DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 309508 - Ultima modifica: mercoledì 14 dicembre 2005 - Revisione: 6.3

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I309508

In questa pagina

Sintomi

Nota Questo articolo si riferisce ai problemi che si verificano in Exchange 2000 ed Exchange Server 5.5 quando si applica lo Strumento di verifica della sicurezza per IIS versione 1.0. Microsoft consiglia di scaricare la versione più recente di questo strumento dal sito (informazioni in lingua inglese):
http://www.microsoft.com/downloads/release.asp?ReleaseID=45355 (http://www.microsoft.com/downloads/release.asp?ReleaseID=43955)
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
309677  (http://support.microsoft.com/kb/309677/ ) XADM: Problemi noti e ottimizzazione durante l'utilizzo del Blocco guidato protezione IIS in un ambiente Exchange 2000
Gli strumenti di protezione di Internet Information Services (IIS), IISlockD e URLscan, devono essere configurati correttamente per Exchange. In questo articolo viene descritta la configurazione richiesta da questi strumenti in ambienti Exchange 2000 Server ed Exchange Server 5.5. Di seguito sono illustrati i sintomi tipici di una configurazione non corretta di IISlockD e URLscan:
  • Microsoft Outlook Web Access (OWA). Quando si accede a OWA, è possibile che gli elementi di posta elettronica, del calendario e i contatti risultino mancanti. Inoltre, se si tenta di accedere a OWA da un browser sul server che esegue Exchange 2000 Server, è possibile che venga visualizzato il seguente messaggio di errore:
    Errore durante l'esecuzione.
    Eseguire il debug?
    Riga: 878
    Errore: Lo stato dell'handle non è corretto per l'operazione richiesta.
  • Gestore di sistema di Exchange. Quando si tenta di fare clic per espandere la struttura delle cartelle pubbliche in Gestore di sistema di Exchange, è possibile che venga visualizzato il seguente messaggio di errore:
    L'oggetto non è più disponibile. Premere F5 per aggiornare la visualizzazione, quindi riprovare.
    ID: 80040e19
    Gestore di sistema di Exchange
  • Gestore di sistema di Exchange. Quando si tenta di espandere la struttura delle cartelle pubbliche in Gestore di sistema di Exchange, è possibile che venga visualizzato il seguente messaggio di errore:
    Operazione non riuscita a causa di un errore interno del server. c1030af2
  • Messaggistica immediata di Exchange. Quando si tenta di accedere a Messaggistica immediata di Exchange, è possibile che venga visualizzato un messaggio di errore analogo al seguente:
    Accesso a Messaggistica immediata di Microsoft Exchange non riuscito. Il servizio non è momentaneamente disponibile. Riprovare.

Cause

Questo problema può verificarsi in quanto nella configurazione predefinita degli strumenti di protezione IISlockD e URLScan è previsto che il server stia fornendo solo contenuto statico. I componenti di Exchange 2000 utilizzano verbi WebDAV (Web Distributed Authoring and Versioning) e HTTP (Hypertext Transfer Protocol) non consentiti dalla configurazione predefinita. I componenti di Exchange Server 5.5 utilizzano pagine ASP (Active Server Pages), che sono disattivate per impostazione predefinita.

Risoluzione

È necessario esaminare attentamente queste impostazioni prima di applicarle al server. Si tratta di impostazioni configurate per garantire un funzionamento ottimale di Exchange 2000 Server ed Exchange Server 5.5 che potrebbero tuttavia causare effetti imprevisti. Ad esempio, le impostazioni INI di URLscan riportate di seguito influiranno su IIS. Nella sezione "DenyExtensions" delle impostazioni INI riportata di seguito è possibile notare come queste impostazioni impediscano a IIS di fornire la maggior parte dei formati di contenuto che non siano pagine statiche HTM o HTML.

Strumento di verifica della sicurezza per IIS su computer che eseguono Exchange 2000 Server

In ambienti Exchange 2000 lo Strumento di verifica della sicurezza per IIS non supporta unità montate IFS di Exchange (solitamente l'unità M). Per utilizzare lo Strumento di verifica della sicurezza per IIS su server che eseguono Exchange 2000 Server:
  1. Eseguire IISlockD.exe.
  2. Fare clic su Blocco avanzato, quindi scegliere Avanti.
  3. Verrà visualizzata la finestra di dialogo Rimozione di mapping di script.
    1. Se la casella di controllo Disattiva supporto per pagine ASP (asp) è selezionata, il pulsante multimediale di OWAe il pulsante Disconnetti non funzioneranno. Nell'articolo della Microsoft Knowledge Base riportato di seguito è descritta la procedura per disabilitare il pulsante multimediale in ambienti che non dispongono di una soluzione di messaggistica unificata:
      288119  (http://support.microsoft.com/kb/288119/ ) : Come disattivare il pulsante multimediale in OWA
      Quando le pagine ASP sono disabilitate, la messaggistica unificata funziona comunque con file allegati WAV.
    2. Se la casella di controllo Disattiva supporto per script HTR (htr) è selezionata, la funzionalità Modifica password di OWA non funzionerà. Questa funzionalità di OWA è disabilitata per impostazione predefinita. Nell'articolo della Knowledge Base riportato di seguito è descritta la procedura per nascondere il pulsante Modifica password in OWA:
      297121  (http://support.microsoft.com/kb/297121/ ) XWEB: Come nascondere il pulsante Modifica password nella pagina delle opzioni di Outlook Web Access
  4. Scegliere Avanti.
  5. Verrà visualizzata la finestra di dialogo Azioni di blocco aggiuntive:
    1. Deselezionare la casella di controllo Disattiva Distributed Authoring and Versioning (WebDAV).
    2. Deselezionare la casella di controllo Imposta autorizzazioni sui file per impedire che un utente anonimo di IIS scriva su directory di contenuto. Questa operazione escluderà le directory virtuali IIS associate al servizio IFS di Exchange.
  6. Scegliere Avanti, quindi per completare il processo di blocco.
Per impostare manualmente le autorizzazioni sui file per l'utente anonimo IIS, impostare una voce di controllo di accesso (ACE) Nega tutto esplicita per gli utenti Web anonimi per ciascuna directory virtuale di IIS:
  1. Avviare Microsoft Management Console (MMC) di Gestione servizio Internet.
  2. Fare clic per espandere il nodo Sito Web predefinito.
  3. Per ciascuna directory virtuale:
    1. Fare clic per selezionare una directory virtuale, fare clic con il pulsante destro del mouse sulla directory e scegliere Proprietà.
    2. Nella scheda Directory virtuale prendere nota del percorso locale.
    3. Avviare Esplora risorse e individuare la cartella locale.
    4. Fare clic con il pulsante destro del mouse sulla cartella, quindi scegliere Proprietà.
    5. Fare clic sulla scheda Protezione.
    6. Scegliere Aggiungi.
    7. Selezionare gli account _Web Anonymous Users e _Web Applications, quindi scegliere OK.
    8. Selezionare l'account _Web Anonymous Users, quindi negare l'autorizzazione ACE Controllo completo.
    9. Selezionare l'account _Web Applications, quindi negare l'autorizzazione ACE Controllo completo.
  4. Ripetere il passaggio 3 per ciascuna directory virtuale, escludendo le directory principali virtuali Exchange ed Exadmin.

Strumento di verifica della sicurezza per IIS su computer che eseguono Exchange Server 5.5

Per utilizzare lo Strumento di verifica della sicurezza per IIS su computer che eseguono Exchange Server 5.5:
  1. Avviare IISlockD.exe.
  2. Fare clic su Blocco avanzato, quindi scegliere Avanti.
  3. Verrà visualizzata la finestra di dialogo Rimozione di mapping di script.
    1. Deselezionare la casella di controllo Disattiva supporto per pagine ASP (asp).
    2. Se la casella di controllo Disattiva supporto per script HTR (htr) è selezionata, la funzionalità Modifica password di OWA non funzionerà. Scegliere Avanti.
  4. Verrà visualizzata la finestra di dialogo Azioni di blocco aggiuntive.
  5. Scegliere Avanti, quindi per completare il processo di blocco.
Se lo Strumento di verifica della sicurezza per IIS è già stato eseguito sul server Exchange Server 5.5 OWA con tutte le opzioni selezionate, per ripristinare la funzionalità:
  • OWA:
    1. Avviare Gestione servizi Internet.
    2. Fare clic per espandere il nodo Sito Web predefinito, fare clic con il pulsante destro del mouse sulla directory virtuale di Exchange, quindi scegliere Proprietà.
    3. Fare clic sulla scheda Directory virtuale, quindi scegliere Configurazione.
    4. Fare clic sul mapping .ASP, quindi scegliere Modifica. Questo mapping verrà aggiornato dallo Strumento di verifica della sicurezza per IIS in 404.dll. Modificare il mapping in asp.dll. Nei computer che eseguono Windows NT 4.0 aggiungere "PUT, DELETE" nella casella relativa alleesclusioni del metodo. Nei computer basati su Microsoft Windows 2000 assicurarsi che la casella di controllo Limita a sia selezionata e che nella casella Limita a sia specificato "GET, HEAD, POST, TRACE".
    5. Scegliere OK per chiudere la finestra delle proprietà.
  • Modifica password:
    1. Ricreare la directory virtuale Iisadmpwd eliminata.Per ulteriori informazioni su come ricreare la directory virtuale Iisadmpwd, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
      301428  (http://support.microsoft.com/kb/301428/ ) Risoluzione dei problemi relativi a Outlook Web Access dal punto di vista di IIS
    2. Per impostazione predefinita, vengono rimossi anche i mapping per i file "htr". Ripristinare il mapping per i file "htr":
      1. Avviare Gestione servizi Internet.
      2. Fare clic con il pulsante destro del mouse su Sito Web predefinito, quindi scegliere Proprietà.
      3. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.
      4. Fare clic sul mapping .htr, quindi scegliere Modifica. Questo mapping verrà aggiornato dallo Strumento di verifica della sicurezza per IIS in 404.dll. Cambiare il mapping in ism.dll.
      5. Scegliere OK per chiudere la finestra delle proprietà.

URLscan su computer che eseguono Exchange 2000 Server

Per ulteriori informazioni sull'utilizzo di Exchange 2003 e URLscan, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823175  (http://support.microsoft.com/kb/823175/ ) Ottimizzazione e problemi noti durante l'utilizzo dell'utilità Urlscan in un ambiente Exchange 2003
In questa sezione sono riportati i file di configurazione URLscan per i seguenti componenti:
  • OWA
  • Gestore di sistema di Exchange
  • Messaggistica immediata
  • Cartelle Web
Dopo l'aggiunta della sezione DenyUrlSequences al file URLScan.ini, potrebbe non essere possibile aprire messaggi di posta elettronica tramite Outlook Web Access (OWA) se nella riga dell'oggetto del messaggio sono presenti questi caratteri speciali. Per risolvere questi problemi, gli amministratori dovranno esaminare il file di registro URLscan presente nella cartella %windir%\system32\inetsrv\urslscan.

Se in un singolo server sono installati più servizi, sarà necessario unire i file di configurazione per assicurarsi che tutti i componenti continuino a funzionare correttamente.

Aprire il file Urlscan.ini che si trova nel seguente percorso:
windir\System32\Inetsrv\Urlscan
Modificare il file Urlscan.ini in base al ruolo del computer che esegue Exchange.

In caso di ulteriori difficoltà quando si tenta di inviare richieste HTTP con lo strumento URLScan abilitato, verificare nel file Urlscan.log l'elenco delle richieste rifiutate. Il percorso predefinito del file Urlscan.log è il seguente:
windir\System32\Inetsrv\Urlscan

OWA

Il file di configurazione URLscan per OWA è il seguente (se è richiesta la funzionalità Modifica password, sarà necessario rimuovere l'estensione del file "htr" dalla sezione Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
POST
SEARCH
POLL
PROPFIND
BMOVE
BCOPY
SUBSCRIBE
MOVE
PROPPATCH
BPROPPATCH
DELETE
BDELETE
MKCOL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Gestore di sistema di Exchange per la gestione di cartelle pubbliche

Il file di configurazione URLscan per la gestione delle cartelle pubbliche da parte del Gestore di sistema di Exchange è il seguente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
PROPFIND
SEARCH
PROPPATCH
DELETE
MKCOL
MOVE
COPY
OPTIONS

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
Nota È possibile aggiungere .com all'elenco DENYEXTENSIONS se il sistema DNS interno non contiene .com.
[DenyUrlSequences]
..
./
\
%
&

Messaggistica immediata

Il file di configurazione URLscan per Messaggistica immediata è il seguente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
SUBSCRIBE
UNSUBSCRIBE
SUBSCRIPTIONS
NOTIFY
POLL
PROPFIND
PROPPATCH
ACL

[DenyVerbs]

[DenyHeaders]
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
./
\
%
&

Cartelle Web

Il file di configurazione URLscan per le cartelle Web è il seguente:
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=1
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0

[AllowVerbs]
GET
PROPFIND
MOVE
BCOPY
DELETE
BDELETE
MKCOL
OPTIONS
LOCK
UNLOCK
PUT

[DenyVerbs]

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.asp
.cer
.cdx
.asa
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat

[DenyUrlSequences]
..
:
./
\
%
&

Programmi WebDAV personalizzati

È necessario rivedere tutti i programmi personalizzati sviluppati sull'archivio di Exchange 2000 esaminando l'elenco dei verbi DAV utilizzati. Aggiungere quindi tali verbi alla sezione AllowVerbs di un file di configurazione URLscan e applicare tale file ai server sui quali viene eseguito il programma personalizzato.

URLscan su computer che eseguono Exchange Server 5.5

Dopo l'aggiunta della sezione DenyUrlSequences al file URLScan.ini, potrebbe non essere possibile aprire messaggi di posta elettronica tramite Outlook Web Access (OWA) se nella riga dell'oggetto del messaggio sono presenti questi caratteri speciali. Per risolvere questi problemi, gli amministratori dovranno esaminare il file di registro URLscan presente nella cartella %windir%\system32\inetsrv\urslscan.

Il file di configurazione URLscan per OWA è il seguente (se è richiesta la funzionalità Modifica password, sarà necessario rimuovere l'estensione del file "htr" dalla sezione Deny Extensions):
[Options]
UseAllowVerbs=1
UseAllowExtensions=0
NormalizeUrlBeforeScan=1
VerifyNormalization=1
AllowHighBitCharacters=1
AllowDotInPath=0
RemoveServerHeader=0
EnableLogging=1
PerProcessLogging=0
AllowLateScanning=0
AlternateServerName=

[AllowVerbs]
GET
HEAD
POST

[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK

[DenyHeaders]
Translate:
If:
Lock-Token:

[DenyExtensions]
.exe
.bat
.cmd
.com
.htw
.ida
.idq
.idc
.shtm
.shtml
.stm
.printer
.ini
.log
.pol
.dat
.htr

[DenyUrlSequences]
..
./
\
:
%
&

Le informazioni in questo articolo si applicano a
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
Chiavi: 
kbprb KB309508
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store