最近遇到一个需求,公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。然后,公司邮件系统是发布公网使用的,要直接限制部分员工不能外网访问有一定的困难,经过讨论想到了两个解决方案。
第一个方案,利用方向代理来提供身份认证。使用一台反向代理设备来提供邮件系统公网发布,用户通过Internet访问OWA或者outlook anywhere、activesync的时候,如果是部分被限制的用户,那么反向代理就阻止访问请求。这个方案虽然可行,但是对现有系统架构会产生变更,并且微软的反向代理产品TMG已经停产,如果采购第三方的产品又将是一笔支出,很快这方案就被否定了。
第二个方案,利用IIS授权规则来限制用户访问。使用IIS授权需要在IIS安全性中添加URL授权功能,通过授权规则,可以配置对一些用户、组或者谓词的访问限制。我们把这部分用户添加到一个安全组中,然后通过IIS授权规则来对OWA、RPC(目的限制outlook anywhere)、EWS(目的限制mac的邮件访问)目录访问进行限制,然后在内网重新部署一台CAS服务器,让这部分用户在内网的时候通过该服务器来访问。该方案很快通过,那么开始实施。本环境使用的是Windows 2008 R2+Exchange 2010。如果使用Exchange 2013环境方法类似。
1、首先在服务器管理器中为IIS添加URL授权功能,如下图勾选。
2、确认信息后开始安装。
3、完成安装后,打开IIS管理器,选择OWA虚拟目录,然后双击授权规则
4、在右侧操作窗口选择添加拒绝规则
5、在拒绝将访问此web内容的权限授予这里勾选指定的角色或用户组,填写创建好的安全组名称。
配置完毕,下面测试一下外部owa的访问,输入账号密码提示密码错误无法登陆了。
打开outlook客户端,同样也提示登录失败。
通过上述配置和测试,Exchange已经完全能够阻止部分用户外网访问邮箱了,因为EWS目录被阻止,所以还需要内网搭建一台前端服务器,否则这部分用户无法访问日历忙闲状态。