Windows-Server-2012-R2

在 Exchange 2013 中為外部使用者禁用 Outlook Anywhere

  • November 20, 2017

我一直在用Google搜尋這個問題無濟於事,現在微軟 2000 美元的支持報價實際上看起來很合理,但我希望這裡的人可能會有一個想法。

**問題:**我們想禁用不在我們公司 LAN 上的任何人的 Exchange 訪問權限。該位置是主分支的一個小分支,出於安全原因,其電子郵件在本地託管。我們不希望大樓外的任何人能夠將他們的 Exchange 帳戶添加到 Outlook 安裝或移動設備或類似的任何東西。我們在伺服器 2012R2、IIS 8 上執行 Exchange 2013。

我們使用 Exchange 的隔離功能解決了移動設備的問題,但對於桌面使用者來說不存在這樣的事情。我試過了

  • 進入 EPC,伺服器 - > Outlook Anywhere 並清空 Outlook Anywhere 外部主機名/用無法解析的內容替換它 - 據我所知,這完全沒有任何作用
  • 在郵箱上執行 Get-Mailbox -MAPIBlockOutlookRpcHttp 命令我不想訪問網路外部的 Outlook。雖然這曾經在 Exchange 2007 上工作,但在 2013 年它也禁用了內部使用者的訪問權限
  • 在 IIS 中的 RPC 網站上設置 IP 地址和域限制,以禁止非本地 IP 的所有內容 - 即使設置為拒絕每個 IP 範圍,也完全沒有做任何事情
  • 血魔法

我覺得這不應該這麼難。我們不關心對 OWA 的外部訪問,因為我們前面有一個兩因素設備。禁用自動發現也不行;任何從公共 IP 向 Exchange 進行身份驗證的請求都應該被拒絕。

我知道這個問題非常小眾(鑑於我在 Google 上只發現了一些類似的事件),但我希望這裡的某個人能夠找出我做錯了什麼。提前致謝!

你需要一個反向代理。Exchange 產品團隊在 2013 年的部落格文章中概述瞭如何做到這一點。

http://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx

這將允許您控制對 443 的訪問,因此您可以允許 OWA、ActiveSync,但阻止 Outlook Anywhere。

雖然 IP 地址限制應該有效。之後你有沒有執行 IISRESET 讓它生效?

如果您不希望任何外部人員能夠訪問它,最簡單的方法就是不要將埠 80/443 上的郵件伺服器暴露給外部世界。仍然允許內部通信。如果您有防火牆規則允許,請關閉它們。

引用自:https://serverfault.com/questions/752704