Problemas conhecidos e ajuste fino quando você usa o utilitário URLScan em um ambiente do Exchange 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 823175 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como ajustar os tipos de solicitações que Internet Information Services (IIS) 4.0 e posteriores processos. Este artigo também descreve problemas conhecidos que podem ocorrer ao usar a ferramenta de segurança URLScan 2.5 no Microsoft Exchange Server 2003. Você pode usar a ferramenta URLScan para restringir os tipos de solicitações que Internet Information Services (IIS) 4.0 e posteriores processos. Depois de instalar a ferramenta URLScan 2.5, você pode fazer alterações para ajustar como o IIS lida com solicitações e para ajudar a aprimorar a segurança do seu computador. Algumas das alterações descritas neste artigo dependem da função do computador Exchange 2003. Por exemplo, se os computadores do Exchange 2003 são dedicados a fornecer somente o Microsoft Outlook Web Access (OWA), administração de pasta pública ou pastas da Web, você pode remover configurações que não são necessárias para os respectivos serviços.

Mais Informações

Durante a instalação, a ferramenta URLScan pressupõe que os vários serviços são instalados em um único computador Exchange Server 2003. Portanto, para ajudar a melhorar a segurança do computador, você deve editar o arquivo de configuração URLScan.ini para remover qualquer funcionalidade estranha. Para personalizar o arquivo URLScan.ini para sua função de computador específico do Exchange 2003, você deve remover verbos na seção [AllowVerbs] do arquivo URLScan.ini. No entanto, certifique-se que os verbos recomendados para a função do computador estão incluídos para obter funcionalidade apropriada. Se forem necessários vários recursos com base na Web em um único computador, você deverá mesclar os requisitos de seção [AllowVerbs] apropriados.

Para editar o arquivo de configuração após você instalar a ferramenta URLScan, abra o arquivo URLScan.ini. O arquivo URLScan.ini está localizado na seguinte pasta no seu computador com Exchange Server 2003:
WinDirWinDir\System32\Inetsrv\Urlscan
Observação Para baixar a ferramenta URLScan 2.5, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
Você pode modificar o arquivo URLScan.ini com base na função do computador com Exchange 2003 usando as informações do modelo de URLScan do Exchange Server 2003 é incluído neste artigo. Se você desejar usar um arquivo URLScan.ini existente que você já modificou para Exchange 2000, você pode usar o arquivo existente. Altere o arquivo se você tiver a para a configuração do Exchange 2003.

importante Depois de modificar o arquivo URLScan.ini, você deve redefinir os serviços do IIS. Para fazer isso, digite IISRESET em um prompt de comando e pressione ENTER.

Modelo do Exchange Server 2003 URLScan

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Ajustar o Exchange Server 2003

Configurações gerais

  • Nega extensões. Você pode adicionar que a extensão .dll para a seção [DenyExtensions] se chamada de procedimento remoto (RPC) sobre HTTP (Hypertext Transfer Protocol) não será usada no computador.

O Outlook Web Access

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o Outlook Web Access (OWA), quando você configura o OWA como um recurso com base na Web em um computador front-end ou um computador de back-end:
  • OBTER
  • POSTAGEM
  • PESQUISA
  • CHAMADA SELETIVA
  • PROPFIND
  • BMOVE
  • BCOPY
  • INSCREVER-SE
  • MOVER
  • PROPPATCH
  • BPROPPATCH
  • EXCLUIR
  • BDELETE
  • MKCOL
  • CÓPIA
  • OPÇÕES
  • COLOCAR

Outlook Mobile Access

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o Outlook Mobile Access, ao configurar o Outlook Mobile Access como um recurso com base na Web em um computador front-end:
  • OBTER
  • POSTAGEM
  • CABEÇA
A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o Outlook Mobile Access, ao configurar o Outlook Mobile Access como um recurso com base na Web em um computador de back-end:
  • PROPFIND
  • PROPPATCH
  • EXCLUIR
  • MOVER
  • PESQUISA
  • CABEÇA
  • X-MS-ENUMATTS

Exchange Server ActiveSync

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o Exchange Server ActiveSync quando você configura o Exchange ActiveSync como um recurso com base na Web em um computador front-end:
  • POSTAGEM
  • OPÇÕES
  • INSCREVER-SE
  • CANCELAR INSCRIÇÃO
A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o Exchange Server ActiveSync quando você configurar ActiveSync como um recurso com base na Web em um computador de back-end:
  • OBTER
  • POSTAGEM
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • EXCLUIR
  • MOVER
  • BMOVE
  • PESQUISA
  • COLOCAR
  • OPÇÕES
  • X-MS-ENUMATTS
  • INSCREVER-SE
  • CANCELAR INSCRIÇÃO

Chamada de procedimento remoto sobre protocolo de transferência de hipertexto

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o RPC sobre HTTP:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Pastas da Web

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para pastas da Web:
  • OBTER
  • PROPFIND
  • MOVER
  • BCOPY
  • EXCLUIR
  • BDELETE
  • MKCOL
  • OPÇÕES
  • BLOQUEIO
  • DESBLOQUEAR
  • COLOCAR
Adicione o seguinte à seção Negar seqüências de URL:
[DenyUrlSequences]
:

Gerenciamento de pasta pública

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para o gerenciamento de pasta pública:
  • CABEÇA
  • PROPFIND
  • PESQUISA
  • PROPPATCH
  • EXCLUIR
  • MKCOL
  • MOVER
  • CÓPIA
  • OPÇÕES

Limites de solicitação de recurso baseado na Web do Server 2003 do Exchange

A tabela a seguir lista os limites de solicitação para cada recurso baseado na Web em um computador com Exchange Server 2003. Você pode personalizar o modelo para restringir a solicitação de limites de acordo com a função do computador. Se forem necessários vários recursos com base na Web em um único computador, em seguida, você deve usar o maior valor limites de solicitação.
Recolher esta tabelaExpandir esta tabela
[ RequestLimits ]OWAOutlook Mobile Access
Front-end
Outlook Mobile Access
Back-end
Exchange ActiveSync
Front-end
Exchange ActiveSync
Back-end
RPC sobre HTTP
MaxAllowedContentLength 10,485,76010,485,76010,485,76065.53665.5361,073,741,824
MaxUrl 16.38416.38416.3841.0241.02416.384
MaxQueryString 4.0964.0964.0964.0964.0964.096

Observação O MaxAllowedContentLength para OWA computadores e computadores de back-end do Outlook Mobile Access se baseia em um tamanho de mensagem máximo padrão de 10 megabytes. Você pode alterar essa configuração de acordo com suas necessidades tamanho mensagens existentes.

Entourage X com a atualização do Microsoft Exchange ou o Entourage 2004

A seguir está uma lista de verbos que são necessárias na seção [AllowVerbs] para Entourage X com a atualização do Microsoft Exchange ou o Entourage 2004:
  • OBTER
  • POSTAGEM
  • PESQUISA
  • COLOCAR
  • CHAMADA SELETIVA
  • PROPFIND
  • INSCREVER-SE
  • MOVER
  • PROPPATCH
  • EXCLUIR
  • MKCOL
  • BLOQUEIO
  • DESBLOQUEAR

Problemas conhecidos

As seções a seguintes descrevem problemas conhecidos que podem ocorrer e informações sobre como corrigir esses problemas. Cada seção refere-se a um componente que pode ser afetado e especifica a seção do arquivo URLScan.ini que você deve modificar.

Exchange ActiveSync

endereço SMTP primário do Exchange ActiveSync DenyExtensions Por padrão, o URLScan.ini remove .com extensões de qualquer URL. Se o endereço SMTP principal tiver a.com extensão, o endereço SMTP falhará. O URL distribuído, em seguida, faz com que os erros 404 IIS no servidor de caixa de correio. Esses erros 404 IIS são relatados novamente como um erro de servidor interno 500. Exchange ActiveSync no SP2 usa log semelhante em funcionalidade como o Microsoft Outlook Web Access.

Exchange Server ActiveSync no Microsoft Exchange Server 2003 Service Pack 2 (SP2) usa o endereço SMTP completo do usuário em vez do alias de caixa de correio quando ele cria a solicitação para o diretório virtual /exchange.

Configurações gerais

  • AllowDotInPath . Verifique se a configuração AllowDotInPath está definida como 1 para garantir que os anexos OWA possam ser acessados e que navegadores da versão anterior podem usar o OWA. Navegadores da versão anterior incluem Microsoft Internet Explorer 5 para Macintosh e anteriores, Microsoft Internet Explorer 4.x para Windows 95 e versões anteriores, Microsoft Internet Explorer 4.01 Service Pack 2 para Windows 98 e versões anteriores e Netscape Navigator.

    Esse problema também afeta o gerenciamento de pasta pública. Gerenciamento de pasta pública usa HTTP Distributed Authoring and Versioning (DAV) de uma maneira que é semelhante ao OWA. Você deve fazer essa alteração para os servidores que contêm armazenamentos de pasta pública. Não é necessário fazer essa alteração em computadores que administrar essas pastas, a menos que existem armazenamentos de pasta pública nesses computadores.

O Outlook Web Access

  • extensões de arquivo . Por padrão, os arquivos .htr não são ativados. Se esse tipo de arquivo não estiver habilitado, o recurso Alterar senha do OWA não funciona quando o OWA é instalada em um computador baseado no Windows 2000. Se você executar o Exchange Server 2003 (ou o Exchange 2000) em um computador com Windows 2000 Service Pack 4, você pode habilitar a extensão .htr. No Windows 2000 Service Pack 4, os arquivos .htr estão associados com ASP.dll em vez de ISM.dll.

    Observação Se o OWA estiver instalada em um computador com Windows Server 2003, o OWA usa o programa de senha de alteração do IIS 6.0 Active Server Pages (ASP). Portanto, O OWA não é afetada por arquivos .htr que não estejam habilitados.

    Para obter mais informações sobre como ocultar a opção Alterar senha no OWA, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    297121Implementar o recurso Alterar senha com o Outlook Web Access
  • DenyUrlSequences . Na seção [DenyUrlSequences], seqüências bloqueadas explicitamente podem potencialmente afetar o acesso ao OWA. Qualquer assunto de item de email ou nome de pasta de email que contém qualquer um das seqüências de caracteres a seguir tem acesso negado:
    • ..
    • ./
    • \
    • %
    • &
    Por exemplo, a seguinte pasta não funciona porque a pasta de caixa de correio de projetos contém um ponto à direita. As causas de período posteriores a pasta a ser excluída devido a explícita Negar para o . / seqüência:
    / Servidor/Exchange/Meus Folders/Projects./Costings.eml
    A seguinte pasta também não funciona, porque a negação explícita do .. seqüência impede traversais de pasta:
    / Servidor/Exchange/caixa de entrada/meu Message.eml
    Se você tiver quaisquer problemas adicionais quando você tenta fazer solicitações de OWA com URLScan habilitado, verifique os arquivos de log URLScan para a lista de solicitações que são rejeitadas. Este é o local padrão dos arquivos de log do URLScan:
    WinDir\System32\Inetsrv\Urlscan\logs
    Por padrão, na seção [DenyUrlSequences], saída ("%; não permitir saída após a normalização.") está desabilitado. No entanto, essa configuração não funciona para o OWA quando o assunto de email contém caracteres cirílico (ou qualquer outro caractere que aparece como % character).
  • DenyHeaders . Se clientes se conectarem a um servidor Exchange usando o Outlook Web Access ou o Entourage, o cabeçalho de Símbolo de bloqueio não estará presente na seção [DenyHeaders] do arquivo URLscan.ini.

    Se o cabeçalho de Símbolo de bloqueio estiver definido como Negar, poderá detectar os seguintes problemas:
    • Centenas ou milhares de conexões podem ser vistos de cada cliente do Entourage.
    • O Outlook Web Access pode parar de aceitar conexões.
    • Devido à quantidade de conexões, problemas de memória virtual podem começar a ocorrer.
    • A seguinte mensagem pode ser registrada no URLSCAN.log:
      [06-24-2005-00: 02: 27] Cliente em XXX.XX.XXX.XX: URL contém cabeçalho não permitido ' bloqueio token: ' solicitação será rejeitada. Instância do site = '1', URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX RAW
    Para obter mais informações, visite o seguinte site:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

Gerenciamento de pasta pública

  • DenyExtensions . Você deve remover .com na seção [DenyExtensions] do URLScan.ini lista se seu interno (DNS) for baseado na convenção de nomenclatura .com.

Referências

Para obter mais informações sobre problemas conhecidos e ajuste quando você usa o Assistente de bloqueio do IIS em um ambiente Exchange 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
309677Problemas conhecidos e ajuste quando você usa o Assistente de bloqueio do IIS em um ambiente Exchange 2000 Server


Propriedades

ID do artigo: 823175 - Última revisão: quinta-feira, 25 de outubro de 2007 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Palavras-chave: 
kbmt kbinfo KB823175 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 823175

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com