dimanche 30 novembre 2014

[Exchange 2013] Bloquer la console d'administration (EAC) depuis Internet

Avec Exchange 2013 administrer son organisation se fait aussi bien en mode powershell qu'en mode graphique depuis l'EAC.
Cette interface graphique n'est autre qu'une version web de la console d'administration correspondant au Vdir Exchange Control Panel.
En tant qu'administrateur Exchange, il arrive de passer par l'interface graphique pour des tâches assez simple comme la création de connecteur, de boite aux lettres...

Toutefois, lorsque vous publiez les sevices de messagerie Exchange 2013 sur Internet, il faut à minima publié l'OWA et l'ECP permettant ainsi à un utilisateur de modifier ses "options" de messagerie.
Vous obtenez par exemple un accès externe "https://mail.mondomain.fr/owa" et pour les options l'URL "https://mail.mondomain.fr/ecp"

Cette derniere URL permet aussi d'administrer son organisation depuis Internet, ce qui peut être une "faille" de sécurité.
Microsoft permet de bloquer l'administration depuis Internet à l'aide de la cmdlet Set-EcpVirtualDirectory et le paramètre -AdminEnabled $False
(mon ancien post à ce sujet : ici)

Mais comment le système sait qu'on y accède depuis le réseau interne et/ou depuis Internet ? La réponse est simple...il ne le sait pas et de ce fait -AdminEnabled $False bloque aussi l'administration via l'EAC depuis le réseau interne. L'administrateur est alors dirigé sur les options liées à sa boite aux lettres...



Il existe toute de même un moyen d'y parvenir et pour cela il faut:
1/ Désactiver l'accès à l'EAC (http://technet.microsoft.com/fr-fr/library/jj218639.aspx)
1/ Créer un nouveau Site Web
2/ Créer et configurer un nouveau VDir OWA à ce nouveau Site Web
3/ Créer et configurer un nouveau VDir ECP à ce nouveau Site Web

Une fois le nouveau Site Web créé


Créer les VDirs:

-> OWA
New-OwaVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/owa

-> ECP
New-EcpVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/ecp


Configurer ainsi le nom d'hôte associé (ici adminecp.domain.fr) et dans mon exemple, le certificat correspond au certificat wildcard présent dans mon organisation.



Il suffit alors de se connecter à l'EAC depuis le réseau interne via https://adminecp.domain.fr/ecp



Cheers

jeudi 20 novembre 2014

[Exchange 2010] Office 365/Hybride - Le nouveau certificat n'apparait pas...

Récemment chez un de mes clients, nous sommes intervenus pour remettre à jour le "mode hybride" suite au renouvellement du certificat pour Microsoft Exchange Server 2010.
Cependant, en relançant l'assistant (appelé aussi HCW) nous constatons que le nouveau certificat n'est pas affiché dans le menu déroulant, bien que celui ci soit valide et assigné aux services SMTP et IIS.


Le certificat présenté est l'ancien...comme indiqué dans l'image ci dessus.

Contrairement à Microsoft Exchange Server 2013,  où le HCW propose le nouveau certificat, ici la manipulation nécessaire, consistait à :
- Supprimer l'ancien certificat (via mmc)
- Rafraîchir la console EMC
- Relancer le HCW et la le nouveau certificat en place était visible

Il est vrai que le HCW version Exchange 2010 ne fonctionne jamais du premier coup...par expérience il ne faut pas paniquer et le relancer à plusieurs reprises pour que les changements soient pris en compte ;-)

Cheers