必須為 Exchange 配置相應的 Internet 信息服務 (IIS) 安全工具、IISlockD 和 URLscan。本文介紹了這些工具在 Exchange 2000 Server 和 Exchange Server 5.5 環境中所需的配置。錯誤的 IISlockD 和 URLscan 配置的典型癥狀包括: • Microsoft Outlook Web Access (OWA)。當您訪問 OWA 時,您的郵件項、日歷項和聯系人可能會缺失。另外,如果您嘗試從 Exchange 2000 服務器上的瀏覽器訪問 OWA,可能會收到以下錯誤信息:
A Runtime Error has occurred.
Do you wish to Debug?
Line: 878
Error:The handle is in the wrong state for the requested operation
• Exchange 系統管理器。當您嘗試單擊以展開 Exchange 系統管理器中的公用文件夾樹時,可能會收到以下錯誤信息:
The object is no longer available.Press F5 to refresh the display, and then try again.
ID no:80040e19
Exchange System Manager
• Exchange 系統管理器。當您嘗試展開 Exchange 系統管理器中的公用文件夾樹時,可能會收到以下錯誤信息:
The operation failed due an internal server error. c1030af2
• Exchange 即時消息。當您嘗試登錄 Exchange 即時消息時,可能會收到以下錯誤信息:
Signing in to Microsoft Exchange Instant Messaging failed because the service is temporarily unavailable. Please try again later.
原因
出現此問題的原因是 IISlockD 和 URLScan 安全工具的默認配置假定服務器僅支持靜態內容。Exchange 2000 組件使用 Web 分布式創作和版本控制 (WebDAV) 及其他超文本傳輸協議 (HTTP) 謂詞,這是默認配置所不允許的。 Exchange Server 5.5 組件使用 Active Server Pages (ASP),它們在默認情況下是禁用的。
解決方案
將這些設置應用于您的服務器之前,請仔細檢查這些設置。這些設置旨在使 Exchange 2000 Server 和 Exchange Server 5.5 以最佳狀態工作,但是可能會出現其他意外結果。例如,下面的 URLscan INI 設置會影響 IIS。如果您閱讀下面的 INI 設置的“DenyExtensions”部分,可以看到這些設置會阻止 IIS 支持除靜態 .HTM 或 .HTML 頁面以外的大多數格式的內容。
本節包括以下幾部分: • Exchange 2000 服務器上的 IIS 鎖定
• Exchange Server 5.5 計算機上的 IIS 鎖定
• Exchange 2000 服務器上的 URLscan• OWA
• 用于管理公用文件夾的 Exchange 系統管理器
• 即時消息
• Web 文件夾
• 自定義 WebDAV 程序
• Exchange Server 5.5 計算機上的 URLscan
Exchange 2000 服務器上的 IIS 鎖定
在 Exchange 2000 環境中,鎖定工具不適用于裝有 Exchange 可安裝文件系統 (IFS) 的驅動器(通常為驅動器 M)。在 Exchange 2000 服務器上使用鎖定工具:
1. 運行 IISlockD.exe。
2. 單擊高級鎖定,然后單擊下一步。
3. 將顯示刪除腳本映射對話框: a. 如果已選中“禁用 Active Server Pages (.asp) 支持”復選框,OWA 多媒體按鈕將不起作用。以下 Microsoft 知識庫文章介紹了為沒有統一的消息解決方案的客戶禁用多媒體按鈕的過程:
288119 XWEB:How to Disable the Multimedia Button in OWA
當禁用 Active Server Pages (ASP) 頁面時,統一消息對 WAV 文件附件仍然起作用。
b. 如果“禁用 .HTR 腳本 (.htr) 支持”復選框已選中,則“OWA 更改密碼”功能不起作用。此 OWA 功能在默認情況下是禁用的。以下知識庫文章描述了隱藏 OWA 中的更改密碼按鈕的過程:
297121 XWEB:How to Hide the Change Password Button on the Outlook Web Access Options Page
4. 單擊下一步。
5. 將顯示其他鎖定操作對話框:
a. 單擊以清除“禁用分布式創作和版本控制 (WebDAV)”復選框。
b. 單擊以清除“將文件權限設置為阻止 IIS 匿名用戶寫入內容目錄”復選框。這不包括映射到 Exchange IFS 的 IIS 虛擬目錄。
6. 單擊下一步,然后單擊是完成鎖定進程。
要手動為 IIS 匿名用戶設置文件權限,請為每個 IIS 虛擬目錄的匿名 Web 用戶設置明確的“拒絕所有訪問控制項 (ACE)”: 1. 啟動 Internet 服務管理器 Microsoft Management Console (MMC)。
2. 單擊以展開默認 Web 站點。
3. 對于每個虛擬目錄,執行下列操作:
a. 單擊以選擇一個虛擬目錄,右鍵單擊該虛擬目錄,然后單擊屬性。
b. 在虛擬目錄選項卡上,記下本地路徑。
c. 啟動 Microsoft Windows 資源管理器,然后找到本地路徑文件夾。
d. 右鍵單擊該文件夾,然后單擊屬性。
e. 單擊安全選項卡。
f. 單擊添加。
g. 單擊以選擇 _Web 匿名用戶和 _Web 應用程序帳戶,然后單擊確定。
h. 單擊以選擇 _Web 匿名用戶帳戶,然后拒絕“完全控制 ACE”。
i. 單擊以選擇 _Web 應用程序帳戶,然后拒絕“完全控制 ACE”。
4. 對每個虛擬目錄重復步驟 3,Exchange 和 Exadmin 虛擬根目錄除外。
Exchange Server 5.5 計算機上的 IIS 鎖定
在 Exchange Server 5.5 計算機上使用鎖定工具:
1. 啟動 IISlockD.exe。
2. 單擊高級鎖定,然后單擊下一步。
3. 將顯示刪除腳本映射對話框
a. 單擊以清除“禁用 Active Server Pages (.asp) 支持”復選框。
b. 如果“禁用 .HTR 腳本 (.htr) 支持”復選框已選中,則“OWA 更改密碼”功能不起作用。單擊下一步。
4. 將顯示其他鎖定操作對話框。
5. 單擊下一步,然后單擊是完成鎖定進程。
如果您已經在 Exchange Server 5.5 OWA 服務器上運行了 IIS 鎖定工具,并選擇了所有選項,則要還原功能,請執行下列操作: • OWA: 1. 啟動 Internet 服務管理器。
2. 單擊以展開默認 Web 站點,右鍵單擊 Exchange 虛擬目錄,然后單擊屬性。
3. 單擊虛擬目錄選項卡,然后單擊配置。
4. 單擊 .ASP 映射,然后單擊編輯。IIS 鎖定工具將此映射更新為 404.dll。將映射更改為 asp.dll。在基于 Microsoft Windows NT 4.0 的計算機上,將“PUT, DELETE”添加到方法排除框中。在基于 Microsoft Windows 2000 的計算機上,確保已選中限制為復選框,并且限制為框包含“GET, HEAD, POST, TRACE”。
5. 單擊確定關閉屬性。
• 更改密碼: 1. 重新創建已刪除的 Iisadmpwd 虛擬目錄。有關如何重新創建 Iisadmpwd 虛擬目錄的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
301428 Troubleshooting Outlook Web Access from an IIS Perspective
2. 默認情況下,“.htr”文件的映射也將被刪除。還原“.htr”文件的映射:
a. 啟動 Internet 服務管理器。
b. 右鍵單擊默認 Web 站點,然后單擊屬性。
c. 單擊主目錄選項卡,然后單擊配置。
d. 單擊 .htr 映射,然后單擊編輯。IIS 鎖定工具將此映射更新為 404.dll。將映射更改為 ism.dll。
e. 單擊確定關閉屬性。
Exchange 2000 服務器上的 URLscan
本節包含下列組件的 URLscan 配置文件:
• OWA
• Exchange 系統管理器
• 即時消息
• Web 文件夾
請注意,向 URLScan.ini 文件中添加 DenyUrlSequences 節后,如果郵件主題中包含這些特殊字符,您可能無法通過 Outlook Web Access (OWA) 打開這類郵件。管理員應該檢查 %windir%\system32\inetsrv\ urslscan 文件夾中的 URLscan 日志文件,獲取一些可以幫助解決這些問題的信息。
如果一臺服務器上安裝了多個服務,您可能需要合并配置文件以確保所有組件都能繼續工作。
打開以下位置處的 Urlscan.ini 文件:
windir\System32\Inetsrv\Urlscan
根據 Exchange 計算機角色修改 Urlscan.ini 文件。
如果您在啟用 URLScan 的情況下嘗試 HTTP 請求時又遇到其他困難,請檢查 Urlscan.log 文件查看被拒絕的請求列表。Urlscan.log 文件的默認位置為:
windir\System32\Inetsrv\Urlscan
OWA
OWA 的 URLscan 配置文件如下所示(如果需要“更改密碼”功能,您必須從“Deny Extensions”(拒絕擴展名)節中刪除“.htr”文件擴展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
./
\
%
&
用于管理公用文件夾的 Exchange 系統管理器
用于管理公用文件夾的 Exchange 系統管理器的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
注意:如果內部域名系統 (DNS) 不包含 .com,您可以將 .com 添加到 DENYEXTENSIONS 列表中。
[DenyUrlSequences]
..
./
\
%
&
即時消息
即時消息的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
./
\
%
&
Web 文件夾
Web 文件夾的 URLscan 配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT
[DenyVerbs]
[DenyHeaders]
Translate:
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
:
./
\
%
&
自定義 WebDAV 程序
您需要在 Exchange 2000 存儲中檢查已開發的所有自定義程序,以查看使用的 DAV 謂詞列表。將這些謂詞添加到 URLscan 配置文件的 AllowVerbs 節中,然后將該文件應用于承載自定義程序的服務器。
Exchange Server 5.5 計算機上的 URLscan
請注意,向 URLScan.ini 文件中添加 DenyUrlSequences 節后,如果郵件主題中包含這些特殊字符,您可能無法通過 Outlook Web Access (OWA) 打開這類郵件。管理員應該檢查 %windir%\system32\inetsrv\ urslscan 文件夾中的 URLscan 日志文件,獲取一些可以幫助解決這些問題的信息。
OWA 的 URLscan 配置文件如下所示(如果需要“更改密碼”功能,您必須從“Deny Extensions”(拒絕擴展名)節中刪除“.htr”文件擴展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=
[AllowVerbs]
GET
HEAD
POST
[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK
[DenyHeaders]
Translate:
If:
Lock-Token:
[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr
[DenyUrlSequences]
..
./
\
:
%
&