Port pertukaran standar. Pertukaran referensi port jaringan. Buat buku alamat

Dalam artikel ini, kita akan mempelajari cara mengonfigurasi port RPC statis untuk layanan RPC Client Access, Exchange Address Book, dan Public Folder Access di Exchange 2010.

Bayangkan kita memiliki organisasi yang kompleks dengan Pertukaran Server 2010 SP1 (atau lebih tinggi), yang mencakup . Server CAS biasanya terletak di jaringan yang dipisahkan oleh firewall dari jaringan yang diharapkan dapat diakses oleh pengguna (jaringan Outlook). Sambungan klien Outlook ke server CAS terjadi melalui RPC, yang artinya aktif lapisan jaringan port apa pun dalam rentang port bebas dapat digunakan. Bukan rahasia lagi bahwa di Server Windows 2008 dan 2008 R2 menggunakan 49152-65535 sebagai rentang port dinamis untuk koneksi RPC (sebelumnya Versi Windows Server menggunakan port RPC dalam kisaran 1025-65535).

Agar firewall tidak menjadi "saringan", diinginkan untuk mempersempit kisaran port RPC yang digunakan, idealnya dengan membuatnya statis pada setiap Server Akses Klien di larik Akses Klien. Selain itu, penggunaan port RPC statis memungkinkan Anda mengurangi konsumsi memori pada penyeimbang beban (terutama HLB) dan menyederhanakan konfigurasinya (tidak perlu menentukan rentang port yang besar).

Di Exchange 2010, layanan RPC Client Access serta layanan Exchange Address Book dapat diatur ke port statis. Outlook berkomunikasi dengan layanan ini melalui antarmuka MAPI.

Port statis untuk layanan Exchange 2010 RPC Client Access

Layanan virtual Exchange 2010 RPC Client Access dikaitkan dengan layanan RPC Client Access yang tersambung ke klien Outlook MAPI di Exchange 2010. Saat klien Outlook tersambung ke Exchange, di server Exchange 2010 Client Access, layanan RPC Client Access menggunakan port TCP End Point Mapper (TCP/135) dan port acak dari rentang port dinamis RPC (6005-59530) untuk masuk koneksi

Untuk menyetel port statis untuk layanan RPC Client Access di Exchange 2010, Anda perlu membuka bagian di editor registri:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Buat kunci baru bernama ParameterSistem, di dalamnya buat parameter tipe REG_DWORD Dengan nama port TCP/IP. Pengaturan Port TCP/IP menentukan port statis untuk layanan Akses Klien RPC. Dokumentasi Microsoft merekomendasikan memilih port dalam kisaran 59531 - 60554 , dan menggunakan nilai ini di semua server CAS (kami menentukan port 59532, tentu saja, itu tidak boleh digunakan oleh perangkat lunak lain).

Setelah penetapan port statis, Anda harus memulai ulang layanan Microsoft Exchange RPC Client Access agar perubahan diterapkan.

Restart-Layanan MSExchangeRPC

Port statis untuk layanan Buku Alamat Exchange 2010

Sebelum SP1, Exchange 2010 menggunakan file konfigurasi khusus untuk menyetel port statis layanan Buku Alamat Exchange 2010 Microsoft.exchange.addressbook.service.exe.config. Setelah Exchange 2010 SP1 dirilis, Anda dapat mengatur port statis layanan ini melalui registri. Untuk melakukan ini, buka editor registri dan pergi ke cabang:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Buat parameter baru RpcTcpPort(dari tipe REG_SZ) dan berikan nomor port yang ingin Anda perbaiki untuk layanan Exchange Address Book. Disarankan untuk menggunakan port gratis apa pun dalam kisaran 59531-60554 dan kemudian menggunakannya di semua server Exchange 2010 Client Access di domain tersebut. Kami akan menetapkan RpcTcpPort=59533

Setelah itu, Anda perlu me-restart layanan Buku Alamat Microsoft Exchange

Restart-Layanan MSExchangeAB

Penting: Saat bermigrasi dari Exchange 2010 RTM ke SP1, kunci ini harus disetel secara manual, tidak diwariskan secara otomatis.

Menyiapkan port statis untuk menghubungkan ke folder bersama

Folder publik diakses dari klien Outlook secara langsung melalui layanan Akses Klien RPC di server dengan peran Kotak Surat. Pengaturan ini harus dilakukan di semua server dengan peran Mailbox yang berisi database folder bersama(mirip dengan server CAS). Buka editor registri dan pergi ke cabang

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Buat kunci baru bernama ParameterSistem, di dalamnya buat parameter tipe REG_DWORD bernama port TCP/IP. Tetapkan nilainya: TCP/IP Port = 59532.

Setelah menyetel port folder publik secara statis, Anda perlu me-restart layanan Microsoft Exchange RPC Client Access di setiap server kotak surat.

Verifikasi penggunaan port statis antara Outlook dan Exchange 2010

Setelah perubahan dilakukan, periksa apakah Outlook tersambung ke port RPC statis yang kami tentukan. Untuk melakukannya, pada mesin klien, mulai ulang Outlook, lalu masuk garis komando jalankan perintah:

Netstat -na

Berlaku untuk: Pertukaran Server 2010 SP1

Bagian terakhir diubah: 2011-04-22

Bagian ini menyediakan informasi tentang port, autentikasi, dan enkripsi untuk semua jalur data yang digunakan di Microsoft Exchange Server 2010. Bagian "Catatan" setelah setiap tabel mengklarifikasi atau menentukan metode autentikasi atau enkripsi non-standar.

Server transportasi

Di Exchange 2010, ada dua peran server yang melakukan fungsi transportasi pesan: server Hub Transport dan server Edge Transport.

Tabel berikut menyediakan informasi tentang port, autentikasi, dan enkripsi jalur data antara server transport ini dan server serta layanan Exchange 2010 lainnya.

Jalur data untuk server transportasi

Jalur data Port yang diperlukan Dukungan Enkripsi

Antara dua server Hub Transport

Ya, dengan TLS (Transport Layer Security)

Dari server Hub Transport ke server Edge Transport

kepercayaan langsung

kepercayaan langsung

Ya, menggunakan TLS

Dari server Edge Transport ke server Hub Transport

kepercayaan langsung

kepercayaan langsung

Ya, menggunakan TLS

Antara dua server Edge Transport

Anonim, otentikasi sertifikat

Secara anonim, dengan sertifikat

Ya, menggunakan TLS

Dari server kotak surat melalui Layanan Pengiriman Surat Microsoft Exchange

NTLM. Jika peran server Hub Transport dan peran server Kotak Surat berjalan di server yang sama, protokol Kerberos akan digunakan.

Ya, menggunakan enkripsi RPC

Dari server Hub Transport ke server Kotak Surat melalui MAPI

NTLM. Jika peran server Hub Transport dan peran server Kotak Surat diinstal pada server yang sama, protokol Kerberos akan digunakan.

Ya, menggunakan enkripsi RPC

Ya, menggunakan TLS

Layanan Microsoft Exchange EdgeSync dari server Hub Transport ke server Edge Transport

Ya, menggunakan LDAP melalui SSL (LDAPS)

Akses Active Directory dari server Hub Transport

Mengakses Layanan Manajemen Hak Direktori Aktif (AD RMS) dari server Hub Transport

Ya, dengan SSL

Klien SMTP ke server Hub Transport (misalnya, pengguna akhir menggunakan Windows Live Mail)

Ya, menggunakan TLS

Catatan untuk Server Transportasi

  • Semua lalu lintas antara server Hub Transport dienkripsi menggunakan Transport Layer Security (TLS) dan sertifikat yang ditandatangani sendiri dipasang oleh Exchange 2010 Setup.
  • Semua lalu lintas antara server Edge Transport dan server Hub Transport diautentikasi dan dienkripsi. Mutual TLS digunakan sebagai mekanisme otentikasi dan enkripsi. Alih-alih validasi X.509, Exchange 2010 menggunakan kepercayaan langsung. Kepercayaan langsung berarti bahwa keberadaan sertifikat di Layanan Direktori Aktif atau Layanan Direktori Ringan Direktori Aktif (AD LDS) memverifikasi keaslian sertifikat. Layanan direktori Active Directory dianggap sebagai mekanisme penyimpanan tepercaya. Ketika kepercayaan langsung digunakan, tidak masalah apakah sertifikat yang ditandatangani sendiri atau sertifikat yang ditandatangani oleh CA digunakan. Saat Anda berlangganan server Edge Transport ke organisasi Exchange, Langganan Edge menerbitkan sertifikat server Edge Transport ke layanan direktori Active Directory sehingga server Hub Transport dapat memverifikasinya. Layanan Microsoft Exchange EdgeSync menambahkan serangkaian sertifikat server Hub Transport ke Active Directory Lightweight Directory Services (AD LDS) sehingga server Edge Transport dapat memvalidasinya.
  • EdgeSync menggunakan koneksi LDAP yang aman dari server Hub Transport ke server Edge Transport langganan di port TCP 50636. Layanan Direktori Ringan Direktori Aktif juga mendengarkan di port TCP 50389. Koneksi ke port ini tidak menggunakan SSL. Anda dapat menggunakan utilitas LDAP untuk menyambung ke port ini dan memeriksa data AD LDS.
  • Secara default, lalu lintas antara server Edge Transport yang berlokasi di dua organisasi berbeda dienkripsi. Exchange 2010 Setup membuat sertifikat yang ditandatangani sendiri dan mengaktifkan TLS secara default. Hal ini memungkinkan setiap sistem pengiriman untuk mengenkripsi sesi SMTP yang masuk ke Exchange. Secara default, Exchange 2010 juga mencoba menggunakan TLS untuk semua koneksi jarak jauh.
  • Metode autentikasi untuk lalu lintas antara server Hub Transport dan server Mailbox berbeda ketika peran Hub Transport dan server Mailbox diinstal di komputer yang sama. Transfer email lokal menggunakan autentikasi Kerberos. Transfer email jarak jauh menggunakan autentikasi NTLM.
  • Exchange 2010 juga mendukung keamanan domain. Keamanan Domain adalah sekumpulan fitur Exchange 2010 dan Microsoft Outlook 2010 yang menyediakan alternatif berbiaya rendah untuk S/MIME dan solusi keamanan perpesanan Internet lainnya. Keamanan domain menyediakan cara untuk mengelola jalur komunikasi yang aman antar domain di Internet. Setelah jalur aman ini dikonfigurasi, pesan yang berhasil dikirim melalui jalur tersebut dari pengirim yang diautentikasi muncul ke pengguna Outlook dan Outlook Web Access sebagai pesan "dilindungi tingkat domain". Untuk informasi selengkapnya, lihat Ikhtisar keamanan domain.
  • Banyak agen dapat berjalan di server Hub Transport dan server Edge Transport. Biasanya, agen perlindungan surat sampah menggunakan informasi komputer lokal di mana mereka dieksekusi. Jadi, interaksi dengan komputer jarak jauh. Pengecualian adalah pemfilteran penerima. Pemfilteran penerima memerlukan panggilan AD LDS atau Active Directory. Kami menyarankan Anda melakukan pemfilteran penerima di server Edge Transport. Dalam hal ini, direktori AD LDS berada di komputer yang sama dengan peran server Edge Transport yang terinstal, jadi tidak diperlukan koneksi jarak jauh. Jika pemfilteran penerima diinstal dan dikonfigurasi di server Hub Transport, diperlukan akses ke layanan direktori Active Directory.
  • Agen Analisis Protokol digunakan oleh fitur Reputasi Pengirim di Exchange 2010. Agen ini juga tersambung ke berbagai server proksi eksternal untuk menentukan jalur pesan masuk untuk sambungan yang mencurigakan.
  • Semua fitur anti-spam lainnya menggunakan data yang dikumpulkan, disimpan, dan hanya tersedia di komputer lokal. Biasanya, data seperti daftar pengirim aman gabungan atau data penerima untuk pemfilteran penerima didorong ke direktori AD LDS lokal dengan menggunakan layanan Microsoft Exchange EdgeSync.
  • Agen Information Rights Management (IRM) di server Hub Transport tersambung ke server Active Directory Rights Management Services (AD RMS) di organisasi. Layanan Manajemen Hak Direktori Aktif (AD RMS) adalah layanan web yang kami sarankan untuk diamankan dengan SSL. Koneksi ke server AD RMS dibuat menggunakan HTTPS dan diautentikasi menggunakan Kerberos atau NTLM, bergantung pada konfigurasi server AD RMS.
  • Aturan log, aturan transport, dan aturan klasifikasi pesan disimpan di Active Directory dan diakses oleh agen Logging dan agen Transport Rules di server Hub Transport.

    Server kotak surat

    Di server Kotak Surat, apakah autentikasi NTLM atau Kerberos digunakan bergantung pada konteks pengguna atau proses yang dijalankan oleh konsumen lapisan logika bisnis Exchange. Dalam konteks ini, konsumen adalah aplikasi atau proses apa pun yang menggunakan lapisan logika bisnis Exchange. Akibatnya, di kolom Otentikasi default tabel Jalur data untuk server Kotak Surat banyak baris memiliki nilai NTLM/Kerberos.

    Lapisan logika bisnis Exchange digunakan untuk mengakses dan berinteraksi dengan toko Exchange. Lapisan logika bisnis Exchange juga dipanggil dari Exchange store untuk berinteraksi dengan aplikasi dan proses eksternal.

    Ketika konsumen lapisan logika bisnis Exchange berjalan dalam konteks Sistem Lokal, metode autentikasi konsumen untuk mengakses penyimpanan Exchange selalu Kerberos. Metode autentikasi Kerberos digunakan karena penerima harus diautentikasi menggunakan akun komputer "Sistem Lokal" dan membutuhkan kepercayaan dua arah dengan otentikasi.

    Jika penerima lapisan logika bisnis Exchange tidak berjalan dalam konteks Sistem Lokal, metode otentikasi adalah NTLM. Misalnya, saat administrator menjalankan cmdlet Exchange Management Shell yang menggunakan lapisan logika bisnis Exchange, autentikasi NTLM akan digunakan.

    Lalu lintas RPC selalu dienkripsi.

    Tabel berikut menyediakan informasi tentang port, autentikasi, dan enkripsi jalur data untuk server Kotak Surat.

    Jalur data untuk server Kotak Surat

    Jalur data Port yang diperlukan Otentikasi bawaan Metode autentikasi yang didukung Dukungan Enkripsi Enkripsi data secara default

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)

    Ya, menggunakan enkripsi Kerberos

    Akses jarak jauh administratif (register jarak jauh)

    Ya, menggunakan IPsec

    Akses jarak jauh administratif (SMB, file)

    Ya, menggunakan IPsec

    Ketersediaan Layanan Web (Akses Kotak Surat Klien)

    Ya, menggunakan enkripsi RPC

    Kekelompokan

    Ya, menggunakan enkripsi RPC

    Antara server Akses Klien (Exchange ActiveSync)

    80/TCP, 443/TCP (SSL)

    Kerberos, otentikasi sertifikat

    Ya, menggunakan HTTPS

    Ya, menggunakan sertifikat yang ditandatangani sendiri

    Antara server Akses Klien (Akses Web Outlook)

    80/TCP, 443/TCP (HTTPS)

    Ya, dengan SSL

    Server Akses Klien ke Server Akses Klien (Layanan Web Exchange)

    Ya, dengan SSL

    Server Akses Klien ke Server Akses Klien (POP3)

    Ya, dengan SSL

    Server Akses Klien ke Server Akses Klien (IMAP4)

    Ya, dengan SSL

    Office Communications Server ke server Akses Klien (bila integrasi Office Communications Server dan Outlook Web App diaktifkan)

    5075-5077/TCP (MASUK), 5061/TCP (KELUAR)

    mTLS (wajib)

    mTLS (wajib)

    Ya, dengan SSL

    Catatan untuk server Akses Klien

    Server sistem terpadu perpesanan

    Gateway IP dan IP PBX hanya mendukung autentikasi sertifikat, yang menggunakan autentikasi Mutual TLS untuk mengenkripsi lalu lintas SIP dan autentikasi berbasis alamat IP untuk koneksi SIP atau TCP. Gateway IP tidak mendukung autentikasi NTLM dan Kerberos. Oleh karena itu, saat menggunakan autentikasi berbasis alamat IP, mekanisme autentikasi untuk koneksi yang tidak terenkripsi (TCP) menggunakan alamat IP dari koneksi tersebut. Saat digunakan dalam Pesan Terpadu, autentikasi berbasis IP memeriksa apakah alamat IP yang diberikan diizinkan untuk terhubung. Alamat IP dikonfigurasi pada gateway IP atau IP PBX.

    Gateway IP dan IP PBX mendukung Mutual TLS untuk mengenkripsi lalu lintas SIP. Setelah berhasil mengimpor dan mengekspor sertifikat terpercaya yang diperlukan, IP gateway atau IP PBX akan meminta sertifikat dari server Unified Messaging dan kemudian meminta sertifikat dari IP gateway atau IP PBX. Pertukaran sertifikat terpercaya antara IP gateway atau IP PBX dan server Unified Messaging memungkinkan kedua perangkat berkomunikasi dengan aman menggunakan Mutual TLS.

    Tabel berikut menyediakan informasi port, autentikasi, dan enkripsi untuk jalur data antara server UM dan server lainnya.

    Jalur data untuk server Pesan Terpadu

    Jalur data Port yang diperlukan Otentikasi bawaan Metode autentikasi yang didukung Dukungan Enkripsi Enkripsi data secara default

    Mengakses Direktori Aktif

    389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)

    Ya, menggunakan enkripsi Kerberos

    Sambungan UM (Gateway IP PBX/VoIP)

    5060/TCP , 5065/TCP, 5067/TCP (dalam mode tidak aman), 5061/TCP, 5066/TCP, 5068/TCP (dalam mode aman), rentang port dinamis 16000-17000/TCP (manajemen), UDP dinamis port dari kisaran 1024-65535/UDP (RTP)

    Berdasarkan alamat IP

    Berdasarkan alamat IP, MTLS

    Ya, menggunakan SIP/TLS, SRTP

    Layanan Web UM

    80/TCP, 443/TCP (SSL)

    Otentikasi Windows Terintegrasi (Negosiasi)

    Ya, dengan SSL

    Dari server Pesan Terpadu ke server Akses Klien

    5075, 5076, 5077 (TCP)

    Otentikasi Windows Terintegrasi (Negosiasi)

    Dasar, Intisari, NTLM, Negosiasi (Kerberos)

    Ya, dengan SSL

    Server UM ke Server Akses Klien (Pemutaran di Ponsel)

    RPC dinamis

    Ya, menggunakan enkripsi RPC

    Dari server Pesan Terpadu ke server Hub Transport

    Ya, menggunakan TLS

    Dari server Pesan Terpadu ke server Kotak Surat

    Ya, menggunakan enkripsi RPC

    Catatan untuk Server Perpesanan Terpadu

    • Saat membuat objek gateway IP UM di Active Directory, Anda harus menentukan alamat IP gateway IP fisik atau IP PBX. Bila Anda menentukan alamat IP objek gateway IP UM, alamat IP akan ditambahkan ke daftar gateway IP atau PBX IP yang valid (juga dikenal sebagai peserta sesi SIP) yang diizinkan untuk berkomunikasi dengan server UM. Setelah membuat gateway IP UM, Anda dapat mengaitkannya dengan daftar sambung UM. Memetakan gateway IP UM ke daftar sambung memungkinkan server UM yang dipetakan ke daftar sambung menggunakan autentikasi berbasis alamat IP untuk berkomunikasi dengan gateway IP. Jika gateway IP UM belum dibuat atau dikonfigurasi untuk menggunakan alamat IP yang benar, autentikasi akan gagal dan server UM tidak akan menerima sambungan dari alamat IP gateway IP tersebut. Selain itu, jika Anda menerapkan Mutual TLS, gateway IP atau IP PBX, dan server Pesan Terpadu, gateway IP UM harus dikonfigurasi untuk menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN). Setelah Anda mengonfigurasi gateway IP UM menggunakan FQDN, Anda juga harus menambahkan catatan host untuk gateway ke zona pencarian DNS penerusan.
    • Di Exchange 2010, server Unified Messaging dapat berkomunikasi di port 5060/TCP (tidak aman) atau port 5061/TCP (aman), dan dapat dikonfigurasi untuk menggunakan kedua port.

    Untuk informasi selengkapnya, lihat Memahami Keamanan VoIP UM dan Memahami Protokol, Port, dan Layanan dalam Pesan Terpadu .

    Aturan firewall jendela dibuat oleh Exchange 2010 Setup

    Windows Firewall dengan Advanced Security adalah firewall berbasis komputer stateful yang memfilter lalu lintas masuk dan keluar berdasarkan aturan firewall. Exchange 2010 Setup membuat aturan Windows Firewall untuk membuka port yang diperlukan untuk komunikasi server dan klien di setiap peran server. Oleh karena itu, Anda tidak perlu lagi menggunakan SCW untuk mengonfigurasi pengaturan ini. Untuk informasi selengkapnya tentang Windows Firewall dengan Keamanan Tingkat Lanjut, lihat Windows Firewall dengan Keamanan Tingkat Lanjut dan IPsec.

    Tabel berikut mencantumkan aturan Windows Firewall, dihasilkan oleh program Instalasi Exchange, termasuk port yang terbuka pada setiap peran server. Anda dapat melihat aturan ini dengan menggunakan Windows Firewall dengan snap-in MMC Keamanan Lanjutan.

    Nama aturan Peran Server Pelabuhan Program

    MSExchangeADTopology - RPC (TCP masuk)

    RPC dinamis

    Bin\MSExchangeADTopologyService.exe

    MSExchangeMonitoring - RPC (TCP masuk)

    Server Akses Klien, server Hub Transport, server Edge Transport, server Perpesanan Terpadu

    RPC dinamis

    Bin\Microsoft.Exchange.Management.Monitoring.exe

    MSExchangeServiceHost - RPC (TCP masuk)

    RPC dinamis

    Bin\Microsoft.Exchange.ServiceHost.exe

    MSExchangeServiceHost - RPCEPMap (TCP Masuk)

    Bin\Microsoft.Exchange.Service.Host

    MSExchangeRPCEPMap (GFW) (TCP masuk)

    MSExchangeRPC (GFW) (TCP masuk)

    Server Akses Klien, server Hub Transport, server Kotak Surat, server Perpesanan Terpadu

    RPC dinamis

    MSExchange - IMAP4 (GFW) (TCP masuk)

    Server Akses Klien

    MSExchangeIMAP4 (TCP masuk)

    Server Akses Klien

    ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

    MSExchange - POP3 (FGW) (TCP masuk)

    Server Akses Klien

    MSExchange - POP3 (TCP masuk)

    Server Akses Klien

    ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

    MSExchange - OWA (GFW) (TCP masuk)

    Server Akses Klien

    5075, 5076, 5077 (TCP)

    MSExchangeOWAAppPool (TCP-in)

    Server Akses Klien

    5075, 5076, 5077 (TCP)

    inetsrv\w3wp.exe

    MSExchangeAB RPC (TCP masuk)

    Server Akses Klien

    RPC dinamis

    MSExchangeAB-RPCEPMap (TCP-in)

    Server Akses Klien

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    MSExchangeAB-RpcHttp (TCP-in)

    Server Akses Klien

    6002, 6004 (TCP)

    Bin\Microsoft.Exchange.AddressBook.Service.exe

    RpcHttpLBS (TCP masuk)

    Server Akses Klien

    RPC dinamis

    System32\Svchost.exe

    MSExchangeRPC - RPC (TCP masuk)

    RPC dinamis

    MSExchangeRPC - PRCEPMap (TCP masuk)

    Server Akses Klien, Server Kotak Surat

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeRPC (TCP masuk)

    Server Akses Klien, Server Kotak Surat

    Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

    MSExchangeMailboxReplication (GFW) (TCP masuk)

    Server Akses Klien

    MSExchangeMailboxReplication (TCP masuk)

    Server Akses Klien

    Bin\MSExchangeMailboxReplication.exe

    MSExchangeIS - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    MSExchangeIS RPCEPMap (TCP masuk)

    Server kotak surat

    MSExchangeIS (GFW) (TCP masuk)

    Server kotak surat

    6001, 6002, 6003, 6004 (TCP)

    MSExchangeIS (TCP masuk)

    Server kotak surat

    Asisten MSExchangeMailbox - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    Asisten MSExchangeMailbox - RPCEPMap (TCP Masuk)

    Server kotak surat

    Bin\MSExchangeMailboxAssistants.exe

    MSExchangeMailSubmission - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    MSExchangeMailSubmission - RPCEPMap (TCP Masuk)

    Server kotak surat

    Bin\MSExchangeMailSubmission.exe

    MSExchangeMigration - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    Bin\MSExchangeMigration.exe

    MSExchangeMigration - RPCEPMap (TCP masuk)

    Server kotak surat

    Bin\MSExchangeMigration.exe

    MSExchangerepl - Penyalin Log (TCP masuk)

    Server kotak surat

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    Bin\MSExchangeRepl.exe

    MSExchangerepl - RPC-EPMap (TCP-in)

    Server kotak surat

    Bin\MSExchangeRepl.exe

    MSExchangeSearch - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    Bin\Microsoft.Exchange.Search.ExSearch.exe

    MSExchangeThrottling - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    Bin\MSExchangeThrottling.exe

    MSExchangeThrottling - RPCEPMap (TCP masuk)

    Server kotak surat

    Bin\MSExchangeThrottling.exe

    MSFTED - RPC (TCP masuk)

    Server kotak surat

    RPC dinamis

    MSFTED - RPCEPMap (TCP-in)

    Server kotak surat

    MSExchangeEdgeSync - RPC (TCP masuk)

    Server Transportasi Hub

    RPC dinamis

    MSExchangeEdgeSync RPCEPMap (TCP masuk)

    Server Transportasi Hub

    Bin\Microsoft.Exchange.EdgeSyncSvc.exe

    MSExchangeTransportWorker - RPC (TCP masuk)

    Server Transportasi Hub

    RPC dinamis

    Bin\edgetransport.exe

    MSExchangeTransportWorker - RPCEPMap (TCP masuk)

    Server Transportasi Hub

    Bin\edgetransport.exe

    MSExchangeTransportWorker (GFW) (TCP masuk)

    Server Transportasi Hub

    MSExchangeTransportWorker (TCP masuk)

    Server Transportasi Hub

    Bin\edgetransport.exe

    MSExchangeTransportLogSearch - RPC (TCP masuk)

    RPC dinamis

    MSExchangeTransportLogSearch - RPCEPMap (TCP masuk)

    Server Transportasi Hub, Server Transportasi Tepi, Server Kotak Surat

    Bin\MSExchangeTransportLogSearch.exe

    SESWorker (GFW) (TCP-in)

    Server Pesan Terpadu

    SESWorker (TCP masuk)

    Server Pesan Terpadu

    UnifiedMessaging\SESWorker.exe

    UMService (GFW) (TCP masuk)

    Server Pesan Terpadu

    UMService (TCP masuk)

    Server Pesan Terpadu

    Bin\UMService.exe

    UMWorkerProcess (GFW) (TCP masuk)

    Server Pesan Terpadu

    5065, 5066, 5067, 5068

    UMWorkerProcess (TCP masuk)

    Server Pesan Terpadu

    5065, 5066, 5067, 5068

    Bin\UMWorkerProcess.exe

    UMWorkerProcess - RPC (TCP masuk)

    Server Pesan Terpadu

    RPC dinamis

    Bin\UMWorkerProcess.exe

    Catatan tentang Aturan Windows Firewall yang Dibuat oleh Exchange 2010 Setup

    • Di server dengan IIS terinstal, Windows membuka port HTTP (port 80, TCP) dan HTTPS (port 443, TCP). Exchange 2010 Setup tidak membuka port ini. Oleh karena itu, port ini tidak tercantum dalam tabel sebelumnya.
    • Di Windows Server 2008 dan Windows Server 2008 R2, Windows Firewall dengan Advanced Security memungkinkan Anda menentukan proses atau layanan yang portnya terbuka. Ini lebih aman karena port hanya dapat digunakan oleh proses atau layanan yang ditentukan dalam aturan. Exchange Setup membuat aturan firewall dengan nama proses yang ditentukan. Dalam beberapa kasus, untuk tujuan kompatibilitas, aturan tambahan juga dibuat yang tidak terbatas pada proses ini. Anda dapat menonaktifkan atau menghapus aturan yang tidak dibatasi proses dan mempertahankan aturan yang dibatasi proses yang sesuai jika lingkungan penerapan Anda saat ini mendukungnya. Aturan yang tidak terbatas pada proses dapat dibedakan dengan kata (GFW) atas nama aturan.
    • Banyak layanan Exchange menggunakan panggilan prosedur jarak jauh (RPC) untuk berkomunikasi. Proses server yang menggunakan panggilan prosedur jarak jauh terhubung ke RPC endpoint mapper untuk mendapatkan endpoint dinamis dan mendaftarkannya di database endpoint mapper. Klien RPC berinteraksi dengan RPC Endpoint Mapper untuk menentukan titik akhir yang digunakan oleh proses server. Secara default, RPC Endpoint Mapper mendengarkan pada port 135 (TCP). Saat Anda mengonfigurasi Windows Firewall untuk proses yang menggunakan panggilan prosedur jarak jauh, Exchange 2010 Setup membuat dua aturan firewall untuk proses tersebut. Satu aturan memungkinkan komunikasi dengan pemetaan titik akhir RPC, dan aturan kedua memungkinkan komunikasi dengan titik akhir yang ditetapkan secara dinamis. Untuk informasi selengkapnya tentang panggilan prosedur jarak jauh, lihat artikel. Untuk informasi selengkapnya tentang membuat aturan Windows Firewall untuk panggilan prosedur jarak jauh dinamis, lihat artikel.

      Untuk informasi selengkapnya, lihat Artikel Pangkalan Pengetahuan Microsoft 179442

www.microsoft.com

Artikel Exchange 2013 Layanan Transportasi Ujung Depan adalah yang pertama dari serangkaian artikel yang membahas cara kerja Layanan Transportasi Exchange Server 2013. Artikel ini akan berfokus pada Layanan Transportasi Ujung Depan pada server Akses Klien.

Di server Exchange versi 2013, ada perubahan arsitektur yang cukup kuat dan sekarang hanya ada dua peran utama - server kotak surat (Server Kotak Surat atau MBX singkatnya) dan server akses klien (Server Akses Klien - CAS). Berdiri terpisah adalah peran server Edge Transport. Melayani Exchange 2013 Transportasi Ujung Depan terletak di server CAS dan bertindak sebagai proxy.

Ini adalah artikel pertama dalam seri tentang cara kerja layanan pipa transportasi Exchange 2013, tetapi berikut daftar lengkapnya:

Serta artikel tentang mengelola logging layanan ini:

Jangan lupa dokumentasi resminya.

Anda dapat menemukan informasi lebih lanjut tentang mengonfigurasi dan mengelola Exchange 2013 di blog saya di artikel topik utama -.

Kebetulan sekarang ada beberapa layanan transportasi di Exchange 2013 yang memiliki nama yang mirip tetapi pada dasarnya berbeda dalam tujuan dan cara kerjanya. Inilah semua layanan ini:

  • Layanan Transportasi Ujung Depan di server Akses Klien (Nama tampilan adalah Microsoft Exchange FrontEnd Transport, disingkat MSExchangeFrontEndTransport);
  • Layanan Transportasi di server Kotak Surat (Nama tampilan adalah Microsoft Exchange Transport, disingkat MSExchangeTransport);
  • Layanan Transportasi Kotak Surat pada server kotak surat (Benar-benar mencakup dua layanan - Pengiriman Transportasi Kotak Surat Microsoft Exchange dan Pengiriman Transportasi Kotak Surat Microsoft Exchange, nama singkatan - masing-masing MSExchangeDelivery dan MSExchangeSubmission);
  • Layanan transportasi di server Edge Transport (Nama tampilan adalah Microsoft Exchange Transport, disingkat MSExchangeTransport).

Pada saat yang sama, hanya layanan kedua dan keempat yang menjalankan fungsionalitas yang sebanding, sisanya berbeda secara fundamental. Bersama-sama, mereka semua membentuk pipa transportasi, yang merupakan jantung dari server email.

konveyor transportasi

Secara umum, pipa transportasi terlihat seperti ini:

Dalam konteks artikel ini, kami tertarik pada bagian atas ilustrasi yang menunjukkan Server Akses Klien:

Ada satu nuansa dalam skema ini. Faktanya adalah, secara default, server MBX dapat mengirim email secara mandiri melalui port 25 SMTP. Untuk memastikan bahwa konektor Kirim selalu mengirim email ke Internet melalui server Akses Klien, Anda harus secara eksplisit menyetel parameter Kirim konektor ke FrontendProxyDiaktifkan ke dalam makna $benar(atau di EAC centang kotaknya Proksi melalui server Akses Klien di properti konektor Kirim). Dari konfigurasi inilah yang akan saya bangun di masa depan.

Di bawah ini saya akan mencoba memberikan kejelasan pada prinsip operasi. Tukarkan server 2013 dengan peran CAS.

Prinsip operasi

Transportasi Ujung Depan(dalam terminologi Microsoft - Layanan Transportasi Ujung Depan) tidak memproses konten pesan, tidak menggunakan antrean pesan, dan tidak berinteraksi dengan layanan Mailbox Transport. Dengan kata lain, server Exchange 2013 dengan hanya peran CAS tidak menyimpan data baik secara permanen (menggunakan database) atau sementara (dalam antrian pemrosesan pesan).

Namun, layanan Front End Transport memiliki agen transportasinya sendiri (lihat gambar - Agen Protokol). Agen memungkinkan Anda memperluas fungsionalitas server email Exchange dengan menambahkan kode kustom ke logika pemrosesan pesan. Agen dipanggil saat peristiwa SMTP terjadi. Peristiwa ini, pada gilirannya, dihasilkan pada satu tahap atau tahap pemrosesan pesan lainnya saat melewati pipa transportasi. Perlu dicatat bahwa sebagian besar agen yang ada secara default disembunyikan atau pengaturannya tidak dapat dikontrol. Fungsionalitas agen di server CAS sangat terbatas dan hanya hadir sepenuhnya untuk peran MBX dan Edge.

Kirim dan terima konektor

Pada diagram (lihat di atas) Layanan Transportasi Ujung Depan kami menunjukkan server akses klien pada setiap masuk dan koneksi keluar port yang sesuai, menghasilkan representasi berikut:

Konektor penerima terpisah bertanggung jawab untuk mendengarkan koneksi pada setiap port yang ditunjukkan dalam diagram, di mana tiga bagian dibuat secara default saat peran CAS diinstal:

Selain konektor yang terlihat dan dapat diakses oleh administrator, ada juga konektor Kirim sistem tersembunyi:

  • Konektor Pengiriman Internal Proksi Masuk (SMTP 25/2525 in )
  • Client Proxy Send Connector (SMTP diterima pada port 587 in Layanan transportasi di server Kotak Surat ke port 465)

Omong-omong, konektor pertama di Exchange Server 2013 versi Rusia akan memiliki nama Konektor kirim internal untuk input. samb. server proxy, dan kedua - Konektor pengiriman proxy klien. Ini untuk berjaga-jaga, agar tidak pingsan pada pertemuan pertama dengan konektor ini.

Hasilnya, kami mendapatkan tabel lengkap berikut:

Nama Tujuan Pelabuhan Arah
Tampilan Depan Default Penerimaan 25 Dari server eksternal
Frontend Proksi Keluar Penerimaan 717 Dari server MBX
Muka Klien Penerimaan 587 Dari klien eksternal, koneksi aman
Konektor Pengiriman Proksi Klien Mengirim 465 Ke server MBX
Konektor Pengiriman Internal Proksi Masuk Mengirim 25/2525 Ke server MBX. Hanya koneksi yang diterima pada port 587
Konektor Kirim yang dibuat secara manual Mengirim 25 Ke server eksternal

Mari transfer nama konektor ke diagram Layanan Transportasi Ujung Depan.

Exchange Server dan Firewall

Firewall (firewall) untuk server email (Exchange Server), port server email, server email front-end dan back-end, server maya SMTP, POP3, IMAP4

Seperti komputer mana pun yang terhubung ke Internet, komputer yang menghosting server email harus dilindungi dengan firewall. Pada saat yang sama, opsi untuk menginstal server email dalam hal konfigurasi jaringan bisa sangat berbeda:

· Opsi paling sederhana adalah menginstal server email di komputer yang juga merupakan proxy/firewall, lalu buka port yang diperlukan pada antarmuka yang menghadap ke Internet. Biasanya, skema ini digunakan dalam organisasi kecil;

Pilihan lainnya adalah menginstal server email di jaringan lokal dan konfigurasikan agar berfungsi melalui server proxy. Untuk melakukannya, Anda dapat mengikat ip publik ke server email dan meneruskannya melalui proxy atau menggunakan alat pemetaan port di server proxy. Banyak server proxy memiliki wizard khusus atau aturan yang telah ditentukan sebelumnya untuk mengatur solusi semacam itu (misalnya, di ISA Server). Opsi ini digunakan di sebagian besar organisasi.

· Kemungkinan mendasar lainnya adalah membuat DMZ dan menempatkan Exchange Server front-end di dalamnya (kemungkinan seperti itu telah muncul sejak versi 2000) atau Relay SMTP berdasarkan Exchange Server lain atau, misalnya, sendmail di *nix. Biasanya digunakan dalam jaringan organisasi besar.

Bagaimanapun, server surat harus memastikan komunikasi pada setidaknya port TCP 25 (SMTP) dan port UDP 53 (DNS). Port lain yang mungkin diperlukan oleh Exchange Server tergantung pada konfigurasi jaringan Anda (semua TCP):

80 HTTP - untuk mengakses antarmuka Web (OWA)

· 88 Protokol autentikasi Kerberos - jika autentikasi Kerberos digunakan (jarang);

· 102 konektor MTA .X .400 melalui TCP /IP (jika konektor X .400 digunakan untuk komunikasi antar grup perutean);

· 110 Post Office Protocol 3 (POP 3) - untuk akses klien;

· 119 Network News Transfer Protocol (NNTP) - jika newsgroup digunakan;

135 Komunikasi klien/server Administrasi Exchange RPC - port RPC standar untuk administrasi Exchange jarak jauh sarana standar manajer sistem;

· 143 Protokol Akses Pesan Internet (IMAP) - untuk akses pelanggan;

· 389 LDAP - untuk mengakses layanan direktori;

· 443 HTTP (Secure Sockets Layer (SSL)) (dan di bawah) - protokol yang sama dilindungi oleh SSL.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 dan 3269 - permintaan ke server katalog global (cari di Active Directory dan periksa keanggotaan di grup universal).

Tidak masuk akal untuk menutup antarmuka Exchange Server yang menghadap ke dalam organisasi dengan firewall - ini akan digunakan untuk berinteraksi dengan pengontrol domain, utilitas administrasi, sistem Salinan cadangan dan seterusnya. Untuk antarmuka yang terbuka ke Internet, disarankan untuk meninggalkan port 53 (jika Exchange akan menyelesaikan sendiri nama host, dan tidak meneruskan permintaan ke server lokal DNS) dan 25. Seringkali, klien perlu mengakses kotak surat mereka dari luar (dari rumah, selama perjalanan bisnis, dll.). Solusi terbaik dalam situasi ini adalah mengonfigurasi OWA (antarmuka web untuk mengakses Exchange Server, yang diinstal secara default, tersedia di http://server_name/exchange) agar berfungsi melalui SSL dan mengizinkan akses hanya pada port 443. Selain menyelesaikan masalah dengan autentikasi aman dan enkripsi pesan secara otomatis menyelesaikan masalah dengan Relai SMTP (lebih lanjut nanti) dan situasi ketika pengguna secara tidak sengaja mengunduh file yang berfungsi surel untuk mengirimkan folder klien komputer rumah, dan kemudian di tempat kerja dia tidak dapat menemukan pesan-pesan ini (belum lagi fakta bahwa menyimpan surat kantor di rumah merupakan pelanggaran keamanan).

Fitur baru yang diperkenalkan di Exchange Server . sejak versi 2000, kemampuan untuk menggunakan beberapa server SMTP dan POP3 virtual dengan pengaturan keamanan yang berbeda. Misalnya, server SMTP yang berkomunikasi dengan Internet dapat dikonfigurasi untuk meningkatkan keamanan dan pembatasan pengiriman yang ketat, sedangkan server SMTP yang digunakan pengguna di dalam organisasi dapat dikonfigurasi untuk kinerja maksimal dan keramahan pengguna.

Penting juga untuk menyebutkan kebingungan tertentu dalam terminologi - sangat sering firewall untuk Exchange disebut sistem pemfilteran pesan, yang akan dibahas di bawah.

[Artikel ini adalah dokumen awal dan dapat berubah di rilis mendatang. Bagian kosong disertakan sebagai placeholder. Jika Anda ingin menulis ulasan, kami akan dengan senang hati menerimanya. Kirim ke kami di alamat email [email dilindungi]]

Berlaku untuk: Pertukaran Server 2016

Informasi tentang port jaringan yang digunakan Exchange 2016 untuk akses klien dan aliran email.

Topik ini memberikan informasi tentang port jaringan yang digunakan oleh Microsoft Exchange Server 2016 untuk berkomunikasi dengan klien email, server surat Internet, dan layanan lain yang berada di luar organisasi Exchange lokal Anda. Sebelum Anda mulai, pertimbangkan aturan dasar berikut.

    Kami tidak mendukung pembatasan atau pengubahan lalu lintas jaringan antara Server Exchange internal, antara Server Exchange internal dan server internal Lync atau Skype for Business, atau antara Server Exchange internal dan pengontrol domain Direktori Aktif internal dalam jenis topologi apa pun. Jika Anda menggunakan firewall atau perangkat jaringan yang dapat membatasi atau mengubah lalu lintas jaringan ini, Anda harus menyiapkan aturan untuk mengizinkan komunikasi bebas dan tidak terbatas antara server ini (aturan yang mengizinkan lalu lintas jaringan ke dan dari port mana pun, termasuk port RPC acak, dan semua protocol). , yang tidak mengubah sedikit pun).

    Server Edge Transport hampir selalu berada di jaringan perimeter, sehingga lalu lintas jaringan antara server Edge Transport dan Internet, dan antara server Edge Transport dan organisasi Exchange internal, diharapkan akan dibatasi. Port jaringan ini dijelaskan di bagian ini.

    Anda diharapkan membatasi lalu lintas jaringan antara klien dan layanan eksternal dan organisasi Exchange internal. Anda juga dapat membatasi lalu lintas antara klien internal dan server Exchange internal. Port jaringan ini dijelaskan di bagian ini.

Isi

Port jaringan diperlukan untuk klien dan layanan

Port jaringan diperlukan untuk alur email (tanpa server Edge Transport)

Port jaringan diperlukan untuk alur email dengan server Edge Transport

Port jaringan diperlukan untuk penerapan hibrid

Port jaringan diperlukan untuk Unified Messaging

Port jaringan yang diperlukan klien email untuk mengakses kotak pesan dan layanan lain di organisasi Exchange dijelaskan di diagram berikutnya dan di meja.

Catatan.

    Tujuan untuk klien dan layanan ini adalah layanan Akses Klien di server Kotak Surat. Di Exchange 2016, Layanan Akses Klien (eksternal) dan layanan internal diinstal bersama di server Kotak Surat yang sama. Lihat bagian untuk informasi lebih lanjut.

    Meskipun diagram menunjukkan klien dan layanan dari Internet, konsepnya sama untuk klien internal (misalnya, klien di hutan akun yang mengakses server Exchange di hutan sumber daya). Demikian pula, tidak ada kolom Sumber dalam tabel karena sumber dapat berupa lokasi apa pun di luar organisasi Exchange (misalnya, Internet atau hutan akun).

    Server Edge Transport tidak berpartisipasi dalam lalu lintas jaringan yang terkait dengan klien dan layanan ini.

TujuanPelabuhanCatatan

Koneksi web terenkripsi digunakan oleh klien dan layanan berikut.

    Layanan penemuan otomatis

    Exchange ActiveSync

    Layanan Web Exchange (EWS)

    Mendistribusikan Buku Alamat Offline

    Outlook Anywhere (RPC melalui HTTP)

    MAPI Outlook melalui HTTP

    Outlook di web

443/TCP (HTTPS)

    Referensi EWS untuk Exchange

Koneksi web yang tidak terenkripsi digunakan oleh klien dan layanan berikut.

    Publikasikan kalender Anda ke web

    Outlook di web (mengalihkan ke port 443/TCP)

    Penemuan otomatis (penggantian saat port 443/TCP tidak tersedia)

80/TCP (HTTP)

Jika memungkinkan, kami menyarankan Anda menggunakan koneksi web terenkripsi pada port 443/TCP untuk melindungi kredensial dan data lainnya. Namun, beberapa layanan harus dikonfigurasi untuk menggunakan koneksi web yang tidak dienkripsi pada port 80/TCP ke layanan Akses Klien di server Kotak Surat.

Untuk informasi selengkapnya tentang klien dan layanan ini, lihat artikel berikut ini.

klien IMAP4

143/TCP (IMAP), 993/TCP (IMAP Aman)

IMAP4 dinonaktifkan secara default. Lihat bagian untuk informasi lebih lanjut.

Layanan IMAP4 di layanan Akses Klien di server Kotak Surat memproksi koneksi ke layanan IMAP4 internal di server Kotak Surat.

Klien POP3

110/TCP (POP3), 995/TCP (POP3 aman)

Secara default, protokol POP3 dinonaktifkan. Lihat bagian untuk informasi lebih lanjut.

Layanan POP3 di layanan Akses Klien di server Kotak Surat memproksi koneksi ke layanan POP3 internal di server Kotak Surat.

Klien SMTP (dengan autentikasi)

587/TCP (SMTP Terotentikasi)

Konektor Terima default adalah "Client Frontend " di layanan transportasi eksternal mendengarkan pesan dari klien SMTP yang diautentikasi pada port 587.

Catatan.

Jika Anda memiliki klien email yang hanya dapat mengirim pesan SMTP yang diautentikasi pada port 25, Anda dapat mengubah nilai pengikatan konektor Terima ini untuk juga mendengarkan pesan SMTP yang diautentikasi pada port 25.

Ke awal

Port jaringan diperlukan untuk alur email

Surat keluar

25/TCP (SMTP)

Server kotak surat

Internet(semua)

Secara default, Exchange tidak membuat konektor Kirim yang memungkinkan Anda mengirim email ke Internet. Anda harus membuat konektor Kirim secara manual. Lihat bagian untuk informasi lebih lanjut.

Surat keluar (jika dikirim melalui layanan transportasi eksternal)

25/TCP (SMTP)

Server kotak surat

Internet(semua)

Email keluar dikirim melalui layanan transpor eksternal hanya jika setelan Send connector diaktifkan Proksi melalui server Akses Klien di EAC, atau parameter -FrontEndProxyEnabled $true di Exchange Management Shell.

Dalam hal ini, konektor Terima default "Outbound Proxy Frontend " di layanan Transportasi Eksternal mendengarkan surat keluar dari layanan Transportasi di server Kotak Surat. Untuk informasi selengkapnya, lihat .

Server DNS untuk mail next hop name resolution (tidak ditampilkan)

53/UDP, 53/TCP (DNS)

Server kotak surat

server DNS

Ke awal

Server Edge Transport berlangganan yang dipasang di jaringan perimeter memengaruhi aliran email dengan cara berikut:

    Email keluar dari organisasi Exchange tidak pernah melewati layanan transpor eksternal di server Kotak Surat. Itu selalu dialihkan dari layanan Transport di server Kotak Surat dari situs Direktori Aktif langganan ke server Edge Transport (terlepas dari versi Exchange di server Edge Transport).

    Email masuk dialihkan dari server Edge Transport ke server Mailbox dari situs Active Directory langganan. Ini berarti sebagai berikut:

    • Email dari server Exchange 2016 atau Exchange 2013 Edge Transport terlebih dahulu memasuki layanan Transport Eksternal, lalu dialihkan ke layanan Transport di server Kotak Surat Exchange 2016.

      Email dari server Exchange 2010 Edge Transport selalu masuk langsung ke layanan Transport di server Kotak Surat Exchange 2016.

Port jaringan yang diperlukan untuk alur email di organisasi Exchange dengan server Edge Transport dijelaskan dalam diagram dan tabel berikut.

TujuanPelabuhanSumberTujuanCatatan

Surat masuk - dari Internet ke server Edge Transport

25/TCP (SMTP)

Internet(semua)

Konektor Terima default bernama Konektor Terima Internal Default <имя пограничного транспортного сервера> " di server Edge Transport mendengarkan email SMTP anonim di port 25.

Email masuk - dari server Edge Transport ke organisasi Exchange internal

25/TCP (SMTP)

Server Transportasi Tepi

Konektor Kirim default bernama "EdgeSync - Inbound to " Menyampaikan surat masuk pada port 25 ke server Kotak Surat mana pun di situs Direktori Aktif langganan. Untuk informasi lebih lanjut, lihat .

Konektor Terima Default "Frontend Default " di layanan Transportasi Eksternal di server Kotak Surat mendengarkan semua email masuk (termasuk email dari server Exchange 2016 dan Exchange 2013 Edge Transport) di port 25.

Email keluar - dari organisasi Exchange internal ke server Edge Transport

25/TCP (SMTP)

Server kotak surat di situs Direktori Aktif langganan

Surat keluar selalu melewati layanan Transportasi Eksternal di server Kotak Surat.

Mail diteruskan dari layanan Transport di server Mailbox mana pun di situs Active Directory langganan ke server Edge Transport dengan menggunakan konektor Kirim intra-organisasi implisit dan tak terlihat yang secara otomatis merutekan email di antara server Exchange di organisasi yang sama.

Konektor Terima internal bawaan di server Edge Transport mendengarkan email SMTP di port 25 dari layanan Transport di server Kotak Surat mana pun di situs Direktori Aktif langganan.

Surat keluar - dari server Edge Transport ke Internet

25/TCP (SMTP)

Server Transportasi Tepi

Internet(semua)

Konektor Kirim default bernama "EdgeSync - with <имя сайта Active Directory> ke Internet" menyampaikan email keluar pada port 25 dari server Edge Transport ke Internet.

Sinkronisasi EdgeSync

50636/TCP (LDAP Aman)

Server kotak surat di situs Active Directory langganan yang berpartisipasi dalam sinkronisasi EdgeSync

Server Transportasi Tepi

Jika server Edge Transport berlangganan ke situs Active Directory, semua server Kotak Surat yang saat ini ada di situs berpartisipasi dalam sinkronisasi EdgeSync. Namun jika Anda menambahkan lebih banyak server Kotak Surat nanti, mereka tidak akan berpartisipasi secara otomatis dalam sinkronisasi EdgeSync.

Server DNS untuk resolusi nama hop berikutnya (tidak ditampilkan)

53/UDP, 53/TCP (DNS)

Server Transportasi Tepi

server DNS

Lihat Resolusi Nama.

Deteksi Proksi Buka Reputasi Pengirim (tidak ditampilkan)

lihat catatan

Server Transportasi Tepi

Internet

Secara default, agen analisis protokol menggunakan penemuan proxy terbuka sebagai salah satu syarat untuk menghitung tingkat reputasi server perpesanan sumber. Lihat artikel untuk informasi lebih lanjut.

Port TCP berikut digunakan untuk memeriksa server perpesanan sumber untuk server proxy terbuka:

Selain itu, jika organisasi Anda menggunakan server proksi untuk mengontrol lalu lintas Internet keluar, Anda harus menentukan nama, jenis, dan port TCP server proksi yang diperlukan untuk mengakses Internet dan mendeteksi server proksi terbuka.

Anda juga dapat menonaktifkan deteksi proxy terbuka.

Lihat bagian untuk informasi lebih lanjut.

Ke awal

Resolusi nama

Resolusi nama

Resolusi email next-hop DNS adalah bagian mendasar dari alur email di organisasi Exchange mana pun. Exchange server yang bertanggung jawab untuk menerima surat masuk atau mengirim surat keluar harus dapat menyelesaikan nama host internal dan eksternal untuk merutekan surat dengan benar. Semua server Exchange internal harus dapat menyelesaikan nama host internal untuk merutekan email dengan benar. ada banyak berbagai cara pengembangan infrastruktur DNS, tetapi hasil yang penting adalah memastikan resolusi nama yang tepat untuk lompatan berikutnya di semua server Exchange.



ARTIKEL TERKAIT