia di amministrazione di Exchange per le connessioni client da Internet.

In Exchange Server 2019 è possibile usare le regole di accesso client per bloccare l'accesso client all'interfaccia di amministrazione di Exchange. Per altre informazioni, vedere Regole di accesso client in Exchange Server.

La directory virtuale EAC è denominata ECP ed è gestita dai cmdlet *- ECPVirtualDirectory . Quando si imposta il parametro AdminEnabled sul valore $false nella directory virtuale di EAC, si disabilita l'accesso all'interfaccia di amministrazione di Exchange per le connessioni client interne ed esterne, senza influire sull'accesso alla pagina Opzioni impostazioni> in Outlook sul web.

Posizione del menu Opzioni in Outlook sul web.

Tuttavia, questa configurazione introduce un nuovo problema: l'accesso all'interfaccia di amministrazione di Exchange è completamente disabilitato nel server, anche per gli amministratori della rete interna. Per risolvere questo problema, sono disponibili due opzioni:

  • Configurare un secondo server Exchange accessibile solo dalla rete interna per gestire le connessioni EAC interne.

  • Nel server Exchange esistente creare un nuovo sito Web Internet Information Services (IIS) con nuove directory virtuali per EAC e Outlook sul web accessibile solo dalla rete interna.

    Nota: è necessario configurare EAC e Outlook sul web nel nuovo sito Web, perché EAC richiede il modulo di autenticazione Outlook sul web dallo stesso sito Web.

Che cosa è necessario sapere prima di iniziare?

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Passaggio 1: Usare Exchange Management Shell per disabilitare l'accesso all'interfaccia di amministrazione di Exchange

Tenere presente che questo passaggio disabilita l'accesso all'interfaccia di amministrazione di Exchange nel server per le connessioni interne ed esterne, ma consente comunque agli utenti di accedere alla propria pagina Opzioni impostazioni> in Outlook sul web.

Per disabilitare l'accesso all'interfaccia di amministrazione di Exchange in un server Exchange, usare la sintassi seguente:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

In questo esempio viene disabilitato l'accesso all'interfaccia di amministrazione di Exchange nel server denominato MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Come verificare se l'operazione ha avuto esito positivo

Per verificare di aver disabilitato l'accesso all'interfaccia di amministrazione di Exchange nel server, sostituire <Server> con il nome del server Exchange ed eseguire il comando seguente per verificare il valore della proprietà AdminEnabled :

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Quando si apre https://<servername>/ecp o dalla rete interna, viene visualizzata la pagina Opzioni impostazioni> in Outlook sul web anziché l'interfaccia di amministrazione di Exchange.

Passaggio 2: Concedere l'accesso all'interfaccia di amministrazione di Exchange nella rete interna

Scegliere una delle opzioni seguenti.

Opzione 1: Configurare un secondo server Exchange accessibile solo dalla rete interna

Il valore predefinito della proprietà AdminEnabled si trova True nella directory virtuale EAC predefinita. Per confermare questo valore nel secondo server, sostituire <Server> con il nome del server ed eseguire il comando seguente:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Se il valore è False, sostituire <Server> con il nome del server ed eseguire il comando seguente:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Opzione 2: Creare un nuovo sito Web nel server Exchange esistente e configurare EAC e Outlook sul web nel nuovo sito Web per la rete interna

I passaggi necessari sono:

  1. Aggiungere un secondo indirizzo IP al server Exchange.

  2. Creare un nuovo sito Web in IIS che usa il secondo indirizzo IP e assegnare le autorizzazioni per file e cartelle.

  3. Copiare il contenuto dei siti Web predefiniti nel nuovo sito Web.

  4. Creare nuove directory EAC e Outlook sul web virtuali per il nuovo sito Web.

  5. Riavviare IIS per rendere effettive le modifiche.

Importante

Quando si installa un aggiornamento cumulativo (CU) Exchange Server, l'cu non aggiornerà i file nel nuovo sito Web e nelle nuove directory virtuali. Dopo aver applicato l'cu, è necessario rimuovere completamente il nuovo sito Web, le directory virtuali e il contenuto nelle cartelle e quindi ricreare il nuovo sito Web, le directory virtuali e il contenuto nelle cartelle.

Passaggio 2a: Aggiungere un secondo indirizzo IP al server Exchange

È possibile aggiungere una seconda scheda di rete e assegnare l'indirizzo IP alla seconda scheda di rete oppure assegnare un secondo indirizzo IP alla scheda di rete esistente.

I passaggi per assegnare un secondo indirizzo IP alla scheda di rete esistente sono descritti di seguito.

  1. Aprire le proprietà della scheda di rete. Ad esempio:

    a. Da una finestra del prompt dei comandi, eseguire Exchange Management Shell o la finestra di dialogo ncpa.cplEsegui .

    b. Fare clic con il pulsante destro del mouse sulla scheda di rete e quindi scegliere Proprietà.

    Proprietà della scheda di rete in Windows.

  2. Nelle proprietà della scheda di rete selezionare Protocollo Internet versione 4 (TCP/IPv4) e quindi fare clic su Proprietà.

  3. Nella finestra Proprietà protocollo Internet versione 4 (TCP/IPv4) visualizzata, nella scheda Generale , fare clic su Avanzate.

  4. Nella finestra Impostazioni TCP/IP avanzate visualizzata, nella scheda Impostazioni IP , nella sezione Indirizzi IP fare clic su Aggiungi e immettere l'indirizzo IP.

    Finestra Impostazioni TCP/IP avanzate delle proprietà della scheda di rete.

    Nota: se si aggiunge una seconda scheda di rete, nella finestra Impostazioni TCP/IP avanzate , nella scheda DNS deselezionare Registra l'indirizzo della connessione in DNS.

    Scheda DNS nella finestra Impostazioni TCP/IP avanzate.

Passaggio 2b: Creare un nuovo sito Web in IIS che usa il secondo indirizzo IP e assegnare autorizzazioni per file e cartelle

  1. Aprire Gestione IIS sul server Exchange. Un metodo semplice per eseguire questa operazione in Windows Server 2012 o versioni successive consiste nel premere il tasto Windows + Q, digitare inetmgr e selezionare Gestione Internet Information Services (IIS) nei risultati.

  2. Nel riquadro Connessioni espandere il server, selezionare Siti e nel riquadro Azioni fare clic su Aggiungi sito Web.

    In Gestione IIS espandere il server e selezionare Siti.

  3. Nella finestra Aggiungi sito Web visualizzata configurare le impostazioni seguenti:

    • Nome sito: EAC_Secondary

    • Percorso fisico: C:\inetpub\EAC_Secondary

    • Associazione

      • Tipo: https

      • Indirizzo IP: selezionare il secondo indirizzo IP aggiunto nel passaggio precedente.

      • Porta: 443

    • Certificato SSL: scegliere il certificato da usare, ad esempio il certificato di Exchange predefinito denominato Microsoft Exchange.

    Al termine, fare clic su OK.

    Proprietà del sito Web per il sito Web EAC secondario.

  4. Creare ecp cartelle e owa in C:\inetpub\EAC_Secondary.

    a. In Gestione IIS selezionare il EAC_Secondary sito Web e nel riquadro Azioni fare clic su Esplora.

    In Gestione IIS selezionare il nuovo sito Web EAC nel riquadro Siti.

    b. Nella finestra Esplora file visualizzata creare le cartelle seguenti in C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Al termine, chiudere Esplora file.

  5. Assegnare le autorizzazioni Lettura & Esegui al gruppo di sicurezza locale denominato IIS_IUSRS nella C:\inetpub\EAC_Secondary cartella.

    a. In IIS Manger selezionare il EAC_Secondary sito Web e nel riquadro Azioni fare clic su Modifica autorizzazioni.

    b. Nella finestra EAC_Secondary Proprietà visualizzata fare clic sulla scheda Sicurezza e quindi su Modifica.

    c. Nella finestra Autorizzazioni per EAC_Secondary visualizzata fare clic su Aggiungi.

    d. Nella finestra Seleziona utenti, computer, account di servizio o gruppi visualizzata seguire questa procedura:

    i. Fare clic su Percorsi e nella finestra di dialogo Percorsi visualizzata selezionare il server locale e quindi fare clic su OK.

    ii. Nel campo Immettere i nomi degli oggetti da selezionare digitare IIS_IUSRS, fare clic su Controlla nomi e quindi fare clic su OK.

    Aggiungere le autorizzazioni.

    e. Tornare alla finestra Autorizzazioni per EAC_Secondary selezionare IIS_IUSRS e nella colonna Consenti selezionare Lettura & Esegui (che seleziona automaticamente le autorizzazioni Elenca contenuto cartella e Lettura ) e quindi fare clic su OK due volte.

Passaggio 2c: Copiare il contenuto dei siti Web predefiniti nel nuovo sito Web

  • Copiare tutti i file e le cartelle dal sito Web predefinito (C:\inetpub\wwwroot) a C:\inetpub\EAC_Secondary. È possibile ignorare i file seguenti che non possono essere copiati:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copiare tutti i file e le cartelle da %ExchangeInstallPath%FrontEnd\HttpProxy\ecp a C:\inetpub\EAC_Secondary\ecp.

  • Copiare tutti i file e le cartelle da %ExchangeInstallPath%FrontEnd\HttpProxy\owa a C:\inetpub\EAC_Secondary\owa.

Passaggio 2d: Usare Exchange Management Shell per creare nuove directory EAC e Outlook sul web virtuali per il nuovo sito Web

Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

Sostituire <Server> con il nome del server ed eseguire i comandi seguenti per creare la nuova interfaccia di amministrazione di Exchange e Outlook sul web directory virtuali per il nuovo sito Web.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"

New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Passaggio 2e: Riavviare IIS

  1. Nel riquadro Connessioni di Gestione IIS selezionare il server.

  2. Nel riquadro Azioni, fare clic su Riavvia.

Nota: per riavviare IIS dalla riga di comando, aprire un prompt dei comandi con privilegi elevati (finestra del prompt dei comandi aperta selezionando Esegui come amministratore) ed eseguire i comandi seguenti:

net stop w3svc /y

net start w3svc

Come verificare se l'operazione ha avuto esito positivo

Per verificare di aver disabilitato correttamente l'accesso all'interfaccia di amministrazione di Exchange in un server Exchange, seguire questa procedura:

  1. Testare l'URL interno ed esterno dell'organizzazione per Outlook sul web. Ad esempio, se l'URL esterno è https://mail.contoso.com/owae l'URL https://mbx01.contoso.com/owa interno usa le procedure seguenti per verificare la configurazione:

    • Verificare che gli utenti interni ed esterni possano aprire le cassette postali usando Outlook sul web, inclusa la pagina Opzioni impostazioni>.

    • Verificare che https://mail.contoso.com/ecp e https://mbx01.contoso.com/ecp restituire uno dei risultati seguenti:

      • 404 - Sito Web non trovato

      • L'utente viene reindirizzato alla pagina Opzioni impostazioni> in Outlook sul web.

  2. Verificare che gli amministratori possano accedere all'interfaccia di amministrazione di Exchange nella rete interna in base alla selezione della configurazione:

    • Secondo server Exchange: se il secondo server exchange è denominato MBX02, verificare che https://mbx02.contoso.com/ecp apra l'interfaccia di amministrazione di Exchange.

    • Nuovo sito Web EAC nel server Exchange esistente: se l'indirizzo IP del nuovo sito Web di EAC è 10.1.1.12, verificare che https://10.1.1.12/ecp apra L'interfaccia di amministrazione di Exchange.