在很多场景中Exchange 的OWA都是发布到Internet的,但这也给黑客提供了一个暴力破解用户名和密码的入口。(我个人觉得在没有入侵检测设备的情况下,可以将用户的登陆名设置为和SMTP前缀不一致,以及对用户的输入密码错误次数进行限制,这样也可以启动一定的防护作用。唯一的缺点就是用户需要记录SMTP地址为,还要记录一个登陆名)基于这种情况,很多人就会想办法解决此问题,有的人提出我将本公司的Exchange OWA和OutlookanyWhere都不对公网发布,但是现在是移动办公时代,仍然需要开启手机移动端访问Exchange的入口。下面就简单介绍一下如何实现Exchange在公网只发布移动设备访问入口,而不发布OWA和Outlookanywhere。

一、准备条件

        我的环境里面有两台Exchange CAS服务器,分别为CAS01和CAS02。

1、首先我们需要为每台CAS服务器指定两个内网IP地址。(一个用于OWA使用10.1.1.1,一个用于Microsoft-Server-Activesync使用10.1.1.2)

2、禁用CAS01和CAS02上的Outlookanywhere功能。(也可以不用禁用,只要公网不发布443端口,那么Outlookanywhere功能只能在内网使用。)

3、提前申请CAS01和CAS02服务器上的证书,让证书的备用名称中包含需要发布的手机公网登陆域名。

备注:操作思路是,默认情况下Exchange的OWA和手机访问都是挂载在一个默认网站下面,我们只需要新建一个网站,在此网站下创建手机访问虚拟目录即可。如果要让手机能够正常查看日历等信息,还需要在此网站下创建EWS虚拟目录。

 

二、操作过程

1、登录服务器CAS01,在IIS管理器中添加一个名称为ActiveSync的网站站点。绑定该网站站点使用IP地址10.1.1.2,如图。

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_Internet

2、使用命令创建虚拟目录。(需要注意的是ExternalUrl为手机外网登陆入口,需要在公网DNS添加对应的DNS解析记录。)如图

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_检测设备_02

3、在服务器CAS02上进行同样的操作,添加一个网站站点。如图。

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_检测设备_03

4、使用命令创建手机登了的虚拟目录。

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_手机访问_04

5、命令创建完成后,使用命令查看当前服务器的手机登了的虚拟目录设置,如图。

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_Internet_05

6、创建完成后,启动网站站点ActiveSync。如图。

分离Exchange的OWA和Microsoft-Server-Activesync手机访问_手机访问_06

7、接下来就是网络工程师发布Exchange手机登录的端口,然后使用手机验证公网是否能够成功登录。