已啟用 Windows 防火牆

[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (http://go.microsoft.com/fwlink/?linkid=34707)。]  

上次修改主題的時間: 2010-01-13

Microsoft Exchange Analyzer 工具會檢查下列登錄項目,以判定正在電腦上執行的 Windows 作業系統版本:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion

下表說明可指派給 CurrentVersion 子機碼的值。

 

CurrentVersion 值 Windows 作業系統

4.0

Windows NT Server 4.0

5.0

Windows 2000 Server

5.2

Windows Server 2003

6.0

Windows Server 2008

接下來,Exchange Analyzer 會查詢 Win32_ComputerSystem Windows Management Instrumentation (WMI) 類別,以判定 DomainRole 子機碼的值。下表說明可指派給 DomainRole 子機碼的值。

 

意義

0

獨立工作站

1

成員工作站

2

獨立伺服器

3

成員伺服器

4

備份網域控制站

5

網域主控制站

接著,Exchange Analyzer 會讀取下列登錄項目,以判定目標伺服器上是否已安裝並啟用 Windows 防火牆原則:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\<Firewall Profile>\EnableFirewall

下表說明可指派給 FirewallPolicy 子機碼的設定檔。

 

登錄機碼 意義

StandardProfile

會在電腦未連線至網路 (其中包含其電腦帳戶所在網域的網域控制站) 時套用的一組 Windows 防火牆設定。

DomainProfile

會在電腦連線至網路 (其中包含其電腦帳戶所在網域的網域控制站) 時套用的一組 Windows 防火牆設定。

PublicProfile

公用設定檔和標準設定檔相同,不過它適用於 Windows XP SP2 之後的 Windows 作業系統之 Windows 防火牆版本。

最後,在 Windows Server 2008 電腦上,Exchange Analyzer 會讀取下列登錄項目,以判定群組原則物件是否已設定為停用 Windows 防火牆:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\<Firewall_Profile>\EnableFirewall

下列四種情況當中,如果 Exchange Analyzer 判定有任何一個情況為真,就會顯示一則最佳作法訊息。

  • 目標伺服器:
    • 正在執行 Windows Server 2003。
    • 設定為獨立伺服器、成員伺服器或網域控制站。
    • 已設為啟用 Windows 防火牆標準設定檔。
  • 目標伺服器:
    • 設定為成員伺服器。
    • 已設為啟用 Windows 防火牆網域設定檔。
  • 目標伺服器:
    • 正在執行 Windows Server 2008。
    • 設定為網域控制站。
    • 已設為啟用 Windows 防火牆網域設定檔。
    • 未將群組原則設為停用 Windows 防火牆。
  • 目標伺服器:
    • 正在執行 Windows Server 2008。
    • 設定為獨立伺服器。
    • 已設為啟用 Windows 防火牆公用設定檔
    • 未將群組原則設為停用 Windows 防火牆。

最佳作法訊息表示目標伺服器已啟用 Windows 防火牆。Microsoft 建議的最佳作法並不是這種組態。在啟用 Exchange 伺服器上的 Windows 防火牆時,可能會導致用戶端的連線發生問題。這些問題可能會導致下列或其他徵兆:

  • Outlook 用戶端無法連線至伺服器。
  • 網路問題會導致無法連線至 Exchange。

若要解決此警告,請停止 Windows 防火牆服務。

在必須執行 Windows 防火牆的情況下解決此警告
  • 如果用戶端無法連線至 Exchange 伺服器,請確認 Windows 防火牆已設定正確的防火牆例外狀況。

  • 手動開啟 Windows 防火牆中的通訊埠,以便執行「Exchange 系統管理員 (Exchange System Manager)」和「Exchange 系統管理員 (Exchange Administrator)」。當您開啟 Windows 防火牆中的通訊埠時,會增加其他程式透過這些通訊埠存取您電腦的機會。開啟 Windows 防火牆中的通訊埠之前,請先仔細考量您的網路安全性需求。

note附註:
當您執行 Exchange Analyzer 時,將會持續收到警告訊息。

如需 Exchange Server 使用之通訊埠的相關資訊,請參閱<Exchange 2007 安全性手冊>(http://go.microsoft.com/fwlink/?LinkID=167345) 的<保護 Exchange 資料路徑>一節。

 
顯示: