Референца за мрежни порти за размена. Поврзување клиенти за е-пошта со патеки за податоци на Microsoft Exchange Server за сервери за поштенско сандаче

[Овој напис е прелиминарен документ и може да се промени во идните изданија. Празни делови се вклучени како заштитни места. Ако сакате да напишете рецензија, би сакале да ја добиеме. Испратете ни го преку е-пошта [заштитена е-пошта]]

Применливо за: Exchange Server 2016 година

Информации за мрежните порти што Exchange 2016 ги користи за пристап до клиентот и проток на пошта.

Оваа тема обезбедува информации за мрежните порти што ги користи Microsoft Exchange Server 2016 за комуникација со клиентите за е-пошта, серверите за интернет пошта и другите услуги што се наоѓаат надвор од вашата организација на Exchange во просториите. Пред да започнете, разгледајте ги следните основни правила.

Не поддржуваме ограничување или менување на мрежниот сообраќај помеѓу внатрешните сервери за размена, помеѓу внатрешните сервери за размена и внатрешните сервери на Lync или Skype за бизнис или помеѓу внатрешните сервери за размена и внатрешните контролери на доменот на Active Directory во кој било од типовите на топологија. Ако користите заштитни ѕидови или мрежни уреди кои можат да го ограничат или изменат овој мрежен сообраќај, мора да поставите правила за да дозволите бесплатна и неограничена комуникација помеѓу овие сервери (правила што дозволуваат мрежниот сообраќај до и од која било порта, вклучувајќи случајни RPC порти и кои било протокол). , што не менува ниту еден бит).

Серверите на Edge Transport се скоро секогаш во периметарската мрежа, така што мрежниот сообраќај помеѓу серверот Edge Transport и Интернетот и помеѓу серверот Edge Transport и внатрешната организација Exchange се очекува да биде ограничен. Овие мрежни порти се опишани во овој дел.

Од вас се очекува да го ограничите мрежниот сообраќај помеѓу надворешни клиенти и услуги и внатрешната организација на Exchange. Можете исто така да го ограничите сообраќајот помеѓу внатрешните клиенти и внатрешните сервери на Exchange. Овие мрежни порти се опишани во овој дел.

содржина

Потребни се мрежни порти за клиенти и услуги

Потребни се мрежни порти за проток на пошта (без сервери за транспорт на рабовите)

Потребни се мрежни порти за проток на пошта со Edge Transport сервери

Потребни се мрежни порти за хибридни распоредувања

Потребни се мрежни порти за Unified Messaging

Мрежните порти што им се потребни на клиентите за е-пошта за пристап до поштенските сандачиња и другите услуги во организацијата Exchange се опишани во следниот дијаграм и табела.

Белешки.

Дестинацијата за овие клиенти и услуги е услугите за пристап до клиент на серверот за поштенско сандаче. Во Exchange 2016, услугите за пристап до клиентот (надворешни) и внатрешните услуги се инсталирани заедно на истиот сервер за поштенско сандаче. Погледнете го делот за повеќе информации.

Иако дијаграмот прикажува клиенти и услуги од Интернет, концептите се исти за внатрешните клиенти (на пример, клиентите во сметководствената шума што пристапуваат до серверите на Exchange во шумата со ресурси). Слично на тоа, нема колона Извор во табелата бидејќи изворот може да биде која било локација надвор од организацијата Exchange (на пример, Интернет или сметководствена шума).

Серверите на Edge Transport не учествуваат во мрежниот сообраќајповрзани со тие клиенти и услуги.

Цел	Пристаништа	Белешки
Шифрираните веб-врски се користат од следните клиенти и услуги. Услуга за автоматско откривање Размени ActiveSync Размена на веб-услуги (EWS) Дистрибуирање офлајн адресари Outlook Anywhere (RPC преку HTTP) MAPI Outlook преку HTTP Outlook на веб	443/TCP (HTTPS)	EWS Референца за размена
Нешифрираните веб-врски се користат од следните клиенти и услуги. Објавете го вашиот календар на интернет Outlook на веб (пренасочување кон портата 443/TCP) Автоматско откривање (резервна копија кога портата 443/TCP е недостапна)	80/TCP (HTTP)	Секогаш кога е можно, препорачуваме да користите шифрирани веб-врски на портата 443/TCP за да ги заштитите ингеренциите и другите податоци. Сепак, некои услуги мора да бидат конфигурирани да користат нешифрирани веб-врски на портата 80/TCP до услугите за пристап до клиент на серверите за поштенско сандаче. За повеќе информации за овие клиенти и услуги, видете ги следните написи.
IMAP4 клиенти	143/TCP (IMAP), 993/TCP (безбеден IMAP)	IMAP4 е стандардно оневозможен. Погледнете го делот за повеќе информации. Услугата IMAP4 во услугите за пристап до клиент на серверот за поштенско сандаче врши прокси конекции со внатрешната услуга IMAP4 на серверот за поштенско сандаче.
POP3 клиенти	110/TCP (POP3), 995/TCP (безбеден POP3)	Стандардно, протоколот POP3 е оневозможен. Погледнете го делот за повеќе информации. Услугата POP3 во услугите за пристап до клиент на серверот за поштенско сандаче врши прокси врски со внатрешната услуга POP3 на серверот за поштенско сандаче.
SMTP клиенти (со автентикација)	587/TCP (автентициран SMTP)	Стандардниот приклучок за примање е „Client Frontend " во услугата за надворешен транспорт слуша пораки од автентицирани SMTP клиенти на портата 587. Забелешка. Ако имате клиенти за е-пошта кои можат да испраќаат само автентификувани SMTP пораки на портата 25, можете да ја промените вредноста на врзувањето на овој приклучок за Примање за да ги слушате и автентицираните SMTP пораки на портата 25.

До почетокот

Потребни се мрежни порти за проток на пошта

Појдовна пошта

25/TCP (SMTP)

Сервер за поштенско сандаче

Интернет (сите)

Стандардно, Exchange не создава конектори за испраќање што ви дозволуваат да испраќате пошта на Интернет. Мора рачно да ги креирате конекторите за испраќање. Погледнете го делот за повеќе информации.

Појдовна пошта (ако е испратена преку надворешна транспортна услуга)

25/TCP (SMTP)

Сервер за поштенско сандаче

Интернет (сите)

Излезната пошта се испраќа преку услугата за надворешен транспорт само ако е овозможена поставката за конекторот Испрати Прокси преку серверот за пристап до клиентво EAC, или параметарот -FrontEndProxyEnabled $true во школката за управување со Exchange.

Во овој случај, стандардниот приклучок за примање „Outbound Proxy Frontend " во услугата Надворешен транспорт слуша појдовна пошта од услугата Транспорт на серверот поштенско сандаче. За повеќе информации, видете .

DNS сервер за резолуција на името на следниот хоп по пошта (не е прикажано)

53/UDP, 53/TCP (DNS)

Сервер за поштенско сандаче

DNS сервер

До почетокот

Претплатениот Edge Transport сервер инсталиран во периметарската мрежа влијае на протокот на пошта на следниве начини:

Излезната пошта од организацијата Exchange никогаш не оди преку услугата за надворешен транспорт на серверите за поштенско сандаче. Секогаш се пренасочува од услугата Транспорт на серверот за поштенско сандаче на претплатената локација на Active Directory кон серверот Edge Transport (без оглед на верзијата на Exchange на серверот Edge Transport).

Дојдовната пошта се пренасочува од серверот Edge Transport до серверот за поштенско сандаче на претплатената локација на Active Directory. Ова значи следново:

• Поштата од серверот Exchange 2016 или Exchange 2013 Edge Transport прво влегува во услугата External Transport, а потоа се пренасочува до услугата Transport на серверот Exchange 2016 Mailbox.

  Пошта од серверот Exchange 2010 Edge Transport секогаш оди директно до услугата Transport на серверот за поштенско сандаче на Exchange 2016.

Мрежните порти потребни за проток на пошта во организациите на Exchange со Edge Transport сервери се опишани во следниот дијаграм и табела.

Цел	Пристаништа	Извор	Цел	Белешки
Дојдовна пошта - од Интернет до Edge Transport сервер	25/TCP (SMTP)	Интернет (сите)		Стандардниот конектор за примање именуван како Стандарден конектор за внатрешен прием <имя пограничного транспортного сервера> " на серверот Edge Transport слуша анонимна SMTP пошта на портата 25.
Влезна пошта - од серверот Edge Transport до внатрешната организација на Exchange	25/TCP (SMTP)	Edge Transport Server		Стандардниот конектор за испраќање со име „EdgeSync - Влезни до " Ја пренесува дојдовната пошта на портата 25 на кој било сервер за поштенско сандаче на претплатената локација на Active Directory. За повеќе информации, видете . Стандарден приклучок за примање „Стандарден преден дел " во услугата External Transport на серверот Mailbox ја слуша целата дојдовна пошта (вклучувајќи ја поштата од серверите Exchange 2016 и Exchange 2013 Edge Transport) на портата 25.
Излезна пошта - од внатрешна организација на Exchange до сервер Edge Transport	25/TCP (SMTP)	Сервери за поштенско сандаче во претплатена локација на Active Directory		Појдовната пошта секогаш ја заобиколува услугата за надворешен транспорт на серверите за поштенско сандаче. Поштата се пренесува од услугата Транспорт на кој било сервер за поштенско сандаче во претплатена локација на Active Directory до сервер за транспорт на Edge со користење на имплицитен и невидлив интраорганизациски конектор за испраќање кој автоматски ја насочува поштата помеѓу серверите на Exchange во истата организација. Стандарден внатрешен приклучок за прием на серверот Edge Transport слуша SMTP пошта на портата 25 од услугата Транспорт на кој било сервер за поштенско сандаче во претплатената локација на Active Directory.
Појдовна пошта - од серверот Edge Transport до Интернет	25/TCP (SMTP)	Edge Transport Server	Интернет (сите)	Стандардниот конектор за испраќање со име „EdgeSync - со <имя сайта Active Directory> на Интернет“ ја пренесува појдовната пошта на портата 25 од серверот Edge Transport на Интернет.
Синхронизација на EdgeSync	50636/TCP (безбеден LDAP)	Сервери за поштенско сандаче на претплатената локација на Active Directory кои учествуваат во синхронизацијата на EdgeSync	Сервери за транспорт на работ	Ако серверот Edge Transport е претплатен на локација на Active Directory, сите сервери за поштенско сандаче што моментално постојат на страницата учествуваат во синхронизацијата на EdgeSync. Но, ако додадете повеќе сервери за поштенско сандаче подоцна, тие нема автоматски да учествуваат во синхронизацијата на EdgeSync.
DNS сервер за следната резолуција на името на хоп (не е прикажано)	53/UDP, 53/TCP (DNS)	Edge Transport Server	DNS сервер	Видете Резолуција за името.
Репутација на испраќачот Откривање на отворен прокси (не е прикажано)	види белешки	Edge Transport Server	Интернет	Стандардно, агентот за анализа на протокол користи откривање на отворен прокси како еден од условите за пресметување на нивото на репутација на изворниот сервер за пораки. Видете ја статијата за повеќе информации. Следниве TCP порти се користат за проверка на изворните сервери за пораки за отворен прокси-сервер: Исто така, ако вашата организација користи прокси-сервер за да го контролира излезниот интернет сообраќај, мора да го одредите името на прокси-серверот, типот и TCP-портата потребни за пристап на Интернет и откривање отворен прокси-сервер. Можете исто така да го оневозможите откривањето на отворен прокси. Погледнете го делот за повеќе информации.

До почетокот

Резолуција за името

Резолуција за името

Резолуцијата на поштата со следниот хоп DNS е фундаментален дел од протокот на пошта во секоја организација на Exchange. Разменувачките сервери одговорни за примање дојдовна пошта или доставување појдовна пошта мора да бидат способни да ги решат и внатрешните и надворешните имиња на домаќини за правилно да ја насочат поштата. Сите внатрешни сервери на Exchange мора да бидат способни да ги решат внатрешните имиња на домаќини со цел правилно да ја насочуваат поштата. Постојат многу различни начини за дизајнирање на вашата DNS инфраструктура, но важен резултат е да се осигура дека следниот скок е правилно решен на сите Exchange сервери.

Кои TCP и UDP порти ги користи мојот Exchange 2000/2003 Server?

За потребите на конфигурирање на заштитните ѕидови или за решавање проблеми со комуникациските проблеми, може да биде корисно да се знае кои TCP/UDP порти користат Exchange 2000 Server и Exchange 2000 Conferencing Server. Оваа статија важи и за инсталациите на Exchange Server 2003.

Протокол: LDAP

• Порта (TCP/UDP): 389 (TCP)
• Опис: Лесен протокол за пристап до директориумот (LDAP), користен од Active Directory, Active Directory Connector и директориумот Microsoft Exchange Server 5.5.

Протокол: LDAP/SSL

• Порта (TCP/UDP): 636 (TCP)
• Опис: LDAP преку Secure Sockets Layer (SSL). Кога е овозможен SSL, LDAP податоците што се пренесуваат и примаат се шифрираат.
• За да овозможите SSL, мора да инсталирате сертификат за компјутер на контролерот на доменот или на компјутерот Exchange Server 5.5.

Протокол: LDAP

• Порта (TCP/UDP): 379 (TCP)
• Опис: Услугата за репликација на локацијата (SRS) користи TCP порта 379.

Протокол: LDAP

• Порта (TCP/UDP): 390 (TCP)
• Опис: Иако не е стандардна LDAP порта, TCP портата 390 е препорачаната алтернативна порта за конфигурирање на протоколот Exchange Server 5.5 LDAP кога Exchange Server 5.5 работи на контролер на домен на Microsoft Windows 2000 Active Directory.

Протокол: LDAP

• Порта (TCP/UDP): 3268 (TCP)
• Опис: Глобален каталог. Глобалниот каталог на Windows 2000 Active Directory (кој навистина е „улога“ на контролорот на доменот) слуша на TCP портата 3268. Кога решавате проблеми што можеби се поврзани со глобален каталог, поврзете се на портата 3268 во LDP.

Протокол: LDAP/SSL

• Порта (TCP/UDP): 3269 (TCP)
• Опис: Глобален каталог преку SSL. Апликациите што се поврзуваат со TCP портата 3269 на глобален каталошки сервер можат да пренесуваат и примаат SSL шифрирани податоци. За да конфигурирате глобален каталог да поддржува SSL, мора да инсталирате сертификат за компјутер на глобалниот каталог.

Протокол: IMAP4

• Порта (TCP/UDP): 143 (TCP)
• Опис: Протоколот за пристап до пораки на Интернет верзија 4, може да се користи од клиенти „базирани на стандарди“, како што се Microsoft Outlook Express или Netscape Communicator за пристап до серверот за е-пошта. IMAP4 работи на врвот на административната услуга на Интернет-информативната услуга на Microsoft (IIS) (Inetinfo.exe) и му овозможува пристап на клиентот до продавницата за информации Exchange 2000.

Протокол: IMAP4/SSL

• Порта (TCP/UDP): 993 (TCP)
• Опис: IMAP4 преку SSL користи TCP порта 993. Пред серверот Exchange 2000 да поддржува IMAP4 (или кој било друг протокол) преку SSL, мора да инсталирате компјутерски сертификат на серверот Exchange 2000.

Протокол: POP3

• Порта (TCP/UDP): 110 (TCP)
• Опис: Поштенски протокол верзија 3, им овозможува на клиентите „засновани на стандарди“, како што се Outlook Express или Netscape Communicator, да пристапат до серверот за е-пошта. Како и кај IMAP4, POP3 работи на врвот на административната услуга IIS и му овозможува пристап на клиентот до продавницата за информации Exchange 2000.

Протокол: POP3/SSL

• Порта (TCP/UDP): 995 (TCP)
• Опис: POP3 преку SSL. За да овозможите POP3 преку SSL, мора да инсталирате сертификат за компјутер на серверот Exchange 2000.

Протокол: NNTP

• Порта (TCP/UDP): 119 (TCP)
• Опис: Протоколот за транспорт на мрежни вести, понекогаш наречен Усенет протокол, овозможува пристап на клиентот „заснован на стандарди“ до јавните папки во продавницата за информации. Како и кај IMAP4 и POP3, NNTP зависи од административната услуга на IIS.

Протокол: NNTP/SSL

Порта (TCP/UDP): 563 (TCP)

Опис: NNTP преку SSL. За да овозможите NNTP преку SSL, мора да инсталирате компјутерски сертификат на серверот Exchange 2000.

Протокол: HTTP

• Порта (TCP/UDP): 80 (TCP)
• Опис: Протоколот за пренос на хипер-текст е протокол што првенствено го користи Microsoft Outlook Web Access (OWA), но исто така овозможува и некои административни дејства во менаџерот на системот Exchange. HTTP се имплементира преку World Wide Web Publishing Service (W3Svc) и работи на врвот на IIS Admin Service.

Протокол: HTTP/SSL

• Порта (TCP/UDP): 443 (TCP)
• Опис: HTTP преку SSL. За да овозможите HTTP преку SSL, мора да инсталирате сертификат за компјутер на серверот Exchange 2000.

Протокол: SMTP

• Порта (TCP/UDP): 25 (TCP)
• Опис: Едноставен протокол за пренос на пошта, е основата за целиот транспорт на е-пошта во Exchange 2000. Услугата SMTP (SMTPSvc) работи на врвот на административната услуга IIS. За разлика од IMAP4, POP3, NNTP и HTTP, SMTP во Exchange 2000 не користи посебна порта за безбедна комуникација (SSL), туку користи „безбедносен потсистем во опсегот“ наречен Transport Layer Security (TLS).

Протокол: SMTP/SSL

• Порта (TCP/UDP): 465 (TCP)
• Опис: SMTP преку SSL. TCP портата 465 е резервирана од вообичаената индустриска практика за безбедна SMTP комуникација користејќи SSL протокол. Меѓутоа, за разлика од IMAP4, POP3, NNTP и HTTP, SMTP во Exchange 2000 не користи посебна порта за безбедна комуникација (SSL), туку користи „безбедносен потсистем во опсегот“ наречен безбедност на транспортниот слој (TLS). . За да овозможите TLS да работи на Exchange 2000, мора да инсталирате сертификат за компјутер на серверот Exchange 2000.

Протокол: SMTP/LSA

• Порта (TCP/UDP): 691 (TCP)
• Опис: Microsoft Exchange Routing Engine (исто така познат како RESvc) слуша информации за состојбата на врската за насочување на TCP портата 691. Exchange 2000 користи информации за состојбата на врската за насочување за да насочува пораки и рутирачката табела постојано се ажурира. Алгоритмот за состојбата на врска (LSA) пропагира информации за статусот на излезот помеѓу серверите на Exchange 2000. Овој алгоритам се заснова на протоколот Open Shortest Path First (OSPF) од мрежна технологија и пренесува информации за состојбата на врската помеѓу рутирачките групи со користење на командниот глагол X-LSA-2 преку SMTP и со користење на врската за контрола на пренос (TCP) до порта 691 во рутирачка група.

Протокол: RVP

• Порта (TCP/UDP): 80 (TCP)
• Опис: RVP е основа за размена на инстант пораки во Exchange 2000. Додека RVP комуникацијата започнува со TCP портата 80, серверот брзо поставува нова врска со клиентот на ефемерна TCP порта над 1024. Бидејќи оваа порта не е однапред позната, проблеми постојат кога ќе овозможите Инстант пораки преку заштитен ѕид.

Протокол: IRC/IRCX

• Порта (TCP/UDP): 6667 (TCP)
• Опис: Интернет релеј разговор (IRC) е протокол за разговор. IRCX е проширена верзија понудена од Microsoft. Додека TCP портата 6667 е најчестата порта за IRC, TCP портата 7000 исто така многу често се користи.

Протокол: IRC/SSL

• Порта (TCP/UDP): 994 (TCP)
• Опис: IRC (или разговор) преку SSL. IRC или IRCX преку SSL не се поддржани во Exchange 2000.

Протокол: X.400

• Порта (TCP/UDP): 102 (TCP)
• Опис: ITU-T Препораката X.400 е навистина серија препораки за тоа како треба да изгледа системот за ракување со електронски пораки (MHS). TCP портата 102 е дефинирана во IETF RFC-1006, која ги опишува OSI комуникациите преку TCP/IP мрежа. Накратко, TCP портата 102 е порта што агентот за пренос на пораки Exchange (MTA) ја користи за да комуницира со други MTA способни за X.400.

Протокол: MS-RPC

• Порта (TCP/UDP): 135 (TCP)
• Опис: Microsoft Remote Procedure Call е имплементација на Microsoft на повици за далечинска процедура (RPC). TCP портата 135 е всушност само услугата RPC Locator, која е како регистратор за сите услуги овозможени RPC кои работат на одреден сервер. Во Exchange 2000, конекторот за рутирачка група користи RPC наместо SMTP кога целниот сервер за мост работи Exchange 5.5. Исто така, некои административни операции бараат RPC. За да конфигурирате заштитен ѕид за да овозможи сообраќај RPC, мора да се овозможат многу повеќе порти од само 135.

За дополнителни информации, кликнете на броевите на написите подолу за да ги видите написите во базата на знаење на Microsoft:

XADM: Поставување броеви на порти TCP/IP за интернет огнени ѕидови

XCON: Конфигурирање на MTA TCP/IP порта # за X.400 и RPC слушања

Протокол: Т.120

• Порта (TCP/UDP): 1503 (TCP)
• Опис: Препораката T.120 на ITU-T е серија препораки што го дефинираат конференциското поврзување со податоци. Конференциите со податоци се имплементирани на страната на серверот како провајдер за конференциска технологија (CTP) во контролната единица со повеќе точки (MCU), која е една од компонентите на Услугите за конференции на Exchange (ECS). Конференциите на податоци се имплементирани на страната на клиентот како разговор, споделување апликации, табла и пренос на датотеки во Microsoft NetMeeting.

Протокол: ULS

• Порта (TCP/UDP): 522 (TCP)
• Опис: Услугата за лоцирање на корисници е тип на услуга за Интернет директориум за конференциски клиенти, како што е NetMeeting. Серверот Exchange 2000 и серверот за конференции Exchange 2000 не имплементираат ULS, туку ги користат предностите на Active Directory за услуги за директориуми (со TCP портата 389).

Протокол: H.323 (Видео)

• Порта (TCP/UDP): 1720 (TCP)
• Опис: ITU-T Препораката Н.323 дефинира мултимедијална конференција. TCP портата 1720 е порта за поставување повик H.323 (видео). Откако клиентот ќе се поврзе, серверот H.323 преговара за нова, динамична UDP порта што ќе се користи за пренос на податоци.

Протокол: Аудио

• Порта (TCP/UDP): 1731 (TCP)
• Опис: Аудио конференциите се овозможени на ист начин како што е овозможена видеоконференциска врска H.323 во Exchange 2000 Server. Откако клиентите ќе се поврзат со TCP портата 1731, се преговара за нова динамична порта за понатамошно проследување податоци.

Exchange Server и Firewalls

Заштитни ѕидови (заштитни ѕидови) за сервери за пошта (Exchange Server), порти за сервер за пошта, сервери за пошта пред и задни, виртуелни сервери SMTP, POP3, IMAP4

Како и секој компјутер поврзан на Интернет, компјутерот што е домаќин на серверот за пошта мора да биде заштитен со заштитен ѕид. Во исто време, опциите за инсталирање сервер за пошта во однос на мрежната конфигурација може да бидат многу различни:

· Наједноставната опција е да инсталирате сервер за пошта на компјутер кој исто така е прокси/заштитен ѕид, а потоа да ги отворите потребните порти на интерфејсот свртен кон Интернет. Вообичаено, оваа шема се користи во мали организации;

Друга опција е да го инсталирате серверот за пошта локална мрежаи конфигурирајте го да работи преку прокси-сервер. За да го направите ова, можете да поврзете јавна IP адреса за серверот за пошта и да ја пренесете преку прокси или да користите алатки за мапирање на порти на прокси-серверот. Многу прокси-сервери имаат специјални волшебници или предефинирани правила за организирање на такво решение (на пример, во серверот ISA). Оваа опција се користи во повеќето организации.

· Друга фундаментална можност е да се создаде DMZ и да се постави во него преден Exchange Server (таква можност се појави од верзијата 2000 година) или SMTP Relay врз основа на друг Exchange Server или, на пример, sendmail на *nix. Обично се користи во мрежи на големи организации.

Во секој случај, серверот за пошта мора да обезбеди комуникација на најмалку TCP портата 25 (SMTP) и UDP портата 53 (DNS). Други порти што може да ги бара Exchange Server во зависност од вашата мрежна конфигурација (сите TCP):

80 HTTP - за пристап до веб-интерфејсот (OWA)

· 88 Kerberos протокол за автентикација - ако се користи Kerberos автентикација (ретко);

· 102 MTA .X .400 конектор преку TCP /IP (ако X .400 конектор се користи за комуникација помеѓу рутирачките групи);

· 110 Поштенски протокол 3 (POP 3) - за пристап до клиентот;

· 119 Мрежен протокол за пренос на вести (NNTP) - ако се користат новински групи;

135 Комуникација со клиент/сервер Администрација на RPC Exchange - стандардна RPC порта за далечинско управување на Exchange стандардни средствасистемски менаџер;

· 143 Протокол за пристап до интернет пораки (IMAP) -за пристап на клиентите;

· 389 LDAP - за пристап до услугата директориум;

· 443 HTTP (Secure Sockets Layer (SSL)) (и подолу) - истите протоколи заштитени со SSL.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 и 3269 - барања до серверот за глобален каталог (пребарување во Active Directory и проверка на членство во универзални групи).

Нема смисла да се затвора интерфејсот на Exchange Server свртен во организацијата со заштитен ѕид - тој ќе се користи за интеракција со контролери на домени, административни услуги, системи за резервна копија итн. За интерфејс изложен на Интернет, се препорачува да се напуштат портите 53 (ако Exchange ќе ги реши самите имиња на домаќини и не препраќа барања до локалниот DNS сервер) и 25. Многу често, клиентите треба да пристапат до своите поштенски сандачиња однадвор (од дома, за време на службено патување итн.). Најдоброто решение во оваа ситуација е да го конфигурирате OWA (веб интерфејсот за пристап до Exchange Server, кој е стандардно инсталиран, достапен на http://server_name/exchange) да работи преку SSL и да дозволи пристап само на портата 443. Покрај решавањето на проблемите со безбедна автентикација и шифрирање на пораките автоматски го решава проблемот со SMTP Relay (повеќе за тоа подоцна) и со ситуацијата кога корисникот случајно презема работна е-пошта во папките на клиентот за пошта на домашен компјутер, а потоа на работа не може да ги најде овие пораки (да не го спомнуваме фактот дека складирањето работна пошта дома е безбедносно нарушување).

Воведена е нова функција во Exchange Server. од верзијата 2000 година, можност за користење на повеќе виртуелни SMTP и POP3 сервери со различни безбедносни поставки. На пример, SMTP серверот што комуницира со Интернет може да се конфигурира за подобрена безбедност и строги ограничувања за испорака, додека SMTP серверот што го користат корисниците во организацијата може да се конфигурира за максимални перформанси и пријателство за корисниците.

Исто така, неопходно е да се спомене одредена конфузија во терминологијата - многу често заштитните ѕидови за Exchange се нарекуваат системи за филтрирање пораки, за што ќе се дискутира подолу.

Од Росалаб Вики

Цел

Овој прирачник опишува како да поврзете различни поштенски клиентина серверот Microsoft Exchange. Целта е да се добие систем кој функционално е еквивалентен на Microsoft Outlook.

Внесени податоци

Примерите го користат серверот Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Тестирањето се врши внатре во корпоративната мрежа. DNS серверите ги одредуваат надворешните адреси за пошта за серверот за пошта. Серверот Exchange треба да работи:

1. OWA (Outlook Web Access) - веб-клиент за пристап до серверот на заедницата на Microsoft Exchange
2. OAB (Офлајн адресар) - офлајн адресар
3. EWS (Exchange Web Services) - услуга која обезбедува пристап до податоците за поштенското сандаче складирани во Exchange Online (како дел од Office 365) и размена во просториите (почнувајќи со Exchange Server 2007)

Разменете ги поставките на серверот

Автентикацијата е од клучно значење за успешното работење на клиентите кои не се од Microsoft на Exchange 2010. Можете да ги видите неговите параметри на серверот Exchange со улогата CAS (Client Access Server). Стартувајте го додатокот за IIS Manager и отворете го јазичето Sites/Default Web Site. Забележете ја автентикацијата во три компоненти:

• OWA - држава“ Вклучено"За" Основна автентикација"И" Испитување Автентикација на Windows »:

• OAB - држава " Вклучено"За" Основна автентикација"И" Автентикација на Windows»:

• EWS - Статус“ Вклучено"За" Анонимна автентикација», « Основна автентикација"И" Автентикација на Windows»:

Слоеви (посредници) и помошни комунални услуги

Давмаил

Некои клиенти за е-пошта не можат директно да се поврзат со Microsoft Exchange и бараат употреба на посредник. Во овој пример, прокси-серверот се користи како посредник Давмаил.

• Инсталирајте Давмаил, со стекнување администраторски права со su или sudo:

судо урпми давмаил

• Трчај Давмаил:

• На табулаторот „Главна“ во „ URL на OWA (Exchange).» внесете ја адресата на вашиот сервер во формат «https:// /EWS/Exchange.asmx“ или врска до OWA

во формат „https:// /ова“.

• Запомнете ги броевите на портите Локална IMAP порта"И" Локална SMTP порта“. Во овој пример, тоа се 1143 и 1025, соодветно.

За да не го стартувате рачно серверот секој пат Давмаил, треба да го додадете неговиот повик на автоматско вчитување.

• Одете во менито " Системски поставки → Стартување и исклучување → Автоматско стартување“, притиснете го [ Додадете апликација] и напишете „davmail“ во лентата за пребарување, а потоа притиснете [ добро]:

Сега локален прокси Давмаилќе започне автоматски при стартување на системот. Ако ви пречи нејзината икона во лентата со задачи, постои можност да ја скриете. За да го направите ова, уредете ја линијата davmail.server=false во датотеката .davmail.properties, менувајќи ја false во true:

судо мцедит /дома/<имя_пользователя>/.davmail.properties

Клиенти за е-пошта за поврзување со Exchange

Сега можете да започнете со поставување клиенти за пошта.

Thunderbird

Mozilla Thunderbirdе главен клиент за пошта за дистрибуции на ROSA Linux и најверојатно е веќе инсталиран на вашиот систем и подготвен за работа. Ако не, може да се инсталира од складиштата на ROSA. Овој пример ја користи верзијата 52.2.1.

• Инсталирајте Thunderbird:

sudo urpmi mozilla-thunderbird

• Додадете интерфејс на руски јазик:

sudo urpmi mozilla-thunderbird-en

• Инсталирајте го додатокот Lightning кој ви овозможува да користите календари:

судо урпми мозила-громовник-молња

• Трчај Thunderbird.

• во поглавјето " Сметки"во точка" Направете сметка» изберете « Е-пошта “. Ќе се појави прозорец за добредојде.

• Во прозорецот што се отвора, кликнете на [ Прескокнете го ова и искористете ја мојата постоечка пошта].

• во прозорецот“ Поставување сметка за пошта» внесете во полињата « вашето име», « И-мејл адреса пошта"И" Лозинка» вашите ингеренции.

• Притиснете [ Продолжи]. Програмата ќе се обиде да најде врски (неуспешно), и ќе се појави порака за грешка:

Овде ќе ви требаат броевите на портите што ги паметите при поставувањето Давмаил.

• За категории " дојдовен"И" појдовенПроменете го името на серверот во „localhost“.
• Наведете за " IMAP"порта 1143 и за" SMTP„- порта 1025.
• на поле“ Корисничко име» Наведете UPN (Главно име на корисникот) - име на домен на корисникот во формат "[email protected]".
• Кликнете на [ Повторно тестирајте].

Ако ги внесете точните ингеренции, нема да има грешки. Системот може да ве поттикне да го прифатите сертификатот на серверот Exchange. Ако тоа не се случи, можеби сте го исклучиле интерфејсот премногу рано. Давмаил.

Направете кориснички календар

• Во категоријата „ Сметки» изберете « Направете нов календар».
• Во прозорецот што се појавува, изберете ја вредноста " Онлајн" и притиснете [ Понатаму].
• Изберете формат" CalDAV„и на терен“ Адреса» внесете „http://localhost:1080/users/ /календар“:

Направете адресар

Адресарот Thunderbirdне го поддржува протоколот CardDAV и може да се поврзе само со директориумот LDAP на Exchange Server.

• Отворете ги постоечките адресари со кликнување на [ Адресарот] и избирање „ Датотека -> Ново -> LDAP директориум».

• Во прозорецот на волшебникот, наведете ги следниве опции:
  • Име- секое соодветно име
  • Име на серверот- локален домаќин
  • Корен елемент (основен DN)-ou=луѓе
  • Пристаниште- 1389 година (од Давмаил)
  • Корисничко име (Поврзи DN)- Корисничко име на UPN

• Притиснете [ добро]. Програмата ќе побара од вас да внесете лозинка.

• Одете во менито со опции Thunderbird. Во категоријата „ Изготвување» изберете ја картичката « Обраќање“ и под текстот „Кога внесувате адреса, побарајте соодветни поштенски адреси во“ штиклирајте го полето „ сервер за директориуми” со избирање на името на вашиот адресар.

еволуција

Клиент за пошта е достапен и во складиштата на ROSA еволуција(во овој пример се користи верзија 3.16.4).

• Инсталирајте еволуција:

судо урпми еволуција

• Инсталирајте го конекторот Размена, компатибилен со верзијата 2007 и понова:

судо урпми еволуција-евс

• Трчај еволуција.

• Во прозорецот на волшебникот, кликнете на [ Следно] додека не се префрлите на картичката " Сметка».
• Пополнете ги полињата" Целосно име"И" Е-пошта».
• на јазичето " Примање пошта» во списокот » Тип на сервер» Изберете Exchange Web Services.
• Наведете го името UPN на корисникот во формат „Корисничко име@YourDomain.ru“ како име.
• на поле“ URL на домаќинот» внесете „https://ExchangeMailServerName/EWS/Exchange.asmx .
• на поле“ URL на OAB» внесете ја URL адресата за офлајн адресарот.
• Изберете „Основно“ како тип на автентикација.

По успешното поставување, програмата ќе побара лозинка:

Откако ќе ја внесете лозинката еволуцијадобијте пристап до вашето поштенско сандаче, адресарот и календарите.

За какви било прашања поврзани со овој напис, ве молиме контактирајте [заштитена е-пошта]

Применливо за: Exchange Server 2010 SP1

Последен пат е изменет делот: 2011-04-22

Овој дел обезбедува информации за портите, автентикацијата и шифрирањето за сите патеки на податоци што се користат во Microsoft Exchange Server 2010. Делот „Забелешки“ по секоја табела ги појаснува или дефинира нестандардните методи за автентикација или шифрирање.

Транспортни сервери

Во Exchange 2010, постојат две улоги на серверот кои вршат функции за транспорт на пораки: сервер Hub Transport и Edge Transport сервер.

Следната табела дава информации за портите, автентикацијата и шифрирањето на патеката на податоци помеѓу овие транспортни сервери и другите сервери и услуги на Exchange 2010.

Патеки за податоци за транспортни сервери

Податочна патека	Потребни порти			Поддршка за шифрирање
Помеѓу два сервери Hub Transport				Да, со TLS (безбедност на транспортниот слој)
Од сервер Hub Transport до сервер Edge Transport		директна доверба	директна доверба	Да, користејќи TLS
Од сервер Edge Transport до сервер Hub Transport		директна доверба	директна доверба	Да, користејќи TLS
Помеѓу два Edge Transport сервери		Анонимна, автентикација на сертификатот	Анонимно, со потврда	Да, користејќи TLS
Од сервер за поштенско сандаче до преку услугата за поднесување пошта на Microsoft Exchange		NTLM. Ако улогата на серверот Hub Transport и улогата на серверот за поштенско сандаче се извршуваат на истиот сервер, се користи протоколот Kerberos.		Да, користејќи RPC шифрирање
Од сервер Hub Transport до сервер за поштенско сандаче преку MAPI		NTLM. Ако улогата на серверот Hub Transport и улогата на серверот за поштенско сандаче се инсталирани на истиот сервер, се користи протоколот Kerberos.		Да, користејќи RPC шифрирање
				Да, користејќи TLS
Услуга Microsoft Exchange EdgeSync од сервер Hub Transport до сервер Edge Transport				Да, се користи LDAP преку SSL (LDAPS)
Пристапете до Active Directory од серверот Hub Transport
Пристап до услугата за управување со правата на Active Directory (AD RMS) од серверот Hub Transport				Да, со SSL
SMTP клиенти на сервер Hub Transport (на пример, крајни корисници кои користат Windows Live Mail)				Да, користејќи TLS

Белешки за транспортни сервери

• Целиот сообраќај помеѓу серверите Hub Transport е шифриран со помош на безбедноста на транспортниот слој (TLS) и самопотпишаните сертификати инсталирани од Exchange 2010 Setup.
• Целиот сообраќај помеѓу серверите Edge Transport и серверите Hub Transport е автентициран и шифриран. Меѓусебниот TLS се користи како механизам за автентикација и шифрирање. Наместо валидација X.509, Exchange 2010 користи директна доверба. Директната доверба значи дека присуството на сертификат во Active Directory Services или Active Directory Lightweight Directory Services (AD LDS) ја потврдува автентичноста на сертификатот. Услугата директориум Active Directory се смета за доверлив механизам за складирање. Кога се користи директна доверба, не е важно дали се користи самопотпишан сертификат или сертификат потпишан од CA. Кога ќе се претплатите на Edge Transport сервер на организација Exchange, Edge Subscription го објавува сертификатот на серверот Edge Transport на услугата директориум Active Directory за да можат серверите Hub Transport да го потврдат. Услугата Microsoft Exchange EdgeSync додава збир на сертификати за сервер Hub Transport во Active Directory Lightweight Directory Services (AD LDS), така што серверот Edge Transport може да ги потврди.
• EdgeSync користи безбедна LDAP врска од Hub Transport сервер до претплатени сервери Edge Transport на TCP портата 50636. Active Directory Lightweight Directory Services слуша и на TCP портата 50389. Врските со оваа порта не користат SSL протокол. Можете да ги користите LDAP услужните програми за да се поврзете со оваа порта и да ги проверите податоците од AD LDS.
• Стандардно, сообраќајот помеѓу серверите Edge Transport лоцирани во две различни организации е шифриран. Exchange 2010 Setup создава самопотпишан сертификат и стандардно овозможува TLS. Ова му овозможува на секој систем за испраќање да шифрира дојдовна SMTP сесија на Exchange. Стандардно, Exchange 2010 исто така се обидува да користи TLS за сите далечински врски.
• Методите за автентикација за сообраќај помеѓу серверите Hub Transport и Mailbox серверите се различни кога улогите на серверот Hub Transport и Mailbox се инсталирани на истиот компјутер. Локалниот пренос на пошта користи Kerberos автентикација. Далечинскиот пренос на пошта користи NTLM автентикација.
• Exchange 2010 поддржува и безбедност на доменот. Безбедноста на доменот е збир на функции на Exchange 2010 и Microsoft Outlook 2010 кои обезбедуваат евтина алтернатива за S/MIME и други безбедносни решенија за пораки преку Интернет. Безбедноста на доменот обезбедува начин за управување со безбедни комуникациски патеки помеѓу домени на Интернет. Откако ќе се конфигурираат овие безбедни патеки, пораките успешно испратени преку нив од автентициран испраќач се појавуваат на корисниците на Outlook и Outlook Web Access како пораки „заштитени на ниво на домен“. За повеќе информации, видете Преглед на безбедноста на доменот.
• Многу агенти можат да работат и на серверите Hub Transport и на Edge Transport серверите. Типично, анти-спам агентите користат информации од локалниот компјутер на кој работат. Така, интеракција со далечински компјутери. Исклучок е филтрирањето на примачот. Филтрирањето на примачот бара повик AD LDS или Active Directory. Препорачуваме да извршите филтрирање на примачот на Edge Transport сервер. Во овој случај, директориумот AD LDS е на истиот компјутер на кој е инсталирана улогата на серверот Edge Transport, така што не е потребна далечинска врска. Ако филтрирањето на примачот е инсталирано и конфигурирано на серверот Hub Transport, потребен е пристап до услугата директориум Active Directory.
• Агентот за анализа на протокол се користи од функцијата Углед на испраќачот во Exchange 2010. Овој агент, исто така, се поврзува со различни надворешни прокси-сервери за да ги одреди патеките за влезни пораки за сомнителни врски.
• Сите други функции против спам користат податоци што се собираат, складираат и достапни само на локалниот компјутер. Вообичаено, податоците како што е комбинираниот список на безбедни испраќачи или податоците на примачите за филтрирање на примачот се туркаат во директориумот AD LDS во просториите со користење на услугата Microsoft Exchange EdgeSync.
• Агентите за управување со правата на информации (IRM) на серверите Hub Transport се поврзуваат со серверите на Услугите за управување со правата на Active Directory (AD RMS) во организацијата. Услугата за управување со правата на Active Directory (AD RMS) е веб-услуга што препорачуваме да се обезбеди со SSL. Врските со AD RMS серверите се направени со помош на HTTPS и се автентицирани со користење или Kerberos или NTLM, во зависност од конфигурацијата на AD RMS серверот.
• Правилата за дневници, правилата за транспорт и правилата за класификација на пораките се зачувани во Active Directory и до нив пристапуваат агентот за евиденција и агентот за транспортни правила на серверите Hub Transport.

  Сервери за поштенско сандаче

  На серверите за поштенско сандаче, дали се користи автентикација NTLM или Kerberos зависи од корисничкиот контекст или процесот под кој работи потрошувачот на деловниот логички слој на Exchange. Во овој контекст, потрошувачи се сите апликации или процеси кои користат деловно логичко ниво на Exchange. Како резултат на тоа, во колоната Стандардна автентикацијатабели Патеки за податоци за серверите за поштенско сандачемногу редови имаат вредност NTLM/Kerberos.

  Слојот за деловна логика на Exchange се користи за пристап и интеракција со продавницата на Exchange. Слојот за деловна логика на Exchange исто така се повикува од продавницата на Exchange за да комуницира со надворешни апликации и процеси.

  Кога потрошувачот на деловниот логички слој на Exchange работи во контекст на локален систем, методот за автентикација на потрошувачот за пристап до продавницата на Exchange е секогаш Kerberos. Се користи методот на Kerberos за автентикација затоа што примачот мора да се автентицира со користење сметкакомпјутер „Локален систем“ и бара двонасочна доверба со автентикација.

  Ако примачот на деловниот логички слој на Exchange не работи во контекст на Локалниот систем, методот за автентикација е NTLM. На пример, кога администраторот работи на Exchange Management Shell cmdlet кој користи деловно логичко ниво на Exchange, се користи NTLM автентикација.

  RPC сообраќајот е секогаш шифриран.

  Следната табела дава информации за портите, автентикацијата и шифрирањето на патеката на податоци за серверите за поштенско сандаче.

  Патеки за податоци за серверите за поштенско сандаче

  Податочна патека	Потребни порти	Стандардна автентикација	Поддржан метод за автентикација	Поддршка за шифрирање	Стандардно шифрирање на податоци
  	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)			Да, користејќи шифрирање Kerberos
  Административно Далечински пристап(далечински регистар)				Да, користејќи IPsec
  Административен далечински пристап (SMB, датотеки)				Да, користејќи IPsec
  Веб-услуга за достапност (пристап до поштенско сандаче на клиентот)				Да, користејќи RPC шифрирање
  Кластерирање				Да, користејќи RPC шифрирање
  Помеѓу серверите за пристап до клиент (Exchange ActiveSync)	80/TCP, 443/TCP (SSL)		Kerberos, автентикација на сертификатот	Да, користејќи HTTPS	Да, користејќи самопотпишан сертификат
  Помеѓу серверите за пристап до клиент (Outlook Web Access)	80/TCP, 443/TCP (HTTPS)			Да, со SSL
  Сервер за пристап до клиент до сервер за пристап до клиент (Веб-услуги за размена)				Да, со SSL
  Сервер за пристап до клиент до сервер за пристап до клиент (POP3)				Да, со SSL
  Сервер за пристап до клиент до сервер за пристап до клиент (IMAP4)				Да, со SSL
  Office Communications Server до Client Access Server (кога е овозможена интеграција на Office Communications Server и Outlook Web App)	5075-5077/TCP (IN), 5061/TCP (OUT)	mTLS (задолжително)	mTLS (задолжително)	Да, со SSL

  Белешки за серверите за пристап до клиент

  Унифицирани сервери за пораки

  IP портите и IP PBX поддржуваат само автентикација на сертификати, која користи Mutual TLS автентикација за шифрирање на SIP сообраќајот и автентикација базирана на IP адреса за SIP или TCP врски. ИП портите не поддржуваат NTLM и Kerberos автентикација. Затоа, кога се користи автентикација базирана на IP адреса, механизмот за автентикација за нешифрирани врски (TCP) ги користи IP адресите на конекциите. Кога се користи во Unified Messaging, автентикацијата базирана на IP проверува дали дадената IP адреса е дозволено да се поврзе. IP адресата е конфигурирана на IP портата или IP PBX.

  IP портите и IP PBX поддржуваат Mutual TLS за шифрирање на SIP сообраќајот. По успешното увоз и извоз на потребните доверливи сертификати, IP портата или IP PBX ќе побара сертификат од Unified Messaging серверот и потоа ќе побара сертификат од IP портата или IP PBX. Размената на доверливи сертификати помеѓу IP портата или IP PBX и серверот за Unified Messaging им овозможува на двата уреди безбедно да комуницираат користејќи Mutual TLS.

  Следната табела обезбедува информации за пристаниште, автентикација и шифрирање за патеките за податоци помеѓу UM серверите и другите сервери.

  Патеки за податоци за унифицирани сервери за пораки

  Податочна патека	Потребни порти	Стандардна автентикација	Поддржан метод за автентикација	Поддршка за шифрирање	Стандардно шифрирање на податоци
  Пристап до Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)			Да, користејќи шифрирање Kerberos
  UM Dial-in (IP PBX/VoIP Gateway)	5060/TCP, 5065/TCP, 5067/TCP (во небезбеден режим), 5061/TCP, 5066/TCP, 5068/TCP (во безбеден режим), динамичен опсег на порти 16000-17000/TCP (управување), динамичен UDP порти од опсегот 1024-65535/UDP (RTP)	По IP адреса	По IP адреса, MTLS	Да, користејќи SIP/TLS, SRTP
  UM веб-сервис	80/TCP, 443/TCP (SSL)	Интегрирана автентикација на Windows (преговори)		Да, со SSL
  Од унифициран сервер за пораки до сервер за пристап до клиент	5075, 5076, 5077 (TCP)	Интегрирана автентикација на Windows (преговори)	Basic, Digest, NTLM, Negotiate (Kerberos)	Да, со SSL
  UM сервер до сервер за пристап до клиент (репродукција на телефон)	Динамичен RPC			Да, користејќи RPC шифрирање
  Од унифициран сервер за пораки до сервер Hub Transport				Да, користејќи TLS
  Од унифициран сервер за пораки до сервер за поштенско сандаче				Да, користејќи RPC шифрирање

  Белешки за унифицирани сервери за пораки

  • Кога креирате објект на UM IP портал во Active Directory, мора да ја дефинирате IP адресата на физичката IP порта или IP PBX. Кога ќе ја одредите IP адресата на објектот UM IP портал, IP адресата се додава на списокот со валидни IP порти или IP PBX (исто така познати како учесници во сесијата SIP) со кои UM серверот смее да комуницира. Откако ќе креирате UM IP портал, можете да го поврзете со план за бирање UM. Мапирањето на UM IP порта на план за бирање им овозможува на UM серверите кои се мапирани на план за бирање да користат автентикација базирана на IP адреса за да комуницираат со IP портата. Ако UM IP портата не е креирана или конфигурирана да ја користи точната IP адреса, автентикацијата ќе пропадне и UM серверите нема да прифаќаат врски од IP адресата на тој IP портал. Дополнително, ако имплементирате Mutual TLS, IP порта или IP PBX и Unified Messaging сервери, UM IP портата мора да биде конфигурирана да користи целосно квалификувано име на домен (FQDN). Откако ќе конфигурирате UM IP портал користејќи го FQDN, мора да додадете и запис за домаќин за портата во зоната за пребарување на DNS напред.
  • Во Exchange 2010, серверот за Unified Messaging може да комуницира на портата 5060/TCP (небезбедна) или портата 5061/TCP (безбедна) и може да се конфигурира да ги користи двете порти.

  За повеќе информации, видете Разбирање на UM VoIP безбедност и разбирање на протоколи, порти и услуги во Unified Messaging.

  Правила Заштитен ѕид на Windowsсоздадена од Exchange 2010 Setup

  Заштитниот ѕид на Windows со напредна безбедност е државен заштитен ѕид заснован на компјутер кој го филтрира влезниот и излезниот сообраќај врз основа на правилата за заштитен ѕид. Поставувањето на Exchange 2010 создава правила на Windows Firewall за отворање на портите потребни за комуникација со серверот и клиентот во секоја улога на серверот. Затоа, повеќе не треба да го користите SCW за да ги конфигурирате овие поставки. За повеќе информации за Windows Firewall со напредна безбедност, видете Windows Firewall with Advanced Security и IPsec.

  Следната табела ги наведува правилата на Windows Firewall кои се генерирани од Exchange Setup, вклучувајќи ги и портите што се отворени за секоја улога на серверот. Можете да ги видите овие правила со користење на Windows Firewall with Advanced Security MMC приклучокот.

  Името на правилото	Улоги на серверот	Пристаниште	Програма
  MSExchangeADTopology - RPC (влезен TCP)		Динамичен RPC	Bin\MSExchangeADTopologyService.exe
  MSExchangeMonitoring - RPC (влезен TCP)	Сервер за пристап до клиент, сервер Hub Transport, Edge Transport сервер, унифициран сервер за пораки	Динамичен RPC	Bin\Microsoft.Exchange.Management.Monitoring.exe
  MSExchangeServiceHost - RPC (влезен TCP)		Динамичен RPC	Bin\Microsoft.Exchange.ServiceHost.exe
  MSExchangeServiceHost - RPCEPMap (TCP Влезен)			Bin\Microsoft.Exchange.Service.Host
  MSExchangeRPCEPMap (GFW) (Влезен TCP)
  MSExchangeRPC (GFW) (Влезен TCP)	Сервер за пристап до клиент, сервер за транспорт на центар, сервер за поштенско сандаче, унифициран сервер за пораки	Динамичен RPC
  MSExchange - IMAP4 (GFW) (Влезен TCP)	Сервер за пристап до клиент
  MSExchangeIMAP4 (Влезен TCP)	Сервер за пристап до клиент		ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
  MSExchange - POP3 (FGW) (Влезен TCP)	Сервер за пристап до клиент
  MSExchange - POP3 (Влезен TCP)	Сервер за пристап до клиент		ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
  MSExchange - OWA (GFW) (Влезен TCP)	Сервер за пристап до клиент	5075, 5076, 5077 (TCP)
  MSExchangeOWAAppPool (TCP-in)	Сервер за пристап до клиент	5075, 5076, 5077 (TCP)	inetsrv\w3wp.exe
  MSExchangeAB RPC (влезен TCP)	Сервер за пристап до клиент	Динамичен RPC
  MSExchangeAB-RPCEPM-мапа (TCP-in)	Сервер за пристап до клиент		Bin\Microsoft.Exchange.AddressBook.Service.exe
  MSExchangeAB-RpcHttp (TCP-in)	Сервер за пристап до клиент	6002, 6004 (TCP)	Bin\Microsoft.Exchange.AddressBook.Service.exe
  RpcHttpLBS (влезен TCP)	Сервер за пристап до клиент	Динамичен RPC	System32\Svchost.exe
  MSExchangeRPC - RPC (влезен TCP)		Динамичен RPC
  MSExchangeRPC - PRCEPM-мапа (влезен TCP)	Сервер за пристап до клиент, сервер за поштенско сандаче		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeRPC (влезен TCP)	Сервер за пристап до клиент, сервер за поштенско сандаче		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeMailboxReplication (GFW) (Влезен TCP)	Сервер за пристап до клиент
  MSExchangeMailboxReplication (Влезен TCP)	Сервер за пристап до клиент		Bin\MSExchangeMailboxReplication.exe
  MSExchangeIS - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC
  MSExchangeIS RPCEPMapp (влезен TCP)	Сервер за поштенско сандаче
  MSExchangeIS (GFW) (Влезен TCP)	Сервер за поштенско сандаче	6001, 6002, 6003, 6004 (TCP)
  MSExchangeIS (влезен TCP)	Сервер за поштенско сандаче
  MSExchangeMailbox Assistants - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC
  MSExchangeMailbox Assistants - RPCEPMap (Влезен TCP)	Сервер за поштенско сандаче		Bin\MSExchangeMailboxAssistants.exe
  MSExchangeMailSubmission - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC
  MSExchangeMailSubmission - RPCEPMap (TCP Влезен)	Сервер за поштенско сандаче		Bin\MSExchangeMailSubmission.exe
  MSExchangeMigration - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC	Bin\MSExchangeMigration.exe
  MSExchangeMigration - RPCEPMap (влезен TCP)	Сервер за поштенско сандаче		Bin\MSExchangeMigration.exe
  MSExchangerepl - копир на дневник (влезен TCP)	Сервер за поштенско сандаче		Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC	Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC-EPMap (TCP-in)	Сервер за поштенско сандаче		Bin\MSExchangeRepl.exe
  MSExchangeSearch - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC	Bin\Microsoft.Exchange.Search.ExSearch.exe
  MSExchangeThrottling - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC	Bin\MSExchangeThrottling.exe
  MSExchangeThrottling - RPCEPMap (влезен TCP)	Сервер за поштенско сандаче		Bin\MSExchangeThrottling.exe
  MSFTED - RPC (влезен TCP)	Сервер за поштенско сандаче	Динамичен RPC
  MSFTED - RPCEPM-мапа (TCP-in)	Сервер за поштенско сандаче
  MSExchangeEdgeSync - RPC (влезен TCP)	Сервер за транспорт на центар	Динамичен RPC
  MSExchangeEdgeSync RPCEPMap (влезен TCP)	Сервер за транспорт на центар		Bin\Microsoft.Exchange.EdgeSyncSvc.exe
  MSExchangeTransportWorker - RPC (влезен TCP)	Сервер за транспорт на центар	Динамичен RPC	Bin\edgetransport.exe
  MSExchangeTransportWorker - RPCEPMap (влезен TCP)	Сервер за транспорт на центар		Bin\edgetransport.exe
  MSExchangeTransportWorker (GFW) (Влезен TCP)	Сервер за транспорт на центар
  MSExchangeTransportWorker (влезен TCP)	Сервер за транспорт на центар		Bin\edgetransport.exe
  MSExchangeTransportLogSearch - RPC (влезен TCP)		Динамичен RPC
  MSExchangeTransportLogSearch - RPCEPMap (влезен TCP)	Сервер Hub Transport, Edge Transport сервер, Mailbox сервер		Bin\MSExchangeTransportLogSearch.exe
  SESWorker (GFW) (TCP-in)	Унифициран сервер за пораки
  SESWorker (Влезен TCP)	Унифициран сервер за пораки		UnifiedMessaging\SESWorker.exe
  UMSservice (GFW) (Влезен TCP)	Унифициран сервер за пораки
  UMS-сервис (Влезен TCP)	Унифициран сервер за пораки		Bin\UMService.exe
  UMWorkerProcess (GFW) (Влезен TCP)	Унифициран сервер за пораки	5065, 5066, 5067, 5068
  UMWorkerProcess (влезен TCP)	Унифициран сервер за пораки	5065, 5066, 5067, 5068	Bin\UMWorkerProcess.exe
  UMWorkerProcess - RPC (влезен TCP)	Унифициран сервер за пораки	Динамичен RPC	Bin\UMWorkerProcess.exe

  Забелешки за правилата за заштитниот ѕид на Windows создадени од Поставувањето на Exchange 2010

  • На серверите со инсталиран IIS, Windows отвора HTTP (порта 80, TCP) и HTTPS (порт 443, TCP). Exchange 2010 Setup не ги отвора овие порти. Затоа, овие пристаништа не се наведени во претходната табела.
  • ВО Виндоус серверВо Windows 2008 и Windows Server 2008 R2, Windows Firewall со напредна безбедност ви овозможува да го одредите процесот или услугата за која е отворена порта. Ова е посигурно бидејќи пристаништето може да се користи само од процесот или услугата наведена во правилото. Exchange Setup создава правила за заштитен ѕид со наведеното име на процесот. Во некои случаи, за цели на компатибилност, се создава и дополнително правило кое не е ограничено на овој процес. Можете да ги оневозможите или отстраните правилата што не се ограничени на процеси и да ги задржите соодветните правила со ограничени процеси, доколку вашата моментална околина за распоредување ги поддржува. Правилата кои не се ограничени на процеси може да се разликуваат по зборот (GFW)во име на правилото.
  • Многу услуги на Exchange користат повици за далечинска процедура (RPC) за да комуницираат. Процесите на серверот што користат повици на далечинска процедура се поврзуваат со маперот на крајната точка RPC за да добијат динамични крајни точки и да ги регистрираат во базата на податоци за мапер на крајната точка. RPC клиентите комуницираат со RPC Endpoint Mapper за да ги одредат крајните точки што ги користи процесот на серверот. Стандардно, RPC Endpoint Mapper слуша на портата 135 (TCP). Кога ќе го конфигурирате Windows Firewall за процес кој користи повици за далечинска процедура, Exchange 2010 Setup создава две правила за заштитен ѕид за тој процес. Едно правило дозволува комуникација со маперот на крајната точка RPC, а второто правило дозволува комуникација со динамички доделена крајна точка. За повеќе информации за повиците со далечинска процедура, видете ја статијата. За повеќе информации за креирање правила на Windows Firewall за динамичен повик за далечинска процедура, видете ја статијата.

    За повеќе информации, видете член 179442 на Microsoft Knowledge Base