dimanche 30 novembre 2014

[Exchange 2013] Bloquer la console d'administration (EAC) depuis Internet

Avec Exchange 2013 administrer son organisation se fait aussi bien en mode powershell qu'en mode graphique depuis l'EAC.
Cette interface graphique n'est autre qu'une version web de la console d'administration correspondant au Vdir Exchange Control Panel.
En tant qu'administrateur Exchange, il arrive de passer par l'interface graphique pour des tâches assez simple comme la création de connecteur, de boite aux lettres...

Toutefois, lorsque vous publiez les sevices de messagerie Exchange 2013 sur Internet, il faut à minima publié l'OWA et l'ECP permettant ainsi à un utilisateur de modifier ses "options" de messagerie.
Vous obtenez par exemple un accès externe "https://mail.mondomain.fr/owa" et pour les options l'URL "https://mail.mondomain.fr/ecp"

Cette derniere URL permet aussi d'administrer son organisation depuis Internet, ce qui peut être une "faille" de sécurité.
Microsoft permet de bloquer l'administration depuis Internet à l'aide de la cmdlet Set-EcpVirtualDirectory et le paramètre -AdminEnabled $False
(mon ancien post à ce sujet : ici)

Mais comment le système sait qu'on y accède depuis le réseau interne et/ou depuis Internet ? La réponse est simple...il ne le sait pas et de ce fait -AdminEnabled $False bloque aussi l'administration via l'EAC depuis le réseau interne. L'administrateur est alors dirigé sur les options liées à sa boite aux lettres...



Il existe toute de même un moyen d'y parvenir et pour cela il faut:
1/ Désactiver l'accès à l'EAC (http://technet.microsoft.com/fr-fr/library/jj218639.aspx)
1/ Créer un nouveau Site Web
2/ Créer et configurer un nouveau VDir OWA à ce nouveau Site Web
3/ Créer et configurer un nouveau VDir ECP à ce nouveau Site Web

Une fois le nouveau Site Web créé


Créer les VDirs:

-> OWA
New-OwaVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/owa

-> ECP
New-EcpVirtualDirectory -Server ServerName -WebSiteName AdminECP -InternalUrl https://adminecp.domain.fr/ecp


Configurer ainsi le nom d'hôte associé (ici adminecp.domain.fr) et dans mon exemple, le certificat correspond au certificat wildcard présent dans mon organisation.



Il suffit alors de se connecter à l'EAC depuis le réseau interne via https://adminecp.domain.fr/ecp



Cheers

Aucun commentaire:

Enregistrer un commentaire