Τυπικές θύρες ανταλλαγής. Αναφορά θυρών δικτύου ανταλλαγής. Δημιουργήστε ένα βιβλίο διευθύνσεων

Σε αυτό το άρθρο, θα μάθουμε πώς να διαμορφώνουμε στατικές θύρες RPC για τις υπηρεσίες RPC Client Access, Exchange Address Book και Public Folder Access στο Exchange 2010.

Φανταστείτε ότι έχουμε μια πολύπλοκη οργάνωση με Exchange Server 2010 SP1 (ή νεότερο), το οποίο περιλαμβάνει . Οι διακομιστές CAS βρίσκονται συνήθως σε ένα δίκτυο που χωρίζεται με τείχη προστασίας από τα δίκτυα από τα οποία αναμένεται να έχουν πρόσβαση οι χρήστες (δίκτυα Outlook). Η σύνδεση του προγράμματος-πελάτη του Outlook με τον διακομιστή CAS πραγματοποιείται μέσω RPC, πράγμα που σημαίνει ότι ενεργοποιείται επίπεδο δικτύουμπορεί να χρησιμοποιηθεί οποιαδήποτε θύρα στην περιοχή ελεύθερης θύρας. Δεν είναι μυστικό ότι σε Windows Server 2008 και 2008 R2 χρησιμοποιούν 49152-65535 ως δυναμικό εύρος θυρών για συνδέσεις RPC (προηγούμενο εκδόσεις WindowsΟ διακομιστής χρησιμοποίησε θύρες RPC στην περιοχή 1025-65535).

Για να μην γίνουν τα τείχη προστασίας "κόσκινο", είναι επιθυμητό να περιορίσετε το εύρος των θυρών RPC που χρησιμοποιούνται, ιδανικά κάνοντάς τες στατικές σε κάθε διακομιστή πρόσβασης πελάτη στη συστοιχία πρόσβασης πελάτη. Επιπλέον, η χρήση στατικών θυρών RPC σάς επιτρέπει να μειώσετε την κατανάλωση μνήμης σε εξισορροπητές φορτίου (ειδικά HLB) και να απλοποιήσετε τη διαμόρφωσή τους (δεν χρειάζεται να προσδιορίσετε μεγάλες περιοχές θυρών).

Στο Exchange 2010, η υπηρεσία RPC Client Access καθώς και η υπηρεσία Exchange Address Book μπορούν να οριστούν σε στατικές θύρες. Το Outlook επικοινωνεί με αυτές τις υπηρεσίες μέσω της διεπαφής MAPI.

Στατική θύρα για την υπηρεσία Exchange 2010 RPC Client Access

Η εικονική υπηρεσία Exchange 2010 RPC Client Access σχετίζεται με την υπηρεσία RPC Client Access στην οποία συνδέονται οι πελάτες MAPI του Outlook στο Exchange 2010. Όταν ένας πελάτης του Outlook συνδέεται στο Exchange, σε έναν διακομιστή Access Client Exchange 2010, η υπηρεσία RPC Client Access χρησιμοποιεί τη θύρα TCP End Point Mapper (TCP/135) και μια τυχαία θύρα από το εύρος δυναμικών θυρών RPC (6005-59530) για εισερχόμενα συνδέσεις

Για να ορίσετε μια στατική θύρα για την υπηρεσία RPC Client Access στο Exchange 2010, πρέπει να ανοίξετε την ενότητα στον επεξεργαστή μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Δημιουργήστε ένα νέο κλειδί με όνομα Σύστημα παραμέτρων, μέσα στο οποίο δημιουργείται μια παράμετρος τύπου REG_DWORDΜε όνομα Θύρα TCP/IP. Η ρύθμιση Θύρα TCP/IP καθορίζει μια στατική θύρα για την υπηρεσία RPC Client Access. Η τεκμηρίωση της Microsoft συνιστά την επιλογή μιας θύρας στην περιοχή 59531 - 60554 και τη χρήση αυτής της τιμής σε όλους τους διακομιστές CAS (καθορίσαμε τη θύρα 59532, φυσικά, δεν πρέπει να χρησιμοποιείται από κανένα άλλο λογισμικό).

Μετά τις εκχωρήσεις στατικών θυρών, πρέπει να επανεκκινήσετε την υπηρεσία Microsoft Exchange RPC Client Access για να τεθούν σε ισχύ οι αλλαγές.

Restart-Service MSExchangeRPC

Στατική θύρα για την υπηρεσία Βιβλίου διευθύνσεων Exchange 2010

Πριν από το SP1, το Exchange 2010 χρησιμοποιούσε ένα ειδικό αρχείο ρύθμισης παραμέτρων για να ορίσει τη στατική θύρα της υπηρεσίας Βιβλίου διευθύνσεων του Exchange 2010 Microsoft.exchange.addressbook.service.exe.config. Μετά την κυκλοφορία του Exchange 2010 SP1, μπορείτε να ορίσετε τη στατική θύρα αυτής της υπηρεσίας μέσω του μητρώου. Για να το κάνετε αυτό, ανοίξτε τον επεξεργαστή μητρώου και μεταβείτε στον κλάδο:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Δημιουργήστε μια νέα παράμετρο RpcTcpPort(τύπου REG_SZ) και δώστε του τον αριθμό θύρας που θέλετε να διορθώσετε για την υπηρεσία Exchange Address Book. Συνιστάται η χρήση οποιασδήποτε δωρεάν θύρας στην περιοχή 59531-60554 και στη συνέχεια η χρήση της σε όλους τους διακομιστές Exchange 2010 Client Access στον τομέα. Θα ορίσουμε RpcTcpPort=59533

Μετά από αυτό, πρέπει να επανεκκινήσετε την υπηρεσία Βιβλίο διευθύνσεων του Microsoft Exchange

Restart-Service MSExchangeAB

Σπουδαίος:Κατά τη μετεγκατάσταση από το Exchange 2010 RTM στο SP1, αυτό το κλειδί πρέπει να ρυθμιστεί με μη αυτόματο τρόπο, δεν κληρονομείται αυτόματα.

Ρύθμιση στατικής θύρας για σύνδεση σε κοινόχρηστους φακέλους

Η πρόσβαση σε δημόσιους φακέλους γίνεται απευθείας από ένα πρόγραμμα-πελάτη του Outlook μέσω της υπηρεσίας RPC Client Access σε έναν διακομιστή με το ρόλο Mailbox. Αυτή η ρύθμισηπρέπει να εκτελείται σε όλους τους διακομιστές με το ρόλο Mailbox που περιέχουν τη βάση δεδομένων κοινόχρηστους φακέλους(παρόμοια με τους διακομιστές CAS). Ανοίξτε τον επεξεργαστή μητρώου και μεταβείτε στο υποκατάστημα

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Δημιουργήστε ένα νέο κλειδί με όνομα Σύστημα παραμέτρων, μέσα στο οποίο δημιουργείται μια παράμετρος τύπου REG_DWORD με το όνομα Θύρα TCP/IP. Ορίστε την τιμή του: Θύρα TCP/IP = 59532.

Αφού ρυθμίσετε τη θύρα δημόσιου φακέλου στατικά, πρέπει να επανεκκινήσετε την υπηρεσία Microsoft Exchange RPC Client Access σε κάθε διακομιστή γραμματοκιβωτίου.

Επαληθεύστε τη χρήση στατικής θύρας μεταξύ του Outlook και του Exchange 2010

Αφού γίνουν οι αλλαγές, ελέγξτε ότι το Outlook συνδέεται με τις στατικές θύρες RPC που καθορίσαμε. Για να το κάνετε αυτό, στον υπολογιστή-πελάτη, επανεκκινήστε το Outlook και, στη συνέχεια, εισέλθετε γραμμή εντολώνεκτελέστε την εντολή:

Netstat -να

Εφαρμόζεται σε: Exchange Server 2010 SP1

Η ενότητα τροποποιήθηκε τελευταία: 2011-04-22

Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τις θύρες, τον έλεγχο ταυτότητας και την κρυπτογράφηση για όλες τις διαδρομές δεδομένων που χρησιμοποιούνται στον Microsoft Exchange Server 2010. Η ενότητα "Σημειώσεις" μετά από κάθε πίνακα διευκρινίζει ή ορίζει μη τυπικές μεθόδους ελέγχου ταυτότητας ή κρυπτογράφησης.

Διακομιστές μεταφοράς

Στο Exchange 2010, υπάρχουν δύο ρόλοι διακομιστή που εκτελούν λειτουργίες μεταφοράς μηνυμάτων: ένας διακομιστής Hub Transport και ένας διακομιστής Edge Transport.

Ο παρακάτω πίνακας παρέχει πληροφορίες σχετικά με τις θύρες, τον έλεγχο ταυτότητας και την κρυπτογράφηση διαδρομής δεδομένων μεταξύ αυτών των διακομιστών μεταφοράς και άλλων διακομιστών και υπηρεσιών του Exchange 2010.

Διαδρομές δεδομένων για διακομιστές μεταφοράς

Διαδρομή δεδομένων Απαιτούμενες θύρες Υποστήριξη κρυπτογράφησης

Μεταξύ δύο διακομιστών Hub Transport

Ναι, με TLS (Transport Layer Security)

Από διακομιστή Hub Transport σε διακομιστή Edge Transport

άμεση εμπιστοσύνη

άμεση εμπιστοσύνη

Ναι, χρησιμοποιώντας TLS

Από διακομιστή Edge Transport σε διακομιστή Hub Transport

άμεση εμπιστοσύνη

άμεση εμπιστοσύνη

Ναι, χρησιμοποιώντας TLS

Ανάμεσα σε δύο διακομιστές Edge Transport

Ανώνυμος, έλεγχος ταυτότητας πιστοποιητικού

Ανώνυμα, με πιστοποιητικό

Ναι, χρησιμοποιώντας TLS

Από τον διακομιστή γραμματοκιβώτιαμέσω της υπηρεσίας υποβολής αλληλογραφίας του Microsoft Exchange

NTLM. Εάν ο ρόλος διακομιστή Hub Transport και ο ρόλος διακομιστή γραμματοκιβωτίου εκτελούνται στον ίδιο διακομιστή, χρησιμοποιείται το πρωτόκολλο Kerberos.

Ναι, με χρήση κρυπτογράφησης RPC

Από διακομιστή Hub Transport σε διακομιστή Mailbox μέσω MAPI

NTLM. Εάν ο ρόλος διακομιστή Hub Transport και ο ρόλος διακομιστή γραμματοκιβωτίου είναι εγκατεστημένοι στον ίδιο διακομιστή, χρησιμοποιείται το πρωτόκολλο Kerberos.

Ναι, με χρήση κρυπτογράφησης RPC

Ναι, χρησιμοποιώντας TLS

Υπηρεσία Microsoft Exchange EdgeSync από διακομιστή Hub Transport σε διακομιστή Edge Transport

Ναι, χρήση LDAP μέσω SSL (LDAPS)

Πρόσβαση στο Active Directory από διακομιστή Hub Transport

Πρόσβαση στην υπηρεσία διαχείρισης δικαιωμάτων Active Directory (AD RMS) από διακομιστή Hub Transport

Ναι, με SSL

Πελάτες SMTP σε διακομιστή Hub Transport (για παράδειγμα, τελικοί χρήστες που χρησιμοποιούν Windows Live Mail)

Ναι, χρησιμοποιώντας TLS

Σημειώσεις για διακομιστές μεταφορών

  • Όλη η κίνηση μεταξύ των διακομιστών Hub Transport κρυπτογραφείται χρησιμοποιώντας την ασφάλεια επιπέδου μεταφοράς (TLS) και τα αυτο-υπογεγραμμένα πιστοποιητικά που έχουν εγκατασταθεί από το Exchange 2010 Setup.
  • Όλη η κίνηση μεταξύ των διακομιστών Edge Transport και των διακομιστών Hub Transport ελέγχεται και κρυπτογραφείται. Το αμοιβαίο TLS χρησιμοποιείται ως μηχανισμός ελέγχου ταυτότητας και κρυπτογράφησης. Αντί για επικύρωση X.509, το Exchange 2010 χρησιμοποιεί άμεση εμπιστοσύνη. Άμεση εμπιστοσύνη σημαίνει ότι η παρουσία ενός πιστοποιητικού στις υπηρεσίες καταλόγου Active Directory ή στις Υπηρεσίες καταλόγου Active Directory Lightweight (AD LDS) επαληθεύει τη γνησιότητα του πιστοποιητικού. Η υπηρεσία καταλόγου Active Directory θεωρείται αξιόπιστος μηχανισμός αποθήκευσης. Όταν χρησιμοποιείται άμεσο αξιόπιστο, δεν έχει σημασία αν χρησιμοποιείται πιστοποιητικό αυτο-υπογεγραμμένο ή πιστοποιητικό υπογεγραμμένο από ΑΠ. Όταν εγγράφεστε σε έναν διακομιστή Edge Transport σε έναν οργανισμό Exchange, το Edge Subscription δημοσιεύει το πιστοποιητικό του διακομιστή Edge Transport στην υπηρεσία καταλόγου Active Directory, έτσι ώστε οι διακομιστές Hub Transport να μπορούν να το επαληθεύσουν. Η υπηρεσία Microsoft Exchange EdgeSync προσθέτει ένα σύνολο πιστοποιητικών διακομιστή Hub Transport στις υπηρεσίες Active Directory Lightweight Directory Services (AD LDS), έτσι ώστε ο διακομιστής Edge Transport να μπορεί να τα επικυρώσει.
  • Το EdgeSync χρησιμοποιεί μια ασφαλή σύνδεση LDAP από έναν διακομιστή Hub Transport σε εγγεγραμμένους διακομιστές Edge Transport στη θύρα TCP 50636. Το Active Directory Lightweight Directory Services ακούει επίσης στη θύρα TCP 50389. Οι συνδέσεις σε αυτήν τη θύρα δεν χρησιμοποιούν SSL. Μπορείτε να χρησιμοποιήσετε βοηθητικά προγράμματα LDAP για να συνδεθείτε σε αυτήν τη θύρα και να ελέγξετε τα δεδομένα AD LDS.
  • Από προεπιλογή, η κίνηση μεταξύ διακομιστών Edge Transport που βρίσκονται σε δύο διαφορετικούς οργανισμούς είναι κρυπτογραφημένη. Το Exchange 2010 Setup δημιουργεί ένα αυτο-υπογεγραμμένο πιστοποιητικό και ενεργοποιεί το TLS από προεπιλογή. Αυτό επιτρέπει σε οποιοδήποτε σύστημα αποστολής να κρυπτογραφεί μια εισερχόμενη περίοδο λειτουργίας SMTP στο Exchange. Από προεπιλογή, το Exchange 2010 επιχειρεί επίσης να χρησιμοποιήσει το TLS για όλες τις απομακρυσμένες συνδέσεις.
  • Οι μέθοδοι ελέγχου ταυτότητας για την κυκλοφορία μεταξύ διακομιστών Hub Transport και διακομιστών Mailbox είναι διαφορετικές όταν οι ρόλοι του Hub Transport και του Mailbox είναι εγκατεστημένοι στον ίδιο υπολογιστή. Η τοπική μεταφορά αλληλογραφίας χρησιμοποιεί έλεγχο ταυτότητας Kerberos. Η απομακρυσμένη μεταφορά αλληλογραφίας χρησιμοποιεί έλεγχο ταυτότητας NTLM.
  • Το Exchange 2010 υποστηρίζει επίσης την ασφάλεια τομέα. Το Domain Security είναι ένα σύνολο λειτουργιών του Exchange 2010 και του Microsoft Outlook 2010 που παρέχουν μια εναλλακτική λύση χαμηλού κόστους στο S/MIME και άλλες λύσεις ασφάλειας ανταλλαγής μηνυμάτων Διαδικτύου. Η ασφάλεια τομέα παρέχει έναν τρόπο διαχείρισης ασφαλών διαδρομών επικοινωνίας μεταξύ τομέων στο Διαδίκτυο. Μόλις διαμορφωθούν αυτές οι ασφαλείς διαδρομές, τα μηνύματα που αποστέλλονται με επιτυχία μέσω αυτών από έναν πιστοποιημένο αποστολέα εμφανίζονται στους χρήστες του Outlook και του Outlook Web Access ως μηνύματα "προστατευμένα σε επίπεδο τομέα". Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Επισκόπηση ασφάλειας τομέα.
  • Πολλοί πράκτορες μπορούν να εκτελούνται τόσο σε διακομιστές Hub Transport όσο και σε διακομιστές Edge Transport. Τυπικά, παράγοντες προστασίας ανεπιθύμητη αλληλογραφίαχρησιμοποιήστε πληροφορίες τοπικός υπολογιστήςστο οποίο εκτελούνται. Έτσι, η αλληλεπίδραση με απομακρυσμένους υπολογιστές. Η εξαίρεση είναι το φιλτράρισμα παραλήπτη. Το φιλτράρισμα παραλήπτη απαιτεί κλήση AD LDS ή Active Directory. Συνιστούμε να πραγματοποιήσετε φιλτράρισμα παραληπτών σε διακομιστή Edge Transport. Σε αυτήν την περίπτωση, ο κατάλογος AD LDS βρίσκεται στον ίδιο υπολογιστή που έχει εγκατεστημένο τον ρόλο διακομιστή Edge Transport, επομένως δεν απαιτείται απομακρυσμένη σύνδεση. Εάν το φιλτράρισμα παραλήπτη είναι εγκατεστημένο και διαμορφωμένο σε διακομιστή Hub Transport, απαιτείται πρόσβαση στην υπηρεσία καταλόγου Active Directory.
  • Ο παράγοντας ανάλυσης πρωτοκόλλου χρησιμοποιείται από τη δυνατότητα Sender Reputation στο Exchange 2010. Αυτός ο πράκτορας συνδέεται επίσης με διάφορους εξωτερικούς διακομιστές μεσολάβησης για να προσδιορίσει διαδρομές εισερχόμενων μηνυμάτων για ύποπτες συνδέσεις.
  • Όλες οι άλλες λειτουργίες προστασίας από ανεπιθύμητα μηνύματα χρησιμοποιούν δεδομένα που συλλέγονται, αποθηκεύονται και είναι διαθέσιμα μόνο στον τοπικό υπολογιστή. Συνήθως, δεδομένα όπως η συνδυασμένη λίστα ασφαλών αποστολέων ή δεδομένα παραληπτών για φιλτράρισμα παραληπτών προωθούνται στον εσωτερικό κατάλογο AD LDS χρησιμοποιώντας την υπηρεσία Microsoft Exchange EdgeSync.
  • Οι πράκτορες διαχείρισης δικαιωμάτων πληροφοριών (IRM) σε διακομιστές Hub Transport συνδέονται με διακομιστές Active Directory Rights Management Services (AD RMS) στον οργανισμό. Η υπηρεσία διαχείρισης δικαιωμάτων καταλόγου Active Directory (AD RMS) είναι μια υπηρεσία ιστού που συνιστούμε να ασφαλίσετε με SSL. Οι συνδέσεις με διακομιστές AD RMS πραγματοποιούνται χρησιμοποιώντας HTTPS και επαληθεύονται χρησιμοποιώντας είτε Kerberos είτε NTLM, ανάλογα με τη διαμόρφωση του διακομιστή AD RMS.
  • Οι κανόνες καταγραφής, οι κανόνες μεταφοράς και οι κανόνες ταξινόμησης μηνυμάτων αποθηκεύονται στην υπηρεσία καταλόγου Active Directory και έχουν πρόσβαση από τον παράγοντα καταγραφής και τον παράγοντα Κανόνων μεταφοράς στους διακομιστές Hub Transport.

    Διακομιστές γραμματοκιβωτίου

    Στους διακομιστές γραμματοκιβωτίου, εάν χρησιμοποιείται έλεγχος ταυτότητας NTLM ή Kerberos εξαρτάται από το περιβάλλον χρήστη ή τη διαδικασία στην οποία εκτελείται ο καταναλωτής επιχειρηματικού επιπέδου λογικής του Exchange. Σε αυτό το πλαίσιο, καταναλωτές είναι οποιεσδήποτε εφαρμογές ή διεργασίες που χρησιμοποιούν το επίπεδο επιχειρηματικής λογικής του Exchange. Ως αποτέλεσμα, στη στήλη Προεπιλεγμένος έλεγχος ταυτότηταςτραπέζια Διαδρομές δεδομένων για διακομιστές γραμματοκιβωτίουπολλές σειρές έχουν μια τιμή NTLM/Kerberos.

    Το επίπεδο επιχειρηματικής λογικής του Exchange χρησιμοποιείται για πρόσβαση και αλληλεπίδραση με το κατάστημα Exchange. Το επίπεδο επιχειρηματικής λογικής του Exchange καλείται επίσης από το κατάστημα του Exchange για να αλληλεπιδράσει με εξωτερικές εφαρμογές και διαδικασίες.

    Όταν ένας καταναλωτής επιπέδου επιχειρηματικής λογικής Exchange εκτελείται στο περιβάλλον του τοπικού συστήματος, η μέθοδος ελέγχου ταυτότητας του καταναλωτή για την πρόσβαση στο κατάστημα Exchange είναι πάντα Kerberos. Χρησιμοποιείται η μέθοδος ελέγχου ταυτότητας Kerberos επειδή ο παραλήπτης πρέπει να πιστοποιηθεί χρησιμοποιώντας λογαριασμόςυπολογιστή "Τοπικό σύστημα" και απαιτεί αμφίδρομη εμπιστοσύνη με έλεγχο ταυτότητας.

    Εάν ο παραλήπτης επιπέδου επιχειρησιακής λογικής Exchange δεν εκτελείται στο πλαίσιο του τοπικού συστήματος, η μέθοδος ελέγχου ταυτότητας είναι NTLM. Για παράδειγμα, όταν ένας διαχειριστής εκτελεί ένα cmdlet του Exchange Management Shell που χρησιμοποιεί το επίπεδο επιχειρηματικής λογικής του Exchange, χρησιμοποιείται έλεγχος ταυτότητας NTLM.

    Η κίνηση RPC είναι πάντα κρυπτογραφημένη.

    Ο παρακάτω πίνακας παρέχει πληροφορίες σχετικά με τις θύρες, τον έλεγχο ταυτότητας και την κρυπτογράφηση διαδρομής δεδομένων για διακομιστές γραμματοκιβωτίου.

    Διαδρομές δεδομένων για διακομιστές γραμματοκιβωτίου

    Διαδρομή δεδομένων Απαιτούμενες θύρες Προεπιλεγμένος έλεγχος ταυτότητας Υποστηριζόμενη μέθοδος ελέγχου ταυτότητας Υποστήριξη κρυπτογράφησης Κρυπτογράφηση δεδομένων από προεπιλογή

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)

    Ναι, με χρήση κρυπτογράφησης Kerberos

    Απομακρυσμένη πρόσβαση διαχειριστή (απομακρυσμένο μητρώο)

    Ναι, χρησιμοποιώντας IPsec

    Απομακρυσμένη πρόσβαση διαχειριστή (SMB, αρχεία)

    Ναι, χρησιμοποιώντας IPsec

    Διαθεσιμότητα Υπηρεσία Ιστού (Πρόσβαση σε γραμματοκιβώτιο πελάτη)

    Ναι, με χρήση κρυπτογράφησης RPC

    Ομαδοποίηση

    Ναι, με χρήση κρυπτογράφησης RPC

    Μεταξύ διακομιστών πρόσβασης πελάτη (Exchange ActiveSync)

    80/TCP, 443/TCP (SSL)

    Kerberos, έλεγχος ταυτότητας πιστοποιητικού

    Ναι, με χρήση HTTPS

    Ναι, χρησιμοποιώντας ένα αυτο-υπογεγραμμένο πιστοποιητικό

    Μεταξύ διακομιστών πρόσβασης πελάτη (Outlook Web Access)

    80/TCP, 443/TCP (HTTPS)

    Ναι, με SSL

    Διακομιστής πρόσβασης πελάτη σε διακομιστή πρόσβασης πελάτη (Υπηρεσίες Ιστού Exchange)

    Ναι, με SSL

    Διακομιστής πρόσβασης πελάτη σε διακομιστή πρόσβασης πελάτη (POP3)

    Ναι, με SSL

    Διακομιστής πρόσβασης πελάτη σε διακομιστή πρόσβασης πελάτη (IMAP4)

    Ναι, με SSL

    Διακομιστής Office Communications σε διακομιστή πρόσβασης πελάτη (όταν είναι ενεργοποιημένη η ενσωμάτωση του Office Communications Server και του Outlook Web App)

    5075-5077/TCP (IN), 5061/TCP (OUT)

    mTLS (απαιτείται)

    mTLS (απαιτείται)

    Ναι, με SSL

    Σημειώσεις για διακομιστές πρόσβασης πελάτη

    Διακομιστές ενιαίο σύστημαμηνυμάτων

    Οι πύλες IP και τα IP PBX υποστηρίζουν μόνο έλεγχο ταυτότητας πιστοποιητικού, το οποίο χρησιμοποιεί έλεγχο ταυτότητας αμοιβαίου TLS για την κρυπτογράφηση της κυκλοφορίας SIP και έλεγχο ταυτότητας βάσει διεύθυνσης IP για συνδέσεις SIP ή TCP. Οι πύλες IP δεν υποστηρίζουν έλεγχο ταυτότητας NTLM και Kerberos. Επομένως, όταν χρησιμοποιείτε έλεγχο ταυτότητας βάσει διεύθυνσης IP, ο μηχανισμός ελέγχου ταυτότητας για μη κρυπτογραφημένες συνδέσεις (TCP) χρησιμοποιεί τις διευθύνσεις IP των συνδέσεων. Όταν χρησιμοποιείται στο Unified Messaging, ο έλεγχος ταυτότητας βάσει IP ελέγχει εάν επιτρέπεται να συνδεθεί η δεδομένη διεύθυνση IP. Η διεύθυνση IP διαμορφώνεται στην πύλη IP ή στο IP PBX.

    Οι πύλες IP και τα IP PBX υποστηρίζουν το Mutual TLS για κρυπτογράφηση της κυκλοφορίας SIP. Μετά την επιτυχή εισαγωγή και εξαγωγή των απαραίτητων αξιόπιστων πιστοποιητικών, η πύλη IP ή το IP PBX θα ζητήσει πιστοποιητικό από τον διακομιστή Unified Messaging και στη συνέχεια θα ζητήσει πιστοποιητικό από την πύλη IP ή το IP PBX. Η ανταλλαγή αξιόπιστων πιστοποιητικών μεταξύ της πύλης IP ή του IP PBX και του διακομιστή Unified Messaging επιτρέπει και στις δύο συσκευές να επικοινωνούν με ασφάλεια χρησιμοποιώντας το Mutual TLS.

    Ο παρακάτω πίνακας παρέχει πληροφορίες θύρας, ελέγχου ταυτότητας και κρυπτογράφησης για διαδρομές δεδομένων μεταξύ διακομιστών UM και άλλων διακομιστών.

    Διαδρομές δεδομένων για διακομιστές Unified Messaging

    Διαδρομή δεδομένων Απαιτούμενες θύρες Προεπιλεγμένος έλεγχος ταυτότητας Υποστηριζόμενη μέθοδος ελέγχου ταυτότητας Υποστήριξη κρυπτογράφησης Κρυπτογράφηση δεδομένων από προεπιλογή

    Πρόσβαση στην υπηρεσία καταλόγου Active Directory

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)

    Ναι, με χρήση κρυπτογράφησης Kerberos

    UM Dial-in (IP PBX/VoIP Gateway)

    5060/TCP, 5065/TCP, 5067/TCP (σε μη ασφαλή λειτουργία), 5061/TCP, 5066/TCP, 5068/TCP (σε ασφαλή λειτουργία), εύρος δυναμικής θύρας 16000-17000/TCP (διαχείριση), δυναμική UDP θύρες από το εύρος 1024-65535/UDP (RTP)

    Με διεύθυνση IP

    Με διεύθυνση IP, MTLS

    Ναι, με χρήση SIP/TLS, SRTP

    UM Web Service

    80/TCP, 443/TCP (SSL)

    Ενσωματωμένος έλεγχος ταυτότητας των Windows (Διαπραγμάτευση)

    Ναι, με SSL

    Από έναν ενοποιημένο διακομιστή ανταλλαγής μηνυμάτων σε έναν διακομιστή πρόσβασης πελάτη

    5075, 5076, 5077 (TCP)

    Ενσωματωμένος έλεγχος ταυτότητας των Windows (Διαπραγμάτευση)

    Basic, Digest, NTLM, Negotiate (Kerberos)

    Ναι, με SSL

    Διακομιστής UM σε διακομιστή πρόσβασης πελάτη (Αναπαραγωγή στο τηλέφωνο)

    Δυναμικό RPC

    Ναι, με χρήση κρυπτογράφησης RPC

    Από διακομιστή Unified Messaging σε διακομιστή Hub Transport

    Ναι, χρησιμοποιώντας TLS

    Από έναν ενοποιημένο διακομιστή ανταλλαγής μηνυμάτων σε έναν διακομιστή γραμματοκιβωτίου

    Ναι, με χρήση κρυπτογράφησης RPC

    Σημειώσεις για ενοποιημένους διακομιστές μηνυμάτων

    • Όταν δημιουργείτε ένα αντικείμενο πύλης IP UM στην υπηρεσία καταλόγου Active Directory, πρέπει να ορίσετε τη διεύθυνση IP της φυσικής πύλης IP ή του IP PBX. Όταν προσδιορίζετε τη διεύθυνση IP του αντικειμένου πύλης UM IP, η διεύθυνση IP προστίθεται στη λίστα των έγκυρων πυλών IP ή των IP PBX (γνωστά και ως συμμετέχοντες σε περίοδο λειτουργίας SIP) με τα οποία επιτρέπεται να επικοινωνεί ο διακομιστής UM. Αφού δημιουργήσετε μια πύλη IP UM, μπορείτε να τη συσχετίσετε με ένα σχέδιο κλήσης UM. Η αντιστοίχιση μιας πύλης IP UM σε ένα σχέδιο κλήσης επιτρέπει στους διακομιστές UM που έχουν αντιστοιχιστεί σε ένα σχέδιο κλήσης να χρησιμοποιούν έλεγχο ταυτότητας βάσει διεύθυνσης IP για να επικοινωνούν με την πύλη IP. Εάν η πύλη IP UM δεν έχει δημιουργηθεί ή ρυθμιστεί ώστε να χρησιμοποιεί τη σωστή διεύθυνση IP, ο έλεγχος ταυτότητας θα αποτύχει και οι διακομιστές UM δεν θα δέχονται συνδέσεις από τη διεύθυνση IP αυτής της πύλης IP. Επιπλέον, εάν εφαρμόζετε το Mutual TLS, μια πύλη IP ή IP PBX και διακομιστές Unified Messaging, η πύλη IP UM πρέπει να ρυθμιστεί ώστε να χρησιμοποιεί ένα πλήρως αναγνωρισμένο όνομα τομέα (FQDN). Αφού διαμορφώσετε μια πύλη IP UM χρησιμοποιώντας το FQDN, πρέπει επίσης να προσθέσετε μια εγγραφή κεντρικού υπολογιστή για την πύλη στη ζώνη αναζήτησης προς τα εμπρός DNS.
    • Στο Exchange 2010, ο διακομιστής Unified Messaging μπορεί να επικοινωνεί στη θύρα 5060/TCP (μη ασφαλής) ή στη θύρα 5061/TCP (ασφαλής) και μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί και τις δύο θύρες.

    Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Κατανόηση της ασφάλειας και της κατανόησης πρωτοκόλλων, θυρών και υπηρεσιών UM VoIP στο Unified Messaging .

    Κανόνες Τείχος προστασίας των Windowsδημιουργήθηκε από το Exchange 2010 Setup

    Το τείχος προστασίας των Windows με προηγμένη ασφάλεια είναι ένα κρατικό τείχος προστασίας που βασίζεται σε υπολογιστή που φιλτράρει την εισερχόμενη και εξερχόμενη κυκλοφορία βάσει κανόνων τείχους προστασίας. Το πρόγραμμα εγκατάστασης του Exchange 2010 δημιουργεί κανόνες του τείχους προστασίας των Windows για να ανοίξει τις θύρες που απαιτούνται για την επικοινωνία διακομιστή και πελάτη σε κάθε ρόλο διακομιστή. Επομένως, δεν χρειάζεται πλέον να χρησιμοποιείτε το SCW για να διαμορφώσετε αυτές τις ρυθμίσεις. Για περισσότερες πληροφορίες σχετικά με το Τείχος προστασίας των Windows με προηγμένη ασφάλεια, ανατρέξτε στην ενότητα Τείχος προστασίας των Windows με προηγμένη ασφάλεια και IPsec.

    Ο παρακάτω πίνακας παραθέτει τους κανόνες του τείχους προστασίας των Windows, που δημιουργείται από το πρόγραμμαΕγκαταστάσεις Exchange, συμπεριλαμβανομένων των θυρών που είναι ανοιχτές σε κάθε ρόλο διακομιστή. Μπορείτε να δείτε αυτούς τους κανόνες χρησιμοποιώντας το συμπληρωματικό πρόγραμμα Τείχος προστασίας των Windows με προηγμένη ασφάλεια MMC.

    Όνομα κανόνα Ρόλοι διακομιστή Λιμάνι Πρόγραμμα

    MSExchangeADTopology - RPC (εισερχόμενη TCP)

    Δυναμικό RPC

    Bin\MSExchangeADTopologyService.exe

    MSExchangeMonitoring - RPC (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη, διακομιστής μεταφοράς διανομέων, διακομιστής μεταφοράς Edge, διακομιστής ενοποιημένης ανταλλαγής μηνυμάτων

    Δυναμικό RPC

    Bin\Microsoft.Exchange.Management.Monitoring.exe

    MSExchangeServiceHost - RPC (εισερχόμενη TCP)

    Δυναμικό RPC

    Bin\Microsoft.Exchange.ServiceHost.exe

    MSExchangeServiceHost - RPCEPMap (Είσοδος TCP)

    Bin\Microsoft.Exchange.Service.Host

    MSExchangeRPCEPMap (GFW) (εισερχόμενη TCP)

    MSExchangeRPC (GFW) (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη, διακομιστής μεταφοράς κόμβου, διακομιστής γραμματοκιβωτίου, διακομιστής ενοποιημένης ανταλλαγής μηνυμάτων

    Δυναμικό RPC

    MSExchange - IMAP4 (GFW) (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    MSExchangeIMAP4 (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

    MSExchange - POP3 (FGW) (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    MSExchange - POP3 (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

    MSExchange - OWA (GFW) (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    5075, 5076, 5077 (TCP)

    MSExchangeOWAAppPool (TCP-in)

    Διακομιστής πρόσβασης πελάτη

    5075, 5076, 5077 (TCP)

    inetsrv\w3wp.exe

    MSExchangeAB RPC (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    Δυναμικό RPC

    MSExchangeAB-RPCEPMap (TCP-in)

    Διακομιστής πρόσβασης πελάτη

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    MSExchangeAB-RpcHttp (TCP-in)

    Διακομιστής πρόσβασης πελάτη

    6002, 6004 (TCP)

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    RpcHttpLBS (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    Δυναμικό RPC

    System32\Svchost.exe

    MSExchangeRPC - RPC (εισερχόμενη TCP)

    Δυναμικό RPC

    MSExchangeRPC - PRCEPMap (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη, διακομιστής γραμματοκιβωτίου

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeRPC (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη, διακομιστής γραμματοκιβωτίου

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeMailboxReplication (GFW) (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    MSExchangeMailboxReplication (εισερχόμενη TCP)

    Διακομιστής πρόσβασης πελάτη

    Bin\MSExchangeMailboxReplication.exe

    MSExchangeIS - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    MSExchangeIS RPCEPMap (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    MSExchangeIS (GFW) (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    6001, 6002, 6003, 6004 (TCP)

    MSExchangeIS (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    MSExchangeMailbox Assistants - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    MSExchangeMailbox Assistants - RPCEPMap (Εισερ. TCP)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeMailboxAssistants.exe

    MSExchangeMailSubmission - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    MSExchangeMailSubmission - RPCEPMap (Εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeMailSubmission.exe

    MSExchangeMigration - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    Bin\MSExchangeMigration.exe

    MSExchangeMigration - RPCEPMap (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeMigration.exe

    MSExchangerepl - Αντιγραφικό αρχείου καταγραφής (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC-EPMap (TCP-in)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeRepl.exe

    MSExchangeSearch - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    Bin\Microsoft.Exchange.Search.ExSearch.exe

    MSExchangeThrottling - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    Bin\MSExchangeThrottling.exe

    MSExchangeThrottling - RPCEPMap (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeThrottling.exe

    MSFTED - RPC (εισερχόμενη TCP)

    Διακομιστής γραμματοκιβωτίου

    Δυναμικό RPC

    MSFTED - RPCEPMap (TCP-in)

    Διακομιστής γραμματοκιβωτίου

    MSExchangeEdgeSync - RPC (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    Δυναμικό RPC

    MSExchangeEdgeSync RPCEPMap (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    Bin\Microsoft.Exchange.EdgeSyncSvc.exe

    MSExchangeTransportWorker - RPC (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    Δυναμικό RPC

    Bin\edgetransport.exe

    MSExchangeTransportWorker - RPCEPMap (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    Bin\edgetransport.exe

    MSExchangeTransportWorker (GFW) (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    MSExchangeTransportWorker (εισερχόμενη TCP)

    Διακομιστής μεταφοράς κόμβου

    Bin\edgetransport.exe

    MSExchangeTransportLogSearch - RPC (εισερχόμενη TCP)

    Δυναμικό RPC

    MSExchangeTransportLogSearch - RPCEPMap (εισερχόμενη TCP)

    Διακομιστής Hub Transport, διακομιστής Edge Transport, διακομιστής γραμματοκιβωτίου

    Bin\MSExchangeTransportLogSearch.exe

    SESWorker (GFW) (TCP-in)

    Ενοποιημένος διακομιστής μηνυμάτων

    SESWorker (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    UnifiedMessaging\SESWorker.exe

    UMService (GFW) (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    UMService (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    Bin\UMService.exe

    UMWorkerProcess (GFW) (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    5065, 5066, 5067, 5068

    UMWorkerProcess (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    5065, 5066, 5067, 5068

    Bin\UMWorkerProcess.exe

    UMWorkerProcess - RPC (εισερχόμενη TCP)

    Ενοποιημένος διακομιστής μηνυμάτων

    Δυναμικό RPC

    Bin\UMWorkerProcess.exe

    Σημειώσεις σχετικά με τους κανόνες του τείχους προστασίας των Windows που δημιουργήθηκαν από το πρόγραμμα εγκατάστασης του Exchange 2010

    • Σε διακομιστές με εγκατεστημένο τις υπηρεσίες IIS, τα Windows ανοίγουν θύρες HTTP (θύρα 80, TCP) και HTTPS (θύρα 443, TCP). Το πρόγραμμα εγκατάστασης του Exchange 2010 δεν ανοίγει αυτές τις θύρες. Επομένως, αυτές οι θύρες δεν αναφέρονται στον προηγούμενο πίνακα.
    • Στον Windows Server 2008 και στον Windows Server 2008 R2, το Τείχος προστασίας των Windows με προηγμένη ασφάλεια σάς επιτρέπει να καθορίσετε μια διαδικασία ή μια υπηρεσία για την οποία είναι ανοιχτή μια θύρα. Αυτό είναι πιο ασφαλές επειδή η θύρα μπορεί να χρησιμοποιηθεί μόνο από τη διαδικασία ή την υπηρεσία που καθορίζεται στον κανόνα. Το Exchange Setup δημιουργεί κανόνες τείχους προστασίας με το καθορισμένο όνομα διεργασίας. Σε ορισμένες περιπτώσεις, για λόγους συμβατότητας, δημιουργείται επίσης ένας πρόσθετος κανόνας που δεν περιορίζεται σε αυτή τη διαδικασία. Μπορείτε να απενεργοποιήσετε ή να καταργήσετε κανόνες χωρίς περιορισμούς διεργασιών και να διατηρήσετε τους αντίστοιχους κανόνες περιορισμένης διαδικασίας, εάν τους υποστηρίζει το τρέχον περιβάλλον ανάπτυξης. Οι κανόνες που δεν περιορίζονται σε διαδικασίες μπορούν να διακριθούν από τη λέξη (GFW)στο όνομα του κανόνα.
    • Πολλές υπηρεσίες Exchange χρησιμοποιούν κλήσεις απομακρυσμένης διαδικασίας (RPC) για την επικοινωνία. Οι διεργασίες διακομιστή που χρησιμοποιούν κλήσεις απομακρυσμένης διαδικασίας συνδέονται με τη χαρτογράφηση τελικών σημείων RPC για να λάβουν δυναμικά τελικά σημεία και να τα καταχωρήσουν στη βάση δεδομένων αντιστοίχισης τελικών σημείων. Οι πελάτες RPC αλληλεπιδρούν με το RPC Endpoint Mapper για να προσδιορίσουν τα τελικά σημεία που χρησιμοποιούνται από τη διαδικασία διακομιστή. Από προεπιλογή, το RPC Endpoint Mapper ακούει στη θύρα 135 (TCP). Όταν ρυθμίζετε το Τείχος προστασίας των Windows για μια διαδικασία που χρησιμοποιεί κλήσεις απομακρυσμένης διαδικασίας, το πρόγραμμα εγκατάστασης του Exchange 2010 δημιουργεί δύο κανόνες τείχους προστασίας για αυτήν τη διαδικασία. Ένας κανόνας επιτρέπει την επικοινωνία με τον αντιστοιχιστή τελικού σημείου RPC και ο δεύτερος κανόνας επιτρέπει την επικοινωνία με ένα δυναμικά εκχωρημένο τελικό σημείο. Για περισσότερες πληροφορίες σχετικά με τις κλήσεις απομακρυσμένης διαδικασίας, ανατρέξτε στο άρθρο. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία κανόνων του τείχους προστασίας των Windows για κλήση δυναμικής απομακρυσμένης διαδικασίας, ανατρέξτε στο άρθρο.

      Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο 179442 της Γνωσιακής Βάσης της Microsoft

www.microsoft.com

Αρθρο Exchange 2013 Front End Service Transportείναι το πρώτο σε μια σειρά άρθρων που καλύπτει τον τρόπο λειτουργίας των υπηρεσιών μεταφοράς του Exchange Server 2013. Αυτό το άρθρο θα επικεντρωθεί σε Υπηρεσία μεταφορών Front Endσε διακομιστές πρόσβασης πελάτη.

Στην έκδοση του 2013 του διακομιστή Exchange, υπήρξαν αρκετά ισχυρές αλλαγές στην αρχιτεκτονική και τώρα υπάρχουν μόνο δύο κύριοι ρόλοι - ο διακομιστής γραμματοκιβωτίου (Διακομιστής γραμματοκιβωτίου ή MBX για συντομία) και ο διακομιστής πρόσβασης πελάτη (Client Access Server - CAS). Ο ρόλος του διακομιστή Edge Transport είναι ξεχωριστός. Υπηρεσία Exchange 2013 Front End Transportβρίσκεται σε διακομιστές CAS και λειτουργεί ως διακομιστής μεσολάβησης.

Αυτό είναι το πρώτο άρθρο μιας σειράς σχετικά με τον τρόπο λειτουργίας των υπηρεσιών αγωγών μεταφορών Exchange 2013, αλλά εδώ είναι η πλήρης λίστα:

Καθώς και άρθρα σχετικά με τη διαχείριση της καταγραφής αυτών των υπηρεσιών:

Μην ξεχνάτε την επίσημη τεκμηρίωση.

Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τη διαμόρφωση και τη διαχείριση του Exchange 2013 στο ιστολόγιό μου στο κύριο θέμα του άρθρου -.

Τυχαίνει ότι υπάρχουν τώρα αρκετές υπηρεσίες μεταφοράς στο Exchange 2013 που έχουν παρόμοια ονόματα αλλά είναι θεμελιωδώς διαφορετικές ως προς τον σκοπό και τον τρόπο λειτουργίας τους. Εδώ είναι όλες αυτές οι υπηρεσίες:

  • Υπηρεσία μεταφορών Front Endσε διακομιστές πρόσβασης πελάτη (το εμφανιζόμενο όνομα είναι Microsoft Exchange FrontEnd Transport, συντομογραφία MSExchangeFrontEndTransport).
  • Υπηρεσία μεταφοράςσε διακομιστές γραμματοκιβωτίου (το εμφανιζόμενο όνομα είναι Microsoft Exchange Transport, συντομογραφία MSExchangeTransport).
  • Υπηρεσία μεταφοράς γραμματοκιβωτίουσε διακομιστές γραμματοκιβωτίου (Πραγματικά περιλαμβάνει δύο υπηρεσίες - Microsoft Exchange Mailbox Transport Delivery και Microsoft Exchange Mailbox Transport Submission, συντομευμένα ονόματα - MSExchangeDelivery και MSExchangeSubmission, αντίστοιχα).
  • Υπηρεσία μεταφοράς σε διακομιστές Edge Transport (το εμφανιζόμενο όνομα είναι Microsoft Exchange Transport, συντομογραφία MSExchangeTransport).

Ταυτόχρονα, μόνο η δεύτερη και η τέταρτη υπηρεσία εκτελούν συγκρίσιμες λειτουργίες, οι υπόλοιπες διαφέρουν θεμελιωδώς. Όλοι μαζί σχηματίζουν τον αγωγό μεταφοράς, ο οποίος είναι η καρδιά του διακομιστή αλληλογραφίας.

μεταφορέας μεταφοράς

Σε γενικές γραμμές, ο αγωγός μεταφοράς μοιάζει με αυτό:

Στο πλαίσιο αυτού του άρθρου, μας ενδιαφέρει το πάνω μέρος της εικόνας, το οποίο δείχνει τον διακομιστή πρόσβασης πελάτη:

Υπάρχει μια απόχρωση σε αυτό το σχήμα. Το γεγονός είναι ότι, από προεπιλογή, οι διακομιστές MBX μπορούν να στείλουν ανεξάρτητα αλληλογραφία μέσω της θύρας 25 SMTP. Για να διασφαλίσετε ότι μια εφαρμογή σύνδεσης αποστολής στέλνει πάντα αλληλογραφία στο Διαδίκτυο μέσω διακομιστών πρόσβασης πελάτη, πρέπει να ορίσετε ρητά την παράμετρο σύνδεσης αποστολής σε FrontendProxy Enabledσε νόημα $αλήθεια(ή στην ΑΗΚ επιλέξτε το πλαίσιο Διακομιστής μεσολάβησης μέσω του διακομιστή πρόσβασης πελάτηστις ιδιότητες της σύνδεσης Send). Από αυτή τη διαμόρφωση θα βασιστώ στο μέλλον.

Παρακάτω θα προσπαθήσω να δώσω κάποια σαφήνεια στην αρχή της λειτουργίας. Exchange 2013 διακομιστών με το ρόλο CAS.

Αρχή λειτουργίας

Μπροστινή Μεταφορά(στην ορολογία της Microsoft - Υπηρεσία μεταφορών Front End) δεν επεξεργάζεται περιεχόμενο μηνυμάτων, δεν χρησιμοποιεί ουρά μηνυμάτων και δεν αλληλεπιδρά με την υπηρεσία μεταφοράς γραμματοκιβωτίου. Με άλλα λόγια, οι διακομιστές Exchange 2013 με μόνο το ρόλο CAS δεν αποθηκεύουν δεδομένα ούτε μόνιμα (χρησιμοποιώντας μια βάση δεδομένων) ούτε προσωρινά (σε μια ουρά επεξεργασίας μηνυμάτων).

Ωστόσο, η υπηρεσία Front End Transport έχει τους δικούς της μεταφορικούς πράκτορες (βλ. εικόνα - Protocol Agents). Οι πράκτορες σάς επιτρέπουν να επεκτείνετε τη λειτουργικότητα ενός διακομιστή αλληλογραφίας Exchange προσθέτοντας προσαρμοσμένο κώδικα στη λογική επεξεργασίας μηνυμάτων. Οι πράκτορες καλούνται όταν συμβαίνουν συμβάντα SMTP. Αυτά τα συμβάντα, με τη σειρά τους, δημιουργούνται σε ένα ή άλλο στάδιο της επεξεργασίας μηνυμάτων καθώς περνούν μέσα από τον αγωγό μεταφοράς. Αξίζει να σημειωθεί ότι οι περισσότεροι από τους πράκτορες που υπάρχουν από προεπιλογή είναι κρυφοί ή δεν μπορούν να ελεγχθούν οι ρυθμίσεις τους. Η λειτουργικότητα των πρακτόρων σε διακομιστές CAS είναι αρκετά περιορισμένη και είναι πλήρως παρούσα μόνο για τους ρόλους MBX και Edge.

Αποστολή και λήψη υποδοχών

Στο διάγραμμα (βλέπε παραπάνω) Υπηρεσία μεταφορών Front Endσυμβολίζουμε τον διακομιστή πρόσβασης πελάτη σε κάθε εισερχόμενο και εξερχόμενη σύνδεσηαντίστοιχη θύρα, με αποτέλεσμα την ακόλουθη αναπαράσταση:

Μια ξεχωριστή υποδοχή λήψης είναι υπεύθυνη για την ακρόαση των συνδέσεων σε κάθε θύρα που υποδεικνύεται στο διάγραμμα, από τα οποία τρία κομμάτια δημιουργούνται από προεπιλογή όταν εγκατασταθεί ο ρόλος CAS:

Εκτός από τις συνδέσεις που είναι ορατές και προσβάσιμες στον διαχειριστή, υπάρχουν επίσης κρυφές συνδέσεις αποστολής συστήματος:

  • Εσωτερική σύνδεση αποστολής εισερχόμενου διακομιστή μεσολάβησης (SMTP 25/2525 in )
  • Client Proxy Send Connector (λήφθηκε SMTP στη θύρα 587 in Υπηρεσία μεταφοράς σε διακομιστές γραμματοκιβωτίουστη θύρα 465)

Παρεμπιπτόντως, ο πρώτος σύνδεσμος στη ρωσική έκδοση του Exchange Server 2013 θα έχει το όνομα Εσωτερική υποδοχή αποστολής για είσοδο. συν. διακομιστές μεσολάβησηςκαι δεύτερον - Υποδοχή αποστολής διακομιστή μεσολάβησης πελάτη. Αυτό είναι για κάθε ενδεχόμενο, για να μην προκληθεί λήθαργος στην πρώτη συνάντηση με αυτούς τους συνδέσμους.

Ως αποτέλεσμα, έχουμε τον ακόλουθο πλήρη πίνακα:

Ονομα Σκοπός Λιμάνι Κατεύθυνση
Προεπιλεγμένο Frontend Ρεσεψιόν 25 Από εξωτερικούς διακομιστές
Outbound Proxy Frontend Ρεσεψιόν 717 Από διακομιστές MBX
Frontend πελάτη Ρεσεψιόν 587 Από εξωτερικούς πελάτες, ασφαλής σύνδεση
Εφαρμογή σύνδεσης αποστολής διακομιστή μεσολάβησης πελάτη Αποστολή 465 Σε διακομιστές MBX
Εισερχόμενος διακομιστής μεσολάβησης Εσωτερική σύνδεση αποστολής Αποστολή 25/2525 Σε διακομιστές MBX. Αποδεκτές μόνο συνδέσεις στη θύρα 587
Δημιουργία σύνδεσης αποστολής με μη αυτόματο τρόπο Αποστολή 25 Σε εξωτερικούς διακομιστές

Ας μεταφέρουμε τα ονόματα των συνδέσμων στο διάγραμμα Υπηρεσία μεταφορών Front End.

Exchange Server και Firewalls

Τείχη προστασίας (firewalls) για διακομιστές αλληλογραφίας (Exchange Server), θύρες διακομιστή αλληλογραφίας, διακομιστές αλληλογραφίας front-end και back-end, εικονικούς διακομιστές SMTP, POP3, IMAP4

Όπως κάθε υπολογιστής που είναι συνδεδεμένος στο Διαδίκτυο, ο υπολογιστής που φιλοξενεί τον διακομιστή αλληλογραφίας πρέπει να προστατεύεται με τείχος προστασίας. Ταυτόχρονα, οι επιλογές για την εγκατάσταση ενός διακομιστή αλληλογραφίας όσον αφορά τη διαμόρφωση δικτύου μπορεί να είναι πολύ διαφορετικές:

· Η απλούστερη επιλογή είναι να εγκαταστήσετε έναν διακομιστή αλληλογραφίας σε έναν υπολογιστή που είναι επίσης διακομιστής μεσολάβησης/τείχος προστασίας και στη συνέχεια να ανοίξετε τις απαραίτητες θύρες στη διεπαφή που βλέπει στο Διαδίκτυο. Συνήθως, αυτό το σχήμα χρησιμοποιείται σε μικρούς οργανισμούς.

Μια άλλη επιλογή είναι να εγκαταστήσετε τον διακομιστή αλληλογραφίας τοπικό δίκτυοκαι ρυθμίστε το ώστε να λειτουργεί μέσω διακομιστή μεσολάβησης. Για να το κάνετε αυτό, μπορείτε να συνδέσετε τη δημόσια ip στον διακομιστή αλληλογραφίας και να τη περάσετε μέσω ενός διακομιστή μεσολάβησης ή να χρησιμοποιήσετε εργαλεία αντιστοίχισης θυρών στον διακομιστή μεσολάβησης. Πολλοί διακομιστές μεσολάβησης έχουν ειδικούς οδηγούς ή προκαθορισμένους κανόνες για την οργάνωση μιας τέτοιας λύσης (για παράδειγμα, στον ISA Server). Αυτή η επιλογή χρησιμοποιείται στους περισσότερους οργανισμούς.

· Μια άλλη θεμελιώδης δυνατότητα είναι να δημιουργήσετε ένα DMZ και να το τοποθετήσετε σε αυτό τον κεντρικό διακομιστή Exchange (μια τέτοια δυνατότητα έχει εμφανιστεί από την έκδοση 2000) ή το SMTP Relay που βασίζεται σε άλλο διακομιστή Exchange ή, για παράδειγμα, το sendmail στο *nix. Συνήθως χρησιμοποιείται σε δίκτυα μεγάλων οργανισμών.

Σε κάθε περίπτωση, ο διακομιστής αλληλογραφίας πρέπει να διασφαλίζει την επικοινωνία τουλάχιστον στη θύρα TCP 25 (SMTP) και στη θύρα UDP 53 (DNS). Άλλες θύρες που μπορεί να απαιτούνται από τον Exchange Server ανάλογα με τη διαμόρφωση του δικτύου σας (όλα τα TCP):

80 HTTP - για πρόσβαση στη διεπαφή Ιστού (OWA)

· 88 Πρωτόκολλο ελέγχου ταυτότητας Kerberos - εάν χρησιμοποιείται έλεγχος ταυτότητας Kerberos (σπάνια).

· 102 υποδοχή MTA .X .400 μέσω TCP /IP (εάν η υποδοχή X .400 χρησιμοποιείται για επικοινωνία μεταξύ ομάδων δρομολόγησης).

· 110 Post Office Protocol 3 (POP 3) - για πρόσβαση πελάτη.

· 119 Πρωτόκολλο μεταφοράς ειδήσεων δικτύου (NNTP) - εάν χρησιμοποιούνται ομάδες συζητήσεων.

135 Επικοινωνία πελάτη/διακομιστή Διαχείριση RPC Exchange - τυπική θύρα RPC για απομακρυσμένη διαχείριση Exchange τυπικά μέσαδιαχειριστής συστήματος·

· 143 Πρωτόκολλο πρόσβασης μηνυμάτων Διαδικτύου (IMAP) -για πρόσβαση πελατών·

· 389 LDAP - για πρόσβαση στην υπηρεσία καταλόγου.

· 443 HTTP (Secure Sockets Layer (SSL)) (και κάτω) - τα ίδια πρωτόκολλα που προστατεύονται από SSL.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 και 3269 - αιτήματα στον διακομιστή καθολικού καταλόγου (αναζήτηση στην υπηρεσία καταλόγου Active Directory και έλεγχος συμμετοχής σε καθολικές ομάδες).

Δεν έχει νόημα να κλείσετε τη διεπαφή του Exchange Server που βλέπει μέσα στον οργανισμό με ένα τείχος προστασίας - θα χρησιμοποιηθεί για αλληλεπίδραση με ελεγκτές τομέα, βοηθητικά προγράμματα διαχείρισης, συστήματα Κρατήστε αντίγραφοκαι ούτω καθεξής. Για μια διεπαφή που είναι εκτεθειμένη στο Διαδίκτυο, συνιστάται να αφήσετε τις θύρες 53 (εάν το Exchange θα επιλύσει το ίδιο τα ονόματα κεντρικών υπολογιστών και όχι θα προωθήσει αιτήματα σε τοπικός διακομιστής DNS) και 25. Πολύ συχνά, οι πελάτες πρέπει να έχουν πρόσβαση στα γραμματοκιβώτιά τους από έξω (από το σπίτι, κατά τη διάρκεια ενός επαγγελματικού ταξιδιού κ.λπ.). Η καλύτερη λύση σε αυτήν την περίπτωση είναι να ρυθμίσετε το OWA (τη διεπαφή ιστού για πρόσβαση στον Exchange Server, η οποία είναι εγκατεστημένη από προεπιλογή, διαθέσιμη στη διεύθυνση http://server_name/exchange) ώστε να λειτουργεί μέσω SSL και να επιτρέπεται η πρόσβαση μόνο στη θύρα 443. Επιπλέον Η επίλυση προβλημάτων με τον ασφαλή έλεγχο ταυτότητας και την κρυπτογράφηση μηνυμάτων επιλύει αυτόματα το πρόβλημα με το SMTP Relay (περισσότερα για αυτό αργότερα) και την κατάσταση όταν ένας χρήστης κατεβάζει κατά λάθος ένα λειτουργικό ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗγια την αποστολή φακέλων προγράμματος-πελάτη οικιακός υπολογιστής, και στη συνέχεια στη δουλειά δεν μπορεί να βρει αυτά τα μηνύματα (για να μην αναφέρουμε το γεγονός ότι η αποθήκευση αλληλογραφίας εργασίας στο σπίτι αποτελεί παραβίαση ασφαλείας).

Μια νέα δυνατότητα εισήχθη στον Exchange Server. από την έκδοση 2000, η ​​δυνατότητα χρήσης πολλαπλών εικονικών διακομιστών SMTP και POP3 με διαφορετικές ρυθμίσεις ασφαλείας. Για παράδειγμα, ο διακομιστής SMTP που επικοινωνεί με το Διαδίκτυο μπορεί να ρυθμιστεί για βελτιωμένη ασφάλεια και αυστηρούς περιορισμούς παράδοσης, ενώ ο διακομιστής SMTP που χρησιμοποιούν οι χρήστες εντός του οργανισμού μπορεί να διαμορφωθεί για μέγιστη απόδοση και φιλικότητα προς το χρήστη.

Είναι επίσης απαραίτητο να αναφέρουμε μια ορισμένη σύγχυση στην ορολογία - πολύ συχνά τα τείχη προστασίας για το Exchange ονομάζονται συστήματα φιλτραρίσματος μηνυμάτων, τα οποία θα συζητηθούν παρακάτω.

[Αυτό το άρθρο είναι ένα προκαταρκτικό έγγραφο και υπόκειται σε αλλαγές σε μελλοντικές εκδόσεις. Οι κενές ενότητες περιλαμβάνονται ως σύμβολα κράτησης θέσης. Εάν θέλετε να γράψετε μια κριτική, θα χαρούμε να τη λάβουμε. Στείλτε μας στο διεύθυνση ηλεκτρονικού ταχυδρομείου [email προστατευμένο]]

Εφαρμόζεται σε: Exchange Server 2016

Πληροφορίες σχετικά με τις θύρες δικτύου που χρησιμοποιεί το Exchange 2016 για πρόσβαση πελάτη και ροή αλληλογραφίας.

Αυτό το θέμα παρέχει πληροφορίες σχετικά με τις θύρες δικτύου που χρησιμοποιούνται από τον Microsoft Exchange Server 2016 για την επικοινωνία με προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου, διακομιστές αλληλογραφίας Διαδικτύου και άλλες υπηρεσίες που βρίσκονται έξω από τον εσωτερικό οργανισμό σας Exchange. Πριν ξεκινήσετε, λάβετε υπόψη τους ακόλουθους βασικούς κανόνες.

    Δεν υποστηρίζουμε τον περιορισμό ή την τροποποίηση της κυκλοφορίας δικτύου μεταξύ εσωτερικών διακομιστών Exchange, μεταξύ εσωτερικών διακομιστών Exchange και εσωτερικών διακομιστών Lync ή Skype για επιχειρήσεις ή μεταξύ εσωτερικών διακομιστών Exchange και εσωτερικών ελεγκτών τομέα Active Directory σε οποιονδήποτε από τους τύπους τοπολογίας. Εάν χρησιμοποιείτε τείχη προστασίας ή συσκευές δικτύου που μπορούν να περιορίσουν ή να τροποποιήσουν αυτήν την κυκλοφορία δικτύου, πρέπει να ορίσετε κανόνες για να επιτρέπεται η ελεύθερη και απεριόριστη επικοινωνία μεταξύ αυτών των διακομιστών (κανόνες που επιτρέπουν την κυκλοφορία δικτύου προς και από οποιαδήποτε θύρα, συμπεριλαμβανομένων τυχαίων θυρών RPC και πρωτόκολλο). , το οποίο δεν αλλάζει ούτε ένα bit).

    Οι διακομιστές Edge Transport βρίσκονται σχεδόν πάντα στο περιμετρικό δίκτυο, επομένως η κυκλοφορία δικτύου μεταξύ του διακομιστή Edge Transport και του Internet και μεταξύ του διακομιστή Edge Transport και του εσωτερικού οργανισμού Exchange αναμένεται να είναι περιορισμένη. Αυτές οι θύρες δικτύου περιγράφονται σε αυτήν την ενότητα.

    Αναμένεται να περιορίσετε την κυκλοφορία δικτύου μεταξύ εξωτερικών πελατών και υπηρεσιών και του εσωτερικού οργανισμού Exchange. Μπορείτε επίσης να περιορίσετε την κυκλοφορία μεταξύ εσωτερικών πελατών και εσωτερικών διακομιστών Exchange. Αυτές οι θύρες δικτύου περιγράφονται σε αυτήν την ενότητα.

Περιεχόμενο

Απαιτούνται θύρες δικτύου για πελάτες και υπηρεσίες

Απαιτούνται θύρες δικτύου για τη ροή αλληλογραφίας (χωρίς διακομιστές Edge Transport)

Απαιτούνται θύρες δικτύου για τη ροή αλληλογραφίας με διακομιστές Edge Transport

Απαιτούνται θύρες δικτύου για υβριδικές αναπτύξεις

Απαιτούνται θύρες δικτύου για την Ενοποιημένη ανταλλαγή μηνυμάτων

Οι θύρες δικτύου στις οποίες χρειάζονται οι πελάτες email για πρόσβαση σε γραμματοκιβώτια και άλλες υπηρεσίες στον οργανισμό Exchange περιγράφονται επόμενο διάγραμμακαι στον πίνακα.

Σημειώσεις.

    Ο προορισμός για αυτούς τους πελάτες και τις υπηρεσίες είναι οι υπηρεσίες Client Access στον διακομιστή Mailbox. Στο Exchange 2016, οι υπηρεσίες πρόσβασης πελάτη (εξωτερικές) και οι εσωτερικές υπηρεσίες εγκαθίστανται μαζί στον ίδιο διακομιστή γραμματοκιβωτίου. Δείτε την ενότητα για περισσότερες πληροφορίες.

    Αν και το διάγραμμα δείχνει πελάτες και υπηρεσίες από το Διαδίκτυο, οι έννοιες είναι οι ίδιες για εσωτερικούς πελάτες (για παράδειγμα, πελάτες σε ένα σύμπλεγμα λογαριασμών που έχουν πρόσβαση σε διακομιστές Exchange σε ένα σύμπλεγμα πόρων). Ομοίως, δεν υπάρχει στήλη Πηγή στον πίνακα, επειδή η πηγή μπορεί να είναι οποιαδήποτε τοποθεσία εκτός του οργανισμού Exchange (για παράδειγμα, το Διαδίκτυο ή ένα σύμπλεγμα λογαριασμών).

    Οι διακομιστές Edge Transport δεν συμμετέχουν στην κίνηση δικτύου που σχετίζεται με αυτούς τους πελάτες και τις υπηρεσίες.

ΣκοπόςλιμάνιαΣημειώσεις

Οι κρυπτογραφημένες συνδέσεις Ιστού χρησιμοποιούνται από τους ακόλουθους πελάτες και υπηρεσίες.

    Υπηρεσία αυτόματης ανακάλυψης

    Exchange ActiveSync

    Υπηρεσίες Ιστού Exchange (EWS)

    Διανομή Βιβλίων διευθύνσεων εκτός σύνδεσης

    Outlook Anywhere (RPC μέσω HTTP)

    MAPI Outlook μέσω HTTP

    Το Outlook στον Ιστό

443/TCP (HTTPS)

    EWS Reference for Exchange

Οι μη κρυπτογραφημένες συνδέσεις Ιστού χρησιμοποιούνται από τους ακόλουθους πελάτες και υπηρεσίες.

    Δημοσιεύστε το ημερολόγιό σας στον Ιστό

    Outlook στο web (ανακατεύθυνση στη θύρα 443/TCP)

    Αυτόματος εντοπισμός (εναλλακτικό όταν η θύρα 443/TCP δεν είναι διαθέσιμη)

80/TCP (HTTP)

Όποτε είναι δυνατόν, συνιστούμε να χρησιμοποιείτε κρυπτογραφημένες συνδέσεις Ιστού στη θύρα 443/TCP για την προστασία των διαπιστευτηρίων και άλλων δεδομένων. Ωστόσο, ορισμένες υπηρεσίες πρέπει να ρυθμιστούν ώστε να χρησιμοποιούν μη κρυπτογραφημένες συνδέσεις Ιστού στη θύρα 80/TCP σε υπηρεσίες πρόσβασης πελάτη σε διακομιστές γραμματοκιβωτίου.

Για περισσότερες πληροφορίες σχετικά με αυτούς τους πελάτες και τις υπηρεσίες, ανατρέξτε στα ακόλουθα άρθρα.

Πελάτες IMAP4

143/TCP (IMAP), 993/TCP (Ασφαλές IMAP)

Το IMAP4 είναι απενεργοποιημένο από προεπιλογή. Δείτε την ενότητα για περισσότερες πληροφορίες.

Η υπηρεσία IMAP4 στις υπηρεσίες πρόσβασης πελάτη στον διακομιστή γραμματοκιβωτίου πραγματοποιεί συνδέσεις μεσολάβησης στην εσωτερική υπηρεσία IMAP4 στο διακομιστή γραμματοκιβωτίου.

Πελάτες POP3

110/TCP (POP3), 995/TCP (ασφαλές POP3)

Από προεπιλογή, το πρωτόκολλο POP3 είναι απενεργοποιημένο. Δείτε την ενότητα για περισσότερες πληροφορίες.

Η υπηρεσία POP3 στις υπηρεσίες πρόσβασης πελάτη στον διακομιστή γραμματοκιβωτίου πραγματοποιεί συνδέσεις μεσολάβησης στην εσωτερική υπηρεσία POP3 στο διακομιστή γραμματοκιβωτίου.

Πελάτες SMTP (με έλεγχο ταυτότητας)

587/TCP (Επαληθευμένο SMTP)

Ο προεπιλεγμένος σύνδεσμος λήψης είναι "Προσωπικός πελάτης " στην υπηρεσία εξωτερικής μεταφοράς ακούει μηνύματα από πιστοποιημένους πελάτες SMTP στη θύρα 587.

Σημείωση.

Εάν διαθέτετε προγράμματα-πελάτες email που μπορούν να στείλουν μόνο επαληθευμένα μηνύματα SMTP στη θύρα 25, μπορείτε να αλλάξετε την τιμή δέσμευσης αυτής της εφαρμογής σύνδεσης Λήψη ώστε να ακούει επίσης επαληθευμένα μηνύματα SMTP στη θύρα 25.

Στην αρχή

Απαιτούνται θύρες δικτύου για τη ροή αλληλογραφίας

Εξερχόμενη αλληλογραφία

25/TCP (SMTP)

Διακομιστής γραμματοκιβωτίου

Διαδίκτυο (όλα)

Από προεπιλογή, το Exchange δεν δημιουργεί συνδέσεις αποστολής που σας επιτρέπουν να στέλνετε αλληλογραφία στο Διαδίκτυο. Πρέπει να δημιουργήσετε τις συνδέσεις Αποστολή με μη αυτόματο τρόπο. Δείτε την ενότητα για περισσότερες πληροφορίες.

Εξερχόμενη αλληλογραφία (εάν αποστέλλεται μέσω εξωτερικής υπηρεσίας μεταφοράς)

25/TCP (SMTP)

Διακομιστής γραμματοκιβωτίου

Διαδίκτυο (όλα)

Η εξερχόμενη αλληλογραφία αποστέλλεται μέσω της υπηρεσίας εξωτερικής μεταφοράς μόνο εάν είναι ενεργοποιημένη η ρύθμιση σύνδεσης αποστολής Διακομιστής μεσολάβησης μέσω του διακομιστή πρόσβασης πελάτηστην ΑΗΚ ή στην παράμετρο -FrontEndProxyEnabled $true στο κέλυφος διαχείρισης Exchange.

Σε αυτήν την περίπτωση, η προεπιλεγμένη σύνδεση Λήψης "Εξερχόμενος μεσολάβησης Frontend " στην υπηρεσία Εξωτερικών μεταφορών ακούει εξερχόμενη αλληλογραφία από την υπηρεσία μεταφοράς στον διακομιστή γραμματοκιβωτίου. Για περισσότερες πληροφορίες, ανατρέξτε στο .

Διακομιστής DNS για ανάλυση ονόματος επόμενης μετάβασης αλληλογραφίας (δεν εμφανίζεται)

53/UDP, 53/TCP (DNS)

Διακομιστής γραμματοκιβωτίου

Διακομιστής DNS

Στην αρχή

Ένας εγγεγραμμένος διακομιστής Edge Transport που είναι εγκατεστημένος στο περιμετρικό δίκτυο επηρεάζει τη ροή αλληλογραφίας με τους ακόλουθους τρόπους:

    Η εξερχόμενη αλληλογραφία από τον οργανισμό Exchange δεν περνά ποτέ μέσω της υπηρεσίας εξωτερικής μεταφοράς σε διακομιστές γραμματοκιβωτίου. Πάντα ανακατευθύνει από την υπηρεσία Transport στον διακομιστή Mailbox της εγγεγραμμένης τοποθεσίας Active Directory στον διακομιστή Edge Transport (ανεξάρτητα από την έκδοση του Exchange στον διακομιστή Edge Transport).

    Η εισερχόμενη αλληλογραφία ανακατευθύνεται από τον διακομιστή Edge Transport στον διακομιστή Mailbox της εγγεγραμμένης τοποθεσίας Active Directory. Αυτό σημαίνει τα εξής:

    • Η αλληλογραφία από διακομιστή Exchange 2016 ή Exchange 2013 Edge Transport εισέρχεται πρώτα στην υπηρεσία εξωτερικής μεταφοράς και, στη συνέχεια, δρομολογείται στην υπηρεσία μεταφοράς στον διακομιστή γραμματοκιβωτίου του Exchange 2016.

      Η αλληλογραφία από έναν διακομιστή Exchange 2010 Edge Transport πηγαίνει πάντα απευθείας στην υπηρεσία μεταφοράς σε έναν διακομιστή Mailbox του Exchange 2016.

Οι θύρες δικτύου που απαιτούνται για τη ροή αλληλογραφίας σε οργανισμούς Exchange με διακομιστές Edge Transport περιγράφονται στο ακόλουθο διάγραμμα και πίνακα.

ΣκοπόςλιμάνιαΠηγήΣκοπόςΣημειώσεις

Εισερχόμενη αλληλογραφία - από το Διαδίκτυο σε διακομιστή Edge Transport

25/TCP (SMTP)

Διαδίκτυο (όλα)

Η προεπιλεγμένη υποδοχή λήψης με το όνομα Προεπιλεγμένη σύνδεση εσωτερικής λήψης <имя пограничного транспортного сервера> " στον διακομιστή Edge Transport ακούει για ανώνυμη αλληλογραφία SMTP στη θύρα 25.

Εισερχόμενη αλληλογραφία - από τον διακομιστή Edge Transport στον εσωτερικό οργανισμό Exchange

25/TCP (SMTP)

Διακομιστής Edge Transport

Η προεπιλεγμένη εφαρμογή σύνδεσης αποστολής με το όνομα "EdgeSync - Εισερχόμενα σε " Αναμεταδίδει εισερχόμενη αλληλογραφία στη θύρα 25 σε οποιονδήποτε διακομιστή γραμματοκιβωτίου στον εγγεγραμμένο ιστότοπο της υπηρεσίας καταλόγου Active Directory. Για περισσότερες πληροφορίες, βλ.

Προεπιλεγμένη υποδοχή λήψης "Προεπιλογή διεπαφής " στην υπηρεσία Εξωτερικής μεταφοράς στον διακομιστή Mailbox ακούει όλα τα εισερχόμενα μηνύματα (συμπεριλαμβανομένης της αλληλογραφίας από διακομιστές Exchange 2016 και Exchange 2013 Edge Transport) στη θύρα 25.

Εξερχόμενη αλληλογραφία - από έναν εσωτερικό οργανισμό Exchange σε έναν διακομιστή Edge Transport

25/TCP (SMTP)

Διακομιστές γραμματοκιβωτίου σε έναν εγγεγραμμένο ιστότοπο της υπηρεσίας καταλόγου Active Directory

Η εξερχόμενη αλληλογραφία παρακάμπτει πάντα την υπηρεσία εξωτερικής μεταφοράς στους διακομιστές γραμματοκιβωτίου.

Η αλληλογραφία αναμεταδίδεται από την υπηρεσία μεταφοράς σε οποιονδήποτε διακομιστή Mailbox σε μια εγγεγραμμένη τοποθεσία Active Directory σε έναν διακομιστή Edge Transport χρησιμοποιώντας μια σιωπηρή και αόρατη σύνδεση αποστολής εντός του οργανισμού που δρομολογεί αυτόματα την αλληλογραφία μεταξύ διακομιστών Exchange στον ίδιο οργανισμό.

Προεπιλεγμένη εσωτερική υποδοχή λήψης στον διακομιστή Edge Transport ακούει αλληλογραφία SMTP στη θύρα 25 από την υπηρεσία μεταφοράς σε οποιονδήποτε διακομιστή γραμματοκιβωτίου στον εγγεγραμμένο ιστότοπο της υπηρεσίας καταλόγου Active Directory.

Εξερχόμενη αλληλογραφία - από τον διακομιστή Edge Transport στο Διαδίκτυο

25/TCP (SMTP)

Διακομιστής Edge Transport

Διαδίκτυο (όλα)

Η προεπιλεγμένη εφαρμογή σύνδεσης αποστολής με το όνομα "EdgeSync - με <имя сайта Active Directory> στο Διαδίκτυο" αναμεταδίδει την εξερχόμενη αλληλογραφία στη θύρα 25 από τον διακομιστή Edge Transport στο Διαδίκτυο.

Συγχρονισμός EdgeSync

50636/TCP (Ασφαλές LDAP)

Διακομιστές γραμματοκιβωτίου στον εγγεγραμμένο ιστότοπο της υπηρεσίας καταλόγου Active Directory που συμμετέχουν στον συγχρονισμό EdgeSync

Διακομιστές Edge Transport

Εάν ένας διακομιστής Edge Transport είναι εγγεγραμμένος σε μια τοποθεσία Active Directory, όλοι οι διακομιστές γραμματοκιβωτίου που υπάρχουν αυτήν τη στιγμή στην τοποθεσία συμμετέχουν στον συγχρονισμό EdgeSync. Αλλά αν προσθέσετε περισσότερους διακομιστές γραμματοκιβωτίου αργότερα, δεν θα συμμετέχουν αυτόματα στον συγχρονισμό του EdgeSync.

Διακομιστής DNS για ανάλυση ονόματος επόμενης μετάβασης (δεν εμφανίζεται)

53/UDP, 53/TCP (DNS)

Διακομιστής Edge Transport

Διακομιστής DNS

Δείτε την Ανάλυση ονόματος.

Φήμη αποστολέα Ανίχνευση ανοιχτού διακομιστή μεσολάβησης (δεν εμφανίζεται)

δείτε σημειώσεις

Διακομιστής Edge Transport

Διαδίκτυο

Από προεπιλογή, ο παράγοντας ανάλυσης πρωτοκόλλου χρησιμοποιεί την ανακάλυψη ανοιχτού διακομιστή μεσολάβησης ως μία από τις προϋποθέσεις για τον υπολογισμό του επιπέδου φήμης του διακομιστή ανταλλαγής μηνυμάτων πηγής. Δείτε το άρθρο για περισσότερες πληροφορίες.

Οι ακόλουθες θύρες TCP χρησιμοποιούνται για τον έλεγχο των διακομιστών ανταλλαγής μηνυμάτων πηγής για έναν ανοιχτό διακομιστή μεσολάβησης:

Επίσης, εάν ο οργανισμός σας χρησιμοποιεί διακομιστή μεσολάβησης για τον έλεγχο της εξερχόμενης κίνησης στο Διαδίκτυο, πρέπει να προσδιορίσετε το όνομα, τον τύπο και τη θύρα TCP διακομιστή μεσολάβησης που απαιτείται για την πρόσβαση στο Διαδίκτυο και τον εντοπισμό ανοιχτού διακομιστή μεσολάβησης.

Μπορείτε επίσης να απενεργοποιήσετε τον εντοπισμό ανοιχτού διακομιστή μεσολάβησης.

Δείτε την ενότητα για περισσότερες πληροφορίες.

Στην αρχή

Ανάλυση ονόματος

Ανάλυση ονόματος

Η ανάλυση αλληλογραφίας DNS next-hop είναι ένα θεμελιώδες μέρος της ροής αλληλογραφίας σε οποιονδήποτε οργανισμό Exchange. Οι διακομιστές Exchange που είναι υπεύθυνοι για τη λήψη εισερχόμενης αλληλογραφίας ή την παράδοση εξερχόμενης αλληλογραφίας πρέπει να μπορούν να επιλύουν εσωτερικά και εξωτερικά ονόματα κεντρικών υπολογιστών προκειμένου να δρομολογούν σωστά την αλληλογραφία. Όλοι οι εσωτερικοί διακομιστές Exchange πρέπει να μπορούν να επιλύουν εσωτερικά ονόματα κεντρικών υπολογιστών προκειμένου να δρομολογούν σωστά την αλληλογραφία. Υπάρχουν πολλά διάφορους τρόπουςανάπτυξη της υποδομής DNS, αλλά το σημαντικό αποτέλεσμα είναι η διασφάλιση της σωστής ανάλυσης ονόματος για το επόμενο βήμα σε όλους τους διακομιστές Exchange.



ΣΧΕΤΙΚΑ ΑΡΘΡΑ