Der Windows Server 2003 SP1 Sicherheitskonfigurations-Assistent wurde erkannt

[Dieses Thema beschäftigt sich mit einem besonderen Problem, das von Exchange Server Analyzer angezeigt wird. Die Problembehandlung sollte nur auf Systeme angewendet werden, auf denen Exchange Server Analyzer ausgeführt wird und dieses spezielle Problem auftritt. Exchange Server Analyzer (als kostenloser Download verfügbar) trägt remote Konfigurationsdaten von allen Servern in der Topologie zusammen und analysiert diese Daten automatisch. Der sich ergebende Bericht enthält ausführliche Informationen zu wichtigen Konfigurationskonflikten, möglichen Problemen und Produkteinstellungen, die nicht den Standardeinstellungen entsprechen. Indem Sie diese Empfehlungen beachten, können Sie bessere Leistung, Skalierbarkeit, Zuverlässigkeit und Betriebszeit erzielen. Weitere Informationen zum Tool sowie zum Download der aktuellsten Version finden Sie unter "Microsoft Exchange Analyzers" unter der Adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Letztes Änderungsdatum des Themas: 2005-11-18

Microsoft® Exchange Server Analyzer liest den folgenden Registrierungswert, um die Version des Microsoft Windows®-Betriebssystems zu bestimmen, die auf dem Exchange-Server ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion

Wenn für CurrentVersion der Wert 5.0 angegeben ist, führt der Exchange-Server Microsoft Windows 2000 Server aus. Wenn für CurrentVersion der Wert 5.2 angegeben ist, führt der Exchange-Server Microsoft Windows Server™ 2003 aus.

Außerdem liest Exchange Server Analyzer den folgenden Registrierungswert, um den Pfad für das Windows-Verzeichnis Programme zu bestimmen:

HKLM\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir

Exchange Server Analyzer überprüft dann das Windows-Verzeichnis Programme, um zu ermitteln, ob der Ordner \Exchsrvr für ExchangeServer enthalten ist.

Exchange Server Analyzer fragt außerdem die Microsoft WMI-Klasse (Windows®-Verwaltungsinstrumentation – Windows® Management Instrumentation) Win32_OperatingSystem ab, um den Wert des Schlüssels ServicePackMajorVersion zu bestimmen. Der Wert des Schlüssels ServicePackMajorVersion gibt das Windows Service Pack an, das auf dem Computer installiert ist.

Microsoft Exchange Server Analyzer zeigt eine Warnung an, wenn die folgenden Bedingungen zutreffen:

  • Microsoft Exchange Server Analyzer stellt fest, dass auf dem Exchange Server-Computer Windows Server 2003 Service Pack 1 ausgeführt wird.
  • Exchange Server Analyzer stellt fest, dass Exchange Server 2003 nicht unter dem Standardpfad \Programme\Exchsrvr installiert wurde.

Diese Warnung zeigt an, dass Exchange Server 2003 nicht im Standardordner Programme auf dem Server installiert wurde und der Sicherheitskonfigurations-Assistent (Security Configuration Wizard – SCW) auf dem Exchange-Server installiert ist. Beim Sicherheitskonfigurations-Assistent handelt es sich um ein Tool, das als optionale Komponente im Windows Server 2003 Service Pack 1 enthalten ist. Wenn der Sicherheitskonfigurations-Assistent auf dem Exchange-Server installiert wurde, ist eine manuelle Konfiguration im Abschnitt für Netzwerksicherheit erforderlich.

noteAnmerkung:
Wenn Sie den Sicherheitskonfigurations-Assistenten installieren möchten, müssen Sie zunächst Windows Server 2003 Service Pack 1 installieren. Öffnen Sie nach dem Installieren von Service Pack 1 über die Systemsteuerung das Dialogfeld Software, um den Sicherheitskonfigurations-Assistenten zu installieren.

Mithilfe des Sicherheitskonfigurations-Assistenten kann die Angriffsfläche von Windows-Servern verringert werden. Dazu werden dem Benutzer eine Reihe von Fragen gestellt, mit denen die funktionellen Anforderungen an einen Server ermittelt werden können. Der Sicherheitskonfigurations-Assistent kann u. a. beim Ausführen der folgenden Aufgaben verwendet werden:

  • Unnötige Dienste werden automatisch deaktiviert.
  • Nicht verwendete Anschlüsse werden automatisch blockiert.
  • Zusätzliche Adresseinschränkungen oder Sicherheitseinschränkungen für Anschlüsse, die weiterhin geöffnet bleiben, werden unterstützt.
  • Unnötige Web-Erweiterungen für Internet Information Services (IIS) werden ggf. verhindert.
  • Der Grad der Protokolloffenlegung für SMB (Server Message Block), LanMan und LDAP (Lightweight Directory Access Protocol) wird verringert.
  • Eine Überwachungsrichtlinie für hohen Rauschabstand wird definiert.

Der Sicherheitskonfigurations-Assistent führt Sie durch das Erstellen, Bearbeiten, Anwenden oder Rückgängigmachen einer Sicherheitsrichtlinie, der ausgewählte Rollen des Servers zugrunde liegen. Bei den mithilfe des Sicherheitskonfigurations-Assistenten erstellten Sicherheitsrichtlinien handelt es sich um XML-Dateien, mit denen Dienste, die Netzwerksicherheit, bestimmte Registrierungswerte und Überwachungsrichtlinien konfiguriert werden können. Gegebenenfalls können auch Internet Information Services (IIS) konfiguriert werden.

Der Sicherheitskonfigurations-Assistent enthält ein Netzwerksicherheits-Feature, das zusätzlich zu anderen Funktionen auch Ausnahmen für Windows Firewall konfiguriert und hinzufügt. Windows Firewall ist die neue Version des statusbehafteten Paketfilters von Windows Server 2003 Service Pack 1. Windows Firewall wurde erstmalig mit Windows XP Service Pack 2 eingeführt und als Internetverbindungsfirewall (ICF, Internet Connection Firewall) bezeichnet.

Ein bekanntes Problem tritt auf, wenn das Netzwerksicherheits-Feature im Sicherheitskonfigurations-Assistenten auf einem Exchange-Server ausgeführt wird, auf dem Exchange Server nicht im Standardpfad installiert wurde. In dieser Konfiguration kann die Anwendung der resultierenden Richtlinie dazu führen, dass Client-Computer nicht auf Exchange Server zugreifen können. Wenn das Netzwerksicherheits-Feature auf einem Exchange-Server verwendet wird, auf dem Exchange Server nicht im Standardpfad installiert ist, kann der Sicherheitskonfigurations-Assistent Windows Firewall so konfigurieren, dass der Zugriff auf den TPC/IP-Anschluss durch Exchange Server-Prozesse blockiert wird, z. B. die Systemaufsicht (Mad.exe), den Microsoft Exchange-Informationsspeicher (Store.exe) oder den MTA (Message Transfer Agent, Emsmta.exe). In dieser Konfiguration zeigt der Sicherheitskonfigurations-Assistent Nicht gefunden neben jedem Prozess an. Wenn der Sicherheitskonfigurations-Assistent ausgeführt wird, bis er mit einem Prozess abgeschlossen wurde, neben dem Nicht gefunden angezeigt wird, wendet der Sicherheitskonfigurations-Assistent eine Sicherheitsrichtlinie auf Windows Firewall an, die den Netzwerkzugriff durch diesen Prozess verhindert.

Wenn der blockierte Prozess einen oder mehrere Exchange Server-Prozesse enthält, kann dies dazu führen, dass Client-Computer und andere Server nicht mehr auf Exchange Server zugreifen können. Wenn diese Bedingung zutrifft, sollte eine der folgenden Prozeduren ausgeführt werden, um das Problem zu beheben.

So beheben Sie diesen Fehler

  • Führen Sie eine der folgenden Prozeduren aus, um das Problem zu beheben:

    • Verwenden Sie das Rollback-Feature des Sicherheitskonfigurations-Assistenten, um eine Sicherheitsrichtlinie nach deren Anwendung rückgängig zu machen. Weitere Informationen darüber finden Sie in der Hilfedatei des Sicherheitskonfigurations-Assistenten, die im Windows Server 2003 Service Pack 1 enthalten ist. Weitere Informationen über Windows Server 2003 Service Pack 1 und den Sicherheitskonfigurations-Assistenten finden Sie im TechNet unter Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=45315).
    • Geben Sie im Sicherheitskonfigurations-Assistenten im Feld Anwendungspfad den Speicherort der ausführbaren Verarbeitungsdateien von Exchange Server manuell ein. Wählen Sie hierzu den Prozess aus, neben dem Nicht gefunden angezeigt wird, und klicken Sie auf Bearbeiten. Es wird empfohlen, den Sicherheitskonfigurations-Assistenten auf dem Exchange-Server auszuführen, um sicherzustellen, dass die Pfade der ausführbaren Dateien der einzelnen Exchange Server-Prozesse korrekt sind. Nachdem die ausführbaren Dateien der einzelnen Prozesse überprüft wurden, kann die Sicherheitsrichtlinie des Sicherheitskonfigurations-Assistenten angewendet werden. Danach sollte Exchange Server über den für seine Funktionen erforderlichen Netzwerkzugriff verfügen.

Weitere Informationen über Windows Server 2003 Service Pack 1 und den Sicherheitskonfigurations-Assistenten finden Sie finden Sie im TechNet unter Windows Server 2003 (https://www.microsoft.com/germany/technet/datenbank/produkte.mspx).