? ? ? ? ? ? 在很多場景中Exchange 的OWA都是發(fā)布到Internet的，但這也給黑客提供了一個暴力破解用戶名和密碼的入口。（我個人覺得在沒有入侵檢測設(shè)備的情況下，可以將用戶的登陸名設(shè)置為和SMTP前綴不一致，以及對用戶的輸入密碼錯誤次數(shù)進行限制，這樣也可以啟動一定的防護作用。唯一的缺點就是用戶需要記錄SMTP地址為，還要記錄一個登陸名）基于這種情況，很多人就會想辦法解決此問題，有的人提出我將本公司的Exchange OWA和OutlookanyWhere都不對公網(wǎng)發(fā)布，但是現(xiàn)在是移動辦公時代，仍然需要開啟手機移動端訪問Exchange的入口。下面就簡單介紹一下如何實現(xiàn)Exchange在公網(wǎng)只發(fā)布移動設(shè)備訪問入口，而不發(fā)布OWA和Outlookanywhere。

一、準備條件

??????? 我的環(huán)境里面有兩臺Exchange CAS服務(wù)器，分別為CAS01和CAS02。

1、首先我們需要為每臺CAS服務(wù)器指定兩個內(nèi)網(wǎng)IP地址。（一個用于OWA使用10.1.1.1，一個用于Microsoft-Server-Activesync使用10.1.1.2）

2、禁用CAS01和CAS02上的Outlookanywhere功能。（也可以不用禁用，只要公網(wǎng)不發(fā)布443端口，那么Outlookanywhere功能只能在內(nèi)網(wǎng)使用。）

3、提前申請CAS01和CAS02服務(wù)器上的證書，讓證書的備用名稱中包含需要發(fā)布的手機公網(wǎng)登陸域名。

備注：操作思路是，默認情況下Exchange的OWA和手機訪問都是掛載在一個默認網(wǎng)站下面，我們只需要新建一個網(wǎng)站，在此網(wǎng)站下創(chuàng)建手機訪問虛擬目錄即可。如果要讓手機能夠正常查看日歷等信息，還需要在此網(wǎng)站下創(chuàng)建EWS虛擬目錄。

?

二、操作過程

1、登錄服務(wù)器CAS01，在IIS管理器中添加一個名稱為ActiveSync的網(wǎng)站站點。綁定該網(wǎng)站站點使用IP地址10.1.1.2，如圖。

2、使用命令創(chuàng)建虛擬目錄。（需要注意的是ExternalUrl為手機外網(wǎng)登陸入口，需要在公網(wǎng)DNS添加對應(yīng)的DNS解析記錄。）如圖

3、在服務(wù)器CAS02上進行同樣的操作，添加一個網(wǎng)站站點。如圖。

4、使用命令創(chuàng)建手機登了的虛擬目錄。

5、命令創(chuàng)建完成后，使用命令查看當前服務(wù)器的手機登了的虛擬目錄設(shè)置，如圖。

6、創(chuàng)建完成后，啟動網(wǎng)站站點ActiveSync。如圖。

7、接下來就是網(wǎng)絡(luò)工程師發(fā)布Exchange手機登錄的端口，然后使用手機驗證公網(wǎng)是否能夠成功登錄。

本文轉(zhuǎn)自 jialt 51CTO博客，原文鏈接:http://blog.51cto.com/jialt/1790161

總結(jié)

以上是生活随笔為你收集整理的分离Exchange的OWA和Microsoft-Server-Activesync手机访问的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。