Externen Zugriff auf Exchange Admin Center sperren

Seit der Microsoft Exchange Server Version 2013 gibt es für die Konfiguration und Verwaltung statt der Altbekannten Exchange Verwaltungskonsole nur mehr das Exchange Admin Center, welches über den Webbrowser erreichbar ist.

Standardmäßig kann das Admin Center theoretisch von jedem PC im Netzwerk aufgerufen und darauf zugegriffen werden. Das stellt oft aus Sicherheitstechnischer Sicht ein großes Problem dar. Viel größer wird das Problem allerdings noch wenn man Outlook Web Access (OWA) verwendet und den Zugriff darauf auch noch in der Firewall für den Zugriff über das Internet freigibt, denn hiermit ermöglicht man automatisch auch den Zugriff auf das Admin Center.

Bei der Freigabe von Outlook Web Access empfiehlt es sich Grundsätzlich sowieso, dieses nur über einen Reverse Proxy freizugeben, da somit von Extern kein direkter Zugriff auf den Server möglich ist und hier auch der Zugriff auf das Admin Center über das Internet unterbunden werden kann.

Sollte die Möglichkeit zur Verwendung eines Reverse Proxys nicht bestehen kann man den Zugriff aber immer noch über eine Client Access Policy einschränken. Damit kann man den Zugriff auf das Exchange Admin Center nur für bestimmte IP- Adressbereiche oder sogar auf einzelne IP- Adressen beschränken.

Zugriff auf Exchange Admin Center von Extern sperren

Um den Zugriff auf das Exchange Admin Center einzuschränken muss über die Exchange Management Shell folgender Befehl verwendet werden:

New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges <BEREICH>

Beispiel:

New-ClientAccessRule -Name "Block External ECP Logins" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.0.0/24

Bei diesem Beispiel wäre dann ein Zugriff auf das Admin Center nur mehr aus dem Netz 192.168.0.0/24 möglich.

Exchange Server Verwaltungs Shell

Nach dem die Client Access Rule erstellt wurde müssen noch die Internetinformationsdienste (IIS) neu gestartet werden. Das geht am einfachsten, wenn man die Eingabeaufforderung (CMD) als Administrator start und den Befehl iisreset ausführt.

IIS Dienst neu starten

Wird das Admin Center jetzt von einer Externen Quelle aufgerufen erscheint zwar die Anmeldeseite, allerdings erscheint nach dem Anmelden eine Fehlermeldung.

4 Kommentare

  1. Hallo Torsten,

    wie kann ich denn mehrere interne Subnets angeben aus denen das Exchange Admin Center erreichbar sein soll?

    Beste Grüße,
    Jan

    1. Das würd mich auch sehr intressieren. Leider kann man nachdem man ein Subnetz hinzugefügt hat, kein weiteres mehr hinzufügen.

      Active Directory operation failed on „Domain“. The object ‚CN=Block External ECP Logins,CN=Client Access
      Rules,CN=Seele,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=loc‘ already exists.

      Muss ich da den Namen (New-ClientAccessRule -Name „Block External ECP Logins“) auf Block External ECP Logins2 z.B ändern?

      LG
      David

  2. Moin Torsten

    Ich bekomme direkt den Fehler:
    [i]New-ClientAccessRule : The term ‚New-ClientAccessRule‘ is not recognized as the name of a cmdlet, function, script
    file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct
    and try again.
    At line:1 char:1
    + New-ClientAccessRule -Name „Block External ECP Logins“ -Action DenyAc …
    + ~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : ObjectNotFound: (New-ClientAccessRule:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException[/i]

    …fehlt mir da nen Feature oder so?

    LG
    Uwe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.