码迷,mamicode.com
首页 > 其他好文 > 详细

Exchange中限制部分用户外网访问

时间:2016-10-21 02:04:44      阅读:227      评论:0      收藏:0      [点我收藏+]

标签:outlook   解决方案   internet   anywhere   代理产品   

最近遇到一个需求,公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。然后,公司邮件系统是发布公网使用的,要直接限制部分员工不能外网访问有一定的困难,经过讨论想到了两个解决方案。

第一个方案,利用方向代理来提供身份认证。使用一台反向代理设备来提供邮件系统公网发布,用户通过Internet访问OWA或者outlook anywhere、activesync的时候,如果是部分被限制的用户,那么反向代理就阻止访问请求。这个方案虽然可行,但是对现有系统架构会产生变更,并且微软的反向代理产品TMG已经停产,如果采购第三方的产品又将是一笔支出,很快这方案就被否定了。


第二个方案,利用IIS授权规则来限制用户访问。使用IIS授权需要在IIS安全性中添加URL授权功能,通过授权规则,可以配置对一些用户、组或者谓词的访问限制。我们把这部分用户添加到一个安全组中,然后通过IIS授权规则来对OWA、RPC(目的限制outlook anywhere)、EWS(目的限制mac的邮件访问)目录访问进行限制,然后在内网重新部署一台CAS服务器,让这部分用户在内网的时候通过该服务器来访问。该方案很快通过,那么开始实施。本环境使用的是Windows 2008 R2+Exchange 2010。如果使用Exchange 2013环境方法类似。

1、首先在服务器管理器中为IIS添加URL授权功能,如下图勾选。

技术分享


2、确认信息后开始安装。


技术分享


3、完成安装后,打开IIS管理器,选择OWA虚拟目录,然后双击授权规则

技术分享


4、在右侧操作窗口选择添加拒绝规则

技术分享


5、在拒绝将访问此web内容的权限授予这里勾选指定的角色或用户组,填写创建好的安全组名称。

技术分享


配置完毕,下面测试一下外部owa的访问,输入账号密码提示密码错误无法登陆了。

技术分享

打开outlook客户端,同样也提示登录失败。

技术分享


通过上述配置和测试,Exchange已经完全能够阻止部分用户外网访问邮箱了,因为EWS目录被阻止,所以还需要内网搭建一台前端服务器,否则这部分用户无法访问日历忙闲状态。

本文出自 “李珣博客-微软技术与云” 博客,请务必保留此出处http://lixun.blog.51cto.com/4198640/1863859

Exchange中限制部分用户外网访问

标签:outlook   解决方案   internet   anywhere   代理产品   

原文地址:http://lixun.blog.51cto.com/4198640/1863859

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!