当您在 Exchange 2003 环境中使用 Urlscan 实用程序的微调和已知问题

文章翻译 文章翻译
文章编号: 823175 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何微调请求的类型,该 Internet Information Services IIS 4.0 和更高版本的过程。本文还介绍了当您在 Microsoft Exchange Server 2003 中使用 Urlscan 2.5 安全工具时,可能会出现的已知的问题。您可以使用 Urlscan 工具来限制类型的请求,该 Internet Information Services IIS 4.0 和更高版本的过程。在安装 Urlscan 2.5 工具后,您可以进行更改来调整 IIS 处理请求的方式,并帮助增强计算机的安全性。本文中介绍的更改的部分取决于 Exchange 2003 计算机的角色。例如对于如果您的 Exchange 2003 计算机专用于提供 Microsoft Outlook Web Access (OWA)、 公用文件夹管理或 Web 文件夹,您可以删除不需要为这些各自的服务的设置。

更多信息

在安装,Urlscan 工具假定一台 Exchange Server 2003 计算机上安装了多个服务。因此,以帮助增强计算机的安全性,您必须编辑 Urlscan.ini 配置文件以删除任何多余的功能。若要自定义您特定的 Exchange 2003 计算机角色 Urlscan.ini 文件,您必须删除谓词 Urlscan.ini 文件 [AllowVerbs] 节中。但是,请确保为您的计算机角色建议的谓词是包含以获得相应的功能。如果多个基于 Web 的功能,需要在一台计算机上,必须合并适当 [AllowVerbs] 部分要求。

若要在安装 Urlscan 工具后,请编辑配置文件,打开 $ Urlscan.ini 文件。Urlscan.ini 文件位于以下文件夹在您 Exchange Server 2003 的计算机上:
WinDirWinDir\System32\Inetsrv\Urlscan
注意要下载 Urlscan 2.5 工具,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
您可以修改 Urlscan.ini 文件基于 Exchange 2003 计算机的角色,通过使用从 Exchange Server 2003 Urlscan 模板包括在本文中的信息。如果您要为 Exchange 2000 中使用已修改过的现有 Urlscan.ini 文件,您可以使用现有的文件。如果您必须为您的 Exchange 2003 配置,请更改文件。

重要 修改 Urlscan.ini 文件后,您必须重置 IIS 服务。 要做到这点、 一个命令提示符下键入 IISRESET 然后按 ENTER 键。

Exchange Server 2003 Urlscan 模板

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

微调 Exchange Server 2003

常规设置

  • 拒绝扩展名。您可以添加到 [DenyExtensions] 部分.dll 扩展名远程过程调用 (RPC) 通过超文本传输协议 (HTTP) 如果不使用计算机上。

outlook Web Access

以下是所需的 [AllowVerbs] 部分中的 Outlook Web Access (OWA),OWA 配置为前端计算机或后端计算机上的基于 Web 的功能时谓词的列表:
  • 获取
  • 张贴内容
  • 搜索
  • 轮询
  • PROPFIND
  • BMOVE
  • BCOPY
  • 订阅
  • 移动
  • PROPPATCH
  • BPROPPATCH
  • 删除
  • BDELETE
  • MKCOL
  • 副本
  • 选项
  • 放入

outlook 移动访问

以下是所需的 [AllowVerbs] 部分中的 Outlook 手机访问,作为前端计算机上的基于 Web 的功能配置 Outlook 移动 Access 时谓词的列表:
  • 获取
  • 张贴内容
以下是所需的 [AllowVerbs] 部分中的 Outlook 手机访问,作为后端计算机上的基于 Web 的功能配置 Outlook 移动 Access 时谓词的列表:
  • PROPFIND
  • PROPPATCH
  • 删除
  • 移动
  • 搜索
  • X-毫秒 enumatts

Exchange Server ActiveSync

以下是所需的 [AllowVerbs] 部分中的 Exchange 服务器动态同步在配置 Exchange ActiveSync 作为前端计算机上的基于 Web 的功能时谓词的列表:
  • 张贴内容
  • 选项
  • 订阅
  • 取消订阅
以下是所需的 [AllowVerbs] 部分中的 Exchange 服务器 ActiveSync ActiveSync 配置为后端计算机上的基于 Web 的功能时谓词的列表:
  • 获取
  • 张贴内容
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • 删除
  • 移动
  • BMOVE
  • 搜索
  • 放入
  • 选项
  • X-毫秒 enumatts
  • 订阅
  • 取消订阅

通过超文本传输协议的远程过程调用

以下是所需的 [AllowVerbs] 部分中的 RPC 通过 HTTP 谓词的列表:
  • RPC_OUT_DATA
  • RPC_IN_DATA

web 文件夹

以下是在 Web 文件夹 [AllowVerbs] 部分中所需的谓词的列表:
  • 获取
  • PROPFIND
  • 移动
  • BCOPY
  • 删除
  • BDELETE
  • MKCOL
  • 选项
  • 解除锁定
  • 放入
拒绝 URL 序列节中添加以下内容:
[DenyUrlSequences]
:

公用文件夹管理

以下是在公用文件夹管理 [AllowVerbs] 部分中所需的谓词的列表:
  • PROPFIND
  • 搜索
  • PROPPATCH
  • 删除
  • MKCOL
  • 移动
  • 副本
  • 选项

交换基于 Server 2003 Web 的功能请求限制

下表列出了在 Exchange Server 2003 的计算机上每个基于 Web 的功能的请求限制。您可以自定义模板以限制请求限制基于计算机的角色。如果多个基于 Web 的功能,需要在一台计算机上,则您必须使用最高的请求限制值。
收起该表格展开该表格
[RequestLimits]OWAoutlook 移动访问
前端
outlook 移动访问
后端
Exchange ActiveSync
前端
Exchange ActiveSync
后端
通过 HTTP 的 RPC
MaxAllowedContentLength10,485,76010,485,76010,485,76065,53665,5361,073,741,824
MaxUrl16,38416,38416,3841,0241,02416,384
MaxQueryString4,0964,0964,0964,0964,0964,096

注意为 OWA 计算机和 Outlook 移动访问后端计算机的 MaxAllowedContentLength 基于默认最大邮件大小为 10 兆字节为单位。您可以更改此设置,根据您现有的邮件大小要求。

与 Microsoft Exchange 更新或 Entourage 2004 entourage X

下面是一个与 Microsoft Exchange 更新或 Entourage 2004 Entourage x [AllowVerbs] 部分中所需的动作列表:
  • 获取
  • 张贴内容
  • 搜索
  • 放入
  • 轮询
  • PROPFIND
  • 订阅
  • 移动
  • PROPPATCH
  • 删除
  • MKCOL
  • 解除锁定

已知的问题

以下各节描述了,您可能会遇到的已知的问题和如何纠正这些问题的信息。每个部分是指可能受影响的组件,并指定该 Urlscan.ini 文件部分中,您必须对其进行修改。

Exchange ActiveSync

Exchange ActiveSync 主 SMTP 地址 DenyExtensions默认状态下,URLScan.ini.com 扩展删除任何 URL。如果您的主 SMTP 地址中有 a.com 扩展名,SMTP 地址将会失败。已去除的 URL 然后会导致在邮箱服务器上的 IIS 404 错误。作为内部服务器错误 500 返回报告这些 IIS 404 错误。 这是 Microsoft Outlook Web Access,SP2 中的 Exchange ActiveSync 功能使用类似的日志。

在 Microsoft Exchange Server 2003 Service Pack 2 (SP2) 中的 Exchange 服务器 ActiveSync 使用用户的完整的 SMTP 地址,而不是邮箱别名时它构建 /exchange 虚拟目录请求。

常规设置

  • AllowDotInPath。验证以确保可以访问 OWA 附件和较早版本的浏览器可以使用 OWA AllowDotInPath 设置设置为 1。早期版本的浏览器包括 Microsoft Internet 浏览器 5 Macintosh 和更早版本,Microsoft Internet Explorer 4.x 对于 Windows 95 和更早版本,Microsoft Internet 浏览器 4.01 Service Pack 2 的 Windows 98 以及更早版本和 Netscape 导航。

    此问题也会影响公用文件夹管理。公用文件夹管理使用 HTTP 分布式创作和版本控制 (DAV) 与 OWA 类似的方式。您必须将此更改对包含公用文件夹存储的任何服务器。您没有管理这些文件夹,除非这些计算机上存在公用文件夹存储的计算机上进行此更改。

outlook Web Access

  • 文件扩展名。默认状态下,.htr 文件未启用。如果没有启用这种文件类型,则 OWA 更改密码功能不起作用,在一台基于 Windows 2000 的计算机上安装 OWA 时。如果在一台基于 Windows 2000 Service Pack 4 的计算机中运行 Exchange Server 2003 (或 Exchange 2000),您可以启用.htr 扩展。在 Windows 2000 Service Pack 4.htr 文件是与代替 Ism.dll Asp.dll 相关联。

    注意如果在一台基于 Windows Server 2003 的计算机上安装了 OWA,OWA 使用 IIS 6.0 活动服务器页面 (ASP) 更改密码程序。因此,OWA 的未启用.htr 文件不受影响。

    有关如何隐藏 OWA 中的更改密码选项的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    297121实现与 Outlook Web Access 的更改密码功能
  • DenyUrlSequences。在 [DenyUrlSequences] 部分中显式阻止的序列可以会潜在地影响到 OWA 的访问。任何邮件项目主题或邮件文件夹名称包含下列字符序列的任何一个都将被拒绝访问:
    • ..
    • ./
    • \
    • %
    • &
    例如对于下面的文件夹不起作用,因为项目上的邮箱文件夹包含一个尾随的句点。尾随期间原因的拒绝原因的在显式排除文件夹在 / 序列:
    / 服务器/exchange/我 Folders/Projects./Costings.eml
    下面的文件夹也不能,因为的显式拒绝该 ... 序列可以防止目录遍历:
    / 服务器/exchange/收件箱 /message.eml
    如果您遇到任何其他问题,当您试图做 OWA 请求的 Urlscan 启用,请选中 Urlscan 日志文件的请求被拒绝的列表。以下是 Urlscan 日志文件的默认位置:
    WinDir\System32\Inetsrv\Urlscan\logs
    通过 转义 [DenyUrlSequences] 部分中的默认值 ("%; 是否不允许转义后") 被禁用。 规范化。 但是,此设置不适用于 OWA 时邮件主题包含西里尔文字符 (或任何其他显示为 %character 的字符)。
  • DenyHeaders。如果客户端连接到 Exchange 服务器通过使用 Outlook Web Access 或 Entourage,锁定标记 标头不会存在 URLscan.ini 文件 [DenyHeaders] 节中。

    如果 锁定标记 标头设置为拒绝,您可能会遇到下列问题:
    • 数百或数千个连接可能会看到从每个 Entourage 客户端。
    • outlook Web Access 可能会停止接受连接。
    • 由于连接数量的虚拟内存存在问题可能会开始发生。
    • 在 URLSCAN.log,可能会记录以下消息:
      [06-24-2005 年 00: 02: 27]客户端在 XXX.XX.XXX.XX: URL 包含不允许的标头锁定标记: 请求将被拒绝。站点实例 ="1"原始 URL='/exchange/test/Inbox/Costings.EML/XXXXXXXX
    有关详细的信息,请访问下面的 Microsoft 网站:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

公用文件夹管理

  • DenyExtensions。如果您内部域名系统 (DNS) 基于.com 命名约定,您必须删除.com Urlscan.ini 列表 [DenyExtensions] 节中。

参考

有关已知的问题和精细调整,当您在 Exchange 2000 环境中使用 IIS 锁定向导的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
309677已知的问题和精细调整,当您在 Exchange 2000 Server 的环境中使用 IIS 锁定向导时


属性

文章编号: 823175 - 最后修改: 2007年10月25日 - 修订: 9.1
这篇文章中的信息适用于:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
关键字:?
kbmt kbinfo KB823175 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 823175
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com