Standardni portovi za razmjenu. Referenca za mrežne portove Exchange. Kreiranje adresara

U ovom članku ćemo pogledati kako konfigurirati statičke RPC portove za usluge RPC klijentskog pristupa, Exchange adresara i pristupa javnoj mapi u Exchange 2010.

Zamislimo da imamo složenu organizaciju sa Exchange Serverom 2010 SP1 (ili novijim), koji takođe ima . CAS serveri se obično nalaze na odvojenoj mreži zaštitni zidovi sa mreža sa kojih se očekuje pristup korisnika (Outlook mreže). Outlook klijent se povezuje na CAS server preko RPC-a, što znači mrežni nivo može se koristiti bilo koji port iz slobodnog raspona portova. Nije tajna da u Windows Server 2008 i 2008 R2 koriste raspon 49152-65535 kao dinamički raspon portova za RPC veze (u prethodnim verzijama Windows verzije Server koristi RPC portove u rasponu 1025-65535).

Da biste izbjegli pretvaranje firewall-a u sito, preporučljivo je suziti raspon korištenih RPC portova, idealno tako što ćete ih učiniti statičkim na svakom Client Access Serveru u nizu Client Access. Osim toga, korištenje statičkih RPC portova može smanjiti potrošnju memorije na uređajima za balansiranje opterećenja (posebno HLB) i pojednostaviti njihovu konfiguraciju (nema potrebe za specificiranjem velikih raspona portova).

U Exchange 2010, za uslugu RPC Client Access, kao i za adresar Exchange može postaviti statičke portove. Outlook komunicira sa ovim servisima preko MAPI interfejsa.

Statički port za Exchange 2010 RPC uslugu klijentskog pristupa

Virtuelna usluga Exchange 2010 RPC klijentskog pristupa povezana je sa uslugom RPC klijentskog pristupa, na koju se Outlook MAPI klijenti povezuju u Exchange 2010. Kada se Outlook klijent poveže na Exchange, na Exchange 2010 Client Access serveru, RPC Client Access usluga koristi TCP End Point Mapper port (TCP/135) i nasumični port iz dinamičkog opsega RPC portova (6005-59530) za dolazne veze.

Da biste postavili statički port za uslugu RPC klijentskog pristupa u Exchange 2010, potrebno je da otvorite sljedeći odjeljak u uređivaču registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Kreirajte novi ključ pod nazivom ParametersSystem, unutar kojeg kreirajte REG_DWORD parametar pod nazivom TCP/IP Port. Parametar TCP/IP Port specificira statički port za uslugu RPC klijentskog pristupa. Microsoft dokumentacija preporučuje odabir porta u rasponu 59531 - 60554 i korištenje ove vrijednosti na svim CAS serverima (naveli smo port 59532, naravno, ne bi ga trebao koristiti nijedan drugi softver).

Nakon postavljanja statičkog porta, servis se mora ponovo pokrenuti da bi promjene stupile na snagu. Microsoft Exchange RPC klijentski pristup.

Restart-Service MSExchangerRPC

Statički port za uslugu Exchange 2010 adresar

U Exchange 2010, prije SP1, specijalna konfiguracijska datoteka, Microsoft.exchange.addressbook.service.exe.config, korištena je za postavljanje statičkog porta za uslugu Exchange 2010 adresar. Nakon izdavanja Exchange 2010 SP1, možete postaviti statički port za ovu uslugu putem registra. Da biste to učinili, otvorite uređivač registra i idite na granu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Kreirajte novi parametar RpcTcpPort (tipa REG_SZ) i postavite ga na broj porta koji želite da popravite za uslugu Exchange adresara. Preporučljivo je koristiti bilo koji slobodni port u rasponu 59531-60554, a zatim ga koristiti na svim Exchange 2010 Client Access serverima u domeni. Postavićemo RpcTcpPort=59533

Nakon toga morate ponovo pokrenuti uslugu Microsoft Exchange adresara

Restart-Service MSExchangeAB

Važno: Prilikom migracije sa Exchange 2010 RTM na SP1, ovaj ključ se mora postaviti ručno; ne nasljeđuje se automatski.

Konfiguriranje statičkog porta za povezivanje na dijeljene mape

Javnim fasciklama se pristupa sa Outlook klijenta direktno preko RPC usluge klijentskog pristupa na serveru koji ima ulogu poštanskog sandučeta. Ova postavka mora se izvršiti na svim serverima s ulogom Mailbox koji sadrže bazu podataka dijeljeni folderi(slično CAS serverima). Otvorite uređivač registra i idite na granu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Kreirajte novi ključ pod nazivom ParametersSystem, unutar kojeg kreirajte REG_DWORD parametar pod nazivom TCP/IP Port. Postavite njegovu vrijednost: TCP/IP Port = 59532.

Nakon što ste statički postavili port za javne fascikle, potrebno je da ponovo pokrenete uslugu Microsoft Exchange RPC klijentskog pristupa na svakom serveru poštanskog sandučeta.

Provjera korištenja statičkih portova između Outlooka i Exchange 2010

Nakon što izvršimo izmjene, provjerimo da li se Outlook povezuje na statičke RPC portove koje smo naveli. Da biste to uradili, ponovo pokrenite Outlook na klijentskoj mašini, a zatim komandna linija pokrenite naredbu:

Netstat -na

Odnosi se na: Exchange Server 2010 SP1

Ovaj odjeljak je posljednji put izmijenjen: 2011-04-22

Ovaj odeljak pruža informacije o portovima, autentifikaciji i šifrovanju za sve puteve podataka koji se koriste u Microsoft Exchange Server 2010. Odeljak „Napomene“ posle svake tabele pojašnjava ili definiše nestandardne metode autentifikacije ili šifrovanja.

Transportni serveri

U Exchange 2010 postoje dvije uloge servera koje obavljaju funkcije prijenosa poruka: Hub Transport server i Edge Transport server.

Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju puteva podataka između ovih transportnih servera i drugih Exchange 2010 servera i usluga.

Putevi podataka za transportne servere Podrška za šifriranje potrebnih portova za put podataka

Između dva Hub transportna servera

Da, koristeći TLS (Transport Layer Security)

Sa Hub Transport servera na Edge Transport server

Direktno povjerenje

Direktno povjerenje

Da, koristeći TLS

Od Edge Transport servera do Hub Transport servera

Direktno povjerenje

Direktno povjerenje

Da, koristeći TLS

Između dva Edge Transport servera

Anonimno, provjera autentičnosti certifikata

Anonimno, koristeći sertifikat

Da, koristeći TLS

Sa servera poštanski sandučići putem Microsoft Exchange servisa za slanje pošte

NTLM. Kada se uloga Hub Transport servera i uloga poslužitelja poštanskih sandučića izvode na istom serveru, koristi se Kerberos protokol.

Da, koristeći RPC enkripciju

Od Hub transportnog servera do servera poštanskih sandučića putem MAPI-ja

NTLM. Kada su uloga Hub Transport servera i uloga servera poštanskih sandučića instalirane na istom serveru, koristi se Kerberos protokol.

Da, koristeći RPC enkripciju

Da, koristeći TLS

Usluga Microsoft Exchange EdgeSync sa Hub Transport servera na Edge Transport server

Da, koristeći LDAP preko SSL-a (LDAPS)

Pristupite Active Directory-u sa Hub Transport servera

Pristup uslugama upravljanja pravima Active Directory (AD RMS) sa Hub Transport servera

Da, koristeći SSL

SMTP klijenti na Hub Transport server (na primjer, krajnji korisnici koji koriste Windows Live Mail)

Da, koristeći TLS
Napomene za transportne servere
  • Sav promet između Hub Transport servera je šifriran pomoću TLS-a i samopotpisanih certifikata koje instalira Exchange 2010 Setup.
  • Sav promet između Edge Transport servera i Hub Transport servera je autentificiran i šifriran. Uzajamni TLS se koristi kao mehanizam za autentifikaciju i šifriranje. Umjesto X.509 autentifikacije, Exchange 2010 koristi direktno poverenje. Direktno povjerenje znači da prisustvo certifikata u Active Directory ili Active Directory Lightweight Directory Services (AD LDS) potvrđuje autentičnost certifikata. Active Directory se smatra pouzdanim mehanizmom za skladištenje. Kada se koristi direktno povjerenje, nije važno da li se koristi samopotpisani certifikat ili certifikat potpisan od strane ovlaštenog certifikata. Kada se Edge transportni server pretplati na Exchange organizaciju, Edge pretplata objavljuje sertifikat Edge transportnog servera u Active Directory tako da ga transportni serveri čvorišta mogu potvrditi. Usluga Microsoft Exchange EdgeSync dodaje skup certifikata Hub Transport servera u Active Directory Lightweight Directory Services (AD LDS) za provjeru valjanosti Edge Transport servera.
  • EdgeSync koristi sigurnu LDAP vezu sa Hub Transport servera na pretplaćene Edge Transport servere na TCP portu 50636. Active Directory Lightweight Directory Services takođe sluša na TCP portu 50389. Veza na ovaj port ne koristi SSL. Možete koristiti LDAP uslužne programe za povezivanje na ovaj port i provjeru podataka Active Directory Lightweight Directory Services.
  • Prema zadanim postavkama, promet između Edge Transport servera koji se nalaze u dvije različite organizacije je šifriran. Exchange 2010 Setup kreira samopotpisani sertifikat i podrazumevano omogućava TLS. Ovo omogućava bilo kom sistemu za slanje da šifrira SMTP sesiju koja ulazi u Exchange. Podrazumevano, Exchange 2010 takođe pokušava da koristi TLS za sve udaljene veze.
  • Metode provjere autentičnosti za promet između Hub Transport servera i servera poštanskih sandučića se razlikuju kada su uloge Hub Transport i Mailbox servera instalirane na istom računaru. Lokalni prijenos pošte koristi Kerberos autentifikaciju. Daljinski prijenos pošte koristi NTLM autentifikaciju.
  • Exchange 2010 takođe podržava bezbednost domena. Domain Security je skup funkcija u Exchange 2010 i Microsoft Outlook 2010 koje pružaju jeftinu alternativu za S/MIME i druga sigurnosna rješenja za razmjenu poruka na Internetu. Sigurnost domena pruža način upravljanja sigurnim putanjama poruka između domena na Internetu. Jednom kada su ove bezbedne putanje konfigurisane, uspešno prenete poruke od autentifikovanog pošiljaoca pojavljuju se kao poruke „zaštićene domenom“ korisnicima programa Outlook i Outlook Web Access. Za više informacija pogledajte Pregled sigurnosti domene.
  • Mnogi agenti mogu raditi i na Hub Transport serverima i na Edge Transport serverima. Obično zaštitni agensi neželjena pošta koristiti informacije lokalni računar na kojima se izvršavaju. Dakle, praktično nije potrebna interakcija udaljeni računari. Izuzetak je filtriranje primatelja. Filtriranje primatelja zahtijeva poziv AD LDS-u ili Active Directory-u. Preporučujemo da izvršite filtriranje primaoca na Edge transportnom serveru. U ovom slučaju, AD LDS direktorij je na istom računaru na kojem je instalirana uloga Edge Transport servera, tako da nije potrebna udaljena veza. Ako je Filtriranje primatelja instalirano i konfigurirano na Hub Transport serveru, morate imati pristup usluzi Active Directory direktorija.
  • Agent za analizu protokola koristi funkcija reputacije pošiljaoca u Exchange 2010. Ovaj agent se takođe povezuje sa različitim eksternim proxy serverima da bi odredio putanje dolaznih poruka za sumnjive veze.
  • Sve ostale funkcije zaštite od neželjene pošte koriste podatke koji se prikupljaju, pohranjuju i dostupni su samo na lokalnom računalu. Obično se podaci kao što je konsolidovana lista bezbednih pošiljalaca ili podaci o primaocima za filtriranje primaoca guraju u lokalni AD LDS direktorijum pomoću usluge Microsoft Exchange EdgeSync.
  • Agenti za upravljanje pravima nad informacijama (IRM) na serverima Hub Transport povezuju se sa serverima Active Directory Rights Management Services (AD RMS) u vašoj organizaciji. Active Directory Rights Management Service (AD RMS) je web usluga za koju se preporučuje da se zaštiti korištenjem SSL-a. Veze sa serverima Active Directory Rights Management Services se ostvaruju pomoću HTTPS-a, a autentifikacija koristi Kerberos ili NTLM, u zavisnosti od konfiguracije servera Active Directory Rights Management Services.
  • Pravila evidencije, pravila transporta i pravila klasifikacije poruka pohranjeni su u uslugama Active Directory i pristupaju im Agent za vođenje dnevnika i Agent transportnih pravila na transportnim serverima u čvorištu. Serveri poštanskih sandučića

    Na serverima poštanskih sandučića, da li se koristi NTLM ili Kerberos provjera autentičnosti ovisi o korisničkom kontekstu ili procesu unutar kojeg se pokreće potrošač sloja poslovne logike Exchange. U ovom kontekstu, potrošači su sve aplikacije ili procesi koji koriste sloj poslovne logike Exchange. Kao rezultat toga, kolona Default Authentication u tabeli Putanja podataka za servere poštanskih sandučića ima mnogo redova postavljenih na NTLM/Kerberos.

    Exchangeov sloj poslovne logike se koristi za pristup i interakciju sa Exchange prodavnicom. Exchangeov sloj poslovne logike se takođe poziva iz Exchange prodavnice radi interakcije eksterne aplikacije i procesi.

    Ako potrošač sloja Exchange poslovne logike radi u kontekstu lokalnog sistema, metoda provjere autentičnosti koja se koristi kada potrošač pristupa Exchange spremištu je uvijek Kerberos. Koristi se Kerberos metoda provjere autentičnosti jer se identitet primatelja mora provjeriti pomoću račun računar "Lokalni sistem" i takođe zahteva dvosmerno provereno poverenje.

    Ako primalac sloja Exchange poslovne logike ne radi u kontekstu lokalnog sistema, metoda provjere autentičnosti je NTLM. Na primjer, kada administrator pokrene Exchange Management Shell cmdlet koji koristi Exchangeov sloj poslovne logike, primjenjuje se NTLM autentifikacija.

    RPC saobraćaj je uvijek šifriran.

    Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju putanje podataka za servere poštanskih sandučića.

    Putanja podataka za servere poštanskih sandučića Putanja podataka Potrebni portovi Zadana autentifikacija Podržana metoda autentifikacije Šifriranje Podrška Podrazumevano šifriranje podataka

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (mrežna RPC prijava)

    Da, koristeći Kerberos enkripciju

    Administrativni daljinski pristup (udaljeni registar)

    Da, koristeći IPsec

    Administrativni daljinski pristup (SMB, fajlovi)

    Da, koristeći IPsec

    Web usluga dostupnosti (klijentski pristup poštanskom sandučetu)

    Da, koristeći RPC enkripciju

    Grupiranje

    Da, koristeći RPC enkripciju

    Između servera klijentskog pristupa (Exchange ActiveSync)

    80/TCP, 443/TCP (SSL)

    Provjera autentičnosti Kerberos certifikata

    Da, koristeći HTTPS

    Da, koristeći samopotpisani certifikat

    Između servera klijentskog pristupa (Outlook Web Access)

    80/TCP, 443/TCP (HTTPS)

    Da, koristeći SSL

    Server za klijentski pristup na server za klijentski pristup (Exchange Web Services)

    Da, koristeći SSL

    Server za klijentski pristup na server za klijentski pristup (POP3)

    Da, koristeći SSL

    Server za klijentski pristup na server za klijentski pristup (IMAP4)

    Da, koristeći SSL

    Office Communications Server to Client Access Server (kada je omogućena integracija Office Communications Server i Outlook Web App)

    5075-5077/TCP (IN), 5061/TCP (IZLAZ)

    mTLS (obavezno)

    mTLS (obavezno)

    Da, koristeći SSL
    Napomene za servere za klijentski pristup servere unificirani sistem razmjenu poruka

    IP gateway-i i IP PBX-ovi podržavaju samo potvrdu autentičnosti certifikata, koja koristi uzajamnu TLS autentifikaciju za šifriranje SIP prometa i autentifikaciju zasnovanu na IP adresi za SIP ili TCP veze. IP gatewayi ne podržavaju NTLM ili Kerberos autentifikaciju. Stoga, kada koristite autentifikaciju zasnovanu na IP adresi, IP adrese veza se koriste kao mehanizam provjere autentičnosti za nešifrirane (TCP) veze. Kada se koristi u objedinjenoj razmjeni poruka, autentifikacija zasnovana na IP-u provjerava da li je datoj IP adresi dozvoljeno povezivanje. IP adresa je konfigurisana na IP gateway-u ili IP PBX-u.

    IP gatewayi i IP PBX-ovi podržavaju Mutual TLS za šifriranje SIP prometa. Nakon uspješnog uvoza i izvoza potrebnih pouzdanih certifikata, IP gateway ili IP PBX će zatražiti certifikat od servera Unified Messaging, a zatim zatražiti certifikat od IP gateway-a ili IP PBX-a. Razmjena pouzdanih certifikata između IP gateway-a ili IP PBX-a i servera objedinjene razmjene poruka omogućava oba uređaja da komuniciraju preko sigurnog kanala koristeći Mutual TLS.

    Sljedeća tabela pruža informacije o portu, autentifikaciji i šifriranju za putanje podataka između servera objedinjene razmjene poruka i drugih servera.

    Putevi podataka za servere objedinjene razmjene poruka Putanja podataka Potrebni portovi Zadana autentifikacija Podržana metoda autentifikacije Šifriranje Podrška Podrazumevano šifriranje podataka

    Pristup aktivnom imeniku

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (mrežna RPC prijava)

    Da, koristeći Kerberos enkripciju

    Telefonija objedinjene razmjene poruka (IP PBX/VoIP Gateway)

    5060/TCP, 5065/TCP, 5067/TCP (nezaštićeni način), 5061/TCP, 5066/TCP, 5068/TCP (sigurni način), dinamički raspon portova 16000-17000/TCP (kontrola), dinamički raspon UDP portova iz 1024-65535/UDP (RTP)

    Po IP adresi

    Po IP adresi, MTLS

    Da, koristeći SIP/TLS, SRTP

    Web usluga objedinjene razmjene poruka

    80/TCP, 443/TCP (SSL)

    Integrirana Windows autentifikacija (pregovarajte)

    Da, koristeći SSL

    Od servera objedinjene razmjene poruka na server za klijentski pristup

    5075, 5076, 5077 (TCP)

    Integrirana Windows autentikacija (pregovori)

    Osnovni, Digest, NTLM, Negotiate (Kerberos)

    Da, koristeći SSL

    Od servera objedinjene razmjene poruka do servera za klijentski pristup (igrajte na telefonu)

    Dynamic RPC

    Da, koristeći RPC enkripciju

    Od servera objedinjene razmjene poruka na server za transport čvorišta

    Da, koristeći TLS

    Sa servera objedinjene razmjene poruka na server poštanskog sandučeta

    Da, koristeći RPC enkripciju
    Napomene za servere objedinjene razmjene poruka
    • Kada kreirate objekt IP gateway-a objedinjene razmjene poruka u Active Directory-u, morate navesti IP adresu fizičkog IP gateway-a ili IP PBX-a. Kada odredite IP adresu UM IP gateway objekta, IP adresa se dodaje na listu važećih IP mrežnih prolaza ili IP PBX-ova (takođe poznatih kao učesnici SIP sesije) sa kojima je serveru objedinjene razmjene poruka dozvoljeno da komunicira. Nakon što kreirate IP gateway objedinjene razmjene poruka, možete ga povezati s planom biranja objedinjene razmjene poruka. Mapiranje UM IP gatewaya u plan biranja omogućava serverima objedinjene razmjene poruka koji su mapirani na plan biranja da koriste autentifikaciju zasnovanu na IP adresi za komunikaciju sa IP gateway-om. Ako IP gateway objedinjene razmjene poruka nije kreiran ili nije konfiguriran da koristi ispravnu IP adresu, autentifikacija neće uspjeti i serveri objedinjene razmjene poruka neće prihvatiti veze sa IP adrese IP gatewaya. Dodatno, kada implementirate Mutual TLS, IP gateway ili IP PBX i servere objedinjene razmjene poruka, UM IP gateway mora biti konfiguriran da koristi potpuno kvalificirano ime domene (FQDN). Nakon što konfigurišete UM IP gateway koristeći potpuno kvalificirano ime domene, također morate dodati zapis hosta za taj gateway u zonu prosljeđivanja DNS-a.
    • U Exchange 2010, server objedinjene razmjene poruka može komunicirati na portu 5060/TCP (nezaštićen) ili portu 5061/TCP (zaštićen), a može se konfigurirati da koristi oba porta.

    Za više informacija pogledajte Razumijevanje VoIP sigurnosti objedinjene razmjene poruka i razumijevanje protokola, portova i usluga objedinjene razmjene poruka.

    Pravila Windows zaštitni zid kreirao Exchange 2010 Setup

    Windows zaštitni zid sa naprednom bezbednošću je zaštitni zid zasnovan na mašini, sa podacima o stanju i koji filtrira dolazni i odlazni saobraćaj na osnovu pravila zaštitnog zida. Instalacija Exchange 2010 kreira pravila Windows zaštitnog zida da otvori portove potrebne za komunikaciju između servera i klijenta u svakoj ulozi servera. Stoga više ne morate koristiti čarobnjaka za sigurnosnu konfiguraciju da biste konfigurirali ove postavke. Za više informacija o Windows zaštitnom zidu sa naprednom bezbednošću pogledajte Windows zaštitni zid sa naprednom bezbednošću i IPsec.

    Sledeća tabela prikazuje pravila Windows zaštitnog zida kreiran od strane programa Exchange instalacija, uključujući portove otvorene u svakoj ulozi servera. Ova pravila možete pogledati pomoću dodatka Windows zaštitnog zida sa naprednom sigurnošću MMC-a.

    Ime pravila Uloge servera Port Program

    MSExchangeADTopology - RPC (TCP-in)

    Dynamic RPC

    Bin\MSExchangeADTopologyService.exe

    MSExchangeMonitoring - RPC (TCP-in)

    Client Access server, Hub Transport server, Edge Transport server, Unified Messaging server

    Dynamic RPC

    Bin\Microsoft.Exchange.Management.Monitoring.exe

    MSExchangeServiceHost - RPC (TCP-in)

    Dynamic RPC

    Bin\Microsoft.Exchange.ServiceHost.exe

    MSExchangeServiceHost - RPCEPMap (TCP-in)

    Bin\Microsoft.Exchange.Service.Host

    MSExchangeRPCEPMap (GFW) (TCP-in)

    MSExchangeRPC (GFW) (TCP-in)

    Server za klijentski pristup, Hub transportni server, server poštanskih sandučića, server objedinjene razmjene poruka

    Dynamic RPC

    MSExchange - IMAP4 (GFW) (TCP-in)

    Server za klijentski pristup

    MSExchangeIMAP4 (TCP-in)

    Server za klijentski pristup

    ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

    MSExchange - POP3 (FGW) (TCP-in)

    Server za klijentski pristup

    MSExchange - POP3 (TCP-in)

    Server za klijentski pristup

    ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

    MSExchange - OWA (GFW) (TCP-in)

    Server za klijentski pristup

    5075, 5076, 5077 (TCP)

    MSExchangeOWAAppPool (TCP-in)

    Server za klijentski pristup

    5075, 5076, 5077 (TCP)

    Inetsrv\w3wp.exe

    MSExchangeAB RPC (TCP-in)

    Server za klijentski pristup

    Dynamic RPC

    MSExchangeAB-RPCEPMap (TCP-in)

    Server za klijentski pristup

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    MSExchangeAB-RpcHttp (TCP-in)

    Server za klijentski pristup

    6002, 6004 (TCP)

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    RpcHttpLBS (TCP-in)

    Server za klijentski pristup

    Dynamic RPC

    System32\Svchost.exe

    MSExchangeRPC - RPC (TCP-in)

    Dynamic RPC

    MSExchangeRPC - PRCEPMap (TCP-in)

    Server za klijentski pristup, Server za poštansko sanduče

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeRPC (TCP-in)

    Server za klijentski pristup, Server za poštansko sanduče

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeMailboxReplication (GFW) (TCP-in)

    Server za klijentski pristup

    MSExchangeMailboxReplication (TCP-in)

    Server za klijentski pristup

    Bin\MSExchangeMailboxReplication.exe

    MSExchangeIS - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    MSExchangeIS RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    MSExchangeIS (GFW) (TCP-in)

    Server poštanskog sandučeta

    6001, 6002, 6003, 6004 (TCP)

    MSExchangeIS (TCP-in)

    Server poštanskog sandučeta

    MSExchangeMailboxAsistents - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    MSExchangeMailboxAsistents - RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeMailboxAssistants.exe

    MSExchangeMailSubmission - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    MSExchangeMailSubmission - RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeMailSubmission.exe

    MSExchangeMigration - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    Bin\MSExchangeMigration.exe

    MSExchangeMigration - RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeMigration.exe

    MSExchangerepl - Log Copier (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC-EPMap (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeRepl.exe

    MSExchangeSearch - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    Bin\Microsoft.Exchange.Search.ExSearch.exe

    MSExchangeThrottling - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    Bin\MSExchangeThrottling.exe

    MSExchangeThrottling - RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    Bin\MSExchangeThrottling.exe

    MSFTED - RPC (TCP-in)

    Server poštanskog sandučeta

    Dynamic RPC

    MSFTED - RPCEPMap (TCP-in)

    Server poštanskog sandučeta

    MSExchangeEdgeSync - RPC (TCP-in)

    Hub Transport Server

    Dynamic RPC

    MSExchangeEdgeSync RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\Microsoft.Exchange.EdgeSyncSvc.exe

    MSExchangeTransportWorker - RPC (TCP-in)

    Hub Transport Server

    Dynamic RPC

    Bin\edgetransport.exe

    MSExchangeTransportWorker - RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportWorker (GFW) (TCP-in)

    Hub Transport Server

    MSExchangeTransportWorker (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportLogSearch - RPC (TCP-in)

    Dynamic RPC

    MSExchangeTransportLogSearch - RPCEPMap (TCP-in)

    Hub Transport Server, Edge Transport Server, Mailbox Server

    Bin\MSExchangeTransportLogSearch.exe

    SESWorker (GFW) (TCP-in)

    Unified Messaging Server

    SESWorker (TCP-in)

    Unified Messaging Server

    UnifiedMessaging\SESWorker.exe

    UMService (GFW) (TCP-in)

    Unified Messaging Server

    UMService (TCP-in)

    Unified Messaging Server

    Bin\UMService.exe

    UMWorkerProcess (GFW) (TCP-in)

    Unified Messaging Server

    5065, 5066, 5067, 5068

    UMWorkerProcess (TCP-in)

    Unified Messaging Server

    5065, 5066, 5067, 5068

    Bin\UMWorkerProcess.exe

    UMWorkerProcess - RPC (TCP-in)

    Unified Messaging Server

    Dynamic RPC

    Bin\UMWorkerProcess.exe
    Napomene o pravilima Windows zaštitnog zida kreiranim od strane Exchange 2010 instalacije
    • Na serverima sa instaliranim IIS-om, Windows otvara HTTP (port 80, TCP) i HTTPS (port 443, TCP) portove. Exchange 2010 Setup ne otvara ove portove. Stoga ovi portovi nisu navedeni u prethodnoj tabeli.
    • U Windows Server 2008 i Windows Server 2008 R2, Windows zaštitni zid sa naprednom bezbednošću omogućava vam da navedete proces ili uslugu za koju je port otvoren. Ovo je sigurnije jer port može koristiti samo proces ili usluga navedena u pravilu. Exchange Setup kreira pravila zaštitnog zida sa navedenim imenom procesa. U nekim slučajevima, radi kompatibilnosti, kreira se i dodatno pravilo koje nije ograničeno na ovaj proces. Možete onemogućiti ili ukloniti pravila koja nisu ograničena na procese i zadržati odgovarajuća pravila ograničena na procese ako ih podržava vaše trenutno okruženje za implementaciju. Pravila koja nisu ograničena na procese mogu se identificirati po riječi (GFW) u imenu pravila.
    • Mnoge Exchange usluge koriste pozive udaljenih procedura (RPC) za komunikaciju. Serverski procesi koji koriste pozive udaljenih procedura povezuju se s RPC maperom krajnje točke da bi dobili dinamičke krajnje točke i registrirali ih u bazi podataka mapiranja krajnjih točaka. RPC klijenti stupaju u interakciju s RPC maperom krajnje točke kako bi odredili krajnje točke koje koristi proces servera. Po defaultu, RPC razrješavač krajnje točke sluša port 135 (TCP). Kada konfigurišete Windows zaštitni zid za proces koji koristi udaljene pozive procedura, instalacija Exchange 2010 kreira dva pravila zaštitnog zida za taj proces. Jedno pravilo dozvoljava interakciju sa RPC maperom krajnje tačke, a drugo dozvoljava interakciju sa dinamički dodeljenom krajnjom tačkom. Za više informacija o daljinskim pozivima procedura, pogledajte ovaj članak. Za više informacija o kreiranju pravila Windows zaštitnog zida za dinamičke pozive udaljenih procedura, pogledajte ovaj članak.

      Za više informacija pogledajte članak Microsoftove baze znanja 179442

www.microsoft.com

Članak Exchange 2013 FrontEnd Transport Service je prvi u nizu članaka koji opisuju kako transportne usluge rade u Exchange Serveru 2013. U ovom članku ćemo govoriti o Prijevozna usluga u prvom planu na serverima klijentskog pristupa.

U verziji Exchange servera iz 2013. godine došlo je do prilično značajnih promjena u arhitekturi i sada postoje samo dvije glavne uloge - server poštanskih sandučića (Mailbox Server ili skraćeno MBX) i server za pristup klijentima (CAS). Uloga Edge Transport servera se izdvaja. Servis Exchange 2013 FrontEnd transport nalazi se na CAS serverima i služi kao proxy.

Ovo je prvi članak u nizu o tome kako funkcionišu usluge transportnog cjevovoda Exchange 2013, ali evo potpune liste:

I također članci o upravljanju evidentiranjem ovih usluga:

Ne zaboravite na zvaničnu dokumentaciju.

Više informacija o postavljanju i administriranju Exchange 2013 možete pronaći na mom blogu u glavnom članku na temu -.

Desilo se da sada na Exchange 2013 serveru postoji dosta transportnih usluga koje imaju slične nazive, ali se suštinski razlikuju po namjeni i principu rada. Evo svih ovih usluga:

  • Foreground Transport Service na serverima klijentskog pristupa (prikazano ime je Microsoft Exchange FrontEnd Transport, skraćeno MSExchangeFrontEndTransport);
  • Transportna usluga na serverima poštanskih sandučića (prikazano ime je Microsoft Exchange Transport, skraćeno MSExchangeTransport);
  • Usluga transporta poštanskih sandučića na serverima poštanskih sandučića (Zapravo uključuje dvije usluge - Microsoft Exchange Mailbox Transport Delivery i Microsoft Exchange Mailbox Transport Submission, skraćeni nazivi - MSExchangeDelivery i MSExchangeSubmission, respektivno);
  • Usluga transporta na Edge Transport serverima (Ime za prikaz je Microsoft Exchange Transport, skraćeno na MSExchangeTransport).

Istovremeno, samo druga i četvrta usluga imaju uporedivu funkcionalnost, a ostale su suštinski različite. Svi oni zajedno čine transportni cevovod, koji je srce servera pošte.

Transportni transporter

Općenito, transportni transporter izgleda ovako:

U kontekstu ovog članka, zanima nas gornji dio ilustracije, koji prikazuje Client Access Server:

U ovoj shemi postoji jedna nijansa. Činjenica je da standardno MBX serveri mogu samostalno slati poštu preko SMTP porta 25. Da biste osigurali da konektor za slanje uvijek šalje poštu na Internet preko servera klijentskog pristupa, morate eksplicitno postaviti parametar konektora FrontendProxyEnabled u značenju $true(ili u EAC-u stavite kvačicu Proxy preko Client Access Servera u svojstvima konektora za slanje). Upravo ovu konfiguraciju ću nadograđivati ​​u budućnosti.

U nastavku ću pokušati da unesem malo jasnoće u princip rada. Exchange 2013 serveri sa ulogom CAS.

Princip rada

FrontEnd Transport(u Microsoft terminologiji - Front End Transport Service) ne obrađuje sadržaj poruke, ne koristi red poruka niti stupa u interakciju s uslugom prijenosa poštanskog sandučeta. Drugim riječima, Exchange 2013 serveri samo sa ulogom CAS ne pohranjuju podatke ni trajno (koristeći bazu podataka) niti privremeno (u redu za obradu poruka).

Međutim, Front End Transport usluga ima svoje agente za transport (pogledajte sliku - Agenti protokola). Agenti vam omogućavaju da proširite funkcionalnost Exchange servera pošte dodavanjem sopstvenog koda u logiku obrade poruka. Agenti se pozivaju kada se dogode SMTP događaji. Ovi događaji se, zauzvrat, generišu u jednoj ili drugoj fazi obrade poruke dok prolaze kroz transportni cevovod. Vrijedi napomenuti da je većina agenata prisutnih prema zadanim postavkama skrivena ili se njihova podešavanja ne mogu kontrolirati. Funkcionalnost agenata na CAS serverima je prilično ograničena i u potpunosti je prisutna samo u ulogama MBX i Edge.

Konektori za slanje i primanje

Na dijagramu (vidi gore) Prijevozna usluga u prvom planu označavamo server pristupa klijentu na svakom dolaznom i odlazna veza odgovarajući port, što rezultira sljedećim prikazom:

Zasebni konektor za primanje odgovoran je za slušanje veza na svakom portu naznačenom na dijagramu, od kojih se tri kreiraju prema zadanim postavkama prilikom instaliranja CAS uloge:

Pored konektora koji su vidljivi i dostupni administratoru, postoje i skriveni sistemski Send konektori:

  • Inbound proxy konektor za unutarnje slanje (SMTP 25/2525 in )
  • Konektor za slanje proxy klijenta (SMTP primljen na portu 587 in Usluga transporta na serverima poštanskih sandučića na port 465)

Inače, prvi konektor u ruskoj verziji Exchange Servera 2013 će imati naziv Interni konektor za slanje za ulaz. povezati proxy server, a drugo - Konektor za slanje proxyja klijenta. Ovo je za svaki slučaj, kako ne biste ostali zapanjeni pri prvom susretu sa ovim konektorima.

Kao rezultat dobijamo sledeću kompletnu tabelu:

Ime Svrha Port Smjer
Zadani Frontend Prijem 25 Sa eksternih servera
Outbound Proxy Frontend Prijem 717 Sa MBX servera
Client Frontend Prijem 587 Od eksternih klijenata, sigurna veza
Konektor za slanje proxy klijenta Otpremanje 465 Na MBX servere
Inbound proxy konektor za unutarnje slanje Otpremanje 25/2525 Na MBX servere. Samo veze su prihvaćene na portu 587
Ručno kreiran konektor za slanje Otpremanje 25 Na eksterne servere

Prenesite nazive konektora na dijagram Prijevozna usluga u prvom planu.

Exchange Server i zaštitni zidovi

Firewall za mail servere (Exchange Server), portove mail servera, front-end i back-end servere pošte, virtuelni serveri SMTP, POP3, IMAP4

Kao i svaki računar povezan na Internet, računar na kojem se nalazi server pošte mora biti zaštićen zaštitnim zidom. Međutim, opcije za instaliranje mail servera u smislu mrežne konfiguracije mogu biti vrlo različite:

· najjednostavnija opcija je da instalirate mail server na računar koji je ujedno i proxy server/firewall, a zatim otvorite potrebne portove na interfejsu koji je okrenut ka Internetu. Obično se ova šema koristi u malim organizacijama;

Druga opcija je instaliranje mail servera lokalna mreža i konfigurirajte ga da radi preko proxy servera. Da biste to uradili, možete povezati javni IP sa serverom pošte i proslediti ga kroz proxy ili koristiti alate kao što je mapiranje portova na proxy serveru. Mnogi proxy serveri imaju posebne čarobnjake ili unaprijed pripremljena pravila za organiziranje takvog rješenja (na primjer, ISA Server). Ova opcija se koristi u većini organizacija.

· druga fundamentalna mogućnost je kreiranje DMZ-a i postavljanje front-end Exchange servera u njega (ova opcija se pojavila od verzije 2000) ili SMTP Relay baziran na drugom Exchange serveru ili, na primjer, sendmail na *nix. Obično se koristi u mrežama velikih organizacija.

U svakom slučaju, mail server mora komunicirati barem na portu TCP 25 (SMTP) i UDP 53 (DNS). Ostali portovi koje Exchange Server može zahtijevati u zavisnosti od vaše mrežne konfiguracije (svi TCP):

· 80 HTTP - za pristup web interfejsu (OWA)

· 88 Kerberos protokol autentikacije - ako se koristi Kerberos autentifikacija (rijetko);

· 102 MTA .X .400 konektor preko TCP/IP (ako se X .400 konektor koristi za komunikaciju između grupa za rutiranje);

· 110 Post Office Protocol 3 (POP 3) - za pristup klijentu;

· 119 Network News Transfer Protocol (NNTP) - ako se koriste novinske grupe;

· 135 Komunikacija klijent/server RPC Exchange administracija - standardni RPC port za udaljenu Exchange administraciju standardnim sredstvima System Manager;

· 143 Internet Message Access Protocol (IMAP) - za pristup klijentima;

· 389 LDAP - za pristup servisu imenika;

· 443 HTTP (Sloj sigurnih utičnica (SSL)) (i ispod) - isti protokoli zaštićeni SSL-om.

· 563 NNTP (SSL)

636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 i 3269 - upiti serveru globalnog kataloga (pretraga u Active Directory-u i provjera članstva u univerzalnim grupama).

Nema smisla pokrivati ​​sučelje Exchange Servera, okrenuto prema unutrašnjosti organizacije, zaštitnim zidom - koristit će se za interakciju sa kontrolerima domena, administrativnim uslužnim programima, sistemima Rezervna kopija i tako dalje. Za sučelje izloženo Internetu, preporučuje se da ostavite portove 53 (ako će Exchange sam razriješiti imena hostova umjesto da preusmjerava zahtjeve na lokalni server DNS) i 25. Vrlo često klijenti moraju da pristupe svojim poštanskim sandučićima izvana (od kuće, na službenom putu itd.). Najbolja odluka u ovoj situaciji, konfigurišite OWA (Web interfejs za pristup Exchange Serveru, koji je podrazumevano instaliran, dostupan na http://server_name/exchange) da radi preko SSL-a i da otvori pristup samo na portu 443. Pored rešavanja problema sa sigurnim autentifikacija i enkripcija poruka automatski rješavaju problem sa SMTP Relayom (više o tome kasnije) i situaciju kada korisnik slučajno preuzme ispravan email da uključite foldere klijenta pošte kućni računar, a onda na poslu ne može pronaći ove poruke (da ne spominjemo činjenicu da je čuvanje poslovne e-pošte kod kuće kršenje sigurnosti).

Nova funkcija koja se pojavila u Exchange Serveru. počevši od verzije 2000, mogućnost korištenja nekoliko virtualnih SMTP i POP3 servera sa različitim sigurnosnim postavkama. Na primjer, SMTP server koji komunicira s Internetom može se konfigurirati sa povećanim sigurnosnim režimom i striktnim ograničenjima isporuke, a SMTP server koji korisnici unutar organizacije koriste može se konfigurirati s najmoćnijim i najprikladnijim postavkama.

Takođe je potrebno spomenuti određenu zbrku u terminologiji – vrlo često se firewall za Exchange nazivaju sistemi za filtriranje poruka, o čemu će biti riječi u nastavku.

[Ovaj članak je preliminarni dokument i može biti podložan promjenama u budućim izdanjima. Prazni dijelovi su uključeni kao čuvari mjesta. Ako želite da napišete recenziju, rado ćemo je primiti. Pošaljite nam ga na e-mail adresa [email protected].]

Odnosi se na: Exchange Server 2016

Saznajte više o mrežnim portovima koje Exchange 2016 koristi za pristup klijentima i protok pošte.

Ova tema pruža informacije o mrežnim portovima koje Microsoft Exchange Server 2016 koristi za komunikaciju sa klijentima e-pošte, serverima pošte na mreži i drugim uslugama koje se nalaze izvan vaše lokalne Exchange organizacije. Prije nego što počnete, razmotrite sljedeća osnovna pravila.

    Ne podržavamo ograničavanje ili modifikovanje mrežnog saobraćaja između internih Exchange servera, između internih Exchange servera i internih Lync ili Skype for Business servera, ili između internih Exchange servera i internih Active Directory domenskih kontrolera u bilo kojoj vrsti topologije. Ako koristite zaštitne zidove ili mrežne uređaje koji mogu ograničiti ili modificirati ovaj mrežni promet, morate konfigurirati pravila kako biste osigurali slobodnu i neograničenu komunikaciju između ovih servera (pravila koja dozvoljavaju mrežni promet na i iz bilo kojeg porta, uključujući nasumične RPC portove i bilo koji protokol, koji se ne menja ni malo).

    Edge transportni serveri se gotovo uvijek nalaze u perimetarskoj mreži, tako da se očekuje da će mrežni promet između Edge transportnog servera i Interneta, te između Edge transportnog servera i interne Exchange organizacije, biti ograničen. Ovi mrežni portovi su opisani u ovom odjeljku.

    Od vas se očekuje da ograničite mrežni promet između eksternih klijenata i usluga i interne Exchange organizacije. Takođe možete ograničiti promet između internih klijenata i internih Exchange servera. Ovi mrežni portovi su opisani u ovom odjeljku.

Sadržaj

Mrežni portovi potrebni za klijente i usluge

Mrežni portovi potrebni za protok pošte (bez Edge transportnih servera)

Mrežni portovi potrebni za protok pošte sa Edge Transport serverima

Mrežni portovi potrebni za hibridne implementacije

Mrežni portovi potrebni za Unified Messaging

Mrežni portovi koje klijenti e-pošte trebaju za pristup poštanskim sandučićima i drugim uslugama u Exchange organizaciji su opisani u sledeći dijagram i u tabeli.

Bilješke

    Odredište za ove klijente i usluge su usluge Client Access na serveru poštanskog sandučeta. U Exchange 2016, usluge klijentskog pristupa (front-end) i back-end usluge su instalirane zajedno na istom serveru poštanskog sandučeta. Za više informacija pogledajte .

    Iako dijagram prikazuje klijente i usluge sa Interneta, koncepti su isti za interne klijente (na primjer, klijenti u šumi naloga koji pristupaju Exchange serverima u šumi resursa). Isto tako, tabela nema kolonu Izvor jer izvor može biti bilo koja lokacija izvan Exchange organizacije (na primjer, Internet ili šuma naloga).

    Edge Transport serveri ne učestvuju u mrežnom saobraćaju povezanom sa ovim klijentima i uslugama.

Napomene o portovima

Šifrirane web veze koriste sljedeći klijenti i usluge.

    Usluga automatskog otkrivanja

    Exchange ActiveSync

    Exchange Web Services (EWS)

    Vanmrežna distribucija adresara

    Outlook Mobile (RPC preko HTTP-a)

    MAPI Outlook preko HTTP-a

    Outlook na webu

443/TCP (HTTPS)

    EWS za Exchange Reference

Nešifrirane web veze koriste sljedeći klijenti i usluge.

    Objavljivanje kalendara na mreži

    Outlook na webu (preusmjeravanje na port 443/TCP)

    Automatsko otkrivanje (povratak kada port 443/TCP nije dostupan)

80/TCP (HTTP)

Kad god je moguće, preporučujemo korištenje šifriranih web veza preko porta 443/TCP za zaštitu vjerodajnica i drugih podataka. Međutim, neke usluge moraju biti konfigurirane da koriste nešifrirane web veze preko porta 80/TCP do usluga klijentskog pristupa na serverima poštanskog sandučeta.

Za više informacija o ovim klijentima i uslugama, pogledajte sljedeće članke.

IMAP4 klijenti

143/TCP (IMAP), 993/TCP (sigurni IMAP)

Podrazumevano, IMAP4 je onemogućen. Za više informacija pogledajte .

IMAP4 usluga u uslugama klijentskog pristupa na serveru poštanskog sandučeta proksi veze sa internim IMAP4 servisom na serveru poštanskih sandučića.

POP3 klijenti

110/TCP (POP3), 995/TCP (sigurni POP3)

Podrazumevano, POP3 je onemogućen. Za više informacija pogledajte .

POP3 usluga u uslugama klijentskog pristupa na serveru poštanskog sandučeta proksi veze sa internom POP3 uslugom na serveru poštanskih sandučića.

SMTP klijenti (provjereni)

587/TCP (SMTP sa autentifikacijom)

Zadani konektor za primanje je "Client Frontend" " u usluzi vanjskog transporta osluškuje poruke od autentificiranih SMTP klijenata na portu 587.

Bilješka.

Ako imate klijente e-pošte koji mogu slati samo SMTP autentificirane poruke na portu 25, tada možete promijeniti vrijednost povezivanja ovog konektora za primanje tako da prati i SMTP autentificirane poruke poslane na port 25.

Za početak

Mrežni portovi potrebni za protok pošte

Odlazna pošta

25/TCP (SMTP)

Server poštanskog sandučeta

Internet (sve)

Exchange podrazumevano ne kreira konektore za slanje koji vam omogućavaju da šaljete poštu na Internet. Morate ručno kreirati konektore za slanje. Za više informacija pogledajte .

Odlazna pošta (ako se šalje preko eksterne usluge transporta)

25/TCP (SMTP)

Server poštanskog sandučeta

Internet (sve)

Odlazna pošta se usmjerava kroz eksternu transportnu uslugu samo ako je konektor za slanje omogućen sa opcijom Proxy servera klijentskog pristupa u EAC-u ili opcijom -FrontEndProxyEnabled $true u Exchange upravljačkoj ljusci.

U ovom slučaju, podrazumevani konektor za primanje je "Outbound Proxy Frontend " u servisu eksternog transporta osluškuje odlaznu poštu iz usluge transporta na serveru poštanskog sandučeta. Za više informacija pogledajte .

DNS server za razlučivost imena sljedećeg skoka za poštu (nije prikazano na slici)

53/UDP, 53/TCP (DNS)

Server poštanskog sandučeta

DNS server

Za početak

Pretplaćeni Edge Transport server instaliran na perimetarskoj mreži utiče na protok pošte na sljedeće načine:

    Odlazna pošta iz Exchange organizacije nikada ne prolazi kroz eksterni transportni servis na serverima poštanskog sandučeta. Uvek se preusmerava sa usluge transporta na serveru poštanskog sandučeta pretplaćene lokacije Active Directory na Edge transportni server (bez obzira na verziju Exchange-a na Edge transportnom serveru).

    Dolazna pošta se preusmjerava sa Edge Transport servera na server poštanskog sandučeta pretplaćene lokacije Active Directory. To znači sljedeće:

    • Pošta sa Exchange 2016 ili Exchange 2013 Edge transportnog servera prvo stiže na front-end transportnu uslugu, a zatim se prosleđuje transportnoj usluzi na serveru poštanskog sandučeta Exchange 2016.

      Pošta sa Exchange 2010 Edge Transport servera uvek ide direktno u transportnu uslugu na Exchange 2016 serveru poštanskog sandučeta.

Mrežni portovi potrebni za protok pošte u Exchange organizacijama sa Edge Transport serverima opisani su u sljedećem dijagramu i tabeli.

Odredišni portovi Napomene o izvornom odredištu

Dolazna pošta - sa Interneta na Edge Transport server

25/TCP (SMTP)

Internet (sve)

Zadani konektor za prijem pod nazivom "Zadani interni konektor za primanje" " na Edge Transport serveru sluša anonimnu SMTP poštu na portu 25.

Dolazna pošta - sa Edge Transport servera do interne Exchange organizacije

25/TCP (SMTP)

Edge Transport Server

Podrazumevani konektor za slanje se zove "EdgeSync - Inbound to "prenosi dolaznu poštu na portu 25 na bilo koji server poštanskog sandučeta na pretplaćenoj lokaciji Active Directory. Za više informacija pogledajte .

Zadani konektor za prijem "Default Frontend" " u servisu eksternog transporta na serveru poštanskog sandučeta osluškuje svu dolaznu poštu (uključujući poštu sa Exchange 2016 i Exchange 2013 Edge Transport servera) na portu 25.

Odlazna pošta - od interne Exchange organizacije do Edge transportnog servera

25/TCP (SMTP)

Serveri poštanskih sandučića na pretplaćenoj lokaciji Active Directory

Odlazna pošta uvijek zaobilazi eksterni transportni servis na serverima poštanskih sandučića.

Pošta se prenosi sa usluge transporta na bilo kom serveru poštanskog sandučeta na pretplaćenoj lokaciji Active Directory na Edge Transport server koristeći implicitni i nevidljivi konektor za slanje unutar organizacije, koji automatski prosleđuje poštu između Exchange servera u istoj organizaciji.

Podrazumevani interni konektor za prijem " na Edge Transport serveru osluškuje SMTP poštu na portu 25 sa usluge transporta na bilo kom serveru poštanskog sandučeta na pretplaćenoj lokaciji Active Directory.

Odlazna pošta - sa Edge Transport servera na Internet

25/TCP (SMTP)

Edge Transport Server

Internet (sve)

Podrazumevani konektor za slanje se zove "EdgeSync - sa na Internet" prenosi odlaznu poštu na portu 25 sa Edge Transport servera na Internet.

EdgeSync sinhronizacija

50636/TCP (LDAP siguran)

Serveri poštanskih sandučića na pretplaćenoj lokaciji Active Directory koji učestvuju u EdgeSync sinhronizaciji

Edge transportni serveri

Ako je Edge transportni server pretplaćen na lokaciju Active Directory, svi serveri poštanskih sandučića koji trenutno postoje na lokaciji učestvuju u EdgeSync sinhronizaciji. Ali ako kasnije dodate druge servere poštanskog sandučeta, oni neće automatski učestvovati u EdgeSync sinhronizaciji.

DNS server za rezoluciju naziva sljedećeg skoka (nije prikazano na slici)

53/UDP, 53/TCP (DNS)

Edge Transport Server

DNS server

Pogledajte Rezolucija imena.

Otkrivanje otvorenog proxyja u reputaciji pošiljatelja (nije prikazano na slici)

Vidi bilješke

Edge Transport Server

Internet

Agent za analizu protokola podrazumevano koristi otkrivanje otvorenog proksija kao jedan od uslova za izračunavanje nivoa reputacije izvornog servera za razmenu poruka. Za više informacija pogledajte članak.

Sljedeći TCP portovi se koriste za provjeru izvornih servera za razmjenu poruka za otvoreni proxy:

Osim toga, ako vaša organizacija koristi proxy server za kontrolu odlaznog Internet prometa, morate odrediti ime, tip i TCP port proxy servera koji je potreban za pristup Internetu i otkrivanje otvorenog proxy servera.

Također možete onemogućiti otkrivanje otvorenog proksija.

Za više informacija pogledajte .

Za početak

Rezolucija imena

Rezolucija imena

Rezolucija DNS sledećeg skoka pošte je osnovni deo protoka pošte u bilo kojoj Exchange organizaciji. Exchange serveri odgovorni za primanje dolazne pošte ili isporuku odlazne pošte moraju biti u stanju da razriješe interna i eksterna imena hosta kako bi pravilno usmjerili poštu. Svi interni Exchange serveri moraju biti u stanju da razriješe interna imena hostova za pravilno usmjeravanje pošte. Ima ih mnogo na razne načine razvoj DNS infrastrukture, ali važan ishod je osiguranje ispravne rezolucije imena za sljedeći skok na svim Exchange serverima.



POVEZANI ČLANCI