微調和已知問題當您在 Exchange 2003 環境中使用 Urlscan 公用程式

文章翻譯 文章翻譯
文章編號: 823175 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您如何微調類型的要求該網際網路資訊服務 (IIS) 4.0 及更新版本的程序。本文也說明當您使用 Microsoft Exchange Server 2003 中的 Urlscan 2.5 安全性工具,可能就會發生的已知的問題。您可以使用 Urlscan 工具來限制該網際網路資訊服務 (IIS) 4.0 及更新版本的程序類型的要求。Urlscan 2.5 工具安裝之後可以進行微調 IIS 處理要求的方式,並協助增強電腦安全性的變更。一些本文所描述的變更取決於 Exchange 2003 電腦的角色。比方說如果 Exchange 2003 電腦專門用來提供 Microsoft Outlook Web Access (OWA)、 公用資料夾系統管理或 Web 資料夾,您可以移除不需要這些個別服務的設定。

其他相關資訊

安裝,期間 Urlscan 工具會假設單一的 Exchange Server 2003 電腦上已安裝多個服務。因此,來協助增強電腦安全性,您必須編輯 Urlscan.ini 組態檔案來移除任何多餘的功能。若要自訂特定的 Exchange 2003 電腦角色 Urlscan.ini 檔,您必須移除 Urlscan.ini 檔案 [AllowVerbs] 一節中動詞命令。不過,請確定您的電腦角色建議的動詞命令會包含取得適當的功能。如果在單一電腦上需要多個網頁型功能,您必須合併適當的 [AllowVerbs] 區段需求。

若要安裝 Urlscan 工具之後,請編輯組態檔,開啟 Urlscan.ini 檔案。Urlscan.ini 檔案位於 Exchange Server 2003 電腦上的下列資料夾:
WinDirWinDir\System32\Inetsrv\Urlscan
附註如果要下載 Urlscan 2.5 工具,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=23d18937-dd7e-4613-9928-7f94ef1c902a
您可以修改 Urlscan.ini 檔案,根據 Exchange 2003 電腦的角色,藉由使用從 Exchange Server 2003 Urlscan 範本包含在本文中資訊。如果想使用現有的 Urlscan.ini 檔案已經修改過的 Exchange 2000 中您可以使用現有的檔案。如果您必須針對 Exchange 2003 組態,請變更檔案。

重要 您修改 Urlscan.ini 檔案之後必須重設 IIS 服務。 執行這項操作、 IISRESET 請在命令提示字元中輸入,然後按下 ENTER。

Exchange Server 2003 Urlscan 範本

; Exchange 2003 Urlscan configuration for OWA, Outlook Mobile Access, Exchange ActiveSync, 
; remote procedure call over Hypertext Transfer Protocol, and Web Folders.
; Version 1.1
[options]
; NOTE: Customers with Exchange 2003 running on Windows Server 2003 with URLScan installed may need to modify the "VerifyNormalization=1" 
; option in this template to be "VerifyNormalization=0" if they encounter a "404" error when attempting to open messages or items that contain 
; the "+" symbol in the subject or name.  
UseAllowExtensions=0          
NormalizeUrlBeforeScan=1      
VerifyNormalization=1         
AllowHighBitCharacters=1       
AllowDotInPath=1              
RemoveServerHeader=0          
EnableLogging=1         
PerProcessLogging=0        
AllowLateScanning=0        
PerDayLogging=1              
RejectResponseUrl=           
UseFastPathReject=1          
;LoggingDirectory=
LogLongUrls=0

[AllowVerbs]
; These are the only verbs that are permitted.
GET
POST
PROPFIND
PROPPATCH
BPROPPATCH
MKCOL
DELETE
BDELETE
BCOPY
MOVE
SUBSCRIBE
BMOVE
POLL
SEARCH
HEAD
PUT
OPTIONS
RPC_OUT_DATA 
RPC_IN_DATA 
X-MS-ENUMATTS 
LOCK
UNLOCK

[DenyVerbs]

[DenyHeaders]
;
; Request headers that are listed in this section cause Urlscan to
; reject any request where these request headers are present.
;
; List headers in the form
; Header-Name:
transfer-encoding:

[AllowExtensions]
;.asp
.cer
.cdx
.asa
.htm
.html
.txt
.jpg
.jpeg
.gif

[DenyExtensions]
; Deny executable files that might run on the server.
; DO NOT include .exe in this list if Exchange 2003 OWA is configured to use SMIME as that would disable OWA.
.exe
.bat
.cmd
.com

; Deny scripts that are used infrequently.
.htw     ; Maps to webhits.dll, part of Index Server.
.ida     ; Maps to idq.dll, part of Index Server.
.idq     ; Maps to idq.dll, part of Index Server.
.htr     ; Maps to ism.dll, a previous administrative tool.
.idc     ; Maps to httpodbc.dll, a previous database access tool.
.shtm    ; Maps to ssinc.dll for server-side includes.
.shtml   ; Maps to ssinc.dll for server-side includes.
.stm     ; Maps to ssinc.dll for server-side includes.
.printer ; Maps to msw3prt.dll for Internet printing services.

; Deny various static files.
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

; Deny extensions for Outlook Mobile Access.
.asax
.ascs
.config
.cs
.csproj
.licx
.pdb
.resx
.resources
.vb
.vbproj
.vsdisco
.webinfo
.xsd
.xsx
; .dll ; Cannot do this for RPC over HTTP or for Exchange ActiveSync.

[DenyUrlSequences]
..  ; Do not permit directory traversals.
./  ; Do not permit trailing dot on a directory name.
\   ; Do not permit backslashes in URL.
%   ; Do not permit escaping after normalization.
&   ; Do not permit multiple Common Gateway Interface processes to run on a single request.

[RequestLimits]
MaxAllowedContentLength=1073741824 
MaxUrl=16384
MaxQueryString=4096

微調 Exchange Server 2003

一般設定

  • 拒絕延伸。您可以新增到 [DenyExtensions] 區段.dll 副檔名如果遠端程序呼叫 (RPC) 透過超文字傳輸通訊協定 (HTTP) 就無法使用電腦上。

Outlook Web Access

以下是所需的 [AllowVerbs] 區段的 Outlook Web Access (OWA),當您為 Web 架構的功能,前端的電腦或後端電腦上設定 OWA 的動詞命令的清單:
  • 取得
  • 張貼
  • 搜尋
  • 輪詢
  • PROPFIND
  • BMOVE
  • BCOPY
  • 訂閱
  • 移動
  • PROPPATCH
  • BPROPPATCH
  • 刪除
  • BDELETE
  • MKCOL
  • 複製
  • 選項
  • 放入

Outlook 行動存取

下列是當您設定 Outlook 行動存取為前端的電腦上的 Web 架構功能 [AllowVerbs] 區段中需要為 Outlook 行動存取的動詞命令的清單:
  • 取得
  • 張貼
下列是當您設定 Outlook 行動存取為後端電腦上的 Web 架構功能 [AllowVerbs] 區段中需要為 Outlook 行動存取的動詞命令的清單:
  • PROPFIND
  • PROPPATCH
  • 刪除
  • 移動
  • 搜尋
  • X MS enumatts

Exchange Server 動態同步

下列是當您為 Web 架構的功能,前端的電腦上設定 Exchange ActiveSync [AllowVerbs] 區段中需要的 Exchange Server 動態同步的動詞命令的清單:
  • 張貼
  • 選項
  • 訂閱
  • 取消訂閱
下列是當您為 Web 架構的功能後, 端電腦上設定動態同步 [AllowVerbs] 區段中需要的 Exchange Server 動態同步的動詞命令的清單:
  • 取得
  • 張貼
  • PROPFIND
  • PROPPATCH
  • MKCOL
  • 刪除
  • 移動
  • BMOVE
  • 搜尋
  • 放入
  • 選項
  • X MS enumatts
  • 訂閱
  • 取消訂閱

透過 「 超文字傳輸通訊協定的遠端程序呼叫

以下是所需的 [AllowVerbs] 區段中的 RPC over HTTP 動詞命令的清單:
  • RPC_OUT_DATA
  • RPC_IN_DATA

Web 資料夾

以下是所需的 Web 資料夾 [AllowVerbs] 區段中的動詞命令的清單:
  • 取得
  • PROPFIND
  • 移動
  • BCOPY
  • 刪除
  • BDELETE
  • MKCOL
  • 選項
  • 鎖定
  • 解除鎖定
  • 放入
將下列程式碼加入至 [拒絕] URL 序列] 區段:
[DenyUrlSequences]
:

公用資料夾管理

以下是所需的公用資料夾管理 [AllowVerbs] 區段中的動詞命令的清單:
  • PROPFIND
  • 搜尋
  • PROPPATCH
  • 刪除
  • MKCOL
  • 移動
  • 複製
  • 選項

Exchange Server 2003 網頁型功能要求限制

下表列出 Exchange Server 2003 電腦上每個網頁型功能的要求限制。您可以自訂範本來限制要求限制根據電腦的角色。如果在單一電腦上需要多個網頁型功能您必須使用最高的要求限制值。
摺疊此表格展開此表格
[RequestLimits]OWAOutlook 行動存取
前端
Outlook 行動存取
後端
Exchange 動態同步
前端
Exchange 動態同步
後端
RPC over HTTP
MaxAllowedContentLength10,485,76010,485,76010,485,76065,53665,5361,073,741,824
MaxUrl16,38416,38416,3841,0241,02416,384
MaxQueryString4,0964,0964,0964,0964,0964,096

附註MaxAllowedContentLength 的 OWA 的電腦] 及 [Outlook 行動存取後端電腦根據預設最大郵件大小的 10 MB。您可以變更此設定,根據您現有的郵件大小需求。

與 Microsoft Exchange 更新或 Entourage 2004 entourage X

下列是 [AllowVerbs] 一節中所需的 Entourage X 與 Microsoft Exchange 更新或 Entourage 2004 的動詞命令的清單:
  • 取得
  • 張貼
  • 搜尋
  • 放入
  • 輪詢
  • PROPFIND
  • 訂閱
  • 移動
  • PROPPATCH
  • 刪除
  • MKCOL
  • 鎖定
  • 解除鎖定

已知的問題

下列各節說明可能發生的已知的問題以及如何修正這些問題的資訊。每個區段是指可能會受到影響的元件,並指定 Urlscan.ini 檔區段,您必須修改。

Exchange 動態同步

Exchange ActiveSync 主要 SMTP 地址 DenyExtensions預設情況下,URLScan.ini 會移除任何 URL.com 擴充功能。如果您的主要 SMTP 地址中有 a.com 副檔名,SMTP 地址將會失敗。移除專用符號的 URL 再在信箱伺服器上造成 IIS 404 錯誤。這些 IIS 404 錯誤會回復為 500 內部伺服器錯誤報告。 在 SP2 中的 Exchange ActiveSync Microsoft Outlook Web Access 不像在功能上類似的記錄檔使用。

在 Microsoft Exchange Server 2003 服務套件 2 (SP2) 中的 Exchange Server 動態同步使用使用者的完整 SMTP 地址,而不是信箱別名時它會建置 /exchange 虛擬目錄的要求。

一般設定

  • AllowDotInPath。確認 AllowDotInPath 設定設為 1,以確定可存取 OWA 附件及較早版本的瀏覽器可以使用 OWA。較早版本的瀏覽器包括 Microsoft Internet Explorer 5 Macintosh 及更早,Microsoft Internet Explorer 4.x Windows 95 或更早版本、 Microsoft 網際網路總管 4.01 Service Pack 2 的 Windows 98 或更早版本和 Netscape 導覽。

    這個問題也會影響公用資料夾管理。公用資料夾管理使用 HTTP 分散式撰寫及版本處理 (DAV) 類似於 OWA 的方式。您必須對包含公用資料夾儲存區的任何伺服器做此變更。您沒有管理這些資料夾,除非這些電腦上有公用資料夾儲存區的電腦上進行這項變更。

Outlook Web Access

  • 檔案副檔名。根據預設值,.htr 檔案皆不啟用。如果沒有啟用這種檔案類型則 「 OWA 變更密碼 」 功能無法在 Windows 2000 架構的電腦上安裝 OWA 時運作。如果您在 Windows 2000 服務套件 4年架構的電腦上執行 Exchange Server 2003 (或 Exchange 2000),您可以啟用.htr 副檔名。在 Windows 2000 服務套件 4年.htr 檔案會與代替 Ism.dll Asp.dll 相關聯。

    附註如果 Windows Server 2003 的電腦上已安裝 OWA,OWA 會使用 IIS 6.0 動態伺服器網頁 (ASP) 變更密碼的程式。因此,OWA 不受.htr 檔案將不會啟用。

    如需有關如何隱藏 OWA 中的 [變更密碼] 選項的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    297121使用 Outlook Web Access 實作變更密碼功能
  • DenyUrlSequences。[DenyUrlSequences]] 區段中明確地封鎖的序列可以潛在影響 OWA 的存取。任何郵件項目主旨或郵件資料夾名稱包含任何一種下列字元順序被拒絕存取:
    • ..
    • ./
    • \
    • %
    • &
    比方說下列資料夾並不可行,因為專案的 [信箱] 資料夾包含行尾的句號。行尾的期間原因資料夾排除因為] 的明確拒絕的 / 順序:
    / 伺服器/Exchange/我 folders/projects./Costings.eml
    下列資料夾也無法運作,因為明確拒絕的 .. 順序可防止目錄 traversals:
    / 伺服器/Exchange/收件匣/我message.eml
    如果您遇到任何其他的問題,當您嘗試進行 OWA 要求與 Urlscan 啟用,請檢查 Urlscan 記錄檔,以要求被拒絕的清單。以下是 Urlscan 記錄檔的預設位置:
    WinDir\System32\Inetsrv\Urlscan\logs
    逸出 [DenyUrlSequences] 區段的預設 ("%; 待辦不允許逸出之後") 已停用。 正規化。 不過,這項設定不適用於 OWA 當郵件主旨包含斯拉夫字元 (或任何其他會顯示為 %character 的字元)。
  • DenyHeaders。如果用戶端連線至 Exchange 伺服器使用 Outlook Web Access 或 Entourage,鎖定權杖 標頭將不會出現在 URLscan.ini 檔的 [DenyHeaders] 區段。

    如果 鎖定權杖 標頭設定為拒絕,可能會遇到下列問題:
    • 從每個 Entourage 用戶端可能會出現數百或數千個連線。
    • Outlook Web Access 可能會停止接受連線。
    • 因為的連線數量的虛擬記憶體的問題可能會啟動發生。
    • URLSCAN.log 中,可能會記錄下列訊息:
      [06-24-2005-00: 02: 27]用戶端在 XXX.XX.XXX.XX: URL 包含不允許的標頭 '鎖定語彙基元:' 要求會被拒絕。站台執行個體 = '1' 原始 URL='/Exchange/test/Inbox/Costings.EML/XXXXXXXX
    如需詳細資訊請造訪下列 Microsoft 網站]:
    http://msdn2.microsoft.com/en-us/library/aa125886.aspx

公用資料夾管理

  • DenyExtensions。您必須移除.com Urlscan.ini 清單 [DenyExtensions] 一節中,如果您內部網域名稱系統 (DNS) 根據.com 命名慣例。

?考

如需有關已知的問題和細緻的調整當您在 Exchange 2000 環境中使用 IIS 鎖定精靈時,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
309677已知的問題和細緻的調整當您在 Exchange 2000 伺服器環境中使用 IIS 鎖定精靈時


屬性

文章編號: 823175 - 上次校閱: 2007年10月25日 - 版次: 9.1
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
關鍵字:?
kbmt kbinfo KB823175 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:823175
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com