IIS lockdown và URLscan các cấu hình trong môi trường Exchange

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:309508
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Chú ý Bài viết này đề cập đến các vấn đề với Exchange 2000 và trao đổi Hệ phục vụ 5.5 khi bạn áp dụng IIS khoá cứng cụ Phiên bản 1.0. Microsoft khuyến cáo bạn tải phiên bản mới nhất của công cụ lockdown IIS: Để biết thêm chi tiết, nhấp vào số bài viết dưới đây để xem bài viết trong cơ sở kiến thức Microsoft:
309677 XADM: Được biết đến các vấn đề và tinh chỉnh khi bạn sử dụng thuật sĩ Lockdown IIS trong môi trường Exchange 2000
Bảo mật Internet Information Services (IIS) công cụ, IISlockD và URLscan, phải được cấu hình một cách thích hợp cho việc trao đổi. Bài viết này mô tả cấu hình đó là cần thiết cho các công cụ này trong Môi trường Exchange 2000 Server và Exchange Server 5.5. Các triệu chứng điển hình của không chính xác cấu hình IISlockD và URLscan bao gồm:
  • Microsoft Outlook Web Access (OWA). Khi bạn truy cập OWA, của bạn thư mục, mục lịch và địa chỉ liên lạc có thể là mất tích. Ngoài ra Nếu bạn cố gắng để được truy cập vào OWA từ một trình duyệt trên Exchange 2000 máy chủ, bạn có thể nhận được thông báo lỗi sau:
    Một Thời gian chạy lỗi đã xuất hiện.
    Bạn có muốn gỡ lỗi?
    Đường dây: 878
    Lỗi: Xử lý là bang sai cho thao tác được yêu cầu
  • Trao đổi hệ thống quản lý. Khi bạn cố gắng nhấn vào đây để mở rộng cây thư mục công cộng trong trao đổi hệ thống quản lý, bạn có thể nhận được các thông báo lỗi sau:
    Đối tượng không còn có sẵn. Nhấn F5 để làm tươi màn hình, và sau đó thử lại.
    ID không có: 80040e19
    Trình quản lý Hệ thống Exchange
  • Trao đổi hệ thống quản lý. Khi bạn cố gắng mở rộng công chúng cây thư mục trong quản lý hệ thống trao đổi, bạn có thể nhận được các lỗi sau thông báo:
    Thao tác thất bại do một máy chủ nội bộ lỗi. c1030af2
  • Trao đổi tin nhắn tức thì. Khi bạn cố gắng đăng nhập vào Trao đổi Instant Messaging, bạn có thể nhận được các lỗi sau thông báo:
    Đăng nhập vào Microsoft Exchange tức thì Gửi tin nhắn thất bại vì dịch vụ này tạm thời không sẵn dùng. Hãy thử một lần nữa sau đó.
NGUYÊN NHÂN
Vấn đề này có thể xảy ra bởi vì cấu hình mặc định của IISlockD và URLScan công cụ bảo mật giả định rằng các máy chủ đang phục vụ nội dung tĩnh chỉ. Cấu phần Exchange 2000 sử dụng Web phân phối Authoring và Versioning (WebDAV) và các động từ Hypertext Transfer Protocol (HTTP) là không được phép bởi cấu hình mặc định. Exchange Server 5.5 sử dụng các thành phần Hoạt động Server Pages (ASP) mà tắt theo mặc định.
GIẢI PHÁP
Xin vui lòng kiểm tra các thiết đặt này một cách cẩn thận trước khi bạn áp dụng họ phục vụ của bạn. Chúng được thiết kế để cho phép trao đổi 2000 Server và Trao đổi máy chủ 5,5 để làm việc tối ưu, nhưng có thể có các hiệu ứng khác mà bạn có thể không mong đợi. Ví dụ, URLscan INI thiết đặt dưới đây sẽ ảnh hưởng đến IIS. Nếu bạn đọc phần "DenyExtensions" của các cài đặt này dưới đây, bạn có thể thấy rằng các thiết đặt này ngăn IIS phục vụ hầu hết các hình thức nội dung khác hơn là tĩnh .HTM hoặc.Các trang HTML.

IIS Lockdown trên các máy chủ Exchange 2000

Để trao đổi 2000 môi trường, công cụ lockdown hiện không chứa ổ đĩa hệ thống (IFS) được gắn kết trao đổi tập tin cài đặt (thông thường ổ đĩa M). Sử dụng công cụ khoá cứng trên các máy chủ Exchange 2000:
  1. Chạy IISlockD.exe.
  2. Nhấp vào Nâng cao Lockdown, sau đó bấm Tiếp theo.
  3. Các Loại bỏ Script ánh xạ hộp thoại sẽ được hiển thị:
    1. Nếu Vô hiệu hoá hỗ trợ cho Active Server Pages (dẫn) chọn hộp kiểm tra, OWA Đa phương tiệnnút không hoạt động và các Đăng xuất nút làm không chức năng. Bài viết cơ sở kiến thức Microsoft sau mô tả quy trình để vô hiệu hóa nút đa phương tiện cho khách hàng những người không có một thống nhất nhắn tin giải pháp:
      288119 XWEB: Làm thế nào để vô hiệu hóa nút đa phương tiện trong OWA
      Khi các trang Active Server Pages (ASP) bị vô hiệu hoá, thống nhất nhắn tin vẫn còn chức năng với tập tin đính kèm tập tin WAV.
    2. Nếu Vô hiệu hoá hỗ trợ cho các.HTR script (.htr) chọn hộp kiểm, tính năng OWA thay đổi mật khẩu hiện không chức năng. Tính năng OWA này bị tắt theo mặc định. Kho tàng kiến thức sau đây bài viết mô tả quá trình để ẩn các Thay đổi mật khẩu nút trong OWA:
      297121 XWEB: Làm thế nào để ẩn nút thay đổi mật khẩu trên trang tuỳ chọn Outlook Web Access
  4. Nhấp vào Tiếp theo.
  5. Các Bổ sung khoá cứng hành động hộp thoại sẽ được hiển thị:
    1. Nhấn vào đây để xóa các Vô hiệu hoá phân phối Authoring và Versioning (WebDAV) hộp kiểm.
    2. Nhấn vào đây để xóa các Cho phép đặt tệp ngăn chặn người dùng vô danh IIS ghi vào thư mục nội dunghộp kiểm. Điều này không bao gồm các thư mục ảo IIS mà ánh xạ tới Trao đổi IFS.
  6. Nhấp vào Tiếp theo, sau đó bấm Có để hoàn tất quá trình lockdown.
Để đặt thủ công các cho phép tập tin cho các IIS vô danh người sử dụng, đặt một rõ ràng từ chối tất cả các truy cập kiểm soát nhập cảnh (ACE) cho các trang Web vô danh người dùng cho mỗi thư mục ảo IIS:
  1. Bắt đầu quản lý Microsoft Internet dịch vụ quản lý Giao diện điều khiển (MMC).
  2. Nhấn vào đây để mở rộng các Trang Web mặc định.
  3. Đối với mỗi thư mục ảo:
    1. Nhấn vào đây để chọn một thư mục ảo, bấm chuột phải vào các thư mục ảo, và sau đó nhấp vào Thuộc tính.
    2. Trên các Thư mục ảo tab, lưu ý đường dẫn địa phương.
    3. Chạy Microsoft Windows Explorer, và sau đó xác định vị trí các địa phương đường dẫn thư mục.
    4. Nhấp chuột phải vào thư mục và bấm Thuộc tính.
    5. Bấm vào các Bảo mật tab.
    6. Nhấp vào Thêm.
    7. Nhấn vào đây để chọn các _Web người dùng vô danh_Web ứng dụng tài khoản, và sau đó nhấp vào Ok.
    8. Nhấn vào đây để chọn các _Web người dùng vô danh tài khoản, và sau đó từ chối đầy đủ điều khiển ACE.
    9. Nhấn vào đây để chọn các _Web ứng dụng tài khoản, và sau đó từ chối đầy đủ điều khiển ACE.
  4. Lặp lại bước 3 cho mỗi thư mục ảo, không bao gồm các Trao đổi và Exadmin ảo gốc.

IIS Lockdown vào Exchange Server 5.5 Computers

Sử dụng công cụ khoá cứng trên máy tính Exchange Server 5,5:
  1. Bắt đầu IISlockD.exe.
  2. Nhấp vào Nâng cao Lockdown, sau đó bấm Tiếp theo.
  3. Các Loại bỏ Script ánh xạ hộp thoại sẽ được hiển thị
    1. Nhấn vào đây để xóa các Vô hiệu hoá hỗ trợ cho hoạt động Hệ phục vụ các trang (dẫn) hộp kiểm.
    2. Nếu Vô hiệu hoá hỗ trợ cho các.HTR script (.htr) chọn hộp kiểm, tính năng OWA thay đổi mật khẩu hiện không chức năng. Nhấp vào Tiếp theo.
  4. Các Bổ sung khoá cứng hành động hộp thoại sẽ được hiển thị.
  5. Nhấp vào Tiếp theo, sau đó bấm Có để hoàn tất quá trình lockdown.
Nếu bạn đã chạy công cụ IIS Lockdown đối với Exchange của bạn Máy chủ 5.5 OWA máy chủ với tất cả các tùy chọn được chọn để khôi phục chức năng:
  • OWA:
    1. Bắt đầu bộ quản lý dịch vụ Internet.
    2. Nhấn vào đây để mở rộng các Trang Web mặc định, bấm chuột phải vào thư mục ảo trao đổi, và sau đó nhấp vào Thuộc tính.
    3. Bấm vào các Thư mục ảo tab, và sau đó nhấp vào Cấu hình.
    4. Bấm vào các .ASP lập bản đồ, và sau đó nhấp vào Chỉnh sửa. Công cụ IIS Lockdown Cập Nhật Bản đồ này để 404.dll. Thay đổi lập bản đồ để asp.dll. Trên các máy tính dựa trên Microsoft Windows NT 4.0, thêm "đặt, XÓA"để các Phương pháp loại trừ hộp. Trên Microsoft Windows 2000 dựa trên máy tính, hãy đảm bảo rằng các Giới hạn chọn hộp kiểm tra, và rằng các Giới hạn hộp chứa "GET, đầu, đăng bài, water".
    5. Nhấp vào Ok để đóng các thuộc tính.
  • Thay đổi mật khẩu:
    1. Tái tạo thư mục ảo Iisadmpwd đã xóa bỏ.Để thêm thông tin về làm thế nào để tái tạo các Thư mục ảo Iisadmpwd, bấm vào số bài viết dưới đây để xem bài viết trong Microsoft Knowledge Base:
      301428 Khắc phục sự cố Outlook Web Access từ một góc độ IIS
    2. Theo mặc định, ánh xạ cho các tập tin ".htr" cũng gỡ bỏ. Khôi phục các bản đồ cho các tập tin ".htr":
      1. Bắt đầu bộ quản lý dịch vụ Internet.
      2. Nhấp chuột phải vào các Trang Web mặc định, sau đó bấm Thuộc tính.
      3. Bấm vào các Thư mục chính tab, và sau đó nhấp vào Cấu hình.
      4. Bấm vào các .htr lập bản đồ, và sau đó nhấp vào Chỉnh sửa. Công cụ IIS Lockdown Cập Nhật Bản đồ này để 404.dll. Thay đổi lập bản đồ để ism.dll.
      5. Nhấp vào Ok để đóng các thuộc tính.
back to list of sections

URLscan trên máy chủ Exchange 2000

Để biết thêm về cách sử dụng Exchange 2003 và URLscan, nhấp vào số bài viết sau đây để xem các bài viết trong cơ sở kiến thức Microsoft:
823175Fine-Tuning và được biết đến các vấn đề khi bạn sử dụng tiện ích Urlscan trong môi trường Exchange 2003
Tiết đoạn này chứa tập tin cấu hình URLscan cho các cấu phần sau:
  • OWA
  • Trình quản lý Hệ thống Exchange
  • Nhắn tin
  • Cặp web
Xin lưu ý rằng sau khi bạn thêm phần DenyUrlSequences để các tập tin URLScan.ini, bạn không thể mở thư qua Outlook Web Access (OWA) Nếu dòng chủ đề của thư chứa những đặc biệt ký tự. Quản trị viên nên xem lại các tập tin log URLscan trong %windir%\system32\inetsrv\urslscan thư mục để được trợ giúp trong việc giải quyết những các vấn đề.

Nếu nhiều dịch vụ được cài đặt trên một máy chủ đơn, bạn cần phải hợp nhất các tập tin cấu hình để đảm bảo rằng tất cả các thành phần tiếp tục hoạt động.

Mở tập tin Urlscan.ini trong sau đây Địa điểm:
windir\System32\Inetsrv\Urlscan
Chỉnh sửa file Urlscan.ini dựa trên máy tính Exchange vai trò.

Nếu bạn tiếp tục gặp khó khăn khi bạn cố gắng HTTP yêu cầu với URLScan được kích hoạt, hãy kiểm tra các tập tin Urlscan.log danh sách yêu cầu đang bị từ chối. Vị trí mặc định của tập tin Urlscan.log là:
windir\System32\Inetsrv\Urlscan

OWA

Tập tin cấu hình URLscan cho OWA là như sau (nếu thay đổi Chức năng mật khẩu được yêu cầu, bạn phải loại bỏ phần mở rộng file ".htr" từ phần mở rộng từ chối):
[Tùy chọn]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
CÓ ĐƯỢC
ĐĂNG BÀI
TÌM KIẾM
THĂM DÒ Ý KIẾN
PROPFIND
BMOVE
BCOPY
ĐĂNG KÝ
DI CHUYỂN
PROPPATCH
BPROPPATCH
XÓA BỎ
BDELETE
MLCOL

[DenyVerbs]

[DenyHeaders]
Nếu:
Khóa-mã thông báo:

[DenyExtensions]
.asp
.cer
.cdx
.ASA
exe
.bat
.CMD
.com
.htw
.Ida
.idq
.htr
.IDC
.shtm
.shtml
.stm
.Printer
rules.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Trao đổi hệ thống quản lý để quản lý thư mục công cộng

Tập tin cấu hình URLscan để trao đổi hệ thống quản lý quản lý các thư mục công cộng là như sau:
[Tùy chọn]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
PROPFIND
TÌM KIẾM
PROPPATCH
XÓA BỎ
MLCOL
DI CHUYỂN
BẢN SAO
TÙY CHỌN

[DenyVerbs]

[DenyHeaders]
Nếu:
Khóa-mã thông báo:

[DenyExtensions]
.asp
.cer
.cdx
.ASA
exe
.bat
.CMD
.htw
.Ida
.idq
.htr
.IDC
.shtm
.shtml
.stm
.Printer
rules.ini
.log
.Pol
.dat
Chú ý Bạn có thể thêm .com vào danh sách DENYEXTENSIONS nếu nội bộ tên miền Hệ thống tên (DNS) không chứa. com.
[DenyUrlSequences]
..
./
\
%
&

Nhắn tin

Tập tin cấu hình URLscan cho nhắn tin là như sau:
[Tùy chọn]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
ĐĂNG KÝ
BỎ ĐĂNG KÝ
MỤC ĐĂNG KÝ
THÔNG BÁO CHO
THĂM DÒ Ý KIẾN
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
Nếu:
Khóa-mã thông báo:

[DenyExtensions]
.asp
.cer
.cdx
.ASA
exe
.bat
.CMD
.com
.htw
.Ida
.idq
.htr
.IDC
.shtm
.shtml
.stm
.Printer
rules.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Cặp web

Tập tin cấu hình URLscan cho cặp Web là như sau:
[Tùy chọn]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 1
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0

[AllowVerbs]
CÓ ĐƯỢC
PROPFIND
DI CHUYỂN
BCOPY
XÓA BỎ
BDELETE
MLCOL
TÙY CHỌN
KHÓA
MỞ KHÓA
ĐẶT

[DenyVerbs]

[DenyHeaders]
Dịch:
Nếu:
Khóa-mã thông báo:

[DenyExtensions]
.asp
.cer
.cdx
.ASA
exe
.bat
.CMD
.com
.htw
.Ida
.idq
.htr
.IDC
.shtm
.shtml
.stm
.Printer
rules.ini
.log
.Pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Tùy chỉnh các chương trình WebDAV

Bạn cần phải xem lại các chương trình tùy chỉnh được phát triển trên các Exchange 2000 cửa hàng cho danh sách của DAV động từ được sử dụng. Thêm những động từ để phần AllowVerbs của một cấu hình URLscan tập tin và áp dụng tập tin đó đến các máy chủ lưu trữ chương trình tùy chỉnh.

URLscan trên Exchange Server 5.5 máy tính

Xin lưu ý rằng sau khi bạn thêm phần DenyUrlSequences để các tập tin URLScan.ini, bạn không thể mở thư qua Outlook Web Access (OWA) Nếu dòng chủ đề của thư chứa những đặc biệt ký tự. Quản trị viên nên xem lại các tập tin log URLscan trong %windir%\system32\inetsrv\urslscan thư mục để được trợ giúp trong việc giải quyết những các vấn đề.

Tập tin cấu hình URLscan cho OWA là như sau (nếu Thay đổi mật khẩu tính năng được yêu cầu, bạn phải loại bỏ các tập tin ".htr" mở rộng từ các phần mở rộng từ chối):
[Tùy chọn]
UseAllowVerbs = 1
UseAllowExtensions = 0
NormalizeUrlBeforeScan = 1
VerifyNormalization = 1
AllowHighBitCharacters = 1
AllowDotInPath = 0
RemoveServerHeader = 0
EnableLogging = 1
PerProcessLogging = 0
AllowLateScanning = 0
AlternateServerName =

[AllowVerbs]
CÓ ĐƯỢC
NGƯỜI ĐỨNG ĐẦU
ĐĂNG BÀI

[DenyVerbs]
PROPFIND
PROPPATCH
MLCOL
XÓA BỎ
ĐẶT
BẢN SAO
DI CHUYỂN
KHÓA
MỞ KHÓA

[DenyHeaders]
Dịch:
Nếu:
Khóa-mã thông báo:

[DenyExtensions]
exe
.bat
.CMD
.com
.htw
.Ida
.idq
.IDC
.shtm
.shtml
.stm
.Printer
rules.ini
.log
.Pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&
UM ESM IM XCCC

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 309508 - Xem lại Lần cuối: 12/07/2015 07:58:48 - Bản sửa đổi: 2.0

Microsoft Exchange Server 5.5 Standard Edition, Microsoft Exchange 2000 Enterprise Server

  • kbnosurvey kbarchive kbprb kbmt KB309508 KbMtvi
Phản hồi