Exchange Server: Desactivar el acceso al Centro de administración de Exchange

El Centro de administración de Exchange (EAC) es la interfaz de administración principal para Exchange 2013 o posterior. Para obtener más información, vea Centro de administración de Exchange en Exchange Server. De forma predeterminada, el acceso al EAC no está restringido y el acceso a Outlook en la Web (formalmente conocido como Outlook Web App) en un servidor exchange accesible desde Internet también proporciona acceso al EAC. Necesitará credenciales válidas para iniciar sesión en el EAC, pero es posible que las organizaciones deseen restringir el acceso al EAC para conexiones de cliente a través de Internet.

En Exchange Server 2019, puede usar reglas de acceso de cliente para bloquear el acceso de cliente al EAC. Para obtener más información, vea Reglas de acceso de cliente en Exchange Server.

El directorio virtual EAC se denomina ECP y lo administran los cmdlets *- ECPVirtualDirectory . Al establecer el parámetro AdminEnabled en el valor $false del directorio virtual EAC, se deshabilita el acceso al EAC para las conexiones de cliente interno y externo, sin afectar al acceso a la página Opciones de configuración> de Outlook en la Web.

Ubicación del menú Opciones en Outlook en la Web.

Pero esta configuración presenta un nuevo problema: se deshabilita totalmente el acceso al EAC en el servidor, incluso para los administradores de la red interna. Para corregir este problema, tiene dos opciones:

  • Configure un segundo servidor de Exchange al que solo se pueda acceder desde la red interna para controlar las conexiones EAC internas.

  • En el servidor exchange existente, cree un nuevo sitio web de Internet Information Services (IIS) con nuevos directorios virtuales para el EAC y Outlook en la Web a los que solo se puede acceder desde la red interna.

    Nota: Debe configurar el EAC y Outlook en la Web en el nuevo sitio web, ya que el EAC requiere el módulo de autenticación Outlook en la Web del mismo sitio web.

¿Qué necesita saber antes de empezar?

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Paso 1: Uso del Shell de administración de Exchange para deshabilitar el acceso al EAC

Recuerde que este paso deshabilita el acceso al EAC en el servidor para conexiones internas y externas, pero todavía permite a los usuarios acceder a su propia página Opciones de configuración> en Outlook en la Web.

Para deshabilitar el acceso al EAC en un servidor exchange, use la sintaxis siguiente:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false

Este ejemplo deshabilita el acceso al EAC en el servidor denominado MBX01.

Set-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" -AdminEnabled $false

¿Cómo sabe si este paso funcionó?

Para comprobar que ha deshabilitado el acceso al EAC en el servidor, reemplace Server> por< el nombre del servidor Exchange y ejecute el siguiente comando para comprobar el valor de la propiedad AdminEnabled:

 Get-ECPVirtualDirectory -Identity "MBX01\ecp (Default Web Site)" | Format-List AdminEnabled

Al abrir o desde la red interna, se abre https://<servername>/ecp su propia páginaOpciones de configuración> en Outlook en la Web se abre en lugar del EAC.

Paso 2: Dar acceso al EAC en la red interna

Seleccione una de las siguientes opciones.

Opción 1: Configurar un segundo servidor exchange al que solo se puede acceder desde la red interna

El valor predeterminado de la propiedad AdminEnabled está True en el directorio virtual de EAC predeterminado. Para confirmar este valor en el segundo servidor, reemplace Server> por< el nombre del servidor y ejecute el siguiente comando:

Get-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" | Format-List AdminEnabled

Si el valor es False, reemplace Server> por< el nombre del servidor y ejecute el siguiente comando:

Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $true

Opción 2: Crear un nuevo sitio web en el servidor de Exchange existente y configurar el EAC y Outlook en la Web en el nuevo sitio web para la red interna

Los pasos necesarios son:

  1. Agregue una segunda dirección IP al servidor exchange.

  2. Cree un nuevo sitio web en IIS que use la segunda dirección IP y asigne permisos de archivo y carpeta.

  3. Copie el contenido de los sitios web predeterminados en el nuevo sitio web.

  4. Cree nuevos directorios virtuales de EAC y Outlook en la Web para el nuevo sitio web.

  5. Reinicie IIS para que los cambios surtan efecto.

Importante

Al instalar una actualización acumulativa (CU) de Exchange Server, el CU no actualizará los archivos en el nuevo sitio web ni en los directorios virtuales. Después de aplicar la CU, debe quitar completamente el nuevo sitio web, los directorios virtuales y el contenido de las carpetas y, luego, volver a crearlos.

Paso 2a: Agregar una segunda dirección IP al servidor exchange

Puede agregar un segundo adaptador de red y asignar la dirección IP al segundo adaptador de red, o puede asignar una segunda dirección IP al adaptador de red existente.

A continuación, se describen los pasos para asignar una segunda dirección IP al adaptador de red existente.

  1. Abra las propiedades del adaptador de red. Por ejemplo:

    a. Desde una ventana del símbolo del sistema, el Shell de administración de Exchange o el cuadro de diálogo Ejecutar , ejecute ncpa.cpl.

    b. Haga clic con el botón derecho en el adaptador de red y elija Propiedades.

    Propiedades del adaptador de red en Windows.

  2. En las propiedades del adaptador de red, seleccione Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades.

  3. En la ventana Propiedades del protocolo de Internet versión 4 (TCP/IPv4) que se abre, haga clic en Opciones avanzadas en la pestaña General.

  4. En la ventana Configuración avanzada de TCP/IP que se abre, haga clic en Agregar en la sección Direcciones IP de la pestaña Configuración IP y escriba la dirección IP.

    Ventana Configuración avanzada de TCP/IP de las propiedades del adaptador de red.

    Nota: Si agrega un segundo adaptador de red, en la pestaña DNS de la ventana Configuración avanzada de TCP/IP, desmarque Registrar la dirección de esta conexión en DNS.

    Pestaña DNS en la ventana Configuración avanzada de TCP/IP.

Paso 2b: Crear un nuevo sitio web en IIS que use la segunda dirección IP y asigne permisos de archivo y carpeta

  1. Abra el Administrador de IIS en el servidor Exchange. Una manera fácil de hacerlo en Windows Server 2012 o posterior es presionar la tecla Windows + Q, escribir inetmgr y seleccionar el Administrador de Internet Information Services (IIS) en los resultados.

  2. Expanda el servidor en el panel Conexiones, seleccione Sitios y haga clic en Agregar sitio web en el panel Acciones.

    En el Administrador de IIS, expanda el servidor y seleccione Sitios.

  3. En la ventana Agregar sitio web que aparece, configure las siguientes opciones:

    • Nombre del sitio: EAC_Secondary

    • Ruta de acceso física: C:\inetpub\EAC_Secondary

    • Enlace

      • Tipo: https

      • Dirección IP: seleccione la segunda dirección IP que agregó en el paso anterior.

      • Puerto: 443

    • Certificado SSL: elija el certificado que desea usar (por ejemplo, el certificado de Exchange predeterminado denominado Microsoft Exchange).

    Cuando haya terminado, haga clic en Aceptar.

    Sitios web adecuados para el sitio web secundario de EAC.

  4. Cree ecp y owa carpetas en C:\inetpub\EAC_Secondary.

    a. En el Administrador de IIS, seleccione el EAC_Secondary sitio web y, en el panel Acciones , haga clic en Explorar.

    En el Administrador de IIS, seleccione el nuevo sitio web de EAC en el panel Sitios.

    b. En la ventana Explorador de archivos que se abre, cree las siguientes carpetas en C:\inetpub\EAC_Secondary:

    • ecp

    • owa

    Cuando haya terminado, cierre el Explorador de archivos.

  5. Asigne permisos De lectura & Ejecutar al grupo de seguridad local denominado IIS_IUSRS en la C:\inetpub\EAC_Secondary carpeta.

    a. En Administrador de IIS, seleccione el EAC_Secondary sitio web y, en el panel Acciones , haga clic en Editar permisos.

    b. Seleccione la pestaña Seguridad de la ventana Propiedades de EAC_Secondary que se abre y haga clic en Editar.

    c. En la ventana Permisos para EAC_Secondary que se abre, haga clic en Agregar.

    d. En la ventana Seleccionar usuarios, equipos, cuentas de servicio o grupos que se abre, realice los siguientes pasos:

    i. Haga clic en Ubicaciones y en el cuadro de diálogo Ubicaciones que se abre, seleccione el servidor local y haga clic en Aceptar.

    ii. En el campo Escriba los nombres de objeto para seleccionar , escriba IIS_IUSRS, haga clic en Comprobar nombresy, a continuación, haga clic en Aceptar.

    Agregar permisos.

    e. En la ventana Permisos para EAC_Secondary, seleccione IIS_IUSRS y, en la columna Permitir, seleccione Lectura y ejecución (que selecciona automáticamente los permisos Hacer una lista del contenido de la carpeta y Lectura) y después haga clic en Aceptar dos veces.

Paso 2c: Copiar el contenido de los sitios web predeterminados en el nuevo sitio web

  • Copie todos los archivos y carpetas del sitio web predeterminado (C:\inetpub\wwwroot) en C:\inetpub\EAC_Secondary. Puede omitir los siguientes archivos que no se pueden copiar:

    • MacCertification.asmx

    • MobileDeviceCertification.asmx

    • decomission.asmx

    • editissuancelicense.asmx

  • Copie todos los archivos y carpetas de %ExchangeInstallPath%FrontEnd\HttpProxy\ecp a C:\inetpub\EAC_Secondary\ecp.

  • Copie todos los archivos y carpetas de %ExchangeInstallPath%FrontEnd\HttpProxy\owa a C:\inetpub\EAC_Secondary\owa.

Paso 2d: Uso del Shell de administración de Exchange para crear un nuevo EAC y Outlook en la Web directorios virtuales para el nuevo sitio web

Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

Reemplace Server> por< el nombre del servidor y ejecute los siguientes comandos para crear el nuevo EAC y Outlook en la Web directorios virtuales para el nuevo sitio web.

New-EcpVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\ecp"
New-OwaVirtualDirectory -Server <Server> -Role ClientAccess -WebSiteName EAC_Secondary -Path "C:\inetpub\EAC_Secondary\owa"

Paso 2e: Reiniciar IIS

  1. En el Administrador de IIS, seleccione el servidor en el panel Conexiones.

  2. En el panel Acciones, haga clic en Reiniciar.

Nota: Para reiniciar IIS desde la línea de comandos, abra un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador) y ejecute los siguientes comandos:

net stop w3svc /y
net start w3svc

¿Cómo sabe si esta tarea funcionó?

Para comprobar que ha deshabilitado correctamente el acceso al EAC en un servidor exchange, siga estos pasos:

  1. Pruebe la dirección URL interna y externa de la organización para Outlook en la Web. Por ejemplo, si la dirección URL externa es https://mail.contoso.com/oway la dirección URL interna usa https://mbx01.contoso.com/owa los procedimientos siguientes para comprobar la configuración:

    • Compruebe que los usuarios internos y externos pueden abrir sus buzones mediante Outlook en la Web, incluida la página Opciones de configuración>.

    • Compruebe eso https://mail.contoso.com/ecp y https://mbx01.contoso.com/ecp devuelva cualquiera de los siguientes resultados:

      • 404: página no encontrada

      • El usuario se redirige a su página Opciones de configuración> en Outlook en la Web.

  2. Compruebe que los administradores puedan tener acceso al EAC en la red interna basada en la selección de la configuración:

    • Segundo servidor de Exchange: si el segundo servidor de Exchange se denomina MBX02, compruebe que https://mbx02.contoso.com/ecp abre el EAC.

    • Nuevo sitio web de EAC en el servidor exchange existente: si la dirección IP del nuevo sitio web de EAC es 10.1.1.12, compruebe que https://10.1.1.12/ecp abre el EAC.