Referenca mrežnih portova razmjene. Povezivanje klijenata e-pošte na Microsoft Exchange Server putanje podataka za servere poštanskih sandučića
[Ovaj članak je preliminarni dokument i podložan je promjenama u budućim izdanjima. Prazni dijelovi su uključeni kao čuvari mjesta. Ako želite da napišete recenziju, rado bismo je primili. Pošaljite nam ga e-poštom [email protected]]
Primjenjivo na: Exchange Server 2016
Informacije o mrežnim portovima koje Exchange 2016 koristi za pristup klijentima i protok pošte.
Ova tema pruža informacije o mrežnim portovima koje koristi Microsoft Exchange Server 2016 za komunikaciju sa klijentima e-pošte, Internet serverima pošte i drugim uslugama koje se nalaze izvan vaše lokalne Exchange organizacije. Prije nego što počnete, razmotrite sljedeća osnovna pravila.
Ne podržavamo ograničavanje ili modifikovanje mrežnog saobraćaja između internih Exchange servera, između internih Exchange servera i internih Lync ili Skype for Business servera, ili između internih Exchange servera i internih Active Directory domenskih kontrolera u bilo kojoj od tipova topologije. Ako koristite zaštitne zidove ili mrežne uređaje koji mogu ograničiti ili modificirati ovaj mrežni promet, morate postaviti pravila kako biste omogućili slobodnu i neograničenu komunikaciju između ovih servera (pravila koja dozvoljavaju mrežni promet na i sa bilo kojeg porta, uključujući nasumične RPC portove i bilo koje protokol). , koji ne mijenja ni jedan bit).
Edge Transport serveri su skoro uvek u perimetarskoj mreži, tako da se očekuje da će mrežni saobraćaj između Edge Transport servera i Interneta, kao i između Edge Transport servera i interne Exchange organizacije, biti ograničen. Ovi mrežni portovi su opisani u ovom odjeljku.
Od vas se očekuje da ograničite mrežni promet između eksternih klijenata i usluga i interne Exchange organizacije. Takođe možete ograničiti promet između internih klijenata i internih Exchange servera. Ovi mrežni portovi su opisani u ovom odjeljku.
Sadržaj
Mrežni portovi potrebni za klijente i usluge
Mrežni portovi potrebni za protok pošte (bez Edge transportnih servera)
Mrežni portovi potrebni za protok pošte sa Edge Transport serverima
Mrežni portovi potrebni za hibridne implementacije
Mrežni portovi potrebni za Unified Messaging
Mrežni portovi koje klijenti e-pošte trebaju za pristup poštanskim sandučićima i drugim uslugama u Exchange organizaciji opisani su u sljedećem dijagramu i tabeli.
Bilješke.
Odredište za ove klijente i usluge su usluge klijentskog pristupa na serveru poštanskog sandučeta. U Exchange 2016, usluge klijentskog pristupa (spoljne) i interne usluge su instalirane zajedno na istom serveru poštanskog sandučeta. Pogledajte odjeljak za više informacija.
Iako dijagram prikazuje klijente i usluge sa Interneta, koncepti su isti za interne klijente (na primjer, klijenti u šumi naloga koji pristupaju Exchange serverima u šumi resursa). Slično tome, u tabeli nema kolone Izvor jer izvor može biti bilo koja lokacija izvan Exchange organizacije (na primjer, Internet ili šuma naloga).
Edge Transport serveri ne učestvuju u mrežni promet povezane sa tim klijentima i uslugama.
| Svrha | Luke | Bilješke |
|---|---|---|
Šifrirane web veze koriste sljedeći klijenti i usluge. Usluga automatskog otkrivanja Exchange ActiveSync Exchange Web Services (EWS) Distribucija izvanmrežnih adresara Outlook Anywhere (RPC preko HTTP-a) MAPI Outlook preko HTTP-a Outlook na webu | 443/TCP (HTTPS) | EWS Referenca za Exchange |
Nešifrirane web veze koriste sljedeći klijenti i usluge. Objavite svoj kalendar na webu Outlook na webu (preusmjeravanje na port 443/TCP) Autodiscovery (povratak kada port 443/TCP nije dostupan) | 80/TCP (HTTP) | Kad god je to moguće, preporučujemo da koristite šifrirane web veze na portu 443/TCP kako biste zaštitili vjerodajnice i druge podatke. Međutim, neke usluge moraju biti konfigurirane da koriste nešifrirane web veze na portu 80/TCP do usluga klijentskog pristupa na serverima poštanskog sandučeta. Za više informacija o ovim klijentima i uslugama, pogledajte sljedeće članke. |
IMAP4 klijenti | 143/TCP (IMAP), 993/TCP (sigurni IMAP) | IMAP4 je podrazumevano onemogućen. Pogledajte odjeljak za više informacija. IMAP4 usluga u uslugama klijentskog pristupa na serveru poštanskog sandučeta proksi veze sa internim IMAP4 servisom na serveru poštanskog sandučeta. |
POP3 klijenti | 110/TCP (POP3), 995/TCP (sigurni POP3) | Podrazumevano, POP3 protokol je onemogućen. Pogledajte odjeljak za više informacija. POP3 usluga u uslugama klijentskog pristupa na serveru poštanskog sandučeta proksi veze sa internim POP3 servisom na serveru poštanskih sandučića. |
SMTP klijenti (sa autentifikacijom) | 587/TCP (Provjereni SMTP) | Zadani konektor za primanje je "Client Frontend Bilješka. Ako imate klijente e-pošte koji mogu slati samo SMTP poruke s autentifikacijom na portu 25, možete promijeniti vrijednost povezivanja ovog konektora za primanje tako da također sluša autentificirane SMTP poruke na portu 25. |
Za početak
Mrežni portovi potrebni za protok pošte
Odlazna pošta
25/TCP (SMTP)
Server poštanskog sandučeta
Internet (sve)
Exchange podrazumevano ne kreira konektore za slanje koji vam omogućavaju da šaljete poštu na Internet. Morate ručno kreirati konektore za slanje. Pogledajte odjeljak za više informacija.
Odlazna pošta (ako se šalje preko eksterne usluge transporta)
25/TCP (SMTP)
Server poštanskog sandučeta
Internet (sve)
Odlazna pošta se šalje preko usluge eksternog transporta samo ako je omogućena postavka konektora za slanje Proksi preko servera klijentskog pristupa u EAC-u, ili parametar -FrontEndProxyEnabled $true u ljusci za upravljanje Exchange.
U ovom slučaju, podrazumevani konektor za primanje "Outbound Proxy Frontend
DNS server za razlučivanje imena sljedećeg skoka za poštu (nije prikazano)
53/UDP, 53/TCP (DNS)
Server poštanskog sandučeta
DNS server
Za početak
Pretplaćeni Edge Transport server instaliran u perimetarskoj mreži utiče na protok pošte na sljedeće načine:
Pošta sa Exchange 2016 ili Exchange 2013 Edge transportnog servera prvo ulazi u uslugu eksternog transporta, a zatim se usmerava na uslugu transporta na serveru poštanskog sandučeta Exchange 2016.
Pošta sa Exchange 2010 Edge Transport servera uvek ide direktno u transportnu uslugu na Exchange 2016 serveru poštanskog sandučeta.
Odlazna pošta iz Exchange organizacije nikada ne prolazi kroz eksterni transportni servis na serverima poštanskog sandučeta. Uvek se preusmerava sa usluge transporta na serveru poštanskog sandučeta pretplaćene lokacije Active Directory na Edge transportni server (bez obzira na verziju Exchange-a na Edge transportnom serveru).
Dolazna pošta se preusmjerava sa Edge Transport servera na server poštanskog sandučeta pretplaćene lokacije Active Directory. To znači sljedeće:
Mrežni portovi potrebni za protok pošte u Exchange organizacijama sa Edge Transport serverima opisani su u sljedećem dijagramu i tabeli.
| Svrha | Luke | Izvor | Svrha | Bilješke |
|---|---|---|---|---|
Dolazna pošta - sa Interneta na Edge Transport server | 25/TCP (SMTP) | Internet (sve) | Podrazumevani konektor za prijem pod nazivom Podrazumevani interni konektor za prijem <имя пограничного транспортного сервера> " na Edge Transport serveru sluša anonimnu SMTP poštu na portu 25. |
|
Dolazna pošta - od Edge Transport servera do interne Exchange organizacije | 25/TCP (SMTP) | Edge Transport Server | Podrazumevani konektor za slanje pod nazivom "EdgeSync - Inbound to Default Receive Connector "Default Frontend |
|
Odlazna pošta - od interne Exchange organizacije do Edge transportnog servera | 25/TCP (SMTP) | Serveri poštanskih sandučića na pretplaćenoj lokaciji Active Directory | Odlazna pošta uvijek zaobilazi uslugu eksternog transporta na serverima poštanskih sandučića. Pošta se prenosi sa usluge transporta na bilo kom serveru poštanskog sandučeta na pretplaćenoj lokaciji Active Directory na Edge transportni server korišćenjem implicitnog i nevidljivog konektora za slanje unutar organizacije koji automatski usmerava poštu između Exchange servera u istoj organizaciji. Podrazumevani interni konektor za prijem |
|
Odlazna pošta - sa Edge Transport servera na Internet | 25/TCP (SMTP) | Edge Transport Server | Internet (sve) | Podrazumevani konektor za slanje pod nazivom "EdgeSync - sa <имя сайта Active Directory> na Internet" prenosi odlaznu poštu na portu 25 sa Edge Transport servera na Internet. |
EdgeSync sinhronizacija | 50636/TCP (sigurni LDAP) | Serveri poštanskih sandučića na pretplaćenoj lokaciji Active Directory koji učestvuju u EdgeSync sinhronizaciji | Edge transportni serveri | Ako je Edge transportni server pretplaćen na lokaciju Active Directory, svi serveri poštanskih sandučića koji trenutno postoje na lokaciji učestvuju u EdgeSync sinhronizaciji. Ali ako kasnije dodate više servera poštanskog sandučeta, oni neće automatski učestvovati u EdgeSync sinhronizaciji. |
DNS server za razlučivanje imena sljedećeg skoka (nije prikazano) | 53/UDP, 53/TCP (DNS) | Edge Transport Server | DNS server | Pogledajte Rezolucija imena. |
Reputacija pošiljaoca Otkrivanje otvorenog proxyja (nije prikazano) | vidi beleške | Edge Transport Server | Internet | Podrazumevano, agent za analizu protokola koristi otkrivanje otvorenog proxyja kao jedan od uslova za izračunavanje nivoa reputacije izvornog servera za razmenu poruka. Za više informacija pogledajte članak. Sljedeći TCP portovi se koriste za provjeru izvornih servera za razmjenu poruka za otvoreni proxy server: Takođe, ako vaša organizacija koristi proxy server za kontrolu odlaznog Internet saobraćaja, morate odrediti ime proxy servera, tip i TCP port koji su potrebni za pristup Internetu i otkrivanje otvorenog proxy servera. Također možete onemogućiti otkrivanje otvorenog proksija. Pogledajte odjeljak za više informacija. |
Za početak
Rezolucija imena
Rezolucija imena
Rezolucija DNS sledećeg skoka pošte je osnovni deo toka pošte u bilo kojoj Exchange organizaciji. Exchange serveri odgovorni za primanje dolazne pošte ili isporuku odlazne pošte moraju biti u stanju da razriješe interna i eksterna imena hosta kako bi pravilno usmjerili poštu. Svi interni Exchange serveri moraju biti u stanju da razriješe interna imena hostova kako bi pravilno usmjerili poštu. Postoji mnogo različitih načina da dizajnirate svoju DNS infrastrukturu, ali važan rezultat je osigurati da se sljedeći skok pravilno riješi na svim Exchange serverima.
Koje TCP i UDP portove koristi moj Exchange 2000/2003 server?
Za potrebe konfigurisanja zaštitnih zidova ili za rješavanje problema u komunikaciji, može biti korisno znati koje TCP/UDP portove koriste Exchange 2000 Server i Exchange 2000 Conferencing Server. Ovaj članak važi i za instalacije Exchange Servera 2003.
Protokol: LDAP
- Port (TCP/UDP): 389 (TCP)
- Opis: Lightweight Directory Access Protocol (LDAP), koji koriste Active Directory, Active Directory Connector i Microsoft Exchange Server 5.5 direktorij.
Protokol: LDAP/SSL
- Port (TCP/UDP): 636 (TCP)
- Opis: LDAP preko sloja sigurnih utičnica (SSL). Kada je SSL omogućen, LDAP podaci koji se prenose i primaju su šifrirani.
- Da biste omogućili SSL, morate instalirati Računski certifikat na kontrolor domena ili Exchange Server 5.5 računar.
Protokol: LDAP
- Port (TCP/UDP): 379 (TCP)
- Opis: Usluga replikacije lokacije (SRS) koristi TCP port 379.
Protokol: LDAP
- Port (TCP/UDP): 390 (TCP)
- Opis: Iako nije standardni LDAP port, TCP port 390 je preporučeni alternativni port za konfigurisanje Exchange Server 5.5 LDAP protokola kada Exchange Server 5.5 radi na Microsoft Windows 2000 Active Directory kontroleru domena.
Protokol: LDAP
- Port (TCP/UDP): 3268 (TCP)
- Opis: Globalni katalog. Globalni katalog Windows 2000 Active Directory (koji je zapravo "uloga" kontrolera domena) sluša TCP port 3268. Kada rješavate probleme koji mogu biti povezani sa globalnim katalogom, povežite se na port 3268 u LDP-u.
Protokol: LDAP/SSL
- Port (TCP/UDP): 3269 (TCP)
- Opis: Globalni katalog preko SSL-a. Aplikacije koje se povezuju na TCP port 3269 servera globalnog kataloga mogu prenositi i primati SSL šifrirane podatke. Da biste konfigurirali globalni katalog da podržava SSL, morate instalirati Računski certifikat na globalni katalog.
Protokol: IMAP4
- Port (TCP/UDP): 143 (TCP)
- Opis: Internet Message Access Protocol verzija 4, mogu ga koristiti klijenti zasnovani na standardima kao što su Microsoft Outlook Express ili Netscape Communicator za pristup serveru e-pošte. IMAP4 radi na vrhu administrativne usluge Microsoft Internet Information Service (IIS) (Inetinfo.exe) i omogućava pristup klijentu Exchange 2000 spremištu informacija.
Protokol: IMAP4/SSL
- Port (TCP/UDP): 993 (TCP)
- Opis: IMAP4 preko SSL-a koristi TCP port 993. Prije nego što Exchange 2000 server podržava IMAP4 (ili bilo koji drugi protokol) preko SSL-a, morate instalirati Računski certifikat na Exchange 2000 server.
Protokol: POP3
- Port (TCP/UDP): 110 (TCP)
- Opis: Post Office Protocol verzija 3, omogućava klijentima „baziranim na standardima“ kao što su Outlook Express ili Netscape Communicator da pristupe serveru e-pošte. Kao i kod IMAP4, POP3 radi na IIS Admin Service-u i omogućava pristup klijentu Exchange 2000 skladištu informacija.
Protokol: POP3/SSL
- Port (TCP/UDP): 995 (TCP)
- Opis: POP3 preko SSL-a. Da biste omogućili POP3 preko SSL-a, morate instalirati Računski certifikat na Exchange 2000 server.
Protokol: NNTP
- Port (TCP/UDP): 119 (TCP)
- Opis: Protokol za transport mrežnih novosti, koji se ponekad naziva i Usenet protokol, omogućava klijentski pristup javnim fasciklama u skladištu informacija „zasnovanim na standardima“. Kao i kod IMAP4 i POP3, NNTP zavisi od IIS administratorske usluge.
Protokol: NNTP/SSL
Port (TCP/UDP): 563 (TCP)
Opis: NNTP preko SSL-a. Da biste omogućili NNTP preko SSL-a, morate instalirati Računski certifikat na Exchange 2000 Server.
Protokol: HTTP
- Port (TCP/UDP): 80 (TCP)
- Opis: Hyper-Text Transfer Protocol je protokol koji prvenstveno koristi Microsoft Outlook Web Access (OWA), ali takođe omogućava neke administrativne radnje u Exchange System Manager-u. HTTP se implementira preko World Wide Web Publishing Service (W3Svc) i radi na vrhu IIS Admin Service.
Protokol: HTTP/SSL
- Port (TCP/UDP): 443 (TCP)
- Opis: HTTP preko SSL-a. Da biste omogućili HTTP preko SSL-a, morate instalirati Računski certifikat na Exchange 2000 server.
Protokol: SMTP
- Port (TCP/UDP): 25 (TCP)
- Opis: Simple Mail Transfer Protocol, je osnova za sav transport e-pošte u Exchange 2000. SMTP usluga (SMTPSvc) radi na vrhu IIS Admin Service. Za razliku od IMAP4, POP3, NNTP i HTTP-a, SMTP u Exchange 2000 ne koristi poseban port za sigurnu komunikaciju (SSL), već koristi “in-band sigurnosni podsistem” koji se zove Transport Layer Security (TLS).
Protokol: SMTP/SSL
- Port (TCP/UDP): 465 (TCP)
- Opis: SMTP preko SSL-a. TCP port 465 je rezervisan uobičajenom industrijskom praksom za sigurnu SMTP komunikaciju koristeći SSL protokol. Međutim, za razliku od IMAP4, POP3, NNTP i HTTP-a, SMTP u Exchangeu 2000 ne koristi poseban port za sigurnu komunikaciju (SSL), već koristi „in-band sigurnosni podsistem“ koji se zove Transport Layer Security (TLS) . Da biste omogućili TLS da radi na Exchange 2000, morate instalirati Računski certifikat na Exchange 2000 server.
Protokol: SMTP/LSA
- Port (TCP/UDP): 691 (TCP)
- Opis: Microsoft Exchange Routing Engine (također poznat kao RESvc) sluša informacije o stanju veze za usmjeravanje na TCP portu 691. Exchange 2000 koristi informacije o stanju veze za usmjeravanje za usmjeravanje poruka i tabela usmjeravanja se stalno ažurira. Algoritam stanja veze (LSA) širi informacije o statusu izlaza između Exchange 2000 servera. Ovaj algoritam je baziran na Open Shortest Path First (OSPF) protokolu iz mrežne tehnologije i prenosi informacije o stanju veze između grupa za rutiranje korištenjem X-LSA-2 komandnog glagola preko SMTP-a i korištenjem veze protokola kontrole prijenosa (TCP) za port 691 u grupi za usmjeravanje.
Protokol: RVP
- Port (TCP/UDP): 80 (TCP)
- Opis: RVP je osnova za razmenu trenutnih poruka u Exchange 2000. Dok RVP komunikacija počinje sa TCP portom 80, server brzo postavlja novu vezu sa klijentom na prolaznom TCP portu iznad 1024. Pošto ovaj port nije poznat unapred, problemi postoje kada omogućite razmjenu trenutnih poruka putem zaštitnog zida.
Protokol: IRC/IRCX
- Port (TCP/UDP): 6667 (TCP)
- Opis: Internet Relay Chat (IRC) je protokol za ćaskanje. IRCX je proširena verzija koju nudi Microsoft. Dok je TCP port 6667 najčešći port za IRC, TCP port 7000 se takođe vrlo često koristi.
Protokol: IRC/SSL
- Port (TCP/UDP): 994 (TCP)
- Opis: IRC (ili Chat) preko SSL-a. IRC ili IRCX preko SSL-a nije podržan u Exchange 2000.
Protokol: X.400
- Port (TCP/UDP): 102 (TCP)
- Opis: ITU-T Preporuka X.400 je zaista niz preporuka za to kako bi sistem za rukovanje elektronskim porukama (MHS) trebao izgledati. TCP port 102 je definiran u IETF RFC-1006, koji opisuje OSI komunikaciju preko TCP/IP mreže. Ukratko, TCP port 102 je port koji Exchange agent za prijenos poruka (MTA) koristi za komunikaciju s drugim MTA-ovima koji podržavaju X.400.
Protokol: MS-RPC
- Port (TCP/UDP): 135 (TCP)
- Opis: Microsoft Remote Procedure Call je Microsoft implementacija poziva udaljenih procedura (RPC). TCP port 135 je zapravo samo RPC Locator Service, koji je poput registratora za sve RPC omogućene usluge koje rade na određenom serveru. U Exchange 2000, konektor grupe za rutiranje koristi RPC umjesto SMTP kada ciljni mostobran server pokreće Exchange 5.5. Također, neke administrativne operacije zahtijevaju RPC. Da biste konfigurisali zaštitni zid da omogući RPC saobraćaj, mora biti omogućeno mnogo više portova od samo 135.
Za dodatne informacije, kliknite na brojeve članaka ispod da biste pogledali članke u Microsoft bazi znanja:
XADM: Postavljanje brojeva TCP/IP portova za Internet zaštitne zidove
XCON: Konfigurisanje MTA TCP/IP porta # za X.400 i RPC slušanja
Protokol: T.120
- Port (TCP/UDP): 1503 (TCP)
- Opis: ITU-T Preporuka T.120 je niz preporuka koje definišu konferenciju podataka. Konferencija podataka implementirana je na strani servera kao dobavljač tehnologije konferencije (CTP) u višestrukoj kontrolnoj jedinici (MCU), koja je jedna komponenta Exchange Conferencing Services (ECS). Konferencija podataka implementirana je na strani klijenta kao ćaskanje, deljenje aplikacija, tabla i prenos datoteka u Microsoft NetMeeting-u.
Protokol: ULS
- Port (TCP/UDP): 522 (TCP)
- Opis: Usluga lokatora korisnika je vrsta usluge Internet direktorija za konferencijske klijente, kao što je NetMeeting. Exchange 2000 Server i Exchange 2000 Conferencing Server ne implementiraju ULS, već koriste prednosti Active Directory za usluge direktorija (preko TCP porta 389).
Protokol: H.323 (Video)
- Port (TCP/UDP): 1720 (TCP)
- Opis: ITU-T Preporuka H.323 definiše multimedijalne konferencije. TCP port 1720 je port za podešavanje H.323 (video) poziva. Nakon što se klijent poveže, H.323 server dogovara novi, dinamički UDP port koji će se koristiti za streaming podataka.
Protokol: Audio
- Port (TCP/UDP): 1731 (TCP)
- Opis: Audio konferencije su omogućene na isti način kao što su H.323 video konferencije omogućene u Exchange 2000 Serveru. Nakon što se klijenti povežu na TCP port 1731, pregovara se o novom dinamičkom portu za daljnji prijenos podataka.
Firewall (firewall) za servere pošte (Exchange Server), portove mail servera, front-end i back-end servere pošte, virtuelni serveri SMTP, POP3, IMAP4
Kao i svaki računar povezan na Internet, računar na kojem se nalazi server pošte mora biti zaštićen zaštitnim zidom. Istovremeno, opcije za instaliranje mail servera u smislu mrežne konfiguracije mogu biti vrlo različite:
· Najjednostavnija opcija je instalirati mail server na računar koji je ujedno i proxy/firewall, a zatim otvoriti potrebne portove na interfejsu okrenutom ka Internetu. Obično se ova šema koristi u malim organizacijama;
Druga opcija je instaliranje mail servera lokalna mreža i konfigurirajte ga da radi preko proxy servera. Da biste to uradili, možete povezati javni IP sa serverom pošte i proslediti ga kroz proxy ili koristiti alate za mapiranje portova na proxy serveru. Mnogi proxy serveri imaju posebne čarobnjake ili unaprijed definirana pravila za organiziranje takvog rješenja (na primjer, u ISA serveru). Ova opcija se koristi u većini organizacija.
· Još jedna fundamentalna mogućnost je kreiranje DMZ-a i postavljanje u njega front-end Exchange servera (takva mogućnost se pojavila od verzije 2000) ili SMTP Relay baziran na drugom Exchange serveru ili, na primjer, sendmail na *nix. Obično se koristi u mrežama velikih organizacija.
U svakom slučaju, mail server mora osigurati komunikaciju na najmanje TCP portu 25 (SMTP) i UDP portu 53 (DNS). Ostali portovi koji mogu biti potrebni Exchange Serveru u zavisnosti od vaše mrežne konfiguracije (svi TCP):
80 HTTP - za pristup web sučelju (OWA)
· 88 Kerberos protokol autentikacije - ako se koristi Kerberos autentifikacija (rijetko);
· 102 MTA .X .400 konektor preko TCP/IP (ako se X .400 konektor koristi za komunikaciju između grupa rutiranja);
· 110 Post Office Protocol 3 (POP 3) - za pristup klijentu;
· 119 Network News Transfer Protocol (NNTP) - ako se koriste novinske grupe;
135 Komunikacija klijent/server RPC Exchange administracija - standardni RPC port za udaljenu Exchange administraciju standardnim sredstvima sistem menadžer;
· 143 Internet Message Access Protocol (IMAP) - za pristup korisnika;
· 389 LDAP - za pristup servisu imenika;
· 443 HTTP (Sloj sigurnih utičnica (SSL)) (i ispod) - isti protokoli zaštićeni SSL-om.
563 NNTP (SSL)
636 LDAP (SSL)
993 IMAP4 (SSL)
995 POP3 (SSL)
· 3268 i 3269 - zahtjevi prema serveru globalnog kataloga (pretraga u Active Directory-u i provjera članstva u univerzalnim grupama).
Nema smisla zatvarati sučelje Exchange Servera okrenutog unutar organizacije zaštitnim zidom – koristit će se za interakciju s kontrolerima domena, administrativnim uslužnim programima, sistemima za sigurnosnu kopiju itd. Za sučelje izloženo Internetu, preporučuje se ostaviti portove 53 (ako će Exchange sam razriješiti imena hostova, a ne prosljeđivati zahtjeve lokalnom DNS server) i 25. Vrlo često kupci moraju da pristupe svojim poštanskim sandučićima izvana (od kuće, tokom službenog putovanja, itd.). Najbolje rešenje u ovoj situaciji je da konfigurišete OWA (web interfejs za pristup Exchange serveru, koji je podrazumevano instaliran, dostupan na http://server_name/exchange) da radi preko SSL-a i dozvoli pristup samo na portu 443. Pored rješavanje problema sa sigurnom autentifikacijom i enkripcijom poruka automatski rješava problem sa SMTP Relayom (više o tome kasnije) i sa situacijom kada korisnik slučajno preuzme radnu e-poštu u foldere mail klijenta na kućni računar, a onda na poslu ne može pronaći ove poruke (da ne spominjemo činjenicu da je pohranjivanje radne pošte kod kuće kršenje sigurnosti).
Nova funkcija predstavljena u Exchange Serveru. od verzije 2000, mogućnost korištenja više virtualnih SMTP i POP3 servera sa različitim sigurnosnim postavkama. Na primjer, SMTP server koji komunicira s Internetom može se konfigurirati za poboljšanu sigurnost i stroga ograničenja isporuke, dok se SMTP server koji korisnici unutar organizacije koriste može konfigurirati za maksimalne performanse i prilagođenost korisnicima.
Takođe je potrebno spomenuti određenu zbrku u terminologiji – vrlo često se firewall za Exchange nazivaju sistemi za filtriranje poruka, o čemu će biti riječi u nastavku.
Iz Rosalab Wiki
Svrha
Ovaj priručnik opisuje kako povezati različite mail clients na Microsoft Exchange server. Cilj je dobiti sistem koji je funkcionalno ekvivalentan Microsoft Outlook-u.
Ulazni podaci
Primeri koriste server Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Testiranje se vrši unutar korporativne mreže. DNS serveri određuju eksterne adrese pošte za server pošte. Exchange server bi trebao raditi:
- OWA (Outlook Web Access) - web klijent za pristup serveru zajednice Microsoft Exchange
- OAB (Offline Address Book) - izvanmrežni adresar
- EWS (Exchange Web Services) – usluga koja omogućava pristup podacima poštanskog sandučeta pohranjenim u Exchange Online (kao dio Office 365) i lokalnoj Exchange (počevši od Exchange Servera 2007)
Postavke Exchange servera
Autentifikacija je ključna za uspešan rad klijenata koji nisu Microsoft na Exchange 2010. Njegove parametre možete vidjeti na Exchange serveru sa ulogom CAS (Client Access Server). Pokrenite dodatak IIS Manager i otvorite karticu Sites/Default Web Site. Obratite pažnju na autentifikaciju u tri komponente:
- OWA - Država" Uključeno" za " Osnovna autentifikacija" i " Ispitivanje Windows autentikacija »:
- OAB - Država " Uključeno" za " Osnovna autentifikacija" i " Windows autentikacija»:
- EWS - Status " Uključeno" za " Anonimna autentifikacija», « Osnovna autentifikacija" i " Windows autentikacija»:
Slojevi (posrednici) i pomoćni programi
Davmail
Neki klijenti e-pošte ne mogu se povezati direktno na Microsoft Exchange i zahtijevaju korištenje posrednika. U ovom primjeru, proxy server se koristi kao posrednik Davmail.
- Instaliraj Davmail, dobijanjem administratorskih prava sa su ili sudo:
- Trči Davmail:
- Na kartici "Glavno" u " OWA (Exchange) URL» unesite adresu vašeg servera u formatu «https://
/EWS/Exchange.asmx" ili link na OWA
u formatu "https://
- Zapamtite brojeve portova Lokalni IMAP port" i " Lokalni SMTP port". U ovom primjeru, to su 1143 i 1025, respektivno.
Da ne biste svaki put ručno pokretali server Davmail, morate dodati njegov poziv u autoload.
- Idi na meni " Postavke sistema → Pokretanje i isključivanje → Automatsko pokretanje“, pritisnite [ Dodaj aplikaciju] i upišite "davmail" u traku za pretraživanje, a zatim pritisnite [ uredu]:
Sada lokalni proxy Davmailće se automatski pokrenuti pri pokretanju sistema. Ako vam smeta njegova ikona na traci zadataka, postoji mogućnost da je sakrijete. Da biste to učinili, uredite liniju davmail.server=false u datoteci .davmail.properties, mijenjajući false u true:
sudo mcedit /home/<имя_пользователя>/.davmail.properties
Klijenti e-pošte za povezivanje na Exchange
Sada možete početi s postavljanjem klijenata pošte.
Thunderbird
Mozilla Thunderbird je glavni mail klijent za ROSA Linux distribucije i najvjerovatnije je već instaliran na vašem sistemu i spreman za rad. Ako nije, može se instalirati iz ROSA spremišta. Ovaj primjer koristi verziju 52.2.1.
- Instaliraj Thunderbird:
- Dodajte interfejs na ruskom jeziku:
- Instalirajte dodatak Lightning koji vam omogućava korištenje kalendara:
- Trči Thunderbird.
- u poglavlju " Računi"u tački" Kreirajte nalog» odaberi « Email ". Pojavit će se prozor dobrodošlice.
- U prozoru koji se otvori kliknite na [ Preskoči ovo i koristi moju postojeću poštu].
- u prozoru" Postavljanje mail naloga» unesite u polja « tvoje ime», « E-mail adresa mail" i " Lozinka» vaše akreditive.
- Pritisnite [ Nastavi]. Program će pokušati pronaći veze (neuspješno) i pojavit će se poruka o grešci:
Ovdje će vam trebati brojevi portova koje pamtite prilikom postavljanja Davmail.
- Za kategorije " dolazni" i " odlazni' promijenite ime servera u 'localhost'.
- Odredi za " IMAP" port 1143, i za " SMTP"- port 1025.
- u polju" Korisničko ime» Navedite UPN (User Principal Name) - ime domene korisnika u formatu "[email protected]".
- Kliknite na [ Ponovo testiraj].
Ako unesete ispravne akreditive, neće biti grešaka. Sistem može zatražiti da prihvatite certifikat Exchange servera. Ako se to ne dogodi, možda ste prerano isključili interfejs. Davmail.
Kreirajte korisnički kalendar
- U kategoriji " Računi» odaberi « Kreirajte novi kalendar».
- U prozoru koji se pojavi odaberite vrijednost " Online" i pritisnite [ Dalje].
- Odaberite format " CalDAV"i na terenu" Adresa» unesite "http://localhost:1080/users/
/kalendar":
Kreirajte adresar
Adresar Thunderbird ne podržava CardDAV protokol i može se povezati samo na LDAP direktorij Exchange Servera.
- Otvorite postojeće adresare klikom na [ Adresar] i odabirom “ Datoteka -> Novo -> LDAP direktorij».
- U prozoru čarobnjaka navedite sljedeće opcije:
- Ime- bilo koji odgovarajući naziv
- Ime servera- lokalni domaćin
- Korijenski element (osnovni DN)-ou=ljudi
- Port- 1389 (od Davmail)
- Korisničko ime (vezivanje DN)- UPN korisničko ime
- Pritisnite [ uredu]. Program će od vas tražiti da unesete lozinku.
- Idite na meni sa opcijama Thunderbird. U kategoriji " Izrada» odaberite karticu « Addressing” i ispod teksta “Prilikom unosa adrese potražite odgovarajuće poštanske adrese u” označite kvadratić “ server direktorija” odabirom imena vašeg adresara.
evolucija
Mail klijent je takođe dostupan u ROSA repozitorijumima evolucija(u ovom primjeru se koristi verzija 3.16.4).
- Instaliraj evolucija:
- Instalirajte konektor Razmjena, kompatibilan sa verzijom 2007 i novijim:
- Trči evolucija.
- U prozoru čarobnjaka kliknite na [ Sljedeći] dok se ne prebacite na karticu " Račun».
- Popunite polja " Puno ime" i " Email».
- Na kartici " Primanje pošte» na listi « Tip servera» Odaberite Exchange Web Services.
- Navedite UPN ime korisnika u formatu "Korisničko ime@VašaDomena.ru" kao ime.
- u polju" URL hosta» unesite "https://ExchangeMailServerName/EWS/Exchange.asmx .
- u polju" OAB URL» unesite URL adresara van mreže.
- Odaberite "Basic" kao tip provjere autentičnosti.
Nakon uspješnog podešavanja, program će tražiti lozinku:
Nakon unosa lozinke evolucija dobiti pristup svom poštanskom sandučetu, adresaru i kalendarima.
Za sva pitanja vezana za ovaj članak, kontaktirajte [email protected]
Primjenjivo na: Exchange Server 2010 SP1
Zadnja izmjena odjeljka: 2011-04-22
Ovaj odeljak pruža informacije o portovima, autentifikaciji i šifrovanju za sve puteve podataka koji se koriste u Microsoft Exchange Serveru 2010. Odeljak „Napomene“ posle svake tabele pojašnjava ili definiše nestandardne metode autentifikacije ili šifrovanja.
Transportni serveri
U Exchange 2010 postoje dvije uloge servera koje obavljaju funkcije prijenosa poruka: Hub Transport server i Edge Transport server.
Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju putanje podataka između ovih transportnih servera i drugih Exchange 2010 servera i usluga.
Putevi podataka za transportne servere
| Putanja podataka | Potrebni portovi | Podrška za šifriranje | |||
|---|---|---|---|---|---|
|
Između dva Hub transportna servera |
Da, sa TLS-om (Transport Layer Security) |
||||
|
Sa Hub Transport servera na Edge Transport server |
direktno poverenje |
direktno poverenje |
Da, koristeći TLS |
||
|
Od Edge Transport servera do Hub Transport servera |
direktno poverenje |
direktno poverenje |
Da, koristeći TLS |
||
|
Između dva Edge Transport servera |
Anonimno, provjera autentičnosti certifikata |
Anonimno, sa sertifikatom |
Da, koristeći TLS |
||
|
Od servera poštanskog sandučeta do preko Microsoft Exchange usluge slanja pošte |
NTLM. Ako se uloga Hub Transport servera i uloga poslužitelja poštanskih sandučića izvode na istom serveru, koristi se Kerberos protokol. |
Da, koristeći RPC enkripciju |
|||
|
Od Hub transportnog servera do servera poštanskih sandučića putem MAPI-ja |
NTLM. Ako su uloga Hub Transport servera i uloga servera poštanskih sandučića instalirane na istom serveru, koristi se Kerberos protokol. |
Da, koristeći RPC enkripciju |
|||
|
Da, koristeći TLS |
|||||
|
Usluga Microsoft Exchange EdgeSync sa Hub Transport servera na Edge Transport server |
Da, koristeći LDAP preko SSL-a (LDAPS) |
||||
|
Pristupite Active Directory-u sa Hub Transport servera |
|||||
|
Pristup usluzi Active Directory Rights Management Service (AD RMS) sa Hub Transport servera |
Da, sa SSL-om |
||||
|
SMTP klijenti na Hub Transport server (na primjer, krajnji korisnici koji koriste Windows Live Mail) |
Da, koristeći TLS |
Napomene za transportne servere
- Sav saobraćaj između Hub transportnih servera je šifrovan korišćenjem Transport Layer Security (TLS) i samopotpisanih sertifikata instaliranih od strane Exchange 2010 instalacije.
- Sav promet između Edge Transport servera i Hub Transport servera je autentificiran i šifriran. Uzajamni TLS se koristi kao mehanizam za autentifikaciju i šifriranje. Umjesto provjere valjanosti X.509, Exchange 2010 koristi direktno poverenje. Direktno povjerenje znači da prisustvo certifikata u Active Directory Services ili Active Directory Lightweight Directory Services (AD LDS) potvrđuje autentičnost certifikata. Usluga direktorija Active Directory smatra se pouzdanim mehanizmom za skladištenje. Kada se koristi direktno povjerenje, nije bitno da li se koristi samopotpisani certifikat ili certifikat potpisan od strane CA. Kada pretplatite Edge transportni server na Exchange organizaciju, Edge pretplata objavljuje sertifikat Edge transportnog servera u servisu direktorijuma Active Directory tako da ga transportni serveri čvorišta mogu verifikovati. Usluga Microsoft Exchange EdgeSync dodaje skup certifikata Hub Transport servera u Active Directory Lightweight Directory Services (AD LDS) tako da ih Edge Transport server može provjeriti.
- EdgeSync koristi sigurnu LDAP vezu sa Hub Transport servera na pretplaćene Edge Transport servere na TCP portu 50636. Active Directory Lightweight Directory Services takođe sluša na TCP portu 50389. Veze na ovom portu ne koriste SSL protokol. Možete koristiti LDAP uslužne programe da se povežete na ovaj port i provjerite AD LDS podatke.
- Prema zadanim postavkama, promet između Edge Transport servera koji se nalaze u dvije različite organizacije je šifriran. Exchange 2010 Setup kreira samopotpisani sertifikat i podrazumevano omogućava TLS. Ovo omogućava bilo kom sistemu za slanje da šifrira dolaznu SMTP sesiju u Exchange. Podrazumevano, Exchange 2010 takođe pokušava da koristi TLS za sve udaljene veze.
- Metode provjere autentičnosti za promet između Hub Transport servera i servera poštanskih sandučića se razlikuju kada su uloge Hub Transport i Mailbox servera instalirane na istom računaru. Lokalni prijenos pošte koristi Kerberos autentifikaciju. Daljinski prijenos pošte koristi NTLM autentifikaciju.
- Exchange 2010 takođe podržava bezbednost domena. Domain Security je skup funkcija Exchange 2010 i Microsoft Outlook 2010 koje pružaju jeftinu alternativu za S/MIME i druga sigurnosna rješenja za razmjenu poruka na Internetu. Sigurnost domena pruža način upravljanja sigurnim komunikacijskim putevima između domena na Internetu. Jednom kada su ove bezbedne putanje konfigurisane, poruke koje su uspešno poslate preko njih od autentifikovanog pošiljaoca pojavljuju se korisnicima Outlooka i Outlook Web Access-a kao poruke „zaštićene na nivou domene“. Za više informacija pogledajte Pregled sigurnosti domene.
- Mnogi agenti mogu raditi i na Hub Transport serverima i na Edge Transport serverima. Agenti za zaštitu od neželjene pošte obično koriste informacije sa lokalnog računara na kojem rade. Dakle, interakcija sa udaljeni računari. Izuzetak je filtriranje primatelja. Filtriranje primatelja zahtijeva AD LDS ili Active Directory poziv. Preporučujemo da izvršite filtriranje primaoca na Edge transportnom serveru. U ovom slučaju, AD LDS direktorij je na istom računalu na kojem je instalirana uloga Edge Transport servera, tako da nije potrebna daljinska veza. Ako je filtriranje primatelja instalirano i konfigurirano na Hub Transport serveru, potreban je pristup usluzi Active Directory direktorija.
- Agent za analizu protokola koristi funkcija Reputacija pošiljaoca u Exchange 2010. Ovaj agent se takođe povezuje sa različitim eksternim proxy serverima da bi odredio putanje dolaznih poruka za sumnjive veze.
- Sve ostale funkcije zaštite od neželjene pošte koriste podatke koji se prikupljaju, pohranjuju i dostupni samo na lokalnom računalu. Obično se podaci kao što je kombinovana lista sigurnih pošiljalaca ili podaci o primaocima za filtriranje primaoca guraju u lokalni AD LDS direktorijum pomoću usluge Microsoft Exchange EdgeSync.
- Agenti za upravljanje pravima nad informacijama (IRM) na serverima Hub Transport povezuju se sa serverima Active Directory Rights Management Services (AD RMS) u organizaciji. Active Directory Rights Management Service (AD RMS) je web usluga koju preporučujemo da osigurate SSL-om. Veze sa AD RMS serverima se ostvaruju pomoću HTTPS-a i autentifikuju se pomoću Kerberos ili NTLM, u zavisnosti od konfiguracije AD RMS servera.
- Pravila evidencije, pravila transporta i pravila klasifikacije poruka pohranjeni su u Active Directory i njima pristupaju agent za evidentiranje i agent za pravila transporta na transportnim serverima u čvorištu.
Serveri poštanskih sandučića
Na serverima poštanskih sandučića, da li se koristi NTLM ili Kerberos provjera autentičnosti ovisi o korisničkom kontekstu ili procesu pod kojim se pokreće potrošač sloja poslovne logike Exchange. U ovom kontekstu, potrošači su sve aplikacije ili procesi koji koriste sloj poslovne logike Exchange. Kao rezultat toga, u koloni Zadana autentifikacija stolovi Putanja podataka za servere poštanskih sandučića mnogi redovi imaju vrijednost NTLM/Kerberos.
Exchangeov sloj poslovne logike se koristi za pristup i interakciju sa Exchange prodavnicom. Exchangeov sloj poslovne logike se takođe poziva iz Exchange prodavnice radi interakcije sa spoljnim aplikacijama i procesima.
Kada potrošač sloja Exchange poslovne logike radi u kontekstu lokalnog sistema, korisnikov metod provjere autentičnosti za pristup Exchange spremištu je uvijek Kerberos. Koristi se Kerberos metoda provjere autentičnosti jer primatelj mora biti autentificiran pomoću račun računar "Lokalni sistem" i zahteva dvosmerno poverenje sa autentifikacijom.
Ako primalac sloja Exchange poslovne logike ne radi u kontekstu lokalnog sistema, metoda provjere autentičnosti je NTLM. Na primjer, kada administrator pokrene Exchange Management Shell cmdlet koji koristi Exchangeov sloj poslovne logike, koristi se NTLM autentikacija.
RPC saobraćaj je uvijek šifriran.
Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju putanje podataka za servere poštanskih sandučića.
Putanja podataka za servere poštanskih sandučića
Putanja podataka Potrebni portovi Zadana autentifikacija Podržana metoda provjere autentičnosti Podrška za šifriranje Podrazumevano šifrovanje podataka 389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)
Da, koristeći Kerberos enkripciju
Administrativno daljinski pristup(udaljeni registar)
Da, koristeći IPsec
Administrativni daljinski pristup (SMB, fajlovi)
Da, koristeći IPsec
Web usluga dostupnosti (pristup poštanskom sandučetu klijenta)
Da, koristeći RPC enkripciju
Grupiranje
Da, koristeći RPC enkripciju
Između servera klijentskog pristupa (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, provjera autentičnosti certifikata
Da, koristeći HTTPS
Da, koristeći samopotpisani certifikat
Između servera klijentskog pristupa (Outlook Web Access)
80/TCP, 443/TCP (HTTPS)
Da, sa SSL-om
Server za klijentski pristup na server za klijentski pristup (Exchange Web Services)
Da, sa SSL-om
Server za klijentski pristup na server za klijentski pristup (POP3)
Da, sa SSL-om
Server za klijentski pristup na server za klijentski pristup (IMAP4)
Da, sa SSL-om
Office Communications Server to Client Access server (kada je omogućena integracija Office Communications Server i Outlook Web App)
5075-5077/TCP (IN), 5061/TCP (IZLAZ)
mTLS (obavezno)
mTLS (obavezno)
Da, sa SSL-om
Napomene za servere klijentskog pristupa
Serveri objedinjene razmjene poruka
IP gateway-i i IP PBX-ovi podržavaju samo potvrdu autentičnosti certifikata, koja koristi uzajamnu TLS autentifikaciju za šifriranje SIP prometa i autentifikaciju zasnovanu na IP adresi za SIP ili TCP veze. IP gateway-i ne podržavaju NTLM i Kerberos autentifikaciju. Stoga, kada koristite autentifikaciju zasnovanu na IP adresi, mehanizam provjere autentičnosti za nešifrirane veze (TCP) koristi IP adrese veza. Kada se koristi u objedinjenoj razmjeni poruka, autentifikacija zasnovana na IP-u provjerava da li je datoj IP adresi dozvoljeno povezivanje. IP adresa je konfigurisana na IP gateway-u ili IP PBX-u.
IP gateway-i i IP PBX-ovi podržavaju Mutual TLS za šifriranje SIP prometa. Nakon uspješnog uvoza i izvoza potrebnih pouzdanih certifikata, IP gateway ili IP PBX će zatražiti certifikat od servera Unified Messaging, a zatim zatražiti certifikat od IP gatewaya ili IP PBX-a. Razmjena pouzdanih certifikata između IP gateway-a ili IP PBX-a i servera objedinjene razmjene poruka omogućava oba uređaja da bezbedno komuniciraju koristeći Mutual TLS.
Sljedeća tabela pruža informacije o portu, autentifikaciji i šifriranju za putanje podataka između UM servera i drugih servera.
Putevi podataka za servere objedinjene razmjene poruka
Putanja podataka Potrebni portovi Zadana autentifikacija Podržana metoda provjere autentičnosti Podrška za šifriranje Podrazumevano šifrovanje podataka Pristup Active Directory-u
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)
Da, koristeći Kerberos enkripciju
UM Dial-in (IP PBX/VoIP Gateway)
5060/TCP, 5065/TCP, 5067/TCP (u nebezbednom režimu), 5061/TCP, 5066/TCP, 5068/TCP (u sigurnom režimu), dinamički raspon portova 16000-17000/TCP (upravljanje), dinamički UDP portovi iz opsega 1024-65535/UDP (RTP)
Po IP adresi
Po IP adresi, MTLS
Da, koristeći SIP/TLS, SRTP
UM web servis
80/TCP, 443/TCP (SSL)
Integrirana Windows autentifikacija (pregovarajte)
Da, sa SSL-om
Sa servera objedinjene razmjene poruka na server za klijentski pristup
5075, 5076, 5077 (TCP)
Integrirana Windows autentikacija (pregovori)
Osnovni, Digest, NTLM, Negotiate (Kerberos)
Da, sa SSL-om
UM server na server za klijentski pristup (reprodukcija na telefonu)
Dynamic RPC
Da, koristeći RPC enkripciju
Od servera objedinjene razmjene poruka na server za transport čvorišta
Da, koristeći TLS
Sa servera objedinjene razmjene poruka na server poštanskog sandučeta
Da, koristeći RPC enkripciju
Napomene za servere objedinjene razmjene poruka
- Kada kreirate UM IP gateway objekat u Active Directory, morate definirati IP adresu fizičkog IP gatewaya ili IP PBX-a. Kada odredite IP adresu UM IP gateway objekta, IP adresa se dodaje na listu važećih IP gateway-a ili IP PBX-ova (također poznatih kao učesnici SIP sesije) sa kojima UM server može komunicirati. Nakon što kreirate UM IP gateway, možete ga povezati s UM planom biranja. Mapiranje UM IP gatewaya u plan biranja omogućava UM serverima koji su mapirani na plan biranja da koriste autentifikaciju zasnovanu na IP adresi za komunikaciju sa IP gatewayom. Ako UM IP gateway nije kreiran ili konfiguriran da koristi ispravnu IP adresu, autentifikacija neće uspjeti i UM serveri neće prihvatiti veze sa IP adrese tog IP gatewaya. Osim toga, ako implementirate Mutual TLS, IP gateway ili IP PBX i servere objedinjene razmjene poruka, UM IP gateway mora biti konfiguriran da koristi potpuno kvalificirano ime domene (FQDN). Nakon što konfigurirate UM IP gateway koristeći FQDN, morate također dodati zapis hosta za gateway u zonu za prosljeđivanje DNS-a.
- U Exchange 2010, server objedinjene razmjene poruka može komunicirati na portu 5060/TCP (nebezbedan) ili portu 5061/TCP (bezbedan), a može se konfigurisati da koristi oba porta.
Za više informacija pogledajte Razumijevanje UM VoIP sigurnosti i razumijevanje protokola, portova i usluga u objedinjenoj razmjeni poruka.
Pravila Windows zaštitni zid kreirao Exchange 2010 Setup
Windows zaštitni zid sa naprednom bezbednošću je zaštitni zid zasnovan na stanju računara koji filtrira ulazni i odlazni saobraćaj na osnovu pravila zaštitnog zida. Instalacija Exchange 2010 kreira pravila Windows zaštitnog zida da otvori portove potrebne za komunikaciju između servera i klijenta u svakoj ulozi servera. Stoga više ne morate koristiti SCW za konfiguriranje ovih postavki. Za više informacija o Windows zaštitnom zidu sa naprednom bezbednošću pogledajte Windows zaštitni zid sa naprednom bezbednošću i IPsec.
Sljedeća tabela navodi pravila Windows zaštitnog zida koja generiše Exchange instalacija, uključujući portove koji su otvoreni na svakoj ulozi servera. Ova pravila možete pogledati pomoću dodatka Windows zaštitnog zida sa naprednom sigurnošću MMC-a.
Ime pravila Uloge servera Port Program MSExchangeADTopology - RPC (TCP dolazni)
Dynamic RPC
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (TCP dolazni)
Client Access server, Hub Transport server, Edge Transport server, Unified Messaging server
Dynamic RPC
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (TCP dolazni)
Dynamic RPC
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (TCP dolazni)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (TCP dolazni)
MSExchangeRPC (GFW) (TCP dolazni)
Server za klijentski pristup, Hub transportni server, server poštanskih sandučića, server objedinjene razmjene poruka
Dynamic RPC
MSExchange - IMAP4 (GFW) (TCP dolazni)
Server za klijentski pristup
MSExchangeIMAP4 (TCP dolazni)
Server za klijentski pristup
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (TCP dolazni)
Server za klijentski pristup
MSExchange - POP3 (TCP dolazni)
Server za klijentski pristup
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (TCP dolazni)
Server za klijentski pristup
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (TCP-in)
Server za klijentski pristup
5075, 5076, 5077 (TCP)
inetsrv\w3wp.exe
MSExchangeAB RPC (TCP dolazni)
Server za klijentski pristup
Dynamic RPC
MSExchangeAB-RPCEPMap (TCP-in)
Server za klijentski pristup
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (TCP-in)
Server za klijentski pristup
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP dolazni)
Server za klijentski pristup
Dynamic RPC
System32\Svchost.exe
MSExchangeRPC - RPC (TCP dolazni)
Dynamic RPC
MSExchangeRPC - PRCEPMap (TCP dolazni)
Server za klijentski pristup, Server za poštansko sanduče
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (TCP dolazni)
Server za klijentski pristup, Server za poštansko sanduče
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (TCP dolazni)
Server za klijentski pristup
MSExchangeMailboxReplication (TCP dolazni)
Server za klijentski pristup
Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
MSExchangeIS RPCEPMap (TCP dolazni)
Server poštanskog sandučeta
MSExchangeIS (GFW) (TCP dolazni)
Server poštanskog sandučeta
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (TCP dolazni)
Server poštanskog sandučeta
MSExchangeMailboxAssistants - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
MSExchangeMailboxAssistants - RPCEPMap (TCP dolazni)
Server poštanskog sandučeta
Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
MSExchangeMailSubmission - RPCEPMap (TCP dolazni)
Server poštanskog sandučeta
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP dolazni)
Server poštanskog sandučeta
Bin\MSExchangeMigration.exe
MSExchangerepl - Log Copier (TCP dolazni)
Server poštanskog sandučeta
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-in)
Server poštanskog sandučeta
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (TCP dolazni)
Server poštanskog sandučeta
Bin\MSExchangeThrottling.exe
MSFTED - RPC (TCP dolazni)
Server poštanskog sandučeta
Dynamic RPC
MSFTED - RPCEPMap (TCP-in)
Server poštanskog sandučeta
MSExchangeEdgeSync - RPC (TCP dolazni)
Hub Transport Server
Dynamic RPC
MSExchangeEdgeSync RPCEPMap (TCP dolazni)
Hub Transport Server
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP ulazni)
Hub Transport Server
Dynamic RPC
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (TCP dolazni)
Hub Transport Server
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (TCP dolazni)
Hub Transport Server
MSExchangeTransportWorker (TCP dolazni)
Hub Transport Server
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (TCP dolazni)
Dynamic RPC
MSExchangeTransportLogSearch - RPCEPMap (TCP dolazni)
Hub Transport server, Edge Transport server, Server Mailbox
Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (TCP-in)
Unified Messaging Server
SESWorker (TCP dolazni)
Unified Messaging Server
UnifiedMessaging\SESWorker.exe
UMService (GFW) (TCP dolazni)
Unified Messaging Server
UMService (TCP dolazni)
Unified Messaging Server
Bin\UMService.exe
UMWorkerProcess (GFW) (TCP dolazni)
Unified Messaging Server
5065, 5066, 5067, 5068
UMWorkerProcess (TCP ulazni)
Unified Messaging Server
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP ulazni)
Unified Messaging Server
Dynamic RPC
Bin\UMWorkerProcess.exe
Napomene o pravilima Windows zaštitnog zida kreirana od strane Exchange 2010 instalacije
- Na serverima sa instaliranim IIS-om, Windows otvara HTTP (port 80, TCP) i HTTPS (port 443, TCP) portove. Exchange 2010 Setup ne otvara ove portove. Stoga ovi portovi nisu navedeni u prethodnoj tabeli.
- IN Windows Server U Windows 2008 i Windows Server 2008 R2, Windows zaštitni zid sa naprednom bezbednošću omogućava vam da navedete proces ili uslugu za koju je port otvoren. Ovo je sigurnije jer port može koristiti samo proces ili usluga navedena u pravilu. Exchange Setup kreira pravila zaštitnog zida sa navedenim imenom procesa. U nekim slučajevima, radi kompatibilnosti, kreira se i dodatno pravilo koje nije ograničeno na ovaj proces. Možete onemogućiti ili ukloniti pravila koja nisu ograničena na procese i zadržati odgovarajuća pravila ograničena na procese ako ih podržava vaše trenutno okruženje za implementaciju. Pravila koja nisu ograničena na procese mogu se razlikovati po riječi (GFW) u ime pravila.
- Mnoge Exchange usluge koriste pozive udaljenih procedura (RPC) za komunikaciju. Serverski procesi koji koriste pozive udaljenih procedura povezuju se s RPC maperom krajnje točke kako bi dobili dinamičke krajnje točke i registrirali ih u bazi podataka mapiranja krajnjih točaka. RPC klijenti stupaju u interakciju s RPC Endpoint Mapperom kako bi odredili krajnje točke koje koristi proces servera. Po defaultu, RPC Endpoint Mapper sluša port 135 (TCP). Kada konfigurišete Windows zaštitni zid za proces koji koristi udaljene pozive procedura, instalacija Exchange 2010 kreira dva pravila zaštitnog zida za taj proces. Jedno pravilo dozvoljava komunikaciju s RPC maperom krajnje točke, a drugo pravilo dozvoljava komunikaciju s dinamički dodijeljenom krajnjom točkom. Za više informacija o daljinskim pozivima procedura, pogledajte članak. Za više informacija o kreiranju pravila Windows zaštitnog zida za dinamički poziv udaljene procedure, pogledajte članak.
Za više informacija pogledajte članak Microsoftove baze znanja 179442
