目标:通过 Air Watch 实现移动设备管理服务器 (MDM) 进行身份验证,不允许移动设备直接从互联网使用 443 将 ActiveSync 流量传递到已发布的 CAS 服务器,但同时保持 OWA 和 Outlook Anywhere 继续使用端口 443,这样我们就无法阻止它进入高级防火墙。这意味着所有设备都应连接到 MDM 服务器,该服务器将代理将请求发送到 Exchange 2010 ActiveSync。
已取得成果:所有互联网设备都使用端口 443 连接到 MDM 服务器,然后 MDM 服务器使用 443 代理设备与 Exchange Active Sync Server 的连接。
问题:一些用户知道他们仍然可以通过 443 连接到 CAS 服务器并访问 ActiveSync,从而绕过 MDM 服务器。如果我们从公共 DNS 中删除子 URL 或阻止防火墙对 CAS 服务器的 443 访问,那么用户也将无法在任何地方使用 OWA 和 Outlook。
问题:您是否认为,在 2010 CAS 上为 Active Sync 服务创建新网站以监听端口 444,而将其余服务保留在默认网站和端口 443 上,然后删除在 443 上运行的 Active Sync 是可行的?我们的防火墙不执行反向代理,我们知道实施并仅通过 TMG 发布 OWA 可以解决这个问题,但这不是一种选择。
有什么想法吗?
答案1
答案:已解决,以下解决方案 100% 受 Microsoft 支持。
1) 从 IIS 管理器创建一个监听 444 端口的新网站 启用 SSL 与默认网站使用相同的证书 相同的监听 IP 在 ActiveSync 上配置与默认网站相同的外部 URL
2) 从“Exchange Power Shell”指定 Exchange Active Sync 使用新网站 这意味着 Active Sync 现在也将监听端口 444。
3)编辑端口 444 上的 MDM 服务器配置文件代理。
4) 删除 Exchange Active Sync 以使用“Exchange Power Shell”中的默认网站这意味着 Active Sync 将不再监听端口 443。