Standardni razmjenični priključci. Referenca mrežnih priključaka Exchangea. Stvaranje adresara

U ovom ćemo članku pogledati kako konfigurirati statičke RPC priključke za usluge RPC klijentskog pristupa, Exchange adresara i pristupa javnim mapama u sustavu Exchange 2010.

Zamislimo da imamo složenu organizaciju s Exchange Serverom 2010 SP1 (ili novijim), koji također ima . CAS poslužitelji obično se nalaze na odvojenoj mreži vatrozidi s mreža s kojih se očekuje pristup korisnika (mreže Outlook). Outlook klijent povezuje se s CAS poslužiteljem putem RPC-a, što znači razini mreže može se koristiti bilo koji priključak iz slobodnog raspona priključaka. Nije tajna da u Windows poslužitelj 2008 i 2008 R2 koriste raspon 49152-65535 kao dinamički raspon portova za RPC veze (u prethodnim verzijama Windows verzije Poslužitelj je koristio RPC portove u rasponu 1025-65535).

Kako biste izbjegli pretvaranje vatrozida u sito, preporučljivo je suziti raspon korištenih RPC portova, idealno tako da ih učinite statičnima na svakom poslužitelju klijentskog pristupa u nizu klijentskog pristupa. Osim toga, korištenje statičkih RPC portova može smanjiti potrošnju memorije na uređajima za uravnoteženje opterećenja (osobito HLB) i pojednostaviti njihovu konfiguraciju (nema potrebe za navođenjem velikih raspona portova).

U Exchange 2010, za uslugu RPC Client Access, kao i za Adresar Exchange može postaviti statičke priključke. Outlook komunicira s tim uslugama putem MAPI sučelja.

Statički priključak za uslugu Exchange 2010 RPC Client Access

Virtualna usluga Exchange 2010 RPC Client Access povezana je s RPC Client Access uslugom, na koju se Outlook MAPI klijenti povezuju u Exchange 2010. Kada se Outlook klijent poveže s Exchangeom, na Exchange 2010 Client Access poslužitelju, RPC Client Access usluga koristi TCP End Point Mapper port (TCP/135) i nasumični port iz dinamičkog raspona RPC portova (6005-59530) za dolazne veze.

Da biste postavili statički priključak za uslugu RPC klijentskog pristupa u sustavu Exchange 2010, trebate otvoriti sljedeći odjeljak u uređivaču registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Napravite novi ključ pod nazivom ParametersSystem, unutar kojeg kreirajte REG_DWORD parametar pod nazivom TCP/IP Port. TCP/IP parametar Port specificira statički port za uslugu RPC klijentskog pristupa. Microsoftova dokumentacija preporučuje odabir porta u rasponu 59531 - 60554 i korištenje ove vrijednosti na svim CAS poslužiteljima (naveli smo port 59532, naravno, ne bi ga trebao koristiti nijedan drugi softver).

Nakon postavljanja statičkog priključka, servis se mora ponovno pokrenuti kako bi promjene stupile na snagu. Microsoft Exchange RPC klijentski pristup.

Ponovno pokrenite uslugu MSExchangeRPC

Statički priključak za uslugu adresara Exchange 2010

U sustavu Exchange 2010, prije SP1, posebna konfiguracijska datoteka, Microsoft.exchange.addressbook.service.exe.config, koristila se za postavljanje statičkog priključka za uslugu adresara sustava Exchange 2010. Nakon izdavanja Exchange 2010 SP1, možete postaviti statički priključak za ovu uslugu putem registra. Da biste to učinili, otvorite uređivač registra i idite u ogranak:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Stvorite novi parametar RpcTcpPort (tipa REG_SZ) i postavite ga na broj priključka koji želite popraviti za uslugu Exchange Address Book. Preporuča se koristiti bilo koji slobodni port u rasponu 59531-60554, a zatim ga koristiti na svim poslužiteljima Exchange 2010 Client Access u domeni. Postavit ćemo RpcTcpPort=59533

Nakon toga trebate ponovno pokrenuti uslugu Microsoft Exchange Address Book

Ponovno pokrenite uslugu MSExchangeAB

Važno: prilikom prelaska s Exchange 2010 RTM na SP1, ovaj ključ mora biti postavljen ručno; ne nasljeđuje se automatski.

Konfiguriranje statičkog priključka za povezivanje s dijeljenim mapama

Javnim se mapama pristupa iz Outlook klijenta izravno putem usluge RPC Client Access na poslužitelju koji izvodi ulogu poštanskog sandučića. Ova postavka mora se provesti na svim poslužiteljima s ulogom poštanskog sandučića koji sadrže bazu podataka dijeljene mape(slično CAS poslužiteljima). Otvorite uređivač registra i idite u ogranak

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Napravite novi ključ pod nazivom ParametersSystem, unutar kojeg kreirajte REG_DWORD parametar pod nazivom TCP/IP Port. Postavite njegovu vrijednost: TCP/IP port = 59532.

Nakon što ste statički postavili priključak za javne mape, trebate ponovno pokrenuti uslugu Microsoft Exchange RPC Client Access na svakom poslužitelju poštanskog sandučića.

Provjera korištenja statičkih priključaka između Outlooka i Exchangea 2010

Nakon što izvršite promjene, provjerimo spaja li se Outlook na statičke RPC priključke koje smo naveli. Da biste to učinili, ponovno pokrenite Outlook na klijentskom računalu, a zatim naredbeni redak pokrenite naredbu:

Netstat -na

Odnosi se na: Exchange Server 2010 SP1

Ovaj odjeljak je zadnji put izmijenjen: 2011-04-22

Ovaj odjeljak pruža informacije o priključcima, provjeri autentičnosti i šifriranju za sve putove podataka koji se koriste u Microsoft Exchange Serveru 2010. Odjeljak "Napomene" nakon svake tablice pojašnjava ili definira nestandardne metode provjere autentičnosti ili šifriranja.

Prijenosni poslužitelji

U sustavu Exchange 2010 postoje dvije uloge poslužitelja koje obavljaju funkcije prijenosa poruka: poslužitelj Hub Transport i poslužitelj Edge Transport.

Sljedeća tablica pruža informacije o priključcima, provjeri autentičnosti i enkripciji putova podataka između ovih prijenosnih poslužitelja i drugih poslužitelja i usluga sustava Exchange 2010.

Staze podataka za transportne poslužitelje Podatkovni put Potrebni portovi Podrška za šifriranje

Između dva Hub Transport poslužitelja

Da, koristeći TLS (Transport Layer Security)

Od poslužitelja Hub Transport do poslužitelja Edge Transport

Izravno povjerenje

Izravno povjerenje

Da, koristeći TLS

Od poslužitelja Edge Transport do poslužitelja Hub Transport

Izravno povjerenje

Izravno povjerenje

Da, koristeći TLS

Između dva Edge Transport poslužitelja

Anonimno, provjera autentičnosti certifikata

Anonimno, korištenjem certifikata

Da, koristeći TLS

Sa servera poštanski sandučići putem servisa za slanje pošte Microsoft Exchange

NTLM. Kada se uloga poslužitelja Hub Transport i uloga poslužitelja poštanskog sandučića izvode na istom poslužitelju, koristi se Kerberos protokol.

Da, koristeći RPC enkripciju

Od poslužitelja Hub Transport do poslužitelja poštanskog sandučića putem MAPI-ja

NTLM. Kada su uloga poslužitelja Hub Transport i uloga poslužitelja poštanskog sandučića instalirane na istom poslužitelju, koristi se Kerberos protokol.

Da, koristeći RPC enkripciju

Da, koristeći TLS

Usluga Microsoft Exchange EdgeSync od poslužitelja Hub Transport do poslužitelja Edge Transport

Da, koristeći LDAP preko SSL-a (LDAPS)

Pristupite Active Directoryju s poslužitelja Hub Transport

Pristup uslugama upravljanja pravima Active Directory (AD RMS) s poslužitelja Hub Transport

Da, koristeći SSL

SMTP klijenti na Hub Transport poslužitelj (na primjer, krajnji korisnici koji koriste Windows Live Mail)

Da, koristeći TLS
Bilješke za transportne poslužitelje
  • Sav promet između Hub Transport poslužitelja kriptiran je pomoću TLS-a i samopotpisanih certifikata instaliranih u programu Exchange 2010 Setup.
  • Sav promet između poslužitelja Edge Transport i poslužitelja Hub Transport autentificiran je i šifriran. Uzajamni TLS koristi se kao mehanizam provjere autentičnosti i šifriranja. Umjesto X.509 provjere autentičnosti, Exchange 2010 koristi izravno povjerenje. Izravno povjerenje znači da prisutnost certifikata u Active Directory ili Active Directory Lightweight Directory Services (AD LDS) provjerava autentičnost certifikata. Active Directory se smatra pouzdanim mehanizmom za pohranu podataka. Kada se koristi izravno povjerenje, nije važno koristi li se samopotpisani certifikat ili certifikat potpisan od strane ovlaštenog tijela za izdavanje certifikata. Kada se Edge Transport poslužitelj pretplati na Exchange organizaciju, Edge Subscription objavljuje certifikat Edge Transport poslužitelja u Active Directory kako bi ga Hub Transport poslužitelji mogli potvrditi. Usluga Microsoft Exchange EdgeSync dodaje skup certifikata poslužitelja Hub Transport u Active Directory Lightweight Directory Services (AD LDS) za provjeru valjanosti poslužitelja Edge Transport.
  • EdgeSync koristi sigurnu LDAP vezu s Hub Transport poslužitelja na pretplaćene Edge Transport poslužitelje na TCP portu 50636. Active Directory Lightweight Directory Services također sluša TCP port 50389. Veza s ovim portom ne koristi SSL. Možete koristiti LDAP pomoćne programe za povezivanje s ovim priključkom i provjeru podataka Active Directory Lightweight Directory Services.
  • Prema zadanim postavkama, promet između Edge Transport poslužitelja koji se nalaze u dvije različite organizacije je šifriran. Postavljanje sustava Exchange 2010 stvara samopotpisani certifikat i omogućuje TLS prema zadanim postavkama. Ovo omogućuje svakom sustavu pošiljatelja da šifrira SMTP sesiju koja ulazi u Exchange. Prema zadanim postavkama, Exchange 2010 također pokušava koristiti TLS za sve udaljene veze.
  • Metode provjere autentičnosti za promet između poslužitelja Hub Transport i poslužitelja poštanskog sandučića razlikuju se kada su uloge poslužitelja Hub Transport i poslužitelja poštanskog sandučića instalirane na istom računalu. Lokalni prijenos pošte koristi Kerberos autentifikaciju. Udaljeni prijenos pošte koristi NTLM provjeru autentičnosti.
  • Exchange 2010 također podržava sigurnost domene. Sigurnost domene skup je značajki u sustavima Exchange 2010 i Microsoft Outlook 2010 koje pružaju jeftinu alternativu S/MIME-u i drugim sigurnosnim rješenjima za razmjenu internetskih poruka. Sigurnost domene pruža način upravljanja sigurnim putovima poruka između domena na Internetu. Nakon što su ove sigurne staze konfigurirane, uspješno poslane poruke od autentificiranog pošiljatelja prikazuju se kao poruke "zaštićene domenom" korisnicima programa Outlook i Outlook Web Access. Za više informacija pogledajte Pregled sigurnosti domene.
  • Mnogi agenti mogu raditi i na poslužiteljima Hub Transport i na poslužiteljima Edge Transport. Tipično, zaštitna sredstva smeće koristiti informacije lokalno računalo na kojima se izvršavaju. Stoga nije potrebna gotovo nikakva interakcija udaljena računala. Iznimka je filtriranje primatelja. Filtriranje primatelja zahtijeva poziv na AD LDS ili Active Directory. Preporučujemo da izvršite filtriranje primatelja na Edge Transport poslužitelju. U ovom slučaju, AD LDS direktorij nalazi se na istom računalu na kojem je instalirana uloga Edge Transport poslužitelja, tako da udaljena veza nije potrebna. Ako je filtriranje primatelja instalirano i konfigurirano na Hub Transport poslužitelju, morate imati pristup usluzi imenika Active Directory.
  • Agent za analizu protokola koristi značajka reputacije pošiljatelja u sustavu Exchange 2010. Ovaj se agent također povezuje s raznim vanjskim proxy poslužiteljima kako bi odredio putanje dolaznih poruka za sumnjive veze.
  • Sve ostale značajke protiv neželjene pošte koriste podatke koji se prikupljaju, pohranjuju i dostupni su samo na lokalnom računalu. Obično se podaci kao što su konsolidirani popis sigurnih pošiljatelja ili podaci o primateljima za filtriranje primatelja guraju u lokalni AD LDS direktorij pomoću usluge Microsoft Exchange EdgeSync.
  • Agenti upravljanja pravima na informacije (IRM) na Hub Transport poslužiteljima povezuju se s poslužiteljima usluga upravljanja pravima Active Directory (AD RMS) u organizaciji. Active Directory Rights Management Service (AD RMS) je web servis za koji se preporučuje da bude zaštićen SSL-om. Veze s poslužiteljima usluga upravljanja pravima Active Directory ostvaruju se pomoću HTTPS-a, a autentifikacija koristi Kerberos ili NTLM, ovisno o konfiguraciji poslužitelja usluga upravljanja pravima Active Directory.
  • Pravila zapisnika, pravila prijenosa i pravila klasifikacije poruka pohranjuju se u uslugama Active Directory i pristupaju im agent za vođenje dnevnika i agent za pravila prijenosa na poslužiteljima Hub Transport. Poslužitelji poštanskih sandučića

    Na poslužiteljima poštanskih sandučića, hoće li se koristiti NTLM ili Kerberos provjera autentičnosti ovisi o korisničkom kontekstu ili procesu unutar kojeg se izvodi potrošač sloja poslovne logike Exchange. U ovom kontekstu potrošači su sve aplikacije ili procesi koji koriste sloj poslovne logike Exchangea. Kao rezultat toga, stupac Zadana provjera autentičnosti u tablici Data Paths for Mailbox Servers ima mnogo redaka postavljenih na NTLM/Kerberos.

    Sloj poslovne logike Exchangea koristi se za pristup i interakciju s Exchange trgovinom. Sloj poslovne logike Exchangea također se poziva iz Exchange trgovine radi interakcije vanjske aplikacije i procese.

    Ako potrošač sloja poslovne logike sustava Exchange radi u kontekstu lokalnog sustava, metoda provjere autentičnosti koja se koristi kada korisnik pristupi trgovini sustava Exchange uvijek je Kerberos. Koristi se metoda provjere autentičnosti Kerberos jer se identitet primatelja mora potvrditi korištenjem račun računala "Lokalni sustav" i također zahtijeva dvosmjerno provjereno povjerenje.

    Ako primatelj sloja poslovne logike Exchange ne radi u kontekstu lokalnog sustava, metoda provjere autentičnosti je NTLM. Na primjer, kada administrator pokrene cmdlet ljuske za upravljanje sustavom Exchange koji koristi sloj poslovne logike sustava Exchange, primjenjuje se NTLM provjera autentičnosti.

    RPC promet uvijek je šifriran.

    Sljedeća tablica pruža informacije o portovima, provjeri autentičnosti i enkripciji putanje podataka za poslužitelje poštanskih sandučića.

    Staze podataka za poslužitelje poštanskih sandučića Put podataka Potrebni portovi Zadana autentifikacija Podržana metoda provjere autentičnosti Enkripcija Podrška Zadana enkripcija podataka

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (mrežna RPC prijava)

    Da, koristeći Kerberos enkripciju

    Administrativni daljinski pristup (udaljeni registar)

    Da, koristeći IPsec

    Administrativni daljinski pristup (SMB, datoteke)

    Da, koristeći IPsec

    Web usluga dostupnosti (klijentski pristup poštanskom sandučiću)

    Da, koristeći RPC enkripciju

    Grupiranje

    Da, koristeći RPC enkripciju

    Između poslužitelja za klijentski pristup (Exchange ActiveSync)

    80/TCP, 443/TCP (SSL)

    Autentifikacija Kerberos certifikata

    Da, koristeći HTTPS

    Da, koristeći samopotpisani certifikat

    Između poslužitelja klijentskog pristupa (Outlook Web Access)

    80/TCP, 443/TCP (HTTPS)

    Da, koristeći SSL

    Poslužitelj klijentskog pristupa na poslužitelj klijentskog pristupa (Exchange Web Services)

    Da, koristeći SSL

    Poslužitelj pristupa klijenta na poslužitelj pristupa klijenta (POP3)

    Da, koristeći SSL

    Od poslužitelja klijentskog pristupa do poslužitelja klijentskog pristupa (IMAP4)

    Da, koristeći SSL

    Office Communications Server u Client Access Server (kada je omogućena integracija Office Communications Servera i Outlook Web App)

    5075-5077/TCP (ULAZ), 5061/TCP (IZLAZ)

    mTLS (obavezno)

    mTLS (obavezno)

    Da, koristeći SSL
    Napomene za poslužitelje klijentskog pristupa poslužitelje jedinstveni sustav slanje poruka

    IP pristupnici i IP PBX-ovi podržavaju samo autentifikaciju certifikata, koja koristi uzajamnu TLS autentifikaciju za šifriranje SIP prometa i autentifikaciju temeljenu na IP adresi za SIP ili TCP veze. IP pristupnici ne podržavaju NTLM ili Kerberos autentifikaciju. Stoga, kada koristite provjeru autentičnosti na temelju IP adrese, IP adrese veza koriste se kao mehanizam provjere autentičnosti za nešifrirane (TCP) veze. Kada se koristi u Unified Messaging, provjera autentičnosti temeljena na IP-u provjerava je li danoj IP adresi dopušteno povezivanje. IP adresa je konfigurirana na IP pristupniku ili IP PBX-u.

    IP pristupnici i IP PBX-ovi podržavaju Mutual TLS za šifriranje SIP prometa. Nakon uspješnog uvoza i izvoza potrebnih pouzdanih certifikata, IP pristupnik ili IP PBX će zatražiti certifikat od poslužitelja Unified Messaging, a zatim će zatražiti certifikat od IP pristupnika ili IP PBX-a. Razmjena povjerljivih certifikata između IP pristupnika ili IP PBX-a i poslužitelja za objedinjenu razmjenu poruka omogućuje komunikaciju oba uređaja preko sigurnog kanala koristeći Mutual TLS.

    Sljedeća tablica pruža informacije o portu, provjeri autentičnosti i enkripciji za putove podataka između poslužitelja Unified Messaging i drugih poslužitelja.

    Putovi podataka za poslužitelje Unified Messaging Put podataka Potrebni portovi Zadana autentifikacija Podržana metoda provjere autentičnosti Enkripcija Podrška Zadana enkripcija podataka

    Pristup aktivnom imeniku

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (mrežna RPC prijava)

    Da, koristeći Kerberos enkripciju

    Telefonija s objedinjenom razmjenom poruka (IP PBX/VoIP pristupnik)

    5060/TCP, 5065/TCP, 5067/TCP (nezaštićeni način rada), 5061/TCP, 5066/TCP, 5068/TCP (sigurni način rada), dinamički raspon portova 16000-17000/TCP (kontrola), dinamički UDP portovi iz raspona 1024-65535/UDP (RTP)

    Po IP adresi

    Po IP adresi, MTLS

    Da, koristeći SIP/TLS, SRTP

    Web usluga Unified Messaging

    80/TCP, 443/TCP (SSL)

    Integrirana Windows autentifikacija (pregovaranje)

    Da, koristeći SSL

    Od poslužitelja za objedinjenu razmjenu poruka do poslužitelja za klijentski pristup

    5075, 5076, 5077 (TCP)

    Integrirana Windows autentifikacija (pregovaranje)

    Osnovni, Sažetak, NTLM, Pregovaranje (Kerberos)

    Da, koristeći SSL

    Od poslužitelja Unified Messaging do poslužitelja za klijentski pristup (igrajte na telefonu)

    Dinamički RPC

    Da, koristeći RPC enkripciju

    Od poslužitelja Unified Messaging do poslužitelja Hub Transport

    Da, koristeći TLS

    Od poslužitelja Unified Messaging do poslužitelja poštanskog sandučića

    Da, koristeći RPC enkripciju
    Napomene za poslužitelje Unified Messaging
    • Kada kreirate objekt IP pristupnika Unified Messaging u Active Directoryju, morate navesti IP adresu fizičkog IP pristupnika ili IP PBX-a. Kada odredite IP adresu UM IP pristupnika, IP adresa se dodaje na popis važećih IP pristupnika ili IP PBX-ova (također poznatih kao sudionici SIP sesije) s kojima je poslužitelju Unified Messaging dopuštena komunikacija. Nakon što stvorite IP pristupnik objedinjene razmjene poruka, možete ga povezati s planom biranja objedinjene razmjene poruka. Mapiranje UM IP pristupnika na plan biranja omogućuje poslužiteljima objedinjene razmjene poruka koji su mapirani na plan biranja korištenje provjere autentičnosti temeljene na IP adresi za komunikaciju s IP pristupnikom. Ako IP pristupnik objedinjene razmjene poruka nije kreiran ili nije konfiguriran za korištenje točne IP adrese, provjera autentičnosti neće uspjeti i poslužitelji objedinjene razmjene poruka neće prihvatiti veze s IP adrese IP pristupnika. Osim toga, pri implementaciji Mutual TLS-a, IP pristupnika ili IP PBX-a i poslužitelja Unified Messaging, UM IP pristupnik mora biti konfiguriran za korištenje potpuno kvalificiranog naziva domene (FQDN). Nakon što konfigurirate UM IP pristupnik pomoću potpuno kvalificiranog naziva domene, također morate dodati zapis glavnog računala za taj pristupnik u zonu DNS pretraživanja za prosljeđivanje.
    • U sustavu Exchange 2010 poslužitelj za objedinjenu razmjenu poruka može komunicirati na priključku 5060/TCP (nesigurno) ili priključku 5061/TCP (osigurano) i može se konfigurirati za korištenje oba priključka.

    Za više informacija pogledajte Razumijevanje VoIP sigurnosti objedinjene razmjene poruka i Razumijevanje protokola, priključaka i usluga objedinjene razmjene poruka.

    Pravila Vatrozid za Windows kreiran u programu Exchange 2010 Setup

    Vatrozid za Windows s naprednom sigurnošću je vatrozid s praćenjem stanja koji se temelji na stroju i filtrira dolazni i odlazni promet na temelju pravila vatrozida. Postavljanje sustava Exchange 2010 stvara pravila Windows vatrozida za otvaranje portova potrebnih za komunikaciju između poslužitelja i klijenta u svakoj ulozi poslužitelja. Stoga više ne trebate koristiti čarobnjaka za sigurnosnu konfiguraciju za konfiguraciju ovih postavki. Za više informacija o Vatrozidu za Windows s naprednom sigurnošću pogledajte Vatrozid za Windows s naprednom zaštitom i IPsec.

    Sljedeća tablica prikazuje pravila vatrozida za Windows stvoren programom Exchange instalacija, uključujući portove otvorene u svakoj ulozi poslužitelja. Ova pravila možete pregledati korištenjem MMC dodatka vatrozida za Windows s naprednom sigurnošću.

    Naziv pravila Uloge poslužitelja Port Program

    MSExchangeADTopology - RPC (TCP-in)

    Dinamički RPC

    Bin\MSExchangeADTopologyService.exe

    MSExchangeMonitoring - RPC (TCP-in)

    Poslužitelj za klijentski pristup, Hub Transport poslužitelj, Edge Transport poslužitelj, Unified Messaging server

    Dinamički RPC

    Bin\Microsoft.Exchange.Management.Monitoring.exe

    MSExchangeServiceHost - RPC (TCP-in)

    Dinamički RPC

    Bin\Microsoft.Exchange.ServiceHost.exe

    MSExchangeServiceHost - RPCEPMap (TCP-in)

    Bin\Microsoft.Exchange.Service.Host

    MSExchangeRPCEPMap (GFW) (TCP-in)

    MSExchangeRPC (GFW) (TCP-in)

    Poslužitelj za klijentski pristup, poslužitelj Hub Transport, poslužitelj poštanskih sandučića, poslužitelj za objedinjenu razmjenu poruka

    Dinamički RPC

    MSExchange - IMAP4 (GFW) (TCP-in)

    Poslužitelj klijentskog pristupa

    MSExchangeIMAP4 (TCP-in)

    Poslužitelj klijentskog pristupa

    ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

    MSExchange - POP3 (FGW) (TCP-in)

    Poslužitelj klijentskog pristupa

    MSExchange - POP3 (TCP-in)

    Poslužitelj klijentskog pristupa

    ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

    MSExchange - OWA (GFW) (TCP-in)

    Poslužitelj klijentskog pristupa

    5075, 5076, 5077 (TCP)

    MSExchangeOWAAppPool (TCP-in)

    Poslužitelj klijentskog pristupa

    5075, 5076, 5077 (TCP)

    Inetsrv\w3wp.exe

    MSExchangeAB RPC (TCP-in)

    Poslužitelj klijentskog pristupa

    Dinamički RPC

    MSExchangeAB-RPCEPMap (TCP-in)

    Poslužitelj klijentskog pristupa

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    MSExchangeAB-RpcHttp (TCP-in)

    Poslužitelj klijentskog pristupa

    6002, 6004 (TCP)

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    RpcHttpLBS (TCP-in)

    Poslužitelj klijentskog pristupa

    Dinamički RPC

    System32\Svchost.exe

    MSExchangeRPC - RPC (TCP-in)

    Dinamički RPC

    MSExchangeRPC - PRCEPMap (TCP-in)

    Poslužitelj klijentskog pristupa, poslužitelj poštanskih sandučića

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeRPC (TCP-in)

    Poslužitelj klijentskog pristupa, poslužitelj poštanskih sandučića

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeMailboxReplication (GFW) (TCP-in)

    Poslužitelj klijentskog pristupa

    MSExchangeMailboxReplication (TCP-in)

    Poslužitelj klijentskog pristupa

    Bin\MSExchangeMailboxReplication.exe

    MSExchangeIS - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    MSExchangeIS RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    MSExchangeIS (GFW) (TCP-in)

    Poslužitelj poštanskog sandučića

    6001, 6002, 6003, 6004 (TCP)

    MSExchangeIS (TCP-in)

    Poslužitelj poštanskog sandučića

    MSExchangeMailboxAssistants - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    MSExchangeMailboxAssistants - RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeMailboxAssistants.exe

    MSExchangeMailSubmission - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    MSExchangeMailSubmission - RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeMailSubmission.exe

    MSExchangeMigration - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    Bin\MSExchangeMigration.exe

    MSExchangeMigration - RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeMigration.exe

    MSExchangerepl - program za kopiranje dnevnika (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC-EPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeRepl.exe

    MSExchangeSearch - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    Bin\Microsoft.Exchange.Search.ExSearch.exe

    MSExchangeThrottling - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    Bin\MSExchangeThrottling.exe

    MSExchangeThrottling - RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    Bin\MSExchangeThrottling.exe

    MSFTED - RPC (TCP-in)

    Poslužitelj poštanskog sandučića

    Dinamički RPC

    MSFTED - RPCEPMap (TCP-in)

    Poslužitelj poštanskog sandučića

    MSExchangeEdgeSync - RPC (TCP-in)

    Hub Transport Server

    Dinamički RPC

    MSExchangeEdgeSync RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\Microsoft.Exchange.EdgeSyncSvc.exe

    MSExchangeTransportWorker - RPC (TCP-in)

    Hub Transport Server

    Dinamički RPC

    Bin\edgetransport.exe

    MSExchangeTransportWorker - RPCEPMap (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportWorker (GFW) (TCP-in)

    Hub Transport Server

    MSExchangeTransportWorker (TCP-in)

    Hub Transport Server

    Bin\edgetransport.exe

    MSExchangeTransportLogSearch - RPC (TCP-in)

    Dinamički RPC

    MSExchangeTransportLogSearch - RPCEPMap (TCP-in)

    Hub Transport Server, Edge Transport Server, Mailbox Server

    Bin\MSExchangeTransportLogSearch.exe

    SESWorker (GFW) (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    SESWorker (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    UnifiedMessaging\SESWorker.exe

    UMService (GFW) (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    UMService (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    Bin\UMService.exe

    UMWorkerProcess (GFW) (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    5065, 5066, 5067, 5068

    UMWorkerProcess (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    5065, 5066, 5067, 5068

    Bin\UMWorkerProcess.exe

    UMWorkerProcess - RPC (TCP-in)

    Objedinjeni poslužitelj za razmjenu poruka

    Dinamički RPC

    Bin\UMWorkerProcess.exe
    Napomene o pravilima vatrozida za Windows koje je izradio Exchange 2010 Setup
    • Na poslužiteljima s instaliranim IIS-om, Windows otvara HTTP (port 80, TCP) i HTTPS (port 443, TCP) portove. Postavljanje sustava Exchange 2010 ne otvara te priključke. Stoga ti priključci nisu navedeni u prethodnoj tablici.
    • U sustavima Windows Server 2008 i Windows Server 2008 R2 Vatrozid za Windows s naprednom sigurnošću omogućuje vam da odredite proces ili uslugu za koju je port otvoren. Ovo je sigurnije jer port može koristiti samo proces ili usluga navedena u pravilu. Postavljanje sustava Exchange stvara pravila vatrozida s navedenim nazivom procesa. U nekim slučajevima, radi kompatibilnosti, stvara se dodatno pravilo koje nije ograničeno na ovaj proces. Možete onemogućiti ili ukloniti pravila koja nisu ograničena procesom i zadržati odgovarajuća pravila ograničena procesom ako ih vaša trenutna okolina postavljanja podržava. Pravila koja nisu ograničena na procese mogu se prepoznati po riječi (GFW) u nazivu pravila.
    • Mnogi Exchange servisi za komunikaciju koriste pozive udaljenih procedura (RPC). Procesi poslužitelja koji koriste udaljene pozive procedura povezuju se s RPC maperom krajnje točke kako bi dobili dinamičke krajnje točke i registrirali ih u bazi podataka mapera krajnje točke. RPC klijenti komuniciraju s RPC maperom krajnjih točaka kako bi odredili krajnje točke koje koristi proces poslužitelja. Prema zadanim postavkama RPC rješavač krajnjih točaka sluša port 135 (TCP). Kada konfigurirate Windows vatrozid za proces koji koristi udaljene pozive procedura, instalacija sustava Exchange 2010 stvara dva pravila vatrozida za taj proces. Jedno pravilo dopušta interakciju s RPC maperom krajnje točke, a drugo dopušta interakciju s dinamički dodijeljenom krajnjom točkom. Za više informacija o udaljenim pozivima procedura pogledajte ovaj članak. Za više informacija o stvaranju pravila Windows vatrozida za dinamičke udaljene pozive procedura, pogledajte ovaj članak.

      Dodatne informacije potražite u članku 179442 Microsoftove baze znanja

www.microsoft.com

Članak Exchange 2013 FrontEnd Transport Service je prvi u nizu članaka koji opisuju kako transportne usluge rade u Exchange Serveru 2013. U ovom ćemo članku govoriti o Usluga prijevoza u prvom planu na poslužiteljima klijentskog pristupa.

U 2013. verziji Exchange servera došlo je do prilično značajnih promjena u arhitekturi i sada postoje samo dvije glavne uloge - poslužitelj poštanskih sandučića (Mailbox Server ili skraćeno MBX) i poslužitelj klijentskog pristupa (CAS). Uloga Edge Transport servera je posebna. Servis Exchange 2013 FrontEnd Prijenos nalazi se na CAS poslužiteljima i služi kao proxy.

Ovo je prvi članak u nizu o tome kako funkcioniraju usluge prijenosnog cjevovoda Exchange 2013, ali evo cijelog popisa:

I također članke o upravljanju zapisima ovih usluga:

Ne zaboravite na službenu dokumentaciju.

Više informacija o postavljanju i administriranju Exchange 2013 možete pronaći na mom blogu u glavnom članku na temu -.

Slučajno se dogodilo da sada na poslužitelju Exchange 2013 postoji dosta transportnih usluga koje imaju slična imena, ali su bitno različite u svrhu i principu rada. Evo svih ovih usluga:

  • Usluga prijevoza u prvom planu na poslužiteljima klijentskog pristupa (ime za prikaz je Microsoft Exchange FrontEnd Transport, skraćeno kao MSExchangeFrontEndTransport);
  • Usluga prijevoza na poslužiteljima poštanskih sandučića (ime za prikaz je Microsoft Exchange Transport, skraćeno kao MSExchangeTransport);
  • Usluga prijevoza poštanskih sandučića na poslužiteljima poštanskih sandučića (Zapravo uključuje dvije usluge - Microsoft Exchange Mailbox Transport Delivery i Microsoft Exchange Mailbox Transport Submission, skraćeni nazivi - MSExchangeDelivery odnosno MSExchangeSubmission);
  • Transportna usluga na Edge Transport poslužiteljima (ime za prikaz je Microsoft Exchange Transport, skraćeno u MSExchangeTransport).

Istodobno, samo druga i četvrta usluga imaju usporedivu funkcionalnost; ostale su bitno različite. Svi oni zajedno čine transportni cjevovod, koji je srce poslužitelja pošte.

Transportna traka

Općenito, transportna traka izgleda ovako:

U kontekstu ovog članka zanima nas gornji dio ilustracije koji prikazuje Client Access Server:

U ovoj shemi postoji jedna nijansa. Činjenica je da prema zadanim postavkama MBX poslužitelji mogu neovisno slati poštu prema van putem SMTP porta 25. Kako biste osigurali da konektor za slanje uvijek šalje poštu na Internet preko poslužitelja za klijentski pristup, morate eksplicitno postaviti parametar konektora FrontendProxyEnabled u smislu $istina(ili u EAC stavite kvačicu Proxy putem poslužitelja za pristup klijentu u svojstvima konektora za slanje). To je konfiguracija na kojoj ću graditi u budućnosti.

U nastavku ću pokušati razjasniti princip rada. Exchange 2013 poslužitelji s CAS ulogom.

Princip rada

FrontEnd prijenos(u Microsoftovoj terminologiji - Prijevozna usluga) ne obrađuje sadržaj poruke, ne koristi red čekanja poruka niti komunicira s uslugom prijenosa poštanskih sandučića. Drugim riječima, poslužitelji Exchange 2013 samo s ulogom CAS ne pohranjuju podatke niti trajno (pomoću baze podataka) niti privremeno (u redu čekanja za obradu poruka).

Međutim, usluga Front End Transport ima vlastite transportne agente (vidi sliku - Agenti protokola). Agenti vam omogućuju da proširite funkcionalnost Exchange poslužitelja pošte dodavanjem vlastitog koda u logiku obrade poruka. Agenti se pozivaju kada se dogode SMTP događaji. Ti se događaji pak generiraju u jednoj ili drugoj fazi obrade poruka dok prolaze kroz transportni cjevovod. Vrijedno je napomenuti da je većina agenata prisutnih prema zadanim postavkama skrivena ili se njihove postavke ne mogu kontrolirati. Funkcionalnost agenata na CAS poslužiteljima prilično je ograničena i u potpunosti je prisutna samo u MBX i Edge ulogama.

Priključci za slanje i primanje

Na dijagramu (vidi gore) Usluga prijevoza u prvom planu označavamo klijentski pristupni poslužitelj na svakom dolaznom i odlazna veza odgovarajući priključak, što rezultira sljedećim prikazom:

Zasebni konektor za primanje odgovoran je za osluškivanje veza na svakom priključku navedenom u dijagramu, od kojih se tri stvaraju prema zadanim postavkama prilikom instaliranja CAS uloge:

Osim konektora koji su vidljivi i dostupni administratoru, postoje i skriveni sistemski Send konektori:

  • Ulazni proxy interni konektor za slanje (SMTP 25/2525 in )
  • Konektor za slanje proxyja klijenta (SMTP primljen na portu 587 in Usluga prijevoza na poslužiteljima poštanskih sandučića do priključka 465)

Usput, prvi konektor u ruskoj verziji Exchange Servera 2013 imat će ime Interni konektor za slanje za ulaz. Spojiti proxy poslužitelj, i drugo - Priključak za slanje proxyja klijenta. Ovo je za svaki slučaj, da ne ostanete zapanjeni pri prvom susretu s ovim konektorima.

Kao rezultat toga, dobivamo sljedeću potpunu tablicu:

Ime Svrha Luka Smjer
Zadano sučelje Recepcija 25 S vanjskih poslužitelja
Odlazni proxy sučelje Recepcija 717 S MBX poslužitelja
Frontend klijenta Recepcija 587 Od vanjskih klijenata, sigurna veza
Konektor za slanje proxyja klijenta otprema 465 Na MBX poslužitelje
Inbound Proxy interni konektor za slanje otprema 25/2525 Na MBX poslužitelje. Samo su veze prihvaćene na portu 587
Ručno kreiran konektor za slanje otprema 25 Na vanjske poslužitelje

Prenesimo nazive konektora na dijagram Usluga prijevoza u prvom planu.

Exchange poslužitelj i vatrozidi

Vatrozidi za poslužitelje pošte (Exchange Server), portovi poslužitelja pošte, prednji i pozadinski poslužitelji e-pošte, virtualni poslužitelji SMTP, POP3, IMAP4

Kao i svako računalo spojeno na Internet, računalo na kojem se nalazi poslužitelj e-pošte mora biti zaštićeno vatrozidom. Međutim, opcije za instaliranje poslužitelja e-pošte u smislu konfiguracije mreže mogu biti vrlo različite:

· najjednostavnija opcija je instalirati poslužitelj pošte na računalo koje je ujedno i proxy poslužitelj/vatrozid, a zatim otvoriti potrebne portove na sučelju koje je okrenuto prema Internetu. Obično se ova shema koristi u malim organizacijama;

Druga je mogućnost instaliranje poslužitelja pošte lokalna mreža i konfigurirajte ga za rad preko proxy poslužitelja. Da biste to učinili, možete vezati javni IP na poslužitelj e-pošte i proslijediti ga kroz proxy ili koristiti alate kao što je mapiranje portova na proxy poslužitelju. Mnogi proxy poslužitelji imaju posebne čarobnjake ili unaprijed pripremljena pravila za organizaciju takvog rješenja (primjerice, ISA Server). Ova se opcija koristi u većini organizacija.

· još jedna temeljna mogućnost je stvoriti DMZ i u njega smjestiti front-end Exchange Server (ova opcija se pojavila od verzije 2000.) ili SMTP Relay temeljen na drugom Exchange Serveru ili, na primjer, sendmail na *nix. Obično se koristi u mrežama velikih organizacija.

U svakom slučaju, poslužitelj pošte mora komunicirati barem na portu TCP 25 (SMTP) i UDP 53 (DNS). Ostali priključci koje Exchange Server može zahtijevati ovisno o vašoj mrežnoj konfiguraciji (svi TCP):

· 80 HTTP - za pristup web sučelju (OWA)

· 88 Kerberos autentikacijski protokol - ako se koristi Kerberos autentikacija (rijetko);

· 102 MTA .X .400 konektor preko TCP /IP (ako se X .400 konektor koristi za komunikaciju između grupa usmjeravanja);

· 110 Post Office Protocol 3 (POP 3) - za klijentski pristup;

· 119 Network News Transfer Protocol (NNTP) - ako se koriste news grupe;

· 135 Komunikacija klijent/poslužitelj RPC Exchange administracija - standardni RPC port za udaljenu Exchange administraciju standardnim sredstvima Upravitelj sustava;

· 143 Internet Message Access Protocol (IMAP) - za klijentski pristup;

· 389 LDAP - za pristup imeničkoj usluzi;

· 443 HTTP (Sloj sigurnih utičnica (SSL)) (i niže) - isti protokoli zaštićeni SSL-om.

· 563 NNTP (SSL)

636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 i 3269 - upiti prema poslužitelju globalnog kataloga (pretraga u Active Directory i provjera članstva u univerzalnim grupama).

Nema smisla pokrivati ​​sučelje Exchange Servera, okrenuto prema unutrašnjosti organizacije, vatrozidom - koristit će se za interakciju s kontrolerima domene, administrativnim uslužnim programima, sustavima Rezervni primjerak i tako dalje. Za sučelje izloženo Internetu, preporuča se ostaviti portove 53 (ako će Exchange sam razriješiti nazive hostova umjesto preusmjeravanja zahtjeva na lokalni poslužitelj DNS) i 25. Vrlo često klijenti imaju potrebu pristupiti svojim poštanskim sandučićima izvana (od kuće, dok su na poslovnom putu itd.). Najbolja odluka u ovoj situaciji konfigurirajte OWA (Web sučelje za pristup Exchange Serveru, koje je instalirano prema zadanim postavkama, dostupno na http://server_name/exchange) da radi putem SSL-a i otvori pristup samo na portu 443. Osim rješavanja problema sa sigurnim provjera autentičnosti i šifriranje poruka automatski rješavaju problem sa SMTP relejem (više o tome kasnije) i situaciju kada korisnik slučajno preuzme radni elektronička pošta na mape klijenta pošte kućno računalo, a zatim na poslu ne može pronaći te poruke (da ne spominjemo činjenicu da je pohranjivanje poslovne e-pošte kod kuće kršenje sigurnosti).

Nova značajka koja se pojavila u Exchange Serveru. počevši od verzije 2000, mogućnost korištenja nekoliko virtualnih SMTP i POP3 poslužitelja s različitim sigurnosnim postavkama. Na primjer, SMTP poslužitelj koji komunicira s Internetom može se konfigurirati s povećanim sigurnosnim načinom rada i strogim ograničenjima isporuke, a SMTP poslužitelj koji koriste korisnici unutar organizacije može se konfigurirati s najmoćnijim i najjednostavnijim postavkama.

Također je potrebno spomenuti određenu zbrku u terminologiji - vrlo često se vatrozidi za Exchange nazivaju sustavima za filtriranje poruka, o čemu će biti riječi u nastavku.

[Ovaj članak je preliminarni dokument i može biti podložan promjenama u budućim izdanjima. Prazni odjeljci uključeni su kao rezervirana mjesta. Ako želite napisati recenziju, rado ćemo je primiti. Pošaljite nam ga na email adresa [e-mail zaštićen].]

Primjenjuje se na: Exchange Server 2016

Saznajte više o mrežnim priključcima koje Exchange 2016 koristi za pristup klijenta i protok pošte.

Ova tema pruža informacije o mrežnim priključcima koje Microsoft Exchange Server 2016 koristi za komunikaciju s klijentima e-pošte, mrežnim poslužiteljima pošte i drugim uslugama koje se nalaze izvan vaše lokalne Exchange organizacije. Prije nego počnete, razmotrite sljedeća osnovna pravila.

    Ne podržavamo ograničavanje ili izmjenu mrežnog prometa između internih Exchange poslužitelja, između internih Exchange poslužitelja i internih Lync ili Skype for Business poslužitelja ili između internih Exchange poslužitelja i internih kontrolera domene Active Directory u bilo kojoj vrsti topologije. Ako koristite vatrozid ili mrežne uređaje koji mogu ograničiti ili modificirati ovaj mrežni promet, morate konfigurirati pravila kako biste osigurali slobodnu i neograničenu komunikaciju između tih poslužitelja (pravila koja dopuštaju mrežni promet prema i s bilo kojeg priključka, uključujući nasumične RPC priključke i bilo koji protokol, koji ne mijenja ni bit).

    Rubni prijenosni poslužitelji gotovo su uvijek smješteni u perimetarskoj mreži, pa se očekuje da će mrežni promet između rubnog transportnog poslužitelja i interneta te između rubnog transportnog poslužitelja i interne organizacije Exchangea biti ograničen. Ovi mrežni priključci opisani su u ovom odjeljku.

    Od vas se očekuje da ograničite mrežni promet između vanjskih klijenata i usluga te unutarnje organizacije Exchangea. Također možete ograničiti promet između internih klijenata i internih Exchange poslužitelja. Ovi mrežni priključci opisani su u ovom odjeljku.

Sadržaj

Mrežni priključci potrebni za klijente i usluge

Mrežni priključci potrebni za protok pošte (bez rubnih prijenosnih poslužitelja)

Mrežni priključci potrebni za protok pošte s Edge Transport poslužiteljima

Mrežni priključci potrebni za hibridne implementacije

Mrežni priključci potrebni za Unified Messaging

Opisani su mrežni priključci koji su klijentima e-pošte potrebni za pristup poštanskim sandučićima i drugim uslugama u Exchange organizaciji sljedeći dijagram i u tablici.

Bilješke

    Odredište za ove klijente i usluge su usluge klijentskog pristupa na poslužitelju poštanskog sandučića. U sustavu Exchange 2016, usluge klijentskog pristupa (front-end) i pozadinske usluge instalirane su zajedno na istom poslužitelju poštanskog sandučića. Za više informacija pogledajte.

    Iako dijagram prikazuje klijente i usluge s Interneta, koncepti su isti za interne klijente (na primjer, klijenti u šumi računa koji pristupaju Exchange poslužiteljima u šumi resursa). Isto tako, tablica nema stupac Izvor jer izvor može biti bilo koja lokacija van organizacije Exchange (na primjer, Internet ili šuma računa).

    Rubni prijenosni poslužitelji ne sudjeluju u mrežnom prometu povezanom s tim klijentima i uslugama.

Bilješke o lukama namjene

Šifrirane web veze koriste sljedeći klijenti i usluge.

    Usluga automatskog otkrivanja

    Exchange ActiveSync

    Web usluge Exchange (EWS)

    Izvanmrežna distribucija adresara

    Outlook Mobile (RPC preko HTTP-a)

    MAPI Outlook preko HTTP-a

    Outlook na webu

443/TCP (HTTPS)

    EWS za referencu razmjene

Nešifrirane web veze koriste sljedeći klijenti i usluge.

    Objava kalendara online

    Outlook na webu (preusmjeravanje na priključak 443/TCP)

    Automatsko otkrivanje (zamjena kada port 443/TCP nije dostupan)

80/TCP (HTTP)

Kad god je to moguće, preporučujemo korištenje šifriranih web veza preko priključka 443/TCP radi zaštite vjerodajnica i drugih podataka. Međutim, neke usluge moraju biti konfigurirane za korištenje nekriptiranih web veza preko priključka 80/TCP za usluge klijentskog pristupa na poslužiteljima poštanskih sandučića.

Za više informacija o ovim klijentima i uslugama pogledajte sljedeće članke.

IMAP4 klijenti

143/TCP (IMAP), 993/TCP (sigurni IMAP)

Prema zadanim postavkama IMAP4 je onemogućen. Za više informacija pogledajte.

Usluga IMAP4 u uslugama klijentskog pristupa na poslužitelju poštanskog sandučića posreduje veze s internom uslugom IMAP4 na poslužitelju poštanskog sandučića.

POP3 klijenti

110/TCP (POP3), 995/TCP (sigurni POP3)

Prema zadanim postavkama, POP3 je onemogućen. Za više informacija pogledajte.

POP3 usluga u uslugama klijentskog pristupa na poslužitelju poštanskog sandučića posreduje veze s internom POP3 uslugom na poslužitelju poštanskog sandučića.

SMTP klijenti (provjereni)

587/TCP (SMTP s autentifikacijom)

Zadani konektor za primanje je "Klijentsko sučelje" " u usluzi External Transport sluša poruke od autentificiranih SMTP klijenata na portu 587.

Bilješka.

Ako imate klijente e-pošte koji mogu slati poruke s SMTP provjerom autentičnosti samo na portu 25, tada možete promijeniti vrijednost povezivanja ovog konektora za primanje tako da također prati poruke s provjerom autentičnosti SMTP-a poslane na portu 25.

Na početak

Mrežni priključci potrebni za protok pošte

Odlazna pošta

25/TCP (SMTP)

Poslužitelj poštanskog sandučića

Internet (sve)

Exchange prema zadanim postavkama ne stvara konektore za slanje koji vam omogućuju slanje pošte na Internet. Konektore za slanje morate kreirati ručno. Za više informacija pogledajte.

Odlazna pošta (ako se šalje preko vanjske transportne usluge)

25/TCP (SMTP)

Poslužitelj poštanskog sandučića

Internet (sve)

Odlazna pošta usmjerava se kroz vanjsku uslugu prijenosa samo ako je konektor za slanje omogućen s opcijom proxy servera za pristup klijentu u EAC-u ili opcijom -FrontEndProxyEnabled $true u ljusci za upravljanje Exchangeom.

U ovom slučaju, zadani konektor za primanje je "Izlazni proxy sučelje " u vanjskoj transportnoj usluzi osluškuje odlaznu poštu iz transportne usluge na poslužitelju poštanskog sandučića. Za više informacija pogledajte .

DNS poslužitelj za razlučivanje imena sljedećeg skoka pošte (nije prikazano na slici)

53/UDP, 53/TCP (DNS)

Poslužitelj poštanskog sandučića

DNS poslužitelj

Na početak

Pretplaćeni rubni prijenosni poslužitelj instaliran na perimetarskoj mreži utječe na protok pošte na sljedeće načine:

    Odlazna pošta iz organizacije Exchange nikada ne prolazi kroz vanjsku uslugu prijenosa na poslužiteljima poštanskih sandučića. Uvijek se preusmjerava s transportne usluge na poslužitelju poštanskih sandučića pretplaćene stranice Active Directory na rubni transportni poslužitelj (bez obzira na verziju Exchangea na rubnom transportnom poslužitelju).

    Dolazna pošta preusmjerava se s poslužitelja Edge Transport na poslužitelj poštanskog sandučića pretplaćene stranice Active Directory. To znači sljedeće:

    • Pošta s poslužitelja Exchange 2016 ili Exchange 2013 Edge Transport prvo stiže u prednju uslugu Transporta, a zatim se prosljeđuje usluzi Transport na poslužitelju Exchange 2016 Mailbox.

      Pošta s poslužitelja Exchange 2010 Edge Transport uvijek ide izravno u uslugu Transport na poslužitelju Exchange 2016 Mailbox.

Mrežni priključci potrebni za protok pošte u Exchange organizacijama s Edge Transport poslužiteljima opisani su u sljedećem dijagramu i tablici.

Odredišne ​​luke Izvor Odredište Bilješke

Dolazna pošta - s Interneta na poslužitelj Edge Transport

25/TCP (SMTP)

Internet (sve)

Zadani konektor za primanje pod nazivom "Zadani interni konektor za primanje" " na Edge Transport poslužitelju osluškuje anonimnu SMTP poštu na portu 25.

Dolazna pošta - od poslužitelja Edge Transport do interne Exchange organizacije

25/TCP (SMTP)

Rubni prijenosni poslužitelj

Zadani konektor za slanje zove se "EdgeSync - Inbound to "prenosi dolaznu poštu na priključku 25 bilo kojem poslužitelju poštanskog sandučića na pretplaćenom mjestu Active Directory. Za više informacija pogledajte .

Zadani konektor za primanje "Default Frontend" " u vanjskoj transportnoj usluzi na poslužitelju poštanskog sandučića osluškuje svu dolaznu poštu (uključujući poštu s poslužitelja Exchange 2016 i Exchange 2013 Edge Transport) na priključku 25.

Odlazna pošta - od interne Exchange organizacije do poslužitelja Edge Transport

25/TCP (SMTP)

Poslužitelji poštanskih sandučića na pretplaćenom mjestu Active Directory

Odlazna pošta uvijek zaobilazi vanjsku transportnu uslugu na poslužiteljima poštanskog sandučića.

Pošta se prenosi s transportne usluge na bilo kojem poslužitelju poštanskog sandučića na pretplaćenom web-mjestu Active Directory na rubni prijenosni poslužitelj pomoću implicitnog i nevidljivog poveznika za slanje unutar organizacije, koji automatski prosljeđuje poštu između Exchange poslužitelja u istoj organizaciji.

Zadani interni konektor za primanje " na rubnom prijenosnom poslužitelju osluškuje SMTP poštu na priključku 25 od transportne usluge na bilo kojem poslužitelju poštanskog sandučića na pretplaćenom web-mjestu Active Directory.

Odlazna pošta - od poslužitelja Edge Transport do interneta

25/TCP (SMTP)

Rubni prijenosni poslužitelj

Internet (sve)

Zadani konektor za slanje naziva se "EdgeSync - sa na Internet" prosljeđuje odlaznu poštu na priključku 25 s poslužitelja Edge Transport na Internet.

EdgeSync sinkronizacija

50636/TCP (LDAP siguran)

Poslužitelji poštanskih sandučića na pretplaćenom mjestu Active Directory koji sudjeluju u EdgeSync sinkronizaciji

Rubni prijenosni poslužitelji

Ako je Edge Transport poslužitelj pretplaćen na web mjesto Active Directory, svi poslužitelji poštanskih sandučića koji trenutno postoje na web mjestu sudjeluju u EdgeSync sinkronizaciji. Ali ako kasnije dodate druge poslužitelje Mailboxa, oni neće automatski sudjelovati u EdgeSync sinkronizaciji.

DNS poslužitelj za razlučivanje naziva sljedećeg skoka (nije prikazano na slici)

53/UDP, 53/TCP (DNS)

Rubni prijenosni poslužitelj

DNS poslužitelj

Vidi Razrješenje imena.

Otkrivanje otvorenog proxyja u reputaciji pošiljatelja (nije prikazano na slici)

Vidi bilješke

Rubni prijenosni poslužitelj

Internet

Prema zadanim postavkama, agent za analizu protokola koristi otkrivanje otvorenog proxyja kao jedan od uvjeta za izračun razine reputacije izvornog poslužitelja za razmjenu poruka. Za više informacija pogledajte članak.

Sljedeći TCP priključci koriste se za provjeru izvornih poslužitelja poruka za otvoreni proxy:

Osim toga, ako vaša organizacija koristi proxy poslužitelj za kontrolu odlaznog internetskog prometa, morate odrediti naziv, vrstu i TCP priključak proxy poslužitelja potrebnog za pristup internetu i otkrivanje otvorenog proxy poslužitelja.

Također možete onemogućiti otkrivanje otvorenog proxyja.

Za više informacija pogledajte.

Na početak

Rezolucija imena

Rezolucija imena

DNS next-hop razrješenje pošte temeljni je dio protoka pošte u bilo kojoj Exchange organizaciji. Exchange poslužitelji odgovorni za primanje dolazne pošte ili isporuku odlazne pošte moraju moći razriješiti unutarnja i vanjska imena hostova kako bi pravilno usmjeravali poštu. Svi interni Exchange poslužitelji moraju moći razriješiti interna imena hostova za pravilno usmjeravanje pošte. Ima ih mnogo na razne načine razvoj DNS infrastrukture, ali važan ishod je osiguravanje ispravne razlučivosti imena za sljedeći skok na svim Exchange poslužiteljima.



POVEZANI ČLANCI