最近遇到一个需求,公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。然后,公司邮件系统是发布公网使用的,要直接限制部分员工不能外网访问有一定的困难,经过讨论想到了两个解决方案。
第一个方案,利用方向代理来提供身份认证。使用一台反向代理设备来提供邮件系统公网发布,用户通过Internet访问OWA或者outlook anywhere、activesync的时候,如果是部分被限制的用户,那么反向代理就阻止访问请求。这个方案虽然可行,但是对现有系统架构会产生变更,并且微软的反向代理产品TMG已经停产,如果采购第三方的产品又将是一笔支出,很快这方案就被否定了。
第二个方案,利用IIS授权规则来限制用户访问。使用IIS授权需要在IIS安全性中添加URL授权功能,通过授权规则,可以配置对一些用户、组或者谓词的访问限制。我们把这部分用户添加到一个安全组中,然后通过IIS授权规则来对OWA、RPC(目的限制outlook anywhere)、EWS(目的限制mac的邮件访问)目录访问进行限制,然后在内网重新部署一台CAS服务器,让这部分用户在内网的时候通过该服务器来访问。该方案很快通过,那么开始实施。本环境使用的是Windows 2008 R2+Exchange 2010。如果使用Exchange 2013环境方法类似。
1、首先在服务器管理器中为IIS添加URL授权功能,如下图勾选。
2、确认信息后开始安装。
3、完成安装后,打开IIS管理器,选择OWA虚拟目录,然后双击授权规则<
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
