分离Exchange的OWA和Microsoft-Server-Activesync手机访问

            在很多场景中Exchange 的OWA都是发布到Internet的，但这也给***提供了一个暴力破解用户名和密码的入口。（我个人觉得在没有***检测设备的情况下，可以将用户的登陆名设置为和SMTP前缀不一致，以及对用户的输入密码错误次数进行限制，这样也可以启动一定的防护作用。唯一的缺点就是用户需要记录SMTP地址为，还要记录一个登陆名）基于这种情况，很多人就会想办法解决此问题，有的人提出我将本公司的Exchange OWA和OutlookanyWhere都不对公网发布，但是现在是移动办公时代，仍然需要开启手机移动端访问Exchange的入口。下面就简单介绍一下如何实现Exchange在公网只发布移动设备访问入口，而不发布OWA和Outlookanywhere。

一、准备条件

        我的环境里面有两台Exchange CAS服务器，分别为CAS01和CAS02。

1、首先我们需要为每台CAS服务器指定两个内网IP地址。（一个用于OWA使用10.1.1.1，一个用于Microsoft-Server-Activesync使用10.1.1.2）

2、禁用CAS01和CAS02上的Outlookanywhere功能。（也可以不用禁用，只要公网不发布443端口，那么Outlookanywhere功能只能在内网使用。）

3、提前申请CAS01和CAS02服务器上的证书，让证书的备用名称中包含需要发布的手机公网登陆域名。

备注：操作思路是，默认情况下Exchange的OWA和手机访问都是挂载在一个默认网站下面，我们只需要新建一个网站，在此网站下创建手机访问虚拟目录即可。如果要让手机能够正常查看日历等信息，还需要在此网站下创建EWS虚拟目录。

 

二、操作过程

1、登录服务器CAS01，在IIS管理器中添加一个名称为ActiveSync的网站站点。绑定该网站站点使用IP地址10.1.1.2，如图。

2、使用命令创建虚拟目录。（需要注意的是ExternalUrl为手机外网登陆入口，需要在公网DNS添加对应的DNS解析记录。）如图

3、在服务器CAS02上进行同样的操作，添加一个网站站点。如图。

4、使用命令创建手机登了的虚拟目录。

5、命令创建完成后，使用命令查看当前服务器的手机登了的虚拟目录设置，如图。

6、创建完成后，启动网站站点ActiveSync。如图。

7、接下来就是网络工程师发布Exchange手机登录的端口，然后使用手机验证公网是否能够成功登录。

转载于:https://blog.51cto.com/jialt/1790161