DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 309508 - Dernière mise à jour: mercredi 26 octobre 2005 - Version: 6.2

Sommaire

Symptômes

Remarque Cet article fait référence aux problèmes rencontrés avec Exchange 2000 et Exchange Server 5.5 lorsque vous appliquez la version 1.0 de l'outil IIS Lockdown. Microsoft vous recommande de télécharger la dernière version de l'outil IIS Lockdown :
http://www.microsoft.com/downloads/release.asp?ReleaseID=43955 (http://www.microsoft.com/downloads/release.asp?ReleaseID=43955)
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
309677  (http://support.microsoft.com/kb/309677/EN-US/ ) XADM : Problèmes connus et mise au point lors de l'utilisation de l'Assistant IIS Lockdown dans un environnement Exchange 2000
Les outils de sécurité IIS (Internet Information Services), IISlockD et URLscan doivent être correctement configurés pour Exchange. Cet article décrit la configuration requise pour ces outils dans des environnements Exchange 2000 Server et Exchange Server 5.5. Les symptômes classiques de la configuration incorrecte de IISlockD et d'URLscan comprennent :
  • Microsoft Outlook Web Access (OWA). Lorsque vous accédez à OWA, vos éléments de messagerie, de calendrier et vos contacts peuvent être manquants. De plus, si vous essayez d'accéder à OWA à partir d'un navigateur sur le serveur Exchange 2000, le message d'erreur suivant peut s'afficher :
    Une erreur est survenue.
    Voulez-vous effectuer un débogage ?
    Ligne : 878
    Erreur : Le handle n'est pas dans un état adéquat pour l'opération demandée
  • Gestionnaire système Exchange. Lorsque vous essayez de cliquer pour développer l'arborescence des dossiers publics dans le Gestionnaire système Exchange, le message d'erreur suivant peut s'afficher :
    L'objet n'est plus disponible. Appuyez sur F5 pour actualiser l'affichage, puis réessayez.
    Numéro d'ID:  80040e19
    Gestionnaire système Exchange
  • Gestionnaire système Exchange. Lorsque vous essayez de développer l'arborescence des dossiers publics dans le Gestionnaire système Exchange, le message d'erreur suivant peut s'afficher :
    L'opération a échoué en raison d'une erreur de serveur interne. c1030af2
  • Messagerie de serveur instantanée Exchange. Lors de la connexion à la messagerie de serveur instantanée Exchange, le message d'erreur suivant peut s'afficher :
    La connexion à la messagerie de serveur instantanée Exchange a échoué car le service est momentanément indisponible. Veuillez réessayer ultérieurement.

Cause

Ce problème peut se produire car la configuration par défaut des outils de sécurité IISlockD et URLScan suppose que le serveur fournit uniquement du contenu statique. Les composants Exchange 2000 utilisent WebDAV (Web Distributed Authoring and Versioning) et d'autres verbes HTTP (Hypertext Transfer Protocol) qui ne sont pas autorisés par la configuration par défaut. Les composants Exchange Server 5.5 utilisent des pages ASP (Active Server Pages) qui sont désactivées par défaut.

Résolution

Veuillez consulter attentivement ces paramètres avant de les appliquer sur votre serveur. Ils sont conçus pour permettre un fonctionnement optimal d'Exchange 2000 Server et d'Exchange Server 5.5 mais ils peuvent avoir d'autres effets auxquels vous ne vous attendiez pas. Par exemple, les paramètres INI d'URLscan répertoriés ci-dessous affecteront IIS. Si vous prenez connaissance de la section "DenyExtensions" des paramètres INI ci-dessous, vous verrez que ces paramètres empêchent IIS de fournir la plupart des formes de contenu autres que les pages statiques .HTM ou .HTML.

Cette partie comprend les sections suivantes :

IIS Lockdown sur les serveurs Exchange 2000

Dans les environnements Exchange 2000, l'outil Lockdown ne contient pas les lecteurs montés (en général M) de l'IFS (système de fichiers installable) d'Exchange. Pour utiliser l'outil Lockdown sur les serveurs Exchange 2000, procédez comme suit :
  1. Exécutez le fichier IISlockD.exe.
  2. Cliquez sur Advanced Lockdown (Verrouillage avancé), puis sur Next (Suivant).
  3. La boîte de dialogue Remove Script Mappings (Supprimer les mappages de script) s'affiche :
    1. Si la case à cocher Disable support for Active Server Pages (.asp) (Désactiver le support pour les pages ASP (Active Server Pages)) est activée, les boutons Multimédia et Se déconnecter ne fonctionnent pas dans OWA. L'article suivant de la Base de connaissances Microsoft décrit le processus pour désactiver le bouton multimédia pour les utilisateurs qui ne disposent pas d'une solution de messagerie unifiée.
      288119  (http://support.microsoft.com/kb/288119/EN-US/ ) XWEB : Comment faire pour désactiver le bouton multimédia dans OWA
      Lorsque les pages ASP sont désactivées, la messagerie unifiée fonctionne toujours avec le fichier WAV en pièce jointe.
    2. Si la case à cocher Disable support for the .HTR scripting (.htr) (Désactiver le support pour le script .HTR (.htr)) est activée, la fonctionnalité Modification du mot de passe dans OWA ne fonctionne pas. Cette fonctionnalité d'OWA est désactivée par défaut. L'article suivant de la Base de connaissances Microsoft décrit le processus pour masquer le bouton Modification du mot de passe dans OWA :
      297121  (http://support.microsoft.com/kb/297121/EN-US/ ) XWEB : Comment faire pour masquer le bouton Modification du mot de passe dans la page d'options de Outlook Web Access
  4. Cliquez sur Next (Suivant).
  5. La boîte de dialogue Additional Lockdown Actions (Autres actions de verrouillage) s'affiche :
    1. Désactivez la case à cocher Disable Distributed Authoring and Versioning (WebDAV) (Désactiver WebDAV ( Distributed Authoring and Versioning)).
    2. Désactivez la case à cocher Set file permissions to prevent the IIS anonymous users from writing to content directories (Définir les autorisations fichier pour empêcher les utilisateurs IIS anonymes d'écrire dans les répertoires de contenu). Les répertoires IIS virtuels mappés sur l'IFS d'Exchange sont exclus.
  6. Cliquez sur Next (Suivant), puis sur Yes (Oui) pour terminer le processus de verrouillage.
Pour définir manuellement les autorisations de fichier pour l'utilisateur IIS anonyme, définissez de manière explicite un refus d'entrée de contrôle d'accès (ACE) pour les utilisateurs Web anonymes de chaque répertoire IIS virtuel :
  1. Démarrez la console MMC (Microsoft Management Console) du Gestionnaire des services Internet.
  2. Développez le Site Web par défaut.
  3. Pour chaque répertoire virtuel :
    1. Sélectionnez un répertoire virtuel, cliquez avec le bouton droit dessus, puis cliquez sur Propriétés.
    2. Sous l'onglet Répertoire virtuel, notez le chemin local.
    3. Démarrez l'Explorateur Microsoft Windows, puis recherchez le dossier local :
    4. Cliquez avec le bouton droit sur le dossier, puis sur Propriétés.
    5. Cliquez sur l'onglet Sécurité.
    6. Cliquez sur Ajouter.
    7. Sélectionnez les comptes _Utilisateurs Web anonymes et _Applications Web, puis cliquez sur OK.
    8. Sélectionnez le compte _Utilisateurs Web anonymes, puis refusez l'ACE de contrôle complet.
    9. Sélectionnez le compte _Applications Web, puis refusez l'ACE de contrôle complet.
  4. Répétez l'étape 3 pour chaque répertoire virtuel, en excluant les racines virtuelles Exchange et Exadmin.
retour à la liste des sections

IIS Lockdown sur les ordinateurs Exchange Server 5.5

Pour utiliser l'outil de verrouillage sur les ordinateurs Exchange Server 5.5, procédez comme suit :
  1. Exécutez le fichier IISlockD.exe.
  2. Cliquez sur Advanced Lockdown (Verrouillage avancé), puis sur Next (Suivant).
  3. La boîte de dialogue Remove Script Mappings (Supprimer les mappages de script) s'affiche :
    1. Désactivez la case à cocher Désactiver le support pour les pages Active Server (.asp).
    2. Si la case à cocher Disable support for Active Server Pages (.asp) (Désactiver le support pour le script .HTR (.htr)) est activée, la fonctionnalité Modification du mot de passe dans OWA ne fonctionne pas. Cliquez sur Next (Suivant).
  4. La boîte de dialogue Additional Lockdown Actions (Autres actions de verrouillage) s'affiche.
  5. Cliquez sur Next (Suivant), puis sur Yes (Oui) pour terminer le processus de verrouillage.
Si vous avez déjà exécuté l'outil IIS Lockdown sur votre serveur OWA Exchange Server 5.5 avec toutes les options sélectionnées, pour restaurer la fonctionnalité, procédez comme suit :
  • OWA :
    1. Démarrez le Gestionnaire des services Internet.
    2. Développez le Site Web par défaut, cliquez avec le bouton droit sur le répertoire virtuel Exchange, puis sur Propriétés.
    3. Cliquez sur l'onglet Répertoire virtuel, puis sur Configuration.
    4. Cliquez sur le mappage .ASP, puis sur Modifier. L'outil IIS Lockdown met à jour ce mappage en 404.dll. Modifier le mappage en asp.dll. Sur les ordinateurs Microsoft Windows NT 4.0, ajoutez "PUT, DELETE" à la zone Exclusions de méthode. Sur les ordinateurs Microsoft Windows 2000, assurez-vous que la case à cocher Limiter à est activée et qu'elle contient "GET, HEAD, POST, TRACE".
    5. Cliquez sur OK pour fermer les propriétés.
  • Modifiez le mot de passe :
    1. Recréez un répertoire virtuel Iisadmpwd qui a été supprimé.Pour plus d'informations sur la façon de recréer le serveur virtuel Iisadmpwd, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
      301428  (http://support.microsoft.com/kb/301428/EN-US/ ) Dépannage de Outlook Web Access au niveau d'IIS
    2. Par défaut, les mappages des fichiers ".htr" sont également supprimés. Pour restaurer le mappage des fichiers ".htr", procédez comme suit :
      1. Démarrez le Gestionnaire des services Internet.
      2. Cliquez avec le bouton droit sur Site Web par défaut, puis cliquez sur Propriétés.
      3. Cliquez sur l'onglet Répertoire de base, puis sur Configuration.
      4. Cliquez sur le mappage .htr, puis sur Modifier. L'outil IIS Lockdown met à jour ce mappage en 404.dll. Modifiez le mappage en ism.dll :
      5. Cliquez sur OK pour fermer les propriétés.
retour à la liste des sections

URLscan sur les serveurs Exchange 2000

Pour plus d'informations sur l'utilisation d'Exchange 2003 et d'URLscan, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
823175  (http://support.microsoft.com/kb/823175/ ) Mise au point et problèmes connus lors de l'utilisation de l'utilitaire Urlscan dans un environnement Exchange 2003
Cette section contient des fichiers de configuration URLscan pour les composants suivants :
  • OWA
  • Gestionnaire système Exchange
  • Messagerie instantanée
  • Dossiers Web
Veuillez noter qu'après avoir ajouté la section DenyUrlSequences au fichier URLScan.ini, vous ne pourrez peut-être pas ouvrir vos messages électroniques via Outlook Web Access (OWA) si la ligne Sujet de ce message contient ces caractères spéciaux. Les administrateurs doivent vérifier le fichier journal URLscan situé dans le dossier %windir%\system32\inetsrv\urslscan pour obtenir de l'aide pour résoudre ces problèmes.

Si plusieurs services sont installés sur un seul serveur, vous devrez fusionner les fichiers de configuration pour vous assurer que tous les composants continuent de fonctionner.

Ouvrez le fichier Urlscan.ini à l'emplacement suivant :
windir\System32\Inetsrv\Urlscan
Modifiez le fichier Urlscan.ini en fonction du rôle de l'ordinateur Exchange.

Si vous rencontrez d'autres difficultés lorsque vous essayez des demandes HTTP avec URLScan activé, vérifiez le fichier Urlscan.log contenant la liste des demandes qui sont rejetées. L'emplacement par défaut du fichier Urlscan.log est :
windir\System32\Inetsrv\Urlscan
retour à la liste des sections

OWA

Le fichier de configuration d'URLscan pour OWA se présente comme suit (si la fonctionnalité Modification du mot de passe est requise, vous devrez supprimer l'extension de fichier ".htr" de la section DenyExtensions) :
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&
retour à la liste des sections

Gestionnaire système Exchange pour la gestion des Dossiers publics

Le fichier de configuration d'URLscan pour le Gestionnaire système Exchange des Dossiers publics se présente comme suit :
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
Remarque Vous pouvez ajouter .com à la liste DENYEXTENSIONS si le DNS (Domain Name System) interne ne contient pas .com.
[DenyUrlSequences]
..
./
\
%
&
retour à la liste des sections

Messagerie instantanée

Le fichier de configuration d'URLscan pour la Messagerie instantanée se présente comme suit :
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&
retour à la liste des sections

Dossiers Web

Le fichier de configuration d'URLscan pour les dossiers Web se présente comme suit :
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&
retour à la liste des sections

Programmes WebDAV personnalisés

Vous devez vérifier tous les programmes personnalisés qui ont été développés sur la banque Exchange 2000 pour la liste de verbes DAV qui sont utilisés. Ajoutez ces verbes à la section AllowVerbs d'un fichier de configuration d'URLscan et appliquez ce fichier aux serveurs qui hébergent le programme personnalisé.

retour à la liste des sections

URLscan sur les ordinateurs Exchange Server 5.5

Veuillez noter qu'après avoir ajouté la section DenyUrlSequences au fichier URLScan.ini, vous ne pourrez peut-être pas ouvrir vos messages électroniques via Outlook Web Access (OWA) si la ligne Sujet de ce message contient ces caractères spéciaux. Les administrateurs doivent vérifier le fichier journal URLscan situé dans le dossier %windir%\system32\inetsrv\urslscan pour obtenir de l'aide pour résoudre ces problèmes.

Le fichier de configuration d'URLscan pour OWA se présente comme suit (si la fonctionnalité Modification du mot de passe est requise, vous devez supprimer l'extension de fichier ".htr" de la section DenyExtensions) :
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&
retour à la liste des sections

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Mots-clés : 
kbprb KB309508
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store