Fine-Tuning a známé problémy při použití nástroje Urlscan v prostředí Exchange 2003

Překlady článku Překlady článku
ID článku: 823175 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje postup při vyladění typy požadavků, které Internetová informační služba (IIS) 4.0 a novější procesy. Tento článek také popisuje známé problémy, které mohou nastat při použití nástroje zabezpečení 2.5 Urlscan v Microsoft Exchange Server 2003. Omezit typy požadavků, které Internetová informační služba (IIS) 4.0 a novější procesy můžete použít nástroj Urlscan. Po instalaci nástroje Urlscan 2.5 můžete provádět změny doladit zpracování požadavků službou IIS a pomáhají zvýšit zabezpečení počítače. Některé změny, které jsou popsány v tomto článku závisí na roli počítače Exchange 2003. Například počítačů Exchange 2003 jsou vyhrazené poskytnutí pouze Outlook Web Access (OWA), správy veřejné složky nebo webové složky, můžete odebrat nastavení, které jsou požadovány pro ty příslušné služby.

Další informace

Během instalace nástroj Urlscan předpokládá více služby jsou nainstalovány v jednom počítači 2003 Exchange Server. Proto pomoci zvýšit zabezpečení počítače, musíte upravit konfigurační soubor urlscan.ini odebrat žádné nadbytečné funkce. Úprava souboru urlscan.ini konkrétní roli počítače Exchange 2003, je třeba odebrat slovesa v oddílu [AllowVerbs] souboru urlscan.ini. Zkontrolujte však slovesa doporučené pro váš počítač roli jsou zahrnuty získat příslušné funkce. Pokud v jednom počítači vyžadováno více funkcí založených na webu, musí požadavky příslušné části [AllowVerbs] sloučit.

Po instalaci nástroje Urlscan upravit konfigurační soubor, otevřete soubor urlscan.ini. Urlscan.ini soubor je umístěn v následující složce v počítači 2003 Exchange Server:
WinDirWinDir\System32\Inetsrv\Urlscan
Poznámka: Stáhnout nástroj Urlscan 2.5, naleznete na následujícím webu:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
Můžete upravit soubor urlscan.ini založený na roli počítače Exchange 2003 pomocí informací z Exchange Server 2003 Urlscan šablony, která je součástí tohoto článku. Chcete-li použít existující soubor urlscan.ini, které jste již změnili pro server Exchange 2000 můžete použít existující soubor. Pokud konfigurace Exchange 2003 muset změnit soubor.

Důležité: Po úpravě souboru urlscan.ini musíte obnovit služby IIS. Chcete-li to provést, zadejte do příkazového řádku IISRESET a stiskněte klávesu ENTER.

Šablona Exchange Server 2003 Urlscan

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Doladit 2003 Exchange Server

Obecné nastavení

  • Odepřít rozšíření. Můžete přidat příponu DLL do oddílu [DenyExtensions] Pokud vzdálené volání procedur (RPC) přes protokol HTTP (Hypertext Transfer Protocol) není použit v počítači.

Aplikace Outlook Web Access

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Outlook Web Access (OWA) při konfiguraci OWA jako funkce založených na webu v počítači front-end nebo back-end počítače:
  • ZÍSKAT
  • PŘÍSPĚVEK
  • Hledání
  • DOTAZOVÁNÍ
  • PROPFIND
  • BMOVE
  • BCOPY
  • PŘIHLÁŠENÍ ODBĚRU
  • PŘESUNOUT
  • PROPPATCH
  • BPROPPATCH
  • Delete
  • BDELETE
  • MKCOL
  • Copy
  • Parametry
  • UMÍSTIT

Aplikace Outlook Mobile Access

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Outlook Mobile Access při konfiguraci Outlook Mobile Access jako funkce založených na webu front-end počítače:
  • ZÍSKAT
  • PŘÍSPĚVEK
  • head
Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Outlook Mobile Access při konfiguraci Outlook Mobile Access jako funkce založených na webu v počítači back-end:
  • PROPFIND
  • PROPPATCH
  • Delete
  • PŘESUNOUT
  • Hledání
  • head
  • X-MS-ENUMATTS

ActiveSync Exchange Server

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Exchange Server ActiveSync při konfiguraci jako funkce založených na webu v počítači front-end Exchange ActiveSync:
  • PŘÍSPĚVEK
  • Parametry
  • PŘIHLÁŠENÍ ODBĚRU
  • ODBĚR
Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Exchange Server ActiveSync při konfiguraci ActiveSync jako funkce založených na webu v počítači back-end:
  • ZÍSKAT
  • PŘÍSPĚVEK
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • Delete
  • PŘESUNOUT
  • BMOVE
  • Hledání
  • UMÍSTIT
  • Parametry
  • X-MS-ENUMATTS
  • PŘIHLÁŠENÍ ODBĚRU
  • ODBĚR

Vzdálené volání procedur přes protokol Hypertext

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro RPC over HTTP:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Webové složky

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] webových složek:
  • ZÍSKAT
  • PROPFIND
  • PŘESUNOUT
  • BCOPY
  • Delete
  • BDELETE
  • MKCOL
  • Parametry
  • ZÁMEK
  • ODEMKNOUT
  • UMÍSTIT
Přidejte následující oddíl Odepřít sekvence URL:
[DenyUrlSequences]
:

Správa veřejné složky

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] správy veřejné složky:
  • head
  • PROPFIND
  • Hledání
  • PROPPATCH
  • Delete
  • MKCOL
  • PŘESUNOUT
  • Copy
  • Parametry

Limity požadavku funkce založených na webu 2003 Exchange Server

Následující tabulka uvádí požadavek limity pro každou funkci založených na webu v počítači 2003 Exchange Server. Můžete přizpůsobit šablony omezit požadavku omezení na základě role počítače. Pokud je vyžadováno více funkcí založených na webu v jednom počítači je nutné použít nejvyšší hodnota limity požadavku.
Zmenšit tuto tabulkuRozšířit tuto tabulku
[RequestLimitsOWAAplikace Outlook Mobile Access
Front-end
Aplikace Outlook Mobile Access
Back-end
Exchange ActiveSync
Front-end
Exchange ActiveSync
Back-end
Protokol RPC over HTTP
MaxAllowedContentLength10,485,76010,485,76010,485,76065 53665 5361,073,741,824
MaxUrl1638416384163841 0241 02416384
MaxQueryString4 0964 0964 0964 0964 0964 096

Poznámka:MaxAllowedContentLength OWA počítačů a počítačů back-end Outlook Mobile Access je založen na výchozí velikost maximální zprávy 10 megabajtů. Toto nastavení na základě existující zasílání zpráv požadavky velikost lze změnit.

Entourage X s aktualizací Microsoft Exchange nebo Entourage 2004

Zde je seznam akcí, které jsou vyžadovány v oddílu [AllowVerbs] pro Entourage X s aktualizace Microsoft Exchange nebo Entourage 2004:
  • ZÍSKAT
  • PŘÍSPĚVEK
  • Hledání
  • UMÍSTIT
  • DOTAZOVÁNÍ
  • PROPFIND
  • PŘIHLÁŠENÍ ODBĚRU
  • PŘESUNOUT
  • PROPPATCH
  • Delete
  • MKCOL
  • ZÁMEK
  • ODEMKNOUT

Známé problémy

Následující části popisují známé problémy, které mohou nastat a informace o tom, jak tyto problémy opravit. Každý oddíl odkazuje na součást, která mohou být ovlivněny a určuje oddíl souboru urlscan.ini, musíte upravit.

Exchange ActiveSync

Adresa SMTP primární Exchange ActiveSync DenyExtensions Ve výchozím URLScan.ini odebere .com rozšíření z jakékoli URL. Pokud adresa Primary SMTP má příponu a.com, adresa SMTP se nezdaří. Odříznutý URL potom způsobuje chyby IIS 404 na serveru poštovní schránky. Tyto chyby IIS 404 jsou hlášeny zpět jako vnitřní chybě serveru 500. Podobné protokolu Exchange ActiveSync SP2 používá na funkce, stejně jako Microsoft Outlook Web Access.

Exchange Server ActiveSync v Microsoft Exchange Server 2003 Service Pack 2 (SP2) používá úplná adresa SMTP uživatele místo aliasu poštovní schránky při vytvoří požadavek na virtuální adresář/Exchange.

Obecné nastavení

  • AllowDotInPath. Ověřte, že nastavení AllowDotInPath nastaven na hodnotu 1 zda přístup OWA přílohy a starší verze prohlížečů můžete použít OWA. Starší verze prohlížeče patří aplikace Internet Explorer 5 pro Macintosh a starší, aplikace Internet Explorer 4.x pro Windows 95 a starší, Microsoft Internet Explorer 4.01 Service Pack 2 pro systém Windows 98 a starší a Netscape Navigator.

    Tento problém se týká také správy veřejné složky. Správa veřejné složky používá HTTP Distributed Authoring and Versioning (DAV) způsobem, který je podobný OWA. Tuto změnu musíte provést na servery, které obsahují veřejných složek. Nemáte tuto změnu provést v počítačích spravovat tyto složky, pokud existují veřejných složek v těchto počítačích.

Aplikace Outlook Web Access

  • Přípony souboru. Ve výchozím nastavení nejsou soubory .htr povolena. Pokud tento typ souboru není povolena, funkce OWA změnit heslo nefunguje při OWA je nainstalována v počítači se systémem Windows 2000. Spustit Exchange Server 2003 (nebo Exchange 2000) v počítači se systémem Windows 2000 Service Pack 4 můžete povolit rozšíření .htr. Na Windows 2000 Service Pack 4 jsou soubory .htr přidruženy ASP.dll namísto ism.dll.

    Poznámka: Pokud je v počítači se systémem Windows Server 2003 nainstalován OWA, OWA používá program IIS 6.0 Active Server Pages (ASP) změnit heslo. Proto OWA není ovlivněn .htr soubory, které nejsou povoleny.

    Další informace o možnost změnit heslo v aplikaci OWA skrýt klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    297121Implementace funkce změnit heslo s aplikací Outlook Web Access
  • DenyUrlSequences. V části [DenyUrlSequences] může ovlivnit sekvence výslovně blokováno potenciálně přístup OWA. Předmět položky pošty nebo název složky pošty obsahuje některý z následujících sekvence znaků je odepřen přístup:
    • ..
    • ./
    • \
    • %
    • &
    Například následující složku nefunguje, protože složky poštovní schránky projekty obsahuje koncovou tečkou. Koncové období způsobí složky mají být vyloučeny z důvodu explicitní odepřít . / sekvence:
    / Server/Exchange/Moje Folders/Projects./Costings.eml
    Následující složky také nefunguje, protože z explicitní odepření .. sekvence zabraňuje adresáře traversals:
    / Server/Exchange/doručené/Moje Message.eml
    Vyskytnout další problémy při pokusu provést OWA požadavky s Urlscan povolena, zkontrolujte soubory protokolu Urlscan pro seznam požadavků, které jsou odmítnuty. Toto je výchozí umístění souborů protokolu Urlscan:
    WinDir\System32\Inetsrv\Urlscan\logs
    Ve výchozím nastavení v oddílu [DenyUrlSequences] escaping ("%; Povolit escaping po normalizace. „) je zakázána. Toto nastavení však není funkční pro OWA, při pošty předmět obsahuje znaky cyrilice (nebo znak, který se zobrazí jako % character).
  • DenyHeaders. Klienti připojit k serveru Exchange pomocí Entourage nebo Outlook Web Access, nebude záhlaví Uzamknout Token přítomen v oddílu [DenyHeaders] souboru URLscan.ini.

    Token zámek záhlaví je nastavena na hodnotu Odepřít, může docházet k následujícím problémům:
    • Z každého klienta Entourage může vidět stovky nebo tisíce připojení.
    • Aplikace Outlook Web Access může přestat přijímat připojení.
    • Z důvodu částka připojení virtuální paměti potíže spustit dojít.
    • Následující zpráva může být zaznamenána v URLSCAN.log:
      [06-24-2005-00: 02: 27] Klient v XXX.XX.XXX.XX: URL obsahuje zakázaných záhlaví ' token uzamčení: ' žádosti budou odmítnuty. Webu instance = 1, RAW URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX
    Další informace naleznete na následujícím webu společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

Správa veřejné složky

  • DenyExtensions. Pokud vaše interní názvů (DNS) je založena na konvenci pojmenování .com, je třeba odebrat .com v oddílu [DenyExtensions] seznamu urlscan.ini.

Odkazy

Další informace o známých problémech a jemné vyladění při použití Průvodce uzamčením služby IIS v prostředí Exchange 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
309677Známé problémy a jemné vyladění při použití Průvodce uzamčením služby IIS v prostředí Exchange 2000 Server


Vlastnosti

ID článku: 823175 - Poslední aktualizace: 25. října 2007 - Revize: 9.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Klíčová slova: 
kbmt kbinfo KB823175 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:823175

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com