IIS-Lockdown- und URLscan-Konfigurationen in einer Exchange-Umgebung

Hinweis: Dieser Artikel behandelt Probleme, die mit Exchange 2000 und Exchange Server 5.5 beim Anwenden des IIS Lockdown-Tools (Version 1.0) auftreten können. Microsoft empfiehlt, dass Sie die neueste Version des IIS Lockdown Tools herunterladen: Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base: Die IIS-Sicherheitstools (IIS = Internet Information Services) IISlockD und URLscan müssen entsprechend für Exchange konfiguriert werden. Dieser Artikel beschreibt die Konfiguration, die in Exchange 2000 Server- und Exchange Server 5.5-Umgebungen für diese Tools erforderlich ist. Typische Symptome für inkorrekte IISlockD- und URLscan-Konfigurationen sind:

• Microsoft Outlook Web Access (OWA). Wenn Sie auf OWA zugreifen, fehlen möglicherweise Ihre Mails, Kalendereinträge und Kontakte. Darüber hinaus wird unter Umständen folgende Fehlermeldung angezeigt, wenn Sie mit einem Browser auf dem Exchange 2000-Server auf OWA zugreifen möchten:
  Es ist ein Laufzeitfehler aufgetreten.
  Soll der Debugmodus gestartet werden?
  Zeile: 878
  Fehler: Der Status des Handles entspricht nicht dem angeforderten Vorgang.
• Exchange System Manager. Wenn Sie versuchen, die Struktur "Öffentliche Ordner" im Exchange System-Manager zu erweitern, wird möglicherweise folgende Fehlermeldung angezeigt:
  Das Objekt steht nicht mehr zur Verfügung. Aktualisieren Sie die Anzeige, indem Sie F5 drücken, und versuchen Sie es erneut.
  ID-Nr:
  Exchange System-Manager
• Exchange System-Manager. Wenn Sie versuchen, die Struktur "Öffentliche Ordner" im Exchange System-Manager zu erweitern, wird möglicherweise folgende Fehlermeldung angezeigt:
  Der Vorgang schlug aufgrund eines internen Serverfehlers fehl. c1030af2
• Exchange Instant Messaging. Wenn Sie versuchen, sich an Exchange Instant Messaging anzumelden, wird möglicherweise folgende Fehlermeldung angezeigt:
  Fehler beim Anmelden bei Microsoft Exchange Instant Messaging. Der Service ist momentan nicht verfügbar. Bitte wiederholen Sie den Vorgang später.

Dieses Problem kann auftreten, weil die Standardkonfiguration der Sicherheitstools IISlockD und URLScan davon ausgeht, dass der Server nur statischen Inhalt zur Verfügung stellt. Exchange 2000-Komponenten verwenden Web Distributed Authoring and Versioning (WebDAV) und andere HTTP-Verben (HTTP = Hypertext Transfer Protocol), die von der Standardkonfiguration nicht zugelassen sind. Exchange Server 5.5-Komponenten benutzen Active Server Pages (ASP), die standardmäßig deaktiviert sind.

Überprüfen Sie diese Einstellungen gründlich, bevor Sie sie auf Ihren Server anwenden. Sie sind auf optimale Funktionalität von Exchange 2000 Server und Exchange Server 5.5 ausgelegt, können jedoch unerwartete Nebeneffekte haben. Die nachfolgend aufgeführten URLscan INI-Einstellungen haben zum Beispiel eine Auswirkung auf IIS. Wenn Sie sich den Abschnitt "DenyExtensions" der INI-Einstellungen unten ansehen, werden Sie feststellen, dass diese Einstellungen die meisten Formen von Inhalten außer statischen .HTM- oder .HTML-Seiten verhindern.

IIS Lockdown auf Exchange 2000-Servern

In Exchange 2000-Umgebungen unterstützt das Lockdown-Tool keine IFS-Laufwerke (IFS = Installable File System, üblicherweise als Laufwerk M bezeichnet). Gehen Sie folgendermaßen vor, um das Lockdown-Tool auf Exchange 2000-Servern einzusetzen:

1. Führen Sie die Datei "IISlockD.exe" aus.
2. Klicken Sie auf Advanced Lockdown und anschließend auf Next.
3. Das Dialogfeld Remove Script Mappings wird angezeigt:
   1. Ist das Kontrollkästchen Disable support for Active Server Pages (.asp) aktiviert, so funktionieren die OWA-Schaltflächen Multimedia und Abmelden (Log Off) nicht. Weitere Informationen dazu, wie Sie die Multimedia-Schaltfläche deaktivieren, wenn Sie kein einheitliches Messaging verwenden, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      288119  (http://support.microsoft.com/kb/288119/DE/ ) XWEB: Deaktivieren des Multi-Mediabuttons in OWA
      Bei deaktivierten Active Server Pages (ASP) funktioniert einheitliches Messaging immer noch mit WAV-Dateianhängen.
   2. Ist das Kontrollkästchen Disable support for the .HTR scripting (.htr) markiert, so funktioniert das OWA-Feature "Kennwort ändern" nicht. Dieses OWA-Feature ist standardmäßig deaktiviert. Weitere Information zum Verbergen der Schaltfläche Kennwort ändern in OWA finden Sie im folgenden Artikel der Knowledge Base:
      297121  (http://support.microsoft.com/kb/297121/DE/ ) Verwenden des Features "Kennwort ändern" in Outlook Web Access
4. Klicken Sie auf Next.
5. Das Dialogfeld Additional Lockdown Actions wird angezeigt:
   1. Deaktivieren Sie das Kontrollkästchen Disable Distributed Authoring and Versioning (WebDAV).
   2. Deaktivieren Sie das Kontrollkästchen Set file permissions to prevent the IIS anonymous users from writing to content directories. Virtuelle IIS-Verzeichnisse, die Exchange IFS zugeordnet sind, sind hierbei ausgeschlossen.
6. Klicken Sie auf Next und danach auf Yes, um den Sperrvorgang abzuschließen.

Um die Dateiberechtigungen für den IIS-Anonymous-Benutzer manuell einzustellen, konfigurieren Sie eine explizite Verweigerung des Vollzugriffs für anonyme Webbenutzer für jedes virtuelle IIS-Verzeichnis:

1. Starten Sie den Internetdienste-Manager der Microsoft Management Console (MMC).
2. Erweitern Sie die Standardwebsite.
3. Gehen Sie für die einzelnen virtuellen Verzeichnisse wie folgt vor:
   1. Markieren Sie ein virtuelles Verzeichnis, klicken Sie mit rechten Maustaste darauf, und klicken Sie anschließend auf Eigenschaften.
   2. Notieren Sie sich den lokalen Pfad auf der Registerkarte Virtuelles Verzeichnis
   3. Starten Sie Microsoft Windows Explorer, und suchen Sie den lokalen Pfadordner.
   4. Klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie danach auf Eigenschaften.
   5. Klicken Sie auf die Registerkarte Sicherheit.
   6. Klicken Sie auf Hinzufügen.
   7. Wählen Sie die Konten _Web Anonymous Users und _Web Applications aus, und klicken Sie danach auf OK.
   8. Wählen Sie _Web Anonymous Users aus, und verweigern Sie anschließend dieser Benutzergruppe den Vollzugriff.
   9. Wählen Sie _Web Applications aus, und verweigern Sie anschließend dieser Benutzergruppe den Vollzugriff.
4. Wiederholen Sie die Schritte 1 bis 3 für alle virtuellen Verzeichnisse außer den virtuellen Stammverzeichnissen für Exchange und Exadmin.

IIS Lockdown auf Exchange Server 5.5-Computern

Gehen Sie folgendermaßen vor, um das Lockdown Tool auf Computern mit Exchange Server 5.5 einzusetzen:

1. Führen Sie die Datei "IISlockD.exe" aus.
2. Klicken Sie auf Advanced Lockdown und anschließend auf Next.
3. Das Dialogfeld Remove Script Mappings wird angezeigt.
   1. Deaktivieren Sie das Kontrollkästchen Disable support for Active Server Pages (.asp).
   2. Ist das Kontrollkästchen Disable support for the .HTR scripting (.htr) markiert, so funktioniert das OWA-Feature "Kennwort ändern" nicht. Klicken Sie auf Next.
4. Das Dialogfeld Additional Lockdown Actions wird angezeigt.
5. Klicken Sie auf Next und danach auf Yes, um den Sperrvorgang abzuschließen.

Wenn Sie das IIS Lockdown Tool bereits mit Ihrem Exchange Server 5.5 OWA-Server installiert haben und dabei alle Optionen aktiviert waren, stellen Sie die Funktionalität folgendermaßen wieder her:

• OWA:
  1. Starten Sie den Internetdienste-Manager.
  2. Erweitern Sie Standardwebsite, klicken Sie mit der rechten Maustaste auf das virtuelle Exchange-Verzeichnis, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf der Registerkarte Virtuelles Verzeichnis auf Konfiguration.
  4. Klicken Sie auf die .ASP-Zuordnung und danach auf Bearbeiten. Das IIS Lockdown Tool aktualisiert diese Zuordnung auf "404.dll". Ändern Sie die Zuordnung auf "asp.dll". Auf Microsoft Windows NT 4.0-Computern fügen Sie "PUT, DELETE" im Feld Methodenausnahmen hinzu. Stellen Sie auf Microsoft Windows 2000-Computern sicher, dass die Option Begrenzt auf ausgewählt ist und dass das Feld neben Begrenzt auf die Werte "GET, HEAD, POST, TRACE" enthält.
  5. Klicken Sie auf OK, um die Eigenschaften zu schließen.
• Kennwört ändern:
  1. Erstellen Sie das gelöschte virtuelle Verzeichnis "Iisadmpwd" neu.Weitere Informationen zum Neuerstellen des virtuellen Verzeichnisses "Iisadmpwd" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
     301428  (http://support.microsoft.com/kb/301428/DE/ ) Beheben von Access des Outlook Web aus einer II-Sicht
  2. Standardmäßig werden auch die Zuordnungen für ".htr"-Dateien entfernt. Gehen Sie folgendermaßen vor, um die Zuordnung für ".htr"-Dateien wiederherzustellen:
     1. Starten Sie den Internetdienste-Manager.
     2. Klicken Sie mit der rechten Maustaste auf die Standardwebsite, und klicken Sie dann auf Eigenschaften.
     3. Klicken Sie auf die Registerkarte Basisverzeichnis und danach auf Konfiguration.
     4. Klicken Sie auf die .htr-Zuordnung und danach auf Bearbeiten. Das IIS Lockdown Tool aktualisiert diese Zuordnung auf "404.dll". Ändern Sie die Zuordnung auf "ism.dll".
     5. Klicken Sie auf OK, um die Eigenschaften zu schließen.

URLscan auf Exchange 2000-Servern

Weitere Informationen zur Verwendung von URLScan und Exchange 2003 finden Sie im folgenden Artikel der Microsoft Knowledge Base: Dieser Abschnitt enthält URLscan-Konfigurationsdateien für die folgenden Komponenten:

• OWA
• Exchange System-Manager
• Instant Messaging
• Webordner

Bitte beachten Sie, dass Sie nach Hinzufügen des Abschnitts "DenyUrlSequences" in der Datei "URLScan.ini" Mails möglicherweise nicht mehr über Outlook Web Access (OWA) öffnen können, falls sich diese Sonderzeichen im Betreff der Mailnachricht befinden. Administratoren sollten die URLscan-Protokolldatei im Ordner "%windir%\system32\inetsrv\urslscan" überprüfen, um weitere Informationen zu diesen Problemen zu erhalten.

Sind mehrere Dienste auf einem einzigen Server installiert, so müssen Sie die Konfigurationsdateien zusammenführen, um sicherzustellen, dass alle Komponenten weiterhin funktionieren.

Öffnen Sie die Datei "Urlscan.ini" an folgendem Speicherort: Ändern Sie die Datei "Urlscan.ini" basierend auf der Rolle des Exchange-Computers ab.

Falls bei aktiviertem URLScan weiterhin Probleme mit HTTP-Anforderungen auftreten, so sehen Sie in der Protokolldatei "Urlscan.log" nach, welche Anforderungen abgelehnt wurden. Die Datei "Urlscan.log" befindet sich standardmäßig an folgendem Ort:

OWA

Die URLscan-Konfigurationsdatei für OWA sieht folgendermaßen aus (wird die Funktionalität "Kennwort ändern" benötigt, so müssen Sie die Dateierweiterung ".htr" aus dem Abschnitt "Deny Extensions" löschen):

Exchange System-Manager für die Verwaltung von öffentlichen Ordnern

Die URLscan-Konfigurationsdatei für die Verwaltung von öffentlichen Ordnern mit Exchange System-Manager sieht folgendermaßen aus: Hinweis: Sie können ".com" zu der Liste "DENYEXTENSIONS" hinzufügen, wenn Ihr internes DNS kein ".com" enthält.

Instant Messaging

Die URLscan-Konfigurationsdatei für Instant Messaging sieht folgendermaßen aus:

Webordner

Die URLscan-Konfigurationsdatei für Webordner sieht folgendermaßen aus:

Benutzerspezifische WebDAV-Programme

Benutzerspezifische Programme, die auf dem Exchange 2000-Speicher entwickelt wurden, müssen auf die Liste der verwendeten DAV-Verben hin überprüft werden. Nehmen Sie diese Verben im Abschnitt "AllowVerbs" der URLscan-Konfigurationsdatei auf, und spielen Sie die Datei auf den Servern ein, auf denen das Programm zur Verfügung gestellt wird.

URLscan auf Exchange Server 5.5-Computern

Bitte beachten Sie, dass Sie nach Hinzufügen des Abschnitts "DenyUrlSequences" in der Datei "URLScan.ini" Mails möglicherweise nicht mehr über Outlook Web Access (OWA) öffnen können, falls sich diese Sonderzeichen im Betreff der Mailnachricht befinden. Administratoren sollten die URLscan-Protokolldatei im Ordner "%windir%\system32\inetsrv\urslscan" überprüfen, um weitere Informationen zu diesen Problemen zu erhalten.

Die URLscan-Konfigurationsdatei für OWA sieht folgendermaßen aus (wird die Funktionalität "Kennwort ändern" benötigt, so müssen Sie die Dateierweiterung ".htr" aus dem Abschnitt "Deny Extensions" löschen):