在很多場景中Exchange 的OWA都是釋出到Internet的,但這也給黑客提供了一個暴力破解使用者名和密碼的入口。(我個人覺得在沒有入侵檢測裝置的情況下,可以将使用者的登陸名設定為和SMTP字首不一緻,以及對使用者的輸入密碼錯誤次數進行限制,這樣也可以啟動一定的防護作用。唯一的缺點就是使用者需要記錄SMTP位址為,還要記錄一個登陸名)基于這種情況,很多人就會想辦法解決此問題,有的人提出我将本公司的Exchange OWA和OutlookanyWhere都不對公網釋出,但是現在是移動辦公時代,仍然需要開啟手機移動端通路Exchange的入口。下面就簡單介紹一下如何實作Exchange在公網隻釋出移動裝置通路入口,而不釋出OWA和Outlookanywhere。
一、準備條件
我的環境裡面有兩台Exchange CAS伺服器,分别為CAS01和CAS02。
1、首先我們需要為每台CAS伺服器指定兩個内網IP位址。(一個用于OWA使用10.1.1.1,一個用于Microsoft-Server-Activesync使用10.1.1.2)
2、禁用CAS01和CAS02上的Outlookanywhere功能。(也可以不用禁用,隻要公網不釋出443端口,那麼Outlookanywhere功能隻能在内網使用。)
3、提前申請CAS01和CAS02伺服器上的證書,讓證書的備用名稱中包含需要釋出的手機公網登陸域名。
備注:操作思路是,預設情況下Exchange的OWA和手機通路都是挂載在一個預設網站下面,我們隻需要建立一個網站,在此網站下建立手機通路虛拟目錄即可。如果要讓手機能夠正常檢視月曆等資訊,還需要在此網站下建立EWS虛拟目錄。
二、操作過程
1、登入伺服器CAS01,在IIS管理器中添加一個名稱為ActiveSync的網站站點。綁定該網站站點使用IP位址10.1.1.2,如圖。
<a href="http://s3.51cto.com/wyfs02/M00/82/DE/wKiom1djUULTtf2NAAKETfTADaU873.png" target="_blank"></a>
2、使用指令建立虛拟目錄。(需要注意的是ExternalUrl為手機外網登陸入口,需要在公網DNS添加對應的DNS解析記錄。)如圖
<a href="http://s3.51cto.com/wyfs02/M00/82/DC/wKioL1djUlnjrXNLAADbZYfYQ0s361.png" target="_blank"></a>
3、在伺服器CAS02上進行同樣的操作,添加一個網站站點。如圖。
<a href="http://s3.51cto.com/wyfs02/M01/82/DC/wKioL1djUluTCXXiAAOyGObIF9o681.png" target="_blank"></a>
4、使用指令建立手機登了的虛拟目錄。
<a href="http://s3.51cto.com/wyfs02/M02/82/DE/wKiom1djUUfBsACtAAFeBmhFoOk626.png" target="_blank"></a>
5、指令建立完成後,使用指令檢視目前伺服器的手機登了的虛拟目錄設定,如圖。
<a href="http://s3.51cto.com/wyfs02/M02/82/DC/wKioL1djUl_Sd9YDAAI4pe1PmB8656.png" target="_blank"></a>
6、建立完成後,啟動網站站點ActiveSync。如圖。
<a href="http://s3.51cto.com/wyfs02/M00/82/DE/wKiom1djUUzyE82TAAQ6CkGBRAw976.png" target="_blank"></a>
7、接下來就是網絡工程師釋出Exchange手機登入的端口,然後使用手機驗證公網是否能夠成功登入。
本文轉自 jialt 51CTO部落格,原文連結:http://blog.51cto.com/jialt/1790161
![Halcon不使用标定闆如何矯正畸變?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)