Referência de portas de rede do Exchange. Conectando clientes de e-mail ao Microsoft Exchange Server Caminhos de dados para servidores de caixa de correio
[Este artigo é um documento preliminar e pode estar sujeito a alterações em edições futuras. Seções em branco são incluídas como espaços reservados. Se você quiser escrever um comentário, ficaremos felizes em recebê-lo. Envie-nos por e-mail [e-mail protegido].]
Aplica-se a: Exchange Server 2016
Saiba mais sobre as portas de rede que o Exchange 2016 usa para acesso de cliente e fluxo de emails.
Este tópico fornece informações sobre as portas de rede que o Microsoft Exchange Server 2016 usa para se comunicar com clientes de email, servidores de email online e outros serviços localizados fora da sua organização local do Exchange. Antes de começar, considere as seguintes regras básicas.
Não oferecemos suporte à restrição ou modificação do tráfego de rede entre Exchange Servers internos, entre Exchange Servers internos e servidores Lync ou Skype for Business internos ou entre Exchange Servers internos e controladores de domínio internos do Active Directory em qualquer tipo de topologia. Se você usar firewalls ou dispositivos de rede que possam restringir ou modificar esse tráfego de rede, deverá configurar regras para garantir a comunicação livre e irrestrita entre esses servidores (regras que permitem o tráfego de rede de e para qualquer porta, incluindo portas RPC aleatórias, e qualquer protocolo, o que não muda nem um pouco).
Os servidores de Transporte de Borda estão quase sempre localizados na rede de perímetro, portanto, espera-se que o tráfego de rede entre o servidor de Transporte de Borda e a Internet e entre o servidor de Transporte de Borda e a organização interna do Exchange seja limitado. Essas portas de rede são descritas nesta seção.
Espera-se que você limite o tráfego de rede entre clientes e serviços externos e a organização interna do Exchange. Você também pode restringir o tráfego entre clientes internos e servidores Exchange internos. Essas portas de rede são descritas nesta seção.
Contente
Portas de rede necessárias para clientes e serviços
Portas de rede necessárias para fluxo de mensagens (sem servidores de Transporte de Borda)
Portas de rede necessárias para fluxo de mensagens com servidores de Transporte de Borda
Portas de rede necessárias para implantações híbridas
Portas de rede necessárias para Unificação de Mensagens
As portas de rede que os clientes de email precisam para acessar caixas de correio e outros serviços na organização do Exchange são descritas no diagrama e na tabela a seguir.
Notas
O destino desses clientes e serviços são os serviços de Acesso para Cliente no servidor de Caixa de Correio. No Exchange 2016, os serviços de Acesso para Cliente (front-end) e os serviços de back-end são instalados juntos no mesmo servidor de Caixa de Correio. Para mais informações, veja .
Embora o diagrama mostre clientes e serviços da Internet, os conceitos são os mesmos para clientes internos (por exemplo, clientes em uma floresta de contas que acessam servidores Exchange em uma floresta de recursos). Da mesma forma, a tabela não possui uma coluna Origem porque a origem pode ser qualquer local externo à organização do Exchange (por exemplo, a Internet ou uma floresta de contas).
Os servidores Edge Transport não participam de tráfego de rede associados a esses clientes e serviços.
Conexões da Web criptografadas são usadas pelos seguintes clientes e serviços. Serviço de descoberta automática Exchange ActiveSync Serviços Web do Exchange (EWS) Distribuição offline do catálogo de endereços Outlook Mobile (RPC sobre HTTP) MAPI Outlook sobre HTTP Outlook na Web | 443/TCP (HTTP) | Referência do EWS para Exchange |
Conexões da Web não criptografadas são usadas pelos seguintes clientes e serviços. Publicar um calendário online Outlook na Web (redirecionar para a porta 443/TCP) Descoberta automática (substituição quando a porta 443/TCP não está disponível) | 80/TCP (HTTP) | Sempre que possível, recomendamos o uso de conexões web criptografadas pela porta 443/TCP para proteger credenciais e outros dados. No entanto, alguns serviços devem ser configurados para usar conexões da Web não criptografadas pela porta 80/TCP para serviços de Acesso para Cliente em servidores de Caixa de Correio. Para obter mais informações sobre esses clientes e serviços, consulte os artigos a seguir. |
Clientes IMAP4 | 143/TCP (IMAP), 993/TCP (IMAP seguro) | Por padrão, o IMAP4 está desabilitado. Para mais informações, veja . O serviço IMAP4 nos Serviços de Acesso para Cliente no servidor de Caixa de Correio faz proxy de conexões com o serviço IMAP4 interno no servidor de Caixa de Correio. |
Clientes POP3 | 110/TCP (POP3), 995/TCP (POP3 seguro) | Por padrão, o POP3 está desabilitado. Para mais informações, veja . O serviço POP3 nos Serviços de Acesso para Cliente no servidor de Caixa de Correio faz proxy de conexões com o serviço POP3 interno no servidor de Caixa de Correio. |
Clientes SMTP (autenticados) | 587/TCP (SMTP com autenticação) | O conector de recebimento padrão é "Client Frontend" " no serviço de Transporte Externo escuta mensagens de clientes SMTP autenticados na porta 587. Observação. Se você tiver clientes de e-mail que só podem enviar mensagens autenticadas por SMTP na porta 25, poderá alterar o valor de ligação desse conector de recebimento para que ele também rastreie mensagens autenticadas por SMTP enviadas na porta 25. |
Para o começo
Portas de rede necessárias para fluxo de emailsCorrespondência expedida
25/TCP (SMTP)
Servidor de caixa de correio
Internet (todos)
Por padrão, o Exchange não cria conectores de envio que permitem enviar emails para a Internet. Você deve criar conectores de envio manualmente. Para mais informações, veja .
Correio de saída (se for enviado através de um serviço de transporte externo)
25/TCP (SMTP)
Servidor de caixa de correio
Internet (todos)
Os emails de saída serão roteados por meio do serviço de transporte externo somente se o conector de envio estiver habilitado com a opção Client Access Server Proxy no EAC ou a opção -FrontEndProxyEnabled $true no Shell de Gerenciamento do Exchange.
Nesse caso, o conector de recebimento padrão é "Outbound Proxy Frontend " no serviço de transporte externo escuta mensagens de saída do serviço de transporte no servidor de caixa de correio. Para obter mais informações, consulte .
Servidor DNS para resolução de nome do próximo salto de e-mail (não mostrado na imagem)
53/UDP, 53/TCP (DNS)
Servidor de caixa de correio
Servidor dns
Para o começo
Um servidor de Transporte de Borda inscrito e instalado em uma rede de perímetro afeta o fluxo de mensagens das seguintes maneiras:
O email de um servidor de Transporte de Borda do Exchange 2016 ou do Exchange 2013 chega primeiro ao serviço de Transporte front-end e, em seguida, é encaminhado para o serviço de Transporte no servidor de Caixa de Correio do Exchange 2016.
Os emails de um servidor de Transporte de Borda do Exchange 2010 sempre vão diretamente para o serviço de Transporte em um servidor de Caixa de Correio do Exchange 2016.
As mensagens de saída da organização do Exchange nunca passam pelo serviço de transporte externo nos servidores de Caixa de Correio. Ele sempre é redirecionado do serviço de Transporte no servidor de Caixa de Correio do site inscrito do Active Directory para o servidor de Transporte de Borda (independentemente da versão do Exchange no servidor de Transporte de Borda).
As mensagens recebidas são redirecionadas do servidor de Transporte de Borda para o servidor de Caixa de Correio do site do Active Directory inscrito. Isso significa o seguinte:
As portas de rede necessárias para fluxo de mensagens em organizações Exchange com servidores de Transporte de Borda são descritas no diagrama e na tabela a seguir.
Correio recebido - da Internet para o servidor Edge Transport | 25/TCP (SMTP) | Internet (todos) | Conector de recebimento padrão denominado "Conector de recebimento interno padrão" " no servidor de Transporte de Borda escuta mensagens SMTP anônimas na porta 25. |
|
Correio recebido – do servidor de Transporte de Borda para a organização interna do Exchange | 25/TCP (SMTP) | Servidor de Transporte de Borda | O conector de envio padrão é denominado "EdgeSync - Entrada para "retransmite mensagens recebidas na porta 25 para qualquer servidor de caixa de correio em um site inscrito do Active Directory. Para obter mais informações, consulte . Conector de recebimento padrão "Frontend padrão" " no serviço de transporte externo no servidor de Caixa de Correio escuta todos os emails recebidos (incluindo emails dos servidores de Transporte de Borda Exchange 2016 e Exchange 2013) na porta 25. |
|
Correio de saída – da organização interna do Exchange para o servidor Edge Transport | 25/TCP (SMTP) | Servidores de caixa de correio em um site inscrito do Active Directory | O correio de saída sempre ignora o serviço de transporte externo nos servidores de Caixa de Correio. O correio é retransmitido do serviço de Transporte em qualquer servidor de Caixa de Correio em um site inscrito do Active Directory para o servidor de Transporte de Borda usando um conector de envio intraorganizacional implícito e invisível, que encaminha automaticamente o correio entre servidores Exchange na mesma organização. Conector de recebimento interno padrão " no servidor de Transporte de Borda escuta mensagens SMTP na porta 25 do serviço de Transporte em qualquer servidor de Caixa de Correio em um site inscrito do Active Directory. |
|
Correio de saída – do servidor Edge Transport para a Internet | 25/TCP (SMTP) | Servidor de Transporte de Borda | Internet (todos) | O conector de envio padrão é denominado "EdgeSync - com to Internet" retransmite mensagens de saída na porta 25 do servidor Edge Transport para a Internet. |
Sincronização EdgeSync | 50636/TCP (LDAP seguro) | Servidores de caixa de correio em um site inscrito do Active Directory que participa da sincronização do EdgeSync | Servidores de Transporte de Borda | Se o servidor de Transporte de Borda estiver inscrito em um site do Active Directory, todos os servidores de Caixa de Correio existentes atualmente no site participarão da sincronização do EdgeSync. Mas se você adicionar outros servidores de caixa de correio posteriormente, eles não participarão automaticamente da sincronização do EdgeSync. |
Servidor DNS para resolução de nome do próximo salto (não mostrado na imagem) | 53/UDP, 53/TCP (DNS) | Servidor de Transporte de Borda | Servidor dns | Consulte Resolução de nomes. |
Detecção de proxy aberto na reputação do remetente (não mostrado na figura) | Ver notas | Servidor de Transporte de Borda | Internet | Por padrão, o Protocol Analysis Agent usa a detecção de proxy aberto como uma das condições para calcular o nível de reputação do servidor de mensagens de origem. Para obter mais informações, consulte o artigo. As seguintes portas TCP são usadas para verificar se há um proxy aberto nos servidores de mensagens de origem: Além disso, se sua organização usar um servidor proxy para controlar o tráfego de saída da Internet, você deverá determinar o nome, o tipo e a porta TCP do servidor proxy necessária para acessar a Internet e detectar um servidor proxy aberto. Você também pode desativar a detecção de proxy aberto. Para mais informações, veja . |
Para o começo
Resolução de nomesResolução de nomes
A resolução de emails do próximo salto do DNS é uma parte fundamental do fluxo de emails em qualquer organização do Exchange. Os servidores Exchange responsáveis por receber e-mails recebidos ou entregar e-mails enviados devem ser capazes de resolver nomes de host internos e externos para rotear corretamente os e-mails. Todos os servidores Exchange internos devem ser capazes de resolver nomes de host internos para roteamento de correio adequado. Há muitas maneiras diferentes de projetar uma infraestrutura DNS, mas o resultado importante é garantir a resolução correta de nomes no próximo salto em todos os servidores Exchange.
Quais portas TCP e UDP meu servidor Exchange 2000/2003 usa?
Para configurar firewalls ou solucionar problemas de comunicação, pode ser útil saber quais portas TCP/UDP o Exchange 2000 Server e o Exchange 2000 Conference Server estão usando. Este artigo também se aplica às instalações do Exchange Server 2003.
Protocolo:LDAP
- Porta (TCP/UDP): 389 (TCP)
- Descrição: Lightweight Directory Access Protocol (LDAP), usado pelo Active Directory, Active Directory Connector e diretório do Microsoft Exchange Server 5.5.
Protocolo: LDAP/SSL
- Porta (TCP/UDP): 636 (TCP)
- Descrição: LDAP sobre Secure Sockets Layer (SSL). Quando o SSL está ativado, os dados LDAP transmitidos e recebidos são criptografados.
- Para habilitar o SSL, você deve instalar um certificado de computador no controlador de domínio ou no computador Exchange Server 5.5.
Protocolo:LDAP
- Porta (TCP/UDP): 379 (TCP)
- Descrição: O Site Replication Service (SRS) usa a porta TCP 379.
Protocolo:LDAP
- Porta (TCP/UDP): 390 (TCP)
- Descrição: Embora não seja uma porta LDAP padrão, a porta TCP 390 é a porta alternativa recomendada para configurar o protocolo LDAP do Exchange Server 5.5 quando o Exchange Server 5.5 estiver sendo executado em um Microsoft Windows Controlador de domínio do Active Directory 2000.
Protocolo:LDAP
- Porta (TCP/UDP): 3268 (TCP)
- Descrição: Catálogo global. O catálogo global do Active Directory do Windows 2000 (que na verdade é uma “função” de controlador de domínio) escuta na porta TCP 3268. Ao solucionar problemas que podem estar relacionados a um catálogo global, conecte-se à porta 3268 no LDP.
Protocolo: LDAP/SSL
- Porta (TCP/UDP): 3269 (TCP)
- Descrição: Catálogo global sobre SSL. Os aplicativos que se conectam à porta TCP 3269 de um servidor de catálogo global podem transmitir e receber dados criptografados SSL. Para configurar um catálogo global para suportar SSL, você deve instalar um certificado de computador no catálogo global.
Protocolo: IMAP4
- Porta (TCP/UDP): 143 (TCP)
- Descrição: O Internet Message Access Protocol versão 4 pode ser usado por clientes “baseados em padrões”, como Microsoft Outlook Express ou Netscape Communicator, para acessar o servidor de e-mail. O IMAP4 é executado sobre o serviço de administração do Microsoft Internet Information Service (IIS) (Inetinfo.exe) e permite o acesso do cliente ao armazenamento de informações do Exchange 2000.
Protocolo: IMAP4/SSL
- Porta (TCP/UDP): 993 (TCP)
- Descrição: IMAP4 sobre SSL usa a porta TCP 993. Antes que um servidor Exchange 2000 suporte IMAP4 (ou qualquer outro protocolo) sobre SSL, você deve instalar um certificado de computador no servidor Exchange 2000.
Protocolo: POP3
- Porta (TCP/UDP): 110 (TCP)
- Descrição: Post Office Protocol versão 3, permite que clientes “baseados em padrões”, como Outlook Express ou Netscape Communicator, acessem o servidor de e-mail. Tal como acontece com o IMAP4, o POP3 é executado sobre o serviço de administração do IIS e permite o acesso do cliente ao armazenamento de informações do Exchange 2000.
Protocolo: POP3/SSL
- Porta (TCP/UDP): 995 (TCP)
- Descrição: POP3 sobre SSL. Para ativar o POP3 sobre SSL, você deve instalar um certificado de computador no servidor Exchange 2000.
Protocolo: NNTP
- Porta (TCP/UDP): 119 (TCP)
- Descrição: O Network News Transport Protocol, às vezes chamado de protocolo Usenet, permite o acesso do cliente “baseado em padrões” a pastas públicas no armazenamento de informações. Tal como acontece com IMAP4 e POP3, o NNTP depende do serviço de administração do IIS.
Protocolo: NNTP/SSL
Porta (TCP/UDP): 563 (TCP)
Descrição: NNTP sobre SSL. Para ativar o NNTP sobre SSL, você deve instalar um certificado de computador no Exchange 2000 Server.
Protocolo: HTTP
- Porta (TCP/UDP): 80 (TCP)
- Descrição: O protocolo de transferência de hipertexto é o protocolo usado principalmente pelo Microsoft Outlook Web Access (OWA), mas também permite algumas ações administrativas no Exchange System Manager. O HTTP é implementado por meio do Serviço de Publicação na World Wide Web (W3Svc) e é executado no Serviço de Administração do IIS.
Protocolo: HTTP/SSL
- Porta (TCP/UDP): 443 (TCP)
- Descrição: HTTP sobre SSL. Para habilitar HTTP sobre SSL, você deve instalar um certificado de computador no servidor Exchange 2000.
Protocolo: SMTP
- Porta (TCP/UDP): 25 (TCP)
- Descrição: O Simple Mail Transfer Protocol é a base para todo o transporte de e-mail no Exchange 2000. O serviço SMTP (SMTPSvc) é executado sobre o serviço de administração do IIS. Ao contrário de IMAP4, POP3, NNTP e HTTP, SMTP no Exchange 2000 não usa uma porta separada para comunicação segura (SSL), mas emprega um “subsistema de segurança em banda” chamado Transport Layer Security (TLS).
Protocolo: SMTP/SSL
- Porta (TCP/UDP): 465 (TCP)
- Descrição: SMTP sobre SSL. A porta TCP 465 é reservada pela prática comum do setor para comunicação SMTP segura usando o protocolo SSL. No entanto, ao contrário de IMAP4, POP3, NNTP e HTTP, o SMTP no Exchange 2000 não usa uma porta separada para comunicação segura (SSL), mas emprega um “subsistema de segurança em banda” chamado Transport Layer Security (TLS) . Para permitir que o TLS funcione no Exchange 2000, você deve instalar um certificado de computador no servidor Exchange 2000.
Protocolo: SMTP/LSA
- Porta (TCP/UDP): 691 (TCP)
- Descrição: O Mecanismo de Roteamento do Microsoft Exchange (também conhecido como RESvc) escuta informações de estado do link de roteamento na porta TCP 691. O Exchange 2000 usa informações de estado do link de roteamento para rotear mensagens e a tabela de roteamento é constantemente atualizada. O Link State Algorithm (LSA) propaga informações de status de saída entre servidores Exchange 2000. Este algoritmo é baseado no protocolo Open Shortest Path First (OSPF) da tecnologia de rede e transfere informações de estado do link entre grupos de roteamento usando o verbo de comando X-LSA-2 sobre SMTP e usando uma conexão TCP (Transmission Control Protocol) para porta 691 em um grupo de roteamento.
Protocolo: RVP
- Porta (TCP/UDP): 80 (TCP)
- Descrição: RVP é a base para mensagens instantâneas no Exchange 2000. Embora a comunicação RVP comece na porta TCP 80, o servidor configura rapidamente uma nova conexão com o cliente em uma porta TCP efêmera acima de 1024. Como essa porta não é conhecida antecipadamente, existem problemas quando você ativa mensagens instantâneas através de um firewall.
Protocolo: IRC/IRCX
- Porta (TCP/UDP): 6667 (TCP)
- Descrição: Internet Relay Chat (IRC) é o protocolo de chat. IRCX é a versão estendida oferecida pela Microsoft. Embora a porta TCP 6667 seja a porta mais comum para IRC, a porta TCP 7000 também é usada com muita frequência.
Protocolo: IRC/SSL
- Porta (TCP/UDP): 994 (TCP)
- Descrição: IRC (ou Chat) sobre SSL. IRC ou IRCX sobre SSL não são suportados no Exchange 2000.
Protocolo: X.400
- Porta (TCP/UDP): 102 (TCP)
- Descrição: A recomendação X.400 da ITU-T é, na verdade, uma série de recomendações sobre a aparência de um sistema de tratamento de mensagens eletrônicas (MHS). A porta TCP 102 é definida no IETF RFC-1006, que descreve comunicações OSI em uma rede TCP/IP. Resumindo, a porta TCP 102 é a porta que o agente de transferência de mensagens (MTA) do Exchange usa para se comunicar com outros MTAs compatíveis com X.400.
Protocolo: MS-RPC
- Porta (TCP/UDP): 135 (TCP)
- Descrição: Microsoft Remote Procedure Call é uma implementação da Microsoft de chamadas de procedimento remoto (RPCs). A porta TCP 135 é, na verdade, apenas o serviço localizador RPC, que é como o registrador de todos os serviços habilitados para RPC executados em um servidor específico. No Exchange 2000, o Conector de Grupo de Roteamento usa RPC em vez de SMTP quando o servidor bridgehead de destino está executando o Exchange 5.5. Além disso, algumas operações administrativas requerem RPC. Para configurar um firewall para permitir o tráfego RPC, muito mais portas do que apenas 135 devem estar habilitadas.
Para obter informações adicionais, clique nos números dos artigos abaixo para visualizar os artigos na Base de Conhecimento da Microsoft:
XADM: Configurando números de porta TCP/IP para firewalls da Internet
XCON: Configurando a porta TCP/IP do MTA para escutas X.400 e RPC
Protocolo: T.120
- Porta (TCP/UDP): 1503 (TCP)
- Descrição: A recomendação T.120 da ITU-T é uma série de recomendações que definem a conferência de dados. A conferência de dados é implementada no lado do servidor como um Provedor de Tecnologia de Conferência (CTP) na Unidade de Controle Multiponto (MCU), que é um componente dos Serviços de Conferência do Exchange (ECS). A conferência de dados é implementada no lado do cliente como bate-papo, compartilhamento de aplicativos, quadro branco e transferência de arquivos no Microsoft NetMeeting.
Protocolo: ULS
- Porta (TCP/UDP): 522 (TCP)
- Descrição: O User Locator Service é um tipo de serviço de diretório da Internet para clientes de conferência, como o NetMeeting. O Exchange 2000 Server e o Exchange 2000 Conference Server não implementam um ULS, mas aproveitam o Active Directory para serviços de diretório (pela porta TCP 389).
Protocolo: H.323 (Vídeo)
- Porta (TCP/UDP): 1720 (TCP)
- Descrição: A recomendação H.323 da ITU-T define conferência multimídia. A porta TCP 1720 é a porta de configuração de chamada H.323 (vídeo). Depois que um cliente se conecta, o servidor H.323 negocia uma nova porta UDP dinâmica a ser usada para streaming de dados.
Protocolo: Áudio
- Porta (TCP/UDP): 1731 (TCP)
- Descrição: A audioconferência é habilitada da mesma forma que a videoconferência H.323 é habilitada no Exchange 2000 Server. Depois que os clientes se conectam à porta TCP 1731, uma nova porta dinâmica é negociada para streaming adicional de dados.
Firewalls para servidores de e-mail (Exchange Server), portas de servidores de e-mail, servidores de e-mail front-end e back-end, Servidores virtuais SMTP, POP3, IMAP4
Como qualquer computador conectado à Internet, o computador que executa o servidor de e-mail deve estar protegido por um firewall. No entanto, as opções de instalação de um servidor de e-mail em termos de configuração de rede podem ser muito diferentes:
· a opção mais simples é instalar um servidor de e-mail em um computador que também seja um servidor proxy/firewall e depois abrir as portas necessárias na interface voltada para a Internet. Normalmente, este esquema é usado em pequenas organizações;
Outra opção é instalar um servidor de e-mail em rede local e configure-o para funcionar através de um servidor proxy. Para fazer isso, você pode vincular um IP público ao servidor de e-mail e passá-lo por meio de um proxy ou usar ferramentas como mapeamento de portas em um servidor proxy. Muitos servidores proxy possuem assistentes especiais ou regras pré-preparadas para organizar tal solução (por exemplo, ISA Server). Esta opção é usada na maioria das organizações.
· outra possibilidade fundamental é criar uma DMZ e colocar nela um Exchange Server front-end (esta opção aparece desde a versão 2000) ou SMTP Relay baseado em outro Exchange Server ou, por exemplo, sendmail em *nix. Normalmente usado em redes de grandes organizações.
Em qualquer caso, o servidor de correio deve comunicar pelo menos na porta TCP 25 (SMTP) e UDP 53 (DNS). Outras portas que o Exchange Server pode exigir dependendo da configuração da sua rede (todas TCP):
· 80 HTTP – para acesso à interface Web (OWA)
· 88 Protocolo de autenticação Kerberos - se a autenticação Kerberos for usada (raramente);
· Conector 102 MTA .X .400 sobre TCP /IP (caso o conector X .400 seja utilizado para comunicação entre grupos de roteamento);
· 110 Post Office Protocol 3 (POP 3) – para acesso de clientes;
· 119 Network News Transfer Protocol (NNTP) - se forem usados grupos de notícias;
· 135 Comunicação cliente/servidor Administração RPC Exchange - porta RPC padrão para administração remota do Exchange meios padrão Gerente do Sistema;
· 143 Internet Message Access Protocol (IMAP) – para acesso de clientes;
· 389 LDAP - para acesso ao serviço de diretório;
· 443 HTTP (Secure Sockets Layer (SSL)) (e abaixo) - os mesmos protocolos protegidos por SSL.
· 563NNTP (SSL)
636LDAP (SSL)
· 993 IMAP4 (SSL)
· 995 POP3 (SSL)
· 3268 e 3269 - consultas ao servidor de catálogo global (pesquisa no Active Directory e verificação de participação em grupos universais).
Não faz sentido cobrir a interface do Exchange Server voltada para o interior da organização com um firewall - ele será usado para interagir com controladores de domínio, utilitários de administração, sistemas de backup, etc. Para uma interface aberta para a Internet, é recomendado deixar as portas 53 (se o Exchange resolver sozinho os nomes de host e não redirecionar as solicitações para o local Servidor dns) e 25. Muitas vezes, os clientes necessitam de aceder às suas caixas de correio a partir do exterior (de casa, durante uma viagem de negócios, etc.). A melhor solução nesta situação é configurar o OWA (Interface Web para acesso ao Exchange Server, que é instalada por padrão, disponível em http://nome_servidor/exchange) para funcionar sobre SSL e abrir acesso apenas na porta 443. Além de resolver problemas com autenticação segura e criptografia de mensagens resolve automaticamente o problema com o SMTP Relay (mais sobre isso mais tarde) e a situação quando um usuário baixa acidentalmente e-mail comercial nas pastas do cliente de e-mail em computador de casa, e então, no trabalho, ele não consegue encontrar essas mensagens (sem mencionar o fato de que armazenar e-mails de trabalho em casa é uma violação de segurança).
Um novo recurso que apareceu no Exchange Server. a partir da versão 2000, possibilidade de utilização de diversos servidores virtuais SMTP e POP3 com diferentes configurações de segurança. Por exemplo, o servidor SMTP que interage com a Internet pode ser configurado com modo de segurança aprimorado e restrições de entrega rígidas, e o servidor SMTP usado pelos usuários da organização pode ser configurado com as configurações mais poderosas e fáceis de usar.
Também é necessário mencionar uma certa confusão na terminologia - muitas vezes os firewalls para Exchange são chamados de sistemas de filtragem de mensagens, que serão discutidos a seguir.
Material da Rosalab Wiki
PropósitoEste manual descreve como conectar vários clientes de e-mail para o servidor Microsoft Exchange. O objetivo é obter um sistema que corresponda à funcionalidade do Microsoft Outlook.
Dados de entradaOs exemplos usam o servidor Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. O teste é realizado na rede corporativa. Os servidores DNS contêm endereços de correio externos para o servidor de correio. O seguinte deve funcionar no servidor Exchange:
Uma questão importante para a execução bem-sucedida de clientes não-Microsoft no Exchange 2010 é a autenticação. Você pode visualizar seus parâmetros em um servidor Exchange com a função CAS (Client Access Server). Inicie o snap-in Gerenciador do IIS e abra a guia Sites/Site padrão. Observe que a autenticação tem três componentes:
- OWA - Status habilitado para autenticação e verificação básica Autenticidade do Windows »:
- OAB – Status habilitado para autenticação básica e autenticação do Windows:
- EWS – Status habilitado para Autenticação Anônima, Autenticação Básica e Autenticação do Windows:
Alguns clientes de e-mail não conseguem se conectar diretamente ao Microsoft Exchange e exigem o uso de um intermediário. Neste exemplo, um servidor proxy é usado como intermediário DavMail.
- Instalar DavMail, tendo obtido direitos de administrador usando su ou sudo:
- Correr DavMail:
- Na aba “Principal”, no campo “URL do OWA (Exchange)”, digite o endereço do seu servidor no formato “https:///EWS/Exchange.asmx” ou um link para OWA
no formato "https:///owa".
- Lembre-se dos números das portas “Porta IMAP local” e “Porta SMTP local”. Neste exemplo, são 1143 e 1025, respectivamente.
Para não iniciar manualmente o servidor todas as vezes DavMail, você precisa adicionar sua chamada ao startup.
- Vá para o menu “Configurações do sistema → Inicialização e desligamento → Execução automática”, clique no botão [Adicionar aplicativo] e digite “davmail” na barra de pesquisa e clique em [OK]:
Agora servidor proxy local DavMail será iniciado automaticamente quando o sistema for iniciado. Se o seu ícone na “Barra de Tarefas” incomoda, existe a opção de ocultá-lo. Para isso, no arquivo .davmail.properties, edite a linha davmail.server=false , alterando false para true:
Sudo mcedit /home//.davmail.properties
Clientes de email para conexão com o ExchangeAgora você pode começar a configurar clientes de e-mail.
Pássaro TrovãoMozilla Thunderbirdé o principal cliente de e-mail das distribuições ROSA Linux e, provavelmente, já está instalado em seu sistema e pronto para uso. Caso contrário, você pode instalá-lo a partir dos repositórios ROSA. Este exemplo usa a versão 52.2.1.
- Instalar Pássaro Trovão:
- Adicione uma interface em russo:
- Instale o complemento relâmpago, que permite usar calendários:
- Correr Pássaro Trovão.
- Na seção "Contas", na seção "Criar uma conta", selecione " E-mail" Uma janela de boas-vindas aparecerá.
- Na janela que se abre, clique no botão [Ignorar e usar meu e-mail existente].
- Na janela “Configuração da conta de e-mail”, digite “Seu nome”, “Endereço de e-mail” nos campos. mail" e "Senha" suas credenciais.
- Clique em [Continuar]. O programa tentará encontrar conexões (sem sucesso) e uma mensagem de erro aparecerá:
Aqui você precisará dos números de porta que você lembrou durante a configuração DavMail.
- Para as categorias “Entrada” e “Saída”, altere o nome do servidor para “localhost”.
- Especifique a porta 1143 para “IMAP” e a porta 1025 para “SMTP”.
- No campo “Nome de usuário”, insira UPN (User Principal Name) - o nome de domínio do usuário no formato “[email protected]”.
- Clique no botão [Retestar].
Se você inserir suas credenciais corretamente, não haverá erros. O sistema pode solicitar que você aceite o certificado do servidor Exchange. Se isso não acontecer, você pode ter desligado a interface muito cedo DavMail.
Crie um calendário de usuário- Na categoria “Contas”, selecione “Criar um novo calendário”.
- Na janela que aparece, selecione “Online” e clique em [Avançar].
- Selecione o formato “CalDAV” e no campo “Endereço” digite “http://localhost:1080/users/ /calendar”:
O catálogo de endereços Pássaro Trovão não suporta o protocolo CardDAV e só pode ser conectado ao diretório LDAP do servidor Exchange.
- Abra os catálogos de endereços existentes clicando no botão [Catálogo de endereços] e selecionando “Arquivo → Novo → Diretório LDAP”.
- Na janela do assistente, especifique os seguintes parâmetros:
- Nome - qualquer nome adequado
- Nome do servidor - localhost
- Elemento raiz (DN base) - ou=pessoas
- Porto - 1389 (de Davmail)
- Nome de usuário (DN de ligação) - nome de usuário UPN
- Clique OK]. O programa solicitará que você insira uma senha.
- Vá para o menu de opções Pássaro Trovão. Na categoria “Composição”, selecione a aba “Endereço” e sob o texto “Ao inserir um endereço, procure endereços de correspondência adequados em” marque a opção “Servidor de diretório”, selecionando o nome do seu catálogo de endereços.
Um cliente de e-mail também está disponível nos repositórios ROSA Evolução(a versão 3.16.4 é usada neste exemplo).
- Instalar Evolução:
- Instale o conector Intercâmbio compatível com a versão 2007 e posterior:
- Correr Evolução.
- Na janela do assistente, clique no botão [Avançar] até ir para a guia “Conta”.
- Preencha os campos “Nome completo” e “E-mail”.
- Na aba “Recebimento de Correio”, na lista “Tipo de Servidor”, selecione “Exchange Web Services”.
- Para o nome, insira o nome UPN do usuário no formato “[email protected]”.
- No campo “URL do host”, insira “https://MailServerNameExchange/EWS/Exchange.asmx.
- No campo URL do OAB, insira o URL do OAB.
- Selecione "Básico" como tipo de autenticação.
Após a configuração bem-sucedida, o programa solicitará uma senha:
Depois de inserir a senha Evolução terá acesso à sua caixa de correio, catálogo de endereços e calendários.
Para qualquer dúvida relacionada a este artigo, entre em contato [e-mail protegido].
Aplica-se a: Exchange Server 2010 SP1
Esta seção foi modificada pela última vez: 22/04/2011
Esta seção fornece informações sobre portas, autenticação e criptografia para todos os caminhos de dados usados no Microsoft Exchange Server 2010. A seção "Comentários" após cada tabela esclarece ou define métodos de autenticação ou criptografia não padrão.
Servidores de transporteNo Exchange 2010, há duas funções de servidor que executam funções de transporte de mensagens: o servidor de Transporte de Hub e o servidor de Transporte de Borda.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia de caminhos de dados entre esses servidores de transporte e outros servidores e serviços do Exchange 2010.
Caminhos de dados para servidores de transporte|
Entre dois servidores de Transporte de Hub |
Sim, usando TLS (Transport Layer Security) |
||||
|
De um servidor de Transporte de Hub para um servidor de Transporte de Borda |
Confiança direta |
Confiança direta |
Sim, usando TLS |
||
|
Do servidor de Transporte de Borda para o servidor de Transporte de Hub |
Confiança direta |
Confiança direta |
Sim, usando TLS |
||
|
Entre dois servidores Edge Transport |
Anônimo, autenticação de certificado |
Anonimamente, usando um certificado |
Sim, usando TLS |
||
|
De um servidor de caixa de correio para o serviço de envio de correio do Microsoft Exchange |
NTLM. Quando a função de servidor Transporte de Hub e a função de servidor Caixa de Correio estão em execução no mesmo servidor, o protocolo Kerberos é usado. |
Sim, usando criptografia RPC |
|||
|
De um servidor de Transporte de Hub para um servidor de Caixa de Correio via MAPI |
NTLM. Quando a função de servidor Transporte de Hub e a função de servidor Caixa de Correio são instaladas no mesmo servidor, o protocolo Kerberos é usado. |
Sim, usando criptografia RPC |
|||
|
Sim, usando TLS |
|||||
|
Serviço Microsoft Exchange EdgeSync do servidor de Transporte de Hub para o servidor de Transporte de Borda |
Sim, usando LDAP sobre SSL (LDAPS) |
||||
|
Acessar o Active Directory de um servidor de Transporte de Hub |
|||||
|
Acessando os Serviços de Gerenciamento de Direitos do Active Directory (AD RMS) de um servidor de Transporte de Hub |
Sim, usando SSL |
||||
|
Clientes SMTP para um servidor de Transporte de Hub (por exemplo, usuários finais que usam o Windows Live Mail) |
Sim, usando TLS |
- Todo o tráfego entre servidores de Transporte de Hub é criptografado usando TLS e certificados autoassinados instalados pela Instalação do Exchange 2010.
- Todo o tráfego entre servidores de Transporte de Borda e servidores de Transporte de Hub é autenticado e criptografado. O TLS mútuo é usado como mecanismo de autenticação e criptografia. Em vez da autenticação X.509, o Exchange 2010 usa confiança direta. Confiança direta significa que a presença de um certificado no Active Directory ou no Active Directory Lightweight Directory Services (AD LDS) verifica a autenticidade do certificado. O Active Directory é considerado um mecanismo de armazenamento confiável. Quando a confiança direta é usada, não importa se um certificado autoassinado é usado ou um certificado assinado por uma autoridade de certificação. Quando um servidor de Transporte de Borda se inscreve em uma organização do Exchange, a Inscrição de Borda publica o certificado do servidor de Transporte de Borda no Active Directory para que os servidores de Transporte de Hub possam validá-lo. O serviço Microsoft Exchange EdgeSync adiciona um conjunto de certificados de servidor de Transporte de Hub ao Active Directory Lightweight Directory Services (AD LDS) para validação do servidor de Transporte de Borda.
- O EdgeSync usa uma conexão LDAP segura do servidor de Transporte de Hub para servidores de Transporte de Borda inscritos na porta TCP 50636. O Active Directory Lightweight Directory Services também escuta na porta TCP 50389. As conexões nesta porta não usam Protocolo SSL. Você pode usar utilitários LDAP para conectar-se a essa porta e verificar os dados do Active Directory Lightweight Directory Services.
- Por padrão, o tráfego entre servidores de Transporte de Borda localizados em duas organizações diferentes é criptografado. A Instalação do Exchange 2010 cria um certificado autoassinado e habilita o TLS por padrão. Isso permite que qualquer sistema de envio criptografe a sessão SMTP que entra no Exchange. Por padrão, o Exchange 2010 também tenta usar TLS para todas as conexões remotas.
- Os métodos de autenticação para tráfego entre servidores de Transporte de Hub e servidores de Caixa de Correio são diferentes quando as funções de servidor Transporte de Hub e Caixa de Correio são instaladas no mesmo computador. A transferência de correio local usa autenticação Kerberos. A transferência remota de correio usa autenticação NTLM.
- O Exchange 2010 também oferece suporte à segurança de domínio. A Segurança de Domínio é um conjunto de recursos do Exchange 2010 e do Microsoft Outlook 2010 que fornece uma alternativa de baixo custo ao S/MIME e outras soluções de segurança de mensagens da Internet. A segurança de domínio fornece uma maneira de gerenciar caminhos seguros de mensagens entre domínios na Internet. Depois que esses caminhos seguros forem configurados, as mensagens transmitidas com êxito de um remetente autenticado aparecerão como mensagens "protegidas por domínio" para usuários do Outlook e do Outlook Web Access. Para obter mais informações, consulte Visão geral da segurança do domínio.
- Muitos agentes podem ser executados em servidores de Transporte de Hub e em servidores de Transporte de Borda. Normalmente, os agentes antispam usam informações do computador local em que são executados. Assim, praticamente nenhuma interação é necessária computadores remotos. A exceção é a filtragem de destinatários. A filtragem de destinatários requer uma chamada para AD LDS ou Active Directory. Recomendamos que você execute a filtragem de destinatários no servidor de Transporte de Borda. Nesse caso, o diretório AD LDS está no mesmo computador que tem a função de servidor Transporte de Borda instalada, portanto, não é necessária uma conexão remota. Se a Filtragem de Destinatário estiver instalada e configurada em um servidor de Transporte de Hub, você deverá ter acesso ao serviço de diretório do Active Directory.
- O Agente de Análise de Protocolo é usado pelo recurso de reputação do remetente no Exchange 2010. Esse agente também se conecta a vários servidores proxy externos para determinar caminhos de mensagens recebidas para conexões suspeitas.
- Todos os outros recursos antispam utilizam dados coletados, armazenados e acessíveis apenas no computador local. Normalmente, dados como uma lista consolidada de remetentes seguros ou dados de destinatários para filtragem de destinatários são enviados para o diretório local do AD LDS usando o serviço Microsoft Exchange EdgeSync.
- Os agentes de Gerenciamento de Direitos de Informação (IRM) em servidores de Transporte de Hub se conectam aos servidores dos Serviços de Gerenciamento de Direitos do Active Directory (AD RMS) na organização. O Serviço de Gerenciamento de Direitos do Active Directory (AD RMS) é um serviço da Web recomendado para ser protegido usando SSL. As conexões com os servidores dos Serviços de Gerenciamento de Direitos do Active Directory são feitas usando HTTPS, e a autenticação usa Kerberos ou NTLM, dependendo da configuração do servidor dos Serviços de Gerenciamento de Direitos do Active Directory.
- Regras de log, regras de transporte e regras de classificação de mensagens são armazenadas nos serviços do Active Directory e acessadas pelo Agente de Registro no Diário e pelo Agente de Regras de Transporte em servidores de Transporte de Hub. Servidores de caixa de correio
Em servidores de Caixa de Correio, o uso da autenticação NTLM ou Kerberos depende do contexto do usuário ou do processo no qual o consumidor da camada de lógica de negócios do Exchange está em execução. Nesse contexto, consumidores são quaisquer aplicativos ou processos que usam a camada lógica de negócios do Exchange. Como resultado, a coluna Autenticação Padrão na tabela Caminhos de Dados para Servidores de Caixa de Correio tem muitas linhas definidas como NTLM/Kerberos.
A camada de lógica de negócios do Exchange é usada para acessar e interagir com o armazenamento do Exchange. A camada de lógica de negócios do Exchange também é chamada no armazenamento do Exchange para interagir com aplicativos e processos externos.
Se o consumidor da camada de lógica de negócios do Exchange for executado no contexto do sistema local, o método de autenticação usado quando o consumidor acessa o armazenamento do Exchange será sempre Kerberos. O método de autenticação Kerberos é usado porque a identidade do destinatário deve ser verificada usando conta computador "Sistema Local" e também requer uma confiança autenticada bidirecional.
Se o destinatário da camada de lógica de negócios do Exchange não estiver em execução no contexto do sistema local, o método de autenticação será NTLM. Por exemplo, quando um administrador executa um cmdlet do Shell de Gerenciamento do Exchange que usa a camada lógica de negócios do Exchange, a autenticação NTLM é aplicada.
O tráfego RPC é sempre criptografado.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia de caminho de dados para servidores de Caixa de Correio.
Caminhos de dados para servidores de caixa de correio
Observações para Servidores de Acesso para Cliente Servidores de Unificação de MensagensCaminho de dados Portas necessárias Autenticação padrão Método de autenticação compatível Criptografia Suporte Criptografia de dados padrão 389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Login RPC de rede)
Sim, usando criptografia Kerberos
Administrativo acesso remoto(registro remoto)
Sim, usando IPsec
Acesso remoto administrativo (SMB, arquivos)
Sim, usando IPsec
Serviço Web de disponibilidade (acesso para cliente de caixa de correio)
Sim, usando criptografia RPC
Agrupamento
Sim, usando criptografia RPC
Entre servidores de acesso para cliente (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Autenticação de certificado Kerberos
Sim, usando HTTPS
Sim, usando um certificado autoassinado
Entre servidores de acesso para cliente (Outlook Web Access)
80/TCP, 443/TCP (HTTPS)
Sim, usando SSL
Servidor de acesso para cliente para servidor de acesso para cliente (Exchange Web Services)
Sim, usando SSL
Servidor de acesso para cliente para servidor de acesso para cliente (POP3)
Sim, usando SSL
Servidor de acesso para cliente para servidor de acesso para cliente (IMAP4)
Sim, usando SSL
Office Communications Server para Servidor de Acesso para Cliente (quando a integração do Office Communications Server e do Outlook Web App está habilitada)
5075-5077/TCP (ENTRADA), 5061/TCP (SAÍDA)
mTLS (obrigatório)
mTLS (obrigatório)
Sim, usando SSL
Gateways IP e PBXs IP suportam apenas autenticação de certificado, que usa autenticação TLS mútua para criptografar o tráfego SIP e autenticação baseada em endereço IP para conexões SIP ou TCP. Os gateways IP não suportam autenticação NTLM ou Kerberos. Portanto, quando você usa a autenticação baseada em endereço IP, os endereços IP das conexões são usados como mecanismo de autenticação para conexões não criptografadas (TCP). Quando usada na Unificação de Mensagens, a autenticação baseada em IP verifica se um determinado endereço IP tem permissão para se conectar. O endereço IP é configurado no gateway IP ou IP PBX.
Gateways IP e PBXs IP suportam Mutual TLS para criptografar o tráfego SIP. Depois de importar e exportar com êxito os certificados confiáveis necessários, o gateway IP ou IP PBX solicitará um certificado do servidor de Unificação de Mensagens e, em seguida, solicitará o certificado do gateway IP ou IP PBX. A troca de certificados confiáveis entre o gateway IP ou IP PBX e o servidor de Unificação de Mensagens permite que ambos os dispositivos se comuniquem por um canal seguro usando o Mutual TLS.
A tabela a seguir fornece informações de porta, autenticação e criptografia para caminhos de dados entre servidores de Unificação de Mensagens e outros servidores.
Caminhos de dados para servidores de Unificação de Mensagens
Notas para servidores de Unificação de MensagensCaminho de dados Portas necessárias Autenticação padrão Método de autenticação compatível Criptografia Suporte Criptografia de dados padrão Acesso ao Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Login RPC de rede)
Sim, usando criptografia Kerberos
Telefonia de Unificação de Mensagens (IP PBX/Gateway VoIP)
5060/TCP, 5065/TCP, 5067/TCP (modo desprotegido), 5061/TCP, 5066/TCP, 5068/TCP (modo seguro), intervalo de portas dinâmicas 16000-17000/TCP (controle), portas UDP dinâmicas do intervalo 1024-65535/UDP (RTP)
Por endereço IP
Por endereço IP, MTLS
Sim, usando SIP/TLS, SRTP
Serviço Web de Unificação de Mensagens
80/TCP, 443/TCP (SSL)
Autenticação integrada do Windows (negociar)
Sim, usando SSL
Do servidor de Unificação de Mensagens para o servidor de Acesso para Cliente
5075, 5076, 5077 (TCP)
Autenticação Integrada do Windows (Negociação)
Básico, Digest, NTLM, Negociar (Kerberos)
Sim, usando SSL
Do servidor de Unificação de Mensagens para o servidor de Acesso para Cliente (reproduzir no telefone)
RPC dinâmico
Sim, usando criptografia RPC
De um servidor de Unificação de Mensagens para um servidor de Transporte de Hub
Sim, usando TLS
De um servidor de Unificação de Mensagens para um servidor de Caixa de Correio
Sim, usando criptografia RPC
- Ao criar um objeto de gateway IP da Unificação de Mensagens no Active Directory, você deve especificar o endereço IP do gateway IP físico ou do PBX IP. Quando você determina o endereço IP de um objeto de gateway IP da UM, o endereço IP é adicionado à lista de gateways IP ou PBXs IP válidos (também conhecidos como participantes da sessão SIP) com os quais o servidor de Unificação de Mensagens tem permissão para se comunicar. Depois de criar um gateway IP da Unificação de Mensagens, você poderá associá-lo a um plano de discagem da Unificação de Mensagens. O mapeamento de um gateway IP da UM para um plano de discagem permite que os servidores de Unificação de Mensagens mapeados para o plano de discagem usem a autenticação baseada em endereço IP para se comunicarem com o gateway IP. Se um gateway IP de Unificação de Mensagens não tiver sido criado ou configurado para usar o endereço IP correto, a autenticação falhará e os servidores de Unificação de Mensagens não aceitarão conexões do endereço IP do gateway IP. Além disso, ao implementar o Mutual TLS, um gateway IP ou IP PBX e servidores de Unificação de Mensagens, o gateway IP da UM deve ser configurado para usar um nome de domínio totalmente qualificado (FQDN). Depois de configurar um gateway IP de UM usando um nome de domínio totalmente qualificado, você também deverá adicionar um registro de host para esse gateway à zona de pesquisa de DNS de encaminhamento.
- No Exchange 2010, o servidor de Unificação de Mensagens pode se comunicar na porta 5060/TCP (não segura) ou na porta 5061/TCP (segura) e pode ser configurado para usar ambas as portas.
Para obter mais informações, consulte Compreendendo a segurança VoIP da Unificação de Mensagens e Compreendendo os protocolos, portas e serviços da Unificação de Mensagens.
Regras Firewall do Windows criado pela instalação do Exchange 2010O Firewall do Windows com Segurança Avançada é um firewall com estado baseado em máquina que filtra o tráfego de entrada e saída com base em regras de firewall. A Instalação do Exchange 2010 cria regras do Firewall do Windows para abrir as portas necessárias para a comunicação servidor-cliente em cada função de servidor. Portanto, você não precisa mais usar o Assistente de Configuração de Segurança para definir essas configurações. Para obter mais informações sobre o Firewall do Windows com Segurança Avançada, consulte Firewall do Windows com Segurança Avançada e IPsec.
A tabela a seguir mostra as regras do Firewall do Windows criadas pela Instalação do Exchange, incluindo as portas abertas em cada função de servidor. Você pode visualizar essas regras usando o snap-in MMC do Firewall do Windows com Segurança Avançada.
Observações sobre as regras do Firewall do Windows criadas pela Instalação do Exchange 2010Nome da regra Funções do servidor Porta Programa MSExchangeADTopologia - RPC (entrada TCP)
RPC dinâmico
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (entrada TCP)
Servidor de Acesso para Cliente, servidor de Transporte de Hub, servidor de Transporte de Borda, servidor de Unificação de Mensagens
RPC dinâmico
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (entrada TCP)
RPC dinâmico
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (entrada TCP)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (entrada TCP)
MSExchangeRPC (GFW) (entrada TCP)
Servidor de acesso para cliente, servidor de transporte de hub, servidor de caixa de correio, servidor de unificação de mensagens
RPC dinâmico
MSExchange - IMAP4 (GFW) (entrada TCP)
Servidor de acesso para cliente
MSExchangeIMAP4 (entrada TCP)
Servidor de acesso para cliente
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (entrada TCP)
Servidor de acesso para cliente
MSExchange - POP3 (entrada TCP)
Servidor de acesso para cliente
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (entrada TCP)
Servidor de acesso para cliente
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (entrada TCP)
Servidor de acesso para cliente
5075, 5076, 5077 (TCP)
Inetsrv\w3wp.exe
MSExchangeAB RPC (entrada TCP)
Servidor de acesso para cliente
RPC dinâmico
MSExchangeAB-RPCEPMap (entrada TCP)
Servidor de acesso para cliente
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (entrada TCP)
Servidor de acesso para cliente
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (entrada TCP)
Servidor de acesso para cliente
RPC dinâmico
System32\Svchost.exe
MSExchangeRPC - RPC (entrada TCP)
RPC dinâmico
MSExchangeRPC - PRCEPMap (entrada TCP)
Servidor de acesso para cliente, servidor de caixa de correio
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (entrada TCP)
Servidor de acesso para cliente, servidor de caixa de correio
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (entrada TCP)
Servidor de acesso para cliente
MSExchangeMailboxReplication (entrada TCP)
Servidor de acesso para cliente
Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
MSExchangeIS RPCEPMap (entrada TCP)
Servidor de caixa de correio
MSExchangeIS (GFW) (entrada TCP)
Servidor de caixa de correio
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (entrada TCP)
Servidor de caixa de correio
MSExchangeMailboxAssistants - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
MSExchangeMailboxAssistants - RPCEPMap (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
MSExchangeMailSubmission - RPCEPMap (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeMigration.exe
MSExchangerepl - Copiadora de log (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (entrada TCP)
Servidor de caixa de correio
Bin\MSExchangeThrottling.exe
MSFTED - RPC (entrada TCP)
Servidor de caixa de correio
RPC dinâmico
MSFTED - RPCEPMap (entrada TCP)
Servidor de caixa de correio
MSExchangeEdgeSync - RPC (entrada TCP)
Servidor de Transporte de Hub
RPC dinâmico
MSExchangeEdgeSync RPCEPMap (entrada TCP)
Servidor de Transporte de Hub
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (entrada TCP)
Servidor de Transporte de Hub
RPC dinâmico
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (entrada TCP)
Servidor de Transporte de Hub
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (entrada TCP)
Servidor de Transporte de Hub
MSExchangeTransportWorker (entrada TCP)
Servidor de Transporte de Hub
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (entrada TCP)
RPC dinâmico
MSExchangeTransportLogSearch - RPCEPMap (entrada TCP)
Servidor de Transporte de Hub, Servidor de Transporte de Borda, Servidor de Caixa de Correio
Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (entrada TCP)
Servidor de Unificação de Mensagens
SESWorker (entrada TCP)
Servidor de Unificação de Mensagens
UnifiedMessaging\SESWorker.exe
UMService (GFW) (entrada TCP)
Servidor de Unificação de Mensagens
UMService (entrada TCP)
Servidor de Unificação de Mensagens
Bin\UMService.exe
UMWorkerProcess (GFW) (entrada TCP)
Servidor de Unificação de Mensagens
5065, 5066, 5067, 5068
UMWorkerProcess (entrada TCP)
Servidor de Unificação de Mensagens
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (entrada TCP)
Servidor de Unificação de Mensagens
RPC dinâmico
Bin\UMWorkerProcess.exe
- Em servidores com IIS instalado, o Windows abre as portas HTTP (porta 80, TCP) e HTTPS (porta 443, TCP). A Instalação do Exchange 2010 não abre essas portas. Portanto, estas portas não estão listadas na tabela anterior.
- EM Servidor Windows No Firewall do Windows 2008 e no Windows Server 2008 R2, o Firewall do Windows com Segurança Avançada permite especificar o processo ou serviço para o qual uma porta está aberta. Isto é mais seguro porque a porta só pode ser usada pelo processo ou serviço especificado na regra. A Instalação do Exchange cria regras de firewall com o nome de processo especificado. Em alguns casos, para fins de compatibilidade, também é criada uma regra adicional que não se limita a este processo. Você pode desabilitar ou remover regras não restritas ao processo e manter as regras restritas ao processo correspondentes se o seu ambiente de implementação atual as suportar. As regras que não estão restritas a processos podem ser identificadas pela palavra (GFW) no nome da regra.
- Muitos serviços do Exchange usam RPC (chamadas de procedimento remoto) para se comunicar. Os processos do servidor que usam chamadas de procedimento remoto conectam-se ao mapeador de endpoint RPC para obter endpoints dinâmicos e registrá-los no banco de dados do mapeador de endpoint. Os clientes RPC interagem com o mapeador de endpoints RPC para determinar os endpoints usados pelo processo do servidor. Por padrão, o resolvedor de endpoint RPC escuta na porta 135 (TCP). Quando você configura o Firewall do Windows para um processo que usa chamadas de procedimento remoto, a Instalação do Exchange 2010 cria duas regras de firewall para esse processo. Uma regra permite a interação com o mapeador de endpoint RPC e a segunda permite a interação com um endpoint atribuído dinamicamente. Para obter mais informações sobre chamadas de procedimento remoto, consulte este artigo. Para obter mais informações sobre como criar regras do Firewall do Windows para chamadas dinâmicas de procedimento remoto, consulte este artigo.
Para obter mais informações, consulte o Artigo 179442 da Base de Conhecimento Microsoft
