在很多场景中Exchange 的OWA都是发布到Internet的,但这也给黑客提供了一个暴力破解用户名和密码的入口。(我个人觉得在没有入侵检测设备的情况下,可以将用户的登陆名设置为和SMTP前缀不一致,以及对用户的输入密码错误次数进行限制,这样也可以启动一定的防护作用。唯一的缺点就是用户需要记录SMTP地址为,还要记录一个登陆名)基于这种情况,很多人就会想办法解决此问题,有的人提出我将本公司的Exchange OWA和OutlookanyWhere都不对公网发布,但是现在是移动办公时代,仍然需要开启手机移动端访问Exchange的入口。下面就简单介绍一下如何实现Exchange在公网只发布移动设备访问入口,而不发布OWA和Outlookanywhere。
一、准备条件
我的环境里面有两台Exchange CAS服务器,分别为CAS01和CAS02。
1、首先我们需要为每台CAS服务器指定两个内网IP地址。(一个用于OWA使用10.1.1.1,一个用于Microsoft-Server-Activesync使用10.1.1.2)
2、禁用CAS01和CAS02上的Outlookanywhere功能。(也可以不用禁用,只要公网不发布443端口,那么Outlookanywhere功能只能在内网使用。)
3、提前申请CAS01和CAS02服务器上的证书,让证书的备用名称中包含需要发布的手机公网登陆域名。
备注:操作思路是,默认情况下Exchange的OWA和手机访问都是挂载在一个默认网站下面,我们只需要新建一个网站,在此网站下创建手机访问虚拟目录即可。如果要让手机能够正常查看日历等信息,还需要在此网站下创建EWS虚拟目录。
二、操作过程
1、登录服务器CAS01,在IIS管理器中添加一个名称为ActiveSync的网站站点。绑定该网站站点使用IP地址10.1.1.2,如图。
<a href="http://s3.51cto.com/wyfs02/M00/82/DE/wKiom1djUULTtf2NAAKETfTADaU873.png" target="_blank"></a>
2、使用命令创建虚拟目录。(需要注意的是ExternalUrl为手机外网登陆入口,需要在公网DNS添加对应的DNS解析记录。)如图
<a href="http://s3.51cto.com/wyfs02/M00/82/DC/wKioL1djUlnjrXNLAADbZYfYQ0s361.png" target="_blank"></a>
3、在服务器CAS02上进行同样的操作,添加一个网站站点。如图。
<a href="http://s3.51cto.com/wyfs02/M01/82/DC/wKioL1djUluTCXXiAAOyGObIF9o681.png" target="_blank"></a>
4、使用命令创建手机登了的虚拟目录。
<a href="http://s3.51cto.com/wyfs02/M02/82/DE/wKiom1djUUfBsACtAAFeBmhFoOk626.png" target="_blank"></a>
5、命令创建完成后,使用命令查看当前服务器的手机登了的虚拟目录设置,如图。
<a href="http://s3.51cto.com/wyfs02/M02/82/DC/wKioL1djUl_Sd9YDAAI4pe1PmB8656.png" target="_blank"></a>
6、创建完成后,启动网站站点ActiveSync。如图。
<a href="http://s3.51cto.com/wyfs02/M00/82/DE/wKiom1djUUzyE82TAAQ6CkGBRAw976.png" target="_blank"></a>
7、接下来就是网络工程师发布Exchange手机登录的端口,然后使用手机验证公网是否能够成功登录。
本文转自 jialt 51CTO博客,原文链接:http://blog.51cto.com/jialt/1790161
![Halcon不使用标定板如何矫正畸变?[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)