最近遇到一个需求，公司某业务部门需要让本部门一部分员工不能通过公网使用Exchange邮件系统。然后，公司邮件系统是发布公网使用的，要直接限制部分员工不能外网访问有一定的困难，经过讨论想到了两个解决方案。

第一个方案，利用方向代理来提供身份认证。使用一台反向代理设备来提供邮件系统公网发布，用户通过Internet访问OWA或者outlook anywhere、activesync的时候，如果是部分被限制的用户，那么反向代理就阻止访问请求。这个方案虽然可行，但是对现有系统架构会产生变更，并且微软的反向代理产品TMG已经停产，如果采购第三方的产品又将是一笔支出，很快这方案就被否定了。

第二个方案，利用IIS授权规则来限制用户访问。使用IIS授权需要在IIS安全性中添加URL授权功能，通过授权规则，可以配置对一些用户、组或者谓词的访问限制。我们把这部分用户添加到一个安全组中，然后通过IIS授权规则来对OWA、RPC（目的限制outlook anywhere）、EWS（目的限制mac的邮件访问）目录访问进行限制，然后在内网重新部署一台CAS服务器，让这部分用户在内网的时候通过该服务器来访问。该方案很快通过，那么开始实施。本环境使用的是Windows 2008 R2+Exchange 2010。如果使用Exchange 2013环境方法类似。

1、首先在服务器管理器中为IIS添加URL授权功能，如下图勾选。

2、确认信息后开始安装。

3、完成安装后，打开IIS管理器，选择OWA虚拟目录，然后双击授权规则

4、在右侧操作窗口选择添加拒绝规则

5、在拒绝将访问此web内容的权限授予这里勾选指定的角色或用户组，填写创建好的安全组名称。

配置完毕，下面测试一下外部owa的访问，输入账号密码提示密码错误无法登陆了。

打开outlook客户端，同样也提示登录失败。

通过上述配置和测试，Exchange已经完全能够阻止部分用户外网访问邮箱了，因为EWS目录被阻止，所以还需要内网搭建一台前端服务器，否则这部分用户无法访问日历忙闲状态。