Exchange und der Security Configuration Wizard

  • Article

Als kleines Addon zu der Ankündigung des Windows Server 2003 Service Pack 1 von heute Morgen möchte ich an dieser Stelle auf eine mögliche Hürde bei der Verwendung des SCW auf Exchange Servern hinweisen:

Der im Windows Server 2003 Service Pack 1 enthaltene Security Configuration Wizard braucht eventuell genauere Beachtung bei der Nutzung auf speziellen Exchange Serverumgebungen. Standardmäßig versucht der SCW Dienste des Exchange Servers wie MTA (emsmta.exe), Systemaufsicht (mad.exe), Verzeichnisdienst (store.exe) und - soweit vorhanden und aktiv - den Standortreplikationsdienst srsmain.exe zu erkennen.

Nur wenn die Exchange-Installation nicht (!)  im Defaultverzeichnis %PROGRAMFILES%\Exchsrvr durchgeführt wurde, kann diese Erkennung fehlschlagen. Die Prozesse werden dann angezeigt mit dem Suffix [NOT FOUND!]. Wer mit dem SCW an dieser Stelle fortfährt, wird mit einer Popup-Warnung darauf hingewiesen, dass einige Prozesse nicht gefunden werden konnten.

Achtung: Alle Prozesse, die [NOT FOUND!] als Status haben, werden vom SCW mit Hilfe der Windows Firewall nach dem nächsten Neustart geblockt!

Als Folge können Exchange-Nutzer, zum Beispiel mit Outlook-Clients, nicht mehr auf ihre Mails zugreifen (OWA-Benutzer sind davon normalerweise nicht betroffen). 

Wer auf dieses Problem stößt, kann es allerdings sehr einfach selbst lösen. Sollte der SCW schon zu Ende geführt worden sein und die Clients können sich nach dem Neustart nicht mehr mit dem Exchange-Server verbinden (oder einfacher gesagt: Ist das Kind schon in den Brunnen gefallen), dann hat man zur sofortigen Problembehebung zwei einfache Möglichkeiten:

  1. Man setzt die Richtlinie des Security Configuration Wizards zurück. Dies geht am einfachsten, indem man den SCW erneut startet und nach dem Willkommensbildschirm Roll back the last applied security policy auswählt.
  2. Man konfiguriert die Windows Firewall manuell nach. Dazu einfach in der Firewall-Konfiguration auf Ausnahmen klicken und dort unter Programme und Dienste die vier oben aufgeführten EXE-Dateien als Ausnahmen hinzufügen.

Um dieses Problem von Anfang an zu umgehen, sollte man jeden Prozess, den der SCW nicht finden kann, manuell entsprechend zuordnen, bevor die Konfiguration des SCW zu Ende geführt wird. Die Popup-Warnung, dass einige Prozesse nicht gefunden werden konnten, sollte deswegen generell nicht einfach ignoriert werden.

Diese mögliche Hürde im Umgang mit dem SCW auf Exchange Servern ist in der Knowledge Base auf englisch in folgenem Artikel beschrieben: After you run the Security Configuration Wizard in Windows Server 2003 SP1, Outlook users may not be able to connect to their accounts

Der Knowledge Base Artikel steht über die automatische Übersetzungsfunktion auch auf deutsch zur Verfügung: Kann Outlook-Benutzer kann keine Verbindung nach Ihnen auf ihre Konten, in Windows Server 2003 SP1 das Security Configuration Wizard ausgeführt wird, herstellen

Das Microsoft Exchange Team Blog aka You had me at EHLO... hat darüber auch einen Artikel (auf englisch) verfaßt: Windows 2003 SP1 Security Configuration Wizard and Exchange servers