shtëpi-WiFi.-Portet për shkëmbim. Lidhja e klientëve postar në Microsoft Exchange Server

Portet për shkëmbim. Lidhja e klientëve postar në Microsoft Exchange Server

Materiali nga Rosalab Wiki

Qëlloj

Ky udhëzim përshkruan lidhjen e klientëve të ndryshëm të postës elektronike në serverin e Microsoft Exchange. Qëllimi është që të merrni sistemin, sipas funksionalitetit të Outlook përkatëse të Microsoft.

Fut te dhenat

Në shembujt e përdorur microsoft Server Shkëmbimi 2010 (v14.03.0361.001) Shërbimi Pack 3 Update Rollup 18. Testimi është bërë brenda rrjetit të korporatës. Serverët DNS përfshijnë adresat e jashtme të postës për serverin e postës. Serveri i shkëmbimit duhet të funksionojë:

  1. Outlook Web Access - Web Client për të hyrë në serverin e bashkëpunimit të Microsoft Exchange
  2. Oab (libri i adresave jashtë linje) - libri i adresave jashtë linje
  3. EWS (Shërbimet e Exchange Web) - një shërbim që siguron qasje në të dhënat e kuotit postar të ruajtur në këmbim online (si pjesë e zyrës 365) dhe në versionin lokal të shkëmbimit (duke filluar me Exchange Server 2007)

Parametrat e serverit të shkëmbimit

Një pikë e rëndësishme për punën e suksesshme të klientëve jo-Microsoft për të shkëmbyer 2010 është autentifikimi. Ju mund të shihni parametrat e saj në serverin e shkëmbimit me rolin CAS. Drejtoni Snap-in Menaxhuesin e IIS dhe hapni faqet e faqeve / faqes së default. Kushtojini vëmendje autentifikimit në tre komponentë:

  • Owa - shteti " I përfshirë"Për" Autentifikimi normal"Dhe" Authentication Windows»:
  • Oab - kusht " I përfshirë"Për" Autentifikimi normal"Dhe" Authentication Windows»:

  • EWS - Shteti " I përfshirë"Për" Autentifikimi anonim», « Autentifikimi normal"Dhe" Authentication Windows»:

Interlayers (ndërmjetës) dhe shërbime ndihmëse

Davmail

Disa klientë të postës nuk mund të lidhen drejtpërdrejt me Microsoft Exchange dhe kërkojnë përdorimin e një shtrese (ndërmjetës). Në këtë shembull, një server proxy përdoret si ndërmjetës Davmail.

  • Instaloj DavmailDuke marrë të drejtat e administratorit duke përdorur Su ose sudo:
Sudo urpmi davmail
  • Nisja Davmail:

  • Në tabin "kryesore" në fushë " OWA (Exchange) URL»Shkruani adresën tuaj të serverit në https: // format / /Eonschange.asmx »ose lidhje owa

në formatin "https: // / Owa. "

  • Mos harroni numrat e portit " Port lokal IMAP."Dhe" Port lokal SMTP." Në këtë shembull, është 1143 dhe 1025, respektivisht.

Kështu që çdo herë që nuk e përdorni serverin DavmailJu duhet ta shtoni atë në thirrjen për të autoload.

  • Shkoni në menu " Cilësimet e Sistemit → Drejtimin dhe Përfundimin → Tatimi Automatik", Klikoni mbi [ Shto aplikacion] Dhe në shiritin e kërkimit, hyni në "Davmail", dhe pastaj klikoni [ Ne rregull]:

Tani server proxy lokal Davmail Do të fillojë kur sistemi fillon automatikisht. Nëse ndërhyjnë me ikonën e tij në "taskbar", është e mundur për ta fshehur atë. Për ta bërë këtë, në skedarin .Davmail.properties, redaktoni davmaail.server \u003d string i rremë, duke ndryshuar të rreme në të vërtetë:

Sudo mcedit / shtëpi /<имя_пользователя>/.davmail.properties.

Klientët postare për lidhjen për të shkëmbyer

Tani mund të filloni të konfiguroni klientët postar.

Thunderbird.

Mozilla Thunderbird. Është klienti kryesor postar për shpërndarjet Rosa Linux dhe, ka shumë të ngjarë që tashmë është instaluar në sistemin tuaj dhe është gati për të punuar. Nëse jo, mund të instalohet nga depoja e ROSA. Ky shembull përdor versionin 52.2.1.

  • Instaloj Thunderbird.:
Sudo urpmi mozilla-thunderbird
  • Shtoni një ndërfaqe ruse-folëse:
Sudo urpmi mozilla-thunderbird-ru
  • Vendosni rrufetë shtesë, e cila ju lejon të përdorni kalendarët:
Sudo urpmi mozilla-thunderbird-rrufeja
  • Nisja Thunderbird..
  • Në kapitull " Llogari"Në pikën" Krijo nje llogari»Zgjidhni" Email" Do të shfaqet një dritare e mirëpritur.
  • Në dritaren që hapet, klikoni [ Kalojeni dhe përdorni postën time ekzistuese].
  • Në dritare " Vendosja e llogarisë së postës"Shkruani në fushë" Emri juaj», « Adresa e postës elektronike mail"Dhe" Fjalëkalim»Kredencialet tuaja.

  • Kliko [ Vazhdo]. Programi do të përpiqet të gjejë lidhje (pa sukses), dhe do të shfaqet një mesazh gabimi:

Këtu do t'ju duhet numrat e portit që ju kujtohet kur vendosni Davmail.

  • Për kategoritë " Hyrje"Dhe" Që po largohet»Ndryshoni emrin e serverit në" Localhost ".
  • Specifikoni për " Imap»Port 1143, dhe për" SMTP."- Port 1025.
  • Në fushë " Emri i përdoruesit»Specifikoni UPN (emri kryesor i përdoruesit) - emri i domain-it të përdoruesit në formatin" Emri i pë[email protected] ".
  • Klikoni në [ Foto].

Me hyrjen korrekte të kredencialeve të gabimeve nuk do të jetë. Ndoshta sistemi do të raportojë nevojën për të pranuar certifikatën e serverit të Exchange. Nëse kjo nuk ndodh, ju mund të keni fikur ndërfaqen shumë herët shumë herët Davmail.

Duke krijuar një kalendar të përdoruesit

  • Në kategorinë " Llogari"Zgjidh" Krijo një kalendar të ri».
  • Në dritaren që shfaqet, zgjidhni vlerën " Në internet"Dhe shtypni [ Me tutje].
  • Zgjidhni formatin " Kaldav"Dhe në fushë" Adresën"Shkruani" http: // localhost: 1080 / përdoruesit / / Kalendari ":

Duke krijuar një libër të synuar

Libri i adresave Thunderbird. Nuk e mbështet protokollin CardDAV dhe mund të lidhet vetëm me direktorinë LDAP të Exchange Server.

  • Hapni librat ekzistues të adresave duke klikuar në [ Libri i adresave] dhe zgjedhjen e sendit " File → Krijo → Katalogu i LDAP».
  • Në dritaren Wizard, specifikoni parametrat e mëposhtëm:
    • Emër - Çdo emër i përshtatshëm
    • Emri i serverit - Localhost
    • Element rrënjë (Base DN) - ou \u003d njerëz
    • Port - 1389 (nga Davmail)
    • Emri i përdoruesit (Bind DN) - UPN-Username

  • Kliko [ Ne rregull]. Programi do t'ju kërkojë të futni një fjalëkalim.
  • Shko te menyja e parametrave Thunderbird.. Në kategorinë " Përpilim»Zgjidhni" Adresues"Dhe nën tekstin" Kur futni një adresë për të kërkuar adresa të përshtatshme postare në "shënoni artikullin" Server directory"Duke zgjedhur emrin tënd libri i adresave.

Evolucion

Në depot e Rosa, një klient i postës elektronike është gjithashtu në dispozicion. Evolucion (Ky shembull përdor versionin 3.16.4).

  • Instaloj Evolucion:
Sudo urpmi evolution
  • Instaloni lidhësin ShkëmbejCompatible me MAZA 2007 dhe më vonë:
Sudo urpmi evolution-ews
  • Nisja Evolucion.
  • Në dritaren Wizard, shtypni [ I ardhshëm] derisa të vazhdoni me " Llogaris».
  • Plotësoni fushat Emri i plotë "Dhe" Email».
  • Në tab " Duke marrë postë"Listë" Lloji i serverit"Zgjidhni" Shërbimet e Exchange Web ".
  • Si një emër, specifikoni emrin UPN të përdoruesit në formën "Emri i përdoruesit "@vashdomen.ru.
  • Në fushë " Url pritës"Shkruani" https: //shews/exchange.asmxx .
  • Në fushë " Oab url»Shkruani URL-në e librit të adresave autonome.
  • Si një lloj i vërtetimit, zgjidhni "Basic".

Nëse konfigurimi i suksesshëm, programi do të kërkojë një fjalëkalim:

Pas hyrjes në fjalëkalim Evolucion Merrni qasje në kutinë tuaj postare, librin e adresave dhe kalendarët.

Për çdo pyetje në lidhje me këtë artikull, ju lutemi kontaktoni [Email i mbrojtur]

Exchange Server dhe firewalls

Firewalls (firewalls) për serverët e postës (serveri i këmbimit), portet e serverëve të postës elektronike, serverat e postës së përparme dhe mbrapa, serverat virtuale SMTP, POP3, IMAP4

Ashtu si çdo kompjuter i lidhur me internetin, kompjuteri në të cilin serveri i postës vlen të mbrohet me një firewall. Në të njëjtën kohë, mundësitë për instalimin e një serveri të postës në aspektin e konfigurimit të rrjetit mund të jenë shumë të ndryshme:

· Opsioni më i lehtë është instalimi i serverit të postës në kompjuter, i cili është njëkohësisht proxy server / firewall, dhe pastaj në ndërfaqen që është adresuar në internet, hapni portet e nevojshme. Zakonisht kjo skemë përdoret në organizata të vogla;

· Një tjetër opsion - instaloni serverin e postës në rrjeti lokal Dhe konfiguroni atë të punojë përmes një server proxy. Për ta bërë këtë, ju mund të lidheni me serverin e postës elektronike të IP dhe të kaloni nëpër një proxy ose të përdorni mjetet e hartës së portit të tipit në serverin proxy. Shumë serverë proxy kanë mjeshtra të posaçëm ose rregulla të para-përgatitura për organizimin e një zgjidhjeje të tillë (për shembull, në serverin ISA). Ky opsion përdoret në shumicën e organizatave.

· Një tjetër drejtor i mundshëm është krijimi i një DMZ dhe vendoseni serverin e shkëmbimit të përparmë në të (kjo veçori u shfaq, duke filluar me versionin 2000) ose rele SMTP bazuar në një server tjetër të këmbimit ose, për shembull, Sendmail në * nix. Zakonisht aplikohet në rrjetet e organizatave të mëdha.

Në çdo rast, për serverin e postës, është e nevojshme të ndërveprosh të paktën në portin TCP 25 (SMTP) dhe UDP 53 (DNS). Portet e tjera që mund të kërkohen nga Exchange Server në varësi të konfigurimit të rrjetit tuaj (ALL - TCP):

· 80 HTTP - për të hyrë në Interface Web (OWA)

· 88 Protokolli i legalizimit të Kerberos - nëse përdoren autentifikimi i Kerberos (rrallë);

· 102 MTA .x .400 lidhës mbi TCP / IP (nëse lidhësi X.400 përdoret për komunikim midis grupeve të rutimit);

· 110 Protokolli i Postës 3 (POP 3) - për të hyrë në konsumatorë;

· 119 protokolli i transferimit të lajmeve të rrjetit (NNTP) - nëse përdoren grupet e lajmeve;

· 135 Klienti / Servery Communication RPC Administration RPC - Standardi RPC Port për shkëmbimin e administratës së largët do të thotë Menaxheri i Sistemit;

· 143 Protokolli i hyrjes në internet (IMAP) -për të hyrë në konsumatorë;

· 389 LDAP - për të apeluar në shërbimin e direktorisë;

· 443 HTTP (Secure Sockets Layer) (dhe më poshtë) janë të njëjtat protokolle të mbrojtura nga SSL.

· 563 NNTP (SSL)

· 636 LDAP (SSL)

· 993 IMAP4 (SSL)

· 995 POP3 (SSL)

· 3268 dhe 3269 - Kërkesa për Serverin e Katalogut Global (Kërko nga Active Directory. dhe kontrollimin e anëtarësimit në grupet universale).

Ndërfaqja e serverit të shkëmbimit me të cilin përballet organizata, mbyllja e firewall nuk ka kuptim - do të ketë ndërveprim me kontrollorët e domenit, shërbimet administrative, sistemet kopje rezervë etj. Për ndërfaqen e hapur në internet, rekomandohet të largoheni nga portat 53 (nëse shkëmbimi do të zgjidhë vetë emrat e pritjes, në vend që të ridrejtojnë kërkesat në serverin lokal DNS) dhe 25. Shumë shpesh, klientët duhet të kontaktojnë kutitë e tyre postare nga jashtë ( nga shtëpia gjatë një udhëtimi biznesi etj.). Zgjidhja më e mirë në këtë situatë është konfigurimi i OWA (Web-Interface për qasje në serverin e këmbimit, i cili është i instaluar sipas parazgjedhjes, është i disponueshëm në http: // server / emri i këmbimit) për punën SSL dhe qasje të hapur vetëm nga Port 443. Përveç çështjeve me pyetje nga autentifikimi i sigurt dhe encryption e mesazheve automatikisht zgjidh pyetjen nga SMTP Relay (për këtë më vonë) dhe me situatën kur përdoruesi është duke shkarkuar në mënyrë të papërshtatshme punën email Në dosjen e klientit të postës në kompjuterin në shtëpi, dhe pastaj në punë nuk mund të gjesh këto mesazhe (për të mos përmendur se mbajtja e postës së punës në shtëpi është një çrregullim i sigurisë).

Mundësi e reqë u shfaq në serverin e këmbimit. Duke filluar me versionin 2000, aftësia për të përdorur serverë të shumta virtuale SMTP dhe POP3 me mjedise të ndryshme të sigurisë. Për shembull, serveri SMTP që ndërvepron me internetin mund të konfigurohet në një regjim të sigurisë në rritje dhe kufizime të rrepta të shpërndarjes, dhe për serverin SMTP, me të cilin përdoruesit punojnë brenda organizatës, përdorin cilësimet më produktive dhe më të përshtatshme për përdoruesit.

Është gjithashtu e nevojshme të thuhet për një konfuzion të veçantë në terminologji - shumë shpesh firewalls për shkëmbim quhen sisteme filtrimi mesazhe që do të diskutohen më poshtë.

[Ky artikull është një dokument paraprak dhe mund të ndryshohet në çështjet e ardhshme. Seksionet bosh përfshihen si agregate. Nëse doni të shkruani një rishikim, ne do të jemi të lumtur për ta marrë atë. Na dërgoni tek ne adresë elektronike [Email i mbrojtur]]

E zbatueshme për:Exchange Server 2016.

Informacion rreth porteve të rrjetit që shkëmbejnë 2016 përdor për qasjen e klientit dhe rrjedhën e përpunimit të postës.

Ky seksion ofron informacion rreth porteve të rrjetit të përdorura nga Microsoftexchange Server 2016 për të komunikuar me klientët e postës, serverat postare në internet dhe shërbime të tjera që ndodhen jashtë organizatës suaj lokale të këmbimit. Para se të filloni, mendoni për rregullat bazë të mëposhtme.

    Ne nuk mbështesim kufizimin ose ndryshimin e trafikut të rrjetit midis serverëve të shkëmbimit të brendshëm, midis serverëve të shkëmbimit të brendshëm dhe serverëve të brendshëm të Lync ose Skype për biznes ose ndërmjet serverëve të brendshëm të këmbimit dhe kontrollorëve të brendshëm të fushës së Active Directory në çdo lloj topologjie. Nëse përdorni firewalls ose pajisjet e rrjetit që mund të kufizojnë ose ndryshoni këtë trafik të rrjetit, ju duhet të konfiguroni rregullat që ofrojnë lidhje të lira dhe të pakufizuara midis këtyre serverëve (rregullat që lejojnë trafikun e rrjetit në hyrje dhe dalje në çdo port, duke përfshirë portet e rastit RPC dhe çdo Protokolli që nuk ndryshon asnjë grimë të vetme).

    Serverët e transportit kufitar janë pothuajse gjithmonë në rrjetin e perimetrit, prandaj pritet që trafiku i rrjetit midis serverit të transportit kufitar dhe Internetit, si dhe midis serverit të transportit kufitar dhe organizatës së këmbimit të brendshëm. Këto porte të rrjetit përshkruhen në këtë seksion.

    Ju pritet të kufizoni trafikun e rrjetit midis klientëve dhe shërbimeve të jashtme dhe një organizate të brendshme shkëmbimi. Ju gjithashtu mund të kufizoni trafikun midis klientëve të brendshëm dhe serverëve të brendshëm të shkëmbimit. Këto porte të rrjetit përshkruhen në këtë seksion.

Përmbajtje

Portet e rrjetit të kërkuara për klientët dhe shërbimet

Portet e rrjetit të kërkuara për rrjedhën e postës (pa servera të transportit në buzë)

Portet e rrjetit të kërkuara për rrjedhën e postës me serverat e transportit në buzë

Portet e rrjetit të kërkuara për vendosjen hibride

Portet e rrjetit të kërkuara për mesazhe të unifikuara

Portet e rrjetit që janë të nevojshme nga klientët e postës për të hyrë në kutitë postare dhe shërbime të tjera në organizatën e këmbimit janë përshkruar në diagramin e mëposhtëm dhe në tabelë.

Shënime.

    Destinacioni për këta klientë dhe shërbime janë shërbimet e qasjes së klientit në server kuti postare. Në këmbim të vitit 2016, shërbimi i qasjes së klientit (i jashtëm) dhe shërbimet e brendshme janë instaluar së bashku në një server kuti postare. Për më shumë informacion, shihni seksionin.

    Megjithëse diagrami tregon klientë dhe shërbime nga interneti, koncepti i njëjtë për klientët e brendshëm (për shembull, konsumatorët në pyllin e llogarive që hyjnë në serverat e shkëmbimit në pyjet e burimeve). Në mënyrë të ngjashme, nuk ka kolonë "burim" në tavolinë, pasi burimi mund të jetë ndonjë vend i jashtëm (për shembull, interneti ose pyjet e llogarive).

    Serverët e transportit kufitar nuk marrin pjesë në trafikun e rrjetit të lidhur me këta klientë dhe shërbime.

Qëlloj Portet Shënim

Lidhjet e koduara të uebit përdoren nga klientët dhe shërbimet e mëposhtme.

    Shërbimi Autoban

    Exchange ActiveSync.

    Shërbimet e Exchange Web (EWS)

    Shpërndarja e librave të adresave autonome

    Outlook Mobile (protokoll RPC nëpërmjet HTTP)

    Mapi Outlook nëpërmjet http

    Outlook në internet

443 / tcp (https)

    Doracaku i EWS për shkëmbim

Lidhjet e paidentifikuara të internetit përdoren nga klientët dhe shërbimet e mëposhtme.

    Publikimi i kalendarit në internet

    Outlook në internet (Redirection në Port 443 / TCP)

    Autodualizimi (rikthim, kur port 443 / tcp nuk është i disponueshëm)

80 / tcp (http)

Nëse është e mundur, ne rekomandojmë përdorimin e lidhjeve të koduara në internet nëpërmjet Portit 443 / TCP për të mbrojtur llogarinë dhe të dhëna të tjera. Megjithatë, disa shërbime duhet të konfigurohen për të përdorur lidhje të unencrypted web nëpërmjet Portit 80 / TCP në shërbimet e qasjes së klientit në serverat e kutive të postës.

Për më shumë informacion rreth këtyre klientëve dhe shërbimeve, shihni artikujt e mëposhtëm.

Konsumatorët IMAP4.

143 / tcp (IMAP), 993 / tcp (IMAP i sigurt)

IMAP4 default është i çaktivizuar. Për më shumë informacion, shihni seksionin.

Shërbimi IMAP4 në shërbimet e qasjes së klientit në serverin e postës elektronike përpunon lidhjen me shërbimin e brendshëm IMAP4 në serverin e kutisë postare.

Konsumatorët POP3.

110 / TCP (POP3), 995 / TCP (Safe POP3)

Sipas parazgjedhjes, protokolli POP3 është i çaktivizuar. Për më shumë informacion, shihni seksionin.

Shërbimi POP3 në shërbimet e qasjes së klientit në proceset e serverit të kutisë së postës që lidhet me shërbimin e brendshëm POP3 në serverin e kutisë postare.

Klientët SMTP (me autentikim)

587 / TCP (SMTP me autentifikim)

Default default lidhës "Klienti frontend "Shërbimi i transportit të jashtëm dëgjon mesazhet nga autentifikimi i klientit SMTP në portin 587.

Shënim.

Nëse keni klientë të postës që mund të dërgojnë mesazhe SMTP vetëm përmes portit 25, atëherë mund të ndryshoni vlerën e detyrueshme të këtij lidhësi të kyçjes në mënyrë që të gjurmonte dërgimin e mesazheve SMTP me autentifikim përmes portit 25.

Për fillimin

Portet e rrjetit të kërkuara për rrjedhën e përpunimit të postës

Mail që po largohet

25 / tcp (SMTP)

MailBox Server

Internet (të gjitha)

By default, shkëmbimi nuk krijon lidhje të dërguara që ju lejojnë të dërgoni postë në internet. Ju duhet të krijoni dërgimin e lidhjeve manualisht. Për më shumë informacion, shihni seksionin.

Mail që po largohet (nëse transmetohet përmes shërbimit të transportit të jashtëm)

25 / tcp (SMTP)

MailBox Server

Internet (të gjitha)

Posta dalëse transmetohet përmes shërbimit të transportit të jashtëm vetëm nëse parametri është i ndezur për lidhësin e dërgimit Proxy nëpërmjet serverit të qasjes së klientit Në Qendrën e Administrimit të Shkëmbimit ose parametrin e vërtetë $ $ në konsolën e menaxhimit të këmbimit.

Në këtë rast, lidhësi i lidhjes së parazgjedhur "frontend proxy në dalje "Në shërbimin e transportit të jashtëm dëgjon postën në dalje nga shërbimi i transportit në serverin e kutisë postare. Për më shumë informacion, shih artikullin.

DNS server për të zgjidhur emrat e tranzicionit të ardhshëm të postës (nuk është treguar në figurë)

53 / UDP, 53 / TCP (DNS)

MailBox Server

DNS server.

Për fillimin

Serveri i nënshkruar i transportit kufitar të instaluar në rrjetin e perimetrit ndikon në rrjedhën e përpunimit të postës si më poshtë:

    Posta dalëse nga organizata e këmbimit nuk kalon kurrë përmes shërbimit të transportit të jashtëm në serverët e kutive të postës. Është ridrejtuar gjithmonë nga shërbimi i transportit në serverin e kutisë postare të faqes së nënshkruar të Active Directory në serverin e transportit në EDGE (pavarësisht nga versioni i këmbimit në serverin e transportit kufitar).

    Mailja hyrëse është e ridrejtuar nga serveri i transportit buzë në serverin e kutisë postare të faqes së nënshkruar të Active Directory. Kjo do të thotë:

    • Email me embant 2016 ose Exchange 2013 Serveri i transportit kufitar së pari hyn në shërbimin e transportit të jashtëm, dhe pastaj të ridrejtuar në shërbimin e transportit në serverin e kutive të këmbimit 2016.

      Email me serverin e transportit kufitar të këmbimit 2010 gjithmonë vjen drejtpërdrejt në shërbimin e transportit në serverin e këmbimit 2016 të postës elektronike.

Portet e rrjetit të kërkuara për rrjedhën e përpunimit të postës në organizatat e këmbimit me serverat e transportit kufitar janë përshkruar në diagramin më poshtë dhe në tabelë.

Qëlloj Portet Një burim Qëlloj Shënim

Mail përbrenda - nga interneti në serverin e transportit buzë

25 / tcp (SMTP)

Internet (të gjitha)

Lidhësi i kërkesës nga emri "lidhës i brendshëm i parazgjedhur i parazgjedhur <имя пограничного транспортного сервера> "Serveri i transportit kufitar dëgjon postën anonime SMTP në portin 25.

Posta e hyrjes - nga serveri i transportit buzë në shkëmbimin e organizatës së brendshme

25 / tcp (SMTP)

Server transporti buzë

Konektor default i parazgjedhur me emrin "Edgesync - përbrenda për të "Shënon një postë hyrëse nga porti 25 në çdo server kuti postare të faqes së nënshkruar të Active Directory. Për më shumë informacion, shih seksionin.

Default default lidhës "default frontend "Në shërbimin e transportit të jashtëm, serveri i kutisë postare dëgjon të gjitha postat hyrëse (duke përfshirë postën nga serverat e transportit kufitar 2013 në Portin 25.

Mail që po largohet - nga organizata e këmbimit të brendshëm në serverin e transportit buzë

25 / tcp (SMTP)

Serverat postare në faqen e internetit të nënshkruar Active Directory

Posta dalëse gjithmonë anashkalon shërbimin e transportit të jashtëm në serverët e kutisë së postës.

Mail është transmetuar nga shërbimi i transportit në çdo server kuti postare të faqes së nënshkruar të Active Directory në serverin e transportit në EDGE duke përdorur një lidhje të nënkuptuar dhe të padukshme të segmentit ndër-organizativ, i cili automatikisht përcjell postën midis serverëve të këmbimit në një organizatë.

Konektori i parazgjedhur i parazgjedhur "lidhës i brendshëm i pranimit të brendshëm "Në serverin e transportit kufitar dëgjon postën nëpërmjet protokollit SMTP në portin 25 nga shërbimi i transportit në çdo server kuti postare të faqes së nënshkruar të Active Directory.

Mail që po largohet - nga serveri i transportit në internet në internet

25 / tcp (SMTP)

Server transporti buzë

Internet (të gjitha)

Konektor i dërgimit të parazgjedhur për filename "Edgesync me <имя сайта Active Directory> Në internet, "lëshon postën në dalje në portin 25 nga serveri i transportit kufitar në internet.

Edgesync sync

50636 / tcp (LDAP i sigurt)

Serverat postare në faqen e internetit të nënshkruar të Active Directory, të cilat janë të përfshira në Sinkronizimin e Edgesync

Serverat e transportit kufitar

Nëse Serveri i Transportit EDGE nënshkruhet në faqen e Active Directory, të gjitha serverët e kutive të postës që ekzistojnë në vend aktualisht marrin pjesë në sinkronizimin e Edgesync. Por nëse shtoni servera të tjerë të kutisë së postës më vonë, ata nuk do të marrin pjesë automatikisht në sinkronizimin e Edgesync.

DNS server për të zgjidhur emrat e seksionit të ardhshëm tranzit (nuk është treguar në figurë)

53 / UDP, 53 / TCP (DNS)

Server transporti buzë

DNS server.

Shih seksionin e zgjidhjes së emrave.

Zbulimi i një server të hapur proxy në shërbimin e reputacionit të dërguesit (nuk është treguar në figurë)

Shih shënimet

Server transporti buzë

Interneti

By default, agjenti i analizës së protokollit përdor një zbulim të një serveri të hapur proxy si një nga kushtet për llogaritjen e nivelit të reputacionit të serverit të mesazheve burimore. Për më shumë informacion, shihni artikullin.

Për të kontrolluar serverat e mesazheve burimore për serverin e hapur Proxy, përdoren portet e mëposhtme TCP:

Përveç kësaj, nëse serveri proxy është përdorur për të kontrolluar trafikun në internet në organizatën tuaj, ju duhet të përcaktoni emrin, llojin dhe portën TCP të serverit proxy ju duhet të hyni në internet dhe të zbuloni një server të hapur proxy.

Ju gjithashtu mund të çaktivizoni zbulimin e serverit të hapur proxy.

Për më shumë informacion, shihni seksionin.

Për fillimin

Leja e emrave

Leja e emrave

Leja DNS e tranzicionit të ardhshëm të postës është komponenti themelor i rrjedhës së përpunimit të postës në çdo organizatë shkëmbimi. Serverët e shkëmbimit përgjegjës për marrjen e postës ose shpërndarjes hyrëse të daljes duhet të jenë në gjendje të zgjidhin emrat e nyjeve të brendshme dhe të jashtme për drejtimin e saktë të postës. Të gjithë serverat e këmbimit të brendshëm duhet të jenë në gjendje të lejojnë emrat e brendshëm të nyjeve të drejtimit të duhur. Ka shume menyra te ndryshme Zhvillimi i infrastrukturës DNS, por një rezultat i rëndësishëm është sigurimi i zgjidhjes së duhur të emrit për kalimin e ardhshëm në të gjithë serverët e shkëmbimit.

E zbatueshme për: Exchange Server 2010 SP1

Seksioni i fundit i modifikuar: 2011-04-22

Ky seksion ofron informacion rreth porteve, autentifikimit dhe encryption për të gjitha shtigjet në të dhënat e përdorura në sistemin e Microsoft Exchange Server 2010. Seksioni "Shënime" pas secilës tabelë specifikon ose përcakton metodat jo standarde të autentifikimit ose të enkriptimit.

Serverat e transportit

Në sistemin e këmbimit 2010, ekzistojnë dy role të serverëve që kryejnë funksione të mesazheve: një server i transportit qendror dhe një server transporti kufitar.

Tabela në vijim tregon informacion në lidhje me portet, vërtetimin dhe shtigjet e kodimit të të dhënave midis këtyre serverëve të transportit dhe shërbimeve të tjera të serverëve dhe shkëmbimit 2010.

Shtigjet e të dhënave për serverat e transportit

Rruga e të dhënave Portet e kërkuara Mbështetja e Encryption

Midis dy serverëve të transportit të koncentratorit

Po, me TLS (siguria e shtresës së transportit)

Nga serveri i transportit qendror në serverin e transportit buzë

Besim të drejtpërdrejtë

Besim të drejtpërdrejtë

Po, duke përdorur TLS

Nga serveri i transportit buzë në serverin e transportit qendror

Besim të drejtpërdrejtë

Besim të drejtpërdrejtë

Po, duke përdorur TLS

Midis dy serverëve të transportit kufitar

Anonime, autentifikim duke përdorur një certifikatë

Në mënyrë anonime duke përdorur certifikatën

Po, duke përdorur TLS

Nga serveri i kutisë postare në shërbimin e dërgimit të Microsoft Exchange

Ntlm. Nëse roli i serverit të transportit të qendrës dhe roli i serverit të kutisë së postës kryhet në të njëjtin server, përdoret protokolli Kerberos.

Po, duke përdorur encryption rpc

Nga serveri i transportit qendror në serverin e kutisë postare përmes MAPI

Ntlm. Nëse roli i serverit të transportit të shpërndarës dhe roli i serverit të kutisë së postës është instaluar në të njëjtin server, përdoret protokolli Kerberos.

Po, duke përdorur encryption rpc

Po, duke përdorur TLS

Microsoft Exchange Edgesync nga serveri i transportit qendror në serverin e transportit buzë

Po, me LDAP nëpërmjet SSL (LDAPs)

Qasja e Shërbimit të Drejtorisë Active Directory nga Serveri i Transportit Hub

Qasja në Shërbimin e Menaxhimit të Drejtave të Drejtorisë së Drejtorisë Active Directory (AD RMS) nga serveri i transportit Hub

Po, me SSL

Klientët SMTP në një server të transportit qendror (për shembull, përdoruesit përfundimtarë duke përdorur Windows Live Mail)

Po, duke përdorur TLS

Shënime për serverat e transportit

  • Të gjithë trafiku midis serverëve të transportit të shpërndarjes është i koduar duke përdorur protokollin TLS dhe certifikatat e vetë-nënshkruara të përcaktuara nga programi i instalimit të këmbimit 2010.
  • Të gjithë trafikun midis serverëve të transportit kufitar dhe serverëve të transportit të koncentratorit është vërtetuar dhe koduar. TLS reciproke përdoret si një mekanizëm për autentifikim dhe encryption. Në vend të kontrollit X.509 në këmbim të vitit 2010 për të vërtetuar certifikatat e përdorura besim të drejtpërdrejtë. Besimi i drejtpërdrejtë do të thotë se disponueshmëria e një certifikate në shërbimin e Drejtorisë Active Directory ose në shërbimet e Active Directory të qasjes së Lightweight Directory (AD LDS) konfirmon autenticitetin e certifikatës. Shërbimi i Drejtorisë së Drejtorisë Active është konsideruar një mekanizëm ruajtës i besuar. Kur përdoret besimi i drejtpërdrejtë, nuk ka rëndësi nëse aplikohet certifikata vetë-rafinimi ose certifikata e nënshkruar nga autoriteti certifikues. Kur ju abononi një server transporti kufitar në një organizatë shkëmbimi, abonimi i kufirit publikon një certifikatë kufitare në shërbimin e Drejtorisë së Drejtorisë Active në mënyrë që serverët e transportit të qendrës të mund të kontrollohen. Microsoft Exchange Edgesync shton qasje të lehtë në drejtoritë në shërbimet Active Directory (AD LDS) (AD LDS), një sërë certifikata të shpërndarës që serveri i transportit buzë i kontrolloi ato.
  • Edgesync përdor një lidhje të sigurt të LDAP të serverit të transportit të qendrës për të nënshkruar serverët e transportit kufitar nëpërmjet portit të TCP 50636. Active Directory Service e qasjes së lehtë në drejtori është gjithashtu duke dëgjuar portin TCP 50389. Lidhja me këtë port nuk përdor SSL protokoll. Për t'u lidhur me këtë port dhe verifikimin e shërbimeve të të dhënave Active Directory Lightweight Qasja në drejtoritë, ju mund të përdorni shërbimet LDAP.
  • Me default, trafiku midis serverëve të transportit kufitar të vendosura në dy organizata të ndryshme është i koduar. Programi i instalimit të Shkëmbimit 2010 krijon një certifikatë të vetë-nënshkruar dhe default kthehet në TLS. Kjo lejon çdo sistem dërgimi për të encrypt seancën SMTP në këmbim. By default, serveri i këmbimit 2010 gjithashtu përpiqet të përdorë protokollin TLS për të gjitha lidhjet e largëta.
  • Metodat për të kontrolluar vërtetimin për trafikun në mes të serverëve të transportit të shpërndarësve dhe serverëve të kutive të postës ndryshojnë nëse roli i serverit të transportit të shpërndarjes dhe serverit postare janë instaluar në një kompjuter. Me transmetimin e postës lokale, përdoret autentifikimi i Kerberos. Me transmetimin e largët të postës, përdoret autentifikimi NTLM.
  • Shkëmbimi 2010 gjithashtu mbështet sigurinë e domain-it. Domain Security është një sërë shkëmbimi 2010 dhe funksionet e Microsoft Outlook 2010, të cilat janë një alternativë e lirë S / MIME dhe zgjidhje të tjera për të siguruar sigurinë e mesazheve në internet. Siguria e domenit ofron një mënyrë për të menaxhuar transmetimin e sigurt të mesazheve midis fushave në internet. Pas krijimit të rrugëve të tilla të sigurta, autentifikimi i dërguesit të marrë mbi to është shfaqur për përdoruesit e Outlook dhe qasjen e Outlook Web si mesazhe "të mbrojtura në nivelin e domain". Për më shumë informacion, shihni informacionin e përgjithshëm të sigurisë së përgjithshme.
  • Shumë agjentë mund të kryhen si në serverët e transportit të qendrës dhe serverët e transportit kufitar. Si rregull, agjentë mbrojtës nga postë e padëshiruar Përdorni informacionin kompjuterik lokal mbi të cilin ato ekzekutohen. Kështu, praktikisht nuk ka ndërveprim me kompjuterë të largët. Përjashtim është filtrimi i marrësve. Për të filtruar marrësit, kërkohet AD LDS Call ose Shërbimi i Drejtorisë Active Directory. Filtrimi i marrësit rekomandohet në serverin e transportit kufitar. Në këtë rast, drejtoria e LDS-së në të njëjtin kompjuter është në të njëjtin kompjuter në të cilin është instaluar roli i serverit të transportit buzë, kështu që nuk kërkohet lidhja e largët. Nëse tipari i filtrimit të marrësit është i instaluar dhe konfiguruar në një server transporti hub, qasje në shërbimin e Drejtorisë së Drejtorisë Active Directory.
  • Agjenti i analizës së protokollit përdoret nga funksioni i reputacionit të dërguesit në këmbim të vitit 2010. Ky agjent gjithashtu lidhet me serverë të ndryshëm të jashtëm të jashtëm për të përcaktuar shtigjet e mesazheve hyrëse për lidhjet e dyshimta.
  • Të gjitha funksionet e tjera të mbrojtjes nga të dhënat e përdorimit të padëshiruar të postës që mblidhen, ruhen dhe janë në dispozicion vetëm në një kompjuter lokal. Në mënyrë tipike, të dhëna të tilla si një listë e përbashkët e dërguesve të besueshëm ose të dhënave të marrësit për marrësit e filtrit, dërgohen me forcë në direktorinë lokale të LD-ve të AD duke përdorur shërbimin Edgesync Microsoft Exchange Exchange.
  • Agjentët e Menaxhimit të të Drejtave të të Dhënave (IRM) në serverat e transportit të Qendrës, Lidhuni me Shërbimet e Shërbimeve të Shërbimeve të Menaxhimit të Drejtave të Active Directory (Ad RMS) në një organizatë. Shërbimi i Menaxhimit të të Drejtave të Active Directory (AD RMS) është një shërbim në internet që rekomandohet të mbrohet duke përdorur SSL. Lidhja me serverët e shërbimeve të menaxhimit të të drejtave të Active Directory kryhet duke përdorur HTTPS, dhe Kerberos ose NTLM është përdorur për të vërtetuar, në varësi të konfigurimit të Serverit të Shërbimeve të Menaxhimit të të Drejtave të Active Directory.
  • Rregullat e regjistrave, rregullat e transportit dhe klasifikimi i mesazheve ruhen në shërbimet e shërbimit të Drejtorisë së Drejtorisë Active, dhe qasja është bërë nga agjenti i prerjes dhe agjenti i rregullave të transportit për serverët e transportit të koncentratorit.

    Servera postare

    Në serverët e kutisë së postës, përdorimi i autentifikimit NTLM ose Kerberos varet nga konteksti ose procesi i përdoruesit, brenda së cilës funksionon konsumatori i nivelit të biznesit të biznesit. Në një kontekst të tillë, konsumatorët janë çdo aplikacion ose procesion që përdor logjikën e biznesit të shkëmbimit. Si rezultat në kolonën Autentifikimi i parazgjedhur Tabela Shtigjet e të dhënave për serverët e kutisë së postës Për shumë rreshta treguan vlerën NTLM / Kerberos..

    Niveli i logjikës së biznesit të shkëmbimit përdoret për të hyrë në depon e këmbimit dhe për të bashkëvepruar me të. Niveli i logjikës së biznesit të këmbimit është quajtur edhe nga ruajtja e shkëmbimit për të bashkëvepruar me aplikimet dhe proceset e jashtme.

    Nëse konsumatori i nivelit të logjikës së biznesit të shkëmbimit kryhet në kontekstin e sistemit lokal, metodën e autentifikimit gjatë qasjes në konsumatorin në depon e këmbimit është gjithmonë Kerberos. Metoda e autentifikimit të Kerberos përdoret për shkak të faktit se autenticiteti i marrësit duhet të kontrollohet duke përdorur llogaris Kompjuter "Sistemi lokal", dhe gjithashtu kërkon besim dypalësh me autentifikim.

    Nëse marrësi i nivelit të logjikës së biznesit të shkëmbimit nuk kryhet në kontekstin e sistemit lokal, metoda e legalizimit është NTLM. Për shembull, kur administratori nis planin e menaxhimit të shkëmbimit, duke përdorur nivelin e logjikës së biznesit të këmbimit, aplikohet autentifikimi NTLM.

    Trafiku RPC është gjithmonë i koduar.

    Tabela në vijim tregon informacion në lidhje me portet, vërtetimin dhe shtigjet e enkriptimit për serverët e kutisë së postës.

    Shtigjet e të dhënave për serverët e kutisë së postës

    Rruga e të dhënave Portet e kërkuara Autentifikimi i parazgjedhur Metoda e autentifikimit të mbështetur Mbështetja e Encryption Encryption të dhënave të parazgjedhur

    389 / TCP / UDP (LDAP), 3268 / TCP (LDAP GC), 88 / TCP / UDP (Kerberos), 53 / TCP / UDP (DNS), 135 / TCP (Network Login në RPC)

    Po, duke përdorur Kerberos Encryption

    Administrator qasja e largët (Regjistri i largët)

    Po, duke përdorur ipsec

    Qasja e largët administrative (SMB, skedarë)

    Po, duke përdorur ipsec

    Shërbimi i internetit i disponueshmërisë (qasja e klientit në kutinë postare)

    Po, duke përdorur encryption rpc

    Grumbullim

    Po, duke përdorur encryption rpc

    Midis serverëve të qasjes së klientit (Exchange ActiveSync)

    80 / TCP, 443 / TCP (SSL)

    Kerberos, autentifikim duke përdorur certifikatën

    Po, duke përdorur https

    Po, duke përdorur një certifikatë të vetë-nënshkruar

    Midis serverëve të qasjes së klientit (qasja në internet e Outlook)

    80 / tcp, 443 / tcp (https)

    Po, me SSL

    Serveri i Access Client Access Client (Shërbimet e Exchange Web)

    Po, me SSL

    Serveri i Access Access Client Client (POP3)

    Po, me SSL

    Serveri i Access Client Access Client (IMAP4)

    Po, me SSL

    Serveri i komunikimit të zyrës në serverin e qasjes së klientit (kur është aktivizuar Serveri i Komunikimit të Zyrës dhe Integrimi i Outlook Web App)

    5075-5077 / tcp (login), 5061 / tcp (dalje)

    mTLS (kërkohet)

    mTLS (kërkohet)

    Po, me SSL

    Shënime për serverat e qasjes së klientit

    Serverë sistemi i unifikuar Mesazhe

    IP dhe PBX-Operative Gateways IP Mbështetni vetëm vërtetimin duke përdorur një certifikatë që përdor autentifikimin reciprok të TLS për të encrypt SIP Trafikut dhe Authentication bazuar në adresën IP për lidhjet me protokollet SIP ose TCP. Porta ip nuk mbështesin autentifikimin NTLM dhe Kerberos. Kështu, kur përdorimi i autentifikimit bazuar në një adresë IP si një mekanizëm i legalizimit për lidhjet e unencryted (TCP), përdoren adresat IP të lidhjeve. Kur përdorni një autentifikim bazuar në adresat IP në një sistem të unifikuar të këmbimit, kontrollon nëse adresa IP lejohet të lidhet. Adresa IP është konfiguruar në portën IP ose IP PBX.

    IP dhe PBX IP Gateways Mbështetni TLS reciproke për të encrypt trafikun SIP. Pas importimit të suksesshëm dhe eksportit të certifikatave të kërkuara të besuara, IP ose PBX, duke punuar nëpërmjet Protokollit IP, do të kërkojnë një certifikatë nga një server i sistemit të mesazheve të unifikuara dhe pastaj të kërkojë një certifikatë në portën IP ose PBX duke punuar nëpërmjet Protokollit IP. Shkëmbimi i certifikatave të besueshme në mes të portës IP ose PBX që operon përmes Protokollit IP dhe serveri i mesazheve të unifikuar lejon që të dy pajisjet të ndërveprojnë në një kanal të sigurt duke përdorur TLS reciproke.

    Tabela në vijim tregon informacion rreth porteve, autentifikimit dhe encryption për shtigjet e të dhënave midis serverëve të një sistemi të mesazheve të unifikuara dhe serverëve të tjerë.

    Shtigjet e të dhënave për serverat e mesazheve të unifikuara

    Rruga e të dhënave Portet e kërkuara Autentifikimi i parazgjedhur Metoda e autentifikimit të mbështetur Mbështetja e Encryption Encryption të dhënave të parazgjedhur

    Qasja në Shërbimin e Drejtorisë së Drejtorisë Active

    389 / TCP / UDP (LDAP), 3268 / TCP (LDAP GC), 88 / TCP / UDP (Kerberos), 53 / TCP / UDP (DNS), 135 / TCP (Network Login në RPC)

    Po, duke përdorur Kerberos Encryption

    Ndërveprimi i telefonit të një sistemi të mesazheve të unifikuar (IP PBX / VoIP Gateway)

    5060 / TCP, 5065 / TCP, 5067 / TCP (në modalitetin e pambrojtur), 5061 / TCP, 5066 / TCP, 5068 / TCP (në mënyrë të mbrojtur), port dinamik nga rangu prej 16000-17000 / tcp (kontroll), dinamik Ports UDP nga gamën e 1024-65535 / UDP (RTP)

    Nga adresa IP

    Nga adresa IP, MTLS

    Po, me SIP / TLS, SRTP

    Shërbimi i unifikuar i mesazheve

    80 / TCP, 443 / TCP (SSL)

    Autentifikimi i integruar i dritareve (negocioni)

    Po, me SSL

    Nga serveri i mesazheve të unifikuar në serverin e qasjes së klientit

    5075, 5076, 5077 (TCP)

    Autentifikimi i integruar i dritareve (përputhja)

    Normal, Digest Authentication, NTLM, Koordinim (Kerberos)

    Po, me SSL

    Nga serveri i mesazheve të unifikuar në serverin e qasjes së klientit (rishikim në telefon)

    RPC dinamike

    Po, duke përdorur encryption rpc

    Nga serveri i mesazheve të unifikuar në serverin e transportit qendror

    Po, duke përdorur TLS

    Nga serveri i mesazheve të unifikuar në serverin e kutisë postare

    Po, duke përdorur encryption rpc

    Shënime për serverat e mesazheve të unifikuara

    • Gjatë krijimit të një shërbimi të Active Directory të portës së mesazheve të unifikuara, adresa IP e portës fizike të IP-së ose PBX që operon nëpërmjet protokollit IP duhet të përcaktojë adresën IP të portës fizike IP. Gjatë përcaktimit të adresës IP të objektit të vetëm të Mesazheve të Mesazheve, adresa IP shtohet në listën e IP ose PBX të vlefshme që operojnë përmes Protokollit IP (i quajtur edhe pjesëmarrësit e sesionit të SIP), gjë që lejohet të ndërveprojë serverin e bashkuar të mesazheve. Pas krijimit të portës IP, një sistem i mesazheve të unifikuar mund të shoqërohet me një grup parapagues të këtij sistemi. Hartimi i portës së unifikuar të mesazheve me grupin e abonimit lejon serverat e mesazheve të unifikuara të lidhura me Grupin e Pajtimtarit për të përdorur vërtetimin bazuar në adresën IP për të bashkëvepruar me portën IP. Nëse porta e unifikuar e mesazheve nuk është krijuar ose nuk është konfiguruar të përdorë adresën e saktë IP, vërtetimi dështon, dhe serverët e mesazheve të unifikuara nuk do të marrin lidhje nga adresa IP e këtij porta të IP. Përveç kësaj, gjatë zbatimit të TLS të ndërsjellë, Gateway IP ose PBX, duke punuar nëpërmjet Protokollit IP dhe serverat e mesazheve të unifikuara, porta e mesazheve të unifikuar duhet të konfigurohet për të përdorur emrin e plotë të domain (FQDN). Pas ngritjes së një portë të unifikuar të mesazheve IP duke përdorur një emër të plotë domain, ju gjithashtu duhet të shtoni një nyje në zonën e drejtpërdrejtë të kërkimit për këtë portë.
    • Në versionin e këmbimit 2010, serveri i mesazheve të unifikuar mund të ndërveprojë nëpërmjet portit 5060 / tcp (të pambrojtur) ose nëpërmjet portit 5061 / tcp (të mbrojtur), dhe mund të konfigurohet për të përdorur të dyja portet.

    Për më shumë informacion, shih Seksionin e Informacionit të Sigurisë së Mesazheve të Përgjithshme Zëri i Mesazheve të Unifikuar dhe Informacioneve të Përgjithshme mbi Protokollet, Portet dhe Shërbimet në një Mesazhim të Unifikuar.

    Rregullat e Windows Firewall të krijuara nga Programi i Instalimit të Shkëmbimit 2010

    Windows Firewall në regjimin e avancuar të sigurisë është një firewall me një ndjekje të statusit të bazuar në kompjuter, i cili filtrohet nga trafiku në hyrje dhe që po largohet bazuar në rregullat e firewall. Programi i instalimit të këmbimit 2010 krijon rregullat e Windows Firewall për të hapur portet e nevojshme për të bashkëvepruar për serverin dhe klientin, në secilin rol të serverit. Kështu, ju nuk keni më nevojë të përdorni magjistarin e konfigurimit të sigurisë për të konfiguruar këto parametra. Për më shumë informacion rreth Windows Firewall në regjimin e avancuar të sigurisë, shikoni Windows Firewall në rritjen e sigurisë dhe ipsec mode (faqja mund të jetë në anglisht).

    Tabela e mëposhtme tregon rregullat e Windows Firewall, programi i krijuar Instalimet e këmbimit, duke përfshirë portet e hapura në secilin rol të serverit. Këto rregulla mund të shihen duke përdorur Windows Firewall MMC Console Snap-in.

    Rregullat e emrit Rolet e serverit Port Program

    MSEXCHUGEADTOPOLOGY - RPC (TCP-hyrëse)

    RPC dinamike

    Bin \\ msexchangeadtopologysservice.exe.

    MSEXCHANMONITORING - RPC (TCP-hyrëse)

    Server Client Access, Concentrator Transport Server, Edge Transport Server, Server i Mesazhimit të Unifikuar

    RPC dinamike

    Bin \\ microsoft.exchange.management.monitoring.exe.

    MSEXCHANGESERVICEHOST - RPC (TCP-hyrëse)

    RPC dinamike

    Bin \\ microsoft.exchange.servicehost.exe.

    MSEXCHANGESERVICEHOST - RPPECMAP (TCP-hyrëse)

    Bin \\ microsoft.exchange.service.host.

    MSEXCHANGERPCEPMAP (GFW) (TCP-hyrëse)

    MSEXCHANGERPC (GFW) (TCP-hyrëse)

    Serveri i qasjes së klientit, Serveri i Transportit të Koncentratorit, Serveri i MailBox, Serveri i Mesazheve të Unifikuar

    RPC dinamike

    MSEXCHANGE - IMAP4 (GFW) (TCP-hyrëse)

    Serveri i qasjes së klientit

    MSEXCHANGEIMAP4 (TCP-hyrëse)

    Serveri i qasjes së klientit

    Klientecacess \\ popimap \\ microsoft.exchange.imap4service.exe

    MSEXCHANGE - POP3 (FGW) (TCP-hyrëse)

    Serveri i qasjes së klientit

    MSEXCHANGE - POP3 (TCP-hyrëse)

    Serveri i qasjes së klientit

    Clientaccess \\ popimap \\ microsoft.exchange.p3service.exe

    MSEXCHANGE - OWA (GFW) (TCP-hyrëse)

    Serveri i qasjes së klientit

    5075, 5076, 5077 (TCP)

    MSEEXCHANGEOWAApppool (TCP hyrëse)

    Serveri i qasjes së klientit

    5075, 5076, 5077 (TCP)

    Inetsrv \\ w3wp.exe.

    MSEXCHANGEAB RPC (TCP-hyrëse)

    Serveri i qasjes së klientit

    RPC dinamike

    MSEXCHANGEAB-RPCEPMAP (TCP Incoming)

    Serveri i qasjes së klientit

    Bin \\ microsoft.exchange.addressbook.service.exe.

    MSEXCHANGEAB-RPCHTTP (TCP-hyrëse)

    Serveri i qasjes së klientit

    6002, 6004 (TCP)

    Bin \\ microsoft.exchange.addressbook.service.exe.

    Rpchtplbs (tcp-hyrëse)

    Serveri i qasjes së klientit

    RPC dinamike

    System32 \\ svchost.exe.

    MSEEXCHANGERPC - RPC (TCP-hyrëse)

    RPC dinamike

    MSEXCHANGERPC - PRPECMAP (TCP-hyrëse)

    Serveri i qasjes së klientit, Serveri i kutisë postare

    Bing \\ microsoft.exchange.rpcclientaccess.service.exe.

    MSEXCHANGERPC (TCP-hyrëse)

    Serveri i qasjes së klientit, Serveri i kutisë postare

    Bing \\ microsoft.exchange.rpcclientaccess.service.exe.

    MSEXCHANGEMAILBOXACLOPLICTION (GFW) (TCP-hyrëse)

    Serveri i qasjes së klientit

    MSEXCHANGEMAILBOXACLOPLICKLICTION (TCP-hyrëse)

    Serveri i qasjes së klientit

    Bin \\ msexchangemailboxRlication.exe.

    MSEXCHANGEIS - RPC (TCP hyrëse)

    MailBox Server

    RPC dinamike

    MSEXCHANGEIS RPCEPMAP (TCP-hyrëse)

    MailBox Server

    MSEXCHANGEIS (GFW) (TCP-hyrëse)

    MailBox Server

    6001, 6002, 6003, 6004 (TCP)

    MSEXCHANEIS (TCP-hyrëse)

    MailBox Server

    MSEXCHANGEMAILBOXASSISTANTS - RPC (TCP-hyrëse)

    MailBox Server

    RPC dinamike

    MSEXCHANGEMAILBOXASSISTANTS - RPCEPMAP (TCP-hyrëse)

    MailBox Server

    Bin \\ msexchangemailboxassatants.exe.

    MSEXCHANGEMAILSUBMATION - RPC (TCP-hyrëse)

    MailBox Server

    RPC dinamike

    MSEXCHANGEMAILSUBMATION - RPPECMAP (TCP-hyrëse)

    MailBox Server

    Bin \\ msexchangemailsubmission.exe.

    MSEXCHANCHEMIGON - RPC (TCP hyrëse)

    MailBox Server

    RPC dinamike

    Bin \\ msexchangemigration.exe.

    MSEXCHANCHEMIGON - RPCEPMAP (TCP hyrëse)

    MailBox Server

    Bin \\ msexchangemigration.exe.

    MSEXCHANGEREPL - LOG Copier (TCP-hyrëse)

    MailBox Server

    Bin \\ msexchangerepl.exe.

    MSEXCHANGEREPL - RPC (TCP hyrëse)

    MailBox Server

    RPC dinamike

    Bin \\ msexchangerepl.exe.

    MSEXCHANGEREPL - RPC-EPMAP (TCP-hyrëse)

    MailBox Server

    Bin \\ msexchangerepl.exe.

    MSEXChangesearch - RPC (TCP hyrëse)

    MailBox Server

    RPC dinamike

    Bin \\ microsoft.exchange.search.exsearch.exe.

    MSEXChangethrottling - RPC (TCP-hyrëse)

    MailBox Server

    RPC dinamike

    Bin \\ msexchangethrottling.exe.

    MSEXChangethrottling - rpcepmap (tcp hyrëse)

    MailBox Server

    Bin \\ msexchangethrottling.exe.

    Msfted - rpc (tcp-hyrëse)

    MailBox Server

    RPC dinamike

    Msfted - rpcepmap (tcp hyrëse)

    MailBox Server

    MSEXCHANGEEDGESYNC - RPC (TCP-hyrëse)

    Transport Server-Hub

    RPC dinamike

    MSEXCHANGEEDGESNC RPPECMAP (TCP-hyrje)

    Transport Server-Hub

    Bin \\ microsoft.exchange.edgesyncsvc.exe.

    MSEXChangeTransportWorker - RPC (TCP-hyrëse)

    Transport Server-Hub

    RPC dinamike

    Bin \\ edgetransport.exe.

    MSEXCHANGETANSPORTWORKER - RPPECMAP (TCP-hyrëse)

    Transport Server-Hub

    Bin \\ edgetransport.exe.

    MSEXCHANGETANSPORTWORKER (GFW) (TCP-hyrëse)

    Transport Server-Hub

    MSEXCHANGETANSPORTWORKER (TCP-hyrëse)

    Transport Server-Hub

    Bin \\ edgetransport.exe.

    MSEXChangeTransportlogsearch - RPC (TCP-hyrëse)

    RPC dinamike

    MSEXChangeTransportlogsearch - rpcepMap (tcp-hyrëse)

    Concentrator Transport Server, Edge Transport Server, Mailbox Server

    Bin \\ msexchangetransportlogsearch.exe.

    Sesworker (GFW) (TCP-hyrëse)

    Server të unifikuar të mesazheve

    SesWorker (TCP hyrëse)

    Server të unifikuar të mesazheve

    UnifiedMessaging \\ Sesworker.exe.

    UMService (GFW) (TCP-hyrëse)

    Server të unifikuar të mesazheve

    Umservice (tcp-hyrëse)

    Server të unifikuar të mesazheve

    Bin \\ umservice.exe.

    UMWORKERPROCESS (GFW) (TCP-hyrëse)

    Server të unifikuar të mesazheve

    5065, 5066, 5067, 5068

    UMWORKERPROCESS (TCP-hyrëse)

    Server të unifikuar të mesazheve

    5065, 5066, 5067, 5068

    Bin \\ workprocess.exe.

    UMWORKERPROCESS - RPC (TCP-hyrëse)

    Server të unifikuar të mesazheve

    RPC dinamike

    Bin \\ workprocess.exe.

    Shënime për rregullat e Windows Firewall të krijuara nga Programi i Instalimit të Shkëmbimit 2010

    • Në serverat me IIS Windows të instaluar, hap portat HTTP (Port 80, TCP) dhe HTTPS (Port 443, TCP). Programi i instalimit të këmbimit 2010 nuk hap këto porte. Rrjedhimisht, këto porte nuk shfaqen në tabelën e mëparshme.
    • Windows Server 2008 dhe Windows Server 2008 R2 Windows Firewall në regjimin e avancuar të sigurisë ju lejon të specifikoni procesin ose shërbimin për të cilin porti është i hapur. Kjo është më e sigurt, sepse në këtë rast porti mund të përdoret vetëm nga procesi ose shërbimi i specifikuar në rregull. Programi i instalimit të shkëmbimit krijon rregulla firewall me emrin e procesit të specifikuar. Në disa raste, një rregull shtesë është krijuar edhe për pajtueshmërinë, pa u kufizuar në këtë proces. Ju mund të çaktivizoni ose fshini rregullat që nuk kufizohen vetëm në proceset dhe të ruani rregullat e duhura të kufizuara nga proceset nëse mjedisi aktual i vendosjes i mbështet ato. Rregullat që nuk kufizohen në proceset mund të dallohen nga fjala (Gfw) në emër të sundimit.
    • Shumë shërbime të këmbimit përdoren për të ndërvepruar procedurat e largëta (RPC). Proceset e serverit duke përdorur procedurat e largëta Telefonatat janë të lidhura me pjesën e fundit të RPC të krahasueshme për të marrë pikat e fundit dinamike dhe regjistrimin e tyre në bazën e të dhënave të përfundimit të krahasueshëm. Klientët e RPC-së bashkëveprojnë me Endpoint RPC të krahasueshme për të përcaktuar pikat përfundimtare të përdorura nga procesi i serverit. By default, endpoint RPC krahasueshme dëgjohet në portin 135 (TCP). Kur konfiguroni Windows Firewall për një proces që përdor procedurat e largëta, Programi i Instalimit të Shkëmbimit 2010 krijon dy rregulla të firewall për këtë proces. Një rregull lejon ndërveprimin me endpoint RPC të krahasueshme, dhe e dyta lejon ndërveprimin me një pikë fundi të caktuar në mënyrë dinamike. Për më shumë informacion rreth sfidave të largëta, shihni artikullin. Për më shumë informacion në lidhje me krijimin e rregullave të Windows Firewall për një thirrje dinamike të procedurës së largët, shihni artikullin.

      Për më shumë informacion, shihni Neni 179442 Microsoft Njohuri Base

Në këtë artikull ne do të merremi me atë se si të konfigurojmë portet statike rpc për shërbimet e qasjes së klientit RPC, librin e adresës së shkëmbimit dhe shërbimet e qasjes dosjet e zakonshme Në Exchange 2010.

Imagjinoni që ne kemi një organizatë sfiduese me Exchange Server 2010 SP1 (ose më të lartë), të cilat, ndër të tjera, është në dispozicion. Serverat CAS zakonisht gjenden në një rrjet të ndarë nga firewalls nga rrjetet, nga të cilat përdoren përdoruesit (Rrjeti Outlook). Lidhja e klientit të Outlook në serverin CAS zhvillohet në RPC, që do të thotë në nivelin e rrjetit çdo port nga gamën e lirë të porteve mund të përfshihet. Nuk është sekret që në Windows Server 2008 dhe 2008 R2 si një gamë dinamike e porteve për lidhjet RPC, përdoret një sërë 49152-65535 (në versionet e mëparshme Windows Server përdorte portet rpc në rangun e 1025-65535).

Në mënyrë që të mos e kthejnë firewalls në "sitë", është e këshillueshme që të ngushtohet gamën e porteve rpc të përdorura, në mënyrë ideale, duke i bërë ato statike në çdo server të qasjes së klientit në grupin e qasjes së klientit. Përveç kësaj, përdorimi i porteve statike rpc ju lejon të reduktoni konsumin e kujtesës në pajisjet e balancimit të ngarkesës (sidomos HLB) dhe të thjeshtoni konfigurimin e tyre (ju nuk keni nevojë të specifikoni vargjet e mëdha të portit).

Në këmbim 2010, portet statike mund të vendosen portet statike për shërbimin e qasjes së klientit RPC. Outlook ndërvepron me këto shërbime përmes ndërfaqes Mapi.

Port statik për shkëmbimin e shërbimit 2010 Qasja e klientit RPC

Shkëmbimi i Shërbimit Virtual 2010 Qasja e klientit RPC është e lidhur me shërbimin e qasjes së klientit të klientit RPC, në të cilën klientët e MAPI të Outlook janë të lidhura me shkëmbimin e vitit 2010. Kur klienti i Outlook lidh për të shkëmbyer, në serverin e aksesit të klientit të shkëmbimit 2010, shërbimi i qasjes së klientit RPC për lidhjet hyrëse përdoret nga Pika End Pika e TCP (TCP / 135) dhe port të rastësishëm nga vargu dinamik i portit RPC (6005-59530 )

Për të krijuar një port statik në këmbim 2010 për të vendosur një port statik, ju duhet të hapni seksionin në redaktorin e regjistrit:

HKEY_LOCAL_MACHINE \\ SISTEMI \\ Comyscontrolset \\ Shërbimet \\ MSEXCHANGERPC

Krijo një çelës të ri me emrin ParameterssistemBrenda të cilit krijon një parametër të tipit Reg_dword. Me emrin TCP / IP PORT. Parametri i portit TCP / IP është vendosur në një port statik për qasjen e klientit RPC. Dokumentacioni i Microsoft rekomandohet për të zgjedhur portin në rangun 59531 - 60554 dhe për të përdorur këtë vlerë në të gjitha serverat CAS (ne treguam Port 59532, natyrisht, nuk duhet të përdoret nga ndonjë softuer tjetër).

Pas parcelave të portit statik, në mënyrë që ndryshimet të hyjnë në fuqi, ju duhet të rifilloni Shërbimin e Qasjes së Klientit të Microsoft Exchange RPC.

RESTART-SHËRBIMI MSEXCHANGERPC

Porta statike për librin e adresave të këmbimit të Shërbimit

Në Exchange 2010 Para daljes së SP1, një skedar i konfigurimit të veçantë është përdorur për të vendosur një libër të adresave të Adresës Statore të Tregtisë Microsoft.exchange.addressbook.service.exe.config. Pas lirimit të Shkëmbimit 2010 SP1, ju mund të specifikoni portin statik të këtij shërbimi përmes regjistrit. Për ta bërë këtë, hapni redaktorin e regjistrit dhe shkoni në degë:

HKEY_LOCAL_MACHINE \\ SISTEMI \\ CurrentControlset \\ Shërbimet \\ MSEXCHANGEB \\ Parametrat

Krijo një parametër të ri Rpctcpport(Lloji Reg_sz) dhe vendosni numrin e portit që do të regjistrohet për shërbimin e librit të Adresave të Shkëmbimit. Rekomandohet të përdoret çdo port i lirë në rangun e 59531-60554 dhe ta përdorësh më tej atë në të gjitha serverat e aksesit të klientit 2010 në domenin. Ne do të kërkojmë rpctcport \u003d 59533

Pas kësaj ju duhet të rifilloni Librin e Adresave të Microsoft Exchange

Restart-Service MsexchangeAB

E rëndësishme: Kur shkoni me Exchange 2010 RTM në SP1, ky çelës duhet të vendoset manualisht, ai automatikisht nuk është i trashëguar.

Vendosja e një porti statik për t'u lidhur me dosjet e zakonshme

Qasja në dosjet e përbashkëta nga klienti i Outlook kryhet direkt përmes shërbimit të qasjes së klientit RPC në server me rolin e kutisë postare. Ky vendosje Është e nevojshme të shpenzohen në të gjithë serverët me rolin e kutisë postare që përmbajnë bazën e të dhënave të dosjeve publike (të ngjashme me serverat CAS). Hapni redaktorin e regjistrit dhe shkoni në degë

HKEY_LOCAL_MACHINE \\ SISTEMI \\ Comyscontrolset \\ Shërbimet \\ MSEXCHANGERPC

Krijo një çelës të ri me emrin ParameterssistemBrenda të cilit krijoni një parametër të tipit reg_dword të quajtur TCP / IP PORT. Vendosni vlerën e saj: TCP / IP Port \u003d 59532.

Duke vendosur portin statik për dosjet publike, ju duhet të rifilloni shërbimin e qasjes së klientit të Klientit të Microsoft Exchange RPC në çdo server kuti postare.

Kontrolli i përdorimit të porteve statike midis Outlook dhe Exchange 2010

Pas ndryshimeve të bëra, kontrolloni që Outlook lidh me portet statike RPC të specifikuara nga ne. Për ta bërë këtë, rifilloni perspektivën në makinën e klientit, dhe pastaj në linja e komandës Drejtoni komandën:

Netstat -na.

Publikime të ngjashme: