Ajuste and known issues when use the URLScan utility en un entorno de Exchange 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 823175 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo describe cómo ajustar los tipos de solicitudes que Internet Information Services (IIS) 4.0 y posterior de los procesos. En este artículo también se describen problemas conocidos que pueden producirse al utilizar la herramienta de seguridad de URLScan 2.5 de Microsoft Exchange Server 2003. Puede utilizar la herramienta URLScan para restringir los tipos de solicitudes que Internet Information Services (IIS) 4.0 y procesos posterior. Después de instalar la herramienta URLScan 2.5, hacer cambios para ajustar cómo trata IIS las solicitudes y a mejorar la seguridad del equipo. Algunos de los cambios que se describen en este artículo dependen en función del equipo de Exchange 2003. Por ejemplo, si los equipos de Exchange 2003 se dedican a proporcionar sólo Outlook Web Access (OWA), administración de carpetas públicas o carpetas Web, puede quitar los valores que no son necesarios para los servicios respectivos.

Más información

Durante la instalación, la herramienta URLScan se supone que varios servicios están instalados en un único equipo de Exchange Server 2003. Por lo tanto, para ayudar a mejorar la seguridad del equipo, debe editar el archivo de configuración de URLScan.ini para quitar cualquier funcionalidad extraña. Para personalizar el archivo URLScan.ini para su función de equipo determinado de Exchange 2003, debe quitar los verbos en la sección [AllowVerbs] del archivo URLScan.ini. Sin embargo, asegúrese de que los verbos recomendados para la función de su equipo se incluyen para obtener la funcionalidad adecuada. Si se requieren varias funciones basadas en Web en un único equipo, debe combinar los requisitos de sección [AllowVerbs] apropiados.

Para editar el archivo de configuración después de instalar la herramienta URLScan, abra el archivo URLScan.ini. El archivo URLScan.ini se encuentra en la siguiente carpeta en su equipo con Exchange Server 2003:
WinDirWinDir\System32\Inetsrv\Urlscan
Nota Para descargar la herramienta URLScan 2.5, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
Puede modificar el archivo URLScan.ini basado en función del equipo de Exchange 2003 mediante la información de la plantilla de Exchange Server 2003 Urlscan incluida en este artículo. Si desea utilizar un archivo URLScan.ini existente que ya modificado para Exchange 2000, puede utilizar el archivo existente. Cambiar el archivo si tiene que para la configuración de Exchange 2003.

importante Después de modificar el archivo URLScan.ini, deberá restablecer los servicios de IIS. Para ello, escriba IISRESET en un símbolo del sistema y, a continuación, presione ENTRAR.

Plantilla Exchange Server 2003 Urlscan

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Ajustar Exchange Server 2003

Configuración general

  • Denegar extensiones. Puede agregar que la extensión de .dll a la sección [DenyExtensions] si la llamada a procedimiento remoto (RPC) a través del protocolo de transferencia de hipertexto (HTTP) no se utiliza en el equipo.

Outlook Web Access

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Outlook Web Access (OWA), cuando se configura OWA como una característica basada en Web en un equipo cliente o un equipo back-end:
  • OBTENER
  • POSTERIOR
  • BÚSQUEDA
  • SONDEO
  • PROPFIND
  • BMOVE
  • BCOPY
  • SUSCRIBIRSE
  • MOVER
  • PROPPATCH
  • BPROPPATCH
  • ELIMINAR
  • BDELETE
  • MKCOL
  • COPIA
  • OPCIONES
  • COLOCAR

Outlook Mobile Access

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Outlook Mobile Access, cuando configura Outlook Mobile Access como una característica basada en Web en un equipo cliente:
  • OBTENER
  • POSTERIOR
  • ENCABEZADO
Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Outlook Mobile Access, cuando configura Outlook Mobile Access como una característica basada en Web en un equipo back-end:
  • PROPFIND
  • PROPPATCH
  • ELIMINAR
  • MOVER
  • BÚSQUEDA
  • ENCABEZADO
  • X-MS-ENUMATTS

Exchange Server ActiveSync

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Exchange Server ActiveSync al configurar Exchange ActiveSync como una característica basada en Web en un equipo cliente:
  • POSTERIOR
  • OPCIONES
  • SUSCRIBIRSE
  • CANCELAR LA SUSCRIPCIÓN
Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Exchange Server ActiveSync al configurar ActiveSync como una característica basada en Web en un equipo back-end:
  • OBTENER
  • POSTERIOR
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • ELIMINAR
  • MOVER
  • BMOVE
  • BÚSQUEDA
  • COLOCAR
  • OPCIONES
  • X-MS-ENUMATTS
  • SUSCRIBIRSE
  • CANCELAR LA SUSCRIPCIÓN

Llamada a procedimiento remoto a través de protocolo de transferencia de hipertexto

Ésta es una lista de verbos que necesita en la sección [AllowVerbs] para RPC sobre HTTP:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Carpetas Web

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para las carpetas Web:
  • OBTENER
  • PROPFIND
  • MOVER
  • BCOPY
  • ELIMINAR
  • BDELETE
  • MKCOL
  • OPCIONES
  • BLOQUEO
  • DESBLOQUEAR
  • COLOCAR
Agregue lo siguiente a la sección denegar secuencias de dirección URL:
[DenyUrlSequences]
:

Administración de carpetas públicas

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para administración de carpetas públicas:
  • ENCABEZADO
  • PROPFIND
  • BÚSQUEDA
  • PROPPATCH
  • ELIMINAR
  • MKCOL
  • MOVER
  • COPIA
  • OPCIONES

Límites de solicitud de característica basada en Web Server 2003 de Exchange

En la tabla siguiente se enumeran los límites de solicitud para cada función basada en Web de un equipo con Exchange Server 2003. Puede personalizar la plantilla para restringir la solicitud límites según la función del equipo. Si se necesitan varias funciones basadas en Web en un único equipo debe utilizar el valor de los límites de solicitud más alto.
Contraer esta tablaAmpliar esta tabla
[ RequestLimits ]OWAOutlook Mobile Access
Solicitudes de cliente
Outlook Mobile Access
Back-end
Exchange ActiveSync
Solicitudes de cliente
Exchange ActiveSync
Back-end
RPC sobre HTTP
MaxAllowedContentLength 10,485,76010,485,76010,485,76065.53665.5361,073,741,824
MaxUrl 16.38416.38416.3841.0241.02416.384
MaxQueryString 4.0964.0964.0964.0964.0964.096

Nota El MaxAllowedContentLength para equipos OWA y equipos de servicios de fondo de Outlook Mobile Access se basa en un tamaño de mensaje máximo predeterminado de 10 megabytes. Puede cambiar esta configuración basándose en los requisitos de tamaño de mensajería existente.

Entourage X con la actualización de Microsoft Exchange o Entourage 2004

Ésta es una lista de verbos que son necesarios en la sección [AllowVerbs] para Entourage X con la actualización de Microsoft Exchange o Entourage 2004:
  • OBTENER
  • POSTERIOR
  • BÚSQUEDA
  • COLOCAR
  • SONDEO
  • PROPFIND
  • SUSCRIBIRSE
  • MOVER
  • PROPPATCH
  • ELIMINAR
  • MKCOL
  • BLOQUEO
  • DESBLOQUEAR

Problemas conocidos

En las secciones siguientes se describen problemas conocidos que pueden experimentar y la información acerca de cómo corregir los problemas. Cada sección se hace referencia a un componente que puede verse afectado y especifica la sección de archivo URLScan.ini que debe modificar.

Exchange ActiveSync

dirección SMTP principal de Exchange ActiveSync DenyExtensions De forma predeterminada, URLScan.ini quita las extensiones .com desde cualquier dirección URL. Si la dirección SMTP principal tiene extensión a.com, la dirección SMTP producirá un error. La dirección URL del eliminado hace que los errores 404 de IIS en el servidor de buzón. Estos errores de IIS 404 se notifican devuelve como un error interno del servidor 500. Exchange ActiveSync en el Service Pack 2 utiliza registro similar en funcionalidad como Microsoft Outlook Web Access.

En Microsoft Exchange Server 2003 Service Pack 2 (SP2) de Exchange Server ActiveSync utiliza dirección SMTP completa del usuario en lugar del alias de buzón cuando genera la solicitud para el directorio virtual /exchange.

Configuración general

  • AllowDotInPath . Compruebe que la configuración de AllowDotInPath está establecida en 1 para asegurarse de que se pueden obtener acceso a datos adjuntos de OWA y de que los exploradores de versión anterior pueden utilizar OWA. Los exploradores de versiones anteriores incluyen Microsoft Internet Explorer 5 para Macintosh y anteriores, Microsoft Internet Explorer 4.x para Windows 95 y versiones anteriores, Microsoft Internet Explorer 4.01 Service Pack 2 para Windows 98 y versiones anteriores y Netscape Navigator.

    Este problema también afecta a la administración de carpetas públicas. Administración de carpetas públicas utiliza HTTP Distributed Authoring and Versioning (DAV) de forma que es similar a OWA. Debe realizar este cambio en los servidores que contienen almacenes de carpetas públicas. No es necesario realizar este cambio en los equipos que administran estas carpetas a menos que existen almacenes de carpetas públicas en esos equipos.

Outlook Web Access

  • Extensiones de archivo . De forma predeterminada, los archivos .htr no están habilitados. Si este tipo de archivo no está habilitada, la característica de cambiar contraseña de OWA no funciona cuando OWA se instala en un equipo basado en Windows 2000. Si ejecuta Exchange Server 2003 (o Exchange 2000) en un equipo basado en Windows 2000 Service Pack 4, puede habilitar la extensión .htr. En Windows 2000 Service Pack 4, los archivos .htr están asociados a ASP.dll en lugar de ISM.dll.

    Nota Si OWA está instalado en un equipo basado en Windows Server 2003, OWA utiliza páginas Active Server (ASP) de IIS 6.0 Cambiar contraseña programa. Por lo tanto, OWA no está afectado por los archivos .htr que no estén habilitados.

    Para obtener más información acerca de cómo ocultar la opción Cambiar contraseña en OWA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    297121La implementación de la característica Cambiar contraseña con Outlook Web Access
  • DenyUrlSequences . En la sección [DenyUrlSequences], secuencias que están explícitamente bloqueadas podrían afectar al acceso a OWA. Cualquier asunto del elemento de correo o nombre de carpeta de correo que contenga cualquiera de las siguientes secuencias de caracteres se deniega el acceso:
    • ..
    • ./
    • \
    • %
    • &
    Por ejemplo, la carpeta siguiente no funciona porque la carpeta de buzón de proyectos contiene un punto final. Las causas de período final la carpeta que desea excluir debido del explícita Denegar para el . / secuencia:
    / Servidor/Exchange/Mis Folders/Projects./Costings.eml
    La siguiente carpeta tampoco funciona, porque la denegación explícita de la .. secuencia evita recorridos de directorio:
    / Servidor/Exchange/Bandeja de entrada y mi Message.eml
    Si experimenta problemas adicionales cuando intente realizar las solicitudes de OWA con URLScan habilitado, compruebe los archivos de registro URLScan para la lista de solicitudes que se rechazan. Ésta es la ubicación predeterminada de los archivos de registro de URLScan:
    WinDir\System32\Inetsrv\Urlscan\logs
    Forma predeterminada, en la sección [DenyUrlSequences], secuencias de escape ("%; no permitir escape después de normalización.") está deshabilitado. Sin embargo, esta configuración no funciona para OWA cuando el asunto de correo contiene caracteres cirílicos (o cualquier otro carácter que aparece como % character).
  • DenyHeaders . Si los clientes conectarse a un servidor de Exchange mediante Outlook Web Access o Entourage, el encabezado Lock-Token no estará presente en la sección [DenyHeaders] del archivo URLscan.ini.

    Si se establece el encabezado Lock-Token para denegar, puede experimentar los problemas siguientes:
    • Cientos o miles de conexiones pueden verse desde cada cliente de Entourage.
    • Outlook Web Access puede dejar de aceptar conexiones.
    • Debido a la cantidad de conexiones, problemas de memoria virtual pueden inicie que se produzca.
    • En URLSCAN.log, puede anotarse el mensaje siguiente:
      [06-24-2005-00: 02: 27] Cliente en XXX.XX.XXX.XX: dirección URL contiene encabezado no permitido ' lock-token: ' se rechazará la solicitud. Instancia del sitio = '1' URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX RAW
    Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

Administración de carpetas públicas

  • DenyExtensions . Debe quitar .com en la sección [DenyExtensions] de la lista de URLScan.ini si su Sistema de nombres de dominio interno (DNS) se basa en la convención de nomenclatura .com.

Referencias

Para obtener más información acerca de problemas conocidos y ajustes cuando utilice el Asistente para bloqueo de IIS en un entorno de Exchange 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
309677Problemas conocidos y ajustes cuando utilice el Asistente para bloqueo de IIS en un entorno de Exchange 2000 Server


Propiedades

Id. de artículo: 823175 - Última revisión: jueves, 25 de octubre de 2007 - Versión: 9.1
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palabras clave: 
kbmt kbinfo KB823175 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 823175

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com