Мы размещаем несколько доменов в нашей инфраструктуре, включая биржу и хостинг Blackberry. Некоторые из наших клиентов имеют прямое vpn-соединение с нашим центром обработки данных, потому что это необходимо для их приложений.
И это вызывает следующую проблему:
Некоторые клиенты Outlook подключаются к нашему Exchange-серверу через прямой mapi (tcp / ip - не через rpc через http), и это приводит к тому, что они могут видеть каждый почтовый адрес из других доменов.
Вот почему мы хотим, чтобы пользователи не подключались к своим клиентам напрямую через tcp / ip. Они должны подключаться только через rpc через http. Есть ли способ добиться этого? без избегаете подключения нашего BlackBerry Enterprise Server к нашей бирже?
Вы можете настроить Oulook так, чтобы он предпочитал RPC / HTTPS-соединения вместо прямого RPC, даже если он доступен, но если я правильно понимаю ваш вопрос, это внешние клиенты, и вы не управляете ими, поэтому настройку его оставят на усмотрение пользователей. правильно.
Вы не можете отключить доступ MAPI на сервере Exchange, так как это заблокирует «настоящих» внутренних пользователей и службы / приложения MAPI (например, BES).
Ваш единственный вариант - заблокировать трафик. Я не знаю, что вы используете в качестве конечной точки VPN, но большинство устройств могут применять политики брандмауэра к трафику VPN; просто заблокируйте прямой доступ от клиентов VPN к серверам Exchange, и все будет в порядке. Если вы не можете сделать это на конечной точке VPN, то другой вариант - настроить брандмауэр Windows на серверах Exchange, чтобы он делал то же самое.