Dec 10, 2013
Zu den neuen Funktionen von Exchange 2013 gehört unter anderem die recht nette Exchange Verwaltungskonsole , mittels der die gängigsten administrativen Aufgaben erledigt werden können. Die Konsole ist nun komplett webbasiert, was unserer Meinung auch nach einige Nachteile mit sich bringt.

Denn bei einer einfachen und kleineren Exchange-Installation steht der der Server zumeist direkt am Internet, um den Mitarbeitern Funktionen wie Outlook Web App oder ActiveSync zur Verfügung zu stellen. Hier ist nun das Problem, dass nicht nur Web App aus dem Internet erreichbar ist, sondern auch die komplette Verwaltungskonsole. Mehr als unschön.

Tatsächlich gibt es zur Zeit von Microsoft wenig Hilfe, um das Dilemma zu beheben. Ein Vorschlag ist zum Beispiel, die Konsole auf dem internetseitigen CAS Server (Client Access Server) zu deaktivieren und diese auf einem zweiten, nur aus dem LAN zugänglichen CAS Server, laufen zu lassen.


Aber wer möchte sich hierfür extra eine zweite Serverlizenz anschaffen? In der Vergangenheit hat Microsoft Forefront hierbei gute Dienste geleistet, um den Admin-Zugriff abzusichern. Doch leider ist Forefront-Protection for Exchange von Microsoft eingestellt worden und ein adäquater Ersatz nicht in Sicht. Es gibt natürlich Produkte von Drittherstellern und die Möglichkeit, über sogenannte "Reverse Proxies" Exchange abzusichern. Was durchaus zu empfehlen, aber wiederum mit weiteren Kosten und Zeitaufwand verbunden ist.

WARUM ALSO DIE EXCHANGE VERWALTUNGSKONSOLE NICHT EINFACH AUF EINEM ANDEREN PORT LAUFEN LASSEN?
Dieser sollte durch entsprechende Firewall-Regeln aus dem Internet natürlich auf keinen Fall erreichbar sein. Eine Lösung, die wir bei einigen Installationen im Einsatz haben. Nachteile oder Probleme sind uns bisher nicht bekannt, auch wenn wir nicht garantieren können, dass diese eventuell in bestimmten Szenarien auftreten könnten; mithin ohne Gewähr 🙂


Hier nun die Anleitung, wie diese Konfiguration durchgeführt werden kann.
Zunächst wird in der IIS Verwaltungskonsole eine weitere Webseite erstellt, die an einen anderen Port gebunden wird:


Einen Pfad im Dateisystem anlegen und Rechte setzten.

Im IIS Manager eine neue Webseite erstellen und an Port 8443 binden:

Falls Sie über ein "echtes" SSL-Zertifikat verfügen, können Sie natürlich auch dieses auswählen.


Nun muss nur noch eine Firewallregel konfiguriert werden, damit der Server auf dem Port Verbindungen entgegen nehmen kann:

Nachdem die Webseite nun läuft und per Browser erreichbar ist, muss dem Exchange Server noch mittgeteilt werden, dass er auf dieser Site eine weiter Administrationskonsole laufen hat. Hierzu öffnen wir auf dem Server die Exchange Management Shell.


Zunächst lassen wir uns einfach mal die vorhandenen Administrationsseiten anzeigen:
Get-EcpVirtualDirectory

Zur Zeit gibt es nur ein Admininterface auf der Default Website des Server CAS01,
fügen wir eine weitere hinzu:
New-EcpVirtualDirectory -Server CAS01 -WebSiteName internalManagement

Das neue Verzeichnis ist erstellt und wir werden darauf hingewiesen, dass auch ein OWA-Verzeichnis vorhanden sein sollte. Tun wir Exchange den Gefallen:
New-OwaVirtualDirectory -Server CAS01 -WebSiteName internalManagement

In der IIS Verwaltungsconsole sind nun die beiden virtuellen Verzeichnisse hinzu gekommen:

Über die URL https://ServerName:8443/ECP sollte die Konsole nun erreichbar sein:

Zuletzt muss nun noch der dem Internet zugewandten Konsole die Administrationsfunktionen entzogen werden. Schauen wir uns erst einmal an, wie hier die Einstellungen gesetzt sind:
Get-EcpVirtualDirectory | ft Name, AdminEnabled

Was die Einstellung "AdminEnabled" bewirkt, kann hier nachgelesen werden (http://technet.microsoft.com/de-de/library/jj218639(v=exchg.150).aspx) - kurz gesagt wird hierüber gesteuert, ob die administrativen Funktionen eingeschränkt werden sollen oder nicht. Wir werden nun genau dies tun:
Set-EcpVirtualDirectory "CAS01ecp (Default Web Site)" -AdminEnabled $false

Fertig. Nun gilt es tatsächlich ein paar Minuten zu warten oder den Anweisungen auf dem Bildschirm zu folgen. Über das Internet lässt sich Exchange nun nicht mehr administrieren, nur noch über Port 8443 - der nur noch über das LAN erreichbar sein sollte.


Wie schon erwähnt, gibt es noch weitaus effektivere Möglichkeiten, Exchange abzusichern - hierbei beraten wir Sie natürlich gerne.


Ihr Steffen Becker