Exchange Server ECP’yi Kapatma
Merhaba, bu yazımda MS Exchange Server ECP’yi dış dünyadan erişime nasıl kapatıldığından bahsedeceğim. ECP Exchange Server yöneticilerinin bir çok işini kolaylaştırsa da, aynanın diğer tarafına bakmakta fayda var.
ECP‘nin her yerden erişilmesi Exchange Server için büyük bir güvenlik açığı olabilir, ECP’ye brute force saldırısı yapılmasını istemeyiz 🙂
Biz ECP‘yi kapatmak için IIS kullanacağız ama imkanınız var ise Firewall veya WAF ile bu işlemi yapmanızdır. ECP’nin URL’si Mailbox Role sunucusundaki Client Access (frontend) servisindeki IIS dizini tarafından denetlenmektedir.
IIS üzerinde IP and Domain Restrictions modülüne ihtiyacımız bulunmaktadır. Eğer bu modül yüklü değilse Server Manager üzerinde aşağıda görselde bulunan adımdan işaretleyerek yükleyebilirsiniz.
Bu işlemleri Exchange Server 2013 – 2016 sürümlerinde yapabilirsiniz, Exchange Server 2019’da Client Access Rules kullanabilirsiniz.
Server Manager – Add roles and feautures – Server Roles – Web Server (IIS) – Web Server – Security – Ip and Domain Restrictions – Next – Install adımı ile yükleyebilirsiniz.
Kurulum tamamlandıktan sonra IIS‘i açıyoruz.(inetmgr)
IIS – Default Web Site – ECP– IP Address and Domain Restrictions modülüne geliyoruz.
Sağ tarafta Actions sekmesi altında bulunan “Edit Feature Settings” menüsüne geliyoruz. IP adresi belirtilmemiş her istemcinin ECP‘ye erişimini engellemek için “Access for unspecified clients” adımını “Deny” olarak değiştiriyoruz. Deny Action Type bölümünü ise ben “Abort” olarak kullanmaktayım.
Herhangi bir IP adresi tanımlaması yapmazsak Exchange Server yüklü olan sunuculardan dahil ECP’ye erişemeyiz.
Burda önerilen yöntem sadece Exchange Server Yönetim Sunucusuna izin vermektir.
Belirli IP adreslerine izin vermek için Sol menüde bulunan Actions sekmesinde ki Add Allow Entry bölümünü kullanmamız gerekmektedir.
Eğer tek bir IP adresine izin verecekseniz, “Specific IP Address” bölümünü kullanmanız gerekmektedir.
Bir IP Aralığına izin verecekseniz “IP Address range” bölümünü kullanmanız gerekmektedir.
Ben LAB ortamımdaki yapı için sadece 127.0.0.1 adresini kullanıyorum.
Bir IP adresi aralığı kullanmak isterseniz aşağıdaki gibi girebilirsiniz.
Daha sonra CMD’yi Run as administrator olarak açmamız ve IISRESET komutunu çalıştırmamız gerekmektedir.
Şimdi Exchange Server’ın yüklü olduğu sunucudan ECP’ye erişebilirim, test işlemi için https://localhost/ecp adresine gidiyorum.
Başka bir IP adresinden erişmek istediğim zaman aşağıdaki gibi sayfaya erişemiyorum.
Eline sağlık.
Teşekkürler hocam
Hayır yok, bunun için firewall dan path rule veya waf-nlb kullanmanız gerekli. Yani Windows OS ile bunu yapamıyorsunuz.
Teşekkürler bilgi için.
LB üzerinden servis veriyorsanız eğer bu yöntem işe yaramaz. Tutarsız davranır yani. En iyi çözüm, LB üzerinden engellemek ya da IIS üzerinde virtual directory’i çoğaltarak servisin URL adresini değiştirmek.