? ? ? ? ? ? 在很多場景中Exchange 的OWA都是發布到Internet的，但這也給黑客提供了一個暴力破解用戶名和密碼的入口。（我個人覺得在沒有入侵檢測設備的情況下，可以將用戶的登陸名設置為和SMTP前綴不一致，以及對用戶的輸入密碼錯誤次數進行限制，這樣也可以啟動一定的防護作用。唯一的缺點就是用戶需要記錄SMTP地址為，還要記錄一個登陸名）基于這種情況，很多人就會想辦法解決此問題，有的人提出我將本公司的Exchange OWA和OutlookanyWhere都不對公網發布，但是現在是移動辦公時代，仍然需要開啟手機移動端訪問Exchange的入口。下面就簡單介紹一下如何實現Exchange在公網只發布移動設備訪問入口，而不發布OWA和Outlookanywhere。

一、準備條件

??????? 我的環境里面有兩臺Exchange CAS服務器，分別為CAS01和CAS02。

1、首先我們需要為每臺CAS服務器指定兩個內網IP地址。（一個用于OWA使用10.1.1.1，一個用于Microsoft-Server-Activesync使用10.1.1.2）

2、禁用CAS01和CAS02上的Outlookanywhere功能。（也可以不用禁用，只要公網不發布443端口，那么Outlookanywhere功能只能在內網使用。）

3、提前申請CAS01和CAS02服務器上的證書，讓證書的備用名稱中包含需要發布的手機公網登陸域名。

備注：操作思路是，默認情況下Exchange的OWA和手機訪問都是掛載在一個默認網站下面，我們只需要新建一個網站，在此網站下創建手機訪問虛擬目錄即可。如果要讓手機能夠正常查看日歷等信息，還需要在此網站下創建EWS虛擬目錄。

?

二、操作過程

1、登錄服務器CAS01，在IIS管理器中添加一個名稱為ActiveSync的網站站點。綁定該網站站點使用IP地址10.1.1.2，如圖。

2、使用命令創建虛擬目錄。（需要注意的是ExternalUrl為手機外網登陸入口，需要在公網DNS添加對應的DNS解析記錄。）如圖

3、在服務器CAS02上進行同樣的操作，添加一個網站站點。如圖。

4、使用命令創建手機登了的虛擬目錄。

5、命令創建完成后，使用命令查看當前服務器的手機登了的虛擬目錄設置，如圖。

6、創建完成后，啟動網站站點ActiveSync。如圖。

7、接下來就是網絡工程師發布Exchange手機登錄的端口，然后使用手機驗證公網是否能夠成功登錄。

本文轉自 jialt 51CTO博客，原文鏈接:http://blog.51cto.com/jialt/1790161

總結

以上是生活随笔為你收集整理的分离Exchange的OWA和Microsoft-Server-Activesync手机访问的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。