將 ActiveSync 埠更改為 444,同時保持 OWA 和 Outlook Anywhere 仍在 443 上
**目標:**通過 Air Watch 實施移動設備管理伺服器 (MDM) 進行身份驗證,不允許移動設備直接從 Internet 使用 443 將 ActiveSync 流量傳遞到已發布的 CAS 伺服器,但同時保持 OWA 和 Outlook Anywhere 繼續使用埠 443,因此我們無法從首要防火牆阻止它。這意味著所有設備都應連接到 MDM 伺服器,該伺服器會將請求代理到 Exchange 2010 ActiveSync。
**結果已經實現:**所有網際網路設備都使用埠 443 連接到 MDM 伺服器,然後 MDM 伺服器使用 443 代理設備與 Exchange Active Sync Server 的連接。
**問題:**一些使用者知道他們仍然可以通過 443 連接到 CAS 伺服器並訪問 ActiveSync,從而繞過 MDM 伺服器。如果我們從公共 DNS 中刪除子 URL 或阻止從防火牆到 CAS 伺服器的 443 訪問,那麼使用者也將無法在任何地方使用 OWA 和 Outlook。
**問題:**您認為僅為 2010 CAS 上的 Active Sync 服務創建新網站以偵聽埠 444,但將其餘服務保留在預設網站和埠 443 上,然後刪除在 443 上工作的 Active Sync 是否可行?我們的防火牆不做反向代理,我們知道通過 TMG 實現並僅發布 OWA 解決了這不是一個選項。
想法?
答:已解決,以下解決方案是微軟 100% 支持的。
使新網站從 IIS 管理器監聽埠 444 啟用 SSL 與預設網站相同的證書 相同的監聽 IP 在 ActiveSync 上配置外部 URL,如預設網站
分配 Exchange Active Sync 以使用“Exchange Power Shell”中的新網站這意味著 Active Sync 現在還將偵聽埠 444。
在埠 444 上編輯 MDM 伺服器配置文件代理。
從“Exchange Power Shell”中刪除 Exchange Active Sync 以使用預設網站 這意味著 Active Sync 將不再偵聽埠 443。