已啟用 Windows 防火牆
[本主題的目的是要說明 Exchange Server Analyzer 工具所引出的特定問題。您只應將它套用到已執行過 Exchange Server Analyzer 工具且有遇到該特定問題的系統。Exchange Server Analyzer 工具可免費下載,它會從拓撲中的每台伺服器遠端收集組態資料,並自動分析該資料。產生的報告會詳述重要的組態問題、潛在問題及非預設的產品設定。遵循這些建議,您便能達到較佳的效能、延展性、可靠性及執行時間。如需此工具的相關資訊或是要下載最新版本,請參閱 Microsoft Exchange Analyzer (https://go.microsoft.com/fwlink/?linkid=34707)。]
上次修改主題的時間: 2010-01-13
Microsoft Exchange Analyzer 工具會檢查下列登錄項目,以判定正在電腦上執行的 Windows 作業系統版本:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentVersion
下表說明可指派給 CurrentVersion 子機碼的值。
CurrentVersion 值 | Windows 作業系統 |
---|---|
4.0 |
Windows NT Server 4.0 |
5.0 |
Windows 2000 Server |
5.2 |
Windows Server 2003 |
6.0 |
Windows Server 2008 |
接下來,Exchange Analyzer 會查詢 Win32_ComputerSystem Windows Management Instrumentation (WMI) 類別,以判定 DomainRole 子機碼的值。下表說明可指派給 DomainRole 子機碼的值。
值 | 意義 |
---|---|
0 |
獨立工作站 |
1 |
成員工作站 |
2 |
獨立伺服器 |
3 |
成員伺服器 |
4 |
備份網域控制站 |
5 |
網域主控制站 |
接著,Exchange Analyzer 會讀取下列登錄項目,以判定目標伺服器上是否已安裝並啟用 Windows 防火牆原則:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\<Firewall Profile>\EnableFirewall
下表說明可指派給 FirewallPolicy 子機碼的設定檔。
登錄機碼 | 意義 |
---|---|
StandardProfile |
會在電腦未連線至網路 (其中包含其電腦帳戶所在網域的網域控制站) 時套用的一組 Windows 防火牆設定。 |
DomainProfile |
會在電腦連線至網路 (其中包含其電腦帳戶所在網域的網域控制站) 時套用的一組 Windows 防火牆設定。 |
PublicProfile |
公用設定檔和標準設定檔相同,不過它適用於 Windows XP SP2 之後的 Windows 作業系統之 Windows 防火牆版本。 |
最後,在 Windows Server 2008 電腦上,Exchange Analyzer 會讀取下列登錄項目,以判定群組原則物件是否已設定為停用 Windows 防火牆:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\<Firewall_Profile>\EnableFirewall
下列四種情況當中,如果 Exchange Analyzer 判定有任何一個情況為真,就會顯示一則最佳作法訊息。
- 目標伺服器:
- 正在執行 Windows Server 2003。
- 設定為獨立伺服器、成員伺服器或網域控制站。
- 已設為啟用 Windows 防火牆標準設定檔。
- 目標伺服器:
- 設定為成員伺服器。
- 已設為啟用 Windows 防火牆網域設定檔。
- 目標伺服器:
- 正在執行 Windows Server 2008。
- 設定為網域控制站。
- 已設為啟用 Windows 防火牆網域設定檔。
- 未將群組原則設為停用 Windows 防火牆。
- 目標伺服器:
- 正在執行 Windows Server 2008。
- 設定為獨立伺服器。
- 已設為啟用 Windows 防火牆公用設定檔
- 未將群組原則設為停用 Windows 防火牆。
最佳作法訊息表示目標伺服器已啟用 Windows 防火牆。Microsoft 建議的最佳作法並不是這種組態。在啟用 Exchange 伺服器上的 Windows 防火牆時,可能會導致用戶端的連線發生問題。這些問題可能會導致下列或其他徵兆:
- Outlook 用戶端無法連線至伺服器。
- 網路問題會導致無法連線至 Exchange。
若要解決此警告,請停止 Windows 防火牆服務。
在必須執行 Windows 防火牆的情況下解決此警告
如果用戶端無法連線至 Exchange 伺服器,請確認 Windows 防火牆已設定正確的防火牆例外狀況。
手動開啟 Windows 防火牆中的通訊埠,以便執行「Exchange 系統管理員 (Exchange System Manager)」和「Exchange 系統管理員 (Exchange Administrator)」。當您開啟 Windows 防火牆中的通訊埠時,會增加其他程式透過這些通訊埠存取您電腦的機會。開啟 Windows 防火牆中的通訊埠之前,請先仔細考量您的網路安全性需求。
附註: |
---|
當您執行 Exchange Analyzer 時,將會持續收到警告訊息。 |
如需 Exchange Server 使用之通訊埠的相關資訊,請參閱<Exchange 2007 安全性手冊>(https://go.microsoft.com/fwlink/?LinkID=167345) 的<保護 Exchange 資料路徑>一節。