这个问题一直以来是大家关注的焦点,发一篇KB,大家参考(尤其是在EXCHANGE服务器上安装SUS的朋友)。
症状
注意:本文讨论在您应用
IIS
锁定工具
1.0
版时
Exchange
2000
和
Exchange
Server
5.5
出现的问题。Microsoft
建议您下载最新版本的
IIS
锁定工具:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
有关其他信息,请单击下面的文章编号,以查看
Microsoft
知识库中相应的文章:
309677
XADM:Known
Issues
and
Fine
Tuning
When
You
Use
the
IIS
Lockdown
Wizard
in
an
Exchange
2000
Environment
必须为
Exchange
配置相应的
Internet
信息服务
(IIS)
安全工具、IISlockD
和
URLscan。本文介绍了这些工具在
Exchange
2000
Server
和
Exchange
Server
5.5
环境中所需的配置。错误的
IISlockD
和
URLscan
配置的典型症状包括:
•
Microsoft
Outlook
Web
Access
(OWA)。当您访问
OWA
时,您的邮件项、日历项和联系人可能会缺失。另外,如果您尝试从
Exchange
2000
服务器上的浏览器访问
OWA,可能会收到以下错误信息:
A
Runtime
Error
has
occurred.
Do
you
wish
to
Debug?
Line:
878
Error:The
handle
is
in
the
wrong
state
for
the
requested
operation
•
Exchange
系统管理器。当您尝试单击以展开
Exchange
系统管理器中的公用文件夹树时,可能会收到以下错误信息:
The
object
is
no
longer
available.Press
F5
to
refresh
the
display,
and
then
try
again.
ID
no:80040e19
Exchange
System
Manager
•
Exchange
系统管理器。当您尝试展开
Exchange
系统管理器中的公用文件夹树时,可能会收到以下错误信息:
The
operation
failed
due
an
internal
server
error.
c1030af2
•
Exchange
即时消息。当您尝试登录
Exchange
即时消息时,可能会收到以下错误信息:
Signing
in
to
Microsoft
Exchange
Instant
Messaging
failed
because
the
service
is
temporarily
unavailable.
Please
try
again
later.
原因
出现此问题的原因是
IISlockD
和
URLScan
安全工具的默认配置假定服务器仅支持静态内容。Exchange
2000
组件使用
Web
分布式创作和版本控制
(WebDAV)
及其他超文本传输协议
(HTTP)
谓词,这是默认配置所不允许的。Exchange
Server
5.5
组件使用
Active
Server
Pages
(ASP),它们在默认情况下是禁用的。
解决方案
将这些设置应用于您的服务器之前,请仔细检查这些设置。这些设置旨在使
Exchange
2000
Server
和
Exchange
Server
5.5
以最佳状态工作,但是可能会出现其他意外结果。例如,下面的
URLscan
INI
设置会影响
IIS。如果您阅读下面的
INI
设置的“DenyExtensions”部分,可以看到这些设置会阻止
IIS
支持除静态
.HTM
或
.HTML
页面以外的大多数格式的内容。
本节包括以下几部分:
•
Exchange
2000
服务器上的
IIS
锁定
•
Exchange
Server
5.5
计算机上的
IIS
锁定
•
Exchange
2000
服务器上的
URLscan•
OWA
•
用于管理公用文件夹的
Exchange
系统管理器
•
即时消息
•
Web
文件夹
•
自定义
WebDAV
程序
•
Exchange
Server
5.5
计算机上的
URLscan
Exchange
2000
服务器上的
IIS
锁定
在
Exchange
2000
环境中,锁定工具不适用于装有
Exchange
可安装文件系统
(IFS)
的驱动器(通常为驱动器
M)。在
Exchange
2000
服务器上使用锁定工具:
1.
运行
IISlockD.exe。
2.
单击高级锁定,然后单击下一步。
3.
将显示删除脚本映射对话框:
a.
如果已选中“禁用
Active
Server
Pages
(.asp)
支持”复选框,OWA
多媒体按钮将不起作用。以下
Microsoft
知识库文章介绍了为没有统一的消息解决方案的客户禁用多媒体按钮的过程:
288119
XWEB:How
to
Disable
the
Multimedia
Button
in
OWA
当禁用
Active
Server
Pages
(ASP)
页面时,统一消息对
WAV
文件附件仍然起作用。
b.
如果“禁用
.HTR
脚本
(.htr)
支持”复选框已选中,则“OWA
更改密码”功能不起作用。此
OWA
功能在默认情况下是禁用的。以下知识库文章描述了隐藏
OWA
中的更改密码按钮的过程:
297121
XWEB:How
to
Hide
the
Change
Password
Button
on
the
Outlook
Web
Access
Options
Page
4.
单击下一步。
5.
将显示其他锁定操作对话框:
a.
单击以清除“禁用分布式创作和版本控制
(WebDAV)”复选框。
b.
单击以清除“将文件权限设置为阻止
IIS
匿名用户写入内容目录”复选框。这不包括映射到
Exchange
IFS
的
IIS
虚拟目录。
6.
单击下一步,然后单击是完成锁定进程。
要手动为
IIS
匿名用户设置文件权限,请为每个
IIS
虚拟目录的匿名
Web
用户设置明确的“拒绝所有访问控制项
(ACE)”:
1.
启动
Internet
服务管理器
Microsoft
Management
Console
(MMC)。
2.
单击以展开默认
Web
站点。
3.
对于每个虚拟目录,执行下列操作:
a.
单击以选择一个虚拟目录,右键单击该虚拟目录,然后单击属性。
b.
在虚拟目录选项卡上,记下本地路径。
c.
启动
Microsoft
Windows
资源管理器,然后找到本地路径文件夹。
d.
右键单击该文件夹,然后单击属性。
e.
单击安全选项卡。
f.
单击添加。
g.
单击以选择
_Web
匿名用户和
_Web
应用程序帐户,然后单击确定。
h.
单击以选择
_Web
匿名用户帐户,然后拒绝“完全控制
ACE”。
i.
单击以选择
_Web
应用程序帐户,然后拒绝“完全控制
ACE”。
4.
对每个虚拟目录重复步骤
3,Exchange
和
Exadmin
虚拟根目录除外。
返回章节列表
Exchange
Server
5.5
计算机上的
IIS
锁定
在
Exchange
Server
5.5
计算机上使用锁定工具:
1.
启动
IISlockD.exe。
2.
单击高级锁定,然后单击下一步。
3.
将显示删除脚本映射对话框
a.
单击以清除“禁用
Active
Server
Pages
(.asp)
支持”复选框。
b.
如果“禁用
.HTR
脚本
(.htr)
支持”复选框已选中,则“OWA
更改密码”功能不起作用。单击下一步。
4.
将显示其他锁定操作对话框。
5.
单击下一步,然后单击是完成锁定进程。
如果您已经在
Exchange
Server
5.5
OWA
服务器上运行了
IIS
锁定工具,并选择了所有选项,则要还原功能,请执行下列操作:
•
OWA:
1.
启动
Internet
服务管理器。
2.
单击以展开默认
Web
站点,右键单击
Exchange
虚拟目录,然后单击属性。
3.
单击虚拟目录选项卡,然后单击配置。
4.
单击
.ASP
映射,然后单击编辑。IIS
锁定工具将此映射更新为
404.dll。将映射更改为
asp.dll。在基于
Microsoft
Windows
NT
4.0
的计算机上,将“PUT,
DELETE”添加到方法排除框中。在基于
Microsoft
Windows
2000
的计算机上,确保已选中限制为复选框,并且限制为框包含“GET,
HEAD,
POST,
TRACE”。
5.
单击确定关闭属性。
•
更改密码:
1.
重新创建已删除的
Iisadmpwd
虚拟目录。有关如何重新创建
Iisadmpwd
虚拟目录的其他信息,请单击下面的文章编号,以查看
Microsoft
知识库中相应的文章:
301428
Troubleshooting
Outlook
Web
Access
from
an
IIS
Perspective
2.
默认情况下,“.htr”文件的映射也将被删除。还原“.htr”文件的映射:
a.
启动
Internet
服务管理器。
b.
右键单击默认
Web
站点,然后单击属性。
c.
单击主目录选项卡,然后单击配置。
d.
单击
.htr
映射,然后单击编辑。IIS
锁定工具将此映射更新为
404.dll。将映射更改为
ism.dll。
e.
单击确定关闭属性。
返回章节列表
Exchange
2000
服务器上的
URLscan
本节包含下列组件的
URLscan
配置文件:
•
OWA
•
Exchange
系统管理器
•
即时消息
•
Web
文件夹
请注意,向
URLScan.ini
文件中添加
DenyUrlSequences
节后,如果邮件主题中包含这些特殊字符,您可能无法通过
Outlook
Web
Access
(OWA)
打开这类邮件。管理员应该检查
%windir%\system32\inetsrv\urslscan
文件夹中的
URLscan
日志文件,获取一些可以帮助解决这些问题的信息。
如果一台服务器上安装了多个服务,您可能需要合并配置文件以确保所有组件都能继续工作。
打开以下位置处的
Urlscan.ini
文件:
windir\System32\Inetsrv\Urlscan
根据
Exchange
计算机角色修改
Urlscan.ini
文件。
如果您在启用
URLScan
的情况下尝试
HTTP
请求时又遇到其他困难,请检查
Urlscan.log
文件查看被拒绝的请求列表。Urlscan.log
文件的默认位置为:
windir\System32\Inetsrv\Urlscan
返回章节列表
OWA
OWA
的
URLscan
配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny
Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
./
\
%
&
返回章节列表
用于管理公用文件夹的
Exchange
系统管理器
用于管理公用文件夹的
Exchange
系统管理器的
URLscan
配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
注意:如果内部域名系统
(DNS)
不包含
.com,您可以将
.com
添加到
DENYEXTENSIONS
列表中。
[DenyUrlSequences]
..
./
\
%
&
返回章节列表
即时消息
即时消息的
URLscan
配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL
[DenyVerbs]
[DenyHeaders]
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
./
\
%
&
返回章节列表
Web
文件夹
Web
文件夹的
URLscan
配置文件如下所示:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT
[DenyVerbs]
[DenyHeaders]
Translate:
If:
Lock-Token:
[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
[DenyUrlSequences]
..
:
./
\
%
&
返回章节列表
自定义
WebDAV
程序
您需要在
Exchange
2000
存储中检查已开发的所有自定义程序,以查看使用的
DAV
谓词列表。将这些谓词添加到
URLscan
配置文件的
AllowVerbs
节中,然后将该文件应用于承载自定义程序的服务器。
返回章节列表
Exchange
Server
5.5
计算机上的
URLscan
请注意,向
URLScan.ini
文件中添加
DenyUrlSequences
节后,如果邮件主题中包含这些特殊字符,您可能无法通过
Outlook
Web
Access
(OWA)
打开这类邮件。管理员应该检查
%windir%\system32\inetsrv\urslscan
文件夹中的
URLscan
日志文件,获取一些可以帮助解决这些问题的信息。
OWA
的
URLscan
配置文件如下所示(如果需要“更改密码”功能,您必须从“Deny
Extensions”(拒绝扩展名)节中删除“.htr”文件扩展名):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=
[AllowVerbs]
GET
HEAD
POST
[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK
[DenyHeaders]
Translate:
If:
Lock-Token:
[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr
[DenyUrlSequences]
..
./
\
:
%
&
返回章节列表
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
•
Microsoft
Exchange
Server
2000
Service
Pack
1
•
Microsoft
Exchange
Server
5.5
标准版
•
Microsoft
Exchange
2000
Enterprise
Server
,