Urlscan ユーティリティを Exchange 2003 環境で使用する場合の調整方法および既知の問題

文書翻訳 文書翻訳
文書番号: 823175 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Internet Information Server (IIS) 4.0 以降およびインターネット インフォメーション サービスで処理される要求の調整方法を説明します。また、Microsoft Exchange Server 2003 のセキュリティ ツールである Urlscan 2.5 の使用時に発生する可能性のある既知の問題についても説明します。Urlscan ツールを使用すると、Internet Information Server (IIS) 4.0 以降およびインターネット インフォメーション サービスで処理される要求の種類を制限できます。Urlscan 2.5 ツールをインストールすると、IIS での要求の処理方法を調整し、コンピュータのセキュリティを強化するための変更を行うことができます。この資料で説明する変更の一部は、Exchange 2003 コンピュータの役割に依存します。たとえば、使用している Exchange 2003 コンピュータが Microsoft Outlook Web Access (OWA)、パブリック フォルダの管理、または Web フォルダのいずれか専用である場合は、それぞれのサービスに不要な設定を削除することができます。

詳細

Urlscan ツールのインストールでは、1 つの Exchange Server 2003 コンピュータに複数のサービスがインストールされているものとして処理が行われます。そのため、コンピュータのセキュリティを強化するためには、Urlscan.ini 構成ファイルを編集して、不要な機能を削除する必要があります。使用している個別の Exchange 2003 コンピュータの役割に合わせて Urlscan.ini ファイルをカスタマイズするには、Urlscan.ini ファイルの [AllowVerbs] セクションで Verb (動詞) を削除する必要があります。ただし、適切な機能が得られるように、コンピュータの役割に適した、推奨されている Verb が含まれていることを確認してください。1 台のコンピュータで複数の Web ベースの機能が必要な場合は、該当する [AllowVerbs] セクションの要件を追加する必要があります。

Urlscan ツールをインストールした後に構成ファイルを編集するには、Urlscan.ini ファイルを開きます。Urlscan.ini ファイルは、Exchange Server 2003 コンピュータの次のフォルダに格納されています。
WinDirWinDir\System32\Inetsrv\Urlscan
: Urlscan 2.5 ツールをダウンロードするには、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
この資料に記載されている Exchange Server 2003 Urlscan テンプレートの情報を使用することにより、Exchange 2003 コンピュータの役割に応じて Urlscan.ini ファイルを変更できます。Exchange 2000 用に変更済みの、既存の Urlscan.ini ファイルも使用できます。必要に応じて、Exchange 2003 の構成に合わせてファイルを変更してください。

重要 : Urlscan.ini ファイルを変更した後、IIS サービスをリセットする必要があります。これを行うには、コマンド プロンプトに IISRESET と入力し、Enter キーを押します。

Exchange Server 2003 Urlscan テンプレート

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Exchange Server 2003 の調整

全般的な設定

  • [DenyExtensions] コンピュータで RPC (リモート プロシージャ コール) over HTTP (Hypertext Transfer Protocol) を使用しない場合は、[DenyExtensions] セクションに .dll 拡張子を追加します。

Outlook Web Access

以下は、フロントエンド コンピュータまたはバックエンド コンピュータ上の Web ベース機能として Outlook Web Access (OWA) を構成する場合に、OWA の [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • POST
  • SEARCH
  • POLL
  • PROPFIND
  • BMOVE
  • BCOPY
  • SUBSCRIBE
  • MOVE
  • PROPPATCH
  • BPROPPATCH
  • DELETE
  • BDELETE
  • MKCOL
  • COPY
  • OPTIONS
  • PUT

Outlook Mobile Access

以下は、フロントエンド コンピュータ上の Web ベース機能として Outlook Mobile Access を構成する場合に、Outlook Mobile Access の [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • POST
  • HEAD
以下は、バックエンド コンピュータ上の Web ベース機能として Outlook Mobile Access を構成する場合に、Outlook Mobile Access の [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • PROPFIND
  • PROPPATCH
  • DELETE
  • MOVE
  • SEARCH
  • HEAD
  • X-MS-ENUMATTS

Exchange Server ActiveSync

以下は、フロントエンド コンピュータ上の Web ベース機能として Exchange Server ActiveSync を構成する場合に、Exchange ActiveSync の [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • POST
  • OPTIONS
  • SUBSCRIBE
  • UNSUBSCRIBE
以下は、バックエンド コンピュータ上の Web ベース機能として Exchange Server ActiveSync を構成する場合に、ActiveSync の [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • POST
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • DELETE
  • MOVE
  • BMOVE
  • SEARCH
  • PUT
  • OPTIONS
  • X-MS-ENUMATTS
  • SUBSCRIBE
  • UNSUBSCRIBE

RPC over HTTP

以下は、RPC (リモート プロシージャ コール) over HTTP (Hypertext Transfer Protocol) を使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • RPC_OUT_DATA
  • RPC_IN_DATA

Web フォルダ

以下は、Web フォルダを使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • PROPFIND
  • MOVE
  • BCOPY
  • DELETE
  • BDELETE
  • MKCOL
  • OPTIONS
  • LOCK
  • UNLOCK
  • PUT
[Deny URL Sequences] セクションには以下の項目を追加します。
[DenyUrlSequences]
:

パブリック フォルダの管理

以下は、パブリック フォルダの管理用に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • HEAD
  • PROPFIND
  • SEARCH
  • PROPPATCH
  • DELETE
  • MKCOL
  • MOVE
  • COPY
  • OPTIONS

Exchange Server 2003 の Web ベースの機能での要求数の上限

次の表は、Exchange Server 2003 コンピュータ上の Web ベースの機能ごとの要求数の上限の一覧です。テンプレートをカスタマイズすることにより、コンピュータの役割に応じて要求数の上限を指定できます。1 台のコンピュータで複数の Web ベース機能が必要な場合は、必要な要求の上限のうち最も大きな数値を使用する必要があります。
元に戻す全体を表示する
[RequestLimits] OWA Outlook Mobile Access
フロントエンド
Outlook Mobile Access
バックエンド
Exchange ActiveSync
フロントエンド
Exchange ActiveSync
バックエンド
RPC over HTTP
MaxAllowedContentLength 10,485,760 10,485,760 10,485,760 65,536 65,536 1,073,741,824
MaxUrl 16,384 16,384 16,384 1,024 1,024 16,384
MaxQueryString 4,096 4,096 4,096 4,096 4,096 4,096

: OWA コンピュータおよび Outlook Mobile Access バックエンド コンピュータの MaxAllowedContentLength は、デフォルトの最大メッセージ サイズである 10 MB に基づいています。この設定は、既存のメッセージ サイズの要件に応じて変更することができます。

Microsoft Exchange 更新プログラムを適用した Entourage X または Entourage 2004

以下は、Microsoft Exchange 更新プログラムを適用した Entourage X または Entourage 2004 を使用する場合に [AllowVerbs] セクションに追加する必要がある Verb の一覧です。
  • GET
  • POST
  • SEARCH
  • PUT
  • POLL
  • PROPFIND
  • SUBSCRIBE
  • MOVE
  • PROPPATCH
  • DELETE
  • MKCOL
  • LOCK
  • UNLOCK

既知の問題

以下では、発生する可能性のある既知の問題と、それらの問題の解決方法について説明します。項目ごとに、影響を受ける可能性のあるコンポーネントについて言及すると共に、Urlscan.ini ファイルの変更が必要なセクションを示します。

Exchange ActiveSync

Exchange ActiveSync プライマリ SMTP アドレスの [DenyExtensions] デフォルトで、URLScan.ini により、URL から .com 拡張子が削除されます。プライマリ SMTP アドレスに .com 拡張子が含まれている場合、その SMTP アドレスはエラーになります。URL の拡張子が削除されると、メールボックス サーバーで IIS 404 エラーが発生します。これらの IIS 404 エラーは、内部サーバー エラー 500 として返されます。 SP2 の Exchange ActiveSync では、Microsoft Outlook Web Access と同様のログオン機能が使用されます。

Microsoft Exchange Server 2003 Service Pack 2 (SP2) の Exchange Server ActiveSync では、/exchange 仮想ディレクトリに対する要求を構築するときに、メールボックスのエイリアスではなく、ユーザーの完全な SMTP アドレスが使用されます。

全般的な設定

  • [AllowDotInPath] OWA の添付ファイルへのアクセス、および古いバージョンのブラウザからの OWA の使用を可能にするには、[AllowDotInPath] の設定が 1 になっていることを確認します。古いバージョンのブラウザには、Microsoft Internet Explorer 5 for Macintosh 以前、Microsoft Internet Explorer 4.x for Windows 95 以前、Microsoft Internet Explorer 4.01 Service Pack 2 for Windows 98 以前、および Netscape Navigator が含まれます。

    この問題は、パブリック フォルダの管理にも影響を及ぼします。パブリック フォルダの管理では、OWA と同様に HTTP DAV (Distributed Authoring and Versioning) が使用されます。パブリック フォルダ ストアが存在するすべてのサーバーに対して、この変更を行う必要があります。パブリック フォルダ ストアがコンピュータ上に存在しない場合は、そのコンピュータでパブリック フォルダの管理を行っていても、この変更を行う必要はありません。

Outlook Web Access

  • ファイル拡張子 デフォルトでは、.htr ファイルは無効です。このファイルの種類が有効になっていない場合、Windows 2000 ベースのコンピュータにインストールされている OWA ではパスワード変更機能を使用できません。Exchange Server 2003 (または Exchange 2000) を Windows 2000 Service Pack 4 ベースのコンピュータで実行している場合は、.htr 拡張子を有効にできます。Windows 2000 Service Pack 4 では、.htr ファイルは Ism.dll ではなく Asp.dll に関連付けられています。

    : OWA が Windows Server 2003 ベースのコンピュータにインストールされている場合、OWA では IIS 6.0 Active Server Pages (ASP) のパスワード変更プログラムが使用されます。このため、.htr ファイルが無効でも、OWA には影響ありません。

    OWA の [パスワードの変更] オプションを非表示にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    297121 Outlook Web Access のパスワードの変更機能の使用方法
  • [DenyUrlSequences] [DenyUrlSequences] セクションで明示的にブロックされたシーケンスが、OWA に影響を及ぼす可能性があります。以下の文字シーケンスのいずれかがメールの件名またはメール フォルダの名前に含まれている場合、アクセスが拒否されます。
    • ..
    • ./
    • \
    • %
    • &
    たとえば、次のフォルダは、Projects メールボックス フォルダの最後にピリオドが含まれているため、使用できません。./ シーケンスが明示的に拒否されているため、最後の文字がピリオドの場合、フォルダは除外されます。
    /Server/Exchange/My Folders/Projects./Costings.eml
    .. シーケンスが明示的に拒否されていて、ディレクトリ検索ができないため、次のフォルダも使用できません。
    /Server/Exchange/Inbox/My .. message.eml
    Urlscan を有効にした状態で OWA 要求を行うとその他の問題が発生する場合は、Urlscan ログ ファイルに指定されている、拒否する要求の一覧を確認します。デフォルトでは、Urlscan ログ ファイルは以下の場所にあります。
    WinDir\System32\Inetsrv\Urlscan\logs
    デフォルトでは、[DenyUrlSequences] セクションで、エスケープ ("% ; Do not permit escaping after normalization.") が無効になっています。ただし、メールの件名にキリル文字 (または %character と表示されるその他の文字) が含まれている場合、この設定は OWA では使用できません。
  • [DenyHeaders] Outlook Web Access または Entourage を使用してクライアントから Exchange サーバーへ接続する場合、URLscan.ini ファイルの [DenyHeaders] セクションに Lock-Token ヘッダーは存在しません。

    Lock-Token ヘッダーが拒否に設定されている場合、次の問題が発生することがあります。
    • 各 Entourage クライアントから数百〜数千件の接続が行われることがあります。
    • Outlook Web Access が接続の受け入れを停止することがあります。
    • 接続数が多いため、仮想メモリの問題が発生することがあります。
    • URLSCAN.log に次のメッセージが記録されることがあります。
      [06-24-2005 - 00:02:27] Client at XXX.XX.XXX.XX: URL contains disallowed header 'lock-token:' Request will be rejected. Site Instance='1', Raw URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX
    詳細については、次のマイクロソフト Web サイトを参照してください。
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

パブリック フォルダの管理

  • [DenyExtensions] 内部の DNS (Domain Name System) で、.com で終わる名前付け規則が使用されている場合は、Urlscan.ini ファイルの [DenyExtensions] セクションから .com を削除する必要があります。

関連情報

Exchange 2000 環境で IIS Lockdown Wizard を使用する場合の既知の問題と調整方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
309677 [XADM] IIS Lockdown Wizard を Exchange 2000 環境で使用する場合の問題および調整方法

プロパティ

文書番号: 823175 - 最終更新日: 2007年11月26日 - リビジョン: 9.1
この資料は以下の製品について記述したものです。
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
キーワード:?
kbinfo KB823175
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com