dimanche 30 novembre 2014

[Exchange 2013] Bloquer la console d'administration (EAC) depuis Internet

Avec Exchange 2013 administrer son organisation se fait aussi bien en mode powershell qu'en mode graphique depuis l'EAC.
Cette interface graphique n'est autre qu'une version web de la console d'administration correspondant au Vdir Exchange Control Panel.
En tant qu'administrateur Exchange, il arrive de passer par l'interface graphique pour des tâches assez simple comme la création de connecteur, de boite aux lettres...

Toutefois, lorsque vous publiez les sevices de messagerie Exchange 2013 sur Internet, il faut à minima publié l'OWA et l'ECP permettant ainsi à un utilisateur de modifier ses "options" de messagerie.
Vous obtenez par exemple un accès externe "https://mail.mondomain.fr/owa" et pour les options l'URL "https://mail.mondomain.fr/ecp"

Cette derniere URL permet aussi d'administrer son organisation depuis Internet, ce qui peut être une "faille" de sécurité.
Microsoft permet de bloquer l'administration depuis Internet à l'aide de la cmdlet Set-EcpVirtualDirectory et le paramètre -AdminEnabled $False
(mon ancien post à ce sujet : ici)

Mais comment le système sait qu'on y accède depuis le réseau interne et/ou depuis Internet ? La réponse est simple...il ne le sait pas et de ce fait -AdminEnabled $False bloque aussi l'administration via l'EAC depuis le réseau interne. L'administrateur est alors dirigé sur les options liées à sa boite aux lettres...



Il existe toute de même un moyen d'y parvenir et pour cela il faut:
1/ Désactiver l'accès à l'EAC (http://technet.microsoft.com/fr-fr/library/jj218639.aspx)
1/ Créer un nouveau Site Web
2/ Créer et configurer un nouveau VDir OWA à ce nouveau Site Web
3/ Créer et configurer un nouveau VDir ECP à ce nouveau Site Web

Une fois le nouveau Site Web créé


Créer les VDirs:

-> OWA
New-OwaVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/owa

-> ECP
New-EcpVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/ecp


Configurer ainsi le nom d'hôte associé (ici adminecp.domain.fr) et dans mon exemple, le certificat correspond au certificat wildcard présent dans mon organisation.



Il suffit alors de se connecter à l'EAC depuis le réseau interne via https://adminecp.domain.fr/ecp



Cheers
Publié par à

2 commentaires:

  1. brendon smith24 mai 2018 à 14:55

    Good write up on blocking EAC from internet! In my limited experience, however, I’ve found out that to Convert edb to pst - EdbMails is the best option as it can handle most exchange recovery tasks gracefully. It supports export of mailboxes to PSTs and also has an extensive range of filtering options. It is a forensic recovery that can extract most data from even corrupt or inaccessible exchange databases.It supports public, private folder recovery along with migration to Live exchange and Office 365. Archive mailbox migration is also supported by edbmails

    RépondreSupprimer
  2. Ox22 mars 2022 à 12:17

    Bonjour,
    Vous n'expliquez rien pour la creation du site web, on doit mettre quoi comme valeur dans les champs requis?

    RépondreSupprimer

Inscription à : Publier les commentaires (Atom)