Exchange 환경의 IIS 잠금 및 URLscan 구성

기술 자료 번역 기술 자료 번역
기술 자료: 309508 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR309508
모두 확대 | 모두 축소

이 페이지에서

현상

참고 이 문서에서는 IIS 잠금 도구 버전 1.0을 적용할 때 발생하는 Exchange 2000 및 Exchange Server 5.5 관련 문제를 다룹니다. Microsoft에서는 다음 위치에서 최신 버전의 IIS 잠금 도구를 다운로드할 것을 권장합니다.
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
309677 XADM: Exchange 2000 환경에서 IIS 보안 잠금 마법사를 사용하는 경우의 알려진 문제 및 미세 조정
Internet Information Services(IIS) 보안 도구인 IISlockD와 URLscan은 Exchange에 맞게 구성해야 합니다. 이 문서에서는 Exchange 2000 Server와 Exchange Server 5.5 환경에서 이러한 도구에 필요한 구성을 설명합니다. 잘못된 IISlockD와 URLscan 구성으로 인해 발생하는 일반적인 현상은 다음과 같습니다.
  • Microsoft Outlook Web Access(OWA). OWA에 액세스하면 메일 항목, 일정 항목 및 연락처가 없을 수 있습니다. 뿐만 아니라 Exchange 2000 서버의 브라우저에서 OWA에 액세스를 시도하면 아래와 같은 오류 메시지가 나타날 수 있습니다.
    A Runtime Error has occurred.
    Do you wish to Debug?
    Line: 878
    Error: The handle is in the wrong state for the requested operation
  • Exchange System Manager. Exchange System Manager에서 공용 폴더 트리를 확장하려고 하면 아래와 같은 오류 메시지가 나타날 수 있습니다.
    The object is no longer available. Press F5 to refresh the display, and then try again.
    ID no: 80040e19
    Exchange System Manager
  • Exchange System Manager. Exchange System Manager에서 공용 폴더 트리를 확장하려고 하면 아래와 같은 오류 메시지가 나타날 수 있습니다.
    The operation failed due an internal server error. c1030af2
  • Exchange Instant Messaging. Exchange Instant Messaging에 로그인하려고 하면 아래와 같은 오류 메시지가 나타날 수 있습니다.
    Signing in to Microsoft Exchange Instant Messaging failed because the service is temporarily unavailable. Please try again later.

원인

이 문제는 IISlockD와 URLScan 보안 도구의 기본 구성이 서버가 정적 콘텐츠만 서비스하는 것으로 가정하기 때문에 발생할 수 있습니다. Exchange 2000 구성 요소는 기본 구성에서 허용하지 않는 WebDAV(Web Distributed Authoring and Versioning) 및 다른 HTTP(Hypertext Transfer Protocol) 동사를 사용합니다. Exchange Server 5.5 구성 요소는 기본적으로 사용되지 않는 ASP(Active Server Pages)를 사용합니다.

해결 방법

서버에 적용하기 전에 이러한 설정을 자세히 검토하십시오. 이들은 Exchange 2000 Server 및 Exchange Server 5.5가 최적의 상태로 작동하도록 설계되었지만 예상하지 못한 다른 영향이 있을 수 있습니다. 예를 들어, 아래의 URLscan INI 설정은 IIS에 영향을 미칩니다. 아래의 INI 설정 중 "DenyExtensions" 절을 읽어 보면 이 설정이 IIS가 정적 .HTM 또는 .HTML 페이지 이외의 콘텐츠 형식 대부분을 서비스하지 못하도록 하는 것을 알 수 있습니다.

이 절에는 다음과 같은 절이 포함되어 있습니다.

Exchange 2000 Servers의 IIS 잠금

Exchange 2000 환경에서 잠금 도구는 Exchange IFS(설치 가능한 파일 시스템)가 탑재된 드라이브(보통 M 드라이브)를 수용하지 않습니다. Exchange 2000 서버에서 잠금 도구를 사용하려면 다음과 같이 하십시오.
  1. IISlockD.exe를 실행합니다.
  2. Advanced Lockdown을 누른 다음 Next를 누릅니다.
  3. Remove Script Mappings 대화 상자가 표시됩니다.
    1. Disable support for Active Server Pages (.asp) 확인란이 선택되어 있으면 OWA Multimedia 단추와 Log Off 단추는 작동하지 않습니다. 다음 Microsoft 기술 자료 문서에서는 통일된 메시징 솔루션이 없는 고객을 위해 멀티미디어 단추를 사용할 수 없도록 설정하는 과정을 설명합니다.
      288119 XWEB: OWA에서 멀티미디어 단추를 사용할 수 없도록 설정하는 방법
      ASP(Active Server Pages) 페이지가 사용할 수 없도록 설정되면 통일된 메시징은 WAV 파일이 첨부된 경우에도 작동합니다.
    2. Disable support for the .HTR scripting (.htr) 확인란이 선택되어 있으면 OWA 암호 변경 기능은 작동하지 않습니다. OWA 기능은 기본적으로 사용되지 않습니다. 다음의 기술 자료 문서에서는 OWA에서 Change Password 단추를 숨기는 과정을 설명합니다.
      297121 XWEB: Outlook Web Access에서 "암호 변경" 단추를 숨기거나 표시하는 방법
  4. Next를 누릅니다.
  5. Additional Lockdown Actions 대화 상자가 표시됩니다.
    1. Disable Distributed Authoring and Versioning (WebDAV) 확인란의 선택을 취소합니다.
    2. Set file permissions to prevent the IIS anonymous users from writing to content directories 확인란의 선택을 취소합니다. 이렇게 하면 Exchange IFS에 매핑된 IIS 가상 디렉터리가 제외됩니다.
  6. Next를 누른 다음 Yes를 눌러 잠금 과정을 완료합니다.
IIS 익명 사용자에 대한 파일 사용 권한을 수동으로 설정하려면 각 IIS 가상 디렉터리의 익명 웹 사용자에 대해 명시적으로 모든 ACE(액세스 제어 항목)를 거부하도록 설정합니다.
  1. 인터넷 서비스 관리자 MMC(Microsoft Management Console)를 시작합니다.
  2. 기본 웹 사이트를 확장합니다.
  3. 각 가상 디렉터리에 대해 다음과 같이 하십시오.
    1. 가상 디렉터리를 선택하고 가상 디렉터리를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
    2. 가상 디렉터리 탭에서 로컬 경로를 적어둡니다.
    3. Microsoft Windows 탐색기를 시작한 다음 로컬 경로 폴더를 찾습니다.
    4. 폴더를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
    5. 보안 탭을 누릅니다.
    6. 추가를 누릅니다.
    7. _Web Anonymous Users_Web Applications 계정을 선택한 다음 확인을 누릅니다.
    8. _Web Anonymous Users 계정을 선택한 다음 모든 권한 ACE를 거부합니다.
    9. _Web Applications 계정을 선택한 다음 모든 권한 ACE를 거부합니다.
  4. Exchange와 Exadmin 가상 루트를 제외한 각 가상 디렉터리에 대해 3단계를 반복합니다.

Exchange Server 5.5 컴퓨터의 IIS 잠금

Exchange Server 5.5 컴퓨터에서 잠금 도구를 사용하려면 다음과 같이 하십시오.
  1. IISlockD.exe를 시작합니다.
  2. Advanced Lockdown을 누른 다음 Next를 누릅니다.
  3. Remove Script Mappings 대화 상자가 표시됩니다.
    1. Disable support for Active Server Pages (.asp) 확인란의 선택을 취소합니다.
    2. Disable support for the .HTR scripting (.htr) 확인란이 선택되어 있으면 OWA 암호 변경 기능은 작동하지 않습니다. Next를 누릅니다.
  4. Additional Lockdown Actions 대화 상자가 표시됩니다.
  5. Next를 누른 다음 Yes를 눌러 잠금 과정을 완료합니다.
선택한 모든 옵션을 사용하여 Exchange Server 5.5 OWA 서버에 대해 이미 IIS 잠금 도구를 실행한 경우 기능을 복원하려면 다음과 같이 하십시오.
  • OWA:
    1. 인터넷 서비스 관리자를 시작합니다.
    2. 기본 웹 사이트를 확장하고 Exchange 가상 디렉터리를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
    3. 가상 디렉터리 탭을 누른 다음 구성을 누릅니다.
    4. .ASP 매핑을 누른 다음 편집을 누릅니다. IIS 잠금 도구는 이 매핑을 404.dll로 업데이트합니다. 매핑을 asp.dll로 변경합니다. Microsoft Windows NT 4.0 기반 컴퓨터에서 "PUT, DELETE"를 Method Exclusions 상자에 추가합니다. Microsoft Windows 2000 기반 컴퓨터에서 다음으로 제한 확인란이 선택되었으며 다음으로 제한 상자에 "GET, HEAD, POST, TRACE"가 포함되어 있는지 확인합니다.
    5. 확인을 눌러 등록 정보를 닫습니다.
  • 암호 변경:
    1. 삭제된 Iisadmpwd 가상 디렉터리를 다시 만듭니다.Iisadmpwd 가상 디렉터리를 다시 만드는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
      301428 IIS 관점에서 Outlook Web Access 문제 해결
    2. 기본적으로 ".htr" 파일에 대한 매핑은 제거됩니다. ".htr" 파일에 대한 매핑을 복원합니다.
      1. 인터넷 서비스 관리자를 시작합니다.
      2. 기본 웹 사이트를 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
      3. 홈 디렉터리 탭을 누른 다음 구성을 누릅니다.
      4. .htr 매핑을 누른 다음 편집을 누릅니다. IIS 잠금 도구는 이 매핑을 404.dll로 업데이트합니다. 매핑을 ism.dll로 변경합니다.
      5. 확인을 눌러 등록 정보를 닫습니다.

Exchange 2000 Servers의 URLscan

Exchange 2003 및 URLscan 사용에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823175 Exchange 2003 환경에서 Urlscan 유틸리티를 사용하는 경우의 미세 조정 및 알려진 문제
이 절에는 다음 구성 요소를 위한 URLscan 구성 파일이 포함되어 있습니다.
  • OWA
  • Exchange System Manager
  • Instant Messaging
  • 웹 폴더
URLScan.ini 파일에 DenyUrlSequences 구역을 추가한 후에 메일 메시지의 제목 줄에 이러한 특수 문자가 포함되어 있으면 OWA를 통해 메일 메시지를 열지 못할 수도 있습니다. 관리자는 이러한 문제의 해결을 지원하기 위해 %windir%\system32\inetsrv\urslscan 폴더에 있는 URLscan 로그 파일을 검토해야 합니다.

단일 서버에 여러 서비스가 설치된 경우 구성 파일을 병합하여 모든 구성 요소가 계속 작동할 수 있도록 해야 합니다.

다음 위치에서 Urlscan.ini 파일을 엽니다.
windir\System32\Inetsrv\Urlscan
Exchange 컴퓨터 역할을 기반으로 Urlscan.ini 파일을 수정합니다.

URLScan이 설정된 상태에서 HTTP 요청을 시도할 때 계속 문제가 발생하는 경우 Urlscan.log 파일에서 거부되는 요청 목록을 확인하십시오. Urlscan.log 파일의 기본 위치는 다음과 같습니다.
windir\system32\inetsrv\urlscan

OWA

OWA에 대한 URLscan 구성 파일은 다음과 같습니다. 암호 변경 기능이 필요할 경우 Deny Extensions 구역에서 ".htr" 파일 확장명을 제거해야 합니다.
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE:
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

공용 폴더 관리용 Exchange System Manager

공용 폴더의 Exchange System Manager 관리를 위한 URLscan 구성 파일은 다음과 같습니다.
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE:
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
참고 내부 DNS(Domain Name System)가 .com을 포함하고 있지 않으면 DENYEXTENSIONS에 .com을 추가할 수 있습니다.
[DenyUrlSequences]
..
./
\
%
&

Instant Messaging

Instant Messaging을 위한 URLscan 구성 파일은 다음과 같습니다.
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

웹 폴더

웹 폴더의 URLscan 구성 파일은 다음과 같습니다.
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

사용자 지정 WebDAV 프로그램

사용되는 DAV 동사 목록에 대해 Exchange 2000 저장소에 개발된 사용자 지정 프로그램을 검토해야 합니다. 이러한 동사를 URLscan 구성 파일의 AllowVerbs 구역에 추가하고 해당 파일을 사용자 지정 프로그램을 호스팅하는 서버에 추가합니다.

Exchange Server 5.5 컴퓨터의 URLscan

URLScan.ini 파일에 DenyUrlSequences 구역을 추가한 후에 메일 메시지의 제목 줄에 이러한 특수 문자가 포함되어 있으면 OWA를 통해 메일 메시지를 열지 못할 수도 있습니다. 관리자는 이러한 문제의 해결을 지원하기 위해 %windir%\system32\inetsrv\urslscan 폴더에 있는 URLscan 로그 파일을 검토해야 합니다.

OWA에 대한 URLscan 구성 파일은 다음과 같습니다. 암호 변경 기능이 필요할 경우 Deny Extensions 구역에서 ".htr" 파일 확장명을 제거해야 합니다.
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 309508 - 마지막 검토: 2005년 10월 19일 수요일 - 수정: 6.2
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Exchange Server 2000 서비스 팩 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
키워드:?
kbprb KB309508

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com