Vakiovaihtoportit. Exchange-verkkoporttien viite. Osoitekirjan luominen

Tässä artikkelissa tarkastellaan, kuinka staattiset RPC-portit määritetään Exchange 2010:n RPC-asiakaskäyttö-, Exchange-osoitekirja- ja julkisen kansion käyttöpalveluille.

Kuvittelemme, että meillä on monimutkainen organisaatio, jossa on Exchange Server 2010 SP1 (tai uudempi), jossa on myös . CAS-palvelimet sijaitsevat yleensä erillisessä verkossa palomuurit verkoista, joista käyttäjien odotetaan pääsevän (Outlook-verkot). Outlook-asiakas muodostaa yhteyden CAS-palvelimeen RPC:n kautta, mikä tarkoittaa verkon tasolla mitä tahansa porttia vapaasta porttien valikoimasta voidaan käyttää. Ei ole mikään salaisuus, että sisään Windows Server 2008 ja 2008 R2 käyttävät aluetta 49152-65535 dynaamisena porttialueena RPC-yhteyksille (aiemmissa versioissa Windows-versiot Palvelin käytti RPC-portteja alueella 1025-65535).

Jotta palomuurit eivät muuttuisi seulaksi, on suositeltavaa kaventaa käytettävien RPC-porttien valikoimaa, mieluiten tekemällä ne staattisiksi jokaisessa Client Access -ryhmän Client Access Server -palvelimessa. Lisäksi staattisten RPC-porttien käyttö voi vähentää muistin kulutusta kuormantasauslaitteissa (erityisesti HLB) ja yksinkertaistaa niiden konfigurointia (ei tarvitse määrittää suuria porttialueita).

Exchange 2010:ssä RPC Client Access -palvelua sekä osoitekirja Exchange voi asettaa staattisia portteja. Outlook kommunikoi näiden palvelujen kanssa MAPI-rajapinnan kautta.

Staattinen portti Exchange 2010 RPC Client Access -palvelulle

Exchange 2010 RPC Client Access -virtuaalipalvelu liittyy RPC Client Access -palveluun, johon Outlook MAPI -asiakkaat muodostavat yhteyden Exchange 2010:ssä. Kun Outlook-asiakas muodostaa yhteyden Exchangeen, Exchange 2010 Client Access -palvelimessa RPC Client Access -palvelu käyttää TCP End Point Mapper -porttia (TCP/135) ja satunnaista porttia RPC-porttien dynaamisesta alueesta (6005-59530) saapuvat yhteydet.

Jos haluat määrittää staattisen portin RPC Client Access -palvelulle Exchange 2010:ssä, sinun on avattava seuraava osio rekisterieditorissa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Luo uusi avain nimeltä ParametersSystem, jonka sisään luodaan REG_DWORD-parametri nimeltä TCP/IP Port. TCP/IP-portti-parametri määrittää staattisen portin RPC Client Access -palvelulle. Microsoftin ohjeissa suositellaan portin valitsemista välillä 59531 - 60554 ja tämän arvon käyttämistä kaikissa CAS-palvelimissa (määritelimme tietysti portin 59532, minkä tahansa muun ohjelmiston ei pitäisi käyttää sitä).

Staattisen portin asettamisen jälkeen palvelu on käynnistettävä uudelleen, jotta muutokset tulevat voimaan. Microsoft Exchange RPC-asiakaspääsy.

Restart-Service MSExchangeRPC

Staattinen portti Exchange 2010 -osoitekirjapalvelua varten

Exchange 2010:ssä ennen SP1:tä erityistä määritystiedostoa, Microsoft.exchange.addressbook.service.exe.config, käytettiin Exchange 2010 -osoitekirjapalvelun staattisen portin asettamiseen. Exchange 2010 SP1:n julkaisun jälkeen voit määrittää tälle palvelulle staattisen portin rekisterin kautta. Voit tehdä tämän avaamalla rekisterieditorin ja siirtymällä haaraan:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Luo uusi RpcTcpPort-parametri (tyyppiä REG_SZ) ja aseta se portin numeroksi, jonka haluat korjata Exchange-osoitekirjapalvelua varten. On suositeltavaa käyttää mitä tahansa vapaata porttia alueella 59531-60554 ja käyttää sitä sitten kaikissa toimialueen Exchange 2010 Client Access -palvelimissa. Asetamme RpcTcpPort=59533

Tämän jälkeen sinun on käynnistettävä Microsoft Exchange -osoitekirjapalvelu uudelleen

Restart-Service MSExchangeAB

Tärkeää: Kun siirryt Exchange 2010 RTM:stä SP1:een, tämä avain on asetettava manuaalisesti; se ei periydy automaattisesti.

Staattisen portin määrittäminen yhteyden muodostamiseksi jaettuihin kansioihin

Julkisia kansioita käytetään Outlook-asiakkaasta suoraan RPC Client Access -palvelun kautta palvelimessa, jossa on postilaatikkorooli. Tämä asetus tulee suorittaa kaikilla palvelimilla, joilla on postilaatikko-rooli ja jotka sisältävät tietokannan jaetut kansiot(samanlainen kuin CAS-palvelimet). Avaa rekisterieditori ja siirry haaraan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Luo uusi avain nimeltä ParametersSystem, jonka sisään luodaan REG_DWORD-parametri nimeltä TCP/IP Port. Aseta sen arvo: TCP/IP-portti = 59532.

Kun olet asettanut staattisesti julkisten kansioiden portin, sinun on käynnistettävä uudelleen Microsoft Exchange RPC Client Access -palvelu jokaisessa postilaatikkopalvelimessa.

Staattisten porttien käytön tarkistaminen Outlookin ja Exchange 2010:n välillä

Kun olet tehnyt muutokset, tarkistetaan, että Outlook muodostaa yhteyden määrittämiimme staattisiin RPC-portteihin. Voit tehdä tämän käynnistämällä Outlookin uudelleen asiakaskoneessa ja sitten komentorivi suorita komento:

Netstat - ei

Koskee: Exchange Server 2010 SP1

Tätä osiota muokattu viimeksi: 2011-04-22

Tässä osiossa on tietoja kaikkien Microsoft Exchange Server 2010:ssa käytettyjen tietopolujen porteista, todennuksesta ja salauksesta. Kunkin taulukon perässä oleva "Huomautuksia"-osio selventää tai määrittelee standardista poikkeavat todennus- tai salausmenetelmät.

Kuljetuspalvelimet

Exchange 2010:ssä on kaksi palvelinroolia, jotka suorittavat viestien siirtotoimintoja: Hub Transport -palvelin ja Edge Transport -palvelin.

Seuraavassa taulukossa on tietoja näiden siirtopalvelimien ja muiden Exchange 2010 -palvelimien ja -palveluiden välisistä porteista, todennuksesta ja salauksesta.

Tietopolut siirtopalvelimille Tietopolun vaadittu porttien salaustuki

Kahden Hub Transport -palvelimen välillä

Kyllä, käyttämällä TLS-suojausta (Transport Layer Security)

Hub Transport -palvelimesta Edge Transport -palvelimeen

Suora luottamus

Suora luottamus

Kyllä, TLS:n avulla

Edge Transport -palvelimelta Hub Transport -palvelimelle

Suora luottamus

Suora luottamus

Kyllä, TLS:n avulla

Kahden Edge Transport -palvelimen välillä

Anonyymi, varmennetodennus

Anonyymisti sertifikaatin avulla

Kyllä, TLS:n avulla

Palvelimelta postilaatikoita Microsoft Exchange -sähköpostipalvelun kautta

NTLM. Kun Hub Transport -palvelimen rooli ja postilaatikkopalvelimen rooli ovat käynnissä samalla palvelimella, käytetään Kerberos-protokollaa.

Kyllä, käyttämällä RPC-salausta

Hub Transport -palvelimelta postilaatikkopalvelimelle MAPI:n kautta

NTLM. Kun Hub Transport -palvelimen rooli ja postilaatikkopalvelimen rooli asennetaan samalle palvelimelle, käytetään Kerberos-protokollaa.

Kyllä, käyttämällä RPC-salausta

Kyllä, TLS:n avulla

Microsoft Exchange EdgeSync -palvelu Hub Transport -palvelimelta Edge Transport -palvelimelle

Kyllä, LDAP yli SSL (LDAPS)

Käytä Active Directory -palvelua Hub Transport -palvelimelta

Active Directory Rights Management Services (AD RMS) -palvelun käyttäminen Hub Transport -palvelimelta

Kyllä, SSL:llä

SMTP-asiakkaat Hub Transport -palvelimelle (esimerkiksi loppukäyttäjät, jotka käyttävät Windows Live Mailia)

Kyllä, TLS:n avulla
Huomautuksia kuljetuspalvelimille
  • Kaikki Hub Transport -palvelimien välinen liikenne salataan TLS:llä ja Exchange 2010 -asennusohjelman asentamilla itseallekirjoitetuilla varmenteilla.
  • Kaikki Edge Transport -palvelinten ja Hub Transport -palvelimien välinen liikenne on todennettu ja salattu. Todennus- ja salausmekanismina käytetään keskinäistä TLS:ää. X.509-todennuksen sijaan Exchange 2010 käyttää suora luottamus. Suora luottamus tarkoittaa, että varmenteen läsnäolo Active Directoryssa tai Active Directory Lightweight Directory Services (AD LDS) -palvelussa varmistaa varmenteen aitouden. Active Directorya pidetään luotettavana tallennusmoottorina. Suoraa luottamusta käytettäessä ei ole väliä, käytetäänkö itse allekirjoitettua sertifikaattia vai varmenneviranomaisen allekirjoittamaa varmennetta. Kun Edge Transport -palvelin tilaa Exchange-organisaation, Edge Subscription julkaisee Edge Transport -palvelimen varmenteen Active Directorylle, jotta Hub Transport -palvelimet voivat vahvistaa sen. Microsoft Exchange EdgeSync -palvelu lisää joukon Hub Transport -palvelinvarmenteita Active Directory Lightweight Directory Services (AD LDS) -palveluun Edge Transport -palvelimen vahvistamista varten.
  • EdgeSync käyttää suojattua LDAP-yhteyttä Hub Transport -palvelimelta tilattuihin Edge Transport -palvelimiin TCP-portissa 50636. Active Directory Lightweight Directory Services kuuntelee myös TCP-porttia 50389. Yhteys tähän porttiin ei käytä SSL:ää. Voit käyttää LDAP-apuohjelmia yhteyden muodostamiseen tähän porttiin ja Active Directory Lightweight Directory Services -tietojen tarkistamiseen.
  • Oletuksena kahdessa eri organisaatiossa sijaitsevien Edge Transport -palvelimien välinen liikenne on salattua. Exchange 2010 -asennusohjelma luo itseallekirjoitetun varmenteen ja ottaa TLS:n käyttöön oletusarvoisesti. Tämän ansiosta mikä tahansa lähettävä järjestelmä voi salata Exchangeen saapuvan SMTP-istunnon. Oletusarvoisesti Exchange 2010 yrittää myös käyttää TLS:ää kaikissa etäyhteyksissä.
  • Hub Transport- ja Mailbox-palvelimien välisen liikenteen todennusmenetelmät ovat erilaisia, kun Hub Transport- ja Mailbox-palvelinroolit on asennettu samaan tietokoneeseen. Paikallinen postinsiirto käyttää Kerberos-todennusta. Sähköpostin etäsiirto käyttää NTLM-todennusta.
  • Exchange 2010 tukee myös verkkotunnuksen suojausta. Domain Security on joukko Exchange 2010:n ja Microsoft Outlook 2010:n ominaisuuksia, jotka tarjoavat edullisen vaihtoehdon S/MIME:lle ja muille Internet-viestintäsuojausratkaisuille. Toimialueen suojaus tarjoaa tavan hallita suojattuja viestipolkuja verkkotunnusten välillä Internetissä. Kun nämä suojatut polut on määritetty, onnistuneesti lähetetyt viestit todistetulta lähettäjältä näkyvät "toimialueelta suojattuina" viesteinä Outlookin ja Outlook Web Accessin käyttäjille. Lisätietoja on kohdassa Domain Security Overview.
  • Monet agentit voivat toimia sekä Hub Transport- että Edge Transport -palvelimissa. Yleensä suoja-aineet roskaposti käyttää tietoa paikallinen tietokone jolla ne teloitetaan. Vuorovaikutusta ei siis käytännössä tarvita etätietokoneet. Poikkeuksena on vastaanottajien suodatus. Vastaanottimien suodatus vaatii kutsun AD LDS:ään tai Active Directoryyn. Suosittelemme, että suoritat vastaanottajasuodatuksen Edge Transport -palvelimessa. Tässä tapauksessa AD LDS -hakemisto on samassa tietokoneessa, johon on asennettu Edge Transport -palvelimen rooli, joten etäyhteyttä ei tarvita. Jos vastaanottajan suodatus on asennettu ja määritetty Hub Transport -palvelimeen, sinulla on oltava pääsy Active Directory -hakemistopalveluun.
  • Exchange 2010:n lähettäjän maineominaisuus käyttää Protocol Analysis Agent -agenttia. Tämä agentti muodostaa myös yhteyden useisiin ulkoisiin välityspalvelimiin määrittääkseen saapuvien viestien polut epäilyttäville yhteyksille.
  • Kaikki muut roskapostin estotoiminnot käyttävät tietoja, jotka kerätään, tallennetaan ja jotka ovat käytettävissä vain paikallisella tietokoneella. Yleensä tiedot, kuten yhdistetty turvallisten lähettäjien luettelo tai vastaanottajatiedot vastaanottajasuodatusta varten, työnnetään paikalliseen AD LDS -hakemistoon Microsoft Exchange EdgeSync -palvelun avulla.
  • Tietooikeuksien hallinta (IRM) -agentit Hub Transport -palvelimissa muodostavat yhteyden organisaatiosi Active Directory Rights Management Services (AD RMS) -palvelimiin. Active Directory Rights Management Service (AD RMS) on verkkopalvelu, joka on suositeltavaa suojata SSL:llä. Yhteydet Active Directory Rights Management Services -palvelimiin muodostetaan HTTPS:n avulla, ja todennus käyttää Kerberosta tai NTLM:ää Active Directory Rights Management Services -palvelimen kokoonpanosta riippuen.
  • Lokisäännöt, siirtosäännöt ja viestien luokittelusäännöt tallennetaan Active Directory -palveluihin, ja niitä voivat käyttää Hub Transport -palvelimien Journaling Agent ja Transport Rules Agent. Postilaatikkopalvelimet

    NTLM- tai Kerberos-todennusta käytetään postilaatikkopalvelimissa riippuen käyttäjäkontekstista tai prosessista, jossa Exchange-liikelogiikkakerroksen kuluttaja toimii. Tässä yhteydessä kuluttajat ovat mitä tahansa sovelluksia tai prosesseja, jotka käyttävät Exchangen liiketoimintalogiikkakerrosta. Tämän seurauksena Postilaatikkopalvelinten tietopolut -taulukon Oletustodennus-sarakkeessa on useita rivejä, jotka on asetettu arvoon NTLM/Kerberos.

    Exchangen liiketoimintalogiikkakerrosta käytetään Exchange-säilön käyttämiseen ja vuorovaikutukseen sen kanssa. Exchange-liiketoimintalogiikkakerrosta kutsutaan myös Exchange-kaupasta vuorovaikutukseen ulkoisia sovelluksia ja prosesseja.

    Jos Exchange-liiketoimintalogiikkakerroksen kuluttaja toimii paikallisessa järjestelmäkontekstissa, todennusmenetelmä, jota käytetään, kun kuluttaja käyttää Exchange-kauppaa, on aina Kerberos. Kerberos-todennusmenetelmää käytetään, koska vastaanottajan henkilöllisyys on tarkistettava käyttämällä tili tietokone "paikallinen järjestelmä" ja vaatii myös kaksisuuntaisen todetun luottamuksen.

    Jos Exchange-liikelogiikkakerroksen vastaanottaja ei ole käynnissä paikallisessa järjestelmäkontekstissa, todennusmenetelmä on NTLM. Esimerkiksi kun järjestelmänvalvoja käyttää Exchange Management Shell -cmdlet-komentoa, joka käyttää Exchangen liiketoimintalogiikkakerrosta, NTLM-todennusta käytetään.

    RPC-liikenne on aina salattua.

    Seuraavassa taulukossa on tietoja postilaatikkopalvelimien porteista, todennuksesta ja tietopolun salauksesta.

    Tietopolut postilaatikkopalvelimille Tietopolku Vaaditut portit Oletustodennus Tuettu todennusmenetelmä Salaustuki Oletustietojen salaus

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (verkko-RPC-kirjautuminen)

    Kyllä, käytän Kerberos-salausta

    Hallinnollinen etäkäyttö (etärekisteri)

    Kyllä, IPsecillä

    Hallinnollinen etäkäyttö (SMB, tiedostot)

    Kyllä, IPsecillä

    Saatavuus Web Service (Mailbox Client Access)

    Kyllä, käyttämällä RPC-salausta

    Klusterointi

    Kyllä, käyttämällä RPC-salausta

    Client Access -palvelinten välillä (Exchange ActiveSync)

    80/TCP, 443/TCP (SSL)

    Kerberos-sertifikaatin todennus

    Kyllä, HTTPS:llä

    Kyllä, käyttämällä itse allekirjoitettua varmennetta

    Client Access -palvelinten välillä (Outlook Web Access)

    80/TCP, 443/TCP (HTTPS)

    Kyllä, SSL:llä

    Client Access Server - Client Access Server (Exchange Web Services)

    Kyllä, SSL:llä

    Client Access Server to Client Access Server (POP3)

    Kyllä, SSL:llä

    Client Access Server to Client Access Server (IMAP4)

    Kyllä, SSL:llä

    Office Communications Server - Client Access Server (kun Office Communications Serverin ja Outlook Web App -integraatio on käytössä)

    5075-5077/TCP (IN), 5061/TCP (OUT)

    mTLS (pakollinen)

    mTLS (pakollinen)

    Kyllä, SSL:llä
    Huomautuksia Client Access Servers -palvelimille yhtenäinen järjestelmä viestintä

    IP-yhdyskäytävät ja IP-vaihteet tukevat vain varmennetodennusta, joka käyttää keskinäistä TLS-todennusta SIP-liikenteen salaamiseen ja IP-osoitepohjaista todennusta SIP- tai TCP-yhteyksille. IP-yhdyskäytävät eivät tue NTLM- tai Kerberos-todennusta. Siksi, kun käytät IP-osoitepohjaista todennusta, yhteyksien IP-osoitteita käytetään salaamattomien (TCP) yhteyksien todennusmekanismina. Kun sitä käytetään Unified Messaging -palvelussa, IP-pohjainen todennus tarkistaa, saako tietty IP-osoite muodostaa yhteyden. IP-osoite on määritetty IP-yhdyskäytävässä tai IP PBX:ssä.

    IP-yhdyskäytävät ja IP-vaihteet tukevat keskinäistä TLS:ää SIP-liikenteen salaamiseksi. Kun vaaditut luotetut sertifikaatit on tuotu ja viety onnistuneesti, IP-yhdyskäytävä tai IP-vaihteisto pyytää varmennetta Unified Messaging -palvelimelta ja pyytää sitten varmennetta IP-yhdyskäytävältä tai IP-vaihteelta. Luotettujen varmenteiden vaihto IP-yhdyskäytävän tai IP PBX:n ja Unified Messaging -palvelimen välillä mahdollistaa molempien laitteiden kommunikoinnin suojatun kanavan kautta käyttämällä keskinäistä TLS:ää.

    Seuraavassa taulukossa on Unified Messaging -palvelimien ja muiden palvelimien välisten tietopolkujen portti-, todennus- ja salaustiedot.

    Unified Messaging -palvelimien tietopolut Tietopolku Vaaditut portit Oletustodennus Tuettu todennusmenetelmä Salaustuki Oletustietojen salaus

    Pääsy Active Directoryyn

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (verkko-RPC-kirjautuminen)

    Kyllä, käytän Kerberos-salausta

    Unified Messaging Telephony (IP PBX/VoIP Gateway)

    5060/TCP, 5065/TCP, 5067/TCP (suojaamaton tila), 5061/TCP, 5066/TCP, 5068/TCP (suojattu tila), dynaaminen porttialue 16000-17000/TCP (ohjaus), dynaamiset UDP-portit alueella 1024-65535/UDP (RTP)

    IP-osoitteen mukaan

    IP-osoitteen mukaan, MTLS

    Kyllä, käyttämällä SIP/TLS:tä, SRTP:tä

    Unified Messaging -verkkopalvelu

    80/TCP, 443/TCP (SSL)

    Integroitu Windows-todennus (neuvotella)

    Kyllä, SSL:llä

    Unified Messaging -palvelimelta Client Access -palvelimelle

    5075, 5076, 5077 (TCP)

    Integroitu Windows-todennus (neuvottelu)

    Basic, Digest, NTLM, Negotiate (Kerberos)

    Kyllä, SSL:llä

    Unified Messaging -palvelimelta Client Access -palvelimelle (pelaa puhelimessa)

    Dynaaminen RPC

    Kyllä, käyttämällä RPC-salausta

    Unified Messaging -palvelimesta Hub Transport -palvelimeen

    Kyllä, TLS:n avulla

    Unified Messaging -palvelimesta postilaatikkopalvelimeen

    Kyllä, käyttämällä RPC-salausta
    Huomautuksia Unified Messaging -palvelimille
    • Kun luot Unified Messaging IP -yhdyskäytäväobjektin Active Directoryssa, sinun on määritettävä fyysisen IP-yhdyskäytävän tai IP PBX:n IP-osoite. Kun määrität UM-IP-yhdyskäytäväobjektin IP-osoitteen, IP-osoite lisätään kelvollisten IP-yhdyskäytävien tai IP-vaihteiden (tunnetaan myös nimellä SIP-istunnon osallistujat) luetteloon, joiden kanssa Unified Messaging -palvelin voi olla yhteydessä. Kun olet luonut Unified Messaging IP -yhdyskäytävän, voit liittää sen Unified Messaging -valintasuunnitelmaan. UM-IP-yhdyskäytävän yhdistäminen valintasuunnitelmaan mahdollistaa sen, että Unified Messaging -palvelimet, jotka on yhdistetty valintasuunnitelmaan, voivat käyttää IP-osoitepohjaista todennusta kommunikoidakseen IP-yhdyskäytävän kanssa. Jos Unified Messaging IP -yhdyskäytävää ei ole luotu tai sitä ei ole määritetty käyttämään oikeaa IP-osoitetta, todennus epäonnistuu eivätkä Unified Messaging -palvelimet hyväksy yhteyksiä IP-yhdyskäytävän IP-osoitteesta. Lisäksi kun käytät keskinäistä TLS:ää, IP-yhdyskäytävää tai IP PBX:ää ja Unified Messaging -palvelimia, UM-IP-yhdyskäytävä on määritettävä käyttämään täysin hyväksyttyä toimialueen nimeä (FQDN). Kun olet määrittänyt UM-IP-yhdyskäytävän käyttämällä täysin kelvollista toimialueen nimeä, sinun on myös lisättävä kyseisen yhdyskäytävän isäntätietue eteenpäin DNS-hakuvyöhykkeelle.
    • Exchange 2010:ssä Unified Messaging -palvelin voi kommunikoida portissa 5060/TCP (suojaamaton) tai portissa 5061/TCP (suojattu), ja se voidaan määrittää käyttämään molempia portteja.

    Lisätietoja on kohdissa Unified Messaging VoIP-suojauksen ymmärtäminen ja Unified Messaging Protocols, -porttien ja -palvelujen ymmärtäminen.

    säännöt Windowsin palomuuri luonut Exchange 2010 Setup

    Windowsin palomuuri lisäsuojauksella on konepohjainen, tilallinen palomuuri, joka suodattaa saapuvan ja lähtevän liikenteen palomuurisääntöjen perusteella. Exchange 2010 -asennusohjelma luo Windowsin palomuurisäännöt, jotka avaavat palvelin-asiakasviestintään tarvittavat portit kussakin palvelinroolissa. Siksi sinun ei enää tarvitse käyttää ohjattua suojausmääritystoimintoa näiden asetusten määrittämiseen. Lisätietoja Windowsin palomuurista, jossa on lisäsuojaus, on kohdassa Windowsin palomuuri, jossa on lisäsuojaus ja IPsec.

    Seuraava taulukko näyttää Windowsin palomuurisäännöt ohjelman luoma Exchange-asennus, mukaan lukien jokaisessa palvelinroolissa avoimet portit. Voit tarkastella näitä sääntöjä käyttämällä Windowsin palomuuria Advanced Security MMC -laajennuksella.

    Säännön nimi Palvelimen roolit Porttiohjelma

    MSExchangeADTopology - RPC (TCP-in)

    Dynaaminen RPC

    Bin\MSExchangeADTopologyService.exe

    MSExchangeMonitoring - RPC (TCP-in)

    Client Access -palvelin, Hub Transport -palvelin, Edge Transport -palvelin, Unified Messaging -palvelin

    Dynaaminen RPC

    Bin\Microsoft.Exchange.Management.Monitoring.exe

    MSExchangeServiceHost - RPC (TCP-in)

    Dynaaminen RPC

    Bin\Microsoft.Exchange.ServiceHost.exe

    MSExchangeServiceHost - RPCEPMap (TCP-in)

    Bin\Microsoft.Exchange.Service.Host

    MSExchangeRPCEPMap (GFW) (TCP-in)

    MSExchangeRPC (GFW) (TCP-in)

    Client Access -palvelin, Hub Transport -palvelin, Postilaatikkopalvelin, Unified Messaging -palvelin

    Dynaaminen RPC

    MSExchange - IMAP4 (GFW) (TCP-tulo)

    Client Access Server

    MSExchangeIMAP4 (TCP-in)

    Client Access Server

    ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

    MSExchange - POP3 (FGW) (TCP-tulo)

    Client Access Server

    MSExchange - POP3 (TCP-tulo)

    Client Access Server

    ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

    MSExchange – OWA (GFW) (TCP-tulo)

    Client Access Server

    5075, 5076, 5077 (TCP)

    MSExchangeOWAAppPool (TCP-in)

    Client Access Server

    5075, 5076, 5077 (TCP)

    Inetsrv\w3wp.exe

    MSExchangeAB RPC (TCP-in)

    Client Access Server

    Dynaaminen RPC

    MSExchangeAB-RPCEPMap (TCP-in)

    Client Access Server

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    MSExchangeAB-RpcHttp (TCP-in)

    Client Access Server

    6002, 6004 (TCP)

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    RpcHttpLBS (TCP-in)

    Client Access Server

    Dynaaminen RPC

    System32\Svchost.exe

    MSExchangeRPC - RPC (TCP-in)

    Dynaaminen RPC

    MSExchangeRPC - PRCEPMap (TCP-in)

    Client Access Server, Mailbox Server

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeRPC (TCP-in)

    Client Access Server, Mailbox Server

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeMailboxReplication (GFW) (TCP-in)

    Client Access Server

    MSExchangeMailboxReplication (TCP-in)

    Client Access Server

    Bin\MSExchangeMailboxReplication.exe

    MSExchangeIS - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    MSExchangeIS RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    MSExchangeIS (GFW) (TCP-in)

    Postilaatikkopalvelin

    6001, 6002, 6003, 6004 (TCP)

    MSExchangeIS (TCP-in)

    Postilaatikkopalvelin

    MSExchangeMailboxAssistants - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    MSExchangeMailboxAssistants - RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeMailboxAssistants.exe

    MSExchangeMailSubmission - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    MSExchangeMailSubmission - RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeMailSubmission.exe

    MSExchangeMigration - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    Bin\MSExchangeMigration.exe

    MSExchangeMigration - RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeMigration.exe

    MSExchangerepl - lokikopiokone (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC-EPMap (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeRepl.exe

    MSExchangeSearch - RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    Bin\Microsoft.Exchange.Search.ExSearch.exe

    MSExchangeThrottling – RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    Bin\MSExchangeThrottling.exe

    MSExchangeThrottling - RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    Bin\MSExchangeThrottling.exe

    MSFTED – RPC (TCP-in)

    Postilaatikkopalvelin

    Dynaaminen RPC

    MSFTED - RPCEPMap (TCP-in)

    Postilaatikkopalvelin

    MSExchangeEdgeSync - RPC (TCP-in)

    Hub Transport Server

    Dynaaminen RPC

    MSExchangeEdgeSync RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\Microsoft.Exchange.EdgeSyncSvc.exe

    MSExchangeTransportWorker - RPC (TCP-in)

    Hub Transport Server

    Dynaaminen RPC

    Bin\edgetransport.exe

    MSExchangeTransportWorker - RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportWorker (GFW) (TCP-in)

    Hub Transport Server

    MSExchangeTransportWorker (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportLogSearch - RPC (TCP-in)

    Dynaaminen RPC

    MSExchangeTransportLogSearch - RPCEPMap (TCP-in)

    Hub Transport Server, Edge Transport Server, Mailbox Server

    Bin\MSExchangeTransportLogSearch.exe

    SESWorker (GFW) (TCP-tulo)

    Unified Messaging Server

    SESWorker (TCP-in)

    Unified Messaging Server

    UnifiedMessaging\SESWorker.exe

    UMService (GFW) (TCP-in)

    Unified Messaging Server

    UMService (TCP-in)

    Unified Messaging Server

    Bin\UMService.exe

    UMWorkerProcess (GFW) (TCP-in)

    Unified Messaging Server

    5065, 5066, 5067, 5068

    UMWorkerProcess (TCP-in)

    Unified Messaging Server

    5065, 5066, 5067, 5068

    Bin\UMWorkerProcess.exe

    UMWorkerProcess - RPC (TCP-in)

    Unified Messaging Server

    Dynaaminen RPC

    Bin\UMWorkerProcess.exe
    Huomautuksia Exchange 2010 -asennusohjelman luomista Windowsin palomuurisäännöistä
    • Palvelimissa, joihin on asennettu IIS, Windows avaa HTTP- (portti 80, TCP) ja HTTPS (portti 443, TCP) -portit. Exchange 2010:n asennusohjelma ei avaa näitä portteja. Siksi näitä portteja ei ole lueteltu edellisessä taulukossa.
    • Windows Server 2008:ssa ja Windows Server 2008 R2:ssa Windowsin palomuuri ja lisäsuojaus antaa sinun määrittää prosessin tai palvelun, jolle portti on avoinna. Tämä on turvallisempaa, koska porttia voi käyttää vain säännössä määritetty prosessi tai palvelu. Exchange-asennus luo palomuurisäännöt määritetyllä prosessinimellä. Joissakin tapauksissa yhteensopivuussyistä luodaan myös lisäsääntö, joka ei rajoitu tähän prosessiin. Voit poistaa käytöstä tai poistaa prosessia rajoittamattomat säännöt ja säilyttää vastaavat prosessirajoitetut säännöt, jos nykyinen käyttöönottoympäristösi tukee niitä. Säännöt, jotka eivät rajoitu prosesseihin, voidaan tunnistaa säännön nimessä olevasta sanasta (GFW).
    • Monet Exchange-palvelut käyttävät etäproseduurikutsuja (RPC) viestintään. Palvelinprosessit, jotka käyttävät etäproseduurikutsuja, muodostavat yhteyden RPC-päätepistekartoittimeen dynaamisten päätepisteiden saamiseksi ja rekisteröimiseksi päätepisteiden kartoitustietokantaan. RPC-asiakkaat ovat vuorovaikutuksessa RPC-päätepisteiden kartoittajan kanssa määrittääkseen palvelinprosessin käyttämät päätepisteet. Oletusarvoisesti RPC-päätepisteiden selvittäjä kuuntelee porttia 135 (TCP). Kun määrität Windowsin palomuurin prosessille, joka käyttää etätoimintokutsuja, Exchange 2010 -asennusohjelma luo kaksi palomuurisääntöä tälle prosessille. Yksi sääntö sallii vuorovaikutuksen RPC-päätepistekartoittajan kanssa ja toinen vuorovaikutuksen dynaamisesti määritetyn päätepisteen kanssa. Lisätietoja etäkäsittelykutsuista on tässä artikkelissa. Lisätietoja Windowsin palomuurisääntöjen luomisesta dynaamisille etäproseduurikutsuille on tässä artikkelissa.

      Lisätietoja on Microsoft Knowledge Base -tietokannan artikkelissa 179442

www.microsoft.com

Artikla Exchange 2013 FrontEnd Transport Service on ensimmäinen artikkelisarjassa, joka kuvaa kuljetuspalvelujen toimintaa Exchange Server 2013:ssa. Tässä artikkelissa puhumme Etualan kuljetuspalvelu Client Access -palvelimilla.

Exchange-palvelimen 2013 versiossa arkkitehtuurissa tehtiin varsin merkittäviä muutoksia ja nyt on vain kaksi pääroolia - postilaatikkopalvelin (lyhennettynä Mailbox Server tai MBX) ja asiakaspääsypalvelin (CAS). Edge Transport -palvelimen rooli erottuu muista. Palvelu Exchange 2013 FrontEnd Transport sijaitsee CAS-palvelimilla ja toimii välityspalvelimena.

Tämä on ensimmäinen artikkeli Exchange 2013 -kuljetusputkipalveluiden toiminnasta, mutta tässä on täydellinen luettelo:

Ja myös artikkeleita näiden palveluiden kirjaamisen hallinnasta:

Älä unohda virallisia asiakirjoja.

Löydät lisätietoja Exchange 2013:n määrittämisestä ja hallinnasta blogissani aihetta käsittelevästä pääartikkelista -.

Nyt sattuu niin, että Exchange 2013 -palvelimessa on melko paljon kuljetuspalveluita, joilla on samannimisiä, mutta pohjimmiltaan erilaisia ​​tarkoituksen ja toimintaperiaatteen suhteen. Tässä ovat kaikki nämä palvelut:

  • Etualan kuljetuspalvelu Client Access -palvelimilla (näyttönimi on Microsoft Exchange FrontEnd Transport, lyhennettynä MSExchangeFrontEndTransport);
  • Kuljetuspalvelu postilaatikkopalvelimilla (Näyttönimi on Microsoft Exchange Transport, lyhennettynä MSExchangeTransport);
  • Postilaatikon kuljetuspalvelu postilaatikkopalvelimilla (sisältää itse asiassa kaksi palvelua - Microsoft Exchange Mailbox Transport Delivery ja Microsoft Exchange Mailbox Transport Submission, lyhennetyt nimet - MSExchangeDelivery ja MSExchangeSubmission, vastaavasti);
  • Kuljetuspalvelu Edge Transport -palvelimilla (näyttönimi on Microsoft Exchange Transport, lyhennetty muotoon MSExchangeTransport).

Samanaikaisesti vain toinen ja neljäs palvelu suorittavat vertailukelpoisia toimintoja, loput ovat olennaisesti erilaisia. Yhdessä ne kaikki muodostavat kuljetusputken, joka on sähköpostipalvelimen sydän.

Kuljetuskuljetin

Yleisesti ottaen kuljetuskuljetin näyttää tältä:

Tämän artikkelin yhteydessä olemme kiinnostuneita kuvan yläosasta, joka kuvaa Client Access Server -palvelinta:

Tässä järjestelmässä on yksi vivahde. Tosiasia on, että oletusarvoisesti MBX-palvelimet voivat lähettää postia itsenäisesti ulospäin SMTP-portin 25 kautta. Varmistaaksesi, että Send-liitin lähettää aina postia Internetiin Client Access -palvelimien kautta, sinun on asetettava erikseen liittimen parametri FrontendProxyEnabled merkityksessä $totta(tai EAC:ssa laita rasti Välityspalvelin Client Access Serverin kautta Lähetysliittimen ominaisuuksissa). Tätä kokoonpanoa aion rakentaa tulevaisuudessa.

Alla yritän selventää toimintaperiaatetta. Exchange 2013 -palvelimet CAS-roolilla.

Toimintaperiaate

FrontEnd-kuljetus(Microsoftin terminologiassa - Front End kuljetuspalvelu) ei käsittele viestin sisältöä, käytä viestijonoa tai ole vuorovaikutuksessa Mailbox Transport -palvelun kanssa. Toisin sanoen Exchange 2013 -palvelimet, joilla on vain CAS-rooli, eivät tallenna tietoja pysyvästi (tietokannan avulla) tai tilapäisesti (viestinkäsittelyjonoon).

Front End Transport -palvelulla on kuitenkin omat kuljetusagenttinsa (katso kuva - Protocol Agents). Agenttien avulla voit laajentaa Exchange-sähköpostipalvelimen toimintoja lisäämällä oman koodisi viestienkäsittelylogiikkaan. Agentteja kutsutaan, kun SMTP-tapahtumia tapahtuu. Nämä tapahtumat puolestaan ​​generoidaan jossakin viestinkäsittelyn vaiheessa, kun ne kulkevat kuljetusputken läpi. On syytä huomata, että useimmat oletusarvoisesti läsnä olevat agentit ovat piilotettuja tai niiden asetuksia ei voida hallita. Agenttien toiminnallisuus CAS-palvelimilla on melko rajallinen, ja se on täysin läsnä vain MBX- ja Edge-rooleissa.

Lähetys- ja vastaanottoliittimet

Kaaviossa (katso yllä) Etualan kuljetuspalvelu tarkoitamme asiakkaan pääsypalvelinta jokaisessa saapuvassa ja lähtevä yhteys vastaava portti, jolloin saadaan seuraava esitys:

Erillinen vastaanottoliitin vastaa yhteyksien kuuntelemisesta jokaisessa kaaviossa mainitussa portissa, joista kolme luodaan oletusarvoisesti CAS-roolia asennettaessa:

Näkyvien ja järjestelmänvalvojan käytettävissä olevien liittimien lisäksi on myös piilotettuja järjestelmän lähetysliittimiä:

  • Saapuvan välityspalvelimen sisäinen lähetysliitin (SMTP 25/2525 tuumaa )
  • Client Proxy Send Connector (SMTP vastaanotettu portissa 587 in Kuljetuspalvelu postilaatikkopalvelimilla porttiin 465)

Muuten, Exchange Server 2013:n venäläisen version ensimmäisellä liittimellä on nimi Sisäinen lähetysliitin tuloa varten. kytkeä välityspalvelin ja toinen - Asiakkaan välityspalvelimen lähetysliitin. Tämä vain varmuuden vuoksi, jotta et hämmästyisi ensimmäisellä tapaamisella näiden liittimien kanssa.

Tuloksena saamme seuraavan täydellisen taulukon:

Nimi Tarkoitus Portti Suunta
Oletuskäyttöliittymä Vastaanotto 25 Ulkoisilta palvelimilta
Lähtevän välityspalvelimen käyttöliittymä Vastaanotto 717 MMX-palvelimista
Asiakaskäyttöliittymä Vastaanotto 587 Suojattu yhteys ulkoisilta asiakkailta
Asiakkaan välityspalvelimen lähetysliitin Lähettää 465 MBX-palvelimille
Saapuvan välityspalvelimen sisäinen lähetysliitin Lähettää 25/2525 MBX-palvelimille. Vain yhteydet hyväksytään portissa 587
Manuaalisesti luotu lähetysliitin Lähettää 25 Ulkoisille palvelimille

Siirretään liittimien nimet kaavioon Etualan kuljetuspalvelu.

Exchange Server ja palomuurit

Palomuurit sähköpostipalvelimille (Exchange Server), sähköpostipalvelinportit, etu- ja taustapostipalvelimet, virtuaalisia palvelimia SMTP, POP3, IMAP4

Kuten kaikki Internetiin yhdistetyt tietokoneet, myös sähköpostipalvelinta käyttävä tietokone on suojattava palomuurilla. Vaihtoehdot sähköpostipalvelimen asentamiseen verkkomäärityksen suhteen voivat kuitenkin olla hyvin erilaisia:

· Yksinkertaisin vaihtoehto on asentaa sähköpostipalvelin tietokoneeseen, joka on myös välityspalvelin/palomuuri, ja avata sitten tarvittavat portit Internetiin päin olevasta käyttöliittymästä. Tyypillisesti tätä järjestelmää käytetään pienissä organisaatioissa;

Toinen vaihtoehto on asentaa sähköpostipalvelin paikallinen verkko ja määritä se toimimaan välityspalvelimen kautta. Voit tehdä tämän sitomalla julkisen IP-osoitteen sähköpostipalvelimeen ja välittämällä sen välityspalvelimen kautta tai käyttämällä työkaluja, kuten välityspalvelimen porttikartoitus. Monilla välityspalvelimilla on erityisiä ohjattuja toimintoja tai valmiita sääntöjä tällaisen ratkaisun järjestämiseksi (esimerkiksi ISA Server). Tämä vaihtoehto on käytössä useimmissa organisaatioissa.

· Toinen perustavanlaatuinen mahdollisuus on luoda DMZ ja sijoittaa siihen etupään Exchange Server (tämä vaihtoehto on ilmestynyt versiosta 2000 lähtien) tai SMTP Relay, joka perustuu toiseen Exchange Serveriin tai esimerkiksi sendmailiin *nixissä. Käytetään tyypillisesti suurten organisaatioiden verkostoissa.

Postipalvelimen on joka tapauksessa viestittävä ainakin portin TCP 25 (SMTP) ja UDP 53 (DNS) kautta. Muut portit, joita Exchange Server saattaa vaatia verkkokokoonpanostasi riippuen (kaikki TCP):

· 80 HTTP - pääsyä varten verkkokäyttöliittymään (OWA)

· 88 Kerberos-todennusprotokolla - jos Kerberos-todennusta käytetään (harvoin);

· 102 MTA .X .400 -liitintä TCP /IP:n kautta (jos X .400 -liitintä käytetään reititysryhmien väliseen viestintään);

· 110 Post Office Protocol 3 (POP 3) - asiakkaan pääsyä varten;

· 119 Network News Transfer Protocol (NNTP) - jos uutisryhmiä käytetään;

· 135 Asiakas/palvelin-kommunikaatio RPC Exchange -hallinta - vakio-RPC-portti Exchange-etähallintaan standardi tarkoittaa System Manager;

· 143 Internet Message Access Protocol (IMAP) - asiakaskäyttöön;

· 389 LDAP - pääsy hakemistopalveluun;

· 443 HTTP (Secure Sockets Layer (SSL)) (ja alle) - samat protokollat, jotka on suojattu SSL:llä.

· 563 NNTP (SSL)

636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 ja 3269 - kyselyt maailmanlaajuiseen luettelopalvelimeen (haku Active Directorysta ja yleisryhmien jäsenyyden tarkistaminen).

Ei ole mitään järkeä peittää palomuurilla Exchange Server -käyttöliittymää organisaation sisäpuolelle - sitä käytetään vuorovaikutuksessa toimialueen ohjaimien, hallintaohjelmien ja järjestelmien kanssa. Varakopio ja niin edelleen. Internetille altistetussa käyttöliittymässä on suositeltavaa jättää portit 53 (jos Exchange ratkaisee isäntänimet itse sen sijaan, että ohjaa pyyntöjä paikallinen palvelin DNS) ja 25. Hyvin usein asiakkaiden on päästävä postilaatikoihinsa ulkopuolelta (kotoa, työmatkalla jne.). Paras päätös määritä tässä tilanteessa OWA (Web-liitäntä Exchange Serverin pääsyä varten, joka on asennettu oletusarvoisesti, saatavilla osoitteessa http://palvelimen_nimi/vaihto) toimimaan SSL:n kautta ja avoimeen pääsyyn vain portissa 443. Sen lisäksi, että ratkaiset suojausongelmia todennus ja viestien salaus ratkaisee automaattisesti SMTP Relay -ongelman (lisää tästä myöhemmin) ja tilanteen, kun käyttäjä lataa vahingossa toimivan sähköposti sähköpostiohjelman kansioihin kotitietokone, ja sitten töissä hän ei löydä näitä viestejä (puhumattakaan siitä, että työsähköpostin säilyttäminen kotona on tietoturvaloukkaus).

Uusi ominaisuus, joka on ilmestynyt Exchange Serveriin. versiosta 2000 alkaen mahdollisuus käyttää useita virtuaalisia SMTP- ja POP3-palvelimia erilaisilla suojausasetuksilla. Esimerkiksi SMTP-palvelin, joka on vuorovaikutuksessa Internetin kanssa, voidaan määrittää tehostetulla suojaustilalla ja tiukoilla toimitusrajoituksilla, ja organisaation käyttäjien käyttämä SMTP-palvelin voidaan määrittää tehokkaimmilla ja käyttäjäystävällisimmillä asetuksilla.

On myös tarpeen mainita tietty hämmennys terminologiassa - hyvin usein Exchangen palomuureja kutsutaan sanomien suodatusjärjestelmiksi, joista keskustellaan jäljempänä.

[Tämä artikkeli on alustava asiakirja, ja se voi muuttua tulevissa numeroissa. Tyhjät osat sisältyvät paikkamerkkinä. Jos haluat kirjoittaa arvostelun, otamme sen mielellämme vastaan. Lähetä se meille osoitteeseen sähköpostiosoite [sähköposti suojattu].]

Koskee: Exchange Server 2016

Tutustu verkkoportteihin, joita Exchange 2016 käyttää asiakkaiden käyttöön ja sähköpostinkulkuun.

Tämä aihe sisältää tietoja verkkoporteista, joita Microsoft Exchange Server 2016 käyttää kommunikoidakseen sähköpostiohjelmien, online-postipalvelimien ja muiden paikallisen Exchange-organisaation ulkopuolella olevien palvelujen kanssa. Ennen kuin aloitat, harkitse seuraavia perussääntöjä.

    Emme tue verkkoliikenteen rajoittamista tai muokkaamista sisäisten Exchange-palvelimien, sisäisten Exchange-palvelimien ja sisäisten Lync- tai Skype for Business -palvelimien välillä tai sisäisten Exchange-palvelimien ja sisäisten Active Directory -toimialueen ohjauskoneiden välillä missään topologiassa. Jos käytät palomuuria tai verkkolaitteita, jotka voivat rajoittaa tai muokata tätä verkkoliikennettä, sinun on määritettävä säännöt varmistamaan ilmainen ja rajoittamaton tiedonsiirto näiden palvelimien välillä (säännöt, jotka sallivat verkkoliikenteen mihin tahansa porttiin ja porteista, mukaan lukien satunnaiset RPC-portit ja kaikki protokollat, joka ei muutu yhtään).

    Edge Transport -palvelimet sijaitsevat lähes aina kehäverkossa, joten verkkoliikenteen Edge Transport -palvelimen ja Internetin välillä sekä Edge Transport -palvelimen ja sisäisen Exchange-organisaation välillä odotetaan olevan rajoitettua. Nämä verkkoportit on kuvattu tässä osassa.

    Sinun odotetaan rajoittavan verkkoliikennettä ulkoisten asiakkaiden ja palveluiden sekä sisäisen Exchange-organisaation välillä. Voit myös rajoittaa liikennettä sisäisten asiakkaiden ja sisäisten Exchange-palvelimien välillä. Nämä verkkoportit on kuvattu tässä osassa.

Sisältö

Asiakkaille ja palveluille vaadittavat verkkoportit

Postinkulkuun vaadittavat verkkoportit (ei Edge Transport -palvelimia)

Edge Transport -palvelimien sähköpostinkulkuun vaadittavat verkkoportit

Hybridikäyttöön tarvittavat verkkoportit

Verkkoportit vaaditaan Unified Messaging -palveluun

Verkkoportit, joita sähköpostiohjelmat tarvitsevat päästäkseen Exchange-organisaation postilaatikoihin ja muihin palveluihin, on kuvattu seuraava kaavio ja taulukossa.

Huomautuksia

    Näiden asiakkaiden ja palveluiden kohde on Client Access -palvelut postilaatikkopalvelimella. Exchange 2016:ssa Client Access -palvelut (etuosa) ja taustapalvelut asennetaan yhdessä samalle postilaatikkopalvelimelle. Lisätietoja on kohdassa .

    Vaikka kaavio näyttää asiakkaita ja palveluita Internetistä, käsitteet ovat samat sisäisille asiakkaille (esimerkiksi tilimetsässä olevat asiakkaat, jotka käyttävät Exchange-palvelimia resurssimetsässä). Taulukossa ei myöskään ole Lähde-saraketta, koska lähde voi olla mikä tahansa Exchange-organisaation ulkopuolinen sijainti (esimerkiksi Internet tai tilimetsä).

    Edge Transport -palvelimet eivät osallistu näihin asiakkaisiin ja palveluihin liittyvään verkkoliikenteeseen.

Tarkoitus Portit Huomautuksia

Seuraavat asiakkaat ja palvelut käyttävät salattuja verkkoyhteyksiä.

    Autodiscover-palvelu

    Exchange ActiveSync

    Exchange Web Services (EWS)

    Offline-osoitekirjan jakelu

    Outlook Mobile (RPC yli HTTP)

    MAPI Outlook HTTP:n kautta

    Outlook verkossa

443/TCP (HTTPS)

    EWS Exchange Reference

Seuraavat asiakkaat ja palvelut käyttävät salaamattomia verkkoyhteyksiä.

    Kalenterin julkaiseminen verkossa

    Outlook verkossa (uudelleenohjaus porttiin 443/TCP)

    Automaattinen etsiminen (varavaihtoehto, kun portti 443/TCP ei ole käytettävissä)

80/TCP (HTTP)

Aina kun mahdollista, suosittelemme käyttämään salattuja verkkoyhteyksiä portin 443/TCP kautta valtuustietojen ja muiden tietojen suojaamiseksi. Jotkut palvelut on kuitenkin määritettävä käyttämään salaamattomia verkkoyhteyksiä portin 80/TCP kautta Client Access -palveluihin postilaatikkopalvelimissa.

Lisätietoja näistä asiakkaista ja palveluista on seuraavissa artikkeleissa.

IMAP4-asiakkaat

143/TCP (IMAP), 993/TCP (suojattu IMAP)

Oletuksena IMAP4 on poissa käytöstä. Lisätietoja on kohdassa .

Postilaatikkopalvelimen Client Access Services -palvelun IMAP4-palvelu välittää yhteydet postilaatikkopalvelimen sisäiseen IMAP4-palveluun.

POP3-asiakkaat

110/TCP (POP3), 995/TCP (suojattu POP3)

Oletuksena POP3 on poissa käytöstä. Lisätietoja on kohdassa .

Postilaatikkopalvelimen Client Access Services -palvelun POP3-palvelu välittää yhteydet postilaatikkopalvelimen sisäiseen POP3-palveluun.

SMTP-asiakkaat (todennettu)

587/TCP (SMTP todennuksella)

Oletusvastaanoton liitin on "Client Frontend" " External Transport -palvelussa kuuntelee viestejä todennettujen SMTP-asiakkaiden portista 587.

Huomautus.

Jos sinulla on sähköpostiohjelmia, jotka voivat lähettää SMTP-todennettuja viestejä vain portissa 25, voit muuttaa tämän vastaanottoliittimen sidosarvoa niin, että se seuraa myös portissa 25 lähetettyjä SMTP-todennettuja viestejä.

Alkuun

Postinkulkuun vaadittavat verkkoportit

Lähtevä posti

25/TCP (SMTP)

Postilaatikkopalvelin

Internet (kaikki)

Oletusarvoisesti Exchange ei luo Send-liittimiä, joiden avulla voit lähettää sähköpostia Internetiin. Sinun on luotava Send-liittimet manuaalisesti. Lisätietoja on kohdassa .

Lähtevä posti (jos se lähetetään ulkoisen kuljetuspalvelun kautta)

25/TCP (SMTP)

Postilaatikkopalvelin

Internet (kaikki)

Lähtevä posti reititetään ulkoisen siirtopalvelun kautta vain, jos lähetysliitin on otettu käyttöön Client Access Server Proxy -vaihtoehdolla EAC:ssa tai -FrontEndProxyEnabled $true -vaihtoehdolla Exchange Management Shellissä.

Tässä tapauksessa oletusvastaanottoliitin on "Outbound Proxy Frontend " ulkoisessa kuljetuspalvelussa kuuntelee lähtevää postia postilaatikkopalvelimen kuljetuspalvelusta. Katso lisätietoja kohdasta .

DNS-palvelin postin seuraavan hypyn nimen tarkkuudelle (ei näy kuvassa)

53/UDP, 53/TCP (DNS)

Postilaatikkopalvelin

DNS-palvelin

Alkuun

Kehäverkkoon asennettu tilattu Edge Transport -palvelin vaikuttaa postivirtaan seuraavilla tavoilla:

    Exchange-organisaation lähtevä posti ei koskaan kulje ulkoisen kuljetuspalvelun kautta postilaatikkopalvelimilla. Se ohjataan aina tilatun Active Directory -sivuston postilaatikkopalvelimen Transport-palvelusta Edge Transport -palvelimelle (riippumatta Edge Transport -palvelimen Exchangen versiosta).

    Saapuva posti ohjataan Edge Transport -palvelimelta tilatun Active Directory -sivuston postilaatikkopalvelimeen. Tämä tarkoittaa seuraavaa:

    • Sähköposti Exchange 2016- tai Exchange 2013 Edge Transport -palvelimelta saapuu ensin kuljetuspalveluun ja välitetään sitten Exchange 2016 -postilaatikkopalvelimen kuljetuspalveluun.

      Sähköposti Exchange 2010 Edge Transport -palvelimelta menee aina suoraan Exchange 2016 -postilaatikkopalvelimen kuljetuspalveluun.

Sähköpostinkulkuun tarvittavat verkkoportit Exchange-organisaatioissa Edge Transport -palvelimilla on kuvattu seuraavassa kaaviossa ja taulukossa.

Kohdeportit Lähde Destination Notes

Saapuva posti - Internetistä Edge Transport -palvelimelle

25/TCP (SMTP)

Internet (kaikki)

Oletusvastaanottoliitin nimeltä "Sisäinen oletusvastaanottoliitin" " Edge Transport -palvelimella kuuntelee anonyymiä SMTP-postia portissa 25.

Saapuva posti - Edge Transport -palvelimelta sisäiseen Exchange-organisaatioon

25/TCP (SMTP)

Edge Transport Server

Oletuslähetysliitin on nimeltään "EdgeSync - Inbound to "välittää saapuvan postin portissa 25 mille tahansa tilatun Active Directory -sivuston postilaatikkopalvelimelle. Lisätietoja on kohdassa .

Oletusvastaanottoliitin "Oletuskäyttöliittymä" " postilaatikkopalvelimen ulkoisessa siirtopalvelussa kuuntelee kaikkea saapuvaa postia (mukaan lukien viestit Exchange 2016- ja Exchange 2013 Edge Transport -palvelimista) portissa 25.

Lähtevä posti - sisäisestä Exchange-organisaatiosta Edge Transport -palvelimelle

25/TCP (SMTP)

Postilaatikkopalvelimet tilatussa Active Directory -sivustossa

Lähtevä posti ohittaa aina ulkoisen siirtopalvelun postilaatikkopalvelimilla.

Posti välitetään kuljetuspalvelusta millä tahansa tilatun Active Directory -sivuston postilaatikkopalvelimella Edge Transport -palvelimelle käyttämällä implisiittistä ja näkymätöntä organisaation sisäistä lähetysliitintä, joka välittää postin automaattisesti edelleen saman organisaation Exchange-palvelimien välillä.

Sisäinen oletusvastaanotin " Edge Transport -palvelimella kuuntelee SMTP-sähköpostia portissa 25 Transport-palvelusta millä tahansa tilatun Active Directory -sivuston postilaatikkopalvelimella.

Lähtevä posti - Edge Transport -palvelimelta Internetiin

25/TCP (SMTP)

Edge Transport Server

Internet (kaikki)

Oletuslähetysliitin on nimeltään "EdgeSync - with Internetiin" välittää lähtevän postin portissa 25 Edge Transport -palvelimelta Internetiin.

EdgeSync-synkronointi

50636/TCP (LDAP-suojattu)

Tilatun Active Directory -sivuston postilaatikkopalvelimet, jotka osallistuvat EdgeSync-synkronointiin

Edge-kuljetuspalvelimet

Jos Edge Transport -palvelin on tilattu Active Directory -sivustolle, kaikki sivustossa tällä hetkellä olevat postilaatikkopalvelimet osallistuvat EdgeSync-synkronointiin. Mutta jos lisäät muita postilaatikkopalvelimia myöhemmin, ne eivät automaattisesti osallistu EdgeSync-synkronointiin.

DNS-palvelin seuraavan hypyn nimen resoluutiota varten (ei näy kuvassa)

53/UDP, 53/TCP (DNS)

Edge Transport Server

DNS-palvelin

Katso Nimen resoluutio.

Avaa välityspalvelimen tunnistus lähettäjän maineessa (ei näy kuvassa)

Katso muistiinpanot

Edge Transport Server

Internet

Oletusarvoisesti Protocol Analysis Agent käyttää avoimen välityspalvelimen tunnistusta yhtenä ehtona alkuperäisen viestipalvelimen mainetason laskennassa. Katso lisätietoja artikkelista.

Seuraavia TCP-portteja käytetään avoimen välityspalvelimen lähdeviestipalvelimien tarkistamiseen:

Lisäksi, jos organisaatiosi käyttää välityspalvelinta lähtevän Internet-liikenteen hallintaan, sinun on määritettävä välityspalvelimen nimi, tyyppi ja TCP-portti, joka tarvitaan Internetin käyttämiseen ja avoimen välityspalvelimen havaitsemiseen.

Voit myös poistaa avoimen välityspalvelimen tunnistuksen käytöstä.

Lisätietoja on kohdassa .

Alkuun

Nimen resoluutio

Nimen resoluutio

DNS seuraavan hopin sähköpostin ratkaisu on olennainen osa postinkulkua missä tahansa Exchange-organisaatiossa. Saapuvan postin vastaanottamisesta tai lähtevän postin toimittamisesta vastaavien Exchange-palvelimien on kyettävä selvittämään sekä sisäiset että ulkoiset isäntänimet voidakseen reitittää postin oikein. Kaikkien sisäisten Exchange-palvelimien on kyettävä ratkaisemaan sisäiset isäntänimet oikeaa postin reititystä varten. On olemassa monia eri tavoin DNS-infrastruktuurin kehittäminen, mutta tärkeä tulos on oikean nimenratkaisun varmistaminen seuraavaa hyppyä varten kaikilla Exchange-palvelimilla.



AIHEESEEN LIITTYVÄT ARTIKKELIT