Problèmes d'ajustement et connus lorsque vous utilisez l'utilitaire URLScan dans un environnement Exchange 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 823175 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article explique comment ajuster les types de demandes que Internet Information Services (IIS) 4.0 et ultérieur du processus. Cet article décrit également les problèmes connus qui peuvent se produire lorsque vous utilisez l'outil de sécurité URLScan 2.5 dans Microsoft Exchange Server 2003. Vous pouvez utiliser l'outil URLScan pour restreindre les types de demandes que Internet Information Services (IIS) 4.0 et ultérieur du processus. Après avoir installé l'outil URLScan 2.5, vous pouvez apporter des modifications pour ajuster comment IIS gère les demandes et aider à améliorer la sécurité de votre ordinateur. Certaines des modifications qui sont décrits dans cet article dépendent de rôle de l'ordinateur Exchange 2003. Par exemple, si vos ordinateurs Exchange 2003 sont dédiés à fournissant uniquement Outlook Web Access (OWA), administration des dossiers publics ou dossiers Web, vous pouvez supprimer les paramètres qui ne sont pas requis pour ces services respectifs.

Plus d'informations

Pendant l'installation, l'outil URLScan suppose que plusieurs services sont installés sur un seul ordinateur Exchange Server 2003. Par conséquent, pour aider à améliorer la sécurité de l'ordinateur, vous devez modifier le fichier de configuration URLScan.ini pour supprimer toute fonctionnalité superflue. Pour personnaliser le fichier URLScan.ini pour votre rôle d'ordinateur Exchange 2003 particulier, vous devez supprimer les verbes dans la section [AllowVerbs] du fichier URLScan.ini. Toutefois, assurez-vous que les verbes recommandées pour rôle de votre ordinateur sont inclus pour obtenir les fonctionnalités appropriées. Si plusieurs fonctionnalités basées sur le Web sont nécessaires sur un seul ordinateur, vous devez fusionner les exigences de section [AllowVerbs] appropriés.

Pour modifier le fichier de configuration après avoir installé l'outil URLScan, ouvrez le fichier URLScan.ini. Le fichier URLScan.ini se trouve dans le dossier suivant sur votre ordinateur Exchange Server 2003 :
WinDirWinDir\System32\Inetsrv\Urlscan
note Pour télécharger l'outil URLScan 2.5, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
Vous pouvez modifier le fichier URLScan.ini basé sur les rôles de l'ordinateur Exchange 2003 à l'aide des informations dans le modèle Exchange Server 2003 Urlscan qui est inclus dans cet article. Si vous souhaitez utiliser un fichier URLScan.ini existant qui vous avez modifié pour Exchange 2000, vous pouvez utiliser votre fichier existant. Modifier le fichier si vous devez pour votre configuration d'Exchange 2003.

important Après avoir modifié le fichier URLScan.ini, vous devez réinitialiser les services Internet (IIS). Pour cela, tapez IISRESET à une invite de commandes, puis appuyez sur ENTRÉE.

Modèle Exchange Server 2003 Urlscan

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Ajuster Exchange Server 2003

Les paramètres généraux

  • Refuser extensions. Vous pouvez ajouter que l'extension .dll à la section [DenyExtensions] Si appel de procédure distante (RPC) sur HTTP (Hypertext Transfer Protocol) n'est pas utilisée sur l'ordinateur.

Outlook Web Access

Voici une liste de verbes qui sont nécessaires dans la section [AllowVerbs] pour Outlook Web Access (OWA), lorsque vous configurez OWA en tant que sur un ordinateur frontal ou sur un ordinateur back-end fonctionnalité basée sur le Web :
  • GET
  • POST
  • RECHERCHE
  • POLL
  • PROPFIND
  • BMOVE
  • BCOPY
  • SUBSCRIBE
  • DÉPLACER
  • PROPPATCH
  • BPROPPATCH
  • SUPPRIMER
  • BDELETE
  • MKCOL
  • COPIER
  • OPTIONS
  • PUT

Outlook Mobile Access

Voici une liste de verbes requis dans la section [AllowVerbs] pour Outlook Mobile Access, lorsque vous configurez Outlook Mobile Access en tant que fonctionnalité basée sur le Web sur un ordinateur frontal :
  • GET
  • POST
  • HEAD
Voici une liste de verbes requis dans la section [AllowVerbs] pour Outlook Mobile Access, lorsque vous configurez Outlook Mobile Access comme fonctionnalité de basée sur le Web sur un ordinateur principal :
  • PROPFIND
  • PROPPATCH
  • SUPPRIMER
  • DÉPLACER
  • RECHERCHE
  • HEAD
  • X-MS-ENUMATTS

Exchange Server ActiveSync

Voici une liste de verbes requis dans la section [AllowVerbs] pour Exchange Server ActiveSync lorsque vous configurez Exchange ActiveSync en tant que fonctionnalité basée sur le Web sur un ordinateur frontal :
  • POST
  • OPTIONS
  • SUBSCRIBE
  • UNSUBSCRIBE
Voici une liste de verbes requis dans la section [AllowVerbs] pour Exchange Server ActiveSync lorsque vous configurez ActiveSync comme fonctionnalité de basée sur le Web sur un ordinateur principal :
  • GET
  • POST
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • SUPPRIMER
  • DÉPLACER
  • BMOVE
  • RECHERCHE
  • PUT
  • OPTIONS
  • X-MS-ENUMATTS
  • SUBSCRIBE
  • UNSUBSCRIBE

Appel de procédure distante via le protocole Hypertext Transfer Protocol

Voici une liste de verbes requis dans la section [AllowVerbs] pour RPC sur HTTP :
  • RPC_OUT_DATA
  • RPC_IN_DATA

Dossiers Web

Voici une liste de verbes qui sont nécessaires dans la section [AllowVerbs] pour les dossiers Web :
  • GET
  • PROPFIND
  • DÉPLACER
  • BCOPY
  • SUPPRIMER
  • BDELETE
  • MKCOL
  • OPTIONS
  • ARRÊT
  • UNLOCK
  • PUT
À la section conditions URL non autorisée, ajoutez :
[DenyUrlSequences]
:

Gestion des dossiers publics

Voici une liste de verbes qui sont nécessaires dans la section [AllowVerbs] Gestion de dossiers publics :
  • HEAD
  • PROPFIND
  • RECHERCHE
  • PROPPATCH
  • SUPPRIMER
  • MKCOL
  • DÉPLACER
  • COPIER
  • OPTIONS

Échanger des limites des demandes fonctionnalité Server 2003 Web-base

Le tableau suivant répertorie les limites des demandes pour chaque fonctionnalité basée sur le Web sur un ordinateur Exchange Server 2003. Vous pouvez personnaliser le modèle pour limiter la requête limites en fonction de rôle l'ordinateur. Si plusieurs fonctionnalités basées sur le Web sont nécessaires sur un seul ordinateur vous devez utiliser la valeur limite la demande plus élevée.
Réduire ce tableauAgrandir ce tableau
[ RequestLimits ]OWAOutlook Mobile Access
Frontal
Outlook Mobile Access
Back-end
ActiveSync Exchange
Frontal
Exchange ActiveSync
Back-end
RPC sur HTTP
MaxAllowedContentLength 10,485,76010,485,76010,485,7605365361,073,741,824
MaxUrl 16,38416,38416,3841 0241 02416,384
MaxQueryString 4,0964,0964,0964,0964,0964,096

note Le MaxAllowedContentLength pour les ordinateurs OWA et ordinateurs principaux Outlook Mobile Access est basé sur une taille maximale des messages par défaut de 10 mégaoctets. Vous pouvez modifier ce paramètre selon vos besoins taille messagerie existante.

Entourage X avec la mise à jour de Microsoft Exchange ou Entourage 2004

Voici une liste de verbes requis dans la section [AllowVerbs] pour Entourage X avec la mise à jour de Microsoft Exchange ou Entourage 2004 :
  • GET
  • POST
  • RECHERCHE
  • PUT
  • POLL
  • PROPFIND
  • SUBSCRIBE
  • DÉPLACER
  • PROPPATCH
  • SUPPRIMER
  • MKCOL
  • ARRÊT
  • UNLOCK

Problèmes connus

Les sections suivantes décrivent les problèmes connus que vous risquez de rencontrer et de savoir comment corriger ces problèmes. Chaque section fait référence à un composant qui peut-être être affectée et spécifie la section du fichier URLScan.ini que vous devez modifier.

ActiveSync Exchange

adresse SMTP principale d'Exchange ActiveSync DenyExtensions Par défaut, URLScan.ini supprime extensions .com n'importe quelle URL. Si votre adresse SMTP principale comporte extension a.com, l'adresse SMTP échoue. L'URL supprimé provoque ensuite les erreurs 404 de services Internet (IIS) sur le serveur de boîtes aux lettres. Ces erreurs 404 de services Internet (IIS) sont signalés en comme une erreur de serveur interne 500. Exchange ActiveSync dans le Service Pack 2 utilise journal similaire sur les fonctionnalités que Microsoft Outlook Web Access ne.

Exchange Server ActiveSync dans Microsoft Exchange Server 2003 Service Pack 2 (SP2) utilise l'adresse de l'utilisateur complet SMTP au lieu de l'alias de boîte aux lettres lorsqu'il crée la demande pour le répertoire virtuel Exchange.

Les paramètres généraux

  • AllowDotInPath . Vérifiez que le paramètre AllowDotInPath est défini sur 1 pour vérifier que les pièces jointes OWA est accessible et que les navigateurs de versions antérieures peuvent utiliser OWA. Version antérieure navigateurs incluent Microsoft Internet Explorer 5 pour Macintosh et versions antérieures, Microsoft Internet Explorer 4.x pour Windows 95 et versions antérieures, Microsoft Internet Explorer 4.01 Service Pack 2 pour Windows 98 et versions antérieures et Netscape Navigator.

    Ce problème concerne également la gestion des dossiers publics. Gestion des dossiers publics utilise HTTP Versioning (DAV) d'une façon qui est similaire à OWA Distributed Authoring and. Vous devez effectuer cette modification aux serveurs qui contiennent des banques de dossiers publics. Vous devez effectuer cette modification sur les ordinateurs qui gérer ces dossiers, sauf si les banques de dossiers publics existent sur ces ordinateurs.

Outlook Web Access

  • extensions de fichier . Par défaut, fichiers .htr ne sont pas activés. Si ce type de fichier n'est pas activé, la fonctionnalité Modification du mot de passe OWA ne fonctionne pas lorsque OWA est installé sur un ordinateur Windows 2000. Si vous exécutez Exchange Server 2003 (ou Exchange 2000) sur un ordinateur Windows 2000 Service Pack 4, vous pouvez activer l'extension .htr. Sur Windows 2000 Service Pack 4, les fichiers .htr sont associés à ASP.dll au lieu de ISM.dll.

    note Si OWA est installé sur un ordinateur Windows Server 2003, OWA utilise le programme de mot de passe de modification Services Internet (IIS) 6.0 pages ASP (Active Server). Par conséquent, OWA n'est pas affecté par les fichiers .htr qui ne sont pas activés.

    Pour plus d'informations sur la façon de masquer l'option Modifier le mot de passe dans OWA, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    297121 L'implémentation de la fonctionnalité Modification du mot de passe avec Outlook Web Access
  • DenyUrlSequences . Dans la section [DenyUrlSequences], séquences qui sont explicitement bloquées peuvent potentiellement affecter l'accès à OWA. Accès est refusé au n'importe quel objet élément de messagerie ou le courrier nom du dossier qui contient l'un des séquences de caractères suivantes :
    • ..
    • ./
    • \
    • %
    • &
    Par exemple, le dossier suivant ne fonctionne pas car le dossier de boîte aux lettres de projets contient une période de fin. Les causes périodes situé à droite du dossier pour être exclues en raison de l'explicite Refuser pour les . / séquence :
    /Server/Exchange/My Folders/Projects./Costings.eml
    Le dossier suivant également ne fonctionne pas, car le refus explicite de la .. séquence empêche traversals répertoire :
    /Server/Exchange/Inbox/My message.eml
    Si vous rencontrez des problèmes supplémentaires lorsque vous tentez d'établir OWA demande avec URLScan activé, vérifiez les fichiers de journaux URLScan pour la liste des demandes qui sont rejetées. Celui-ci est l'emplacement par défaut des fichiers journaux URLScan :
    WinDir\System32\Inetsrv\Urlscan\logs
    Par défaut, dans la section [DenyUrlSequences], évitement (« %; ne permet pas d'évitement après la normalisation. ") est désactivé. Toutefois, ce paramètre ne fonctionne pas pour OWA lorsque l'objet de courrier contient des caractères cyrillique (ou tout autre caractère qui s'affiche comme % character).
  • DenyHeaders . Si les clients connectez à un serveur Exchange via Outlook Web Access ou d'Entourage, l'en-tête Lock-Token ne sera pas présent dans la section [DenyHeaders] du fichier URLscan.ini.

    Si l'en-tête Lock-Token est défini pour refuser, vous pouvez rencontrer les problèmes suivants :
    • Des centaines ou des milliers de connexions peuvent s'afficher chaque client Entourage.
    • Outlook Web Access cesse d'accepter des connexions.
    • Raison de la quantité de connexions, les problèmes de mémoire virtuelle peuvent commencer à se produire.
    • Le message suivant peut être enregistré dans URLSCAN.log :
      [06-24-2005-00:02:27] Client à XXX.XX.XXX.XX : URL contient en-tête non autorisé ' jeton de verrouillage: « demande sera rejetée. Site instance = 1, URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX brut
    Pour plus d'informations, reportez-vous au site de Web Microsoft suivant :
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

Gestion des dossiers publics

  • DenyExtensions . Vous devez supprimer .com dans la section [DenyExtensions] de la liste URLScan.ini si votre DNS (Domain Name System) interne (DNS) est basé sur la convention d'affectation de noms .com.

Références

Pour plus d'informations sur les problèmes connus et réglage correctement lorsque vous utilisez l'Assistant IIS Lockdown Wizard dans un environnement Exchange 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
309677 Problèmes connus et réglage correctement lorsque vous utilisez l'Assistant IIS Lockdown Wizard dans un environnement Exchange 2000 Server


Propriétés

Numéro d'article: 823175 - Dernière mise à jour: jeudi 25 octobre 2007 - Version: 9.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Mots-clés : 
kbmt kbinfo KB823175 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 823175
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com