Este post ha sido publicado en El Blog de Ncora el 07/10/2015 - http://blog.ncora.com/2015/10/restringir-acceso-al-panel-ecp-en.html
Hoy arrancamos motores con un post sobre Microsoft Exchange Server 2013, el cual ha evolucionado mucho desde la versión de 2003. Con estas modificaciones, hemos visto un cambio radical de la consola de administración. En la versión 2003, Exchange Server venía integrado con consola de gestión de los Usuarios y Equipos de AD, pasando por la nueva consola MMC en 2007 y 2010, hasta el panel web ECP de esta última versión 2013.
Este panel conlleva cierta facilidad de gestión, aunque cuesta encontrar las cosas estando acostumbrados a la consola MMC de 2010. Además, nos facilita acceder desde cualquier lugar a la administración sin necesidad de tener instaladas las herramientas administrativas. En principio todo son ventajas, pero ¿qué pasa con este panel web cuando publicamos el puerto 443 en Internet? Que también estamos publicando nuestro panel de administración, lo cual puede parecer un riesgo.
Para evitar este inconveniente, Microsoft nos propone montar un CAS (Client Access Server) con el panel de OWA únicamente para acceder desde el exterior, dejando un CAS de manera interna con el panel ECP y limitando el acceso desde nuestra red. Esta solución en pequeñas implementaciones suele ser descartada por el coste de tener un nuevo servidor, licencias y demás requisitos dedicados a separar ambos paneles.
Lo más recomendable es proteger bien la cuenta de administrador o la conexión al OWA con una VPN SSL. Pero si no hay más remedio, podéis usar este truco:
Primero, añadimos la característica Restricciones de IP y dominio en el Rol de Servidor Web (IIS):
A continuación, vamos a Agregar entrada de permiso… para añadir nuestra red local o el rango de red o IP que permitiremos para acceder al panel ECP de Exchange Server 2013:
Y, por último, modificamos la configuración de acceso al directorio virtual pulsando Modificar configuración de característica… y cambiando el valor en Denegar.
Ahora solo debemos reiniciar el sitio de nuestro IIS para que aplique correctamente la configuración: