URLscan konfigurácie v prostredí servera Exchange a IIS lockdown

Preklady článku Preklady článku
ID článku: 309508 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

PRIZNAKY

Poznámka Tento článok odkazuje na problémy s Exchange 2000 a výmena Server 5.5 keď použijete IIS lockdown nástroj verzie 1.0. Microsoft odporúča sa, že vám stiahnuť najnovšiu verziu nástroja IIS lockdown:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = dde9efc0-bb30-47eb-9a61-fd755d23cdec & DisplayLang = en
Ďalšie informácie získate kliknutím na číslo článku nižšie, čím zobrazíte článok v databáze Microsoft Knowledge Base:
309677 XADM: Známe problémy a jemné ladenie, keď použijete Sprievodcu IIS Lockdown v prostredí servera Exchange 2000
Internet Information Services (IIS) bezpečnosti nástroje IISlockD a URLscan, musí byť vhodne nakonfigurovaný na výmenu. Tento článok popisuje konfiguráciu, ktorá je potrebná pre tieto nástroje v Exchange 2000 Server a Exchange Server 5.5 prostrediach. Typické príznaky nesprávne IISlockD a URLscan konfigurácie zahŕňajú:
  • Program Microsoft Outlook Web Access (OWA). Keď získate prístup k OWA, vaše poštové položky, položky kalendára a kontaktov môžu chýbať. okrem toho Ak sa pokúsite získať prístup k OWA z prehliadača na Exchange 2000 serveru, môže sa zobraziť nasledovné chybové hlásenie:
    A Vyskytla sa chyba v režime runtime.
    Prajete si Debug?
    Riadok: 878
    Chyba: Popisovač je v stave pre požadovanú operáciu
  • Program Exchange System Manager. Pri pokuse kliknutím rozbaľte strome verejný priečinok v programe Exchange System Manager mô?ete dosta nasledujúce chybové hlásenie:
    Objekt už k dispozícii. Stlačením klávesu F5 Obnovte zobrazenie, a potom to skúste znova.
    ID no: 80040e19
    Program Exchange System Manager
  • Program Exchange System Manager. Pri pokuse rozbaľte verejnosti strom priečinkov v Exchange System Manager, môže sa zobraziť nasledovná chyba Správa:
    Operácia sa nepodarila kvôli internom serveri chyba. c1030af2
  • Vymieňať okamžité správy. Pri pokuse prihlásiť v službe Exchange Instant Messaging, môže sa zobraziť nasledovná chyba Správa:
    Prihlásenie na server Exchange Instant Messaging zlyhala, pretože služba je dočasne nedostupná. Prosím, skúste znova neskôr.

PRICINA

Tento problém sa môže vyskytnúť, pretože predvolenú konfiguráciu bezpečnostné nástroje IISlockD a URLScan sa predpokladá, že server slúži iba statický obsah. Exchange 2000 zložky na použitie Web Distributed Authoring a Versioning (WebDAV) a iné slovesá Hypertext Transfer Protocol (HTTP), ktoré sú nie povolené predvolenú konfiguráciu. Exchange Server 5.5 zložky použitie Stránky ASP (Active Server) ktoré sú predvolene vypnuté.

RIESENIE

Prosím tieto nastavenia dôkladne preskúmajte skôr, než použijete ich na serveri. Sú navrhnuté tak, aby umožnili Exchange 2000 Server a Výmenu Server 5.5 aby pracoval optimálne, ale môžu mať iné účinky, ktoré vás môžu očakávať. Napríklad nižšie URLscan INI nastavenia ovplyvní IIS. Ak ste Prečítajte si sekciu "DenyExtensions" INI nastavenia nižšie, môžete vidieť, že Tieto nastavenia zabrániť slúžiace väčšine foriem obsahu iných ako statický IIS .HTM alebo.HTML stránky.

IIS uzamknutie na servery Exchange 2000 Server

Výmenou 2000 prostrediach, lockdown nástroj nie je ubytovať výmeny inštalovateľný súbor koreňovému systému (IFS) jednotky (zvyčajne disk M). Používanie nástroja lockdown na servery Exchange 2000 Server:
  1. Spustiť IISlockD.exe.
  2. Kliknite na tlačidlo Rozšírené Lockdown, a potom kliknite na tlačidlo Budúci.
  3. The Odstrániť skript priradenia zobrazí dialógové okno:
    1. Ak Vypnite podporu Active Server Pages (.asp) je začiarknuté políčko, OWA Multimédiátlačidlo nefunguje a Odhlásiť tlačidlo nie je Funkcia. Nasledovnom článku databázy Microsoft Knowledge Base opisuje proces Ak chcete vypnúť multimediálne tlačidlo pre zákazníkov, ktorí nemajú jednotný riešenie na odosielanie správ:
      288119 XWEB: Ako vypnúť multimediálne tlačidlo v OWA
      Keď sú zakázané Active Server Pages (ASP) stránky, jednotný správ stále funkcie s príloha súboru WAV.
    2. Ak Vypnite podporu.Skriptovanie HTR (.htr) je začiarknuté políčko, funkciu OWA zmeniť heslo neposkytuje Funkcia. Táto funkcia OWA je štandardne vypnuté. Nasledujúce Knowledge Base článok popisuje postup na skrytie Zmena hesla tlačidlo v OWA:
      297121 XWEB: Ako skryť tlačidlo Zmeniť heslo na stránke Outlook Web Access možnosti
  4. Kliknite na tlačidlo Budúci.
  5. The Ďalšie opatrenia Lockdown zobrazí dialógové okno:
    1. Kliknutím zrušte začiarknutie políčka Vypnúť distribuované Authoring and Versioning (WebDAV) začiarkavacie políčko.
    2. Kliknutím zrušte začiarknutie políčka Nastavenie súboru povolenia IIS anonymným používateľom zabrániť písanie obsahu adresárovzačiarkavacie políčko. Nepatria sem virtuálne adresáre služby IIS, ktoré sú priradené k Výmena IFS.
  6. Kliknite na tlačidlo Budúci, a potom kliknite na tlačidlo áno na dokončenie lockdown procesu.
Manuálne nastaviť prístupové práva pre súbor pre IIS anonymný užívateľa, nastaviť explicitné poprieť všetky prístup kontroly vstupu (ACE) pre anonymný Web užívateľov pre každý IIS virtuálny adresár:
  1. Spustiť Microsoft správa internetu služieb Manager Console (MMC).
  2. Kliknutím rozbaľte Predvolenej webovej lokality.
  3. Pre každý virtuálny adresár:
    1. Kliknutím vyberte virtuálny adresár, kliknite pravým tlačidlom myši virtuálny adresár a potom kliknite na Vlastnosti.
    2. Na Virtuálny adresár kartu, poznámka lokálnu cestu.
    3. Spustite program Prieskumník a vyhľadajte Lokálna cesta priečinka.
    4. Kliknite pravým tlačidlom na priečinok a potom kliknite na tlačidlo Vlastnosti.
    5. Kliknite na tlačidlo Zabezpečenia kartu.
    6. Kliknite na tlačidlo Pridať.
    7. Kliknutím vyberte možnosť _Web anonymných používateľov a _Web aplikácie kontá a potom kliknite na tlačidlo ok.
    8. Kliknutím vyberte možnosť _Web anonymných používateľov úvahy a potom určitému zariadeniu zakážete plnú kontrolu ACE.
    9. Kliknutím vyberte možnosť _Web aplikácie úvahy a potom určitému zariadeniu zakážete plnú kontrolu ACE.
  4. Opakujte krok 3 pre každý virtuálny adresár, okrem Výmena a Exadmin virtuálne koreňové.

IIS Lockdown na Exchange Server 5.5 počítačoch

Používanie nástroja lockdown počítačoch Exchange Server 5.5:
  1. Štart IISlockD.exe.
  2. Kliknite na tlačidlo Rozšírené Lockdown, a potom kliknite na tlačidlo Budúci.
  3. The Odstrániť skript priradenia zobrazí dialógové okno
    1. Kliknutím zrušte začiarknutie políčka Vypnite podporu aktívneho Server stránok (.asp) začiarkavacie políčko.
    2. Ak Vypnite podporu.Skriptovanie HTR (.htr) je začiarknuté políčko, funkciu OWA zmeniť heslo neposkytuje Funkcia. Kliknite na tlačidlo Budúci.
  4. The Ďalšie opatrenia Lockdown zobrazí sa dialógové okno.
  5. Kliknite na tlačidlo Budúci, a potom kliknite na tlačidlo áno na dokončenie lockdown procesu.
Ak ste už běžel IIS Lockdown nástroj proti vaše Exchange Server 5.5 OWA server so všetkými možnosti vybraté na obnovenie funkčnosť:
  • OWA:
    1. Spustiť správcu internetových služieb.
    2. Kliknutím rozbaľte Predvolenej webovej lokality, kliknite pravým tlačidlom na virtuálny adresár Exchange, a potom kliknite na tlačidlo Vlastnosti.
    3. Kliknite na tlačidlo Virtuálny adresár kartu a potom kliknite na Konfigurácia.
    4. Kliknite na tlačidlo .ASP mapovanie a potom kliknite na tlačidlo Upraviť. IIS Lockdown nástroj aktualizuje toto mapovanie na 404.dll. Zmena priradenie k asp.dll. Na počítačoch so systémom Microsoft Windows NT 4.0, pridajte "DAŤ, ODSTRÁNIŤ" Spôsob vylúčenia rámček. Na počítačoch so systémom Microsoft Windows 2000, skontrolujte, či The Obmedziť na je začiarknuté políčko, a že Obmedziť na pole obsahuje "GET, hlavy, POST, TRACE".
    5. Kliknite na tlačidlo ok Zatvorte vlastnosti.
  • Zmeniť heslo:
    1. Znova vytvoriť virtuálny adresár Iisadmpwd, ktorý bol vypúšťa.Ďalšie informácie o tom, ako znova vytvoriť Iisadmpwd virtuálny adresár, kliknutím na nasledujúce číslo článku zobrazte článok v databáze Microsoft Knowledge Base:
      301428 Riešenie problémov služby Outlook Web Access z pohľadu IIS
    2. V predvolenom nastavení sú tiež priradenia súborov ".htr" odstránené. Obnoviť mapovania pre ".htr" súbory:
      1. Spustiť správcu internetových služieb.
      2. Kliknite pravým tlačidlom myši Predvolenej webovej lokality, a potom kliknite na tlačidlo Vlastnosti.
      3. Kliknite na tlačidlo Domovský adresár kartu a potom kliknite na Konfigurácia.
      4. Kliknite na tlačidlo .htr mapovanie a potom kliknite na tlačidlo Upraviť. IIS Lockdown nástroj aktualizuje toto mapovanie na 404.dll. Zmena priradenie k ism.dll.
      5. Kliknite na tlačidlo ok Zatvorte vlastnosti.

URLscan na servery Exchange 2000 Server

Ďalšie informácie o používaní Exchange 2003 a URLscan, kliknite na nasledovné číslo článku zobrazte článok v Microsoft Knowledge Base:
823175Dolaďovacie a známe problémy pri použití nástroja Urlscan v prostredí servera Exchange 2003
Táto časť obsahuje URLscan konfiguračných súborov pre nasledujúce súčasti:
  • OWA
  • Program Exchange System Manager
  • Instant Messaging
  • Webové priečinky
Uvedomte si, že po pridaní časti DenyUrlSequences súbor URLScan.ini nie je možné otvoriť poštové správy cez Outlook Web Access (OWA) Ak predmet poštová správa obsahuje tieto zvláštne znaky. Správcovia by mali preskúmať URLscan log súbor v %windir%\system32\inetsrv\urslscan priečinok na pomoc pri riešení týchto otázky.

Ak sú nainštalované viaceré služby na jednom serveri, môžete je potrebné spojiť konfiguračné súbory zabezpečiť, aby všetky súčasti naďalej funkčné.

Otvorte Urlscan.ini súbor v nasledujúcich umiestnenie:
windir\System32\Inetsrv\Urlscan
Upravte súbor Urlscan.ini založené na výmenu počítačových úlohu.

Ak zaznamenáte ďalšie ťažkosti pri pokuse HTTP žiadosti s URLScan zapnutá, skontrolujte súbor Urlscan.log zoznam žiadosti, ktoré sú odmietnuté. Predvolené umiestnenie súboru Urlscan.log je:
windir\System32\Inetsrv\Urlscan

OWA

URLscan konfiguračný súbor pre OWA sa takto (ak zmena Požaduje sa heslo funkčnosť, musíte odstrániť príponu ".htr" z časti poprieť rozšírenia):
[Možnosti]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ZÍSKAJTE
PRÍSPEVOK
VYHĽADÁVANIE
ANKETA
PROPFIND
BMOVE
BCOPY
PRIHLÁSIŤ
PRESUNÚŤ
SYSTÉMOVÁ SLUŽBA PROPPATCH
BPROPPATCH
ODSTRÁNIŤ
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
Ak:
Zámok-Token:

[DenyExtensions]
.asp
.cer
.CDX
.ASA
.exe
.bat
cmd.
.com
.htw
.IDA
.idq
.htr
.IDC
.shtm
.shtml
.STM
.Printer
INI
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Program Exchange System Manager pre riadenie verejných priečinkov

URLscan konfiguračný súbor pre program Exchange System Manager riadenie verejných priečinkov je nasledovná:
[Možnosti]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
PROPFIND
VYHĽADÁVANIE
SYSTÉMOVÁ SLUŽBA PROPPATCH
ODSTRÁNIŤ
MKCOL
PRESUNÚŤ
KÓPIA
MOŽNOSTI

[DenyVerbs]

[DenyHeaders]
Ak:
Zámok-Token:

[DenyExtensions]
.asp
.cer
.CDX
.ASA
.exe
.bat
cmd.
.htw
.IDA
.idq
.htr
.IDC
.shtm
.shtml
.STM
.Printer
INI
.log
.pol
.dat
Poznámka .Com môžete pridať do zoznamu DENYEXTENSIONS ak vnútorného domény Systém DNS (name) neobsahuje. com.
[DenyUrlSequences]
..
./
\
%
&

Instant Messaging

URLscan konfiguračný súbor na Instant Messaging je ako takto:
[Možnosti]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
PRIHLÁSIŤ
ODHLÁSIŤ
PREDPLATNÉ
INFORMUJTE
ANKETA
PROPFIND
SYSTÉMOVÁ SLUŽBA PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
Ak:
Zámok-Token:

[DenyExtensions]
.asp
.cer
.CDX
.ASA
.exe
.bat
cmd.
.com
.htw
.IDA
.idq
.htr
.IDC
.shtm
.shtml
.STM
.Printer
INI
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Webové priečinky

URLscan konfiguračný súbor pre webové priečinky sa takto:
[Možnosti]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ZÍSKAJTE
PROPFIND
PRESUNÚŤ
BCOPY
ODSTRÁNIŤ
BDELETE
MKCOL
MOŽNOSTI
ZÁMOK
ODOMKNUTIE
DAŤ

[DenyVerbs]

[DenyHeaders]
Preložiť:
Ak:
Zámok-Token:

[DenyExtensions]
.asp
.cer
.CDX
.ASA
.exe
.bat
cmd.
.com
.htw
.IDA
.idq
.htr
.IDC
.shtm
.shtml
.STM
.Printer
INI
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Vlastné WebDAV programy

Treba skontrolovať všetky vlastné programy, ktoré boli vypracované na Exchange 2000 skladu pre zoznam DAV slovesá, ktoré sú používané. Pridať tieto slovesá na časti AllowVerbs URLscan konfigurácie súboru a uplatňovať súbor servery, ktoré hostí vlastný program.

URLscan na Exchange Server 5.5 počítačoch

Uvedomte si, že po pridaní časti DenyUrlSequences súbor URLScan.ini nie je možné otvoriť poštové správy cez Outlook Web Access (OWA) Ak predmet poštová správa obsahuje tieto zvláštne znaky. Správcovia by mali preskúmať URLscan log súbor v %windir%\system32\inetsrv\urslscan priečinok na pomoc pri riešení týchto otázky.

URLscan konfiguračný súbor pre OWA sa takto (ak Zmena hesla funkčnosť je požadované, musíte odstrániť súbor ".htr" rozšírenie od popierajú rozšírenia sekcií):
[Možnosti]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 0
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0
AlternateServerName =

[AllowVerbs]
ZÍSKAJTE
VEDÚCI
PRÍSPEVOK

[DenyVerbs]
PROPFIND
SYSTÉMOVÁ SLUŽBA PROPPATCH
MKCOL
ODSTRÁNIŤ
DAŤ
KÓPIA
PRESUNÚŤ
ZÁMOK
ODOMKNUTIE

[DenyHeaders]
Preložiť:
Ak:
Zámok-Token:

[DenyExtensions]
.exe
.bat
cmd.
.com
.htw
.IDA
.idq
.IDC
.shtm
.shtml
.STM
.Printer
INI
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

Vlastnosti

ID článku: 309508 - Posledná kontrola: 1. novembra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Kľúčové slová: 
kbprb kbmt KB309508 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:309508

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com