Fine-Tuning e conhecidos problemas quando utiliza o utilitário Urlscan num ambiente do Exchange 2003

Traduções de Artigos Traduções de Artigos
Artigo: 823175 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como optimizar os tipos de pedidos que serviços de informação Internet (IIS) 4.0 e processos posteriores. Este artigo também descreve problemas conhecidos que poderão ocorrer quando utiliza a ferramenta de segurança 2.5 Urlscan no Microsoft Exchange Server 2003. Pode utilizar a ferramenta Urlscan para restringir os tipos de pedidos que serviços de informação Internet (IIS) 4.0 e processos posteriores. Depois de instalar a ferramenta Urlscan 2.5, pode efectuar alterações para optimizar o modo como o IIS processa os pedidos de e para ajudar a melhorar a segurança do computador. Algumas das alterações descritas neste artigo dependem função do computador do Exchange 2003. Por exemplo, se os computadores do Exchange 2003 são dedicados para fornecer apenas Microsoft Outlook Web Access (OWA), administração de pasta pública ou pastas Web, pode remover as definições que não são necessárias para os respectivos serviços.

Mais Informação

Durante a instalação, a ferramenta Urlscan assume que os vários serviços estão instalados num único computador Exchange Server 2003. Por conseguinte, para ajudar a melhorar a segurança do computador, terá de editar o ficheiro de configuração URLScan.ini para remover qualquer funcionalidade estranho. Para personalizar o ficheiro URLScan.ini para o computador função específica do Exchange 2003, tem de remover verbos na secção [AllowVerbs] do ficheiro URLScan.ini. No entanto, certifique-se de que os verbos recomendados para a função do computador são incluídos para obter funcionalidade adequada. Se forem necessárias várias funcionalidades com base na Web num único computador, tem de intercalar os requisitos de secção [AllowVerbs] adequados.

Para editar o ficheiro de configuração depois de instalar a ferramenta Urlscan, abra o ficheiro URLScan.ini. O ficheiro URLScan.ini está localizado na seguinte pasta no computador com o Exchange Server 2003:
WinDirWinDir\System32\Inetsrv\Urlscan
Nota Para transferir a ferramenta Urlscan 2.5, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
Pode modificar o ficheiro URLScan.ini com base numa função do computador do Exchange 2003, utilizando as informações sobre o modelo de Exchange Server 2003 Urlscan incluída neste artigo. Se pretender utilizar um ficheiro URLScan.ini existente que já tenha modificado para o Exchange 2000, pode utilizar o ficheiro existente. Altere o ficheiro se for necessário para a configuração do Exchange 2003.

importante Depois de modificar o ficheiro URLScan.ini, terá de repor os serviços do IIS. Para o fazer, escreva IISRESET uma linha de comandos e, em seguida, prima ENTER.

Modelo do Exchange Server 2003 Urlscan

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Optimizar o Exchange Server 2003

Definições gerais

  • Negar extensões. É possível adicionar que a extensão .dll para a secção [DenyExtensions] se chamada de procedimento remoto (RPC, Remote Procedure Call) sobre HTTP (Hypertext Transfer Protocol) não é utilizada no computador.

O Outlook Web Access

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para o Outlook Web Access (OWA), quando configurar o OWA como uma funcionalidade baseada na Web num computador front-end ou um computador de back-end:
  • OBTER
  • POSTAL
  • PROCURA
  • CONSULTA
  • PROPFIND
  • BMOVE
  • BCOPY
  • SUBSCREVER
  • MOVER
  • PROPPATCH
  • BPROPPATCH
  • ELIMINAR
  • BDELETE
  • MKCOL
  • CÓPIA
  • OPÇÕES
  • COLOCAR

O Outlook Mobile Access

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para o Outlook Mobile Access quando configura o Outlook Mobile Access como uma funcionalidade baseada na Web num computador front-end:
  • OBTER
  • POSTAL
  • CABEÇA
Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para o Outlook Mobile Access quando configura o Outlook Mobile Access como uma funcionalidade baseada na Web num computador back-end:
  • PROPFIND
  • PROPPATCH
  • ELIMINAR
  • MOVER
  • PROCURA
  • CABEÇA
  • X-MS-ENUMATTS

O Exchange Server ActiveSync

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para o Exchange Server ActiveSync quando configura o Exchange ActiveSync como uma funcionalidade baseada na Web num computador front-end:
  • POSTAL
  • OPÇÕES
  • SUBSCREVER
  • ANULAR A SUBSCRIÇÃO
Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para o Exchange Server ActiveSync quando configurar o ActiveSync como uma funcionalidade baseada na Web num computador back-end:
  • OBTER
  • POSTAL
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • ELIMINAR
  • MOVER
  • BMOVE
  • PROCURA
  • COLOCAR
  • OPÇÕES
  • X-MS-ENUMATTS
  • SUBSCREVER
  • ANULAR A SUBSCRIÇÃO

Chamada de procedimento remoto através de protocolo de transferência de hipertexto

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para RPC sobre HTTP:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Pastas Web

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para pastas Web:
  • OBTER
  • PROPFIND
  • MOVER
  • BCOPY
  • ELIMINAR
  • BDELETE
  • MKCOL
  • OPÇÕES
  • BLOQUEIO
  • DESBLOQUEAR
  • COLOCAR
Adicione o seguinte à secção de recusa de sequências de URL:
[DenyUrlSequences]
:

Gestão de pasta pública

Segue-se uma lista de verbos que são necessários na secção [AllowVerbs] para gestão de pasta pública:
  • CABEÇA
  • PROPFIND
  • PROCURA
  • PROPPATCH
  • ELIMINAR
  • MKCOL
  • MOVER
  • CÓPIA
  • OPÇÕES

Trocar limites de pedido de funcionalidade baseada na Web Server 2003

A tabela seguinte lista os limites de pedido de cada funcionalidade baseada na Web num computador com o Exchange Server 2003. Pode personalizar o modelo para restringir o pedido de limites com base na função do computador. Se forem necessários vários funcionalidades baseadas na Web num único computador tem de utilizar o valor de limites de pedido mais elevado.
Reduzir esta tabelaExpandir esta tabela
[ RequestLimits ]OWAO Outlook Mobile Access
Front-end
O Outlook Mobile Access
Back-end
O Exchange ActiveSync
Front-end
Exchange ActiveSync
Back-end
RPC sobre HTTP
MaxAllowedContentLength 10,485,76010,485,76010,485,76065.53665.5361,073,741,824
MaxUrl 16,38416,38416,3841.0241.02416,384
MaxQueryString 4.0964.0964.0964.0964.0964.096

Nota MaxAllowedContentLength para computadores OWA e Outlook Mobile Access back-end computadores baseia-se um tamanho de mensagem máximo predefinido de 10 megabytes. Pode alterar esta definição com base nos requisitos de tamanho de mensagens existente.

Entourage X com a actualização do Microsoft Exchange ou o Entourage 2004

Segue-se uma lista de verbos que são necessárias na secção [AllowVerbs] para o Entourage X com a actualização do Microsoft Exchange ou o Entourage 2004:
  • OBTER
  • POSTAL
  • PROCURA
  • COLOCAR
  • CONSULTA
  • PROPFIND
  • SUBSCREVER
  • MOVER
  • PROPPATCH
  • ELIMINAR
  • MKCOL
  • BLOQUEIO
  • DESBLOQUEAR

Problemas conhecidos

As secções seguintes descrevem problemas conhecidos que poderão ocorrer e informações sobre como corrigir esses problemas. Cada secção refere-se a um componente que poderão ser afectado e especifica a secção de ficheiro URLScan.ini que terá de modificar.

O Exchange ActiveSync

endereço SMTP principal do Exchange ActiveSync DenyExtensions Por predefinição, URLScan.ini remove .com extensões qualquer URL. Se o endereço SMTP principal tiver a.com extensão, o endereço SMTP irá falhar. O URL removido, em seguida, provoca erros 404 do IIS no servidor da caixa de correio. Estes erros 404 do IIS são reportados novamente como um erro de servidor interno 500. O Exchange ActiveSync no SP2 utiliza registo semelhante funcionalidade tal como o Microsoft Outlook Web Access.

O Exchange Server ActiveSync no Microsoft Exchange Server 2003 Service Pack 2 (SP2) utiliza endereço SMTP completo do utilizador em vez do alias de caixa de correio, quando cria o pedido para o directório virtual /exchange.

Definições gerais

  • AllowDotInPath . Verifique se a definição AllowDotInPath está definida como 1 para se certificar que OWA anexos podem ser acedidos e que os browsers de versão anterior podem utilizar OWA. Os browsers de versões anteriores incluem o Microsoft Internet Explorer 5 para Macintosh e anteriores, Microsoft Internet Explorer 4.x para Windows 95 e versões anteriores, Microsoft Internet Explorer 4.01 Service Pack 2 para Windows 98 e versões anteriores e Netscape Navigator.

    Este problema também afecta a gestão de pasta pública. Gestão de pasta pública utiliza HTTP Distributed Authoring and Versioning (DAV) de forma semelhante ao OWA. Terá de fazer esta alteração para quaisquer servidores que contêm arquivos de pastas públicas. Não é necessário efectuar esta alteração em computadores que administrar estas pastas, a menos que existem arquivos de pastas públicas nesses computadores.

O Outlook Web Access

  • extensões de ficheiro . Por predefinição, .HTR ficheiros não estão activados. Se este tipo de ficheiro não estiver activado, a funcionalidade do OWA alterar palavra-passe não funciona quando OWA é instalada num computador baseado no Windows 2000. Se executar o Exchange Server 2003 (ou o Exchange 2000) num computador baseado no Windows 2000 Service Pack 4, pode activar a extensão .HTR. No Windows 2000 Service Pack 4 ficheiros .HTR associados ASP.dll em vez de ism.dll.

    Nota Se o OWA está instalada num computador baseado no Windows Server 2003, OWA utiliza o programa de palavra-passe de alteração do IIS 6.0 Active Server Pages (ASP). Por este motivo, O OWA não é afectada por .HTR ficheiros que não estão activados.

    Para obter mais informações sobre como ocultar a opção de alterar a palavra-passe no OWA, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    297121Implementar a funcionalidade alterar a palavra-passe com o Outlook Web Access
  • DenyUrlSequences . Na secção [DenyUrlSequences], sequências explicitamente bloqueadas podem afectar potencialmente acesso OWA. Qualquer nome de pasta de correio electrónico que contém qualquer um dos seguintes sequências de caracteres ou assunto do item de correio é negado o acesso:
    • ..
    • ./
    • \
    • %
    • &
    Por exemplo, a pasta seguinte não funciona porque a pasta de caixa de correio de projectos contém um ponto final. As causas de período finais a pasta a ser excluído devido a explícita negar a . / sequência:
    Folders/Projects./Costings.eml / servidor/Exchange/meu
    A seguinte pasta também não funciona, uma vez negação explícita do .. sequência impede transversais de directório:
    / Servidor/Exchange/pasta a receber/meu Message.eml
    Se detectar problemas adicionais quando tenta efectuar pedidos OWA com Urlscan activada, verifique os ficheiros de registo Urlscan para a lista de pedidos que são rejeitados. Segue-se a localização predefinida dos ficheiros de registo Urlscan:
    WinDir\System32\Inetsrv\Urlscan\logs
    Por predefinição, na secção [DenyUrlSequences], Sair ("%; não permitir sair após a normalização.") está desactivada. No entanto, esta definição não funciona para o OWA quando o assunto do correio electrónico contém caracteres Cirílico (ou qualquer outro carácter que aparece como % character).
  • DenyHeaders . Se ligam clientes a um servidor do Exchange utilizando o Outlook Web Access ou o Entourage, o cabeçalho de Token de bloqueio não será apresentado na secção [DenyHeaders] do ficheiro URLscan.ini.

    Se o cabeçalho de Token de bloqueio estiver definido para negar, poderá detectar os seguintes problemas:
    • Centenas ou milhares de ligações podem ser vistos a partir de cada cliente do Entourage.
    • O Outlook Web Access poderá deixar de aceitar ligações.
    • Devido à quantidade de ligações, problemas de memória virtual podem começar a ocorrer.
    • A seguinte mensagem poderá ser registada no URLSCAN.log:
      [06-24-2005-00: 02: 27] Cliente no XXX.XX.XXX.XX: URL contém cabeçalho não permitido ' token de bloqueio: ' pedido será rejeitado. Instância do site = '1', URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX RAW
    Para mais informações, visite o seguinte Web site da Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

Gestão de pasta pública

  • DenyExtensions . Tem de remover .com na secção [DenyExtensions] lista URLScan.ini se o interno (DNS) for baseado na convenção de nomenclatura .com.

Referências

Para obter mais informações sobre problemas conhecidos e optimização correctamente quando utiliza o IIS Lockdown Wizard no ambiente de Exchange 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
309677Problemas conhecidos e optimização correctamente quando utiliza o IIS Lockdown Wizard no ambiente do Exchange 2000 Server


Propriedades

Artigo: 823175 - Última revisão: 25 de outubro de 2007 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbmt kbinfo KB823175 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 823175

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com