Exchange中限制部分用户外网访问

Exchange中限制部分用户外网访问

最近遇到一个要求，某企业的某些部门必须让本单位的部分员工不要根据外网地址申请Exchange电子邮件系统。随后，企业的电子邮件系统宣布申请外网地址，很难立即限制部分员工访问外网地址。经过讨论，想到了两个解决办法。

第一个计划是使用位置代理来显示他们的身份。反向代理机用于显示电子邮件系统的外部地址公告。当用户根据互联网访问OWA或outlookanywhere或activesync时，如果他们是一些受限制的用户，反向代理将阻止访问请求。这个方案虽然可行，但是会改变目前的系统架构。此外，TMG，微软的反向代理产品，已经停止工作。如果购买第三方产品会是一笔开支，这个计划很快就会被否定。

第二个方案使用IIS授权标准来限制用户访问。IIS授权的应用程序必须将URL授权添加到IIS安全因素中。根据授权标准，可以为某些用户、组或谓词配备访问限制。将这些用户添加到一个安全组中，然后根据IIS授权标准限制OWA、RPC(outlookanywhere)、EWS(EmailAccesstomac)文件目录访问，然后在内网中重新配置一个CAS网络服务器，使这些用户在内网的情况下可以根据这个网络服务器进行访问。这个计划很快就有了基础，所以刚刚开始实施。Windows2008R2Exchange2010在这种自然环境中使用。如果Exchange2013的自然环境相似。

1.首先在网络服务器管理工具中为IIS添加URL授权，并如下图所示启用它。

2.确认信息内容后开始安装即可。

3.安装完成后，打开IIS管理工具，选择OWA虚拟目录，然后双击鼠标授权标准

4.在右侧的实际 *** 作对话框中选择，并添加拒绝标准

5.如果您拒绝授予访问此web内容的管理权限，请启用特定的角色或用户组，并填写已建立的安全组的名称。

设备端，下面测试外部owa的访问，输入账号密码，提醒密码错误，无法登录。

打开outlook手机客户端，也提醒登录失败。

根据上述设备和检测，Exchange已经完全阻止了部分用户的外网地址访问电子邮件。因为EWS文件目录被屏蔽，所以需要在内网上搭建一个前端开发网络服务器，否则这些用户无法访问日历忙的情况。