Vill man begränsa åtkomst till Exchange Admin Center från internet så får man skapa en ny website kopplad till en sekundär IP. Sen får man begränsa åtkomst till den “vanliga” ECP siten med -AdminEnabled $false.
Stegen i stora drag.
1. Lägg till en sekundär IP på Exchange 2013 (kör get-netipaddress x.x.x.x | set-netipaddress -skipassource $true)
2. Skapa en folder där du vill ha siten, kalla den exadmin.
3. Bind websiten till port 80 och 443
4. Skapa ett nytt ECP virtual directory med kommandot:
New-OwaVirtualDirectory -Server -WebSiteName "Exadmin" -InternalUrl "https://exadmin.fqdn.com/owa"
5. Begränsa åtkomst till Admin Center för den "vanliga" siten med kommandot:
Set-ECPVirtualDirectory -Identity "ServerName\ecp (default web site)" -AdminEnabled $false
6. Skapa ett DNS record för exadmin.
7. Ställ in redirect till https://exadmin.fqdn/ecp/?ExchClientVer=15
Om man bara vill begränsa åtkomst från internet så är man klar eftersom det inte bör finnas någon regel i brandväggen som tillåter trafik till det sekundära ipadressen.
Vill man begränsa även intern trafik så får man installera IP address restrictions delen i IIS.
angsknarren 