Der Windows-Firewall dient dazu, den Informationsaustausch zwischen dem Computer und einem Netzwerk bzw. dem Internet zu überwachen und einzuschränken. Der Windows-Firewall fängt eingehenden Datenverkehr ab, der nicht als Antwort auf eine Anforderung des Computers (angeforderter Datenverkehr) gesendet wurde oder nicht von Programmen oder Anschlüssen stammt, die in der Ausnahmeliste aufgeführt sind. Der Windows-Firewall bietet somit einen zuverlässigen Schutz vor Benutzern mit bösartigen Absichten und Programmen, die unaufgefordert eingehenden Datenverkehr für Computerangriffe nutzen. Der Windows-Firewall ist für Windows Server 2003 Service Pack 1 (SP1) standardmäßig deaktiviert.
Wenn der Windows-Firewall aktiviert wird, sind Computer unter Windows besser geschützt. Dies kann sich jedoch auf einige Kommunikationsarten sowie auf Anwendungen auswirken, wie z. B. Message Queuing. Um dieses Problem zu umgehen, können Administratoren in Windows Server 2003 SP1 eine Ausnahmeliste für Anwendungen definieren, indem sie den Pfad für den Dateinamen der einzelnen Anwendung angeben.
In Windows Server 2003 Service Pack 1 (SP1) ist der Windows-Firewall für alle Verbindungen, darunter LAN-Verbindungen (verkabelt und drahtlos) sowie DFÜ- und VPN-Verbindungen (virtuelles privates Netzwerk), standardmäßig deaktiviert. Auch für neue Verbindungen ist der Windows-Firewall standardmäßig deaktiviert. Der Windows-Firewall ist nur dann standardmäßig aktiviert, wenn er bei Verwendung des Netzwerkinstallations-Assistenten oder des Assistenten für den Internetzugang ausdrücklich aktiviert wird oder wenn bei der Installation von Windows Server 2003 Service Pack 1 (SP1) der Windows-Firewall-/Internetverbindungsdienst aktiviert ist.
Wenn Sie Message Queuing installieren oder aktualisieren, fügt Setup die Anwendung automatisch der Ausnahmeliste des Windows-Firewalls hinzu. Sie können Message Queuing aus der Ausnahmeliste entfernen, indem Sie den folgenden Befehl ausführen:
netsh firewall delete allowedprogram program=%windir%\system32\mqsvc.exe profile=all
Bei der Installation oder Aktualisierung auf Windows Server 2003 SP1 wird die Komponente zur Unterstützung kompatibler Clients (mqdssvc.exe) standardmäßig der Ausnahmeliste hinzugefügt. Dieser Dienst wird nicht wie der Message Queuing-Dienst (mqsvc.exe) standardmäßig installiert. Um mqdssvc.exe aus der Ausnahmeliste zu entfernen, führen Sie den folgenden Befehl aus:
netsh firewall delete allowedprogram program=%windir%\system32\mqdssvc.exe profile=all
Um der Ausnahmeliste Message Queuing hinzuzufügen, führen Sie den folgenden Befehl aus:
netsh firewall add allowedprogram program=%windir%\system32\mqsvc.exe name=msmqmode=enablescope=all profile=all
Um der Ausnahmeliste die Komponente Unterstützung für kompatible Message Queuing-Clients (mqdssvc.exe) hinzuzufügen, führen Sie den folgenden Befehl aus:
netsh firewall add allowedprogram program=%windir%\system32\mqdssvc.exe name=mqdsmode=enablescope=all profile=all
Um die Ausnahmeliste anzuzeigen, führen Sie den folgenden Befehl aus:
netsh firewall show allowedprogram ENABLE
Um beim Ausführen von Message Queuing bei aktiviertem Windows-Firewall auf Remotecomputern mithilfe von Active Directory-Benutzer und -Computer öffentliche Warteschlangen anzuzeigen, müssen Sie der Ausnahmeliste möglicherweise die Remoteverwaltung hinzufügen.
netsh firewall set service type=remoteadmin mode=enablescope=all
Beim Installieren von HTTP-Unterstützung für MSMQ installiert Setup automatisch den WWW-Publishingdienst Internetinformationsdienste (Internet Information Services, IIS) und erstellt eine IIS-Ausnahme für Message Queuing (namens "MSMQ"). In der IIS-Dokumentation finden Sie Informationen zum Konfigurieren von IIS für den Windows-Firewall.
Sie können auch den in Windows Server 2003 SP1 enthaltenen Sicherheitskonfigurations-Assistenten verwenden, um der Ausnahmeliste Message Queuing hinzuzufügen oder aus der Liste zu entfernen. Weitere Informationen finden Sie unter Sicherheitskonfigurations-Assistent (Übersicht).
Bei Computern unter Windows Server 2003 SP1, die mit einer Domäne verbunden sind, können Sie die Einstellungen für den Windows-Firewall auch mithilfe von Active Directory und der Windows-Firewall-Einstellungen in der Gruppenrichtlinie Computerkonfiguration von Windows 2000 oder Windows Server 2003 konfigurieren. Die Domänenrichtlinie überschreibt dabei die lokalen Windows-Firewall-Einstellungen.