[XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法

文書翻訳 文書翻訳
文書番号: 309677 - 対象製品
この記事は、以前は次の ID で公開されていました: JP309677
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

概要

この資料では、マイクロソフト セキュリティ ツール キット CD-ROM に収録されているインターネット インフォメーション サービス (IIS) Lockdown Wizard 2、および Web 上に置かれている Lockdown Wizard 2.1 について説明します。Exchange 2000 テンプレートを使用して IIS Lockdown Wizard をインストールすることによって、使用しているサーバーを "微調整" したり、サーバーのセキュリティをより強化することができます。たとえば、Exchange 2000 Server の使用が Microsoft Outlook Web Access (OWA)、インスタント メッセージング、パブリック フォルダ、Web の管理に限定されている場合、使用中のサービスに不要な設定を削除することができます。

: 特記のない場合、この資料に記載されている設定は Exchange 2000 に適用されます。

詳細

既知の問題

IIS Lockdown Wizard のデフォルトの構成は、ほとんどの Exchange 2000 コンポーネントの機能を有効とするセキュリティ設定に基づいています。詳細情報については、IIS Lockdown Wizard のヘルプ ファイルを参照してください。

以下のマイクロソフト Web サイトから、Exchange 2000 用の追加設定をダウンロードできます。
http://www.microsoft.com/japan/technet/security/tools/locktool.asp
この資料の以下の部分には、問題が発生する可能性がある状況、および発生した問題を解決する方法の詳細情報が記載されています。影響を受ける可能性があるコンポーネント、および変更する必要のある Urlscan.ini ファイルについては、資料の各部分で示します。Urlscan.ini ファイルは以下のフォルダに置かれます。
WinDir\System32\Inetsrv\Urlscan

全般的な設定

  • パスでドット文字の使用を許可 OWA の添付ファイルにアクセスしたり、古いバージョンのブラウザから OWA を使用できるようにするには、[AllowDotInPath] 設定が "1" になっていることを確認します。古いバージョンのブラウザには、Microsoft Internet Explorer 5 for Macintosh 以前、Microsoft Internet Explorer 4.x for Windows 95 以前、Microsoft Internet Explorer 4.01 Service Pack 2 for Windows 98 以前、および Netscape Navigator が含まれます。

    この問題は、パブリック フォルダの管理にも影響を及ぼします。パブリック フォルダの管理では、OWA と同様 HTTPDAV が使用されます。パブリック フォルダ ストアを含むすべてのサーバーに対して、この変更を適用する必要があります。また、パブリック フォルダがコンピュータ上に存在しない場合は、この変更を行う必要はありません。

Exchange 2000 の OWA

  • ファイルの拡張子 デフォルトでは、.htr ファイルは無効です。このファイル タイプが無効になっていると、OWA のパスワード変更機能が動作しません。 OWA の [パスワードの変更] ボタンを表示しないようにする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    297121 Outlook Web Access のパスワードの変更機能の使用方法
  • 特定の URL シーケンスの拒否 [DenyUrlSequences] セクションで明示的にブロックされるシーケンスが、OWA に潜在的な影響を及ぼすことがあります。以下の文字シーケンスがメールの件名またはメールのフォルダ名に含まれていると、アクセスが拒否されます。

    • ..
    • ./
    • \
    • %
    • &
    たとえば、以下の Projects メールボックス フォルダの後ろにはピリオドがついており、これは "./" シーケンスの明示的な禁止によって除外されるため、フォルダにアクセスすることはできません。
    /Server/Exchange/My Folders/Projects./Costings.eml
    以下のフォルダについても、ディレクトリへの侵入を防ぐための ".." シーケンスの拒否によって除外されるため、アクセスできません。
    /Server/Exchange/Inbox/My .. message.eml
    URLScan を有効にした状態で OWA 要求を実行したときに不具合が発生した場合には、Urlscan.log ファイルで拒否された要求の一覧を参照してください。Urlscan.log ファイルは、デフォルトで次の場所にあります。
    WinDir\System32\Inetsrv\Urlscan

Exchange Server 5.5 の OWA

  • パスワードの変更 Exchange Server 5.5 OWA に対して、すべてのオプションをオンにした状態で IIS Lockdown ツールを既に実行した場合には、次の手順を実行して機能を復元します。
    1. 削除された Iisadmpwd 仮想ディレクトリを再作成します。 Iisadmpwd 仮想ディレクトリを再作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      301428 IIS の観点からの Outlook Web Access のトラブルシューティング
    2. デフォルトでは、".htr" ファイルへのマッピングも削除されています。".htr" ファイルへのマッピングを復元するには、次の手順を実行します。
      1. インターネット サービス マネージャを起動します。
      2. [既定の Web サイト] を右クリックし、[プロパティ] をクリックします。
      3. [ホーム ディレクトリ] タブをクリックし、[構成] をクリックします。
      4. [.htr] マッピングをクリックし、[編集] をクリックします。IIS Lockdown ツールによってこのマッピングが 404.dll に更新されているため、これを ism.dll に変更します。
      5. [OK] をクリックしてプロパティを閉じます。
    3. Urlscan.ini ファイルをチェックします。.htr 拡張子が [AllowExtensions] セクションにあり、[DenyExtensions] セクションからは削除されていることを確認します。

      : .htr 拡張子が .ini の [Deny infrequently used scripts] というセクションにはないことを確認します。詳細については、この資料の「パブリック フォルダの管理」を参照してください。

インスタント メッセージング

  • Verb の許可 [AllowVerbs] セクションに "ACL" と "NOTIFY" が追加されていることを確認します。 インスタント メッセージングで使用する Verb の詳細情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    298421 [XCCC] インスタント メッセージングのメソッドと応答コードの解析方法

パブリック フォルダの管理

  • 拡張子の拒否 DNS (Domain Name System) で、.com で終わる名前付け規則が使用されている場合は、Urlscan.ini ファイルの [DenyExtensions] セクションから ".com" を削除する必要があります。

Exchange 2000 Server の微調整

ここでは、以下のコンポーネントに対応する URLscan の設定情報を掲載しています。
  • OWA
  • Exchange システム マネージャ
  • インスタント メッセージング
  • Web フォルダ
IIS Lockdown Wizard のインストール時には、単一の Exchange 2000 に複数のサービスがインストールされているという前提で動作します。このため、サーバーのセキュリティを強化するには、設定ファイルを編集して余分な機能を削除する必要があります。ほとんどの場合において、Urlscan.ini ファイルの [AllowVerbs] セクションの項目を削除する必要がありますが、使用が推奨されている Verb については削除せずに残し、正しく機能することを確認することが重要です。

構成ファイルを編集するには、以下のディレクトリにある Urlscan.ini ファイルを開きます。
WinDir\System32\Inetsrv\Urlscan
Exchange コンピュータの役割に基づいて Urlscan.ini ファイルを変更します。

URLScan を有効にした状態で OWA 要求を実行したときに不具合が発生した場合には、Urlscan.log ファイルで拒否された要求の一覧を参照してください。Urlscan.log ファイルは、デフォルトで次の場所にあります。
WinDir\System32\Inetsrv\Urlscan

OWA

以下は、OWA を使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • POST
  • SEARCH
  • POLL
  • PROPFIND
  • BMOVE
  • BCOPY
  • SUBSCRIBE
  • MOVE
  • PROPPATCH
  • BPROPPATCH
  • DELETE
  • BDELETE
  • MKCOL

インスタント メッセージング

以下は、インスタント メッセージングを使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • SUBSCRIBE
  • UNSUBSCRIBE
  • SUBSCRIPTIONS
  • NOTIFY
  • POLL
  • PROPFIND
  • PROPPATCH
  • ACL

パブリック フォルダの管理

以下は、パブリック フォルダの管理用に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • HEAD
  • PROPFIND
  • SEARCH
  • PROPPATCH
  • DELETE
  • MKCOL
  • MOVE
  • COPY
  • OPTIONS

Web フォルダ

以下は、Web フォルダを使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • PROPFIND
  • MOVE
  • BCOPY
  • DELETE
  • BDELETE
  • MKCOL
  • OPTIONS
  • LOCK
  • UNLOCK
  • PUT
[DenyURLsequence] セクションの下に、その他の Verb を追加します。
[DenyURLsequence]
:

プロパティ

文書番号: 309677 - 最終更新日: 2014年2月3日 - リビジョン: 2.6
この資料は以下の製品について記述したものです。
  • Microsoft Exchange 2000 Server Standard Edition
キーワード:?
kbnosurvey kbarchive kbhowto KB309677
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com