Blokowanie usług IIS i ustawienia narzędzia URLscan w środowisku Exchange

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 309508 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Symptomy

Uwaga W tym artykule zawarto informacje dotyczące problemów z programami Exchange 2000 i Exchange Server 5.5 podczas stosowania narzędzia do blokowania usług IIS w wersji 1.0. Firma Microsoft zaleca pobranie najnowszej wersji narzędzia do blokowania usług IIS:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
309677 XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment
Narzędzia zabezpieczeń Internetowych usług informacyjnych (IIS), IISlockD i URLscan, muszą być prawidłowo skonfigurowane do współpracy z programem Exchange. W niniejszym artykule opisano wymaganą konfigurację tych narzędzi w środowiskach Exchange 2000 Server i Exchange Server 5.5. Typowymi objawami nieprawidłowego ustawienia narzędzi IISlockD i URLscan są:
  • Microsoft Outlook Web Access (OWA). W trakcie uzyskiwania dostępu do usługi OWA może brakować elementów poczty, Kalendarza i Kontaktów. Ponadto przy próbie uzyskania dostępu do usługi OWA za pomocą przeglądarki na serwerze Exchange 2000 może zostać wyświetlony następujący komunikat o błędzie:
    Wystąpił błąd w czasie wykonywania.
    Czy chcesz debugować?
    Wiersz: 878
    Błąd: Niewłaściwy stan dojścia dla żądanej operacji
  • Exchange System Manager. Podczas próby rozwinięcia drzewa folderów publicznych za pomocą kliknięcia w programie Exchange System Manager może zostać wyświetlony następujący komunikat o błędzie:
    Obiekt nie jest już dostępny. Naciśnij klawisz F5 w celu odświeżenia ekranu i spróbuj ponownie.
    Identyfikator: 80040e19
    Usługa Exchange System Manager
  • Exchange System Manager. Podczas próby rozwinięcia drzewa folderu publicznego programu Exchange System Manager może zostać wyświetlony następujący komunikat o błędzie:
    Operacja nie powiodła się na skutek wewnętrznego błędu serwera. c1030af2
  • Exchange Instant Messaging. Podczas próby zarejestrowania się w programie Exchange Instant Messaging może zostać wyświetlony następujący komunikat o błędzie:
    Rejestracja w programie Microsoft Exchange Instant Messaging nie powiodła się z powodu czasowej niedostępności usługi. Spróbuj ponownie później.

Przyczyna

Ten błąd może wystąpić, ponieważ w domyślnej konfiguracji narzędzi zabezpieczeń IISlockD i URLScan przyjęto, że serwer obsługuje wyłącznie zawartość statyczną. Składniki programu Exchange 2000 korzystają z usługi Web Distributed Authoring and Versioning (WebDAV) oraz innych zleceń protokołu HTTP, które są niedozwolone w konfiguracji domyślnej. Składniki programu Exchange Server 5.5 korzystają ze stron ASP, które są domyślnie wyłączone.

Rozwiązanie

Należy uważnie sprawdzić te ustawienia przed zastosowaniem ich na serwerze. Zaprojektowano je w celu umożliwienia optymalnego działania programów Exchange 2000 Server i Exchange Server 5.5, lecz mogą mieć też inne, nieoczekiwane skutki. Na przykład poniższe ustawienia INI narzędzia URLscan będą miały wpływ na usługę IIS. Po przeczytaniu sekcji „DenyExtensions” w ustawieniach INI poniżej można zauważyć, że ustawienia te uniemożliwiają usłudze IIS obsługiwanie większości form zawartości oprócz statycznych stron .HTM lub .HTML.

Ta sekcja zawiera następujące sekcje:

Blokowanie usług IIS na serwerach Exchange 2000 Server

W środowiskach Exchange 2000 narzędzie do blokowania nie obejmuje zainstalowanych dysków instalowalnego systemu plików (IFS) programu Exchange (zwykle dysku M). Aby użyć narzędzia blokującego na serwerach Exchange 2000:
  1. Uruchom program IISlockD.exe.
  2. Kliknij przycisk Advanced Lockdown, a następnie kliknij przycisk Next.
  3. Wyświetlone zostanie okno dialogowe Remove Script Mappings:
    1. Jeśli pole wyboru Disable support for Active Server Pages (.asp) jest zaznaczone, nie działa przycisk Multimedia programu OWA (Outlook Web Access) i przycisk Log Off. W następującym artykule z bazy wiedzy Microsoft Knowledge Base opisano procedurę wyłączania przycisku multimedialnego u klientów nieposiadających jednolitego rozwiązania w zakresie obsługi wiadomości:
      288119 XWEB: How to Disable the Multimedia Button in OWA
      Gdy strony ASP są wyłączone, jednolita obsługa wiadomości wciąż działa z załącznikiem typu pliku WAV.
    2. Jeśli pole wyboru Disable support for the .HTR scripting (.htr) jest zaznaczone, funkcja Change Password programu OWA nie działa. Ta funkcja programu OWA jest domyślnie wyłączona. W następującym artykule z bazy wiedzy Microsoft Knowledge Base opisano procedurę ukrywania przycisku Change Password w programie OWA:
      297121 XWEB: How to Hide the Change Password Button on the Outlook Web Access Options Page
  4. Kliknij przycisk Next.
  5. Wyświetlone zostanie okno dialogowe Additional Lockdown Actions:
    1. Wyczyść pole wyboru Disable Distributed Authoring and Versioning (WebDAV).
    2. Wyczyść pole wyboru Set file permissions to prevent the IIS anonymous users from writing to content directories. Powoduje to wyłączenie katalogów wirtualnych usług IIS zamapowanych jako systemy plików IFS programu Exchange .
  6. Kliknij przycisk Next, a następnie kliknij przycisk Yes, aby zakończyć procedurę blokowania.
Aby ręcznie ustawić uprawnienia do plików anonimowego użytkownika usług IIS, należy jawnie ustawić wpis kontroli dostępu (ACE, Access Control Entry) na Deny All dla anonimowych użytkowników sieci Web dla każdego z katalogów wirtualnych usług IIS:
  1. Uruchom konsolę MMC z przystawką Menedżer usług internetowych.
  2. Kliknij, aby rozwinąć węzeł Domyślna witryna sieci Web.
  3. Odnośnie do każdego katalogu wirtualnego:
    1. Kliknij, aby zaznaczyć katalog wirtualny, kliknij prawym przyciskiem myszy ten katalog wirtualny, a następnie kliknij polecenie Właściwości.
    2. Na karcie Katalog wirtualny zanotuj ścieżkę lokalną.
    3. Uruchom Eksploratora systemu Microsoft Windows, a następnie odszukaj folder ścieżki lokalnej.
    4. Kliknij ten folder prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
    5. Kliknij kartę Zabezpieczenia.
    6. Kliknij przycisk Dodaj.
    7. Kliknij, aby zaznaczyć konta _Web Anonymous Users i _Web Applications, a następnie kliknij przycisk OK.
    8. Kliknij, aby zaznaczyć konto _Web Anonymous Users, a następnie ustaw wpis ACE Full Control na deny.
    9. Kliknij, aby zaznaczyć konto _Web Applications, a następnie ustaw wpis ACE Full Control na deny.
  4. Powtórz krok 3 odnośnie do każdego katalogu wirtualnego z wyjątkiem wirtualnych katalogów głównych Exchange oraz Exadmin.

Blokowanie usług IIS na komputerach z programem Exchange Server 5.5

W celu skorzystania z narzędzia do blokowania na komputerach z programem Exchange Server 5.5:
  1. Uruchom program IISlockD.exe.
  2. Kliknij przycisk Advanced Lockdown, a następnie kliknij przycisk Next.
  3. Wyświetlone zostanie okno dialogowe Remove Script Mappings.
    1. Klikając, wyczyść pole wyboru Disable support for Active Server Pages (.asp).
    2. Jeśli pole wyboru Disable support for the .HTR scripting (.htr) jest zaznaczone, funkcja Change Password programu OWA nie działa. Kliknij przycisk Next.
  4. Wyświetlone zostanie okno dialogowe Additional Lockdown Actions.
  5. Kliknij przycisk Next, a następnie kliknij przycisk Yes, aby zakończyć procedurę blokowania.
Jeśli narzędzie do blokowania usług IIS było już uruchamiane w odniesieniu do programu OWA serwera Exchange Server 5.5 z zaznaczonymi tymi wszystkimi opcjami, w celu przywrócenia funkcji należy wykonać następujące czynności:
  • OWA:
    1. Uruchom Menedżera usług internetowych.
    2. Kliknij, aby rozwinąć węzeł Domyślna witryna sieci Web, kliknij prawym przyciskiem myszy pozycję Katalog wirtualny programu Exchange, a następnie kliknij polecenie Właściwości.
    3. Kliknij kartę Katalog wirtualny, a następnie kliknij przycisk Konfiguracja.
    4. Kliknij mapowanie .ASP, a następnie kliknij polecenie Edycja. Narzędzie do blokowania usług IIS aktualizuje to mapowanie do pliku 404.dll. Zmień to mapowanie na plik asp.dll. Na komputerach opartych na systemie Microsoft Windows NT 4.0 dodaj wpis „PUT, DELETE” w polu Method Exclusions. Na komputerach opartych na systemie Microsoft Windows 2000 sprawdź, czy pole wyboru Limit to jest zaznaczone i czy pole Limit to zawiera elementy „GET, HEAD, POST, TRACE”.
    5. Kliknij przycisk OK, aby zamknąć okno właściwości.
  • Zmień hasło:
    1. Utwórz ponownie usunięty katalog wirtualny Iisadmpwd.Aby uzyskać dodatkowe informacje dotyczące ponownego tworzenia katalogu wirtualnego Iisadmpwd, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
      301428 Troubleshooting Outlook Web Access from an IIS Perspective
    2. Domyślnie mapowania dla plików z rozszerzeniem htr są również usuwane. Należy przywrócić mapowanie dla plików z rozszerzeniem htr w następujący sposób:
      1. Uruchom Menedżera usług internetowych.
      2. Kliknij prawym przyciskiem myszy pozycję Domyślna witryna sieci Web, a następnie kliknij polecenie Właściwości.
      3. Kliknij kartę Katalog macierzysty, a następnie kliknij przycisk Konfiguracja.
      4. Kliknij mapowanie .htr, a następnie kliknij przycisk Edycja. Narzędzie do blokowania usług IIS aktualizuje to mapowanie do pliku 404.dll. Zmień mapowanie na plik ism.dll.
      5. Kliknij przycisk OK, aby zamknąć okno właściwości.

URLscan on Exchange 2000 Servers

Aby uzyskać dodatkowe informacje na temat programu Exchange 2003 i narzędzia URLScan, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
823175 Fine-tuning and known issues when you use the Urlscan utility in an Exchange 2003 environment
Niniejsza sekcja zawiera pliki konfiguracyjne narzędzia URLscan dla następujących składników:
  • Usługa OWA
  • Usługa Exchange System Manager
  • Usługa Instant Messaging
  • Foldery sieci Web
Należy zwrócić uwagę, że po dodaniu do pliku URLScan.ini sekcji DenyUrlSequences wiadomości e-mail zawierające w polu Temat te znaki specjalne mogą się nie dać otworzyć za pomocą programu Outlook Web Access (OWA). Administratorzy powinni przejrzeć plik dziennika narzędzia URLscan znajdujący się w folderze %windir%\system32\inetsrv\urslscan, aby uzyskać pomoc w rozwiązaniu tych problemów.

Jeśli na pojedynczym serwerze zainstalowano wiele usług, trzeba scalić pliki konfiguracyjne, aby zapewnić dalsze działanie wszystkich składników.

Otwórz plik Urlscan.ini w następującej lokalizacji:
windir\System32\Inetsrv\Urlscan
Zmodyfikuj plik Urlscan.ini oparty na roli komputera jako serwera Exchange.

Jeśli przy włączonym narzędziu URLScan pojawiają się dalsze trudności podczas prób realizacji żądań HTTP, należy sprawdzić w pliku Urlscan.log listę żądań, które zostały odrzucone. Domyślną lokalizacją pliku Urlscan.log jest:
windir\System32\Inetsrv\Urlscan

OWA

Zawartość pliku konfiguracyjnego narzędzia URLscan dla usługi OWA jest następująca (jeśli konieczne jest działanie funkcji Change Password, należy usunąć rozszerzenie nazwy pliku „.htr” z sekcji Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Program Exchange System Manager do zarządzania folderami publicznymi

Zawartość pliku konfiguracyjnego narzędzia URLscan dla programu Exchange System Manager do zarządzania folderami publicznymi jest następująca:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
Uwaga Do listy rozszerzeń DENYEXTENSIONS można dodać rozszerzenie com, jeśli wewnętrzny system nazw domen (DNS, Domain Name System) go nie zawiera.
[DenyUrlSequences]
..
./
\
%
&

Wiadomości błyskawiczne

Zawartość pliku konfiguracyjnego narzędzia URLscan dla wiadomości błyskawicznych jest następująca:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Foldery sieci Web

Zawartość pliku konfiguracyjnego narzędzia URLscan dla Folderów sieci Web jest następująca:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Niestandardowe programy WebDAV

Należy przejrzeć wszystkie niestandardowe programy utworzone w magazynie programu Exchange 2000 pod względem listy używanych zleceń DAV. Należy dodać te zlecenia do sekcji AllowVerbs pliku konfiguracyjnego narzędzia URLscan i zastosować ten plik na serwerach, na których działa program niestandardowy.

Narzędzie URLscan na komputerach z programem Exchange Server 5.5

Należy zwrócić uwagę, że po dodaniu do pliku URLScan.ini sekcji DenyUrlSequences wiadomości e-mail zawierające w polu Temat te znaki specjalne mogą się nie dać otworzyć za pomocą programu Outlook WebAccess (OWA). Administratorzy powinni przejrzeć plik dziennika narzędzia URLscan znajdujący się w folderze %windir%\system32\inetsrv\urslscan, aby uzyskać pomoc w rozwiązaniu tych problemów.

Zawartość pliku konfiguracyjnego narzędzia URLscan dla usługi OWA jest następująca (jeśli konieczne jest działanie funkcji Change Password, należy usunąć rozszerzenie nazwy pliku „.htr” z sekcji Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

Właściwości

Numer ID artykułu: 309508 - Ostatnia weryfikacja: 19 października 2005 - Weryfikacja: 6.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Słowa kluczowe: 
kbprb KB309508

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com