Блокирование IIS и средства URLscan конфигураций в среде Exchange

Переводы статьи Переводы статьи
Код статьи: 309508 - Vizualizaţi produsele pentru care se aplică acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Примечание В данной статье относится к проблемам с Exchange 2000 и Exchange Server 5.5 при установке IIS lockdown инструмент версии 1.0. Корпорация Майкрософт появится предложение загрузить последнюю версию средства блокировки IIS:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = dde9efc0-bb30-47eb-9a61-fd755d23cdec & DisplayLang = en
Для получения дополнительных сведений щелкните следующий номер статьи Приведенные ниже статьи базы знаний Майкрософт:
309677 XADM: Известные проблемы и тонкой в среде Exchange 2000 с помощью мастера блокирования служб IIS
Безопасность служб информации Интернет (IIS) средства, IISlockD и средства URLscan, должен быть настроен для сервера Exchange. В данной статье описываются конфигурации, необходимые для этих средств в Сред Exchange 2000 Server и Exchange Server 5.5. Типичные признаки Неправильная конфигурация URLscan и IISlockD относятся:
  • Microsoft Outlook Web Access (OWA). Когда вы получаете доступ к Возможно, отсутствует OWA, ваши почтовые элементы, элементы календаря и контактов. Кроме того, При попытке получить доступ к OWA из обозревателя на сервере Exchange 2000 сервер, может появиться следующее сообщение об ошибке:
    A Произошла ошибка во время выполнения.
    Вы хотите отладки?
    Линии: 878
    Ошибка: Маркер находится в неподходящем состоянии для запрошенной операции
  • Диспетчер Exchange System Manager. При попытке разверните Дерево общих папок в диспетчере Exchange System Manager появляется следующее сообщение об ошибке:
    Объект больше не доступные. Нажмите клавишу F5, чтобы обновить, а затем повторите попытку.
    КОД события: 80040E19
    Диспетчер Exchange System Manager
  • Диспетчер Exchange System Manager. При попытке развернуть общественности дерево папок в диспетчере Exchange, может появиться следующее сообщение об ошибке сообщение об ошибке:
    Операция не выполнена из-за внутреннего сервера Ошибка. c1030af2
  • Обмен мгновенными сообщениями. При попытке войти в программу Обмена мгновенными сообщениями Exchange, может появиться следующее сообщение об ошибке сообщение об ошибке:
    Вход в службу Microsoft Exchange мгновенных Ошибка обмена сообщениями, так как служба временно недоступна. Повторите попытку позже.

Причина

Такое поведение наблюдается, потому что конфигурация по умолчанию средства безопасности URLScan и IISlockD предполагается, что сервер обслуживает только статическое содержимое. Компоненты Exchange 2000 используется стандарт и Управление версиями (WebDAV) и других глаголов Hypertext Transfer Protocol (HTTP) не допускается в конфигурации по умолчанию. Использование компонентов Exchange Server 5.5 Active Server Pages (ASP), по умолчанию отключены.

Решение

Проверьте эти параметры тщательно перед развертыванием их на сервер. Они позволяют Exchange 2000 Server и Exchange Server 5.5 для оптимальной работы, но могут иметь другие эффекты, которые вы можете не ожидается. Например следующие параметры URLscan INI будет влиять на IIS. Если вы Ознакомьтесь с разделом «denyextensions» приведенные ниже параметры INI, можно заметить, что Эти параметры не обслуживают Большинство форм содержимого, отличного от статического IIS .HTM или.HTML-страниц.

IIS Lockdown на серверах Exchange 2000

В Exchange 2000 средах средство блокировки не происходит (обычно размещения Exchange устанавливаемая файловая система (IFS) дисков диск M). Чтобы использовать средство блокировки на серверах Exchange 2000:
  1. Запустите IISlockD.exe.
  2. Нажмите кнопку Дополнительные блокировки, а затем нажмите кнопку Далее.
  3. В Удалить сопоставления сценариев Появится диалоговое окно:
    1. Если Отключение поддержки страниц ASP (.asp) флажок, OWA Мультимедиакнопка не работает и Выйти Кнопка Нет функция. Следующей статье базы знаний Майкрософт описывается процесс Чтобы отключить кнопку «мультимедиа» для клиентов, у которых нет единой решения по обмену сообщениями:
      288119 XWEB: Инструкции по отключению мультимедийные кнопки в OWA
      При отключении страниц Active Server Pages (ASP) Унифицированный обмен сообщениями по-прежнему функции с помощью вложенного файла WAV.
    2. Если Отключить поддержку.Создание сценариев HTR (.htr) флажок установлен, не поддерживает возможность смены пароля OWA функция. OWA не отключен по умолчанию. В следующей базе знаний в статье описан процесс для скрытия Смена пароля Кнопка в OWA:
      297121 XWEB: Скрыть кнопки смены пароля на странице Параметры Outlook Web Access как
  4. Нажмите кнопку Далее.
  5. В Дополнительные действия блокировки Появится диалоговое окно:
    1. Снимите флажок Отключение распространения Протокол WebDAV (WebDAV) флажок.
    2. Снимите флажок Установка разрешений файла для Запретите анонимным пользователям IIS записи в каталоги содержимогофлажок. При этом исключаются, которые сопоставляются с виртуальных каталогов IIS Exchange IFS.
  6. Нажмите кнопку Далее, а затем нажмите кнопку Да для завершения процесса закрытия.
Чтобы вручную установить разрешения на доступ для IIS анонимный пользователь, задать явно запретить все управления запись ДОСТУПОМ для анонимного веб-узла Пользователи, для каждого виртуального каталога IIS:
  1. Запуск управления Microsoft диспетчер служб Интернета Консоль MMC.
  2. Разверните Веб-узел по умолчанию.
  3. Для каждого виртуального каталога:
    1. Щелкните, чтобы выбрать виртуальный каталог, щелкните правой кнопкой мыши виртуальный каталог, а затем нажмите Свойства.
    2. На Виртуальный каталог Вкладка, укажите локальный путь.
    3. Запустите проводник Windows и найдите локальный путь к папке.
    4. Щелкните правой кнопкой мыши папку и нажмите кнопку Свойства.
    5. Нажмите кнопку Безопасность Вкладка.
    6. Нажмите кнопку Добавить.
    7. Выберите _Web анонимных пользователей и _Web приложений учетные записи, а затем нажмите кнопку ОК.
    8. Выберите _Web анонимных пользователей учетную запись и затем запретите для полного управления ACE.
    9. Выберите _Web приложений учетную запись и затем запретите для полного управления ACE.
  4. Повторите шаг 3 для каждого виртуального каталога, исключая Exchange и Exadmin виртуальных корней.

IIS Lockdown на компьютерах с Exchange Server 5.5

Чтобы использовать средство блокировки на компьютерах с Exchange Server 5.5:
  1. Запустите IISlockD.exe.
  2. Нажмите кнопку Дополнительные блокировки, а затем нажмите кнопку Далее.
  3. В Удалить сопоставления сценариев Откроется диалоговое окно
    1. Снимите флажок Отключить поддержку Active -Страниц (.asp) флажок.
    2. Если Отключить поддержку.Создание сценариев HTR (.htr) флажок установлен, не поддерживает возможность смены пароля OWA функция. Нажмите кнопку Далее.
  4. В Дополнительные действия блокировки Появится диалоговое окно.
  5. Нажмите кнопку Далее, а затем нажмите кнопку Да для завершения процесса закрытия.
Если против Exchange уже запустил средство блокировки IIS 5.5 OWA сервер со всеми параметрами, выбранными для восстановления функциональные возможности:
  • OWA:
    1. Запустите диспетчер служб Интернета.
    2. Разверните Веб-узел по умолчанию, щелкните правой кнопкой мыши виртуальный каталог Exchange и нажмите кнопку Свойства.
    3. Нажмите кнопку Виртуальный каталог вкладки, а затем нажмите кнопку Конфигурация.
    4. Нажмите кнопку .ASP сопоставление, а затем нажмите кнопку Редактирование. Средство IIS Lockdown обновляет данное сопоставление в 404.dll. Изменение сопоставление asp.dll. На компьютерах под управлением Microsoft Windows NT 4.0 добавьте "САМ, Удалить", чтобы Метод исключений поле. Убедитесь, что на компьютерах под управлением Microsoft Windows 2000, очередь Не более флажок установлен и что Не более Это окно содержит «GET, HEAD, POST, ТРАССИРОВКИ».
    5. Нажмите кнопку ОК Чтобы закрыть окно свойств.
  • Изменить пароль:
    1. Повторно создать виртуальный каталог Iisadmpwd, которая была удалены.Для получения дополнительных сведений о том, как создать заново Виртуальный каталог Iisadmpwd щелкните приведенный ниже номер статьи в Microsoft Knowledge Base:
      301428 Устранение неполадок службы Outlook Web Access с точки зрения IIS
    2. По умолчанию сопоставления файлов «.htr», также удалены. Восстановите сопоставления файлов «.htr»:
      1. Запустите диспетчер служб Интернета.
      2. Щелкните правой кнопкой мыши Веб-узел по умолчанию, а затем нажмите кнопку Свойства.
      3. Нажмите кнопку Домашний каталог вкладки, а затем нажмите кнопку Конфигурация.
      4. Нажмите кнопку HTR сопоставление, а затем нажмите кнопку Редактирование. Средство IIS Lockdown обновляет данное сопоставление в 404.dll. Изменение сопоставление ism.dll.
      5. Нажмите кнопку ОК Чтобы закрыть окно свойств.

URLscan на серверах Exchange 2000

Для получения дополнительных сведений об использовании Exchange 2003 и средства URLscan, щелкните следующий номер статьи в в Microsoft Knowledge Base:
823175Точной настройки и известные проблемы при использовании утилиты Urlscan в среде Exchange 2003
Этот раздел содержит файлы конфигурации URLscan для следующих компонентов:
  • OWA
  • Диспетчер Exchange System Manager
  • Обмен мгновенными сообщениями
  • Веб-папки
Необходимо отметить, что после добавления раздела DenyUrlSequences файл URLScan.ini будет открываться почтового сообщения через Outlook Web Microsoft Access (OWA), если строка темы сообщения электронной почты содержит эти специальные символы. Администратор должен просмотреть файл журнала средства URLscan в Папка %windir%\system32\inetsrv\urslscan получить помощь в разрешении этих проблемы.

Если на одном сервере установлены несколько служб, необходимо объединить файлы конфигурации, чтобы убедиться, что все компоненты продолжайте работать.

Откройте файл Urlscan.ini ниже расположение:
WINDIR\System32\Inetsrv\Urlscan
Измените файл Urlscan.ini, основанный на сервере Exchange роль.

Если возникнет дополнительные трудности при попытке HTTP запросы с помощью средства URLScan включена, проверьте файл URLScan.log, чтобы увидеть список запросы, которые были отклонены. По умолчанию расположение файла URLScan.log, чтобы увидеть :
WINDIR\System32\Inetsrv\Urlscan

OWA

Файл конфигурации URLscan для OWA выглядит следующим образом (если изменения Функция пароля не требуется, удалите расширение файла «.htr» в разделе запрет расширений):
[Параметры]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ПОЛУЧИТЬ
POST
ПОИСК
ОПРОС
PROPFIND
BMOVE
BCOPY
ПОДПИСАТЬСЯ
ПЕРЕМЕЩЕНИЕ
PROPPATCH
BPROPPATCH
УДАЛИТЬ
BУДАЛИТЬ
MKCOL

[DenyVerbs]

[DenyHeaders]
Если:
Маркер блокировки:

[DenyExtensions]
.ASP
CER
.cdx
.asa
exe
BAT
cmd.
.com
HTW
удаления
Idq
HTR
.IDC
.shtm
shtml
STM
.Printer
INI
.LOG
pol
dat.

[DenyUrlSequences]
..
./
\
%
&

Диспетчер Exchange System Manager для Управление общими папками

Файл конфигурации URLscan для диспетчера Exchange System Manager Управление общими папками выглядит следующим образом:
[Параметры]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
PROPFIND
ПОИСК
PROPPATCH
УДАЛИТЬ
MKCOL
ПЕРЕМЕЩЕНИЕ
КОПИРОВАТЬ
ПАРАМЕТРЫ

[DenyVerbs]

[DenyHeaders]
Если:
Маркер блокировки:

[DenyExtensions]
.ASP
CER
.cdx
.asa
exe
BAT
cmd.
HTW
удаления
Idq
HTR
.IDC
.shtm
shtml
STM
.Printer
INI
.LOG
pol
dat.
Примечание Можно добавить в список DENYEXTENSIONS .com, если внутренний домен Не содержит имен (DNS). com.
[DenyUrlSequences]
..
./
\
%
&

Обмен мгновенными сообщениями

Файл конфигурации URLscan для обмена мгновенными сообщениями, как выглядит следующим образом:
[Параметры]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ПОДПИСАТЬСЯ
ОТКАЗАТЬСЯ ОТ ПОДПИСКИ
ПОДПИСКИ
УВЕДОМЛЕНИЕ
ОПРОС
PROPFIND
PROPPATCH
СПИСОК УПРАВЛЕНИЯ ДОСТУПОМ

[DenyVerbs]

[DenyHeaders]
Если:
Маркер блокировки:

[DenyExtensions]
.ASP
CER
.cdx
.asa
exe
BAT
cmd.
.com
HTW
удаления
Idq
HTR
.IDC
.shtm
shtml
STM
.Printer
INI
.LOG
pol
dat.

[DenyUrlSequences]
..
./
\
%
&

Веб-папки

Для веб-папок в файле конфигурации URLscan выглядит следующим образом:
[Параметры]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ПОЛУЧИТЬ
PROPFIND
ПЕРЕМЕЩЕНИЕ
BCOPY
УДАЛИТЬ
BУДАЛИТЬ
MKCOL
ПАРАМЕТРЫ
БЛОКИРОВКА
СНЯТИЕ БЛОКИРОВКИ
РАЗМЕЩЕНИЕ

[DenyVerbs]

[DenyHeaders]
Перевод:
Если:
Маркер блокировки:

[DenyExtensions]
.ASP
CER
.cdx
.asa
exe
BAT
cmd.
.com
HTW
удаления
Idq
HTR
.IDC
.shtm
shtml
STM
.Printer
INI
.LOG
pol
dat.

[DenyUrlSequences]
..
:
./
\
%
&

Настраиваемые программы WebDAV

Вам необходимо просмотреть все пользовательские программы, разработанные на Хранилище Exchange 2000 для списка DAV команд, которые используются. Эти команды для добавления в разделе Конфигурация URLscan AllowVerbs файлов и применять его на серверы, содержащие пользовательские программы.

URLscan для компьютеров с Exchange Server 5.5

Необходимо отметить, что после добавления раздела DenyUrlSequences файл URLScan.ini будет открываться почтового сообщения через Outlook Web Microsoft Access (OWA), если строка темы сообщения электронной почты содержит эти специальные символы. Администратор должен просмотреть файл журнала средства URLscan в Папка %windir%\system32\inetsrv\urslscan получить помощь в разрешении этих проблемы.

Это файл конфигурации URLscan для OWA (если он выглядит следующим образом Функция изменения пароля не требуется, следует удалить файл «.htr» расширение из разделов запрет расширений):
[Параметры]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 0
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0
AlternateServerName =

[AllowVerbs]
ПОЛУЧИТЬ
ГОЛОВКА
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
УДАЛИТЬ
РАЗМЕЩЕНИЕ
КОПИРОВАТЬ
ПЕРЕМЕЩЕНИЕ
БЛОКИРОВКА
СНЯТИЕ БЛОКИРОВКИ

[DenyHeaders]
Перевод:
Если:
Маркер блокировки:

[DenyExtensions]
exe
BAT
cmd.
.com
HTW
удаления
Idq
.IDC
.shtm
shtml
STM
.Printer
INI
.LOG
pol
dat.
HTR

[DenyUrlSequences]
..
./
\
:
%
&

Свойства

Код статьи: 309508 - Последний отзыв: 6 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Ключевые слова: 
kbprb kbmt KB309508 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:309508

Отправить отзыв