Exchange 環境での IIS Lockdown と URLscan の構成

文書翻訳 文書翻訳
文書番号: 309508 - 対象製品
この記事は、以前は次の ID で公開されていました: JP309508
すべて展開する | すべて折りたたむ

目次

現象

: この資料では、IISlockdown 1.0 ツールを適用したときの Exchange 2000 および Exchange Server 5.5 の問題について説明します。マイクロソフトでは、最新版の IIS lockdown ツールをダウンロードすることをお勧めします。
http://www.microsoft.com/japan/technet/security/tools/tools/locktool.asp
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
309677 [XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法
インターネット インフォメーション サービス (IIS) セキュリティ ツールの IISlockD および URLscan は、Exchange 用に適切に設定されている必要があります。この資料では、Exchange 2000 Server 環境および Exchange Server 5.5 環境でこれらのツールに対して必要な設定について説明します。以下に、IISlockD および URLscan の設定が正しくない場合に発生する一般的な現象の例を示します。
  • Microsoft Outlook Web Access (OWA)。OWA にアクセスしたとき、電子メール アイテム、予定表アイテム、および連絡先が失われていることがあります。また、Exchange 2000 サーバーのブラウザから OWA にアクセスすると、次のエラー メッセージが表示されることがあります。
    ランタイム エラーが発生しました。
    デバッグしますか?
    Line: 878
    エラー: 要求された処理に対して、ハンドルは状態が正しくありません。
  • Exchange システム マネージャ。Exchange システム マネージャでパブリック フォルダのツリーを展開すると、次のエラー メッセージが表示される場合があります。
    オブジェクトを使用できなくなりました。F5 キーを押して最新の表示にしてから、やり直してください。
    ID 番号 : 80040e19
    Exchange システム マネージャ
  • Exchange システム マネージャ。Exchange システム マネージャでパブリック フォルダのツリーを展開すると、次のエラー メッセージが表示される場合があります。
    内部サーバー エラーのため、処理に失敗しました。c1030af2
  • Exchange インスタント メッセージング。Exchange インスタント メッセージングにサインインすると、次のエラー メッセージが表示されることがあります。
    サービスが一時的に利用不可のため、Microsoft Exchange Instant Messaging にサインインできませんでした。後でやり直してください。

原因

この問題は、IISlockD と URLScan セキュリティ ツールのデフォルトの設定では、サーバーが静的なコンテンツのみを扱っていると見なされるために発生します。しかし、Exchange 2000 のコンポーネントでは、デフォルト設定で許可されていない WebDAV (Web Distributed Authoring and Versioning) およびその他の HTTP (Hypertext Transfer Protocol) 動詞が使用されており、Exchange Server 5.5 のコンポーネントでは、デフォルトで無効となっている ASP (Active Server Pages) が使用されています。

解決方法

この資料に記載されている設定をサーバーに適用する前に、慎重に検証する必要があります。これらの設定は、Exchange 2000 Server および Exchange Server 5.5 が最適に動作するように設計されていますが、予想外の影響が生じる場合もあります。たとえば、後述の URLscan INI の設定は IIS に影響します。また、各 INI 設定の [DenyExtensions] 一覧を読むと、これらの設定では IIS が静的な .HTM ページや .HTML ページ以外のコンテンツの形式に、ほとんど対応していないことがわかります。

ここでは、以下の項目について説明します。

IIS Lockdown (Exchange 2000 サーバー)

Exchange 2000 環境では、マウントされた Exchange インストール可能ファイル システム (IFS) のドライブ (通常はドライブ M) で Lockdown ツールを使用することはできません。Exchange 2000 サーバー上で Lockdown ツールを使用するには、次の手順を実行します。
  1. IISlockD.exe を実行します。
  2. [Advanced Lockdown] をクリックし、[次へ] をクリックします。
  3. [Remove Script Mappings] ダイアログ ボックスが表示されます。
    1. [Disable support for Active Server Pages (.asp)] チェック ボックスがオンの場合、OWA の [マルチメディア] ボタンおよび [ログオフ] ボタンは機能しません。次の「サポート技術情報」 (Microsoft Knowledge Base) の資料には、ユニファイド メッセージング ソリューションを使用していないユーザーのために、[マルチメディア] ボタンを無効にする手順が説明されています。
      288119 [XWEB] OWA でマルチメディア ボタンを無効にする方法
      ASP (Active Server Pages) が無効になっていても、WAV 形式の添付ファイルを使用したユニファイド メッセージングは機能します。
    2. [Disable support for the .HTR scripting (.htr)] チェック ボックスがオンの場合、OWA のパスワードの変更機能が動作しません。この OWA の機能はデフォルトで無効となっています。次の「サポート技術情報」 (Microsoft Knowledge Base) の資料には、OWA で [パスワードの変更] ボタンを非表示にする手順が説明されています。
      297121 [XWEB] Outlook Web Access の [オプション] ページにある [パスワードの変更] ボタンを非表示にする方法
  4. [次へ] をクリックします。
  5. [Additional Lockdown Actions] ダイアログ ボックスが表示されます。
    1. [Disable Distributed Authoring and Versioning (WebDAV)] チェック ボックスをオフにします。
    2. [Set file permissions to prevent the IIS anonymous users from writing to content directories] チェック ボックスをオフにします。これにより、Exchange IFS にマップされている IIS の仮想ディレクトリが除外されます。
  6. [次へ] をクリックし、[はい] をクリックしてロックダウン処理を完了します。
手動で IIS の匿名ユーザーにファイル アクセス許可を設定するには、IIS の各仮想ディレクトリに対して、匿名 Web ユーザーに明示的な "すべて拒否" のアクセス制御エントリ (ACE) を設定します。
  1. インターネット サービス マネージャ Microsoft 管理コンソール (MMC) を起動します。
  2. [既定の Web サイト] を展開します。
  3. 各仮想ディレクトリに対して、次の手順を実行します。
    1. 仮想ディレクトリを右クリックし、[プロパティ] をクリックします。
    2. [仮想ディレクトリ] タブのローカル パスをメモします。
    3. Microsoft Windows エクスプローラを起動し、先ほどメモしたローカル パスのフォルダに移動します。
    4. フォルダを右クリックして、[プロパティ] をクリックします。
    5. [セキュリティ] タブをクリックします。
    6. [追加] をクリックします。
    7. [IUSR_computername] および [IUSR_computername] アカウントを選択し、[OK] をクリックします。
    8. [IUSR_computername] アカウントを選択し、フル コントロール ACE の [拒否] チェック ボックスをオンにします。
    9. [IWAM_computername] アカウントを選択し、フル コントロール ACE の [拒否] チェック ボックスをオンにします。
  4. Exchange および Exadmin 仮想ルート以外の各仮想ディレクトリに対して手順 3. を繰り返します。

IIS Lockdown (Exchange Server 5.5 コンピュータ)

Exchange Server 5.5 コンピュータで Lockdown ツールを使用するには、次の手順を実行します。
  1. IISlockD.exe を起動します。
  2. [Advanced Lockdown] をクリックし、[次へ] をクリックします。
  3. [Remove Script Mappings] ダイアログ ボックスが表示されます。
    1. [Disable support for Active Server Pages (.asp)] チェック ボックスをオフにします。
    2. [Disable support for the .HTR scripting (.htr)] チェック ボックスがオンの場合、OWA のパスワードの変更機能が動作しません。[次へ] をクリックします。
  4. [Additional Lockdown Actions] ダイアログ ボックスが表示されます。
  5. [次へ] をクリックし、[はい] をクリックしてロックダウン処理を完了します。
Exchange Server 5.5 OWA サーバーに対して、すべてのオプションをオンにした状態で IIS Lockdown ツールを既に実行している場合には、次の手順を実行して機能を復元します。
  • OWA
    1. インターネット サービス マネージャを起動します。
    2. [既定の Web サイト] を展開し、Exchange 仮想ディレクトリを右クリックして、[プロパティ] をクリックします。
    3. [仮想ディレクトリ] タブをクリックして、[構成] をクリックします。
    4. [.asp] マッピングをクリックし、[編集] をクリックします。IIS Lockdown ツールによってこのマッピングが 404.dll に更新されているため、これを asp.dll に変更します。Microsoft Windows NT 4.0 ベースのコンピュータでは、[メソッド除外] ボックスに "PUT, DELETE" を追加します。Microsoft Windows 2000 ベースのコンピュータでは、[制限] がオンになっていて、[制限] ボックスに "GET, HEAD, POST, TRACE" が含まれていることを確認します。
    5. [OK] をクリックしてプロパティを閉じます。
  • パスワードの変更
    1. 削除された Iisadmpwd 仮想ディレクトリを再作成します。 Iisadmpwd 仮想ディレクトリを再作成する方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      301428 IIS の側から見た Outlook Web Access のトラブルシューティング
    2. デフォルトでは、".htr" ファイルへのマッピングも削除されています。".htr" ファイルへのマッピングを復元するには、次の手順を実行します。
      1. インターネット サービス マネージャを起動します。
      2. [既定の Web サイト] を右クリックし、[プロパティ] をクリックします。
      3. [ホーム ディレクトリ] タブをクリックし、[構成] をクリックします。
      4. [.htr] マッピングをクリックし、[編集] をクリックします。IIS Lockdown ツールによってこのマッピングが 404.dll に更新されているため、これを ism.dll に変更します。
      5. [OK] をクリックしてプロパティを閉じます。

URLscan (Exchange 2000 サーバー)

Exchange 2003 および URLscan を使用する場合の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823175 Urlscan ユーティリティを Exchange 2003 環境で使用する場合の調整方法および既知の問題
ここでは、以下のコンポーネント用の URLscan の設定ファイルを掲載しています。
  • OWA
  • Exchange システム マネージャ
  • インスタント メッセージング
  • Web フォルダ
URLScan.ini ファイルに DenyUrlSequences セクションを追加すると、メール メッセージの [件名] に該当する特殊文字が含まれている場合、Outlook Web Access (OWA) を使用してメール メッセージを開くことができないことがあります。管理者は、これらの問題を解決する際、%windir%\system32\inetsrv\urslscan フォルダ内の URLscan ログ ファイルを調べる必要があります。

1 つのサーバーに複数のサービスがインストールされている場合、設定ファイルをマージして、すべてのコンポーネントが引き続き機能するようにします。

次の場所にある Urlscan.ini ファイルを開きます。
windir\System32\Inetsrv\Urlscan
Exchange コンピュータの役割に基づいて Urlscan.ini ファイルを変更します。

URLScan を有効にした状態で HTTP 要求を実行したときに不具合が発生した場合には、Urlscan.log ファイルで拒否された要求の一覧を参照します。Urlscan.log ファイルは、デフォルトで次の場所にあります。
windir\System32\Inetsrv\Urlscan

OWA

OWA 用の URLscan の設定ファイルは以下のとおりです (パスワードの変更機能が必要な場合、[DenyExtensions] セクションから ".htr" ファイル拡張子を削除する必要があります)。
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
Del
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Exchange システム マネージャでのパブリック フォルダの管理

Exchange システム マネージャでのパブリック フォルダの管理用の URLscan の設定ファイルは、以下のとおりです。
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
Del
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
: 内部 DNS (Domain Name System) に .com が含まれていない場合には、[DenyExtensions] 一覧に .com を追加することができます。
[DenyUrlSequences]
..
./
\
%
&

インスタント メッセージング

インスタント メッセージング用の URLscan の設定ファイルは、以下のとおりです。
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Web フォルダ

Web フォルダ用の URLscan の設定ファイルは、以下のとおりです。
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
Del
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

カスタム WebDAV プログラム

Exchange 2000 ストアで開発されたすべてのカスタム プログラムを調査して、使用されている DAV の動詞を把握します。URLscan の設定ファイルの [AllowVerbs] セクションにこれらの動詞を追加し、カスタム プログラムをホストするサーバーにそのファイルを適用します。

URLscan (Exchange Server 5.5 コンピュータ)

URLScan.ini ファイルに DenyUrlSequences セクションを追加すると、メール メッセージの [件名] に該当する特殊文字が含まれている場合、Outlook Web Access (OWA) を使用してメール メッセージを開くことができないことがあります。管理者は、これらの問題を解決する際、%windir%\system32\inetsrv\urslscan フォルダ内の URLscan ログ ファイルを調べる必要があります。

OWA 用の URLscan の設定ファイルは以下のとおりです (パスワードの変更機能が必要な場合、[DenyExtensions] セクションから ".htr" ファイル拡張子を削除する必要があります)。
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
Del
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 309508 (最終更新日 2005-04-25) を基に作成したものです。

プロパティ

文書番号: 309508 - 最終更新日: 2005年9月28日 - リビジョン: 6.2
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
キーワード:?
kbprb KB309508
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com