XCCC: Configuraciones del Asistente para bloqueo de IIS y URLscan en un entorno de Exchange

Seleccione idioma Seleccione idioma
Id. de artículo: 309508 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

NOTA: este artículo contiene información acerca de problemas con Exchange 2000 y Exchange Server 5.5 cuando se aplica la herramienta IISlockdown versión 1.0. Microsoft recomienda que descargue la versión más reciente de la herramienta Lockdown de IIS:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
309677 XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment
Las herramientas de seguridad de Servicios de Internet Information Server (IIS), IISlockD y URLscan, deben configurarse correctamente para Exchange. En este artículo se describe la configuración necesaria para estas herramientas en los entornos Exchange 2000 Server y Exchange Server 5.5. Entre los síntomas típicos de configuraciones de IISlockD y URLscan incorrectas se encuentran los siguientes:
  • Microsoft Outlook Web Access (OWA). Cuando obtiene acceso a OWA, puede que los elementos de correo, del Calendario y los Contactos hayan desaparecido. Asimismo, si intenta obtener acceso a OWA desde un explorador en el servidor Exchange 2000, puede aparecer el siguiente mensaje de error:
    Se produjo un error en tiempo de ejecución.
    ¿Desea depurarlo?
    Línea: 878
    Error: El identificador presenta un estado incorrecto para la operación solicitada
  • Administrador del sistema de Exchange. Cuando hace clic para intentar expandir el árbol de carpetas públicas en el Administrador del sistema de Exchange, puede aparecer el siguiente mensaje de error:
    El objeto ya no está disponible. Presione F5 para actualizar la pantalla y vuelva a intentarlo.
    Nº de Id.: 80040e19
    Administrador del sistema de Exchange
  • Mensajería instantánea de Exchange. Cuando intenta iniciar una sesión en Mensajería instantánea de Exchange, puede aparecer el siguiente mensaje de error:
    No se pudo iniciar sesión en Mensajería instantánea de Microsoft Exchange, el servicio no está disponible temporalmente. Inténtelo de nuevo más tarde.

Causa

Este problema puede producirse porque la configuración predeterminada de las herramientas de seguridad IISlockD y URLScan presupone que el servidor ofrece contenido estático únicamente. Los componentes de Exchange 2000 emplean Creación y control de versiones distribuidos en Web (WebDAV, Web Distributed Authoring and Versioning) y otros verbos del Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol) no permitidos en la configuración predeterminada. Los componentes de Exchange Server 5.5 emplean las páginas Active Server (ASP) que están deshabilitadas de manera predeterminada.

Solución

Examine estas opciones de configuración atentamente antes de aplicarlas a su servidor. Están diseñadas para permitir un funcionamiento óptimo de Exchange 2000 Server y Exchange Server 5.5, pero puede que tengan otros efectos no esperados. Por ejemplo, las opciones de configuración INI de URLscan descritas a continuación afectarán a IIS. Si lee la sección "DenyExtensions" en las opciones de configuración INI mostradas a continuación, podrá apreciar que impiden a IIS ofrecer la mayor parte de formas de contenido que no sean páginas .HTM o .HTML estáticas.

Esta sección incluye los apartados siguientes:

Lockdown de IIS en Exchange 2000 Server

En los entornos de Exchange 2000, la herramienta de bloqueo no es válida para las unidades montadas (generalmente la unidad M:) del sistema de archivos instalables (IFS, Installable File System) de Exchange. Para utilizar la herramienta de bloqueo en los servidores Exchange 2000:
  1. Ejecute IISlockD.exe.
  2. Haga clic en Advanced Lockdown y, a continuación, haga clic en Next.
  3. Se mostrará el cuadro de diálogo Remove Script Mappings.
    1. Si se activa la casilla de verificación Disable support for Active Server Pages (.asp), el botón multimedia OWA y el proceso de cerrar sesión no funcionarán. En el siguiente artículo de Microsoft Knowledge Base se describe el proceso que deshabilita el botón multimedia para aquellos clientes que no poseen una solución de mensajería unificada:
      288119 XWEB: How to Disable the Multimedia Button in OWA
      Cuando las páginas Active Server (ASP) están deshabilitadas, la mensajería unificada sigue funcionando con los archivos adjuntos WAV.
    2. Si se activa la casilla de verificación Disable support for the .HTR scripting (.htr), la característica para cambiar la contraseña de OWA no funcionará. Esta característica de OWA está deshabilitada de forma predeterminada. En el siguiente artículo de Knowledge Base se describe el proceso para ocultar el botón Cambiar contraseña en OWA:
      297121 XWEB: Cómo ocultar el botón Cambiar contraseña en la página Opciones de Outlook Web Access
  4. Haga clic en Next.
  5. Aparecerá el cuadro de diálogo Additional Lockdown Actions.
    1. Haga clic en la casilla de verificación Disable Distributed Authoring and Versioning (WebDAV) para desactivarla.
    2. Haga clic en la casilla de verificación Set file permissions to prevent the IIS anonymous users from writing to content directories para desactivarla. Se excluyen los directorios virtuales de IIS que se asignan a IFS de Exchange.
  6. Haga clic en Next y, a continuación, en Yes para completar el proceso de bloqueo.
Para configurar manualmente los permisos de archivo para el usuario anónimo de IIS, establezca una Entrada de control de acceso (ACE, Access Control Entry) para denegar todo explícita para los usuarios Web anónimos de cada directorio virtual de IIS:
  1. Inicie Microsoft Management Console (MMC) del Administrador de servicios Internet.
  2. Haga clic en el Sitio Web predeterminado para expandirlo.
  3. En cada directorio virtual:
    1. Haga clic en un directorio virtual para seleccionarlo, haga clic con el botón secundario del mouse (ratón) en el directorio virtual y, a continuación, haga clic en Propiedades.
    2. En la ficha Directorio virtual, observe la ruta de acceso local.
    3. Inicie el Explorador de Microsoft Windows y busque la carpeta de la ruta de acceso local.
    4. Haga clic con el botón secundario del mouse en la carpeta y, a continuación, haga clic en Propiedades.
    5. Haga clic en la ficha Seguridad.
    6. Haga clic en Agregar.
    7. Haga clic en las cuentas _Web Anonymous Users y _Web Applications para seleccionarlas y, a continuación, haga clic en Aceptar.
    8. Haga clic en la cuenta _Web Anonymous Users para seleccionarla y, a continuación, deniegue la ACE de control total.
    9. Haga clic en la cuenta _Web Anonymous Users para seleccionarla y, a continuación, deniegue la ACE de control total.
    10. Haga clic en la cuenta _Web Applications para seleccionarla y, a continuación, deniegue la ACE de control total.
  4. Repita el paso 3 para cada directorio virtual, a excepción de las raíces virtuales Exchange y Exadmin.

Lockdown de IIS en equipos Exchange Server 5.5

Para utilizar la herramienta de bloqueo en los equipos Exchange Server 5.5:
  1. Inicie IISlockD.exe.
  2. Haga clic en Advanced Lockdown y, a continuación, haga clic en Next.
  3. Se mostrará el cuadro de diálogo Remove Script Mappings.
    1. Haga clic en la casilla de verificación Disable support for Active Server Pages (.asp) para desactivarla.
    2. Si la casilla de verificación Disable support for the .HTR scripting (.htr) se activa, la característica para cambiar la contraseña de OWA no funcionará. Haga clic en Next.
  4. Aparecerá el cuadro de diálogo Additional Lockdown Actions.
  5. Haga clic en Next y, a continuación, en Yes para completar el proceso de bloqueo.
Si ya ha ejecutado la herramienta Lockdown de IIS en el servidor OWA Exchange Server 5.5 con todas las opciones seleccionadas, para restaurar la funcionalidad proceda del siguiente modo:
  • OWA:
    1. Inicie el Administrador de servicios Internet.
    2. Haga clic en Sitio Web predeterminado para expandirlo, haga clic con el botón secundario del mouse en el directorio virtual Exchange y, después, haga clic en Propiedades.
    3. Haga clic en la ficha Directorio virtual y, a continuación, haga clic en Configuración.
    4. Haga clic en la asignación .ASP y, a continuación, haga clic en Modificar. La herramienta Lockdown de IIS actualiza esta asignación a 404.dll. Cambie la asignación por asp.dll. En los equipos basados en Microsoft Windows NT 4.0, agregue "PUT, DELETE" al cuadro Exclusiones de método. En los equipos basados en Microsoft Windows 2000, compruebe que la casilla de verificación Limitar a está activada y que el cuadro Limitar a contiene "GET, HEAD, POST, TRACE".
    5. Haga clic en Aceptar para cerrar las propiedades.
  • Cambiar contraseña:
    1. Vuelva a crear el directorio virtual Iisadmpwd que se eliminó.Para obtener información adicional acerca de cómo volver a crear el directorio virtual Iisadmpwd, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      301428 Troubleshooting Outlook Web Access from an IIS Perspective
    2. De manera predeterminada, también se quitan las asignaciones para los archivos ".htr". Restaurar la asignación para archivos ".htr":
      1. Inicie el Administrador de servicios Internet.
      2. Haga clic con el botón secundario del mouse en Sitio Web predeterminado y, a continuación, haga clic en Propiedades.
      3. Haga clic en la ficha Directorio virtual y, a continuación, haga clic en Configuración.
      4. Haga clic en la asignación .htr y, a continuación, haga clic en Modificar. La herramienta Lockdown de IIS actualiza esta asignación a 404.dll. Cambie la asignación por ism.dll.
      5. Haga clic en Aceptar para cerrar las propiedades.

URLscan en Exchange 2000 Server

Esta sección contiene los archivos de configuración de URLscan para los siguientes componentes:
  • OWA
  • Administrador del sistema de Exchange
  • Mensajería instantánea
  • Carpetas Web
Observe que una vez agregue la sección DenyUrlSequences al archivo URLScan.ini, quizás no pueda abrir mensajes de correo mediante Outlook Web Access (OWA) si la línea de asunto del mensaje de correo contiene estos caracteres especiales. Los administradores deberían revisar el archivo de registro URLscan en la carpeta %windir%\system32\inetsrv\urslscan como ayuda para solucionar estos problemas.

Si se instalan varios servicios en un servidor único, tendrá que combinar los archivos de configuración para garantizar que el resto de componentes continúan funcionando.

Abra el archivo Urlscan.ini en la ubicación siguiente:
windir\System32\Inetsrv\Urlscan
Modifique el archivo Urlscan.ini de acuerdo con la función del equipo con Exchange.

Si detecta otras dificultades cuando intenta realizar solicitudes HTTP con URLScan habilitado, consulte en el archivo Urlscan.log la lista de solicitudes que se han rechazado. La ubicación predeterminada del archivo Urlscan.log es la siguiente:
windir\System32\Inetsrv\Urlscan

OWA

El archivo de configuración de URLscan para OWA es el siguiente (si se requiere la funcionalidad Cambiar contraseña, deberá quitar la extensión del archivo ".htr" en la sección Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Administrador de sistemas de Exchange para la administración de carpetas públicas

El archivo de configuración de URLscan para la administración del Administrador del sistema de Exchange de carpetas públicas es el siguiente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
NOTA: puede agregar .com a la lista DENYEXTENSIONS si el Sistema de nombres de dominio (DNS, Domain Name System) interno no contiene esa extensión.
[DenyUrlSequences]
..
./
\
%
&

Mensajería instantánea

El archivo de configuración de URLscan para Mensajería instantánea es el siguiente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Carpetas Web

El archivo de configuración de URLscan para Carpetas Web es el siguiente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Programas WebDAV personalizados

Deberá revisar cualquier programa personalizado que se desarrollara en el almacén de Exchange 2000 para comprobar la lista de verbos DAV utilizados. Agregue esos verbos a la sección AllowVerbs de un archivo de configuración de URLscan y aplique ese archivo a los servidores que alojan el programa personalizado.

URLscan en equipos con Exchange Server 5.5

Observe que una vez agregue la sección DenyUrlSequences al archivo URLScan.ini, quizás no pueda abrir mensajes de correo mediante Outlook Web Access (OWA) si la línea de asunto del mensaje de correo contiene estos caracteres especiales. Los administradores deberían revisar el archivo de registro URLscan en la carpeta %windir%\system32\inetsrv\urslscan como ayuda para solucionar estos problemas.

El archivo de configuración de URLscan para OWA es el siguiente (si se requiere la funcionalidad Cambiar contraseña, deberá quitar la extensión del archivo ".htr" en las secciones Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

Propiedades

Id. de artículo: 309508 - Última revisión: viernes, 04 de junio de 2004 - Versión: 1.0
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Palabras clave: 
kbprb KB309508

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com