Я тщательно искал эту проблему в Google безрезультатно, и нахожусь в той точке, где предложение Microsoft на поддержку в 2000 долларов действительно выглядит разумным, но я надеялся, что, возможно, у кого-то из присутствующих появится идея.
ПРОБЛЕМА: мы хотели бы отключить доступ к Exchange для всех, кто не находится в нашей корпоративной локальной сети. Это место является небольшим ответвлением основного филиала, и его электронная почта размещена локально по соображениям безопасности. Мы не хотим, чтобы кто-либо за пределами здания мог добавить свою учетную запись Exchange в программу установки Outlook, мобильное устройство или что-то подобное. Мы запускаем Exchange 2013 на Server 2012R2, IIS 8.
Мы решили проблему мобильных устройств с помощью функции карантина Exchange, но для пользователей настольных компьютеров такой вещи не существует. я пытался:
Я чувствую, что это не должно быть так сложно. Нас не беспокоит внешний доступ к OWA, поскольку перед ним стоит двухфакторное устройство. Отключение автообнаружения тоже не поможет; любые запросы на аутентификацию в Exchange с общедоступного IP-адреса должны быть отклонены, точка.
Я знаю, что эта проблема довольно нишевая (учитывая, что я обнаружил лишь несколько подобных инцидентов в Google), но я надеюсь, что кто-то здесь сможет понять, что я делаю не так. Заранее спасибо!
Самый простой способ - просто не открывать свой почтовый сервер на портах 80/443 внешнему миру, если вы не хотите, чтобы ЛЮБОЙ внешний доступ имел к нему доступ. По-прежнему позволяет внутреннее общение. Если у вас есть правила брандмауэра, разрешающие это, отключите их.
Вам нужен обратный прокси. Группа разработчиков продукта Exchange описала, как это сделать, в блоге за 2013 год.
Это позволит вам контролировать доступ к 443, поэтому вы можете разрешить OWA, ActiveSync, но заблокировать Outlook Anywhere.
Хотя ограничения IP-адреса должны были работать. Вы запускали IISRESET после этого, чтобы он вступил в силу?