DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 309508 - Geändert am: Samstag, 21. Januar 2006 - Version: 6.3

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
309508  (http://support.microsoft.com/kb/309508/EN-US/ ) IIS lockdown and URLscan configurations in an Exchange environment
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Problembeschreibung

Hinweis: Dieser Artikel behandelt Probleme, die mit Exchange 2000 und Exchange Server 5.5 beim Anwenden des IIS Lockdown-Tools (Version 1.0) auftreten können. Microsoft empfiehlt, dass Sie die neueste Version des IIS Lockdown Tools herunterladen:
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 (http://www.microsoft.com/downloads/release.asp?ReleaseID=43955)
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
309677  (http://support.microsoft.com/kb/309677/DE/ ) XADM: Bekannte Probleme und feine Optimierung, wenn Sie den II-Lockdown-Assistenten für ein Exchange 2000 Environment verwenden
Die IIS-Sicherheitstools (IIS = Internet Information Services) IISlockD und URLscan müssen entsprechend für Exchange konfiguriert werden. Dieser Artikel beschreibt die Konfiguration, die in Exchange 2000 Server- und Exchange Server 5.5-Umgebungen für diese Tools erforderlich ist. Typische Symptome für inkorrekte IISlockD- und URLscan-Konfigurationen sind:
  • Microsoft Outlook Web Access (OWA). Wenn Sie auf OWA zugreifen, fehlen möglicherweise Ihre Mails, Kalendereinträge und Kontakte. Darüber hinaus wird unter Umständen folgende Fehlermeldung angezeigt, wenn Sie mit einem Browser auf dem Exchange 2000-Server auf OWA zugreifen möchten:
    Es ist ein Laufzeitfehler aufgetreten.
    Soll der Debugmodus gestartet werden?
    Zeile: 878
    Fehler: Der Status des Handles entspricht nicht dem angeforderten Vorgang.
  • Exchange System Manager. Wenn Sie versuchen, die Struktur "Öffentliche Ordner" im Exchange System-Manager zu erweitern, wird möglicherweise folgende Fehlermeldung angezeigt:
    Das Objekt steht nicht mehr zur Verfügung. Aktualisieren Sie die Anzeige, indem Sie F5 drücken, und versuchen Sie es erneut.
    ID-Nr:
    Exchange System-Manager
  • Exchange System-Manager. Wenn Sie versuchen, die Struktur "Öffentliche Ordner" im Exchange System-Manager zu erweitern, wird möglicherweise folgende Fehlermeldung angezeigt:
    Der Vorgang schlug aufgrund eines internen Serverfehlers fehl. c1030af2
  • Exchange Instant Messaging. Wenn Sie versuchen, sich an Exchange Instant Messaging anzumelden, wird möglicherweise folgende Fehlermeldung angezeigt:
    Fehler beim Anmelden bei Microsoft Exchange Instant Messaging. Der Service ist momentan nicht verfügbar. Bitte wiederholen Sie den Vorgang später.

Ursache

Dieses Problem kann auftreten, weil die Standardkonfiguration der Sicherheitstools IISlockD und URLScan davon ausgeht, dass der Server nur statischen Inhalt zur Verfügung stellt. Exchange 2000-Komponenten verwenden Web Distributed Authoring and Versioning (WebDAV) und andere HTTP-Verben (HTTP = Hypertext Transfer Protocol), die von der Standardkonfiguration nicht zugelassen sind. Exchange Server 5.5-Komponenten benutzen Active Server Pages (ASP), die standardmäßig deaktiviert sind.

Lösung

Überprüfen Sie diese Einstellungen gründlich, bevor Sie sie auf Ihren Server anwenden. Sie sind auf optimale Funktionalität von Exchange 2000 Server und Exchange Server 5.5 ausgelegt, können jedoch unerwartete Nebeneffekte haben. Die nachfolgend aufgeführten URLscan INI-Einstellungen haben zum Beispiel eine Auswirkung auf IIS. Wenn Sie sich den Abschnitt "DenyExtensions" der INI-Einstellungen unten ansehen, werden Sie feststellen, dass diese Einstellungen die meisten Formen von Inhalten außer statischen .HTM- oder .HTML-Seiten verhindern.

IIS Lockdown auf Exchange 2000-Servern

In Exchange 2000-Umgebungen unterstützt das Lockdown-Tool keine IFS-Laufwerke (IFS = Installable File System, üblicherweise als Laufwerk M bezeichnet). Gehen Sie folgendermaßen vor, um das Lockdown-Tool auf Exchange 2000-Servern einzusetzen:
  1. Führen Sie die Datei "IISlockD.exe" aus.
  2. Klicken Sie auf Advanced Lockdown und anschließend auf Next.
  3. Das Dialogfeld Remove Script Mappings wird angezeigt:
    1. Ist das Kontrollkästchen Disable support for Active Server Pages (.asp) aktiviert, so funktionieren die OWA-Schaltflächen Multimedia und Abmelden (Log Off) nicht. Weitere Informationen dazu, wie Sie die Multimedia-Schaltfläche deaktivieren, wenn Sie kein einheitliches Messaging verwenden, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      288119  (http://support.microsoft.com/kb/288119/DE/ ) XWEB: Deaktivieren des Multi-Mediabuttons in OWA
      Bei deaktivierten Active Server Pages (ASP) funktioniert einheitliches Messaging immer noch mit WAV-Dateianhängen.
    2. Ist das Kontrollkästchen Disable support for the .HTR scripting (.htr) markiert, so funktioniert das OWA-Feature "Kennwort ändern" nicht. Dieses OWA-Feature ist standardmäßig deaktiviert. Weitere Information zum Verbergen der Schaltfläche Kennwort ändern in OWA finden Sie im folgenden Artikel der Knowledge Base:
      297121  (http://support.microsoft.com/kb/297121/DE/ ) Verwenden des Features "Kennwort ändern" in Outlook Web Access
  4. Klicken Sie auf Next.
  5. Das Dialogfeld Additional Lockdown Actions wird angezeigt:
    1. Deaktivieren Sie das Kontrollkästchen Disable Distributed Authoring and Versioning (WebDAV).
    2. Deaktivieren Sie das Kontrollkästchen Set file permissions to prevent the IIS anonymous users from writing to content directories. Virtuelle IIS-Verzeichnisse, die Exchange IFS zugeordnet sind, sind hierbei ausgeschlossen.
  6. Klicken Sie auf Next und danach auf Yes, um den Sperrvorgang abzuschließen.
Um die Dateiberechtigungen für den IIS-Anonymous-Benutzer manuell einzustellen, konfigurieren Sie eine explizite Verweigerung des Vollzugriffs für anonyme Webbenutzer für jedes virtuelle IIS-Verzeichnis:
  1. Starten Sie den Internetdienste-Manager der Microsoft Management Console (MMC).
  2. Erweitern Sie die Standardwebsite.
  3. Gehen Sie für die einzelnen virtuellen Verzeichnisse wie folgt vor:
    1. Markieren Sie ein virtuelles Verzeichnis, klicken Sie mit rechten Maustaste darauf, und klicken Sie anschließend auf Eigenschaften.
    2. Notieren Sie sich den lokalen Pfad auf der Registerkarte Virtuelles Verzeichnis
    3. Starten Sie Microsoft Windows Explorer, und suchen Sie den lokalen Pfadordner.
    4. Klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie danach auf Eigenschaften.
    5. Klicken Sie auf die Registerkarte Sicherheit.
    6. Klicken Sie auf Hinzufügen.
    7. Wählen Sie die Konten _Web Anonymous Users und _Web Applications aus, und klicken Sie danach auf OK.
    8. Wählen Sie _Web Anonymous Users aus, und verweigern Sie anschließend dieser Benutzergruppe den Vollzugriff.
    9. Wählen Sie _Web Applications aus, und verweigern Sie anschließend dieser Benutzergruppe den Vollzugriff.
  4. Wiederholen Sie die Schritte 1 bis 3 für alle virtuellen Verzeichnisse außer den virtuellen Stammverzeichnissen für Exchange und Exadmin.

IIS Lockdown auf Exchange Server 5.5-Computern

Gehen Sie folgendermaßen vor, um das Lockdown Tool auf Computern mit Exchange Server 5.5 einzusetzen:
  1. Führen Sie die Datei "IISlockD.exe" aus.
  2. Klicken Sie auf Advanced Lockdown und anschließend auf Next.
  3. Das Dialogfeld Remove Script Mappings wird angezeigt.
    1. Deaktivieren Sie das Kontrollkästchen Disable support for Active Server Pages (.asp).
    2. Ist das Kontrollkästchen Disable support for the .HTR scripting (.htr) markiert, so funktioniert das OWA-Feature "Kennwort ändern" nicht. Klicken Sie auf Next.
  4. Das Dialogfeld Additional Lockdown Actions wird angezeigt.
  5. Klicken Sie auf Next und danach auf Yes, um den Sperrvorgang abzuschließen.
Wenn Sie das IIS Lockdown Tool bereits mit Ihrem Exchange Server 5.5 OWA-Server installiert haben und dabei alle Optionen aktiviert waren, stellen Sie die Funktionalität folgendermaßen wieder her:
  • OWA:
    1. Starten Sie den Internetdienste-Manager.
    2. Erweitern Sie Standardwebsite, klicken Sie mit der rechten Maustaste auf das virtuelle Exchange-Verzeichnis, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf der Registerkarte Virtuelles Verzeichnis auf Konfiguration.
    4. Klicken Sie auf die .ASP-Zuordnung und danach auf Bearbeiten. Das IIS Lockdown Tool aktualisiert diese Zuordnung auf "404.dll". Ändern Sie die Zuordnung auf "asp.dll". Auf Microsoft Windows NT 4.0-Computern fügen Sie "PUT, DELETE" im Feld Methodenausnahmen hinzu. Stellen Sie auf Microsoft Windows 2000-Computern sicher, dass die Option Begrenzt auf ausgewählt ist und dass das Feld neben Begrenzt auf die Werte "GET, HEAD, POST, TRACE" enthält.
    5. Klicken Sie auf OK, um die Eigenschaften zu schließen.
  • Kennwört ändern:
    1. Erstellen Sie das gelöschte virtuelle Verzeichnis "Iisadmpwd" neu.Weitere Informationen zum Neuerstellen des virtuellen Verzeichnisses "Iisadmpwd" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      301428  (http://support.microsoft.com/kb/301428/DE/ ) Beheben von Access des Outlook Web aus einer II-Sicht
    2. Standardmäßig werden auch die Zuordnungen für ".htr"-Dateien entfernt. Gehen Sie folgendermaßen vor, um die Zuordnung für ".htr"-Dateien wiederherzustellen:
      1. Starten Sie den Internetdienste-Manager.
      2. Klicken Sie mit der rechten Maustaste auf die Standardwebsite, und klicken Sie dann auf Eigenschaften.
      3. Klicken Sie auf die Registerkarte Basisverzeichnis und danach auf Konfiguration.
      4. Klicken Sie auf die .htr-Zuordnung und danach auf Bearbeiten. Das IIS Lockdown Tool aktualisiert diese Zuordnung auf "404.dll". Ändern Sie die Zuordnung auf "ism.dll".
      5. Klicken Sie auf OK, um die Eigenschaften zu schließen.

URLscan auf Exchange 2000-Servern

Weitere Informationen zur Verwendung von URLScan und Exchange 2003 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823175  (http://support.microsoft.com/kb/823175/DE/ ) Fein einstellende und bekannt Probleme, wenn Sie das Dienstprogramm Urlscan in einer Exchange 2003-Umgebung verwenden
Dieser Abschnitt enthält URLscan-Konfigurationsdateien für die folgenden Komponenten:
  • OWA
  • Exchange System-Manager
  • Instant Messaging
  • Webordner
Bitte beachten Sie, dass Sie nach Hinzufügen des Abschnitts "DenyUrlSequences" in der Datei "URLScan.ini" Mails möglicherweise nicht mehr über Outlook Web Access (OWA) öffnen können, falls sich diese Sonderzeichen im Betreff der Mailnachricht befinden. Administratoren sollten die URLscan-Protokolldatei im Ordner "%windir%\system32\inetsrv\urslscan" überprüfen, um weitere Informationen zu diesen Problemen zu erhalten.

Sind mehrere Dienste auf einem einzigen Server installiert, so müssen Sie die Konfigurationsdateien zusammenführen, um sicherzustellen, dass alle Komponenten weiterhin funktionieren.

Öffnen Sie die Datei "Urlscan.ini" an folgendem Speicherort:
windir\System32\Inetsrv\Urlscan
Ändern Sie die Datei "Urlscan.ini" basierend auf der Rolle des Exchange-Computers ab.

Falls bei aktiviertem URLScan weiterhin Probleme mit HTTP-Anforderungen auftreten, so sehen Sie in der Protokolldatei "Urlscan.log" nach, welche Anforderungen abgelehnt wurden. Die Datei "Urlscan.log" befindet sich standardmäßig an folgendem Ort:
windir\System32\Inetsrv\Urlscan

OWA

Die URLscan-Konfigurationsdatei für OWA sieht folgendermaßen aus (wird die Funktionalität "Kennwort ändern" benötigt, so müssen Sie die Dateierweiterung ".htr" aus dem Abschnitt "Deny Extensions" löschen):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Exchange System-Manager für die Verwaltung von öffentlichen Ordnern

Die URLscan-Konfigurationsdatei für die Verwaltung von öffentlichen Ordnern mit Exchange System-Manager sieht folgendermaßen aus:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
Hinweis: Sie können ".com" zu der Liste "DENYEXTENSIONS" hinzufügen, wenn Ihr internes DNS kein ".com" enthält.
[DenyUrlSequences]
..
./
\
%
&

Instant Messaging

Die URLscan-Konfigurationsdatei für Instant Messaging sieht folgendermaßen aus:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Webordner

Die URLscan-Konfigurationsdatei für Webordner sieht folgendermaßen aus:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Benutzerspezifische WebDAV-Programme

Benutzerspezifische Programme, die auf dem Exchange 2000-Speicher entwickelt wurden, müssen auf die Liste der verwendeten DAV-Verben hin überprüft werden. Nehmen Sie diese Verben im Abschnitt "AllowVerbs" der URLscan-Konfigurationsdatei auf, und spielen Sie die Datei auf den Servern ein, auf denen das Programm zur Verfügung gestellt wird.

URLscan auf Exchange Server 5.5-Computern

Bitte beachten Sie, dass Sie nach Hinzufügen des Abschnitts "DenyUrlSequences" in der Datei "URLScan.ini" Mails möglicherweise nicht mehr über Outlook Web Access (OWA) öffnen können, falls sich diese Sonderzeichen im Betreff der Mailnachricht befinden. Administratoren sollten die URLscan-Protokolldatei im Ordner "%windir%\system32\inetsrv\urslscan" überprüfen, um weitere Informationen zu diesen Problemen zu erhalten.

Die URLscan-Konfigurationsdatei für OWA sieht folgendermaßen aus (wird die Funktionalität "Kennwort ändern" benötigt, so müssen Sie die Dateierweiterung ".htr" aus dem Abschnitt "Deny Extensions" löschen):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Keywords: 
kbprb KB309508
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: