Точной настройки и известные проблемы при использовании утилиты Urlscan в среде Exchange 2003

Переводы статьи Переводы статьи
Код статьи: 823175 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается тонкую настройку типов запросов, сведения О службах Интернета (IIS) 4.0 и более поздних процессов. В этой статье также описываются известные проблемы, которые могут возникнуть при использовании средства безопасности Urlscan 2.5 в Microsoft Exchange Server 2003. Можно использовать средство Urlscan для ограничения типов запросов, сведения О службах Интернета (IIS) 4.0 и более поздних процессов. После установки средства Urlscan 2.5 может вносить изменения для точной настройки способа обработки запросов IIS и для повышения безопасности компьютера. Некоторые изменения, описанные в данной статье зависят от роли компьютера Exchange 2003. Например если компьютеры Exchange 2003 предназначены для предоставления только Microsoft Outlook Web Access (OWA), Администрирование общих папок или веб-папки, можно удалить параметры, которые не являются обязательными для соответствующих служб.

Дополнительная информация

Во время установки средство Urlscan предполагает, что несколько служб установлены на одном компьютере Exchange Server 2003. Таким образом в целях повышения безопасности компьютера, необходимо изменить файл конфигурации Urlscan.ini, удалите все лишние функции. Для настройки в файле Urlscan.ini для вашей конкретной роли компьютера Exchange 2003, необходимо удалить команды в разделе [AllowVerbs] файла Urlscan.ini. Тем не менее убедитесь, что включаются рекомендуемые команды для роли компьютера для получения соответствующих функциональных возможностей. При необходимости несколько веб-компоненты на одном компьютере необходимо объединить соответствующие требования раздела [AllowVerbs].

Чтобы изменить файл конфигурации после установки средства Urlscan, откройте файл Urlscan.ini. В файле Urlscan.ini находится в следующей папке на компьютере Exchange Server 2003:
WinDirWinDir\System32\Inetsrv\Urlscan
Примечание Чтобы загрузить средство Urlscan 2.5, посетите следующие корпорации Майкрософт Веб-узел:
http://www.Microsoft.com/downloads/details.aspx?displaylang=en&FamilyId=23d18937-dd7e-4613-9928-7f94ef1c902a
Можно изменить файл Urlscan.ini, основанных на роли компьютер с Exchange 2003 с использованием информации из шаблона средства Urlscan Exchange Server 2003, в этой статье. Если вы хотите использовать существующий файл Urlscan.ini, уже изменен для Exchange 2000, можно использовать существующий файл. Изменение файла при наличии в конфигурации Exchange 2003.

Важные После изменения файла Urlscan.ini, необходимо перезапустить службы IIS. Для этого введите IISRESET в командной строке и нажмите клавишу ВВОД.

Exchange Server 2003 Urlscan шаблона

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

Точная настройка сервера Exchange Server 2003

Общие параметры

  • Запрещение расширений. Добавить расширение .dll Раздел [DenyExtensions], если удаленный вызов процедур (RPC) через передачи гипертекста На компьютере не используется протокол (HTTP).

Служба Outlook Web Access

Ниже приведен список команд, которые необходимы в Раздел [AllowVerbs] для Outlook Web Access (OWA), при настройке OWA как Веб-компонент на клиентской или серверной компьютере:
  • ПОЛУЧИТЬ
  • POST
  • ПОИСК
  • ОПРОС
  • PROPFIND
  • BMOVE
  • BCOPY
  • ПОДПИСАТЬСЯ
  • ПЕРЕМЕЩЕНИЕ
  • PROPPATCH
  • BPROPPATCH
  • УДАЛИТЬ
  • BУДАЛИТЬ
  • MKCOL
  • КОПИРОВАТЬ
  • ПАРАМЕТРЫ
  • РАЗМЕЩЕНИЕ

Мобильный доступ в Outlook

Ниже приведен список команд, которые необходимы в Outlook Mobile Access при настройке Outlook в разделе [AllowVerbs] Мобильный доступ как веб-компонент на внешнем компьютере:
  • ПОЛУЧИТЬ
  • POST
  • ГОЛОВКА
Ниже приведен список команд, которые необходимы в Outlook Mobile Access при настройке Outlook в разделе [AllowVerbs] Мобильный доступ как веб-компонент на внутреннем компьютере:
  • PROPFIND
  • PROPPATCH
  • УДАЛИТЬ
  • ПЕРЕМЕЩЕНИЕ
  • ПОИСК
  • ГОЛОВКА
  • X-MS-ENUMATTS

ActiveSync сервера Exchange

Ниже приведен список команд, которые необходимы в В разделе [AllowVerbs] ActiveSync сервера Exchange при настройке обмена ActiveSync как веб-компонент на внешнем компьютере:
  • POST
  • ПАРАМЕТРЫ
  • ПОДПИСАТЬСЯ
  • ОТКАЗАТЬСЯ ОТ ПОДПИСКИ
Ниже приведен список команд, которые необходимы в ActiveSync сервера Exchange при настройке в разделе [AllowVerbs] ActiveSync как веб-компонент на внутреннем компьютере:
  • ПОЛУЧИТЬ
  • POST
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • УДАЛИТЬ
  • ПЕРЕМЕЩЕНИЕ
  • BMOVE
  • ПОИСК
  • РАЗМЕЩЕНИЕ
  • ПАРАМЕТРЫ
  • X-MS-ENUMATTS
  • ПОДПИСАТЬСЯ
  • ОТКАЗАТЬСЯ ОТ ПОДПИСКИ

Удаленный вызов процедур по протоколу передачи гипертекста

Ниже приведен список команд, которые необходимы в В разделе [AllowVerbs] RPC через HTTP:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Веб-папки

Ниже приведен список команд, которые необходимы в В разделе [AllowVerbs] веб-папки:
  • ПОЛУЧИТЬ
  • PROPFIND
  • ПЕРЕМЕЩЕНИЕ
  • BCOPY
  • УДАЛИТЬ
  • BУДАЛИТЬ
  • MKCOL
  • ПАРАМЕТРЫ
  • БЛОКИРОВКА
  • СНЯТИЕ БЛОКИРОВКИ
  • РАЗМЕЩЕНИЕ
Добавьте раздел запрета последовательности URL-адрес:
[DenyUrlSequences]
:

Управление общей папки

Ниже приведен список команд, которые необходимы в В разделе [AllowVerbs] управление общей папки:
  • ГОЛОВКА
  • PROPFIND
  • ПОИСК
  • PROPPATCH
  • УДАЛИТЬ
  • MKCOL
  • ПЕРЕМЕЩЕНИЕ
  • КОПИРОВАТЬ
  • ПАРАМЕТРЫ

Ограничивает запрос Exchange Server 2003 веб-компонент

В следующей таблице перечислены ограничения запроса для каждого веб- средство на компьютере с Exchange Server 2003. Можно настроить шаблон для ограничение ограничения запроса, в зависимости от роли компьютера. Если несколько веб- необходимые компоненты на одном компьютере используйте максимально значение ограничения запроса.
Свернуть эту таблицуРазвернуть эту таблицу
[RequestLimits]OWAМобильный Outlook Доступ
Переднего плана
Мобильный доступ в Outlook
Внутренних
Exchange ActiveSync
Переднего плана
Exchange ActiveSync
Внутренних
RPC через HTTP
MaxAllowedContentLength10,485,76010,485,76010,485,76065 53665 5361,073,741,824
MaxUrl16 38416 38416 3841 0241 02416 384
MaxQueryString4 0964 0964 0964 0964 0964 096

Примечание В MaxAllowedContentLength для OWA и Outlook Mobile Access внутренних компьютеров в зависимости от по умолчанию максимальный размер сообщения 10 МБ. Можно изменить это значение параметра на основе требований существующий размер сообщений.

Entourage x обновления Microsoft Exchange или Entourage 2004.

Ниже приведен список команд, которые необходимы в В разделе [AllowVerbs] Entourage X обновления Microsoft Exchange или Entourage 2004:
  • ПОЛУЧИТЬ
  • POST
  • ПОИСК
  • РАЗМЕЩЕНИЕ
  • ОПРОС
  • PROPFIND
  • ПОДПИСАТЬСЯ
  • ПЕРЕМЕЩЕНИЕ
  • PROPPATCH
  • УДАЛИТЬ
  • MKCOL
  • БЛОКИРОВКА
  • СНЯТИЕ БЛОКИРОВКИ

Известные проблемы

В следующих разделах описываются известные проблемы, которые могут вам опыт и информацию о путях решения этих проблем. Каждый раздел ссылается на компонент, который может повлиять и указывает файл Urlscan.ini раздел, который необходимо изменить.

Exchange ActiveSync

Exchange ActiveSync основной SMTP-адрес DenyExtensions По умолчанию URLScan.ini Удаляет расширения .com с любого URL-адреса. Если основной SMTP-адрес имеет расширение a.com в нем, произойдет сбой SMTP-адрес. Очищенный URL-адрес, затем вызывает ошибки IIS 404 на сервере почтовых ящиков. Эти ошибки IIS 404 сообщается в виде произошла внутренняя ошибка сервера 500. Exchange ActiveSync в пакете обновления 2 использует похожие журнала функциональные возможности, как Microsoft Outlook Web Access.

Сервер Exchange ActiveSync в Exchange Server 2003 с пакетом обновления 2 (SP2) использует полный SMTP-адрес пользователя, а не псевдоним почтового ящика при построении запроса к виртуальному каталогу/Exchange.

Общие параметры

  • AllowDotInPath. Убедитесь, что AllowDotInPath параметр имеет значение 1 Убедитесь, что вложений OWA может осуществляться и с ранней версией обозреватели могут использовать OWA. Обозреватели более ранних версий включают Интернета Explorer 5 для Macintosh и более ранних версиях Microsoft Internet Explorer 4.x Windows 95 или более ранней, Microsoft Internet Explorer версии 4.01 для пакета обновления 2 Windows 98 и более ранних версий и Netscape Navigator.

    Кроме того, эту проблему влияет на управление общей папки. Управление общей папки используется HTTP Распределенные разработка и контроль версий (DAV) таким образом, что похоже на OWA. Вы Это нужно сделать для всех серверов, содержащих хранилища общих папок. Сделать не имеющие до внесения этого изменения на компьютерах, администрировать эти папки, пока не на этих компьютерах имеются хранилища общих папок.

Служба Outlook Web Access

  • Расширения файлов. По умолчанию файлы .htr не включены. Если этот тип файла не включен, функция смены пароля OWA не работает, когда используется OWA установленные на компьютере под управлением Windows 2000. При использовании Exchange Server 2003 (или Exchange 2000) на компьютере под управлением Windows 2000 Service Pack 4, можно включить расширение .htr. В пакет обновления 4 (Sp4) для Windows 2000 файлы .htr связанные с Asp.dll вместо Ism.dll.

    Примечание Если OWA установлен на компьютере под управлением Windows Server 2003, OWA используется программа IIS 6.0 Active Server Pages (ASP) сменить пароль. Таким образом, OWA не подвержены .htr файлы, которые не включены.

    Для получения дополнительных сведений о том, как скрыть Измените параметр пароля в OWA, щелкните следующий номер статьи базы знаний Майкрософт:
    297121Реализация возможности изменить пароль с помощью Outlook Web Access
  • DenyUrlSequences. В разделе [DenyUrlSequences] последовательностей, которые явно Блокировка потенциально могут повлиять на доступ к OWA. Любой элемент темы или почты имя папки, содержащей один из следующих последовательностей знаков Отказано в доступе.
    • ..
    • ./
    • \
    • %
    • &
    Например, следующая папка не работает, поскольку Папка почтового ящика проектов содержит точку. В результате завершающая точка папка должна быть исключен из-за явного запрета для ./ последовательность:
    / Server/Exchange/Мои Folders/Projects./Costings.eml
    Следующая папка также не работает, так как запретить из .. последовательность предотвращает обходы каталога:
    / Server/Exchange/входящие/Мои... Message.eml
    Если возникают дополнительные проблемы при попытке сделать OWA запросы с помощью средства Urlscan включена, проверьте файлы журналов Urlscan для списка запросы, которые были отклонены. Ниже указано расположение по умолчанию UrlScan файлы журнала:
    WinDir\System32\Inetsrv\Urlscan\logs
    По умолчанию в разделе [DenyUrlSequences] экранирование ("% ; Не разрешать экранирование после нормализации.") отключено. Тем не менее этот параметр не работает для OWA при содержится тема почты Символы кириллицы (или любой другой знак, который отображается в виде %Символ).
  • DenyHeaders. Если клиенты подключаются к серверу Exchange с помощью Outlook Web Access или Entourage, Заблокировать маркер заголовок не будет присутствовать в разделе [DenyHeaders] файла URLscan.ini.

    Если Заблокировать маркер Заголовок настроена на запрещение, могут возникнуть следующие проблемы:
    • Сотни или тысячи подключений может просматриваться на каждый клиент Entourage.
    • Outlook Web Access могут перестать принимать подключения.
    • Из-за объема подключений виртуальная память может запускаться возникать.
    • В URLScan.log, чтобы увидеть может регистрироваться следующее сообщение:
      [06-24-2005-00: 02: 27] Клиент в XXX.XX.XXX.XX: URL-адрес содержит запрещенные заголовок "маркер блокировки:" запрос будет отклонен. Экземпляр узла = «1» Raw URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX
    Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
    http://msdn2.Microsoft.com/en-us/library/aa125886.aspx

Управление общей папки

  • DenyExtensions. Необходимо удалить .com в разделе [DenyExtensions] Список URLScan.ini, если вашей внутренней системы доменных имен (DNS) основана на .com соглашение об именах.

Ссылки

Для получения дополнительных сведений об известных проблемах и настройка при использовании Мастер блокирования служб IIS в среде Exchange 2000 щелкните следующий номер статьи базы знаний Майкрософт:
309677Известные проблемы и тонкой в среде Exchange 2000 Server с помощью мастера блокирования служб IIS


Свойства

Код статьи: 823175 - Последний отзыв: 15 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Ключевые слова: 
kbinfo kbmt KB823175 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:823175

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com