XCCC:Exchange 环境中的 IIS 锁定和 URLscan 配置

文章翻译 文章翻译
文章编号: 309508 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

注意:本文讨论在您应用 IIS 锁定工具 1.0 版时 Exchange 2000 和 Exchange Server 5.5 出现的问题。Microsoft 建议您下载最新版本的 IIS 锁定工具:
http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
309677 XADM:Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment
必须为 Exchange 配置相应的 Internet 信息服务 (IIS) 安全工具、IISlockD 和 URLscan。本文介绍了这些工具在 Exchange 2000 Server 和 Exchange Server 5.5 环境中所需的配置。错误的 IISlockD 和 URLscan 配置的典型症状包括:
  • Microsoft Outlook Web Access (OWA)。当您访问 OWA 时,您的邮件项、日历项和联系人可能会缺失。另外,如果您尝试从 Exchange 2000 服务器上的浏览器访问 OWA,可能会收到以下错误信息:
    A Runtime Error has occurred.
    Do you wish to Debug?
    Line: 878
    Error:The handle is in the wrong state for the requested operation
  • Exchange 系统管理器。当您尝试单击以展开 Exchange 系统管理器中的公用文件夹树时,可能会收到以下错误信息:
    The object is no longer available.Press F5 to refresh the display, and then try again.
    ID no:80040e19
    Exchange System Manager
  • Exchange 系统管理器。当您尝试展开 Exchange 系统管理器中的公用文件夹树时,可能会收到以下错误信息:
    The operation failed due an internal server error. c1030af2
  • Exchange 即时消息。当您尝试登录 Exchange 即时消息时,可能会收到以下错误信息:
    Signing in to Microsoft Exchange Instant Messaging failed because the service is temporarily unavailable. Please try again later.

原因

出现此问题的原因是 IISlockD 和 URLScan 安全工具的默认配置假定服务器仅支持静态内容。Exchange 2000 组件使用 Web 分布式创作和版本控制 (WebDAV) 及其他超文本传输协议 (HTTP) 谓词,这是默认配置所不允许的。Exchange Server 5.5 组件使用 Active Server Pages (ASP),它们在默认情况下是禁用的。

解决方案

将这些设置应用于您的服务器之前,请仔细检查这些设置。这些设置旨在使 Exchange 2000 Server 和 Exchange Server 5.5 以最佳状态工作,但是可能会出现其他意外结果。例如,下面的 URLscan INI 设置会影响 IIS。如果您阅读下面的 INI 设置的“DenyExtensions”部分,可以看到这些设置会阻止 IIS 支持除静态 .HTM 或 .HTML 页面以外的大多数格式的内容。

本节包括以下几部分:

Exchange 2000 服务器上的 IIS 锁定

在 Exchange 2000 环境中,锁定工具不适用于装有 Exchange 可安装文件系统 (IFS) 的驱动器(通常为驱动器 M)。在 Exchange 2000 服务器上使用锁定工具:
  1. 运行 IISlockD.exe。
  2. 单击高级锁定,然后单击下一步
  3. 将显示删除脚本映射对话框:
    1. 如果已选中“禁用 Active Server Pages (.asp) 支持”复选框,OWA 多媒体按钮将不起作用。以下 Microsoft 知识库文章介绍了为没有统一的消息解决方案的客户禁用多媒体按钮的过程:
      288119 XWEB:How to Disable the Multimedia Button in OWA
      当禁用 Active Server Pages (ASP) 页面时,统一消息对 WAV 文件附件仍然起作用。
    2. 如果“禁用 .HTR 脚本 (.htr) 支持”复选框已选中,则“OWA 更改密码”功能不起作用。此 OWA 功能在默认情况下是禁用的。以下知识库文章描述了隐藏 OWA 中的更改密码按钮的过程:
      297121 XWEB:How to Hide the Change Password Button on the Outlook Web Access Options Page
  4. 单击下一步
  5. 将显示其他锁定操作对话框:
    1. 单击以清除“禁用分布式创作和版本控制 (WebDAV)”复选框。
    2. 单击以清除“将文件权限设置为阻止 IIS 匿名用户写入内容目录”复选框。这不包括映射到 Exchange IFS 的 IIS 虚拟目录。
  6. 单击下一步,然后单击完成锁定进程。
要手动为 IIS 匿名用户设置文件权限,请为每个 IIS 虚拟目录的匿名 Web 用户设置明确的“拒绝所有访问控制项 (ACE)”:
  1. 启动 Internet 服务管理器 Microsoft Management Console (MMC)。
  2. 单击以展开默认 Web 站点
  3. 对于每个虚拟目录,执行下列操作:
    1. 单击以选择一个虚拟目录,右键单击该虚拟目录,然后单击属性
    2. 虚拟目录选项卡上,记下本地路径。
    3. 启动 Microsoft Windows 资源管理器,然后找到本地路径文件夹。
    4. 右键单击该文件夹,然后单击属性
    5. 单击安全选项卡。
    6. 单击添加
    7. 单击以选择 _Web 匿名用户_Web 应用程序帐户,然后单击确定
    8. 单击以选择 _Web 匿名用户帐户,然后拒绝“完全控制 ACE”。
    9. 单击以选择 _Web 应用程序帐户,然后拒绝“完全控制 ACE”。
  4. 对每个虚拟目录重复步骤 3,Exchange 和 Exadmin 虚拟根目录除外。

Exchange Server 5.5 计算机上的 IIS 锁定

在 Exchange Server 5.5 计算机上使用锁定工具:
  1. 启动 IISlockD.exe。
  2. 单击高级锁定,然后单击下一步
  3. 将显示删除脚本映射对话框
    1. 单击以清除“禁用 Active Server Pages (.asp) 支持”复选框。
    2. 如果“禁用 .HTR 脚本 (.htr) 支持”复选框已选中,则“OWA 更改密码”功能不起作用。单击下一步
  4. 将显示其他锁定操作对话框。
  5. 单击下一步,然后单击完成锁定进程。
如果您已经在 Exchange Server 5.5 OWA 服务器上运行了 IIS 锁定工具,并选择了所有选项,则要还原功能,请执行下列操作:
  • OWA:
    1. 启动 Internet 服务管理器。
    2. 单击以展开默认 Web 站点,右键单击 Exchange 虚拟目录,然后单击属性
    3. 单击虚拟目录选项卡,然后单击配置
    4. 单击 .ASP 映射,然后单击编辑。IIS 锁定工具将此映射更新为 404.dll。将映射更改为 asp.dll。在基于 Microsoft Windows NT 4.0 的计算机上,将“PUT, DELETE”添加到方法排除框中。在基于 Microsoft Windows 2000 的计算机上,确保已选中限制为复选框,并且限制为框包含“GET, HEAD, POST, TRACE”。
    5. 单击确定关闭属性。
  • 更改密码:
    1. 重新创建已删除的 Iisadmpwd 虚拟目录。有关如何重新创建 Iisadmpwd 虚拟目录的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      301428 Troubleshooting Outlook Web Access from an IIS Perspective
    2. 默认情况下,“.htr”文件的映射也将被删除。还原“.htr”文件的映射:
      1. 启动 Internet 服务管理器。
      2. 右键单击默认 Web 站点,然后单击属性
      3. 单击主目录选项卡,然后单击配置
      4. 单击 .htr 映射,然后单击编辑。IIS 锁定工具将此映射更新为 404.dll。将映射更改为 ism.dll。
      5. 单击确定关闭属性。

Exchange 2000 服务器上的 URLscan

本节包含下列组件的 URLscan 配置文件:
  • OWA
  • Exchange 系统管理器
  • 即时消息
  • Web 文件夹
请注意,向 URLScan.ini 文件中添加 DenyUrlSequences 节后,如果邮件主题中包含这些特殊字符,您可能无法通过 Outlook Web Access (OWA) 打开这类邮件。管理员应该检查 %windir%\system32\inetsrv\urslscan 文件夹中的 URLscan 日志文件,获取一些可以帮助解决这些问题的信息。

如果一台服务器上安装了多个服务,您可能需要合并配置文件以确保所有组件都能继续工作。

打开以下位置处的 Urlscan.ini 文件:
windir\System32\Inetsrv\Urlscan
根据 Exchange 计算机角色修改 Urlscan.ini 文件。

如果您在启用 URLScan 的情况下尝试 HTTP 请求时又遇到其他困难,请检查 Urlscan.log 文件查看被拒绝的请求列表。Urlscan.log 文件的默认位置为:
windir\System32\Inetsrv\Urlscan

OWA

OWA 的 URLscan 配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

用于管理公用文件夹的 Exchange 系统管理器

用于管理公用文件夹的 Exchange 系统管理器的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
注意:如果内部域名系统 (DNS) 不包含 .com,您可以将 .com 添加到 DENYEXTENSIONS 列表中。
[DenyUrlSequences]
..
./
\
%
&

即时消息

即时消息的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Web 文件夹

Web 文件夹的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

自定义 WebDAV 程序

您需要在 Exchange 2000 存储中检查已开发的所有自定义程序,以查看使用的 DAV 谓词列表。将这些谓词添加到 URLscan 配置文件的 AllowVerbs 节中,然后将该文件应用于承载自定义程序的服务器。

Exchange Server 5.5 计算机上的 URLscan

请注意,向 URLScan.ini 文件中添加 DenyUrlSequences 节后,如果邮件主题中包含这些特殊字符,您可能无法通过 Outlook Web Access (OWA) 打开这类邮件。管理员应该检查 %windir%\system32\inetsrv\urslscan 文件夹中的 URLscan 日志文件,获取一些可以帮助解决这些问题的信息。

OWA 的 URLscan 配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

属性

文章编号: 309508 - 最后修改: 2012年6月27日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Exchange Server 5.5 标准版
  • Microsoft Exchange 2000 Enterprise Server
关键字:?
kbprb KB309508
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com