Exchange 環境中的 IIS 鎖定與 URLscan 設定

文章翻譯 文章翻譯
文章編號: 309508 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

注意 本文討論在套用 IIS 鎖定工具 1.0 版時,有關 Exchange 2000 與 Exchange Server 5.5 的一些問題。Microsoft 建議您下載最新版本的 IIS 鎖定工具:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
309677 XADM:Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment
您必須為 Exchange 適當地設定 Internet Information Services (IIS) 安全性工具 - IISlockD 和 URLscan。本文將告訴您在 Exchange 2000 Server 和 Exchange Server 5.5 環境中,這些工具所需的設定為何。不正確的 IISlockD 和 URLscan 設定的一般徵狀包括:
  • Microsoft Outlook Web Access (OWA)。取得 OWA 的存取權時,您的郵件項目、行事曆項目和連絡人可能會遺失。此外,如果試圖在 Exchange 2000 伺服器上從瀏覽器取得 OWA 的存取權,可能會收到下列錯誤訊息:
    A Runtime Error has occurred. (發生執行錯誤)。
    Do you wish to Debug? (要偵錯嗎?)
    Line:878
    Error:The handle is in the wrong state for the requested operation (控制碼的狀態不適用於要求的操作)
  • Exchange 系統管理員。嘗試在「Exchange 系統管理員」中按一下以展開公用資料夾樹狀目錄時,可能會收到下列錯誤訊息:
    物件已經無法使用。請按 F5 重新整理顯示畫面,然後再試一次。
    識別碼:80040e19
    Exchange 系統管理員
  • Exchange 系統管理員。嘗試在「Exchange 系統管理員」中展開公用資料夾樹狀目錄時,可能會收到下列錯誤訊息:
    The operation failed due an internal server error. (因為發生內部伺服器錯誤所以作業失敗。) c1030af2
  • Exchange 立即訊息。嘗試登入「Exchange 立即訊息」時,可能會收到下列錯誤訊息:
    因為 Microsoft Exchange 立即訊息暫時無法使用,所以無法登入。請稍後再試。

發生的原因

由於 IISlockD 和 URLScan 安全性工具的預設設定假設伺服器僅提供靜態內容,所以會發生這個問題。Exchange 2000 元件使用了分散式撰寫及版本處理 (WebDAV,Web Distributed Authoring and Versioning) 和其他超文字傳輸通訊協定 (HTTP,Hypertext Transfer Protocol) 動詞,但預設設定並不允許這些動詞。Exchange Server 5.5 元件使用了 Active Server Pages (ASP),但預設是停用這項功能的。

解決方案

請小心檢查這些設定後,再套用到伺服器上。這些設定的目的,是要讓 Exchange 2000 Server 和 Exchange Server 5.5 達到最佳效用,但是卻可能產生其他非預期的影響。例如,以下的 URLscan INI 設定將會影響 IIS。如果您閱讀以下 INI 設定的 DenyExtensions 區段,可以看到這些設定會讓 IIS 無法提供靜態 .HTM 或 .HTML 網頁以外的多數內容形式。

本節包含下列幾小節:

Exchange 2000 伺服器上的 IIS 鎖定

在 Exchange 2000 環境中,鎖定工具並不會顧及到 Exchange 可安裝的檔案系統 (IFS) 的裝載磁碟機 (通常為磁碟機 M)。如果要在 Exchange 2000 伺服器上使用鎖定工具:
  1. 執行 IISlockD.exe。
  2. 按一下 [Advanced Lockdown],然後再按 [下一步]
  3. 即會顯示 [Remove Script Mappings] 對話方塊:
    1. 如果 [Disable support for Active Server Pages (.asp)] 核取方塊已經選取,則 OWA [Multimedia] 按鈕將會沒有作用,且 [Log Off] 按鈕也沒有作用。下列「Microsoft 知識庫」文件將說明,如何針對沒有統一訊息解決方案的客戶來停用此多媒體按鈕的程序:
      288119 XWEB:How to Disable the Multimedia Button in OWA
      停用 Active Server Pages (ASP) 頁面時,統一訊息對 WAV 檔案附件仍然有作用。
    2. 如果 [Disable support for the .HTR scripting (.htr)] 核取方塊已經選取,則 OWA 的「變更密碼」功能將無法運作。此 OWA 功能預設為停用。下列「Microsoft 知識庫」文件將說明,在 OWA 中隱藏 [Change Password] 按鈕的程序:
      297121 XWEB:How to hide or show the Change Password button on the Options page in Outlook Web Access
  4. 按一下 [下一步]
  5. 即會顯示 [Additional Lockdown Actions] 對話方塊:
    1. 按一下以清除 [Disable Distributed Authoring and Versioning (WebDAV)] 核取方塊。
    2. 按一下以清除 [Set file permissions to prevent the IIS anonymous users from writing to content directories] 核取方塊。如此會將對應到 Exchange IFS 的 IIS 虛擬目錄排除。
  6. 按一下 [下一步],再按 [是],即可完成鎖定程序。
如果要以手動方式設定 IIS 匿名使用者的檔案使用權限,請針對每一個 IIS 虛擬目錄的匿名 Web 使用者,設定明確的拒絕所有存取控制項目 (ACE,Access Control Entry):
  1. 啟動「網際網路服務管理員」中的 Microsoft Management Console (MMC)。
  2. 按一下以展開 [預設的網站]
  3. 針對每一個虛擬目錄:
    1. 按一下以選取虛擬目錄,然後用滑鼠右鍵按一下該虛擬目錄,然後再按一下 [內容]
    2. 請注意 [虛擬目錄] 索引標籤上的本機路徑。
    3. 啟動 Microsoft Windows 檔案總管,然後找出該本機路徑資料夾。
    4. 用滑鼠右鍵按一下此資料夾,然後再按一下 [內容]
    5. 按一下 [安全性] 索引標籤。
    6. 按一下 [新增]
    7. 按一下以選取 [_Web Anonymous Users][_Web Applications] 帳戶,然後按一下 [確定]
    8. 按一下以選取 [_Web Anonymous Users] 帳戶,然後拒絕完全控制 ACE。
    9. 按一下以選取 [_Web Applications] 帳戶,然後拒絕完全控制 ACE。
  4. 請對每一個虛擬目錄重複步驟 3,除了 Exchange 與 Exadmin 虛擬根目錄以外。

Exchange Server 5.5 電腦上的 IIS 鎖定

如果要在 Exchange Server 5.5 電腦上使用鎖定工具:
  1. 啟動 IISlockD.exe。
  2. 按一下 [Advanced Lockdown],然後再按 [下一步]
  3. 即會顯示 [Remove Script Mappings] 對話方塊。
    1. 按一下以清除 [Disable support for Active Server Pages (.asp)] 核取方塊。
    2. 如果 [Disable support for the .HTR scripting (.htr)] 核取方塊已經選取,則 OWA 的「變更密碼」功能將無法運作。按一下 [下一步]
  4. 即會顯示 [Additional Lockdown Actions] 對話方塊。
  5. 按一下 [下一步],再按 [是],即可完成鎖定程序。
如果已經對 Exchange Server 5.5 OWA 伺服器執行 IIS 鎖定工具,也已經選取好所有選項,而現在要還原功能:
  • OWA:
    1. 啟動「網際網路服務管理員」。
    2. 按一下以展開 [預設的網站],用滑鼠右鍵按一下 Exchange 虛擬目錄,然後按一下 [內容]
    3. 按一下 [虛擬目錄] 索引標籤,然後再按 [設定]
    4. 按一下 [.ASP] 對應,然後再按 [編輯]。IIS 鎖定工具會將此對應更新為 404.dll。變更 asp.dll 的對應,在 Microsoft Windows NT 4.0 電腦上,將 PUT、DELETE 新增到 [方法排除] 方塊中。在 Microsoft Windows 2000 電腦上,請確定 [限制在] 核取方塊已經選取,且 [限制在] 方塊有包含「GET、HEAD、POST、TRACE」。
    5. 按一下 [確定] 以關閉內容。
  • 變更密碼:
    1. 重新建立已經刪除的 Iisadmpwd 虛擬目錄。如需有關如何重新建立 Iisadmpwd 虛擬目錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      301428 Troubleshooting Outlook Web Access from an IIS Perspective
    2. 根據預設值,也會移除 .htr 檔案的對應。還原 .htr 檔案的對應:
      1. 啟動「網際網路服務管理員」。
      2. [預設的網站] 上按一下滑鼠右鍵,再按一下 [內容]
      3. 按一下 [主目錄] 索引標籤,然後再按 [設定]
      4. 按一下 [.htr] 對應,再按一下 [編輯]。IIS 鎖定工具會將此對應更新為 404.dll。變更 ism.dll 的對應,
      5. 按一下 [確定] 以關閉內容。

Exchange 2000 伺服器上的 URLscan

本節包含下列元件的 URLscan 設定檔案:
  • OWA
  • Exchange 系統管理員
  • 立即訊息
  • Web 資料夾
請注意,當您將 DenyUrlSequences 區段新增到 URLScan.ini 檔案後,如果郵件的 [主旨] 列包含這些特殊字元,則可能將無法透過 Outlook Web Access (OWA) 開啟此郵件。系統管理員應該檢查 %windir%\system32\inetsrv\urslscan 資料夾內的 URLscan 記錄檔,以取得解決這些問題的協助。

如果在單一伺服器上有安裝多個服務,則您必須合併設定檔案,以確保所有的元件都能繼續運作。

開啟下列位置中的 Urlscan.ini 檔案:
windir\System32\Inetsrv\Urlscan
根據 Exchange 電腦角色修改 Urlscan.ini 檔案。

如果嘗試在啟用 URLScan 的情況下發出 HTTP 要求而遇到了其他問題,請查看 Urlscan.log 檔案,以取得被拒絕的要求清單。Urlscan.log 檔案的預設位置如下:
windir\System32\Inetsrv\Urlscan

OWA

OWA 的 URLscan 設定檔案如下 (如果需要「變更密碼」功能,則必須從 DenyExtensions 區段中移除 .htr 副檔名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

用於公用資料夾管理的 Exchange 系統管理員

Exchange 系統管理員公用資料夾管理的 URLscan 設定檔案如下:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
注意 如果內部網域名稱系統 (DNS,Domain Name System) 中沒有包含 .com,則可以將 .com 新增到 DENYEXTENSIONS 清單中。
[DenyUrlSequences]
..
./
\
%
&

立即訊息

「立即訊息」的 URLscan 設定檔案如下:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Web 資料夾

Web 資料夾的 URLscan 設定檔案如下:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

自訂 WebDAV 程式

您必須檢查在 Exchange 2000 儲存區上開發的所有自訂程式,以瞭解所使用的 DAV 動詞清單。請將這些動詞新增到 URLscan 設定檔案的 AllowVerbs 區段,並將該檔案套用到裝載此自訂程式的伺服器上。

Exchange Server 5.5 電腦上的 URLscan

請注意,當您將 DenyUrlSequences 區段新增到 URLScan.ini 檔案後,如果郵件的 [主旨] 列包含這些特殊字元,則可能將無法透過 Outlook Web Access (OWA) 開啟此郵件。系統管理員應該檢查 %windir%\system32\inetsrv\urslscan 資料夾內的 URLscan 記錄檔,以取得解決這些問題的協助。

OWA 的 URLscan 設定檔案如下 (如果需要「變更密碼」功能,則必須從 DenyExtensions 區段中移除 .htr 副檔名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

屬性

文章編號: 309508 - 上次校閱: 2004年7月28日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
關鍵字:?
kbprb KB309508
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com