Блокирование IIS и средства URLscan конфигураций в среде Exchange

Примечание В данной статье относится к проблемам с Exchange 2000 и Exchange Server 5.5 при установке IIS lockdown инструмент версии 1.0. Корпорация Майкрософт появится предложение загрузить последнюю версию средства блокировки IIS: Для получения дополнительных сведений щелкните следующий номер статьи Приведенные ниже статьи базы знаний Майкрософт: Безопасность служб информации Интернет (IIS) средства, IISlockD и средства URLscan, должен быть настроен для сервера Exchange. В данной статье описываются конфигурации, необходимые для этих средств в Сред Exchange 2000 Server и Exchange Server 5.5. Типичные признаки Неправильная конфигурация URLscan и IISlockD относятся:

• Microsoft Outlook Web Access (OWA). Когда вы получаете доступ к Возможно, отсутствует OWA, ваши почтовые элементы, элементы календаря и контактов. Кроме того, При попытке получить доступ к OWA из обозревателя на сервере Exchange 2000 сервер, может появиться следующее сообщение об ошибке:
  A Произошла ошибка во время выполнения.
  Вы хотите отладки?
  Линии: 878
  Ошибка: Маркер находится в неподходящем состоянии для запрошенной операции
• Диспетчер Exchange System Manager. При попытке разверните Дерево общих папок в диспетчере Exchange System Manager появляется следующее сообщение об ошибке:
  Объект больше не доступные. Нажмите клавишу F5, чтобы обновить, а затем повторите попытку.
  КОД события: 80040E19
  Диспетчер Exchange System Manager
• Диспетчер Exchange System Manager. При попытке развернуть общественности дерево папок в диспетчере Exchange, может появиться следующее сообщение об ошибке сообщение об ошибке:
  Операция не выполнена из-за внутреннего сервера Ошибка. c1030af2
• Обмен мгновенными сообщениями. При попытке войти в программу Обмена мгновенными сообщениями Exchange, может появиться следующее сообщение об ошибке сообщение об ошибке:
  Вход в службу Microsoft Exchange мгновенных Ошибка обмена сообщениями, так как служба временно недоступна. Повторите попытку позже.

Такое поведение наблюдается, потому что конфигурация по умолчанию средства безопасности URLScan и IISlockD предполагается, что сервер обслуживает только статическое содержимое. Компоненты Exchange 2000 используется стандарт и Управление версиями (WebDAV) и других глаголов Hypertext Transfer Protocol (HTTP) не допускается в конфигурации по умолчанию. Использование компонентов Exchange Server 5.5 Active Server Pages (ASP), по умолчанию отключены.

Проверьте эти параметры тщательно перед развертыванием их на сервер. Они позволяют Exchange 2000 Server и Exchange Server 5.5 для оптимальной работы, но могут иметь другие эффекты, которые вы можете не ожидается. Например следующие параметры URLscan INI будет влиять на IIS. Если вы Ознакомьтесь с разделом «denyextensions» приведенные ниже параметры INI, можно заметить, что Эти параметры не обслуживают Большинство форм содержимого, отличного от статического IIS .HTM или.HTML-страниц.

IIS Lockdown на серверах Exchange 2000

В Exchange 2000 средах средство блокировки не происходит (обычно размещения Exchange устанавливаемая файловая система (IFS) дисков диск M). Чтобы использовать средство блокировки на серверах Exchange 2000:

1. Запустите IISlockD.exe.
2. Нажмите кнопку Дополнительные блокировки, а затем нажмите кнопку Далее.
3. В Удалить сопоставления сценариев Появится диалоговое окно:
   1. Если Отключение поддержки страниц ASP (.asp) флажок, OWA Мультимедиакнопка не работает и Выйти Кнопка Нет функция. Следующей статье базы знаний Майкрософт описывается процесс Чтобы отключить кнопку «мультимедиа» для клиентов, у которых нет единой решения по обмену сообщениями:
      288119

      (http://support.microsoft.com/kb/288119/EN-US/ )

      XWEB: Инструкции по отключению мультимедийные кнопки в OWA
      При отключении страниц Active Server Pages (ASP) Унифицированный обмен сообщениями по-прежнему функции с помощью вложенного файла WAV.
   2. Если Отключить поддержку.Создание сценариев HTR (.htr) флажок установлен, не поддерживает возможность смены пароля OWA функция. OWA не отключен по умолчанию. В следующей базе знаний в статье описан процесс для скрытия Смена пароля Кнопка в OWA:
      297121

      (http://support.microsoft.com/kb/297121/EN-US/ )

      XWEB: Скрыть кнопки смены пароля на странице Параметры Outlook Web Access как
4. Нажмите кнопку Далее.
5. В Дополнительные действия блокировки Появится диалоговое окно:
   1. Снимите флажок Отключение распространения Протокол WebDAV (WebDAV) флажок.
   2. Снимите флажок Установка разрешений файла для Запретите анонимным пользователям IIS записи в каталоги содержимогофлажок. При этом исключаются, которые сопоставляются с виртуальных каталогов IIS Exchange IFS.
6. Нажмите кнопку Далее, а затем нажмите кнопку Да для завершения процесса закрытия.

Чтобы вручную установить разрешения на доступ для IIS анонимный пользователь, задать явно запретить все управления запись ДОСТУПОМ для анонимного веб-узла Пользователи, для каждого виртуального каталога IIS:

1. Запуск управления Microsoft диспетчер служб Интернета Консоль MMC.
2. Разверните Веб-узел по умолчанию.
3. Для каждого виртуального каталога:
   1. Щелкните, чтобы выбрать виртуальный каталог, щелкните правой кнопкой мыши виртуальный каталог, а затем нажмите Свойства.
   2. На Виртуальный каталог Вкладка, укажите локальный путь.
   3. Запустите проводник Windows и найдите локальный путь к папке.
   4. Щелкните правой кнопкой мыши папку и нажмите кнопку Свойства.
   5. Нажмите кнопку Безопасность Вкладка.
   6. Нажмите кнопку Добавить.
   7. Выберите _Web анонимных пользователей и _Web приложений учетные записи, а затем нажмите кнопку ОК.
   8. Выберите _Web анонимных пользователей учетную запись и затем запретите для полного управления ACE.
   9. Выберите _Web приложений учетную запись и затем запретите для полного управления ACE.
4. Повторите шаг 3 для каждого виртуального каталога, исключая Exchange и Exadmin виртуальных корней.

IIS Lockdown на компьютерах с Exchange Server 5.5

Чтобы использовать средство блокировки на компьютерах с Exchange Server 5.5:

1. Запустите IISlockD.exe.
2. Нажмите кнопку Дополнительные блокировки, а затем нажмите кнопку Далее.
3. В Удалить сопоставления сценариев Откроется диалоговое окно
   1. Снимите флажок Отключить поддержку Active -Страниц (.asp) флажок.
   2. Если Отключить поддержку.Создание сценариев HTR (.htr) флажок установлен, не поддерживает возможность смены пароля OWA функция. Нажмите кнопку Далее.
4. В Дополнительные действия блокировки Появится диалоговое окно.
5. Нажмите кнопку Далее, а затем нажмите кнопку Да для завершения процесса закрытия.

Если против Exchange уже запустил средство блокировки IIS 5.5 OWA сервер со всеми параметрами, выбранными для восстановления функциональные возможности:

• OWA:
  1. Запустите диспетчер служб Интернета.
  2. Разверните Веб-узел по умолчанию, щелкните правой кнопкой мыши виртуальный каталог Exchange и нажмите кнопку Свойства.
  3. Нажмите кнопку Виртуальный каталог вкладки, а затем нажмите кнопку Конфигурация.
  4. Нажмите кнопку .ASP сопоставление, а затем нажмите кнопку Редактирование. Средство IIS Lockdown обновляет данное сопоставление в 404.dll. Изменение сопоставление asp.dll. На компьютерах под управлением Microsoft Windows NT 4.0 добавьте "САМ, Удалить", чтобы Метод исключений поле. Убедитесь, что на компьютерах под управлением Microsoft Windows 2000, очередь Не более флажок установлен и что Не более Это окно содержит «GET, HEAD, POST, ТРАССИРОВКИ».
  5. Нажмите кнопку ОК Чтобы закрыть окно свойств.
• Изменить пароль:
  1. Повторно создать виртуальный каталог Iisadmpwd, которая была удалены.Для получения дополнительных сведений о том, как создать заново Виртуальный каталог Iisadmpwd щелкните приведенный ниже номер статьи в Microsoft Knowledge Base:
     301428

     (http://support.microsoft.com/kb/301428/EN-US/ )

     Устранение неполадок службы Outlook Web Access с точки зрения IIS
  2. По умолчанию сопоставления файлов «.htr», также удалены. Восстановите сопоставления файлов «.htr»:
     1. Запустите диспетчер служб Интернета.
     2. Щелкните правой кнопкой мыши Веб-узел по умолчанию, а затем нажмите кнопку Свойства.
     3. Нажмите кнопку Домашний каталог вкладки, а затем нажмите кнопку Конфигурация.
     4. Нажмите кнопку HTR сопоставление, а затем нажмите кнопку Редактирование. Средство IIS Lockdown обновляет данное сопоставление в 404.dll. Изменение сопоставление ism.dll.
     5. Нажмите кнопку ОК Чтобы закрыть окно свойств.

URLscan на серверах Exchange 2000

Для получения дополнительных сведений об использовании Exchange 2003 и средства URLscan, щелкните следующий номер статьи в в Microsoft Knowledge Base: Этот раздел содержит файлы конфигурации URLscan для следующих компонентов:

• OWA
• Диспетчер Exchange System Manager
• Обмен мгновенными сообщениями
• Веб-папки

Необходимо отметить, что после добавления раздела DenyUrlSequences файл URLScan.ini будет открываться почтового сообщения через Outlook Web Microsoft Access (OWA), если строка темы сообщения электронной почты содержит эти специальные символы. Администратор должен просмотреть файл журнала средства URLscan в Папка %windir%\system32\inetsrv\urslscan получить помощь в разрешении этих проблемы.

Если на одном сервере установлены несколько служб, необходимо объединить файлы конфигурации, чтобы убедиться, что все компоненты продолжайте работать.

Откройте файл Urlscan.ini ниже расположение: Измените файл Urlscan.ini, основанный на сервере Exchange роль.

Если возникнет дополнительные трудности при попытке HTTP запросы с помощью средства URLScan включена, проверьте файл URLScan.log, чтобы увидеть список запросы, которые были отклонены. По умолчанию расположение файла URLScan.log, чтобы увидеть :

OWA

Файл конфигурации URLscan для OWA выглядит следующим образом (если изменения Функция пароля не требуется, удалите расширение файла «.htr» в разделе запрет расширений):

Диспетчер Exchange System Manager для Управление общими папками

Файл конфигурации URLscan для диспетчера Exchange System Manager Управление общими папками выглядит следующим образом: Примечание Можно добавить в список DENYEXTENSIONS .com, если внутренний домен Не содержит имен (DNS). com.

Обмен мгновенными сообщениями

Файл конфигурации URLscan для обмена мгновенными сообщениями, как выглядит следующим образом:

Веб-папки

Для веб-папок в файле конфигурации URLscan выглядит следующим образом:

Настраиваемые программы WebDAV

Вам необходимо просмотреть все пользовательские программы, разработанные на Хранилище Exchange 2000 для списка DAV команд, которые используются. Эти команды для добавления в разделе Конфигурация URLscan AllowVerbs файлов и применять его на серверы, содержащие пользовательские программы.

URLscan для компьютеров с Exchange Server 5.5

Необходимо отметить, что после добавления раздела DenyUrlSequences файл URLScan.ini будет открываться почтового сообщения через Outlook Web Microsoft Access (OWA), если строка темы сообщения электронной почты содержит эти специальные символы. Администратор должен просмотреть файл журнала средства URLscan в Папка %windir%\system32\inetsrv\urslscan получить помощь в разрешении этих проблемы.

Это файл конфигурации URLscan для OWA (если он выглядит следующим образом Функция изменения пароля не требуется, следует удалить файл «.htr» расширение из разделов запрет расширений):