分享
 
 
 

Exchange环境中的 IIS 锁定和 URLscan 配置

王朝other·作者佚名  2008-05-30
窄屏简体版  字體: |||超大  

这个问题一直以来是大家关注的焦点,发一篇KB,大家参考(尤其是在EXCHANGE服务器上安装SUS的朋友)。

症状

注意:本文讨论在您应用 IIS 锁定工具 1.0 版时 Exchange 2000 和 Exchange Server 5.5 出现的问题。Microsoft 建议您下载最新版本的 IIS 锁定工具:

http://www.microsoft.com/downloads/release.asp?ReleaseID=43955

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

309677 XADM:Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment

必须为 Exchange 配置相应的 Internet 信息服务 (IIS) 安全工具、IISlockD 和 URLscan。本文介绍了这些工具在 Exchange 2000 Server 和 Exchange Server 5.5 环境中所需的配置。错误的 IISlockD 和 URLscan 配置的典型症状包括: %26#8226; Microsoft Outlook Web Access (OWA)。当您访问 OWA 时,您的邮件项、日历项和联系人可能会缺失。另外,如果您尝试从 Exchange 2000 服务器上的浏览器访问 OWA,可能会收到以下错误信息:

A Runtime Error has occurred.

Do you wish to Debug?

Line: 878

Error:The handle is in the wrong state for the requested operation

%26#8226; Exchange 系统管理器。当您尝试单击以展开 Exchange 系统管理器中的公用文件夹树时,可能会收到以下错误信息:

The object is no longer available.Press F5 to refresh the display, and then try again.

ID no:80040e19

Exchange System Manager

%26#8226; Exchange 系统管理器。当您尝试展开 Exchange 系统管理器中的公用文件夹树时,可能会收到以下错误信息:

The operation failed due an internal server error. c1030af2

%26#8226; Exchange 即时消息。当您尝试登录 Exchange 即时消息时,可能会收到以下错误信息:

Signing in to Microsoft Exchange Instant Messaging failed because the service is temporarily unavailable. Please try again later.

原因

出现此问题的原因是 IISlockD 和 URLScan 安全工具的默认配置假定服务器仅支持静态内容。Exchange 2000 组件使用 Web 分布式创作和版本控制 (WebDAV) 及其他超文本传输协议 (HTTP) 谓词,这是默认配置所不允许的。Exchange Server 5.5 组件使用 Active Server Pages (ASP),它们在默认情况下是禁用的。

解决方案

将这些设置应用于您的服务器之前,请仔细检查这些设置。这些设置旨在使 Exchange 2000 Server 和 Exchange Server 5.5 以最佳状态工作,但是可能会出现其他意外结果。例如,下面的 URLscan INI 设置会影响 IIS。如果您阅读下面的 INI 设置的“DenyExtensions”部分,可以看到这些设置会阻止 IIS 支持除静态 .HTM 或 .HTML 页面以外的大多数格式的内容。

本节包括以下几部分: %26#8226; Exchange 2000 服务器上的 IIS 锁定

%26#8226; Exchange Server 5.5 计算机上的 IIS 锁定

%26#8226; Exchange 2000 服务器上的 URLscan%26#8226; OWA

%26#8226; 用于管理公用文件夹的 Exchange 系统管理器

%26#8226; 即时消息

%26#8226; Web 文件夹

%26#8226; 自定义 WebDAV 程序

%26#8226; Exchange Server 5.5 计算机上的 URLscan

Exchange 2000 服务器上的 IIS 锁定

在 Exchange 2000 环境中,锁定工具不适用于装有 Exchange 可安装文件系统 (IFS) 的驱动器(通常为驱动器 M)。在 Exchange 2000 服务器上使用锁定工具: 1. 运行 IISlockD.exe。

2. 单击高级锁定,然后单击下一步。

3. 将显示删除脚本映射对话框: a. 如果已选中“禁用 Active Server Pages (.asp) 支持”复选框,OWA 多媒体按钮将不起作用。以下 Microsoft 知识库文章介绍了为没有统一的消息解决方案的客户禁用多媒体按钮的过程:

288119 XWEB:How to Disable the Multimedia Button in OWA

当禁用 Active Server Pages (ASP) 页面时,统一消息对 WAV 文件附件仍然起作用。

b. 如果“禁用 .HTR 脚本 (.htr) 支持”复选框已选中,则“OWA 更改密码”功能不起作用。此 OWA 功能在默认情况下是禁用的。以下知识库文章描述了隐藏 OWA 中的更改密码按钮的过程:

297121 XWEB:How to Hide the Change Password Button on the Outlook Web Access Options Page

4. 单击下一步。

5. 将显示其他锁定操作对话框: a. 单击以清除“禁用分布式创作和版本控制 (WebDAV)”复选框。

b. 单击以清除“将文件权限设置为阻止 IIS 匿名用户写入内容目录”复选框。这不包括映射到 Exchange IFS 的 IIS 虚拟目录。

6. 单击下一步,然后单击是完成锁定进程。

要手动为 IIS 匿名用户设置文件权限,请为每个 IIS 虚拟目录的匿名 Web 用户设置明确的“拒绝所有访问控制项 (ACE)”: 1. 启动 Internet 服务管理器 Microsoft Management Console (MMC)。

2. 单击以展开默认 Web 站点。

3. 对于每个虚拟目录,执行下列操作: a. 单击以选择一个虚拟目录,右键单击该虚拟目录,然后单击属性。

b. 在虚拟目录选项卡上,记下本地路径。

c. 启动 Microsoft Windows 资源管理器,然后找到本地路径文件夹。

d. 右键单击该文件夹,然后单击属性。

e. 单击安全选项卡。

f. 单击添加。

g. 单击以选择 _Web 匿名用户和 _Web 应用程序帐户,然后单击确定。

h. 单击以选择 _Web 匿名用户帐户,然后拒绝“完全控制 ACE”。

i. 单击以选择 _Web 应用程序帐户,然后拒绝“完全控制 ACE”。

4. 对每个虚拟目录重复步骤 3,Exchange 和 Exadmin 虚拟根目录除外。

返回章节列表

Exchange Server 5.5 计算机上的 IIS 锁定

在 Exchange Server 5.5 计算机上使用锁定工具: 1. 启动 IISlockD.exe。

2. 单击高级锁定,然后单击下一步。

3. 将显示删除脚本映射对话框 a. 单击以清除“禁用 Active Server Pages (.asp) 支持”复选框。

b. 如果“禁用 .HTR 脚本 (.htr) 支持”复选框已选中,则“OWA 更改密码”功能不起作用。单击下一步。

4. 将显示其他锁定操作对话框。

5. 单击下一步,然后单击是完成锁定进程。

如果您已经在 Exchange Server 5.5 OWA 服务器上运行了 IIS 锁定工具,并选择了所有选项,则要还原功能,请执行下列操作: %26#8226; OWA: 1. 启动 Internet 服务管理器。

2. 单击以展开默认 Web 站点,右键单击 Exchange 虚拟目录,然后单击属性。

3. 单击虚拟目录选项卡,然后单击配置。

4. 单击 .ASP 映射,然后单击编辑。IIS 锁定工具将此映射更新为 404.dll。将映射更改为 asp.dll。在基于 Microsoft Windows NT 4.0 的计算机上,将“PUT, DELETE”添加到方法排除框中。在基于 Microsoft Windows 2000 的计算机上,确保已选中限制为复选框,并且限制为框包含“GET, HEAD, POST, TRACE”。

5. 单击确定关闭属性。

%26#8226; 更改密码: 1. 重新创建已删除的 Iisadmpwd 虚拟目录。有关如何重新创建 Iisadmpwd 虚拟目录的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

301428 Troubleshooting Outlook Web Access from an IIS Perspective

2. 默认情况下,“.htr”文件的映射也将被删除。还原“.htr”文件的映射: a. 启动 Internet 服务管理器。

b. 右键单击默认 Web 站点,然后单击属性。

c. 单击主目录选项卡,然后单击配置。

d. 单击 .htr 映射,然后单击编辑。IIS 锁定工具将此映射更新为 404.dll。将映射更改为 ism.dll。

e. 单击确定关闭属性。

返回章节列表

Exchange 2000 服务器上的 URLscan

本节包含下列组件的 URLscan 配置文件: %26#8226; OWA

%26#8226; Exchange 系统管理器

%26#8226; 即时消息

%26#8226; Web 文件夹

请注意,向 URLScan.ini 文件中添加 DenyUrlSequences 节后,如果邮件主题中包含这些特殊字符,您可能无法通过 Outlook Web Access (OWA) 打开这类邮件。管理员应该检查 %windir%\system32\inetsrv\urslscan 文件夹中的 URLscan 日志文件,获取一些可以帮助解决这些问题的信息。

如果一台服务器上安装了多个服务,您可能需要合并配置文件以确保所有组件都能继续工作。

打开以下位置处的 Urlscan.ini 文件:

windir\System32\Inetsrv\Urlscan

根据 Exchange 计算机角色修改 Urlscan.ini 文件。

如果您在启用 URLScan 的情况下尝试 HTTP 请求时又遇到其他困难,请检查 Urlscan.log 文件查看被拒绝的请求列表。Urlscan.log 文件的默认位置为:

windir\System32\Inetsrv\Urlscan

返回章节列表

OWA

OWA 的 URLscan 配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):

[Options]

UseAllowVerbs=1

UseAllowExtensions=0

NormalizeUrlBeforeScan=1

VerifyNormalization=1

AllowHighBitCharacters=1

AllowDotInPath=1

RemoveServerHeader=0

EnableLogging=1

PerProcessLogging=0

AllowLateScanning=0

[AllowVerbs]

GET

POST

SEARCH

POLL

PROPFIND

BMOVE

BCOPY

SUBSCRIBE

MOVE

PROPPATCH

BPROPPATCH

DELETE

BDELETE

MKCOL

[DenyVerbs]

[DenyHeaders]

If:

Lock-Token:

[DenyExtensions]

.asp

.cer

.cdx

.asa

.exe

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

.ini

.log

.pol

.dat

[DenyUrlSequences]

..

./

\

%

%26amp;

返回章节列表

用于管理公用文件夹的 Exchange 系统管理器

用于管理公用文件夹的 Exchange 系统管理器的 URLscan 配置文件如下所示:

[Options]

UseAllowVerbs=1

UseAllowExtensions=0

NormalizeUrlBeforeScan=1

VerifyNormalization=1

AllowHighBitCharacters=1

AllowDotInPath=1

RemoveServerHeader=0

EnableLogging=1

PerProcessLogging=0

AllowLateScanning=0

[AllowVerbs]

PROPFIND

SEARCH

PROPPATCH

DELETE

MKCOL

MOVE

COPY

OPTIONS

[DenyVerbs]

[DenyHeaders]

If:

Lock-Token:

[DenyExtensions]

.asp

.cer

.cdx

.asa

.exe

.bat

.cmd

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

.ini

.log

.pol

.dat

注意:如果内部域名系统 (DNS) 不包含 .com,您可以将 .com 添加到 DENYEXTENSIONS 列表中。

[DenyUrlSequences]

..

./

\

%

%26amp;

返回章节列表

即时消息

即时消息的 URLscan 配置文件如下所示:

[Options]

UseAllowVerbs=1

UseAllowExtensions=0

NormalizeUrlBeforeScan=1

VerifyNormalization=1

AllowHighBitCharacters=1

AllowDotInPath=1

RemoveServerHeader=0

EnableLogging=1

PerProcessLogging=0

AllowLateScanning=0

[AllowVerbs]

SUBSCRIBE

UNSUBSCRIBE

SUBSCRIPTIONS

NOTIFY

POLL

PROPFIND

PROPPATCH

ACL

[DenyVerbs]

[DenyHeaders]

If:

Lock-Token:

[DenyExtensions]

.asp

.cer

.cdx

.asa

.exe

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

.ini

.log

.pol

.dat

[DenyUrlSequences]

..

./

\

%

%26amp;

返回章节列表

Web 文件夹

Web 文件夹的 URLscan 配置文件如下所示:

[Options]

UseAllowVerbs=1

UseAllowExtensions=0

NormalizeUrlBeforeScan=1

VerifyNormalization=1

AllowHighBitCharacters=1

AllowDotInPath=1

RemoveServerHeader=0

EnableLogging=1

PerProcessLogging=0

AllowLateScanning=0

[AllowVerbs]

GET

PROPFIND

MOVE

BCOPY

DELETE

BDELETE

MKCOL

OPTIONS

LOCK

UNLOCK

PUT

[DenyVerbs]

[DenyHeaders]

Translate:

If:

Lock-Token:

[DenyExtensions]

.asp

.cer

.cdx

.asa

.exe

.bat

.cmd

.com

.htw

.ida

.idq

.htr

.idc

.shtm

.shtml

.stm

.printer

.ini

.log

.pol

.dat

[DenyUrlSequences]

..

:

./

\

%

%26amp;

返回章节列表

自定义 WebDAV 程序

您需要在 Exchange 2000 存储中检查已开发的所有自定义程序,以查看使用的 DAV 谓词列表。将这些谓词添加到 URLscan 配置文件的 AllowVerbs 节中,然后将该文件应用于承载自定义程序的服务器。

返回章节列表

Exchange Server 5.5 计算机上的 URLscan

请注意,向 URLScan.ini 文件中添加 DenyUrlSequences 节后,如果邮件主题中包含这些特殊字符,您可能无法通过 Outlook Web Access (OWA) 打开这类邮件。管理员应该检查 %windir%\system32\inetsrv\urslscan 文件夹中的 URLscan 日志文件,获取一些可以帮助解决这些问题的信息。

OWA 的 URLscan 配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):

[Options]

UseAllowVerbs=1

UseAllowExtensions=0

NormalizeUrlBeforeScan=1

VerifyNormalization=1

AllowHighBitCharacters=1

AllowDotInPath=0

RemoveServerHeader=0

EnableLogging=1

PerProcessLogging=0

AllowLateScanning=0

AlternateServerName=

[AllowVerbs]

GET

HEAD

POST

[DenyVerbs]

PROPFIND

PROPPATCH

MKCOL

DELETE

PUT

COPY

MOVE

LOCK

UNLOCK

[DenyHeaders]

Translate:

If:

Lock-Token:

[DenyExtensions]

.exe

.bat

.cmd

.com

.htw

.ida

.idq

.idc

.shtm

.shtml

.stm

.printer

.ini

.log

.pol

.dat

.htr

[DenyUrlSequences]

..

./

\

:

%

%26amp;

返回章节列表

--------------------------------------------------------------------------------

这篇文章中的信息适用于:

%26#8226; Microsoft Exchange Server 2000 Service Pack 1

%26#8226; Microsoft Exchange Server 5.5 标准版

%26#8226; Microsoft Exchange 2000 Enterprise Server ,

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有