Exchange-verkkoporttien viite. Sähköpostiohjelmien yhdistäminen Microsoft Exchange Server -palvelimeen Postilaatikkopalvelimien tietopolut
[Tämä artikkeli on alustava asiakirja, ja se voi muuttua tulevissa numeroissa. Tyhjät osat sisältyvät paikkamerkkinä. Jos haluat kirjoittaa arvostelun, otamme sen mielellämme vastaan. Lähetä se meille sähköpostitse [sähköposti suojattu].]
Koskee: Exchange Server 2016
Tutustu verkkoportteihin, joita Exchange 2016 käyttää asiakkaiden käyttöön ja sähköpostinkulkuun.
Tämä aihe sisältää tietoja verkkoporteista, joita Microsoft Exchange Server 2016 käyttää kommunikoidakseen sähköpostiohjelmien, online-postipalvelimien ja muiden paikallisen Exchange-organisaation ulkopuolella olevien palvelujen kanssa. Ennen kuin aloitat, harkitse seuraavia perussääntöjä.
Emme tue verkkoliikenteen rajoittamista tai muokkaamista sisäisten Exchange-palvelimien, sisäisten Exchange-palvelimien ja sisäisten Lync- tai Skype for Business -palvelimien välillä tai sisäisten Exchange-palvelimien ja sisäisten Active Directory -toimialueen ohjauskoneiden välillä missään topologiassa. Jos käytät palomuuria tai verkkolaitteita, jotka voivat rajoittaa tai muokata tätä verkkoliikennettä, sinun on määritettävä säännöt varmistamaan ilmainen ja rajoittamaton tiedonsiirto näiden palvelimien välillä (säännöt, jotka sallivat verkkoliikenteen mihin tahansa porttiin ja porteista, mukaan lukien satunnaiset RPC-portit ja kaikki protokollat, joka ei muutu yhtään).
Edge Transport -palvelimet sijaitsevat lähes aina kehäverkossa, joten verkkoliikenteen Edge Transport -palvelimen ja Internetin välillä sekä Edge Transport -palvelimen ja sisäisen Exchange-organisaation välillä odotetaan olevan rajoitettua. Nämä verkkoportit on kuvattu tässä osassa.
Sinun odotetaan rajoittavan verkkoliikennettä ulkoisten asiakkaiden ja palveluiden sekä sisäisen Exchange-organisaation välillä. Voit myös rajoittaa liikennettä sisäisten asiakkaiden ja sisäisten Exchange-palvelimien välillä. Nämä verkkoportit on kuvattu tässä osassa.
Sisältö
Asiakkaille ja palveluille vaadittavat verkkoportit
Postinkulkuun vaadittavat verkkoportit (ei Edge Transport -palvelimia)
Edge Transport -palvelimien sähköpostinkulkuun vaadittavat verkkoportit
Hybridikäyttöön tarvittavat verkkoportit
Verkkoportit vaaditaan Unified Messaging -palveluun
Verkkoportit, joita sähköpostiohjelmat tarvitsevat päästäkseen postilaatikoihin ja muihin Exchange-organisaation palveluihin, on kuvattu seuraavassa kaaviossa ja taulukossa.
Huomautuksia
Näiden asiakkaiden ja palveluiden kohde on Client Access -palvelut postilaatikkopalvelimella. Exchange 2016:ssa Client Access -palvelut (etuosa) ja taustapalvelut asennetaan yhdessä samalle postilaatikkopalvelimelle. Katso lisätietoja kohdasta .
Vaikka kaavio näyttää asiakkaita ja palveluita Internetistä, käsitteet ovat samat sisäisille asiakkaille (esimerkiksi tilimetsässä olevat asiakkaat, jotka käyttävät Exchange-palvelimia resurssimetsässä). Taulukossa ei myöskään ole Lähde-saraketta, koska lähde voi olla mikä tahansa Exchange-organisaation ulkopuolinen sijainti (esimerkiksi Internet tai tilimetsä).
Edge Transport -palvelimet eivät osallistu verkkoliikennettä jotka liittyvät näihin asiakkaisiin ja palveluihin.
Seuraavat asiakkaat ja palvelut käyttävät salattuja verkkoyhteyksiä. Autodiscover-palvelu Exchange ActiveSync Exchange Web Services (EWS) Offline-osoitekirjan jakelu Outlook Mobile (RPC yli HTTP) MAPI Outlook HTTP:n kautta Outlook verkossa | 443/TCP (HTTPS) | EWS Exchange Reference |
Seuraavat asiakkaat ja palvelut käyttävät salaamattomia verkkoyhteyksiä. Kalenterin julkaiseminen verkossa Outlook verkossa (uudelleenohjaus porttiin 443/TCP) Automaattinen etsiminen (varavaihtoehto, kun portti 443/TCP ei ole käytettävissä) | 80/TCP (HTTP) | Aina kun mahdollista, suosittelemme käyttämään salattuja verkkoyhteyksiä portin 443/TCP kautta valtuustietojen ja muiden tietojen suojaamiseksi. Jotkut palvelut on kuitenkin määritettävä käyttämään salaamattomia verkkoyhteyksiä portin 80/TCP kautta Client Access -palveluihin postilaatikkopalvelimissa. Lisätietoja näistä asiakkaista ja palveluista on seuraavissa artikkeleissa. |
IMAP4-asiakkaat | 143/TCP (IMAP), 993/TCP (suojattu IMAP) | Oletuksena IMAP4 on poissa käytöstä. Katso lisätietoja kohdasta . Postilaatikkopalvelimen Client Access Services -palvelun IMAP4-palvelu välittää yhteydet postilaatikkopalvelimen sisäiseen IMAP4-palveluun. |
POP3-asiakkaat | 110/TCP (POP3), 995/TCP (suojattu POP3) | Oletuksena POP3 on poissa käytöstä. Katso lisätietoja kohdasta . Postilaatikkopalvelimen Client Access Services -palvelun POP3-palvelu välittää yhteydet postilaatikkopalvelimen sisäiseen POP3-palveluun. |
SMTP-asiakkaat (todennettu) | 587/TCP (SMTP todennuksella) | Oletusvastaanoton liitin on "Client Frontend" " External Transport -palvelussa kuuntelee viestejä todennettujen SMTP-asiakkaiden portista 587. Huomautus. Jos sinulla on sähköpostiohjelmia, jotka voivat lähettää SMTP-todennettuja viestejä vain portissa 25, voit muuttaa tämän vastaanottoliittimen sidosarvoa niin, että se seuraa myös portissa 25 lähetettyjä SMTP-todennettuja viestejä. |
Alkuun
Postinkulkuun vaadittavat verkkoportitLähtevä posti
25/TCP (SMTP)
Postilaatikkopalvelin
Internet (kaikki)
Oletusarvoisesti Exchange ei luo Send-liittimiä, joiden avulla voit lähettää sähköpostia Internetiin. Sinun on luotava Send-liittimet manuaalisesti. Katso lisätietoja kohdasta .
Lähtevä posti (jos se lähetetään ulkoisen kuljetuspalvelun kautta)
25/TCP (SMTP)
Postilaatikkopalvelin
Internet (kaikki)
Lähtevä posti reititetään ulkoisen siirtopalvelun kautta vain, jos lähetysliitin on otettu käyttöön Client Access Server Proxy -vaihtoehdolla EAC:ssa tai -FrontEndProxyEnabled $true -vaihtoehdolla Exchange Management Shellissä.
Tässä tapauksessa oletusvastaanottoliitin on "Outbound Proxy Frontend " ulkoisessa kuljetuspalvelussa kuuntelee lähtevää postia postilaatikkopalvelimen kuljetuspalvelusta. Katso lisätietoja kohdasta .
DNS-palvelin postin seuraavan hypyn nimen tarkkuudelle (ei näy kuvassa)
53/UDP, 53/TCP (DNS)
Postilaatikkopalvelin
DNS-palvelin
Alkuun
Kehäverkkoon asennettu tilattu Edge Transport -palvelin vaikuttaa postivirtaan seuraavilla tavoilla:
Sähköposti Exchange 2016- tai Exchange 2013 Edge Transport -palvelimelta saapuu ensin kuljetuspalveluun ja välitetään sitten Exchange 2016 -postilaatikkopalvelimen kuljetuspalveluun.
Sähköposti Exchange 2010 Edge Transport -palvelimelta menee aina suoraan Exchange 2016 -postilaatikkopalvelimen kuljetuspalveluun.
Exchange-organisaation lähtevä posti ei koskaan kulje ulkoisen kuljetuspalvelun kautta postilaatikkopalvelimilla. Se ohjataan aina tilatun Active Directory -sivuston postilaatikkopalvelimen Transport-palvelusta Edge Transport -palvelimelle (riippumatta Edge Transport -palvelimen Exchangen versiosta).
Saapuva posti ohjataan Edge Transport -palvelimelta tilatun Active Directory -sivuston postilaatikkopalvelimeen. Tämä tarkoittaa seuraavaa:
Sähköpostinkulkuun tarvittavat verkkoportit Exchange-organisaatioissa Edge Transport -palvelimilla on kuvattu seuraavassa kaaviossa ja taulukossa.
Saapuva posti - Internetistä Edge Transport -palvelimelle | 25/TCP (SMTP) | Internet (kaikki) | Oletusvastaanottoliitin nimeltä "Sisäinen oletusvastaanottoliitin" " Edge Transport -palvelimella kuuntelee anonyymiä SMTP-postia portissa 25. |
|
Saapuva posti - Edge Transport -palvelimelta sisäiseen Exchange-organisaatioon | 25/TCP (SMTP) | Edge Transport Server | Oletuslähetysliitin on nimeltään "EdgeSync - Inbound to "välittää saapuvan postin portissa 25 mille tahansa tilatun Active Directory -sivuston postilaatikkopalvelimelle. Lisätietoja on kohdassa . Oletusvastaanottoliitin "Oletuskäyttöliittymä" " postilaatikkopalvelimen ulkoisessa siirtopalvelussa kuuntelee kaikkea saapuvaa postia (mukaan lukien viestit Exchange 2016- ja Exchange 2013 Edge Transport -palvelimista) portissa 25. |
|
Lähtevä posti - sisäisestä Exchange-organisaatiosta Edge Transport -palvelimelle | 25/TCP (SMTP) | Postilaatikkopalvelimet tilatussa Active Directory -sivustossa | Lähtevä posti ohittaa aina ulkoisen siirtopalvelun postilaatikkopalvelimilla. Posti välitetään kuljetuspalvelusta millä tahansa tilatun Active Directory -sivuston postilaatikkopalvelimella Edge Transport -palvelimelle käyttämällä implisiittistä ja näkymätöntä organisaation sisäistä lähetysliitintä, joka välittää postin automaattisesti edelleen saman organisaation Exchange-palvelimien välillä. Sisäinen oletusvastaanotin " Edge Transport -palvelimella kuuntelee SMTP-sähköpostia portissa 25 Transport-palvelusta millä tahansa tilatun Active Directory -sivuston postilaatikkopalvelimella. |
|
Lähtevä posti - Edge Transport -palvelimelta Internetiin | 25/TCP (SMTP) | Edge Transport Server | Internet (kaikki) | Oletuslähetysliitin on nimeltään "EdgeSync - with Internetiin" välittää lähtevän postin portissa 25 Edge Transport -palvelimelta Internetiin. |
EdgeSync-synkronointi | 50636/TCP (LDAP-suojattu) | Tilatun Active Directory -sivuston postilaatikkopalvelimet, jotka osallistuvat EdgeSync-synkronointiin | Edge-kuljetuspalvelimet | Jos Edge Transport -palvelin on tilattu Active Directory -sivustolle, kaikki sivustossa tällä hetkellä olevat postilaatikkopalvelimet osallistuvat EdgeSync-synkronointiin. Mutta jos lisäät muita postilaatikkopalvelimia myöhemmin, ne eivät automaattisesti osallistu EdgeSync-synkronointiin. |
DNS-palvelin seuraavan hypyn nimen resoluutiota varten (ei näy kuvassa) | 53/UDP, 53/TCP (DNS) | Edge Transport Server | DNS-palvelin | Katso Nimen resoluutio. |
Avaa välityspalvelimen tunnistus lähettäjän maineessa (ei näy kuvassa) | Katso muistiinpanot | Edge Transport Server | Internet | Oletusarvoisesti Protocol Analysis Agent käyttää avoimen välityspalvelimen tunnistusta yhtenä ehtona alkuperäisen viestipalvelimen mainetason laskennassa. Katso lisätietoja artikkelista. Seuraavia TCP-portteja käytetään avoimen välityspalvelimen lähdeviestipalvelimien tarkistamiseen: Lisäksi, jos organisaatiosi käyttää välityspalvelinta lähtevän Internet-liikenteen hallintaan, sinun on määritettävä välityspalvelimen nimi, tyyppi ja TCP-portti, joka tarvitaan Internetin käyttämiseen ja avoimen välityspalvelimen havaitsemiseen. Voit myös poistaa avoimen välityspalvelimen tunnistuksen käytöstä. Katso lisätietoja kohdasta . |
Alkuun
Nimen resoluutioNimen resoluutio
DNS seuraavan hopin sähköpostin ratkaisu on olennainen osa postinkulkua missä tahansa Exchange-organisaatiossa. Saapuvan postin vastaanottamisesta tai lähtevän postin toimittamisesta vastaavien Exchange-palvelimien on kyettävä selvittämään sekä sisäiset että ulkoiset isäntänimet voidakseen reitittää postin oikein. Kaikkien sisäisten Exchange-palvelimien on kyettävä ratkaisemaan sisäiset isäntänimet oikeaa postin reititystä varten. DNS-infrastruktuurin suunnitteluun on monia eri tapoja, mutta tärkeä tulos on varmistaa oikean seuraavan hypyn nimenratkaisu kaikissa Exchange-palvelimissa.
Mitä TCP- ja UDP-portteja Exchange 2000/2003 -palvelimeni käyttää?
Palomuurien määrittämisen tai tietoliikenneongelmien vianmäärityksen kannalta voi olla hyödyllistä tietää, mitä TCP/UDP-portteja Exchange 2000 Server ja Exchange 2000 Conferencing Server käyttävät. Tämä artikkeli koskee myös Exchange Server 2003 -asennuksia.
Protokolla: LDAP
- Portti (TCP/UDP): 389 (TCP)
- Kuvaus: Lightweight Directory Access Protocol (LDAP), jota käyttävät Active Directory, Active Directory Connector ja Microsoft Exchange Server 5.5 -hakemisto.
Protokolla: LDAP/SSL
- Portti (TCP/UDP): 636 (TCP)
- Kuvaus: LDAP yli Secure Sockets Layer (SSL). Kun SSL on käytössä, lähetettävät ja vastaanotetut LDAP-tiedot salataan.
- Jos haluat ottaa SSL:n käyttöön, sinun on asennettava tietokoneen varmenne toimialueen ohjaimeen tai Exchange Server 5.5 -tietokoneeseen.
Protokolla: LDAP
- Portti (TCP/UDP): 379 (TCP)
- Kuvaus: Site Replication Service (SRS) käyttää TCP-porttia 379.
Protokolla: LDAP
- Portti (TCP/UDP): 390 (TCP)
- Kuvaus: Vaikka TCP-portti 390 ei ole tavallinen LDAP-portti, se on suositeltava vaihtoehtoinen portti Exchange Server 5.5 LDAP-protokollan määrittämiseen, kun Exchange Server 5.5 on käynnissä Microsoft Windows 2000 Active Directory -toimialueen ohjain.
Protokolla: LDAP
- Portti (TCP/UDP): 3268 (TCP)
- Kuvaus: Maailmanlaajuinen luettelo. Windows 2000 Active Directoryn maailmanlaajuinen luettelo (joka on todella toimialueen ohjaimen "rooli") kuuntelee TCP-porttia 3268. Kun teet vianmäärityksiä, jotka voivat liittyä yleiseen luetteloon, muodosta yhteys porttiin 3268 LDP:ssä.
Protokolla: LDAP/SSL
- Portti (TCP/UDP): 3269 (TCP)
- Kuvaus: Maailmanlaajuinen luettelo SSL:n kautta. Sovellukset, jotka muodostavat yhteyden maailmanlaajuisen luettelopalvelimen TCP-porttiin 3269, voivat lähettää ja vastaanottaa SSL-salattua tietoa. Jos haluat määrittää maailmanlaajuisen luettelon tukemaan SSL:ää, sinun on asennettava tietokoneen varmenne yleiseen luetteloon.
Protokolla: IMAP4
- Portti (TCP/UDP): 143 (TCP)
- Kuvaus: Internet Message Access Protocol -protokollan versiota 4 voivat käyttää "standardeihin perustuvat" asiakkaat, kuten Microsoft Outlook Express tai Netscape Communicator sähköpostipalvelimen käyttämiseen. IMAP4 toimii Microsoft Internet Information Servicen (IIS) Admin Servicen (Inetinfo.exe) päällä ja mahdollistaa asiakkaan pääsyn Exchange 2000 -tietosäilöön.
Protokolla: IMAP4/SSL
- Portti (TCP/UDP): 993 (TCP)
- Kuvaus: IMAP4 over SSL käyttää TCP-porttia 993. Ennen kuin Exchange 2000 -palvelin tukee IMAP4:ää (tai mitä tahansa muuta protokollaa) SSL:n yli, sinun on asennettava tietokoneen varmenne Exchange 2000 -palvelimeen.
Protokolla: POP3
- Portti (TCP/UDP): 110 (TCP)
- Kuvaus: Post Office Protocol -versio 3 mahdollistaa "standardeihin perustuvien" asiakkaiden, kuten Outlook Expressin tai Netscape Communicatorin, pääsyn sähköpostipalvelimeen. Kuten IMAP4, POP3 toimii IIS-hallintapalvelun päällä ja mahdollistaa asiakkaan pääsyn Exchange 2000 -tietosäilöön.
Protokolla: POP3/SSL
- Portti (TCP/UDP): 995 (TCP)
- Kuvaus: POP3 SSL:n kautta. Jos haluat ottaa POP3 over SSL -yhteyden käyttöön, sinun on asennettava tietokoneen varmenne Exchange 2000 -palvelimeen.
Protokolla: NNTP
- Portti (TCP/UDP): 119 (TCP)
- Kuvaus: Network News Transport Protocol, jota joskus kutsutaan Usenet-protokollaksi, mahdollistaa "standardeihin perustuvan" asiakkaan pääsyn tietovaraston julkisiin kansioihin. Kuten IMAP4 ja POP3, NNTP on riippuvainen IIS-hallintapalvelusta.
Protokolla: NNTP/SSL
Portti (TCP/UDP): 563 (TCP)
Kuvaus: NNTP SSL:n kautta. Jos haluat ottaa NNTP over SSL:n käyttöön, sinun on asennettava tietokoneen varmenne Exchange 2000 -palvelimeen.
Protokolla: HTTP
- Portti (TCP/UDP): 80 (TCP)
- Kuvaus: Hyper-Text Transfer Protocol on protokolla, jota ensisijaisesti käyttää Microsoft Outlook Web Access (OWA), mutta se mahdollistaa myös jotkin järjestelmänvalvojat Exchange System Managerissa. HTTP toteutetaan World Wide Web Publishing Servicen (W3Svc) kautta, ja se toimii IIS-hallintapalvelun päällä.
Protokolla: HTTP/SSL
- Portti (TCP/UDP): 443 (TCP)
- Kuvaus: HTTP SSL:n kautta. Jotta HTTP SSL:n kautta voidaan ottaa käyttöön, sinun on asennettava tietokoneen varmenne Exchange 2000 -palvelimeen.
Protokolla: SMTP
- Portti (TCP/UDP): 25 (TCP)
- Kuvaus: Simple Mail Transfer Protocol on perusta kaikelle sähköpostin siirrolle Exchange 2000:ssa. SMTP-palvelu (SMTPSvc) toimii IIS-hallintapalvelun päällä. Toisin kuin IMAP4, POP3, NNTP ja HTTP, SMTP Exchange 2000:ssa ei käyttää erillistä porttia suojattua viestintää (SSL) varten, vaan käyttää pikemminkin "kaistansisäistä suojausalijärjestelmää", nimeltään Transport Layer Security (TLS).
Protokolla: SMTP/SSL
- Portti (TCP/UDP): 465 (TCP)
- Kuvaus: SMTP SSL:n kautta. TCP-portti 465 on varattu alan yleisten käytäntöjen mukaan suojattua SMTP-viestintää varten SSL-protokollaa käyttäen. Toisin kuin IMAP4, POP3, NNTP ja HTTP, Exchange 2000:n SMTP ei käytä erillistä porttia suojattuun tietoliikenteeseen (SSL), vaan se käyttää "kaistansisäistä suojausalijärjestelmää", nimeltään Transport Layer Security (TLS). . Jotta TLS toimii Exchange 2000:ssa, sinun on asennettava tietokoneen varmenne Exchange 2000 -palvelimeen.
Protokolla: SMTP/LSA
- Portti (TCP/UDP): 691 (TCP)
- Kuvaus: Microsoft Exchange Routing Engine (tunnetaan myös nimellä RESvc) kuuntelee reitityslinkin tilatietoja TCP-portissa 691. Exchange 2000 käyttää reitityslinkin tilatietoja viestien reitittämiseen, ja reititystaulukkoa päivitetään jatkuvasti. Link State Algorithm (LSA) välittää poistumisen tilatietoja Exchange 2000 -palvelimien välillä. Tämä algoritmi perustuu verkkoteknologian Open Shortest Path First (OSPF) -protokollaan ja siirtää linkin tilatiedot reititysryhmien välillä käyttämällä X-LSA-2-komentoverbia SMTP:n yli ja käyttämällä TCP (Transmission Control Protocol) -yhteyttä portti 691 reititysryhmässä.
Protokolla: RVP
- Portti (TCP/UDP): 80 (TCP)
- Kuvaus: RVP on perusta pikaviestinnölle Exchange 2000:ssa. Vaikka RVP-viestintä alkaa TCP-portista 80, palvelin muodostaa nopeasti uuden yhteyden asiakkaaseen väliaikaiseen TCP-porttiin, joka on yli 1024. Koska tätä porttia ei tiedetä etukäteen, ongelmia ilmenee, kun otat pikaviestinnän käyttöön palomuurin kautta.
Protokolla: IRC/IRCX
- Portti (TCP/UDP): 6667 (TCP)
- Kuvaus: Internet Relay Chat (IRC) on chat-protokolla. IRCX on Microsoftin tarjoama laajennettu versio. Vaikka TCP-portti 6667 on yleisin IRC-portti, TCP-porttia 7000 käytetään myös hyvin usein.
Protokolla: IRC/SSL
- Portti (TCP/UDP): 994 (TCP)
- Kuvaus: IRC (tai Chat) SSL:n kautta. IRC tai IRCX over SSL ei tueta Exchange 2000:ssa.
Protokolla: X.400
- Portti (TCP/UDP): 102 (TCP)
- Kuvaus: ITU-T:n suositus X.400 on todellakin sarja suosituksia siitä, miltä sähköisen viestienkäsittelyjärjestelmän (MHS) tulisi näyttää. TCP-portti 102 on määritelty IETF RFC-1006:ssa, joka kuvaa OSI-viestintää TCP/IP-verkon yli. Lyhyesti sanottuna TCP-portti 102 on portti, jota Exchange-sanomansiirtoagentti (MTA) käyttää kommunikoidakseen muiden X.400-yhteensopivien MTA:iden kanssa.
Protokolla: MS-RPC
- Portti (TCP/UDP): 135 (TCP)
- Kuvaus: Microsoft Remote Procedure Call on Microsoftin toteuttama etäproseduurikutsut (RPC). TCP-portti 135 on itse asiassa vain RPC-paikannuspalvelu, joka on kuin kaikkien tietyllä palvelimella toimivien RPC-yhteensopivien palvelujen rekisteröijä. Exchange 2000:ssa reititysryhmäliitin käyttää RPC:tä SMTP:n sijasta, kun kohdesillanpääpalvelin käyttää Exchange 5.5:tä. Myös jotkin hallinnolliset toiminnot vaativat RPC:n. Palomuurin määrittäminen sallimaan RPC-liikenne edellyttää, että käytössä on useita portteja kuin vain 135.
Saat lisätietoja napsauttamalla alla olevia artikkelinumeroita, jotta voit tarkastella artikkeleita Microsoft Knowledge Base -tietokannassa:
XADM: TCP/IP-porttinumeroiden asettaminen Internet-palomuurille
XCON: MTA TCP/IP-portin # määrittäminen X.400- ja RPC-kuunteluille
Protokolla: T.120
- Portti (TCP/UDP): 1503 (TCP)
- Kuvaus: ITU-T:n suositus T.120 on joukko suosituksia, jotka määrittelevät dataneuvottelut. Dataneuvottelut on toteutettu palvelinpuolella Conferencing Technology Provider (CTP) -keskuksena Multipoint Control Unitissa (MCU), joka on yksi Exchange Conferencing Services (ECS) -komponenteista. Tietoneuvottelut on toteutettu asiakaspuolella keskusteluna, sovellusten jakajana, tauluna ja tiedostojen siirtona Microsoft NetMeetingissä.
Protokolla: ULS
- Portti (TCP/UDP): 522 (TCP)
- Kuvaus: User Locator Service on eräänlainen Internet-hakemistopalvelu neuvotteluasiakkaille, kuten NetMeeting. Exchange 2000 Server ja Exchange 2000 Conferencing Server eivät ota käyttöön ULS:ää, vaan ne hyödyntävät Active Directorya hakemistopalveluissa (TCP-portin 389 kautta).
Protokolla: H.323 (video)
- Portti (TCP/UDP): 1720 (TCP)
- Kuvaus: ITU-T:n suositus H.323 määrittelee multimedianeuvottelut. TCP-portti 1720 on H.323 (video) -puhelun asetusportti. Kun asiakas on muodostanut yhteyden, H.323-palvelin neuvottelee uuden, dynaamisen UDP-portin, jota käytetään tietojen suoratoistoon.
Protokolla: Audio
- Portti (TCP/UDP): 1731 (TCP)
- Kuvaus: Äänineuvottelut ovat käytössä samalla tavalla kuin H.323-videoneuvottelut Exchange 2000 Serverissä. Kun asiakkaat muodostavat yhteyden TCP-porttiin 1731, uusi dynaaminen portti neuvotellaan lisätietojen suoratoistoa varten.
Palomuurit sähköpostipalvelimille (Exchange Server), sähköpostipalvelinportit, etu- ja taustapostipalvelimet, virtuaalisia palvelimia SMTP, POP3, IMAP4
Kuten kaikki Internetiin yhdistetyt tietokoneet, myös sähköpostipalvelinta käyttävä tietokone on suojattava palomuurilla. Vaihtoehdot sähköpostipalvelimen asentamiseen verkkomäärityksen suhteen voivat kuitenkin olla hyvin erilaisia:
· Yksinkertaisin vaihtoehto on asentaa sähköpostipalvelin tietokoneeseen, joka on myös välityspalvelin/palomuuri, ja avata sitten tarvittavat portit Internetiin päin olevasta käyttöliittymästä. Tyypillisesti tätä järjestelmää käytetään pienissä organisaatioissa;
Toinen vaihtoehto on asentaa sähköpostipalvelin paikallinen verkko ja määritä se toimimaan välityspalvelimen kautta. Voit tehdä tämän sitomalla julkisen IP-osoitteen sähköpostipalvelimeen ja välittämällä sen välityspalvelimen kautta tai käyttämällä työkaluja, kuten välityspalvelimen porttikartoitus. Monilla välityspalvelimilla on erityisiä ohjattuja toimintoja tai valmiita sääntöjä tällaisen ratkaisun järjestämiseksi (esimerkiksi ISA Server). Tämä vaihtoehto on käytössä useimmissa organisaatioissa.
· Toinen perustavanlaatuinen mahdollisuus on luoda DMZ ja sijoittaa siihen etupään Exchange Server (tämä vaihtoehto on ilmestynyt versiosta 2000 lähtien) tai SMTP Relay, joka perustuu toiseen Exchange Serveriin tai esimerkiksi sendmailiin *nixissä. Käytetään tyypillisesti suurten organisaatioiden verkostoissa.
Postipalvelimen on joka tapauksessa viestittävä ainakin portin TCP 25 (SMTP) ja UDP 53 (DNS) kautta. Muut portit, joita Exchange Server saattaa vaatia verkkokokoonpanostasi riippuen (kaikki TCP):
· 80 HTTP - pääsyä varten verkkokäyttöliittymään (OWA)
· 88 Kerberos-todennusprotokolla - jos Kerberos-todennusta käytetään (harvoin);
· 102 MTA .X .400 -liitintä TCP /IP:n kautta (jos X .400 -liitintä käytetään reititysryhmien väliseen viestintään);
· 110 Post Office Protocol 3 (POP 3) - asiakkaan pääsyä varten;
· 119 Network News Transfer Protocol (NNTP) - jos uutisryhmiä käytetään;
· 135 Asiakas/palvelin-kommunikaatio RPC Exchange -hallinta - vakio-RPC-portti Exchange-etähallintaan standardi tarkoittaa System Manager;
· 143 Internet Message Access Protocol (IMAP) - asiakaskäyttöön;
· 389 LDAP - pääsy hakemistopalveluun;
· 443 HTTP (Secure Sockets Layer (SSL)) (ja alle) - samat protokollat, jotka on suojattu SSL:llä.
· 563 NNTP (SSL)
636 LDAP (SSL)
· 993 IMAP4 (SSL)
· 995 POP3 (SSL)
· 3268 ja 3269 - kyselyt maailmanlaajuiseen luettelopalvelimeen (haku Active Directorysta ja yleisryhmien jäsenyyden tarkistaminen).
Organisaation sisälle päin olevaa Exchange Server -liittymää ei kannata peittää palomuurilla – sitä käytetään vuorovaikutuksessa toimialueen ohjaimien, hallintaohjelmien, varmuuskopiointijärjestelmien jne. kanssa. Internetille avoimessa käyttöliittymässä on suositeltavaa jättää portit 53 (jos Exchange ratkaisee isäntänimet itse, eikä uudelleenohjaa pyyntöjä paikalliseen DNS-palvelin) ja 25. Hyvin usein asiakkaiden on päästävä postilaatikkoonsa ulkopuolelta (kotoa, työmatkalla jne.). Paras ratkaisu tässä tilanteessa on määrittää OWA (Web interface for access Exchange Server, joka on asennettuna oletusarvoisesti, saatavilla osoitteessa http://palvelimen_nimi/exchange) toimimaan SSL:n yli ja avoin pääsy vain portissa 443. Viestien suojatun todennuksen ja salauksen ongelmien ratkaiseminen ratkaisee automaattisesti SMTP Relay -ongelman (lisätietoja myöhemmin) ja tilanteen, jossa käyttäjä vahingossa lataa työsähköpostin sähköpostiohjelman kansioihin kotitietokone, ja sitten töissä hän ei löydä näitä viestejä (puhumattakaan siitä, että työsähköpostin säilyttäminen kotona on tietoturvaloukkaus).
Uusi ominaisuus, joka on ilmestynyt Exchange Serveriin. versiosta 2000 alkaen mahdollisuus käyttää useita virtuaalisia SMTP- ja POP3-palvelimia erilaisilla suojausasetuksilla. Esimerkiksi SMTP-palvelin, joka on vuorovaikutuksessa Internetin kanssa, voidaan määrittää tehostetulla suojaustilalla ja tiukoilla toimitusrajoituksilla, ja organisaation käyttäjien käyttämä SMTP-palvelin voidaan määrittää tehokkaimmilla ja käyttäjäystävällisimmillä asetuksilla.
On myös tarpeen mainita tietty hämmennys terminologiassa - hyvin usein Exchangen palomuureja kutsutaan sanomien suodatusjärjestelmiksi, joista keskustellaan jäljempänä.
Materiaali Rosalab Wikistä
TarkoitusTässä oppaassa kerrotaan, kuinka eri liitännät tehdään sähköpostiohjelmat Microsoft Exchange -palvelimelle. Tavoitteena on saada järjestelmä, joka vastaa toiminnallisesti Microsoft Outlookia.
Syötä tiedotEsimerkeissä käytetään Microsoft Exchange 2010 -palvelinta (v14.03.0361.001) Service Pack 3 Update RollUp 18. Testaus suoritetaan yritysverkossa. DNS-palvelimet sisältävät ulkoisia sähköpostiosoitteita postipalvelimelle. Seuraavan pitäisi toimia Exchange-palvelimessa:
Tärkeä ongelma muille kuin Microsoft-asiakkaille menestyäkseen Exchange 2010:ssä on todennus. Voit tarkastella sen parametreja Exchange-palvelimella CAS (Client Access Server) -roolissa. Käynnistä IIS Manager -laajennus ja avaa Sivustot/Oletussivusto-välilehti. Huomaa, että todennus koostuu kolmesta osasta:
- OWA - Käytössä tila perustodennusta ja -todentamista varten Windowsin aitous »:
- OAB – Perustodennuksen ja Windows-todennuksen käytössä tila:
- EWS – Anonymous Authentication, Basic Authentication ja Windows Authentication -tila käytössä:
Jotkin sähköpostiohjelmat eivät voi muodostaa yhteyttä suoraan Microsoft Exchangeen, ja ne edellyttävät välittäjän käyttöä. Tässä esimerkissä välityspalvelinta käytetään välittäjänä DavMail.
- Asentaa DavMail, saatuaan järjestelmänvalvojan oikeudet käyttämällä suta tai sudoa:
- Juosta DavMail:
- Kirjoita "Pää"-välilehden "OWA (Exchange) URL" -kenttään palvelimesi osoite muodossa "https:///EWS/Exchange.asmx" tai linkki OWA:han.
muodossa "https:///owa".
- Muista porttinumerot "Paikallinen IMAP-portti" ja "Paikallinen SMTP-portti". Tässä esimerkissä nämä ovat 1143 ja 1025.
Jotta palvelinta ei käynnistettäisi manuaalisesti joka kerta DavMail, sinun on lisättävä sen kutsu käynnistykseen.
- Siirry valikkoon "Järjestelmäasetukset → Käynnistys ja sammutus → Automaattinen käynnistys", napsauta [Lisää sovellus] -painiketta ja kirjoita hakupalkkiin "davmail" ja napsauta sitten [OK]:
Nyt paikallinen välityspalvelin DavMail käynnistyy automaattisesti, kun järjestelmä käynnistyy. Jos sen kuvake "Tehtäväpalkissa" häiritsee sinua, on mahdollisuus piilottaa se. Voit tehdä tämän muokkaamalla .davmail.properties-tiedostossa riviä davmail.server=false ja muuttamalla false arvoksi true:
Sudo mcedit /home//.davmail.properties
Sähköpostiohjelmat Exchange-yhteyttä vartenNyt voit aloittaa sähköpostiohjelmien asettamisen.
ThunderbirdMozilla Thunderbird on tärkein sähköpostiohjelma ROSA Linux -jakeluille ja todennäköisesti se on jo asennettu järjestelmääsi ja valmis käytettäväksi. Jos ei, voit asentaa sen ROSA-varastoista. Tämä esimerkki käyttää versiota 52.2.1.
- Asentaa Thunderbird:
- Lisää venäjänkielinen käyttöliittymä:
- Asenna Lightning-lisäosa, jonka avulla voit käyttää kalentereita:
- Juosta Thunderbird.
- Valitse "Tilit"-osion "Luo tili" -osiossa " Sähköposti" Tervetuloa-ikkuna tulee näkyviin.
- Napsauta avautuvassa ikkunassa [Ohita tämä ja käytä olemassa olevaa sähköpostiosoitettani] -painiketta.
- Kirjoita "Mail account setup" -ikkunan kenttiin "Nimesi", "Sähköpostiosoite". mail" ja "Salasana" valtuustietosi.
- Napsauta [Jatka]. Ohjelma yrittää löytää yhteyksiä (epäonnistuneesti) ja näyttöön tulee virheilmoitus:
Täällä tarvitset porttinumerot, jotka muistit asennuksen aikana DavMail.
- Muuta "Saapuva"- ja "Lähtevä"-luokkien palvelimen nimeksi "localhost".
- Määritä portti 1143 IMAP:lle ja portti 1025 SMTP:lle.
- Kirjoita "Käyttäjänimi" -kenttään UPN (User Principal Name) - käyttäjän verkkotunnuksen nimi muodossa "Käyttäjä[email protected]".
- Napsauta [Testaa uudelleen] -painiketta.
Jos syötät tunnistetietosi oikein, virheitä ei tapahdu. Järjestelmä saattaa pyytää sinua hyväksymään Exchange-palvelimen varmenteen. Jos näin ei tapahdu, olet ehkä sammuttanut käyttöliittymän liian aikaisin DavMail.
Luo käyttäjäkalenteri- Valitse "Tilit"-luokasta "Luo uusi kalenteri".
- Valitse näkyviin tulevasta ikkunasta "Online" ja napsauta [Seuraava].
- Valitse "CalDAV"-muoto ja kirjoita "Osoite"-kenttään "http://localhost:1080/users/ /calendar":
Osoitekirja Thunderbird ei tue CardDAV-protokollaa, ja se voidaan yhdistää vain Exchange-palvelimen LDAP-hakemistoon.
- Avaa olemassa olevat osoitekirjat napsauttamalla [Osoitekirja]-painiketta ja valitsemalla "Tiedosto → Uusi → LDAP-hakemisto".
- Määritä ohjatun toiminnon ikkunassa seuraavat parametrit:
- Nimi - mikä tahansa sopiva nimi
- Palvelimen nimi - localhost
- Juurielementti (Base DN) - ou=people
- Portti - 1389 (alkaen Davmail)
- Käyttäjätunnus (Bind DN) - UPN-käyttäjänimi
- Napsauta [OK]. Ohjelma pyytää sinua syöttämään salasanan.
- Siirry asetusvalikkoon Thunderbird. Valitse Luokassa "Kirjoitus" välilehti "Osoitteet" ja valitse "Kun kirjoitat osoitetta, etsi sopivia postiosoitteita" -tekstin alta "Hakemistopalvelin" ja valitse osoitekirjasi nimi.
Sähköpostiohjelma on myös saatavilla ROSA-tietovarastoissa Evoluutio(tässä esimerkissä käytetään versiota 3.16.4).
- Asentaa Evoluutio:
- Asenna liitin Vaihto yhteensopiva version 2007 ja uudemman kanssa:
- Juosta Evoluutio.
- Napsauta ohjatun toiminnon ikkunassa [Seuraava]-painiketta, kunnes siirryt "Tili"-välilehdelle.
- Täytä kentät "Koko nimi" ja "Sähköposti".
- Valitse "Mail Receiving" -välilehden "Palvelintyyppi"-luettelosta "Exchange Web Services".
- Syötä nimeksi käyttäjän UPN-nimi muodossa "Käyttäjä[email protected]".
- Kirjoita "Host URL" -kenttään "https://MailServerNameExchange/EWS/Exchange.asmx.
- Kirjoita OAB-URL-osoite OAB-URL-kenttään.
- Valitse todennustyypiksi "Perus".
Onnistuneen asennuksen jälkeen ohjelma pyytää salasanaa:
Salasanan syöttämisen jälkeen Evoluutio pääsee postilaatikkoosi, osoitekirjaasi ja kalentereihin.
Jos sinulla on tähän artikkeliin liittyviä kysymyksiä, ota yhteyttä [sähköposti suojattu].
Koskee: Exchange Server 2010 SP1
Tätä osiota muokattu viimeksi: 2011-04-22
Tässä osiossa on tietoja kaikkien Microsoft Exchange Server 2010:ssa käytettyjen tietopolujen porteista, todennuksesta ja salauksesta. Kunkin taulukon perässä oleva "Huomautuksia"-osio selventää tai määrittelee standardista poikkeavat todennus- tai salausmenetelmät.
KuljetuspalvelimetExchange 2010:ssä on kaksi palvelinroolia, jotka suorittavat viestien siirtotoimintoja: Hub Transport -palvelin ja Edge Transport -palvelin.
Seuraavassa taulukossa on tietoja näiden siirtopalvelimien ja muiden Exchange 2010 -palvelimien ja -palveluiden välisistä porteista, todennuksesta ja salauksesta.
Tietopolut siirtopalvelimille|
Kahden Hub Transport -palvelimen välillä |
Kyllä, käyttämällä TLS-suojausta (Transport Layer Security) |
||||
|
Hub Transport -palvelimesta Edge Transport -palvelimeen |
Suora luottamus |
Suora luottamus |
Kyllä, TLS:n avulla |
||
|
Edge Transport -palvelimelta Hub Transport -palvelimelle |
Suora luottamus |
Suora luottamus |
Kyllä, TLS:n avulla |
||
|
Kahden Edge Transport -palvelimen välillä |
Anonyymi, varmennetodennus |
Anonyymisti sertifikaatin avulla |
Kyllä, TLS:n avulla |
||
|
Postilaatikkopalvelimelta Microsoft Exchange -sähköpostin lähetyspalvelun kautta |
NTLM. Kun Hub Transport -palvelimen rooli ja postilaatikkopalvelimen rooli ovat käynnissä samalla palvelimella, käytetään Kerberos-protokollaa. |
Kyllä, käyttämällä RPC-salausta |
|||
|
Hub Transport -palvelimelta postilaatikkopalvelimelle MAPI:n kautta |
NTLM. Kun Hub Transport -palvelimen rooli ja postilaatikkopalvelimen rooli asennetaan samalle palvelimelle, käytetään Kerberos-protokollaa. |
Kyllä, käyttämällä RPC-salausta |
|||
|
Kyllä, TLS:n avulla |
|||||
|
Microsoft Exchange EdgeSync -palvelu Hub Transport -palvelimelta Edge Transport -palvelimelle |
Kyllä, LDAP yli SSL (LDAPS) |
||||
|
Käytä Active Directory -palvelua Hub Transport -palvelimelta |
|||||
|
Active Directory Rights Management Services (AD RMS) -palvelun käyttäminen Hub Transport -palvelimelta |
Kyllä, SSL:llä |
||||
|
SMTP-asiakkaat Hub Transport -palvelimelle (esimerkiksi loppukäyttäjät, jotka käyttävät Windows Live Mailia) |
Kyllä, TLS:n avulla |
- Kaikki Hub Transport -palvelimien välinen liikenne salataan TLS:llä ja Exchange 2010 -asennusohjelman asentamilla itseallekirjoitetuilla varmenteilla.
- Kaikki Edge Transport -palvelinten ja Hub Transport -palvelimien välinen liikenne on todennettu ja salattu. Todennus- ja salausmekanismina käytetään keskinäistä TLS:ää. X.509-todennuksen sijaan Exchange 2010 käyttää suora luottamus. Suora luottamus tarkoittaa, että varmenteen läsnäolo Active Directoryssa tai Active Directory Lightweight Directory Services (AD LDS) -palvelussa varmistaa varmenteen aitouden. Active Directorya pidetään luotettavana tallennusmoottorina. Suoraa luottamusta käytettäessä ei ole väliä, käytetäänkö itse allekirjoitettua sertifikaattia vai varmenneviranomaisen allekirjoittamaa varmennetta. Kun Edge Transport -palvelin tilaa Exchange-organisaation, Edge Subscription julkaisee Edge Transport -palvelimen varmenteen Active Directorylle, jotta Hub Transport -palvelimet voivat vahvistaa sen. Microsoft Exchange EdgeSync -palvelu lisää joukon Hub Transport -palvelinvarmenteita Active Directory Lightweight Directory Services (AD LDS) -palveluun Edge Transport -palvelimen vahvistamista varten.
- EdgeSync käyttää suojattua LDAP-yhteyttä Hub Transport -palvelimelta tilattuihin Edge Transport -palvelimiin TCP-portissa 50636. Active Directory Lightweight Directory Services kuuntelee myös TCP-porttia 50389. Tämän portin yhteydet eivät käytä SSL-protokolla. Voit käyttää LDAP-apuohjelmia yhteyden muodostamiseen tähän porttiin ja Active Directory Lightweight Directory Services -tietojen tarkistamiseen.
- Oletuksena kahdessa eri organisaatiossa sijaitsevien Edge Transport -palvelimien välinen liikenne on salattua. Exchange 2010 -asennusohjelma luo itseallekirjoitetun varmenteen ja ottaa TLS:n käyttöön oletusarvoisesti. Tämän ansiosta mikä tahansa lähettävä järjestelmä voi salata Exchangeen saapuvan SMTP-istunnon. Oletusarvoisesti Exchange 2010 yrittää myös käyttää TLS:ää kaikissa etäyhteyksissä.
- Hub Transport- ja Mailbox-palvelimien välisen liikenteen todennusmenetelmät ovat erilaisia, kun Hub Transport- ja Mailbox-palvelinroolit on asennettu samaan tietokoneeseen. Paikallinen postinsiirto käyttää Kerberos-todennusta. Sähköpostin etäsiirto käyttää NTLM-todennusta.
- Exchange 2010 tukee myös verkkotunnuksen suojausta. Domain Security on joukko Exchange 2010:n ja Microsoft Outlook 2010:n ominaisuuksia, jotka tarjoavat edullisen vaihtoehdon S/MIME:lle ja muille Internet-viestintäsuojausratkaisuille. Toimialueen suojaus tarjoaa tavan hallita suojattuja viestipolkuja verkkotunnusten välillä Internetissä. Kun nämä suojatut polut on määritetty, onnistuneesti lähetetyt viestit todistetulta lähettäjältä näkyvät "toimialueelta suojattuina" viesteinä Outlookin ja Outlook Web Accessin käyttäjille. Lisätietoja on kohdassa Domain Security Overview.
- Monet agentit voivat toimia sekä Hub Transport- että Edge Transport -palvelimissa. Yleensä roskapostin estoaineet käyttävät tietoja paikalliselta tietokoneelta, jossa ne toimivat. Vuorovaikutusta ei siis käytännössä tarvita etätietokoneet. Poikkeuksena on vastaanottajien suodatus. Vastaanottimien suodatus vaatii kutsun AD LDS:ään tai Active Directoryyn. Suosittelemme, että suoritat vastaanottajasuodatuksen Edge Transport -palvelimessa. Tässä tapauksessa AD LDS -hakemisto on samassa tietokoneessa, johon on asennettu Edge Transport -palvelimen rooli, joten etäyhteyttä ei tarvita. Jos vastaanottajan suodatus on asennettu ja määritetty Hub Transport -palvelimeen, sinulla on oltava pääsy Active Directory -hakemistopalveluun.
- Exchange 2010:n lähettäjän maineominaisuus käyttää Protocol Analysis Agent -agenttia. Tämä agentti muodostaa myös yhteyden useisiin ulkoisiin välityspalvelimiin määrittääkseen saapuvien viestien polut epäilyttäville yhteyksille.
- Kaikki muut roskapostin estotoiminnot käyttävät tietoja, jotka kerätään, tallennetaan ja jotka ovat käytettävissä vain paikallisella tietokoneella. Yleensä tiedot, kuten yhdistetty turvallisten lähettäjien luettelo tai vastaanottajatiedot vastaanottajasuodatusta varten, työnnetään paikalliseen AD LDS -hakemistoon Microsoft Exchange EdgeSync -palvelun avulla.
- Hub Transport -palvelimien Information Rights Management (IRM) -agentit muodostavat yhteyden Active Directory Rights Management Services (AD RMS) -palvelimiin organisaatiossa. Active Directory Rights Management Service (AD RMS) on verkkopalvelu, joka on suositeltavaa suojata SSL:llä. Yhteydet Active Directory Rights Management Services -palvelimiin muodostetaan HTTPS:n avulla, ja todennus käyttää Kerberosta tai NTLM:ää Active Directory Rights Management Services -palvelimen kokoonpanosta riippuen.
- Lokisäännöt, siirtosäännöt ja viestien luokittelusäännöt tallennetaan Active Directory -palveluihin, ja niitä käyttävät päiväkirja-agentti ja kuljetussääntöagentti Hub Transport -palvelimissa. Postilaatikkopalvelimet
NTLM- tai Kerberos-todennusta käytetään postilaatikkopalvelimissa riippuen käyttäjäkontekstista tai prosessista, jossa Exchange-liikelogiikkakerroksen kuluttaja toimii. Tässä yhteydessä kuluttajat ovat mitä tahansa sovelluksia tai prosesseja, jotka käyttävät Exchangen liiketoimintalogiikkakerrosta. Tämän seurauksena Postilaatikkopalvelinten tietopolut -taulukon Oletustodennus-sarakkeessa on useita rivejä, jotka on asetettu arvoon NTLM/Kerberos.
Exchangen liiketoimintalogiikkakerrosta käytetään Exchange-säilön käyttämiseen ja vuorovaikutukseen sen kanssa. Exchange-liiketoimintalogiikkakerrosta kutsutaan myös Exchange-kaupasta vuorovaikutukseen ulkoisten sovellusten ja prosessien kanssa.
Jos Exchange-liikelogiikkakerroksen kuluttaja toimii paikallisessa järjestelmäkontekstissa, todennusmenetelmä, jota käytetään kuluttajan käyttäessä Exchange-kauppaa, on aina Kerberos. Kerberos-todennusmenetelmää käytetään, koska vastaanottajan henkilöllisyys on tarkistettava käyttämällä tili tietokone "paikallinen järjestelmä" ja vaatii myös kaksisuuntaisen todetun luottamuksen.
Jos Exchange-liikelogiikkakerroksen vastaanottaja ei ole käynnissä paikallisessa järjestelmäkontekstissa, todennusmenetelmä on NTLM. Esimerkiksi kun järjestelmänvalvoja käyttää Exchange Management Shell -cmdlet-komentoa, joka käyttää Exchangen liiketoimintalogiikkakerrosta, NTLM-todennusta käytetään.
RPC-liikenne on aina salattua.
Seuraavassa taulukossa on tietoja postilaatikkopalvelimien porteista, todennuksesta ja tietopolun salauksesta.
Tietopolut postilaatikkopalvelimille
Huomautuksia Client Access Servers -palvelimille Unified Messaging ServersTietopolku Vaaditut portit Oletustodennus Tuettu todennusmenetelmä Salaustuki Oletustietojen salaus 389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (verkko-RPC-kirjautuminen)
Kyllä, käytetään Kerberos-salausta
Hallinnollinen etäyhteys(etärekisteri)
Kyllä, IPsecillä
Hallinnollinen etäkäyttö (SMB, tiedostot)
Kyllä, IPsecillä
Saatavuus Web Service (Mailbox Client Access)
Kyllä, käyttämällä RPC-salausta
Klusterointi
Kyllä, käyttämällä RPC-salausta
Client Access -palvelinten välillä (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos-sertifikaatin todennus
Kyllä, HTTPS:llä
Kyllä, käyttämällä itse allekirjoitettua varmennetta
Client Access -palvelinten välillä (Outlook Web Access)
80/TCP, 443/TCP (HTTPS)
Kyllä, SSL:llä
Client Access Server - Client Access Server (Exchange Web Services)
Kyllä, SSL:llä
Client Access Server to Client Access Server (POP3)
Kyllä, SSL:llä
Client Access Server to Client Access Server (IMAP4)
Kyllä, SSL:llä
Office Communications Server - Client Access Server (kun Office Communications Serverin ja Outlook Web App -integraatio on käytössä)
5075-5077/TCP (IN), 5061/TCP (OUT)
mTLS (pakollinen)
mTLS (pakollinen)
Kyllä, SSL:llä
IP-yhdyskäytävät ja IP-vaihteet tukevat vain varmennetodennusta, joka käyttää keskinäistä TLS-todennusta SIP-liikenteen salaamiseen ja IP-osoitepohjaista todennusta SIP- tai TCP-yhteyksille. IP-yhdyskäytävät eivät tue NTLM- tai Kerberos-todennusta. Siksi, kun käytät IP-osoitepohjaista todennusta, yhteyksien IP-osoitteita käytetään salaamattomien (TCP) yhteyksien todennusmekanismina. Kun sitä käytetään Unified Messaging -palvelussa, IP-pohjainen todennus tarkistaa, saako tietty IP-osoite muodostaa yhteyden. IP-osoite on määritetty IP-yhdyskäytävässä tai IP PBX:ssä.
IP-yhdyskäytävät ja IP-vaihteet tukevat keskinäistä TLS:ää SIP-liikenteen salaamiseksi. Kun vaaditut luotetut sertifikaatit on tuotu ja viety onnistuneesti, IP-yhdyskäytävä tai IP-vaihteisto pyytää varmennetta Unified Messaging -palvelimelta ja pyytää sitten varmennetta IP-yhdyskäytävältä tai IP-vaihteelta. Luotettujen varmenteiden vaihto IP-yhdyskäytävän tai IP PBX:n ja Unified Messaging -palvelimen välillä mahdollistaa molempien laitteiden kommunikoinnin suojatun kanavan kautta käyttämällä keskinäistä TLS:ää.
Seuraavassa taulukossa on Unified Messaging -palvelimien ja muiden palvelimien välisten tietopolkujen portti-, todennus- ja salaustiedot.
Unified Messaging -palvelimien tietopolut
Huomautuksia Unified Messaging -palvelimilleTietopolku Vaaditut portit Oletustodennus Tuettu todennusmenetelmä Salaustuki Oletustietojen salaus Pääsy Active Directoryyn
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (verkko-RPC-kirjautuminen)
Kyllä, käytetään Kerberos-salausta
Unified Messaging Telephony (IP PBX/VoIP Gateway)
5060/TCP, 5065/TCP, 5067/TCP (suojaamaton tila), 5061/TCP, 5066/TCP, 5068/TCP (suojattu tila), dynaaminen porttialue 16000-17000/TCP (ohjaus), dynaamiset UDP-portit alueella 1024-65535/UDP (RTP)
IP-osoitteen mukaan
IP-osoitteen mukaan, MTLS
Kyllä, käyttämällä SIP/TLS:tä, SRTP:tä
Unified Messaging -verkkopalvelu
80/TCP, 443/TCP (SSL)
Integroitu Windows-todennus (neuvotella)
Kyllä, SSL:llä
Unified Messaging -palvelimelta Client Access -palvelimelle
5075, 5076, 5077 (TCP)
Integroitu Windows-todennus (neuvottelu)
Basic, Digest, NTLM, Negotiate (Kerberos)
Kyllä, SSL:llä
Unified Messaging -palvelimelta Client Access -palvelimelle (pelaa puhelimessa)
Dynaaminen RPC
Kyllä, käyttämällä RPC-salausta
Unified Messaging -palvelimesta Hub Transport -palvelimeen
Kyllä, TLS:n avulla
Unified Messaging -palvelimesta postilaatikkopalvelimeen
Kyllä, käyttämällä RPC-salausta
- Kun luot Unified Messaging IP -yhdyskäytäväobjektin Active Directoryssa, sinun on määritettävä fyysisen IP-yhdyskäytävän tai IP PBX:n IP-osoite. Kun määrität UM-IP-yhdyskäytäväobjektin IP-osoitteen, IP-osoite lisätään kelvollisten IP-yhdyskäytävien tai IP-vaihteiden (tunnetaan myös nimellä SIP-istunnon osallistujat) luetteloon, joiden kanssa Unified Messaging -palvelin voi olla yhteydessä. Kun olet luonut Unified Messaging IP -yhdyskäytävän, voit liittää sen Unified Messaging -valintasuunnitelmaan. UM-IP-yhdyskäytävän yhdistäminen valintasuunnitelmaan mahdollistaa sen, että Unified Messaging -palvelimet, jotka on yhdistetty valintasuunnitelmaan, voivat käyttää IP-osoitepohjaista todennusta kommunikoidakseen IP-yhdyskäytävän kanssa. Jos Unified Messaging IP -yhdyskäytävää ei ole luotu tai sitä ei ole määritetty käyttämään oikeaa IP-osoitetta, todennus epäonnistuu eivätkä Unified Messaging -palvelimet hyväksy yhteyksiä IP-yhdyskäytävän IP-osoitteesta. Lisäksi kun käytät keskinäistä TLS:ää, IP-yhdyskäytävää tai IP PBX:ää ja Unified Messaging -palvelimia, UM-IP-yhdyskäytävä on määritettävä käyttämään täysin hyväksyttyä toimialueen nimeä (FQDN). Kun olet määrittänyt UM-IP-yhdyskäytävän käyttämällä täysin kelvollista toimialueen nimeä, sinun on myös lisättävä kyseisen yhdyskäytävän isäntätietue eteenpäin DNS-hakuvyöhykkeelle.
- Exchange 2010:ssä Unified Messaging -palvelin voi kommunikoida portissa 5060/TCP (suojaamaton) tai portissa 5061/TCP (suojattu), ja se voidaan määrittää käyttämään molempia portteja.
Lisätietoja on kohdissa Unified Messaging VoIP-suojauksen ymmärtäminen ja Unified Messaging Protocols, -porttien ja -palvelujen ymmärtäminen.
säännöt Windowsin palomuuri luonut Exchange 2010 SetupWindowsin palomuuri lisäsuojauksella on konepohjainen, tilallinen palomuuri, joka suodattaa saapuvan ja lähtevän liikenteen palomuurisääntöjen perusteella. Exchange 2010 -asennusohjelma luo Windowsin palomuurisäännöt, jotka avaavat palvelin-asiakasviestintään tarvittavat portit kussakin palvelinroolissa. Siksi sinun ei enää tarvitse käyttää ohjattua suojausmääritystoimintoa näiden asetusten määrittämiseen. Lisätietoja Windowsin palomuurista, jossa on lisäsuojaus, on kohdassa Windowsin palomuuri, jossa on lisäsuojaus ja IPsec.
Seuraavassa taulukossa näkyvät Exchange-asennusohjelman luomat Windowsin palomuurisäännöt, mukaan lukien portit, jotka ovat avoinna jokaisessa palvelinroolissa. Voit tarkastella näitä sääntöjä käyttämällä Windowsin palomuuria Advanced Security MMC -laajennuksella.
Huomautuksia Exchange 2010 -asennusohjelman luomista Windowsin palomuurisäännöistäSäännön nimi Palvelimen roolit Porttiohjelma MSExchangeADTopology - RPC (TCP-in)
Dynaaminen RPC
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (TCP-in)
Client Access -palvelin, Hub Transport -palvelin, Edge Transport -palvelin, Unified Messaging -palvelin
Dynaaminen RPC
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (TCP-in)
Dynaaminen RPC
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (TCP-in)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (TCP-in)
MSExchangeRPC (GFW) (TCP-in)
Client Access -palvelin, Hub Transport -palvelin, Postilaatikkopalvelin, Unified Messaging -palvelin
Dynaaminen RPC
MSExchange - IMAP4 (GFW) (TCP-tulo)
Client Access Server
MSExchangeIMAP4 (TCP-in)
Client Access Server
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (TCP-tulo)
Client Access Server
MSExchange - POP3 (TCP-tulo)
Client Access Server
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange – OWA (GFW) (TCP-tulo)
Client Access Server
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (TCP-in)
Client Access Server
5075, 5076, 5077 (TCP)
Inetsrv\w3wp.exe
MSExchangeAB RPC (TCP-in)
Client Access Server
Dynaaminen RPC
MSExchangeAB-RPCEPMap (TCP-in)
Client Access Server
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (TCP-in)
Client Access Server
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP-in)
Client Access Server
Dynaaminen RPC
System32\Svchost.exe
MSExchangeRPC - RPC (TCP-in)
Dynaaminen RPC
MSExchangeRPC - PRCEPMap (TCP-in)
Client Access Server, Mailbox Server
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (TCP-in)
Client Access Server, Mailbox Server
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (TCP-in)
Client Access Server
MSExchangeMailboxReplication (TCP-in)
Client Access Server
Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
MSExchangeIS RPCEPMap (TCP-in)
Postilaatikkopalvelin
MSExchangeIS (GFW) (TCP-in)
Postilaatikkopalvelin
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (TCP-in)
Postilaatikkopalvelin
MSExchangeMailboxAssistants - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
MSExchangeMailboxAssistants - RPCEPMap (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
MSExchangeMailSubmission - RPCEPMap (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeMigration.exe
MSExchangerepl - lokikopiokone (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling – RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (TCP-in)
Postilaatikkopalvelin
Bin\MSExchangeThrottling.exe
MSFTED – RPC (TCP-in)
Postilaatikkopalvelin
Dynaaminen RPC
MSFTED - RPCEPMap (TCP-in)
Postilaatikkopalvelin
MSExchangeEdgeSync - RPC (TCP-in)
Hub Transport Server
Dynaaminen RPC
MSExchangeEdgeSync RPCEPMap (TCP-in)
Hub Transport Server
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP-in)
Hub Transport Server
Dynaaminen RPC
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (TCP-in)
Hub Transport Server
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (TCP-in)
Hub Transport Server
MSExchangeTransportWorker (TCP-in)
Hub Transport Server
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (TCP-in)
Dynaaminen RPC
MSExchangeTransportLogSearch - RPCEPMap (TCP-in)
Hub Transport Server, Edge Transport Server, Mailbox Server
Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (TCP-tulo)
Unified Messaging Server
SESWorker (TCP-in)
Unified Messaging Server
UnifiedMessaging\SESWorker.exe
UMService (GFW) (TCP-in)
Unified Messaging Server
UMService (TCP-in)
Unified Messaging Server
Bin\UMService.exe
UMWorkerProcess (GFW) (TCP-in)
Unified Messaging Server
5065, 5066, 5067, 5068
UMWorkerProcess (TCP-in)
Unified Messaging Server
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP-in)
Unified Messaging Server
Dynaaminen RPC
Bin\UMWorkerProcess.exe
- Palvelimissa, joihin on asennettu IIS, Windows avaa HTTP- (portti 80, TCP) ja HTTPS (portti 443, TCP) -portit. Exchange 2010:n asennusohjelma ei avaa näitä portteja. Siksi näitä portteja ei ole lueteltu edellisessä taulukossa.
- SISÄÄN Windows Server Windows Firewall 2008:ssa ja Windows Server 2008 R2:ssa Windowsin palomuuri ja lisäsuojaus antaa sinun määrittää prosessin tai palvelun, jolle portti on avoinna. Tämä on turvallisempaa, koska porttia voi käyttää vain säännössä määritetty prosessi tai palvelu. Exchange-asennus luo palomuurisäännöt määritetyllä prosessinimellä. Joissakin tapauksissa yhteensopivuussyistä luodaan myös lisäsääntö, joka ei rajoitu tähän prosessiin. Voit poistaa käytöstä tai poistaa prosessia rajoittamattomat säännöt ja säilyttää vastaavat prosessirajoitetut säännöt, jos nykyinen käyttöönottoympäristösi tukee niitä. Säännöt, jotka eivät rajoitu prosesseihin, voidaan tunnistaa säännön nimessä olevasta sanasta (GFW).
- Monet Exchange-palvelut käyttävät etäproseduurikutsuja (RPC) viestintään. Palvelinprosessit, jotka käyttävät etäproseduurikutsuja, muodostavat yhteyden RPC-päätepistekartoittimeen dynaamisten päätepisteiden saamiseksi ja rekisteröimiseksi päätepisteiden kartoitustietokantaan. RPC-asiakkaat ovat vuorovaikutuksessa RPC-päätepisteiden kartoittajan kanssa määrittääkseen palvelinprosessin käyttämät päätepisteet. Oletusarvoisesti RPC-päätepisteiden selvittäjä kuuntelee porttia 135 (TCP). Kun määrität Windowsin palomuurin prosessille, joka käyttää etätoimintokutsuja, Exchange 2010 -asennusohjelma luo kaksi palomuurisääntöä tälle prosessille. Yksi sääntö sallii vuorovaikutuksen RPC-päätepistekartoittajan kanssa ja toinen vuorovaikutuksen dynaamisesti määritetyn päätepisteen kanssa. Lisätietoja etäkäsittelykutsuista on tässä artikkelissa. Lisätietoja Windowsin palomuurisääntöjen luomisesta dynaamisille etäproseduurikutsuille on tässä artikkelissa.
Lisätietoja on Microsoft Knowledge Base -tietokannan artikkelissa 179442
