Hallo zusammen,
Folgende Situation:
2x Exchange 2019 als DAG vorhanden.
Ziel das EAC nur aus dem internen Netz erreichbar machen
Habe diese Anleitung von franky gefunden
wenn ich die Anleitung richtig verstehe, müsste ich ja den Befehl auf Mail 1 ausführen und kann dann auf Mail 2 noch ins Admin Center kommen? Aber gleichzeitig habe ich den Zugriff aus dem Netz geschlossen?!
korrigiert mich bitte wenn ich es falsch verstanden habe.
Sinnvoller wäre, das per Reverse Proxy schon vor dem Exchange abzufangen. Das geht bei einer DAG am sinnvollsten vermutlich am Loadbalancer. Wenn nicht da, dann per Firewall und WAF.
Bye
Norbert
Servus,
bei 2 Servern in einer DAG würde ich das EAC nur auf einem der Server sperren (wie im Artikel oben beschrieben). Den anderen Server dann zur Verwaltung nehmen. An der der Firewall oder WAF würde ich dann kein Loadbalancing zwischen Server 1 / 2 nutzen, sondern ein Failover (Bei F5 heißt dies Priority Group). Sprich solange Server 1 (mit gesperrtem EAC antwortet) werden alle externen Verbindungen zu Server1 geleitet, fällt Server1 aus, werden externe Verbindungen zu Server2 geleitet (dann mit verfügbaren EAC).
Hintergrund: Nur /ecp in der Firewall oder WAF zu sperren, ist oft kontraproduktiv, da auch die Einstellungen für OWA der Benutzer über /ecp laufen. Willst du also nicht die Benutzer aus den OWA Einstellungen aussperren, bleibt da meist nur der Workaround (bei mehr Servern wird es dann einfacher).
Gruß,
Frank
Servus,
kleiner Nachtrag: Man könnte bei einem Reverse Proxy / WAF mit Auth. Feature auch nur die "Admin Benutzer" aus dem /ecp aussperren (ohne das EAC deaktiviert werden muss).
/Frank
Soweit mir bekannt, werden die User nicht mehr in /ecp gelotst. Hab’s aber ne Weile nicht getestet. Für intern und extern kann man dann einfach zwei Virtual Services auf dem loadbalancer konfigurieren.
da auch die Einstellungen für OWA der Benutzer über /ecp laufen.
Welche denn?
Ich danke euch.
werde es mit dem Befehl erstmal probieren und kann es ja sonst auch wieder Rückgängig mit dem gleichen Befehl auf true machen?
sollte ja keine Auswirkungen haben bis auf das ich dann auf Mail 1 nicht mehr ins admin Center komme, so wie ich es haben will und übers Internet wäre er auch nicht erreichbar
Get-EcpVirtualDirectory -Server mail | Set-EcpVirtualDirectory -AdminEnabled:$false
Ich würds trotzdem am reverse proxy lösen. Wenn man Prä-auth nutzt kann man es auch für bestimmte Gruppen erlauben, wobei ich behaupte (bis es widerlegt ist), dass ein User ecp gar nicht braucht.