XCCC: Configurações do IIS Lockdown e do URLscan em um Ambiente do Exchange

NOTA: Este artigo se refere a problemas com o Exchange 2000 e o Exchange Server 5.5 quando você aplica a ferramenta IISlockdown versão 1.0. A Microsoft recomenda que você faça o download da versão mais recente da ferramenta IIS lockdown: Para obter informações adicionais, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft: As ferramentas de segurança do IIS (Internet Information Services), IISlockD e URLscan, devem ser configuradas corretamente para o Exchange. Este artigo descreve a configuração necessária para essas ferramentas em ambientes Exchange 2000 Server e Exchange Server 5.5. Entre os sintomas mais comuns de configurações incorretas de ISlockD e URLscan estão:

• Microsoft Outlook Web Access (OWA). Quando você acessa o OWA, os seus itens de e-mail, de calendário e de contatos podem estar faltando. Além disso, se tentar acessar o OWA a partir de um navegador no Exchange 2000 Server, você pode receber a seguinte mensagem de erro:
  A Runtime Error has occurred.
  Do you wish to Debug?
  Line: 878
  Error: The handle is in the wrong state for the requested operation
• Exchange System Manager. Ao tentar expandir a árvore de pasta pública no Exchange System Manager, você pode receber a seguinte mensagem de erro:
  The object is no longer available. Press F5 to refresh the display, and then try again.
  ID no: 80040e19
  Exchange System Manager
• Exchange System Manager. Ao tentar expandir a árvore de pasta pública no Exchange System Manager, você pode receber a seguinte mensagem de erro:
  The operation failed due an internal server error. c1030af2
• Sistema de Mensagens Instantâneas do Exchange. Ao tentar fazer logon no Sistema de Mensagens Instantâneas do Exchange, você pode receber a seguinte mensagem de erro:
  Signing in to Microsoft Exchange Instant Messaging failed because the service is temporarily unavailable. Please try again later.

Esse problema pode ocorrer porque a configuração padrão das ferramentas de segurança IISlockD e URLScan parte do pressuposto de que o servidor está trabalhando apenas com conteúdo estático. Os componentes do Exchange 2000 usam o WebDAV (Web Distributed Authoring and Versioning) e outros verbos HTTP (Hypertext Transfer Protocol) que não são permitidos pela configuração padrão. Os componentes do Exchange Server 5.5 usam as páginas ASP (Active Server Pages) desativadas por padrão.

Por favor, analise essas configurações com cuidado antes de aplicá-las ao seu servidor. Elas foram feitas para permitir que o Exchange 2000 Server e o Exchange Server 5.5 funcionem melhor, mas podem ter outros efeitos inesperados. Por exemplo, as configurações INI abaixo do URLscan afetarão o IIS. Se ler a seção "DenyExtensions" das configurações INI abaixo, você verá que essas configurações impedem o IIS de trabalhar com mais formulários de conteúdo além do estático .HTM ou das páginas .HTML.

Essa seção tem as seguintes seções:

• IIS Lockdown em Exchange 2000 Servers
• IIS Lockdown em Computadores com Exchange Server 5.5
• URLscan em Exchange 2000 Servers
  • OWA
  • Exchange System Manager para o Gerenciamento de Pastas Públicas
  • Sistema de Mensagens Instantâneas
  • Pastas da Web
  • Programas WebDAV Personalizados
• URLscan em Computadores com Exchange Server 5.5

IIS Lockdown em Exchange 2000 Servers

Em ambientes do Exchange 2000, a ferramenta lockdown não acomoda unidades montadas com o IFS (installable file system) do Exchange (normalmente, a unidade M). Para usar a ferramenta lockdown em Exchange 2000 Servers:

1. Execute IISlockD.exe.
2. Clique em Advanced Lockdown, e clique em Next.
3. A caixa de diálogo Remove Script Mappings é exibida:
   1. Se a caixa de seleção Disable support for Active Server Pages (.asp) estiver marcada, o botão multimídia do OWA não funciona. O seguinte artigo da Base de Dados de Conhecimento da Microsoft descreve o processo para desativar o botão multimídia para clientes que não tenham uma solução multimídia para a troca de mensagens unificada:
      288119  (http://support.microsoft.com/kb/288119/PT-BR/ ) XWEB: How to Disable the Multimedia Button in OWA
      Quando as páginas ASP (Active Server Pages) são desativadas, a troca de mensagens unificada ainda funciona com o anexo de arquivo WAV.
   2. Se a caixa de seleção Disable support for the .HTR scripting (.htr) estiver marcada, o recurso para alterar a senha do OWA não funciona. Esse recurso do OWA fica desativado por padrão. O seguinte artigo da Base de Dados de Conhecimento descreve o processo para ocultar o botão Change Password no OWA:
      297121  (http://support.microsoft.com/kb/297121/PT-BR/ ) XWEB: How to Hide the Change Password Button on the Outlook Web Access Options Page
4. Clique em Next.
5. A caixa de diálogo Additional Lockdown Actions é exibida:
   1. Desmarque a caixa de seleção Disable Distributed Authoring and Versioning (WebDAV).
   2. Desmarque a caixa de seleção Set file permissions to prevent the IIS anonymous users from writing to content directories. Isso exclui os diretórios virtuais do IIS mapeados para o IFS do Exchange.
6. Clique em Next, e em Yes para concluir o processo de bloqueio.

Para definir manualmente as permissões de arquivo para o usuário anônimo do IIS, defina um Deny All ACE (Access Control Entry) para usuários anônimos da Web para cada diretório virtual do IIS:

1. Inicie o Console de Gerenciamento Microsoft (MMC) do Gerenciador de serviços de Internet.
2. Expanda Default Web Site.
3. Para cada diretório virtual:
   1. Selecione um diretório virtual, clique com o botão direito do mouse nele, e clique em Properties.
   2. Na guia Virtual Directory, anote o caminho local.
   3. Inicie o Microsoft Windows Explorer, e localize a pasta do caminho local.
   4. Clique com o botão direito do mouse na pasta, e clique em Properties.
   5. Clique na guia Security.
   6. Clique em Add.
   7. Selecione as contas _Web Anonymous Users e _Web Applications, e clique em OK.
   8. Selecione a conta _Web Anonymous Users, e deny Full Control ACE.
   9. Selecione a conta _Web Anonymous Users, e deny Full Control ACE.
4. Repita o passo 3 para cada diretório virtual, excluindo as raízes virtuais Exchange e Exadmin.

IIS Lockdown em Computadores com Exchange Server 5.5

Para usar a ferramenta lockdown em computadores com Exchange Server 5.5:

1. Inicie IISlockD.exe.
2. Clique em Advanced Lockdown, e clique em Next.
3. A caixa de diálogo Remove Script Mappings é exibida
   1. Desmarque a caixa de seleção Disable support for Active Server Pages (.asp).
   2. Se a caixa de seleção Disable support for the .HTR scripting (.htr) estiver marcada, o recurso para alterar a senha do OWA não funciona. Clique em Next.
4. A caixa de diálogo Additional Lockdown Actions é exibida.
5. Clique em Next, e em Yes para concluir o processo de bloqueio.

Se você tiver executado a ferramenta IIS Lockdown no seu servidor OWA com Exchange Server 5.5 usando todas as opções selecionadas, para restaurar a funcionalidade:

• OWA:
  1. Inicie o Gerenciador de Serviços da Internet.
  2. Expanda o Default Web Site, clique com o botão direito do mouse no diretório virtual do Exchange, e clique em Properties.
  3. Clique na guia Virtual Directory, e em Configuration.
  4. Clique no mapeamento .ASP, e em Edit. A ferramenta IIS Lockdown atualiza o mapeamento para 404.dll. Altere o mapeamento para asp.dll. Em computadores com base no Microsoft Windows NT 4.0, adicione "PUT, DELETE" à caixa Method Exclusions. Em computadores com base no Microsoft Windows 2000, veja se a caixa de seleção Limit to está marcada, e se a caixa Limit to contém "GET, HEAD, POST, TRACE".
  5. Clique em OK para fechar as propriedades.
• Change Password:
  1. Recria o diretório virtual Iisadmpwd que foi excluído.Para obter informações adicionais sobre como recriar o diretório virtual Iisadmpwd, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
     301428  (http://support.microsoft.com/kb/301428/PT-BR/ ) Troubleshooting Outlook Web Access from an IIS Perspective
  2. Por padrão, os mapeamentos para os arquivos ".htr" também são removidos. Restaure o mapeamento para esses arquivos:
     1. Inicie o Gerenciador de Serviços da Internet.
     2. Clique com o botão direito do mouse no Default Web Site, e clique em Properties.
     3. Clique na guia Home Directory, e em Configuration.
     4. Clique no mapeamento .htr, e em Edit. A ferramenta IIS Lockdown atualiza o mapeamento para 404.dll. Altere o mapeamento para ism.dll.
     5. Clique em OK para fechar as propriedades.

URLscan em Exchange 2000 Servers

Esta seção contém os arquivos de configuração do URLscan para os seguintes componentes:

• OWA
• Exchange System Manager
• Sistema de Mensagens Instantâneas
• Pastas da Web

Não se esqueça de que, após adicionar a seção DenyUrlSequences ao arquivo URLScan.ini, talvez você não consiga abrir mensagens de e-mail usando o OWA (Outlook Web Access) caso a linha Assunto contenha estes caracteres especiais. Os administradores devem analisar o arquivo de log de URLscan na pasta %windir%\system32\inetsrv\urslscan, para poder ajudar a resolver estes problemas.

Se houver vários serviços instalados em um único servidor, será necessário mesclar os arquivos de configuração para garantir que todos os componentes continuem funcionando.

Abra o arquivo Urlscan.ini no seguinte local: Modifique o arquivo Urlscan.ini com base na função desempenhada pelo computador com Exchange.

Se você tiver mais dificuldades ao tentar fazer solicitações HTTP com o URLScan ativado, veja o arquivo Urlscan.log para obter uma lista das solicitações que estão sendo rejeitadas. O local padrão desse arquivo é:

OWA

O arquivo de configuração do URLscan para o OWA é o seguinte (se for necessário usar o recurso Change Password, você deve remover as extensões de arquivo ".htr" da seção Deny Extensions):

Exchange System Manager para o Gerenciamento de Pastas Públicas

O arquivo de configuração do URLscan para o gerenciamento de pastas públicas do Exchange System Manager é o seguinte: NOTA: Você pode adicionar .com à lista DENYEXTENSIONS se o DNS (Domain Name System) interno não tiver .com.

Sistema de Mensagens Instantâneas

O arquivo de configuração do URLscan para o Sistema de Mensagens Instantâneas é o seguinte:

Pastas da Web

O arquivo de configuração do URLscan para as Pastas da Web é o seguinte:

Programas WebDAV Personalizados

Você precisa analisar os programas personalizados desenvolvidos no armazenamento do Exchange 2000 para obter a lista dos verbos DAV que foram usados. Adicione esses verbos à seção AllowVerbs de um arquivo de configuração do URLscan e aplique esse arquivo aos servidores que hospedam o programa personalizado.

URLscan em Computadores com Exchange Server 5.5

Não se esqueça de que, após adicionar a seção DenyUrlSequences ao arquivo URLScan.ini, talvez você não consiga abrir mensagens de e-mail usando o OWA (Outlook Web Access) caso a linha Assunto contenha estes caracteres especiais. Os administradores devem analisar o arquivo de log de URLscan na pasta %windir%\system32\inetsrv\urslscan, para poder ajudar a resolver estes problemas.

O arquivo de configuração do URLscan para o OWA é o seguinte (se for necessário usar o recurso Change Password, você deve remover a extensões de arquivo ".htr" das seções Deny Extensions):