Выключение доступа к Центру администрирования ExchangeTurn off access to the Exchange admin center

Центр администрирования Exchange — это основной интерфейс управления Exchange 2013 или более поздней версии.The Exchange admin center (EAC) is the primary management interface for Exchange 2013 or later. Дополнительные сведения см. в центре администрирования Exchange в Exchange Server.For more information, see Exchange admin center in Exchange Server. По умолчанию доступ к центру администрирования Exchange не ограничен, и доступ к Outlook в Интернете (формально известно как Outlook Web App) на сервере Exchange с выходом в Интернет также дает доступ к центру администрирования Exchange.By default, access to the EAC isn't restricted, and access to Outlook on the web (formally known as Outlook Web App) on an on an Internet-facing Exchange server also gives access to the EAC. Для входа в центр администрирования Exchange по-прежнему необходимы действительные учетные данные, но организациям может потребоваться ограничить доступ к центру администрирования Exchange для клиентских подключений из Интернета.You still need valid credentials to sign in to the EAC, but organizations may want to restrict access to the EAC for client connections from the Internet.

В Exchange Server 2019 вы можете использовать правила клиентского доступа для блокирования клиентского доступа к центру администрирования Exchange.In Exchange Server 2019, you can use Client Access Rules to block client access to the EAC. Дополнительные сведения см. в разделе правила клиентского доступа в Exchange Server.For more information, see Client Access Rules in Exchange Server.

Виртуальный каталог центра администрирования Exchange называется ECP и управляется * - командлетами ECPVirtualDirectory .The EAC virtual directory is named ECP, and is managed by the *- ECPVirtualDirectory cmdlets. Если для параметра админенаблед задано значение $false в виртуальном каталоге центра администрирования Exchange, доступ к центру администрирования Exchange будет отключен для внутренних и внешних клиентских подключений, не затрагивая доступ к **** > странице " Параметры ". в Outlook в Интернете.When you set the AdminEnabled parameter to the value $false on the EAC virtual directory, you disable access to the EAC for internal and external client connections, without affecting access to the Settings > Options page in Outlook on the web.

Расположение меню "Параметры" для Outlook в Интернете

Однако такая конфигурация влечет за собою другую проблему: доступ к Центру администрирования Exchange будет полностью отключен на сервере, даже для администраторов во внутренней сети. Есть два варианта устранения этой проблемы:But, this configuration introduces a new problem: access to the EAC is completely disabled on the server, even for administrators on the internal network. To fix this issue, you have two choices:

  • Настройте второй сервер Exchange, доступный только из внутренней сети, для обработки внутренних подключений к центру администрирования Exchange.Configure a second Exchange server that's only accessible from the internal network to handle internal EAC connections.

  • На существующем сервере Exchange создайте новый веб-сайт служб IIS с новыми виртуальными каталогами для центра администрирования Exchange и Outlook в Интернете, которые доступны только из внутренней сети.On the existing Exchange server, create a new Internet Information Services (IIS) web site with new virtual directories for the EAC and Outlook on the web that's only accessible from the internal network.

    Примечание: необходимо настроить центр администрирования Exchange и Outlook в Интернете на новом веб-сайте, так как для центра администрирования Exchange требуется модуль проверки подлинности Outlook в Интернете с того же веб-сайта.Note: You need to configure the EAC and Outlook on the web in the new web site, because the EAC requires the Outlook on the web authentication module from the same web site.

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Предполагаемое время для завершения каждой процедуры: 5 минут.Estimated time to complete each procedure: 5 minutes.

  • Для выполнения этих процедур необходимы соответствующие разрешения.You need to be assigned permissions before you can perform this procedure or procedures. Чтобы просмотреть необходимые разрешения, обратитесь к разделу "подключение к центру администрирования Exchange" в инфраструктуре Exchange и в разделе "разрешения PowerShell".To see what permissions you need, see the "Exchange admin center connectivity" entry in the Exchange infrastructure and PowerShell permissions topic.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Попросите помощи на форумах Exchange. Перейти на форумы можно по следующим ссылкам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Шаг 1: Использование командной консоли Exchange для отключения доступа к центру администрирования ExchangeStep 1: Use the Exchange Management Shell to disable access to the EAC

Помните, что этот шаг отключает доступ к центру администрирования Exchange на сервере для внутренних и внешних подключений, но по-прежнему разрешает пользователям получать доступ к своей странице параметров параметров > в Outlook в Интернете.Remember, this step disables access to the EAC on the server for internal and external connections, but still allows users to access their own Settings > Options page in Outlook on the web.

Чтобы отключить доступ к центру администрирования Exchange на сервере Exchange, используйте следующий синтаксис:To disable access to the EAC on an Exchange server, use the following syntax:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

В этом примере показано, как закрыть доступ к Центру администрирования Exchange на сервере под названием MBX01.This example turns disables access to the EAC on the server named MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

Как проверить, что шаг выполнен?How do you know this step worked?

Чтобы убедиться, что вы отключили доступ к центру администрирования Exchange на сервере, _ <замените> Server_ именем сервера Exchange Server и выполните следующую команду, чтобы проверить значение свойства админенаблед :To verify that you've disabled access to the EAC on the server, replace <Server> with the name of your Exchange server, and run the following command to verify the value of the AdminEnabled property:

Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Когда вы открываете<HTTPS://>ServerName/ECP или из внутренней сети, вместо центра администрирования Exchange открываются собственные страницы параметров параметров > в Outlook в Интернете.When you open https://<servername>/ecp or from the internal network, your own Settings > Options page in Outlook on the web opens instead of the EAC.

Шаг 2. Предоставление доступа к Центру администрирования Exchange во внутренней сетиStep 2: Give access to the EAC on the internal network

Выберите любой из вариантов ниже.Choose either of the following options.

Вариант 1: Настройка второго сервера Exchange, доступного только из внутренней сетиOption 1: Configure a second Exchange server that's only accessible from the internal network

Значение свойства админенаблед по умолчанию находится True в виртуальном каталоге центра администрирования Exchange по умолчанию.The default value of the AdminEnabled property is True on the default EAC virtual directory. Чтобы подтвердить это значение на втором сервере, замените _ <Server> _ именем сервера и выполните следующую команду:To confirm this value on the second server, replace <Server> with the name of the server, and run the following command:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Если параметр имеет Falseзначение, замените _ <Server> _ именем сервера и выполните следующую команду:If the value is False, replace <Server> with the name of the server, and run the following command:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Вариант 2: создание нового веб-сайта на существующем сервере Exchange и настройка центра администрирования Exchange и Outlook в Интернете на новом веб-сайте внутренней сетиOption 2: Create a new web site on the existing Exchange server, and configure the EAC and Outlook on the web in the new web site for the internal network

Необходимые действия:The required steps are:

  1. Добавьте второй IP-адрес на сервер Exchange Server.Add a second IP address to the Exchange server.

  2. В службах IIS создайте новый веб-сайт, использующий второй IP-адрес, а затем назначьте разрешения файлов и папок.Create a new web site in IIS that uses the second IP address, and assign file and folder permissions.

  3. Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайт.Copy the contents of the default web sites to the new web site.

  4. Создайте новые виртуальные каталоги центра администрирования Exchange и Outlook в Интернете для нового веб-сайта.Create new EAC and Outlook on the web virtual directories for the new web site.

  5. Чтобы изменения вступили в силу, перезагрузите службы IIS.Restart IIS for the changes to take effect.

Важно!

При установке накопительного пакета обновления для Exchange Server (CU) CU не будет обновлять файлы на новом веб-сайте и виртуальных каталогах.When you install an Exchange Server Cumulative Update (CU), the CU won't update files in the new web site and virtual directories. После применения накопительного пакета обновления необходимо полностью удалить новый веб-сайт, виртуальные каталоги и их содержимое, а затем создать все это заново.After you apply the CU, you need to completely remove the new web site, virtual directories, and content in the folders and then re-create the new web site, virtual directories, and content in the folders.

Шаг 2а: Добавление второго IP-адреса к серверу Exchange ServerStep 2a: Add a second IP address to the Exchange server

Можно добавить второй сетевой адаптер и назначить ему IP-адрес или назначить второй IP-адрес существующему сетевому адаптеру.You can add a second network adapter and assign the IP address to the second network adapter, or you can assign a second IP address to the existing network adapter.

Ниже описаны действия, которые необходимо выполнить, чтобы назначить существующему сетевому адаптеру второй IP-адрес.The steps to assign a second IP address to the existing network adapter are described below.

  1. Откройте свойства сетевого адаптера. Например:Open the properties of the network adapter. For example:

    а.a. В командной строке Командная консоль Exchange или диалоговое окно выполнить ncpa.cpl.From a Command Prompt window, the Exchange Management Shell, or the Run dialog, run ncpa.cpl.

    б)b. Щелкните сетевой адаптер правой кнопкой мыши, а затем выберите Свойства.Right-click on the network adapter, and then choose Properties.

    Свойства сетевого адаптера в Windows

  2. В окне свойств сетевого адаптера выберите Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.In the properties of the network adapter, select Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  3. В окне Свойства протокола Интернета версии 4 (TCP/IPv4) откройте вкладку Общие и выберите Дополнительно.In the Internet Protocol Version 4 (TCP/IPv4) Properties window that opens, on the General tab, click Advanced.

  4. В окне Дополнительные параметры TCP/IP откройте вкладку Параметры IP, нажмите кнопку Добавить в разделе IP-адреса и введите IP-адрес.In the Advanced TCP/IP Settings window that opens, on the IP Settings tab, in the IP addresses section, click Add and enter the IP address.

    Окно "Дополнительные параметры TCP/IP" в свойствах сетевого адаптера

    Примечание. При добавлении второго сетевого адаптера в окне Дополнительные параметры TCP/IP необходимо открыть вкладку DNS и снять флажок Зарегистрировать данные этого подключения в DNS.Note: If you add a second network adapter, in the Advanced TCP/IP Settings window, on the DNS tab, un-check Register this connection's address in DNS.

    Вкладка "DNS" в окне "Дополнительные параметры TCP/IP"

Шаг 2б. Создание в службах IIS нового веб-сайта, использующего второй IP-адрес, и назначение разрешений файлов и папокStep 2b: Create a new web site in IIS that uses the second IP address, and assign file and folder permissions

  1. Откройте диспетчер служб IIS на сервере Exchange Server. Открыть диспетчер служб IIS в Windows Server 2012 или более поздних версиях легко. Просто нажмите клавишу Windows+Q, введите в строке поиска inetmgr и в списке результатов выберите Диспетчер служб IIS.Open IIS Manager on the Exchange server. An easy way to do this in Windows Server 2012 or later is to press Windows key + Q, type inetmgr, and select Internet Information Services (IIS) Manager in the results.

  2. В области Подключения разверните сервер, выберите Сайты и щелкните элемент Добавить веб-сайт в области Действия.In the Connections pane, expand the server, select Sites, and in the Actions pane, click Add Website.

    В диспетчере IIS разверните узел сервера и выберите сайты.

  3. В появившемся окне Добавить веб-сайт настройте следующие параметры:In the Add Website window that appears, configure the following settings:

    • Имя сайта:EAC_SecondarySite name: EAC_Secondary

    • Физический путь:C:\inetpub\EAC_SecondaryPhysical path: C:\inetpub\EAC_Secondary

    • BindingBinding

      • Тип: HTTPSType: https

      • IP-адрес: выберите второй IP-адрес, добавленный на предыдущем шаге.IP address: Select the second IP address that you added in the previous step.

      • Порт: 443Port: 443

    • SSL-сертификат: выберите сертификат, который необходимо использовать (например, сертификат Exchange по умолчанию с именем Microsoft Exchange).SSL certificate: Choose the certificate that you want to use (for example, the default Exchange certificate named Microsoft Exchange).

    После этого нажмите кнопку ОК.When you're finished, click OK.

    Веб-сайт проперитес для дополнительного веб-сайта центра администрирования Exchange

  4. Создание ecp и owa папки в C:\inetpub\EAC_Secondary.Create ecp and owa folders in C:\inetpub\EAC_Secondary.

    а.a. В диспетчере IIS выберите EAC_Secondary веб-сайт, а затем в области действия нажмите кнопку Просмотр.In IIS Manager, select the EAC_Secondary web site, and in the Actions pane, click Explore.

    В диспетчере IIS выберите новый веб-сайт центра администрирования Exchange в области "сайты"

    б)b. В открывшемся окне проводника создайте следующие папки в C:\inetpub\EAC_Secondaryпапке:In the File Explorer window that opens, create the following folders in C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Когда все будет готово, закройте проводник.When you're finished, close File Explorer.

  5. Назначьте разрешения на чтение & выполнение локальной группе безопасности с именем IIS_IUSRS в C:\inetpub\EAC_Secondary папке.Assign Read & Execute permissions to the local security group named IIS_IUSRS on the C:\inetpub\EAC_Secondary folder.

    а.a. В диспетчере IIS выберите EAC_Secondary веб-сайт, а затем в области действия щелкните изменить разрешения.In IIS Manger, select the EAC_Secondary web site, and in the Actions pane, click Edit Permissions.

    б)b. В открывшемся окне Свойства: EAC_Secondary откройте вкладку Безопасность и нажмите кнопку Изменить.In the EAC_Secondary Properties window that opens, click the Security tab, and then click Edit.

    В.c. В открывшемся окне Разрешения для EAC_Secondary нажмите кнопку Добавить.In the Permissions for EAC_Secondary window that opens, click Add.

    Г.d. В открывшемся окне Выбор пользователей, компьютеров, учетных записей служб или групп выполните указанные ниже действия.In the Select Users, Computers, Service Accounts or Groups window that opens, perform the following steps:

    узнать.i. Щелкните элемент Расположения, в появившемся диалоговом окне Расположения выберите локальный сервер и нажмите кнопку ОК.Click Locations, and in the Locations dialog box that opens, select the local server, and then click OK.

    Радуга.ii. В поле Введите имена выбираемых объектов введите IIS_IUSRS, нажмите кнопку Проверить имена, а затем нажмите кнопку ОК.In the Enter the object names to select field, type IIS_IUSRS, click Check Names, and then click OK.

    Добавление разрешений

    Д.e. Вернитесь в окно Разрешения для EAC_Secondary, выберите группу IIS_IUSRS, в столбце Разрешить выберите Чтение и выполнение (при этом разрешения Вывод списка содержимого папки и Чтение будут выбраны автоматически), а затем дважды нажмите кнопку ОК.Back on the Permissions for EAC_Secondary window, select IIS_IUSRS, and in the Allow column, select Read & Execute (which automatically selects the List Folder Contents and Read permissions), and then click OK twice.

Шаг 2в. Скопируйте содержимое веб-сайтов по умолчанию на новый веб-сайтStep 2c: Copy the contents of the default web sites to the new web site

  • Скопируйте все файлы и папки с веб-сайта по умолчаниюC:\inetpub\wwwroot( C:\inetpub\EAC_Secondary) в.Copy all files and folders from the Default Web Site (C:\inetpub\wwwroot) to C:\inetpub\EAC_Secondary. Можете пропустить указанные ниже файлы, если они не копируются.You can skip the following files that can't be copied:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Скопируйте все файлы и папки из %ExchangeInstallPath%FrontEnd\HttpProxy\ecp C:\inetpub\EAC_Secondary\ecp.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\ecp to C:\inetpub\EAC_Secondary\ecp.

  • Скопируйте все файлы и папки из %ExchangeInstallPath%FrontEnd\HttpProxy\owa C:\inetpub\EAC_Secondary\owa.Copy all files and folders from %ExchangeInstallPath%FrontEnd\HttpProxy\owa to C:\inetpub\EAC_Secondary\owa.

Шаг 2D: Использование командной консоли Exchange для создания новых виртуальных каталогов центра администрирования Exchange и Outlook в Интернете для нового веб-сайтаStep 2d: Use the Exchange Management Shell to create new EAC and Outlook on the web virtual directories for the new web site

Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

Замените _ <Server> _ на имя вашего сервера и выполните следующие команды, чтобы создать новые виртуальные каталоги центра администрирования Exchange и Outlook в Интернете для нового веб-сайта.Replace <Server> with the name of your server, and run the following commands to create the new EAC and Outlook on the web virtual directories for the new web site.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Шаг 2д. Перезапуск служб IISStep 2e: Restart IIS

  1. Выберите сервер в области Подключения диспетчера служб IIS.In IIS Manager, in the Connections pane, select the server.

  2. В области Действия выберите элемент Перезапустить.In the Actions pane, click Restart.

Примечание. чтобы ПЕРЕЗАПУСТИТЬ службы IIS из командной строки, откройте командную строку с повышенными привилегиями (окно командной строки, которое вы открыли, выбрав пункт Запуск от имени администратора) и выполните следующие команды:Note: To restart IIS from the command line, open an elevated command prompt (a Command Prompt window that you opened by selecting Run as administrator) and run the following commands:

net stop was /y
net start w3svc

Как убедиться, что это сработало?How do you know this task worked?

Чтобы убедиться, что вы успешно отключили доступ к центру администрирования Exchange на сервере Exchange, выполните указанные ниже действия.To verify that you have successfully disabled access to the EAC on an Exchange server, perform the following steps:

  1. Проверьте внутренний и внешний URL-адрес своей организации для Outlook в Интернете.Test your organization's internal and external URL for Outlook on the web. Например, если внешний URL-адрес https://mail.contoso.com/owa, а внутренний URL-адрес https://mbx01.contoso.com/owa использует следующие процедуры для проверки конфигурации:For example, if the external URL is https://mail.contoso.com/owa, and the internal URL is https://mbx01.contoso.com/owa use the following procedures to verify your configuration:

    • Убедитесь, что внутренние и внешние пользователи могут открывать свои почтовые ящики с помощью Outlook в Интернете, в том числе на странице " Параметры параметров > ".Verify that internal and external users can open their mailboxes by using Outlook on the web, including the Settings > Options page.

    • Проверьте, https://mail.contoso.com/ecp что https://mbx01.contoso.com/ecp и возвращает один из следующих результатов:Verify that https://mail.contoso.com/ecp and https://mbx01.contoso.com/ecp return either of the following results:

      • Отображается сообщение об ошибке \*\*404 — веб-сайт не найден**.**404 - website not found**
      • Пользователь перенаправляется на страницу параметров параметров > в Outlook в Интернете.The user is redirected to their Settings > Options page in Outlook on the web.

  2. Убедитесь, что у администраторов есть доступ к Центру администрирования Exchange во внутренней сети. Способ доступа зависит от того, какую конфигурацию вы выбрали:Verify that administrators can access the EAC on the internal network based on your configuration selection:

    • Второй сервер Exchange Server: Если второй сервер Exchange Server имеет имя MBX02, убедитесь https://mbx02.contoso.com/ecp , что он открывает центр администрирования Exchange.Second Exchange server: If the second Exchange server is named MBX02, verify that https://mbx02.contoso.com/ecp opens the EAC.

    • Новый веб-сайт центра администрирования Exchange на существующем сервере Exchange: Если IP-адрес нового веб-сайта центра администрирования Exchange — 10.1.1.12 https://10.1.1.12/ecp , убедитесь, что он открывает центр администрирования Exchange.New EAC web site on the existing Exchange server: If the IP address of the new EAC web site is 10.1.1.12, verify that https://10.1.1.12/ecp opens the EAC.