IIS lockdown dan URLscan konfigurasi di lingkungan Exchange

ID Artikel: 309508 - Melihat produk di mana artikel ini berlaku.
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Catatan Artikel ini merujuk kepada masalah dengan Exchange 2000 dan Exchange Server 5.5 ketika Anda menerapkan IIS lockdown alat versi 1.0. Microsoft merekomendasikan Anda men-download versi terbaru IIS lockdown alat:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = dde9efc0-bb30-47eb-9a61-fd755d23cdec & DisplayLang = en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en)
Untuk informasi tambahan, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
309677
(http://support.microsoft.com/kb/309677/EN-US/ )
XADM: Dikenal isu-isu dan Fine Tuning saat Anda menggunakan Wisaya Lockdown IIS di lingkungan Exchange 2000
Keamanan Internet Information Services (IIS) alat-alat, IISlockD dan URLscan, harus dikonfigurasi dengan tepat untuk pertukaran. Artikel ini menjelaskan tentang konfigurasi yang diperlukan untuk alat-alat ini di Lingkungan Exchange 2000 Server dan Exchange Server 5.5. Gejala khas salah IISlockD dan URLscan konfigurasi termasuk:
  • Microsoft Outlook Web Access (OWA). Ketika Anda mendapatkan akses ke OWA, item e-mail Anda, item kalender, dan kontak mungkin hilang. Sebagai tambahan Jika Anda mencoba untuk mendapatkan akses ke OWA dari browser pada Exchange 2000 server, Anda mungkin menerima pesan galat berikut:
    A Telah terjadi kesalahan runtime.
    Apakah Anda ingin Debug?
    Garis: 878
    Kesalahan: Pegangan berada dalam negara salah untuk operasi yang diminta
  • Exchange System Manager. Ketika Anda mencoba untuk klik untuk membuka pohon folder publik di Exchange System Manager, Anda dapat menerima pesan galat berikut:
    Tujuannya adalah tidak lagi tersedia. Tekan F5 untuk me-refresh tampilan, dan kemudian coba lagi.
    ID tidak: 80040e19
    Exchange System Manager
  • Exchange System Manager. Ketika Anda mencoba untuk memperluas publik pohon folder di Exchange System Manager, Anda akan menerima galat berikut pesan:
    Operasi gagal karena internal server kesalahan. c1030af2
  • Instan Pesan Exchange. Ketika Anda mencoba untuk masuk ke Pertukaran pesan instan, Anda akan menerima galat berikut pesan:
    Masuk ke Microsoft Exchange instan Pesan gagal karena layanan ini untuk sementara tidak tersedia. Coba lagi nanti.
Kembali ke atas | Berikan Masukan

PENYEBAB

Masalah ini dapat terjadi karena konfigurasi default IISlockD dan URLScan alat keamanan mengasumsikan bahwa server melayani hanya konten statis. Komponen Exchange 2000 menggunakan Web didistribusikan Authoring dan Versi (WebDAV) dan lain verba Hypertext Transfer Protocol (HTTP) yang tidak diperbolehkan oleh konfigurasi default. Komponen Exchange Server 5.5 menggunakan Active Server Pages (ASP) yang dinonaktifkan secara default.
Kembali ke atas | Berikan Masukan

PEMECAHAN MASALAH

Silakan periksa pengaturan ini dengan hati-hati sebelum Anda menerapkan mereka ke server Anda. Mereka dirancang untuk memungkinkan Exchange 2000 Server dan Microsoft Exchange Server 5.5 bekerja optimal, tapi mungkin memiliki efek lain yang Anda mungkin tidak mengharapkan. Sebagai contoh, URLscan INI pengaturan di bawah ini akan mempengaruhi IIS. Jika Anda Baca bagian "DenyExtensions" pengaturan INI di bawah ini, Anda dapat melihat bahwa pengaturan ini mencegah IIS melayani sebagian besar bentuk konten selain statis .HTM atau.Halaman HTML.

IIS Lockdown pada Exchange 2000 Server

Dalam Exchange 2000 lingkungan, lockdown alat tidak mengakomodasi Exchange installable file system (IFS) mount drive (biasanya drive M). Menggunakan alat lockdown pada Exchange 2000 Server:
  1. Jalankan IISlockD.exe.
  2. Klik Lanjutan Lockdown, lalu klik Berikutnya.
  3. The Hapus Script pemetaan kotak dialog akan ditampilkan:
    1. Jika Menonaktifkan dukungan untuk Active Server Pages (.asp) kotak centang dipilih, OWA Multimediatombol tidak berfungsi dan Log Off tombol tidak fungsi. Artikel Basis Pengetahuan Microsoft berikut menjelaskan proses untuk menonaktifkan tombol multimedia untuk pelanggan yang tidak memiliki bersatu pesan solusi:
      288119
      (http://support.microsoft.com/kb/288119/EN-US/ )
      XWEB: Cara menonaktifkan tombol Multimedia di OWA
      Ketika Active Server Pages (ASP) halaman nonaktif, Unified messaging masih berfungsi dengan lampiran file WAV.
    2. Jika Menonaktifkan dukungan untuk.HTR skrip (.htr) kotak centang ini dipilih, fitur OWA Ubah sandi tidak fungsi. OWA fitur ini dinonaktifkan secara default. Basis Pengetahuan berikut Artikel ini menjelaskan proses untuk menyembunyikan Ubah sandi tombol di OWA:
      297121
      (http://support.microsoft.com/kb/297121/EN-US/ )
      XWEB: Bagaimana untuk menyembunyikan perubahan Password tombol pada halaman pilihan Outlook Web Access
  4. Klik Berikutnya.
  5. The Tambahan Lockdown tindakan kotak dialog akan ditampilkan:
    1. Klik untuk menghapus Menonaktifkan didistribusikan Authoring dan versi (WebDAV) kotak centang.
    2. Klik untuk menghapus Mengatur file permissions untuk mencegah pengguna anonim IIS menulis ke direktori kontenkotak centang. Ini termasuk direktori virtual IIS yang dipetakan ke Exchange IFS.
  6. Klik Berikutnya, lalu klik Ya untuk menyelesaikan proses lockdown.
Untuk secara manual mengatur file permissions untuk IIS anonim pengguna, mengatur eksplisit menyangkal semua akses kontrol entri (ACE) untuk Web anonim pengguna untuk setiap direktori virtual IIS:
  1. Mulai Internet Services Manager Microsoft manajemen Konsol (MMC).
  2. Klik untuk memperluas Situs Web standar.
  3. Untuk setiap direktori virtual:
    1. Klik untuk memilih direktori virtual, klik kanan direktori virtual, dan kemudian klik Properti.
    2. Pada Direktori virtual tab, perhatikan jalan lokal.
    3. Mulai menjalankan Microsoft Windows Explorer, dan kemudian cari jalan lokal folder.
    4. Klik kanan folder, dan kemudian klik Properti.
    5. Klik Keamanan tab.
    6. Klik Tambahkan.
    7. Klik untuk memilih _Web pengguna anonim dan _Web aplikasi account, dan kemudian klik Oke.
    8. Klik untuk memilih _Web pengguna anonim rekening, dan kemudian menolak ACE kontrol penuh.
    9. Klik untuk memilih _Web aplikasi rekening, dan kemudian menolak ACE kontrol penuh.
  4. Ulangi langkah 3 untuk setiap direktori virtual, tidak termasuk Pertukaran dan Exadmin akar virtual.

IIS Lockdown pada Exchange Server 5.5 komputer

Menggunakan alat lockdown pada Exchange Server 5.5 komputer:
  1. Mulai IISlockD.exe.
  2. Klik Lanjutan Lockdown, lalu klik Berikutnya.
  3. The Hapus Script pemetaan kotak dialog akan ditampilkan
    1. Klik untuk menghapus Menonaktifkan dukungan untuk aktif Server Pages (.asp) kotak centang.
    2. Jika Menonaktifkan dukungan untuk.HTR skrip (.htr) kotak centang ini dipilih, fitur OWA Ubah sandi tidak fungsi. Klik Berikutnya.
  4. The Tambahan Lockdown tindakan kotak dialog akan ditampilkan.
  5. Klik Berikutnya, lalu klik Ya untuk menyelesaikan proses lockdown.
Jika Anda sudah menjalankan alat IIS Lockdown terhadap Exchange Anda Server 5.5 OWA server dengan semua pilihan yang dipilih, untuk memulihkan fungsi:
  • OWA:
    1. Mulai Internet Services Manager.
    2. Klik untuk memperluas Situs Web standar, klik kanan direktori virtual Exchange, dan kemudian klik Properti.
    3. Klik Direktori virtual tab, dan kemudian klik Konfigurasi.
    4. Klik .ASP pemetaan, dan kemudian klik Mengedit. IIS Lockdown alat pembaruan pemetaan ini untuk 404.dll. Ubah pemetaan untuk asp.dll. Pada komputer berbasis Microsoft Windows NT 4.0, menambahkan "PUT, MENGHAPUS"untuk Metode pengecualian kotak. Pada komputer berbasis Microsoft Windows 2000, pastikan The Membatasi untuk kotak centang dipilih, dan bahwa Membatasi untuk kotak berisi "Mendapatkan, kepala, posting, jejak".
    5. Klik Oke untuk menutup properti.
  • Ubah sandi:
    1. Iisadmpwd direktori virtual yang menciptakan kembali dihapus.Untuk informasi tambahan tentang cara untuk menciptakan kembali Iisadmpwd direktori virtual, klik nomor artikel di bawah ini untuk melihat artikel pada Basis Pengetahuan Microsoft:
      301428
      (http://support.microsoft.com/kb/301428/EN-US/ )
      Mengatasi masalah Outlook Web Access dari perspektif IIS
    2. Secara default, pemetaan untuk ".htr" file yang juga dihapus. Mengembalikan pemetaan untuk ".htr" file:
      1. Mulai Internet Services Manager.
      2. Klik kanan Situs Web standar, lalu klik Properti.
      3. Klik Direktori Home tab, dan kemudian klik Konfigurasi.
      4. Klik .htr pemetaan, dan kemudian klik Mengedit. IIS Lockdown alat pembaruan pemetaan ini untuk 404.dll. Ubah pemetaan untuk ism.dll.
      5. Klik Oke untuk menutup properti.

URLscan pada Exchange 2000 Server

Untuk informasi lebih lanjut tentang menggunakan Exchange 2003 dan URLscan, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:
823175
(http://support.microsoft.com/kb/823175/ )
Fine-tuning dan dikenal masalah ketika Anda menggunakan utilitas Urlscan di lingkungan Exchange 2003
Bagian ini berisi file-file konfigurasi URLscan untuk komponen-komponen berikut:
  • OWA
  • Exchange System Manager
  • Pesan instan
  • Web folder
Perlu diketahui bahwa setelah Anda menambahkan bagian DenyUrlSequences untuk URLScan.ini file, Anda mungkin tidak dapat membuka pesan melalui Outlook Web Akses (OWA) jika baris subjek pesan e-mail berisi ini khusus karakter. Administrator harus meninjau berkas log URLscan di %Windir%\system32\inetsrv\urslscan folder untuk bantuan dalam menyelesaikan ini isu-isu.

Jika beberapa layanan diinstal pada sebuah server tunggal, Anda perlu untuk menggabungkan file-file konfigurasi untuk memastikan bahwa semua komponen terus berfungsi.

Buka Urlscan.ini file berikut Lokasi:
Windir\System32\Inetsrv\Urlscan
Memodifikasi file Urlscan.ini yang didasarkan pada komputer Exchange peran.

Jika Anda menghadapi lebih lanjut kesulitan ketika Anda mencoba HTTP permintaan dengan URLScan yang diaktifkan, periksa berkas Urlscan.log untuk daftar permintaan yang ditolak. Lokasi default dari berkas Urlscan.log adalah:
Windir\System32\Inetsrv\Urlscan

OWA

URLscan file konfigurasi untuk OWA adalah sebagai berikut (jika perubahan Sandi fungsionalitas diperlukan, Anda harus menghapus ekstensi file ".htr" dari bagian menyangkal ekstensi):
[Opsi]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
MENDAPATKAN
POSTING
PENCARIAN
JAJAK PENDAPAT
PROPFIND
BMOVE
BCOPY
BERLANGGANAN
BERGERAK
PROPPATCH
BPROPPATCH
HAPUS
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
Jika:
Token kunci:

[DenyExtensions]
.asp
.CER
.cdx
.asa
.exe
.bat
.CMD
.com
.HTW
.Ida
.IDQ
.htr
.IDC
.shtm
.shtml
.stm
.printer
.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Exchange System Manager untuk manajemen Folder publik

URLscan file konfigurasi untuk Exchange System Manager manajemen dari folder umum adalah sebagai berikut:
[Opsi]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
PROPFIND
PENCARIAN
PROPPATCH
HAPUS
MKCOL
BERGERAK
SALINAN
PILIHAN

[DenyVerbs]

[DenyHeaders]
Jika:
Token kunci:

[DenyExtensions]
.asp
.CER
.cdx
.asa
.exe
.bat
.CMD
.HTW
.Ida
.IDQ
.htr
.IDC
.shtm
.shtml
.stm
.printer
.ini
.log
.Pol
.dat
Catatan Anda dapat menambahkan .com ke daftar DENYEXTENSIONS jika internal Domain Name System (DNS) tidak mengandung. com.
[DenyUrlSequences]
..
./
\
%
&

Pesan instan

URLscan file konfigurasi untuk pesan instan sebagai berikut:
[Opsi]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
BERLANGGANAN
BERHENTI BERLANGGANAN
LANGGANAN
MEMBERITAHU
JAJAK PENDAPAT
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
Jika:
Token kunci:

[DenyExtensions]
.asp
.CER
.cdx
.asa
.exe
.bat
.CMD
.com
.HTW
.Ida
.IDQ
.htr
.IDC
.shtm
.shtml
.stm
.printer
.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Web folder

URLscan file konfigurasi untuk Web folder adalah sebagai berikut:
[Opsi]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
MENDAPATKAN
PROPFIND
BERGERAK
BCOPY
HAPUS
BDELETE
MKCOL
PILIHAN
KUNCI
MEMBUKA
MENEMPATKAN

[DenyVerbs]

[DenyHeaders]
Menerjemahkan:
Jika:
Token kunci:

[DenyExtensions]
.asp
.CER
.cdx
.asa
.exe
.bat
.CMD
.com
.HTW
.Ida
.IDQ
.htr
.IDC
.shtm
.shtml
.stm
.printer
.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Kustom WebDAV program

Anda perlu meninjau program kustom yang dikembangkan pada Exchange 2000 toko untuk daftar DAV kata yang digunakan. Menambahkan ini verba bagian AllowVerbs URLscan Konfigurasi file dan menerapkan file ke server host program kustom.

URLscan pada Exchange Server 5.5 komputer

Perlu diketahui bahwa setelah Anda menambahkan bagian DenyUrlSequences untuk URLScan.ini file, Anda mungkin tidak dapat membuka pesan melalui Outlook Web Akses (OWA) jika baris subjek pesan e-mail berisi ini khusus karakter. Administrator harus meninjau berkas log URLscan di %Windir%\system32\inetsrv\urslscan folder untuk bantuan dalam menyelesaikan ini isu-isu.

URLscan file konfigurasi untuk OWA adalah sebagai berikut (jika Perubahan Password fungsionalitas diperlukan, Anda harus menghapus file ".htr" ekstensi dari bagian-bagian menyangkal ekstensi):
[Opsi]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 0
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0
AlternateServerName =

[AllowVerbs]
MENDAPATKAN
KEPALA
POSTING

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
HAPUS
MENEMPATKAN
SALINAN
BERGERAK
KUNCI
MEMBUKA

[DenyHeaders]
Menerjemahkan:
Jika:
Token kunci:

[DenyExtensions]
.exe
.bat
.CMD
.com
.HTW
.Ida
.IDQ
.IDC
.shtm
.shtml
.stm
.printer
.ini
.log
.Pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&
Kembali ke atas | Berikan Masukan

Properti

ID Artikel: 309508 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Kata kunci: 
kbprb kbmt KB309508 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:309508
(http://support.microsoft.com/kb/309508/en-us/ )
Kembali ke atas | Berikan Masukan

Berikan Masukan

 
Kembali ke atasKembali ke atas