Bloqueio do IIS e configurações do URLscan num ambiente do Exchange

Nota Este artigo refere-se a problemas com o Exchange 2000 e Exchange Server 5.5 quando aplicar o versão 1.0 da ferramenta de bloqueio do IIS. A Microsoft recomenda que transfira a versão mais recente da ferramenta de bloqueio do IIS: Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft: A segurança de serviços de informação Internet (IIS) ferramentas IISlockD e URLscan, terá de configurar correctamente para o Exchange. Este artigo descreve a configuração necessária para estas ferramentas em ambientes de Exchange 2000 Server e Exchange Server 5.5. Os sintomas típicos de incorrecta da configuração IISlockD e URLscan incluem:

• Microsoft Outlook Web Access (OWA). Quando obter acesso à OWA, os itens de correio, itens do calendário e contactos poderão estar em falta. Além disso, se tentar aceder ao OWA a partir de um browser no Exchange 2000 server, poderá receber a seguinte mensagem de erro:
  Ocorreu um erro de tempo de execução.
  Pretende depurar?
  Linha: 878
  Erro: O identificador está no estado errado para a operação pedida
• Exchange System Manager. Quando tenta clique para expandir a árvore de pastas públicas no Exchange System Manager, poderá receber a seguinte mensagem de erro:
  O objecto já não está disponível. Prima F5 para actualizar a apresentação e, em seguida, tente novamente.
  ID não: 80040e19
  Exchange System Manager
• Exchange System Manager. Quando tentar expandir a árvore de pastas públicas no Exchange System Manager, poderá receber a seguinte mensagem de erro:
  A operação falhou devido um erro interno do servidor. c1030af2
• Exchange Instant Messaging. Quando tenta iniciar sessão no serviço de mensagens instantâneas do Exchange, poderá receber a seguinte mensagem de erro:
  Iniciar sessão no Microsoft Exchange Instant Messaging falhou porque o serviço está temporariamente indisponível. Tente novamente mais tarde.

Este problema pode ocorrer porque a configuração predefinida das ferramentas de segurança IISlockD e URLScan assume que o servidor está a servir apenas conteúdo estático. Componentes do Exchange 2000 utilizam Web Distributed Authoring e Versioning (WebDAV) e outros verbos do protocolo de transferência de hipertexto (HTTP, Hypertext Transfer Protocol) que não são permitidos, a configuração predefinida. Componentes do Exchange Server 5.5 utilizar Active Server Pages (ASP) que estão desactivados por predefinição.

Examine estas definições cuidadosamente antes de aplicar ao seu servidor. Estes concebido para permitir Exchange 2000 Server e Exchange Server 5.5 trabalhar de forma ideal, mas poderão ter outros efeitos que pode não pensa. Por exemplo, as definições de URLscan INI abaixo vão afectar o IIS. Se ler a secção "DenyExtensions" as definições INI abaixo, pode ver estas definições impedirem IIS enviem a maior parte dos formulários de conteúdo diferente .htm ou .HTML páginas estáticas.

Bloqueio do IIS em servidores Exchange 2000

Em ambientes do Exchange 2000, a ferramenta de bloqueio não acomodar unidades montadas Exchange ficheiros instalável (IFS, Installable File System) do sistema (normalmente a unidade M). Para utilizar a ferramenta de bloqueio em servidores de Exchange 2000:

1. Execute IISlockD.exe.
2. Clique em Bloqueio de segurança avançada e, em seguida, clique em seguinte .
3. É apresentada a caixa de diálogo Remover mapeamentos de scripts :
   1. Se o desactivar o suporte para Active Server Pages (.asp) caixa de verificação está seleccionada, o OWA multimédia botão não funciona e o botão Terminar sessão não funciona. O seguinte artigo da base de dados de conhecimento da Microsoft descreve o processo para desactivar o botão multimédia para clientes que não tenham uma solução de mensagens unificada:
      288119  (http://support.microsoft.com/kb/288119/EN-US/ ) XWEB: Como desactivar o botão ' multimédia ' no OWA
      Quando o ASP Active Server Pages () páginas estiverem desactivadas, unificadas funções ainda mensagens com o WAV ficheiro anexo.
   2. Se a caixa de verificação desactivar o suporte para .HTR scripts (.htr) estiver seleccionada, a funcionalidade do OWA alterar palavra-passe não funciona. Esta funcionalidade do OWA está desactivada por predefinição. O artigo de base de dados de conhecimento da seguinte descreve o processo para ocultar o botão Alterar a palavra-passe no OWA:
      297121  (http://support.microsoft.com/kb/297121/EN-US/ ) XWEB: Como ocultar o botão Alterar palavra-passe na página Opções do Outlook Web Access
4. Clique em seguinte .
5. A caixa de diálogo Acções adicionais do bloqueio é apresentada:
   1. Clique para desmarcar a Desactivar Distributed Authoring and Versioning (WebDAV) caixa de verificação.
   2. Clique para desmarcar o conjunto de permissões de ficheiro para impedir que os utilizadores anónimos IIS de escrever conteúdos directórios caixa de verificação. Isto exclui os directórios virtuais IIS que são mapeados para o IFS do Exchange.
6. Clique em seguinte e, em seguida, clique em Sim para concluir o processo de bloqueio.

Para definir manualmente as permissões de ficheiro para o utilizador anónimo do IIS, defina um explícita negar todos os Access controlo entrada (ACE) para anónimo Web utilizadores para cada directório virtual do IIS:

1. Inicie a Internet dos serviços de ' Gestor de ' Microsoft gestão de consola (MMC).
2. Clique para expandir o Web Site predefinido .
3. Para cada directório virtual:
   1. Clique para seleccionar um directório virtual, clique com o botão direito do rato no directório virtual e, em seguida, clique em Propriedades .
   2. No separador Directório Virtual , anote o caminho local.
   3. Inicie o Explorador do Windows e, em seguida, localize a pasta de caminho local.
   4. Clique com o botão direito do rato na pasta e, em seguida, clique em Propriedades .
   5. Clique no separador segurança .
   6. Clique em Adicionar .
   7. Clique para seleccionar as contas _Web utilizadores anónimos e _Web aplicações e, em seguida, clique em OK .
   8. Clique para seleccionar a conta _Web utilizadores anónimos e, em seguida, negar ACE de controlo total.
   9. Clique para seleccionar a conta _Web aplicações e, em seguida, negar ACE de controlo total.
4. Repita o passo 3 para cada directório virtual, excluindo as raízes virtuais do Exchange e Exadmin.

IIS Lockdown no Exchange Server 5.5 computadores

Para utilizar a ferramenta de bloqueio em computadores do Exchange Server 5.5:

1. Inicie IISlockD.exe.
2. Clique em Bloqueio de segurança avançada e, em seguida, clique em seguinte .
3. A caixa de diálogo Remover mapeamentos de scripts é apresentada
   1. Clique para desmarcar a caixa de verificação desactivar o suporte para Active Server Pages (.asp) .
   2. Se a caixa de verificação desactivar o suporte para .HTR scripts (.htr) estiver seleccionada, a funcionalidade do OWA alterar palavra-passe não funciona. Clique em seguinte .
4. A caixa de diálogo Acções adicionais do bloqueio de segurança é apresentada.
5. Clique em seguinte e, em seguida, clique em Sim para concluir o processo de bloqueio.

Se já executou a ferramenta IIS Lockdown contra o servidor do OWA do Exchange Server 5.5 com todas as opções seleccionadas, para restaurar a funcionalidade:

• OWA:
  1. Inicie o Gestor de serviços Internet.
  2. Clique para expandir o Web Site predefinido , clique com o botão direito do rato no directório virtual Exchange e, em seguida, clique em Propriedades .
  3. Clique no separador Directório Virtual e, em seguida, clique em configuração .
  4. Faça clique sobre o mapeamento de .asp e, em seguida, clique em Editar . A ferramenta IIS Lockdown actualiza este mapeamento 404.dll. Altere o mapeamento para asp.dll. Em computadores baseados no Microsoft Windows NT 4.0, adicione "PUT, DELETE" à caixa Exclusões de método . Em computadores com o Microsoft Windows 2000, certifique-se que a caixa de verificação limitar a está seleccionada e que a caixa de limitar a contém "GET, HEAD, POST e TRACE".
  5. Clique em OK para fechar as propriedades.
• Alterar palavra-passe:
  1. Recrie o directório virtual Iisadmpwd que foi eliminado.Para obter informações adicionais sobre como recriar o directório virtual Iisadmpwd, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
     301428  (http://support.microsoft.com/kb/301428/EN-US/ ) Resolução de problemas do Outlook Web Access a partir de uma perspectiva IIS
  2. Por predefinição, os mapeamentos de ficheiros ".htr" também são removidos. Restaure o mapeamento de ficheiros ".htr":
     1. Inicie o Gestor de serviços Internet.
     2. Clique com o botão direito do rato em Web Site predefinido e, em seguida, clique em Propriedades .
     3. Clique no separador Directório raiz e, em seguida, clique em configuração .
     4. Faça clique sobre o mapeamento de .HTR e, em seguida, clique em Editar . A ferramenta IIS Lockdown actualiza este mapeamento 404.dll. Altere o mapeamento para ism.dll.
     5. Clique em OK para fechar as propriedades.

URLscan em servidores Exchange 2000

Para obter mais informações sobre como utilizar o Exchange 2003 e URLscan, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Esta secção contém ficheiros de configuração do URLscan para os seguintes componentes:

• OWA
• Exchange System Manager
• Mensagens instantâneas
• Pastas Web

Repare que depois de adicionar a secção DenyUrlSequences para o ficheiro URLScan.ini, poderá não ser possível abrir mensagens de correio electrónico através do Outlook Web Access (OWA) se a linha Assunto da mensagem de correio electrónico contiver estes caracteres especiais. Os administradores devem consultar o ficheiro de registo de URLscan na pasta %windir%\system32\inetsrv\urslscan para obter assistência na resolução destes problemas.

Se tiver vários serviços instalados num único servidor, terá de intercalar os ficheiros de configuração para assegurar que todos os componentes continuam a funcionar.

Abra o ficheiro URLScan.ini na seguinte localização: Modificar o ficheiro URLScan.ini consoante a função de computador do Exchange.

Se tiver mais dificuldades quando tentar pedidos de HTTP com o URLScan activado, verifique o ficheiro de lista de pedidos que estão a ser rejeitadas Urlscan.log. A localização predefinida do ficheiro Urlscan.log é:

OWA

O ficheiro de configuração do URLscan para OWA é a seguinte (se alterar a palavra-passe funcionalidade for necessária, terá de remover a extensão ".htr" da secção extensões negar):

Exchange System Manager para gestão de pastas públicas

O ficheiro de configuração do URLscan para o Exchange System Manager gestão de pastas públicas é a seguinte: Nota Pode adicionar .com à lista DENYEXTENSIONS se interno domínio sistema de nomes (DNS) não contém. com.

Mensagens instantâneas

O ficheiro de configuração do URLscan para mensagens instantâneas é o seguinte:

Pastas Web

O ficheiro de configuração do URLscan para pastas Web é o seguinte:

Programas personalizados do WebDAV

Tem de rever todos os programas personalizados que foram desenvolvidos no arquivo de 2000 Exchange para a lista de verbos DAV que são utilizados. Adicione estes verbos à secção do ficheiro de configuração URLscan AllowVerbs e aplicar esse ficheiro para os servidores que hospedam o programa personalizado.

URLscan no Exchange Server 5.5 computadores

Repare que depois de adicionar a secção DenyUrlSequences para o ficheiro URLScan.ini, poderá não ser possível abrir mensagens de correio electrónico através do Outlook Web Access (OWA) se a linha Assunto da mensagem de correio electrónico contiver estes caracteres especiais. Os administradores devem consultar o ficheiro de registo de URLscan na pasta %windir%\system32\inetsrv\urslscan para obter assistência na resolução destes problemas.

O ficheiro de configuração do URLscan para OWA é a seguinte (se alterar a palavra-passe funcionalidade for necessária, terá de remover a extensão ".htr" das secções extensões negar):