偵測到 Windows Server 2003 SP1 安全性設定精靈

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2005-11-18

Microsoft® Exchange Server Analyzer 工具會讀取下列登錄值,以判定 Exchange 伺服器上執行的 Microsoft Windows® 作業系統版本:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion

如果 CurrentVersion 值等於 5.0,則表示 Exchange 伺服器執行於 Microsoft Windows 2000 Server 上。如果 CurrentVersion 值為 5.2,則表示 Exchange 伺服器執行於 Microsoft Windows Server™ 2003 上。

此外,Exchange Server Analyzer 會讀取下列登錄值,以判定 Windows Program Files 目錄的路徑:

HKLM\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir

然後,Exchange Server Analyzer 會檢查 Windows Program Files 目錄,以判定 Windows Program Files 目錄是否包含 Exchange Server 的 \Exchsrvr 資料夾。

最後,Exchange Server Analyzer 會查詢 Win32_OperatingSystem Windows Management Instrumentation (WMI) 類別,以判定 ServicePackMajorVersion 機碼值。ServicePackMajorVersion 機碼值表示電腦上安裝的 Windows Service Pack。

若下列條件為真,Exchange Server Analyzer 就會顯示警告:

  • Exchange Server Analyzer 判定 Exchange Server 電腦執行於 Windows Server 2003 Service Pack 1。
  • Exchange Server Analyzer 判定 Exchange Server 2003 並未安裝在 \Program Files\Exchsrvr 的預設路徑中。

此警告表示 Exchange Server 2003 並未安裝在伺服器的預設 Program Files 資料夾中,且 Exchange 伺服器上已安裝 [安全性設定精靈]。[安全性設定精靈工具] 是 Windows Server 2003 Service Pack 1 所隨附的一項選用性元件。若在 Exchange 伺服器上安裝 [安全性設定精靈],則需手動設定 [網路安全性] 區段。

note附註:
若要安裝 [安全性設定精靈],您必須先安裝 Windows Server 2003 Service Pack 1。安裝 Service Pack 1 後,開啟 [控制台] 中的 [新增/移除程式],來安裝 [安全性設定精靈]。

[安全性設定精靈] 可藉由詢問使用者一連串可用來判定伺服器運作需求的問題,來降低 Windows 伺服器的攻擊面。特別是,[安全性設定精靈] 會協助您執行下列工作:

  • 自動停用不必要的服務。
  • 自動封鎖未使用的通訊埠。
  • 協助您針對開啟的通訊埠套用其他位址限制或安全性限制。
  • 防止不必要的網際網路資訊服務 (IIS) Web 延伸 (若可用)。
  • 降低伺服器訊息區 (SMB)、LanMan 以及輕量型目錄存取協定 (LDAP) 等通訊協定洩漏的情形。
  • 定義高訊雜比的稽核原則。

[安全性設定精靈] 可引導您完成建立、編輯、套用或復原安全性原則 (根據選取的伺服器角色) 的程序。以 [安全性設定精靈] 建立的安全性原則,是一種可加以套用而用來設定服務、網路安全性、特定登錄值及稽核原則的 XML 檔案。網際網路資訊服務 (IIS) 也可設定 (若可用)。

[安全性設定精靈] 除了可執行其他功能外,還包含一項可在 [Windows 防火牆] 中設定及新增例外狀況的 [網路安全性] 功能。[Windows 防火牆] 是 Windows Server 2003 Service Pack 1 中新版的狀態封包篩選器。[Windows 防火牆] 最早於 Windows XP Service Pack 2 中推出。當時在 Windows XP Service Pack 2 中稱為「網際網路連線防火牆」。

若在執行 [安全性設定精靈] 之 [網路安全性] 功能的 Exchange 伺服器上,Exchange Server 並非安裝在預設路徑中,就會產生一項已知問題。在此設定中,若使用結果原則,即可能會導致用戶端無法存取 Exchange Server。若在使用 [網路安全性] 功能的 Exchange 伺服器上,Exchange Server 並非安裝在預設路徑中,[安全性設定精靈] 就會將 [Windows 防火牆] 設定為封鎖 Exchange Server 處理程序所做的 TCP/IP 通訊埠存取,這些處理程序包括系統服務員 (Mad.exe)、Microsoft Exchange Information Store (Store.exe) 或郵件傳輸代理程式 (Emsmta.exe) 等。在此組態中,[安全性設定精靈] 會在每個處理程序旁顯示 [找不到!]。在 [安全性設定精靈] 執行完成之後,若某個處理程序旁顯示 [找不到!],[安全性設定精靈] 就會對 Windows 防火牆套用安全性原則,封鎖該處理程序所做的網路存取。

若封鎖的處理程序包含一或多個 Exchange Server 處理程序,則用戶端與其他伺服器可能會無法存取 Exchange Server。若有這種情況,應執行下列其中一項程序來更正此問題。

更正問題
  • 請執行下列其中一項程序來更正問題:

    • 使用 [安全性設定精靈] 的復原功能,在套用安全性原則後予以復原。若需有關如何執行此動作的詳細資訊,請參閱 Windows Server 2003 Service Pack 1 內含的安全性設定精靈說明檔。若需有關 Windows Server 2003 Service Pack 1 及 [安全性設定精靈] 的詳細資訊,請參閱 Windows Server 2003 TechCenter (英文) (http://go.microsoft.com/fwlink/?LinkId=45315)。
    • 在 [安全性設定精靈] 中,手動填入 [應用程式路徑] 欄位,以指定 Exchange Server 處理程序可執行檔的位置。若要完成此動作,請選取旁邊顯示 [找不到!] 的處理程序,然後按一下 [編輯]。建議您在 Exchange 伺服器上執行 [安全性設定精靈],以確保每個 Exchange Server 處理程序可執行檔的路徑都正確。在核准每個處理程序可執行檔之後,便可套用 [安全性設定精靈] 安全性原則,而 Exchange Server 也擁有運作所需的網路存取權。

若需有關 Windows Server 2003 Service Pack 1 及 [安全性設定精靈] 的詳細資訊,請參閱 Windows Server 2003 TechCenter (英文) (http://go.microsoft.com/fwlink/?LinkId=45315)。

 
顯示: