Матеріал із Rosalab Wiki
Призначення
У цій інструкції описано підключення різних поштових клієнтівдо сервера Microsoft Exchange. Мета – отримати систему, за функціональністю відповідну Microsoft Outlook.
Вхідні дані
У прикладах використовується сервер Microsoft Exchange 2010 (v14.03.0361.001) RollUp 18. Service Pack 3 Update. На DNS-серверах вказані зовнішні поштові адресидля поштового сервера. На сервері Exchange повинні працювати:
- OWA (Outlook Web Access) - веб-клієнт для доступу до спільного сервера роботи Microsoft Exchange
- OAB (Offline Address Book) - автономна адресна книга
- EWS (Exchange Web Services) – сервіс, що надає доступ до даних поштової скриньки, що зберігаються у Exchange Online (як частина Office 365) та у локальній версії Exchange (починаючи з Exchange Server 2007)
Параметри сервера Exchange
Важливим моментом для успішної роботи не-Microsoft-клієнтів на Exchange 2010 є автентифікація. Подивитися її параметри можна на сервері Exchange за участю CAS (Client Access Server). Запустіть оснастку «Диспетчер служб IIS» та відкрийте вкладку «Сайти»/Default Web Site. Зверніть увагу на автентифікацію в трьох компонентах:
- OWA - Стан « Увімкнено» для « Звичайна автентифікація» та « Перевірка автентичності Windows»:
- OAB - Стан « Увімкнено» для « Звичайна автентифікація» та « Перевірка автентичності Windows»:
- EWS - Стан « Увімкнено» для « Анонімна автентифікація», « Звичайна автентифікація» та « Перевірка автентичності Windows»:
Прошарок (посередники) та допоміжні утиліти
DavMail
Деякі поштові клієнти не можуть безпосередньо підключатися до Microsoft Exchange і вимагають використання прошарку (посередника). В даному прикладіяк посередник використовується проксі-сервер DavMail.
- Встановіть DavMail, отримавши права адміністратора за допомогою su або sudo:
- Запустіть DavMail:
- На вкладці «Main» у полі « OWA (Exchange) URL» введіть адресу свого сервера у форматі «https://
/EWS/Exchange.asmx» або посилання на OWA
у форматі "https://
- Запам'ятайте номери портів Local IMAP port» та « Local SMTP port». У цьому прикладі це 1143 і 1025, відповідно.
Щоб щоразу не запускати вручну сервер DavMail, потрібно додати його дзвінок до автозавантаження.
- Зайдіть у меню « Установки системи → Запуск та завершення → Автозапуск", Натисніть на кнопку [ Додати програму] і введіть в рядку пошуку «davmail», після чого натисніть [ ОК]:
Тепер локальний проксі-сервер DavMailбуде запускатись при старті системи автоматично. Якщо вам заважає його значок у панелі завдань, є можливість його сховати. Для цього у файлі .davmail.properties редагуйте рядок davmail.server=false , змінивши false на true:
Sudo mcedit /home/<имя_пользователя>/.davmail.properties
Поштові клієнти для підключення до Exchange
Тепер можна розпочати налаштування поштових клієнтів.
Thunderbird
Mozilla Thunderbirdє основним поштовим клієнтом для дистрибутивів ROSA Linux і, швидше за все, він уже встановлений у вашій системі та готовий до роботи. Якщо ж ні, його можна встановити із репозиторіїв ROSA. У цьому прикладі використовується версія 52.2.1.
- Встановіть Thunderbird:
- Додайте російськомовний інтерфейс:
- Встановіть доповнення lightning, що дозволяє використовувати календарі:
- Запустіть Thunderbird.
- В розділі " Облікові записи" у пункті " Створити обліковий запис" Виберіть " Електронна пошта». З'явиться вікно привітання.
- У вікні, натисніть на кнопку [ Пропустити це та використовувати мою існуючу пошту].
- У вікні " Налаштування облікового запису пошти» введіть у поля « Ваше ім'я», « Адреса ел. пошти» та « Пароль» свої облікові дані.
- Натисніть [ Продовжити]. Програма спробує знайти підключення (безуспішно) і з'явиться повідомлення про помилку:
Тут вам знадобляться номери портів, які ви запам'ятали під час настроювання DavMail.
- Для категорій « Вхідна» та « Вихідна» Змініть ім'я сервера на «localhost».
- Вкажіть для « IMAP» порт 1143, а для « SMTP»- порт 1025.
- У полі " Ім'я користувача» вкажіть UPN (User Principal Name) – доменне ім'я користувача у форматі «Ім'я Користувача@ДоменОрганізації.ru».
- Натисніть на кнопку [ Перетестувати].
При правильному введенні облікових даних помилок нічого очікувати. Можливо, система повідомить про необхідність прийняти сертифікат сервера Exchange. Якщо цього не відбувається, можливо, ви занадто рано вимкнули інтерфейс DavMail.
Створення календаря користувача
- У категорії « Облікові записи» виберіть пункт « Створити новий календар».
- У вікні виберіть значення « В мережі" і натисніть [ Далі].
- Виберіть формат « CalDAV» та в полі « Адреса» введіть «http://localhost:1080/users/
/calendar»:
Створення адресної книги
Адресна книга Thunderbirdне підтримує протокол CardDAV і може бути підключений лише до каталогу LDAP сервера Exchange.
- Відкрийте існуючі адресні книги, натиснувши [ Адресна книга] та обравши пункт « Файл → Створити → Каталог LDAP».
- У вікні майстра вкажіть такі параметри:
- Назва- будь-яке відповідне ім'я
- Ім'я сервера- localhost
- Кореневий елемент (Base DN)- ou=people
- Порт- 1389 (з Davmail)
- Ім'я користувача (Bind DN)- UPN-ім'я користувача
- Натисніть [ ОК]. Програма попросить ввести пароль.
- Зайдіть у меню параметрів Thunderbird. У категорії « Складання» виберіть вкладку « Адресація» та під текстом «При введенні адреси шукати відповідні поштові адреси в» позначте пункт « Сервер каталогів», обравши ім'я адресної книги.
Evolution
У репозиторіях ROSA також є поштовий клієнт Evolution(У цьому прикладі використовується версія 3.16.4).
- Встановіть Evolution:
- Встановіть конектор Exchange, сумісний з версією 2007 та пізнішими:
- Запустіть Evolution.
- У вікні майстра натисніть [ Наступна], поки не перейдете на вкладку « Обліковий запис».
- Заповніть поля " Повне ім'я» та « Електронна пошта».
- На вкладці « Отримання пошти" в списку " Тип сервера» Виберіть Exchange Web Services.
- Як ім'я вкажіть UPN-ім'я користувача у форматі «Ім'яКористувача@ВашДомен.ru».
- У полі " Host URL» введіть «https://Ім'яПоштового СервераExchange/EWS/Exchange.asmx .
- У полі " OAB URL» Введіть URL-адресу автономної адресної книги.
- Як вид аутентифікації виберіть «Basic».
При успішному налаштуванні програма запитає пароль:
Після введення пароля Evolutionотримає доступ до вашої поштової скриньки, адресної книги та календарів.
З будь-яких питань, пов'язаних із цією статтею, прохання звертатися за адресою [email protected]
Нещодавно довелося пиляти сервер Microsoft Exchange, а потім прописувати правила на фаєрволлі для портів. Так ось перед цим довго довелося з'ясовувати, які порти використовує Microsoft Exchange для роботи. Щось вдалося дізнатися на форумах, а щось довелося перевіряти і з'ясовувати самому, тому якщо якийсь порт ексчендж, що використовується, я втратив — пишіть у коментарях.
SMTP TCP: 25
The SMTP service uses TCP port 25.
DNS TCP/UDP: 53
DNS listens on port 53. Домашні контролери use this port.
HTTP TCP: 80
HTTP Server Port.
POP3 TCP: 110
Post Office Protocol Version 3 (POP3).
NNTP TCP: 119
Network News Transfer Protocol (NNTP).
MSRPC TCP/UDP: 135
Microsoft RPC and Locator service – LOC-SRV
IMAP4 TCP: 143
Internet Message Access Protocol (IMAP).
LDAP TCP/UDP: 379
The Site Replication Service (SRS).
LDAP TCP/UPD: 389
Lightweight directory access protocol (LDAP) used by Microsoft Active Directory® directory service, Active Directory Connector, та Microsoft Exchange Server 5.5 directory.
LDAP TCP/UDP: 390
Цей спільний альтернативний port до configure Exchange Server 5.5 LDAP Protocol when Exchange Server 5.5 is running on an Active Directory domain controller.
HTTP/SSL TCP: 443
HTTP over SSL.
SMTP/SSL:465
SMTP over SSL. TCP port 465 is reserved common industry practice for secure SMTP communication using the SSL protocol.
NNTP/SSL TCP: 563
NNTP over SSL.
LDAP/SSL TCP/UDP: 636
LDAP over Secure Sockets Layer (SSL).
LSA TCP: 691
Microsoft Exchange Routing Engine Service (RESvc) повідомлень для повідомлень електронної пошти інформації про цей port.
IMAP4/SSL TCP: 993
IMAP4 over SSL.
POP3/SSL TCP: 995
POP3 over SSL.
LDAP TCP: 3268
Global catalog. Windows 2000 і Windows Server 2003 Active Directory Global Catalog (додому контролер «Роля») на TCP port 3268.
LDAP/SSLPort TCP: 3269
Global catalog over SSL. Applications that connect to TCP port 3269 of a global catalog server може transmit and receive SSL encrypted data.
[Ця стаття є попереднім документом і може бути змінена в майбутніх випусках. Порожні розділи включені як заповнювачі. Якщо ви хочете написати відгук, ми будемо раді отримати його. Надішліть його нам на електронну адресу [email protected]]
Що стосується: Exchange Server 2016
Відомості про мережні порти, які Exchange 2016 використовує для клієнтського доступу та потоку обробки пошти.
У цьому розділі наведено відомості про мережні порти, які використовуються Microsoft Exchange Server 2016 для зв'язку з поштовими клієнтами, поштовими серверами в Інтернеті та іншими службами, які розташовані поза вашою локальної організації Exchange. Перш ніж розпочати, обміркуйте такі основні правила.
Ми не підтримуємо обмеження або зміну мережного трафіку між внутрішніми серверами Exchange Server, між внутрішніми серверами Exchange Server та внутрішніми серверами Lync або Skype для бізнесу або між внутрішніми серверами Exchange Server та внутрішніми контролерами домену Active Directory в жодному з типів топологій. Якщо ви використовуєте брандмауери або мережеві пристрої, які можуть обмежити або змінити цей мережний трафік, необхідно налаштувати правила, що забезпечують вільний та необмежений зв'язок між цими серверами (правила, що допускають вхідний та вихідний мережевий трафік на будь-який порт, включаючи випадкові порти RPC, та будь-який протокол) , який не змінює жодного біта).
Прикордонні транспортні сервери майже завжди знаходяться в мережі периметра, тому очікується, що мережевий трафік між прикордонним транспортним сервером та Інтернетом, а також між прикордонним транспортним сервером та внутрішньою організацією Exchange буде обмежено. Ці порти мережі описані в цьому розділі.
Очікується, що ви обмежите мережевий трафік між зовнішніми клієнтами та службами та внутрішньою організацією Exchange. Також можна обмежити трафік між внутрішніми клієнтами та внутрішніми серверами Exchange. Ці порти мережі описані в цьому розділі.
Зміст
Network ports required for clients and services
Network ports required for mail flow (no Edge Transport servers)
Network ports required for mail flow with Edge Transport servers
Network ports required for hybrid deployments
Network ports потрібна для Unified Messaging
Мережеві порти, які необхідні поштовим клієнтам для доступу до поштових скриньок та інших служб в організації Exchange, описані на наступній діаграмі та таблиці.
Примітки.
Пунктом призначення для цих клієнтів та служб є служби клієнтського доступу на сервері поштових скриньок. У Exchange 2016 служби клієнтського доступу (зовнішні) та внутрішні служби встановлюються разом на одному сервері поштових скриньок. додаткові відомостідив. у розділі .
Хоча на діаграмі показані клієнти та служби з Інтернету, концепції однакові і для внутрішніх клієнтів (наприклад, клієнтів у лісі облікових записів, які звертаються до серверів Exchange у лісі ресурсів). Аналогічно в таблиці немає стовпця "Джерело", оскільки джерелом може бути будь-яке зовнішнє по відношенню до організації Exchange місцезнаходження (наприклад, Інтернет або ліс облікових записів).
Прикордонні транспортні сервери не беруть участь у мережевому трафіку, пов'язаному з цими клієнтами та службами.
| Призначення | Порти | Примітки |
|---|---|---|
Зашифровані підключення використовуються такими клієнтами та службами. Служба автовиявлення Exchange ActiveSync Веб-служби Exchange (EWS) Розповсюдження автономних адресних книг Мобільний Outlook (протокол RPC через HTTP) MAPI Outlook через HTTP Outlook в Інтернеті | 443/TCP (HTTPS) | Довідник EWS для Exchange |
Незашифровані підключення використовуються такими клієнтами та службами. Публікація календаря в Інтернеті Outlook в Інтернеті (перенаправлення на порт 443/TCP) Автовиявлення (відкат, коли порт 443/TCP недоступний) | 80/TCP (HTTP) | Рекомендуємо використовувати зашифровані веб-підключення через порт 443/TCP для захисту облікових та інших даних. Однак деякі служби необхідно настроїти на використання незашифрованих підключень через порт 80/TCP до служб клієнтського доступу на серверах поштових скриньок. Для отримання додаткових відомостей про цих клієнтів і служб див. наступні статті. |
Клієнти IMAP4 | 143/TCP (IMAP), 993/TCP (безпечний IMAP) | IMAP4 за замовчуванням вимкнено. Для отримання додаткових відомостей див . Служба IMAP4 у службах клієнтського доступу на сервері поштових скриньок проксує підключення до внутрішньої служби IMAP4 на сервері поштових скриньок. |
Клієнти POP3 | 110/TCP (POP3), 995/TCP (безпечний POP3) | За промовчанням POP3 вимкнено. Для отримання додаткових відомостей див . Служба POP3 у службах клієнтського доступу на сервері поштових скриньок проксує підключення до внутрішньої служби POP3 на сервері поштових скриньок. |
Клієнти SMTP (з автентичністю) | 587/TCP (SMTP із автентифікацією) | З'єднувач отримання за замовчуванням "Client Frontend Примітка. Якщо у вас є поштові клієнти, які можуть надсилати повідомлення SMTP з автентифікацією тільки через порт 25, ви можете змінити значення прив'язки цього з'єднувача отримання, щоб він також відстежував відправлення повідомлень SMTP з автентичністю через порт 25. |
На початок
Мережні порти, необхідні для потоку обробки пошти
Вихідна пошта
25/TCP (SMTP)
Сервер поштових скриньок
Інтернет (все)
За промовчанням Exchange не створює з'єднувачі, які дозволяють надсилати пошту в Інтернет. Необхідно створити з'єднувачі надсилання вручну. Для отримання додаткових відомостей див .
Вихідна пошта (якщо вона передається через зовнішню службу транспорту)
25/TCP (SMTP)
Сервер поштових скриньок
Інтернет (все)
Вихідна пошта передається через зовнішню службу транспорту, лише якщо для з'єднувача надсилання увімкнено Проксі через сервер клієнтського доступув Центрі адміністрування Exchange або параметр -FrontEndProxyEnabled $true командної консолі Exchange.
У цьому випадку стандартний з'єднувач "Outbound Proxy Frontend
DNS-сервер для дозволу імен наступного переходу пошти (не показано на малюнку)
53/UDP, 53/TCP (DNS)
Сервер поштових скриньок
DNS-сервер
На початок
Підписаний прикордонний транспортний сервер, встановлений у мережі периметра, впливає на потік обробки пошти таким чином:
Пошта з прикордонного транспортного сервера Exchange 2016 або Exchange 2013 спочатку надходить до зовнішньої служби транспорту, а потім перенаправляється до служби транспорту на сервері поштових скриньок Exchange 2016.
Пошта з прикордонного транспортного сервера Exchange 2010 завжди надходить безпосередньо до служби транспорту на сервері поштових скриньок Exchange 2016.
Вихідна пошта з організації Exchange ніколи не проходить через зовнішню службу транспорту на серверах поштових скриньок. Вона завжди перенаправляється зі служби транспорту на сервері поштових скриньок підписаного сайту Active Directory на прикордонний транспортний сервер (незалежно від версії Exchange на прикордонному транспортному сервері).
Пошта, що входить, перенаправляється з прикордонного транспортного сервера на сервер поштових скриньок підписаного сайту Active Directory. Це означає таке:
Мережні порти, необхідні для потоку обробки пошти в організаціях Exchange з прикордонними транспортними серверами, описуються на наведеній нижче діаграмі та таблиці.
| Призначення | Порти | Джерело | Призначення | Примітки |
|---|---|---|---|---|
Пошта, що входить - з Інтернету на прикордонний транспортний сервер | 25/TCP (SMTP) | Інтернет (все) | З'єднувач стандартного прийому з ім'ям "Внутрішній з'єднувач отримання за замовчуванням <имя пограничного транспортного сервера> на прикордонному транспортному сервері прослуховує анонімну пошту SMTP порт 25. |
|
Пошта - від прикордонного транспортного сервера у внутрішню організацію Exchange | 25/TCP (SMTP) | Прикордонний транспортний сервер | З'єднувач за замовчуванням з ім'ям "EdgeSync - Inbound to З'єднувач за промовчанням "Default Frontend |
|
Вихідна пошта - від внутрішньої організації Exchange на прикордонний транспортний сервер | 25/TCP (SMTP) | Сервери поштових скриньок на підписаному веб-сайті Active Directory | Вихідна пошта завжди оминає зовнішню службу транспорту на серверах поштових скриньок. Пошта ретранслюється зі служби транспорту на будь-якому сервері поштових скриньок підписаного сайту Active Directory на прикордонний транспортний сервер за допомогою неявного та невидимого внутрішньоорганізаційного з'єднувача відправки, який автоматично перенаправляє пошту між серверами Exchange Server в одній організації. З'єднувач за промовчанням "Default internal Receive connector |
|
Вихідна пошта - з прикордонного транспортного сервера до Інтернету | 25/TCP (SMTP) | Прикордонний транспортний сервер | Інтернет (все) | З'єднувач за замовчуванням з ім'ям "EdgeSync - з <имя сайта Active Directory> в Інтернет" ретранслює вихідну пошту порту 25 з прикордонного транспортного сервера в Інтернет. |
Синхронізація EdgeSync | 50636/TCP (безпечний LDAP) | Сервери поштових скриньок на підписаному веб-сайті Active Directory, які беруть участь у синхронізації EdgeSync | Прикордонні транспортні сервери | Якщо прикордонний транспортний сервер підписано на веб-сайті Active Directory, всі сервери поштових скриньок, які існують на веб-сайті в даний момент, беруть участь у синхронізації EdgeSync. Але якщо додати інші сервери поштових скриньок пізніше, вони не будуть автоматично брати участь у синхронізації EdgeSync. |
DNS-сервер для дозволу імен наступної транзитної ділянки (не показано на малюнку) | 53/UDP, 53/TCP (DNS) | Прикордонний транспортний сервер | DNS-сервер | розділ Роздільна здатність імен. |
Виявлення відкритого проксі-сервера у службі репутації відправників (не показано на малюнку) | Див. примітки | Прикордонний транспортний сервер | Інтернет | За замовчуванням агент аналізу протоколу використовує виявлення відкритого проксі-сервера як одну з умов обчислення рівня репутації вихідного сервера обміну повідомленнями. Додаткові відомості див. у статті. Для перевірки вихідних серверів обміну повідомленнями на наявність відкритого проксі-сервера використовуються такі TCP-порти: Крім того, якщо у вашій організації для контролю вихідного інтернет-трафіку використовується проксі-сервер, необхідно визначити ім'я, тип та TCP-порт проксі-сервера, необхідні для доступу до Інтернету та виявлення відкритого проксі-сервера. Ви також можете вимкнути виявлення відкритого проксі-сервера. Для отримання додаткових відомостей див . |
На початок
Дозвіл імен
Дозвіл імен
Дозвіл DNS наступного переходу пошти є фундаментальною складовою потоку обробки пошти у будь-якій організації Exchange. Сервери Exchange, які відповідають за отримання вхідної пошти або доставку вихідної, повинні мати можливість дозволяти як внутрішні, так і зовнішні імена вузлів для правильної маршрутизації пошти. Усі внутрішні сервери Exchange повинні мати можливість дозволяти внутрішні імена вузлів для правильної маршрутизації пошти. Існує безліч різних способіврозробки інфраструктури DNS, але важливий результат - забезпечення правильної роздільної здатності імен для наступного переходу на всіх серверах Exchange.
Exchange Server та брандмауериБрандмауери (файрволли) для поштових серверів (Exchange Server), порти поштових серверів, front-end та back-end поштові сервери, віртуальні сервери SMTP, POP3, IMAP4
Як і будь-який комп'ютер, підключений до Інтернету, комп'ютер на якому поштовий сервер необхідно захищати за допомогою брандмауера. При цьому варіанти установки поштового сервера з точки зору конфігурації мережі можуть бути різними:
· Найпростіший варіант – встановити поштовий сервер на комп'ютер, який одночасно є проксі-сервером/брандмауером, а потім на тому інтерфейсі, який звернений до Інтернету, відкрити необхідні порти. Зазвичай така схема застосовується у невеликих організаціях;
· Ще один варіант - встановити поштовий сервер в локальної мережіта налаштувати його роботу через проксі-сервер. Для цього можна прив'язати до поштового сервера public ip і пропускати його через проксі або користуватися засобами типу port mapping на проксі-сервері. На багатьох проксі-серверах є спеціальні майстри або заздалегідь заготовлені правила для організації такого рішення (наприклад, ISA Server). Такий варіант використовується у більшості організацій.
ще одна важлива можливість - створити DMZ і помістити в неї front-end Exchange Server (така можливість з'явилася, починаючи з версії 2000) або SMTP Relay на основі іншого Exchange Server або, наприклад, sendmail на *nix. Зазвичай застосовується у мережах великих організацій.
У будь-якому випадку для поштового сервера необхідно забезпечити взаємодію як мінімум на порту TCP 25 (SMTP ) і UDP 53 (DNS ). Інші порти, які можуть знадобитися Exchange Server залежно від конфігурації вашої мережі (все - TCP):
· 80 HTTP - для доступу на Web-інтерфейс (OWA)
· 88 Kerberos authentication protocol - якщо використовується аутентифікація Kerberos (рідко);
· 102 MTA .X .400 connector over TCP /IP (якщо використовується конектор X .400 для зв'язку між групами маршрутизації);
· 110 Post Office Protocol 3 (POP 3) – для доступу клієнтів;
· 119 Network News Transfer Protocol (NNTP) - якщо використовуються групи новин;
· 135 Client /server communication RPC Exchange administration - стандартний порт RPC для віддаленого адміністрування Exchange стандартними засобами System Manager;
· 143 Internet Message Access Protocol (IMAP) -для доступу клієнтів;
· 389 LDAP – для звернення до служби каталогів;
· 443 HTTP (Secure Sockets Layer (SSL)) (і нижче) - ті самі протоколи, захищені по SSL.
· 563 NNTP (SSL)
· 636 LDAP (SSL)
· 993 IMAP4 (SSL)
· 995 POP3 (SSL)
· 3268 and 3269 - запити до сервера глобального каталогу (пошук Active Directory та перевірка членства в universal groups).
Інтерфейс Exchange Server, звернений всередину організації, закривати брандмауером немає сенсу - по ньому відбуватиметься взаємодія з контролерами домену, утилітами адміністрування, системами резервного копіюванняі т.п. Для інтерфейсу, відкритого в Інтернет, рекомендується залишити порти 53 (якщо Exchange дозволятиме імена хостів сам, а не перенаправляти запити на локальний сервер DNS) та 25. Дуже часто клієнтам необхідно звертатися до своїх поштових скриньок ззовні (з дому, під час відрядження тощо). Найкраще рішенняу цій ситуації - настроїти OWA (Web-інтерфейс для доступу на Exchange Server, який встановлюється за замовчуванням, доступний за адресою http://ім'я_сервера/exchange) для роботи з SSL і відкрити доступ тільки по порту 443. Крім вирішення питань з безпечною аутентифікацією і шифруванням повідомлень автоматично вирішується питання з SMTP Relay (про це пізніше) та з ситуацією, коли користувач ненароком завантажує робочу електронну поштупапки поштового клієнта на домашній комп'ютер, а потім на роботі не може ці повідомлення знайти (не кажучи вже про те, що зберігати робочу пошту вдома - порушення безпеки).
Нова можливістьяка з'явилася в Exchange Server. починаючи з версії 2000, можливість використання кількох віртуальних SMTP та POP3-серверів із різними налаштуваннями безпеки. Наприклад, той SMTP-сервер, який взаємодіє з Інтернетом, можна налаштувати на підвищений режим безпеки та строгі обмеження щодо доставки, а для SMTP-сервера, з яким працюють користувачі всередині організації, використовувати максимально продуктивні та зручні для користувачів налаштування.
Необхідно також сказати про певну плутанину в термінології - дуже часто брандмауерами для Exchange називають системи фільтрації повідомлень, які будуть розглянуті нижче.
Що стосується: Exchange Server 2010 SP1
Остання зміна розділу: 2011-04-22
У цьому розділі наведено відомості про порти, автентифікацію та шифрування для всіх шляхів до даних, що використовуються в Microsoft Exchange Server 2010. Розділ «Примітки» після кожної таблиці уточнює або визначає нестандартні способи автентифікації або шифрування.
Транспортні сервери
У системі Exchange 2010 існує дві ролі сервера, які виконують функції транспортування повідомлень: транспортний сервер-концентратор та прикордонний транспортний сервер.
У наступній таблиці наведено відомості про порти, автентифікацію та шифрування шляхів до даних між цими транспортними серверами та іншими серверами та службами Exchange 2010.
Шляхи даних для транспортних серверів
| Шлях даних | Необхідні порти | Підтримка шифрування | |||
|---|---|---|---|---|---|
|
Між двома транспортними серверами-концентраторами |
Так, за допомогою TLS (Transport Layer Security) |
||||
|
З транспортного сервера-концентратора на прикордонний транспортний сервер |
Пряма довіра |
Пряма довіра |
Так, з використанням TLS |
||
|
З прикордонного транспортного сервера на транспортний сервер-концентратор |
Пряма довіра |
Пряма довіра |
Так, з використанням TLS |
||
|
Між двома прикордонними транспортними серверами |
Анонімно, автентифікація за допомогою сертифіката |
Анонімно за допомогою сертифіката |
Так, з використанням TLS |
||
|
З сервера поштових скриньок через службу надсилання пошти Microsoft Exchange |
NTLM. Якщо роль транспортного сервера-концентратора та роль сервера поштових скриньок виконуються на одному сервері, використовується протокол Kerberos. |
Так, за допомогою шифрування RPC |
|||
|
З транспортного сервера-концентратора на сервер поштових скриньок через MAPI |
NTLM. Якщо роль транспортного сервера-концентратора та роль сервера поштових скриньок встановлені на одному сервері, використовується протокол Kerberos. |
Так, за допомогою шифрування RPC |
|||
|
Так, з використанням TLS |
|||||
|
Служба Microsoft Exchange EdgeSync із транспортного сервера-концентратора на прикордонний транспортний сервер |
Так, за допомогою LDAP через SSL (LDAPS) |
||||
|
Доступ Служба каталогів Active Directory із транспортного сервера-концентратора |
|||||
|
Доступ до служби керування правами Служба каталогів Active Directory (AD RMS) з транспортного сервера-концентратора |
Так, за допомогою SSL |
||||
|
Клієнти SMTP на транспортний сервер-концентратор (наприклад, кінцеві користувачі за допомогою пошти Windows Live) |
Так, з використанням TLS |
Примітки для транспортних серверів
- Весь трафік між транспортними серверами-концентраторами шифрується за допомогою протоколу TLS і сертифікатів, що самозавіряють, встановлених програмою установки Exchange 2010.
- Весь трафік між прикордонними транспортними серверами та транспортними серверами-концентраторами проходить автентифікацію та шифрується. Як механізм автентифікації та шифрування використовується Mutual TLS. Замість перевірки X.509 у Exchange 2010 для автентифікації сертифікатів використовується пряма довіра. Пряма довіра означає, що наявність сертифіката у службах Служба каталогів Active Directory або службах Active Directory полегшеного доступу до каталогів (AD LDS) підтверджує дійсність сертифіката. Служба каталогів Active Directory вважається довіреним механізмом зберігання. Коли використовується пряма довіра, не має значення, чи застосовується сертифікат або сертифікат, підписаний центром сертифікації. При підписці прикордонного транспортного сервера на організацію Exchange прикордонна підписка публікує сертифікат прикордонного транспортного сервера в службі каталогів Active Directory, щоб транспортні сервери-концентратори могли його перевіряти. Служба Microsoft Exchange EdgeSync додає до служб Active Directory полегшеного доступу до каталогів (AD LDS) набір сертифікатів транспортного сервера-концентратора, щоб прикордонний транспортний сервер перевірив їх.
- EdgeSync використовує безпечне підключення LDAP транспортного сервера-концентратора до підписаних прикордонних транспортних серверів через порт TCP 50636. Служби Active Directory полегшеного доступу до каталогів також здійснюють прослуховування порту TCP 50389. Підключення до цього порту не використовує протокол SSL. Для підключення до порту та перевірки даних служб Active Directory полегшеного доступу до каталогів можна використовувати службові програми LDAP.
- За замовчуванням, трафік між прикордонними транспортними серверами, розташованими у двох різних організаціях, шифрується. Програма установки Exchange 2010 створює сертифікат, що самозавіряє, і за замовчуванням включає TLS. Це дозволяє будь-якій відправляючій системі шифрувати сеанс SMTP, що входить в Exchange. За промовчанням сервер Exchange 2010 намагається використовувати протокол TLS для всіх віддалених підключень.
- Способи автентифікації для трафіку між транспортними серверами-концентраторами та серверами поштових скриньок відрізняються, якщо ролі транспортного сервера-концентратора та сервера поштових скриньок встановлені на одному комп'ютері. При локальній передачі пошти використовується автентифікація Kerberos. Під час віддаленої передачі пошти використовується автентифікація NTLM.
- Exchange 2010 також підтримує безпеку домену. Безпека домену – це набір функцій Exchange 2010 та Microsoft Outlook 2010, які є недорогою альтернативою S/MIME та іншим рішенням для забезпечення безпеки надсилання повідомлень через Інтернет. Безпека домену забезпечує спосіб управління безпечними шляхами надсилання повідомлень між доменами в Інтернеті. Після налаштування таких безпечних шляхів успішно передані по них повідомлення від відправника, що пройшов автентифікацію, відображаються для користувачів Outlook і Outlook Web Access як повідомлення, «захищені на рівні домену». Щоб отримати додаткові відомості, див. Загальні відомості про безпеку домену.
- Багато агентів можуть виконуватись як на транспортних серверах-концентраторах, так і на прикордонних транспортних серверах. Як правило, агенти захисту від небажаної пошти використовують відомості локального комп'ютерана якому вони виконуються. Таким чином, практично не потрібна взаємодія з віддаленими комп'ютерами. Винятком є фільтрація одержувачів. Для фільтрації одержувачів потрібний виклик AD LDS або Служба каталогів Active Directory. Фільтрування одержувачів рекомендується виконувати на прикордонному транспортному сервері. У цьому випадку каталог AD LDS знаходиться на тому ж комп'ютері, на якому встановлено роль прикордонного транспортного сервера, тому віддалене підключенняне вимагається. Якщо функція фільтрації одержувачів встановлена та налаштована на транспортному сервері-концентраторі, необхідний доступ до служби каталогів Active Directory.
- Агент аналізу протоколу використовується функцією репутації відправника Exchange 2010. Цей агент також підключається до різних зовнішніх проксі-серверів, щоб визначити шляхи вхідних повідомлень для підозрілих підключень.
- Інші функції захисту від небажаної пошти використовують дані, які збираються, зберігаються і доступні лише на локальному комп'ютері. Зазвичай такі дані, як об'єднаний список надійних відправників або дані одержувачів для фільтрації одержувачів, примусово відправляються в локальний каталог AD LDS за допомогою служби Microsoft Exchange EdgeSync.
- Агенти управління правами на доступ до даних (IRM) на транспортних серверах-концентраторах виконують підключення до серверів служб управління правами Active Directory (AD RMS) в організації. Служба керування правами Active Directory (AD RMS) – це веб-служба, яку рекомендується захищати за допомогою SSL. Підключення до серверів служб керування правами Active Directory виконується за допомогою HTTPS, а для автентифікації використовується Kerberos або NTLM залежно від конфігурації сервера служб керування правами Active Directory.
- Правила журналів, правила транспорту та класифікації повідомлень зберігаються у службах Служба каталогів Active Directory, і доступ до них здійснює агент ведення журналу та агент правил транспорту на транспортних серверах-концентраторах.
Сервери поштових скриньок
На серверах поштових скриньок використання автентифікації NTLM або Kerberos залежить від контексту користувача або процесу, в рамках якого працює споживач рівня бізнес-логіки Exchange. У такому контексті споживачами є будь-які програми чи процеси, які використовують рівень бізнес-логіки Exchange. В результаті в стовпці Перевірка автентичності за замовчуваннямтаблиці Шляхи до даних для серверів поштових скриньокдля багатьох рядків вказано значення NTLM/Kerberos.
Рівень бізнес-логіки Exchange використовується для доступу до сховища Exchange та взаємодії із ним. Рівень бізнес-логіки Exchange також викликається зі сховища Exchange для взаємодії із зовнішніми програмами та процесами.
Якщо споживач рівня бізнес-логіки Exchange виконується у контексті локальної системи, способом автентифікації при доступі споживача до сховища Exchange завжди є Kerberos. Спосіб автентифікації Kerberos використовується через те, що справжність одержувача необхідно перевіряти з використанням облікового записукомп'ютера "Локальна система", а також потрібна двостороння довіра з автентифікацією.
Якщо одержувач рівня бізнес-логіки Exchange виконується не в контексті локальної системи, автентифікацією є NTLM. Наприклад, коли адміністратор запускає командлет командної консолі Exchange, що використовує рівень бізнес-логіки Exchange, застосовується автентифікація NTLM.
Трафік RPC завжди шифрується.
У наступній таблиці наведено відомості про порти, автентифікацію та шифрування шляхів даних для серверів поштових скриньок.
Шляхи даних для серверів поштових скриньок
Шлях до даних Необхідні порти Перевірка автентичності за замовчуванням Підтримуваний спосіб автентифікації Підтримка шифрування Шифрування даних за замовчуванням 389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (мережевий вхід до системи RPC)
Так, за допомогою шифрування Kerberos
Адміністративний віддалений доступ(віддалений реєстр)
Так, за допомогою IPsec
Адміністративний віддалений доступ (SMB, файли)
Так, за допомогою IPsec
Веб-служба доступності (клієнтський доступ до поштової скриньки)
Так, за допомогою шифрування RPC
Кластеризація
Так, за допомогою шифрування RPC
Між серверами клієнтського доступу (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, автентифікація за допомогою сертифіката
Так, за допомогою HTTPS
Так, з використанням самозапевняючого сертифіката
Між серверами клієнтського доступу (Outlook Web Access)
80/TCP, 443/TCP (HTTPS)
Так, за допомогою SSL
Сервер клієнтського доступу до сервера клієнтського доступу (Веб-служби Exchange)
Так, за допомогою SSL
Сервер клієнтського доступу до сервера клієнтського доступу (POP3)
Так, за допомогою SSL
Сервер клієнтського доступу до сервера клієнтського доступу (IMAP4)
Так, за допомогою SSL
Сервер Office Communications Server до сервера клієнтського доступу (коли включена інтеграція Office Communications Server та Outlook Web App)
5075-5077/TCP (ВХІД), 5061/TCP (ВИХІД)
mTLS (обов'язково)
mTLS (обов'язково)
Так, за допомогою SSL
Примітки для серверів клієнтського доступу
Сервери єдиної системи обміну повідомленнями
Шлюзи IP та УВАТС, що працюють за протоколом IP, підтримують лише автентифікацію за допомогою сертифіката, при якій використовується автентифікація Mutual TLS для шифрування трафіку SIP та автентифікація на основі IP-адреси для підключень по протоколів SIPабо TCP. Шлюзи IP не підтримують автентифікацію NTLM і Kerberos. Таким чином, при використанні автентифікації на основі IP-адреси в якості механізму автентифікації для незашифрованих підключень (TCP) використовуються IP-адреси підключень. При використанні в єдиній системі обміну повідомленнями автентифікації на основі IP-адрес перевіряє, чи дозволено цій IP-адресі підключатися. IP-адреса настроюється на шлюзі IP або IP PBX.
Шлюзи IP та УВАТС, що працюють за протоколом IP, підтримують Mutual TLS для шифрування трафіку SIP. Після успішного імпорту та експорту необхідних довірених сертифікатів шлюз IP або УВАТС, що працює за протоколом IP, запитуватиме сертифікат у сервера єдиної системи обміну повідомленнями, а потім запитуватиме сертифікат у шлюзу IP або УВАТС, що працює за протоколом IP. Обмін довіреними сертифікатами між шлюзом IP або УВАТС, що працює за протоколом IP, та сервером єдиної системи обміну повідомленнями дозволяє обом пристроям взаємодіяти безпечним каналом за допомогою Mutual TLS.
У наступній таблиці наведено відомості про порти, автентифікацію та шифрування для шляхів даних між серверами єдиної системи обміну повідомленнями та іншими серверами.
Шляхи даних для серверів єдиної системи обміну повідомленнями
Шлях до даних Необхідні порти Перевірка автентичності за замовчуванням Підтримуваний спосіб автентифікації Підтримка шифрування Шифрування даних за замовчуванням Доступ до служби каталогів Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (мережевий вхід до системи RPC)
Так, за допомогою шифрування Kerberos
Телефонна взаємодія єдиної системи обміну повідомленнями (шлюз IP PBX/VoIP)
5060/TCP , 5065/TCP, 5067/TCP (у незахищеному режимі), 5061/TCP, 5066/TCP, 5068/TCP (у захищеному режимі), динамічний порт з діапазону 16000-17000/TCP (керування) з діапазону 1024-65535/UDP (RTP)
За IP-адресою
За IP-адресою, MTLS
Так, за допомогою SIP/TLS, SRTP
Веб-служба єдиної системи обміну повідомленнями
80/TCP, 443/TCP (SSL)
Інтегрована автентифікація Windows (Negotiate)
Так, за допомогою SSL
Із сервера єдиної системи обміну повідомленнями на сервер клієнтського доступу
5075, 5076, 5077 (TCP)
Вбудована автентифікація Windows (узгодження)
Звичайна, дайджест-перевірка автентичності, NTLM, узгодження (Kerberos)
Так, за допомогою SSL
З сервера єдиної системи обміну повідомленнями на сервер клієнтського доступу (відтворення на телефоні)
Динамічний RPC
Так, за допомогою шифрування RPC
Із сервера єдиної системи обміну повідомленнями на транспортний сервер-концентратор
Так, з використанням TLS
Із сервера єдиної системи обміну повідомленнями на сервер поштових скриньок
Так, за допомогою шифрування RPC
Примітки для серверів єдиної системи обміну повідомленнями
- При створенні об'єкта шлюзу IP єдиної системи обміну повідомленнями в Службі каталогів Active Directory необхідно визначити IP-адресу фізичного шлюзу IP або УВАТС, що працює за протоколом IP. При визначенні IP-адреси об'єкта шлюзу IP єдиної системи обміну повідомленнями IP-адреса додається до списку допустимих шлюзів IP або УВАТС, що працюють за протоколом IP (також званими учасниками SIP-сеансу), з якими дозволено взаємодіяти серверу єдиної системи обміну повідомленнями. Після створення шлюзу IP єдиної системи обміну повідомленнями, можна зв'язати його з абонентською групою цієї системи. Зіставлення шлюзу IP єдиної системи обміну повідомленнями з абонентською групою дозволяє серверам єдиної системи обміну повідомленнями, зіставленим з абонентською групою, використовувати автентифікацію на основі IP-адреси для взаємодії зі шлюзом IP. Якщо шлюз IP єдиної системи обміну повідомленнями не був створений або не був налаштований на використання правильної IP-адреси, то відбудеться збій автентифікації, і сервери єдиної системи обміну повідомленнями не будуть приймати підключення з IP-адреси даного шлюзу IP. Крім того, при реалізації Mutual TLS, шлюзу IP або УВАТС, що працює за протоколом IP, та серверів єдиної системи обміну повідомленнями шлюз IP єдиної системи обміну повідомленнями необхідно налаштувати використання повного доменного імені (FQDN). Після налаштування шлюзу IP єдиної системи обміну повідомленнями з використанням повного доменного імені необхідно також додати до зони прямого пошуку DNS запис вузла для цього шлюзу.
- У версії Exchange 2010 сервер єдиної системи обміну повідомленнями може взаємодіяти через порт 5060/TCP (незахищений) або через порт 5061/TCP (захищений), і його можна настроїти для використання обох портів.
Щоб отримати додаткові відомості, див. Загальні відомості про безпеку VoIP спільної системи обміну повідомленнями та Загальні відомості про протоколи, порти та служби в єдиній системі обміну повідомленнями .
Правила брандмауера Windowsстворені програмою установки Exchange 2010
Брандмауер Windows у режимі підвищеної безпеки - це брандмауер з відстеженням стану на основі комп'ютера, який здійснює фільтрацію вхідного та вихідного трафіку на основі правил брандмауера. Програма інсталяції Exchange 2010 створює правила брандмауера Windows для відкриття портів, необхідних для взаємодії сервера та клієнта, у кожній ролі сервера. Таким чином, не потрібно використовувати майстер налаштування безпеки для налаштування цих параметрів. Додаткові відомості про брандмауер Windows у режимі підвищеної безпеки див. у статті Брандмауер Windows у режимі підвищеної безпеки та IPsec (сторінка може бути англійською мовою).
У таблиці нижче наведено правила брандмауера Windows, створені програмою установки Exchange, включаючи порти, відкриті в кожній ролі сервера. Ці правила можна переглянути за допомогою оснащення консолі MMC брандмауера Windows у режимі підвищеної безпеки.
Ім'я правила Ролі сервера Порт Програма MSExchangeADTopology - RPC (вхідний TCP)
Динамічний RPC
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (вхідний TCP)
Сервер клієнтського доступу, транспортний сервер-концентратор, прикордонний транспортний сервер, сервер єдиної системи обміну повідомленнями
Динамічний RPC
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (вхідний TCP)
Динамічний RPC
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (вхідний TCP)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (вхідний TCP)
MSExchangeRPC (GFW) (вхідний TCP)
Сервер клієнтського доступу, транспортний сервер-концентратор, сервер поштових скриньок, сервер єдиної системи обміну повідомленнями
Динамічний RPC
MSExchange - IMAP4 (GFW) (вхідний TCP)
Сервер клієнтського доступу
MSExchangeIMAP4 (вхідний TCP)
Сервер клієнтського доступу
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (вхідний TCP)
Сервер клієнтського доступу
MSExchange - POP3 (вхідний TCP)
Сервер клієнтського доступу
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (вхідний TCP)
Сервер клієнтського доступу
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (вхідний TCP)
Сервер клієнтського доступу
5075, 5076, 5077 (TCP)
Inetsrv\w3wp.exe
MSExchangeAB RPC (вхідний TCP)
Сервер клієнтського доступу
Динамічний RPC
MSExchangeAB-RPCEPMap (вхідний TCP)
Сервер клієнтського доступу
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (вхідний TCP)
Сервер клієнтського доступу
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP-вхідний)
Сервер клієнтського доступу
Динамічний RPC
System32\Svchost.exe
MSExchangeRPC - RPC (TCP-вхідний)
Динамічний RPC
MSExchangeRPC - PRCEPMap (вхідний TCP)
Сервер клієнтського доступу, сервер поштових скриньок
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (вхідний TCP)
Сервер клієнтського доступу, сервер поштових скриньок
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (вхідний TCP)
Сервер клієнтського доступу
MSExchangeMailboxReplication (вхідний TCP)
Сервер клієнтського доступу
Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
MSExchangeIS RPCEPMap (вхідний TCP)
Сервер поштових скриньок
MSExchangeIS (GFW) (вхідний TCP)
Сервер поштових скриньок
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (вхідний TCP)
Сервер поштових скриньок
MSExchangeMailboxAssistants - RPC (вхідний TCP)
Сервер поштових скриньок
Динамічний RPC
MSExchangeMailboxAssistants - RPCEPMap (вхідний TCP)
Сервер поштових скриньок
Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
MSExchangeMailSubmission - RPCEPMap (вхідний TCP)
Сервер поштових скриньок
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP-вхідний)
Сервер поштових скриньок
Bin\MSExchangeMigration.exe
MSExchangerepl - Log Copier (вхідний TCP)
Сервер поштових скриньок
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-вхідний)
Сервер поштових скриньок
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (вхідний TCP)
Сервер поштових скриньок
Динамічний RPC
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (вхідний TCP)
Сервер поштових скриньок
Bin\MSExchangeThrottling.exe
MSFTED - RPC (TCP-вхідний)
Сервер поштових скриньок
Динамічний RPC
MSFTED - RPCEPMap (TCP-вхідний)
Сервер поштових скриньок
MSExchangeEdgeSync - RPC (вхідний TCP)
Транспортний сервер-концентратор
Динамічний RPC
MSExchangeEdgeSync RPCEPMap (вхідний TCP)
Транспортний сервер-концентратор
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP-вхідний)
Транспортний сервер-концентратор
Динамічний RPC
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (вхідний TCP)
Транспортний сервер-концентратор
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (вхідний TCP)
Транспортний сервер-концентратор
MSExchangeTransportWorker (вхідний TCP)
Транспортний сервер-концентратор
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (вхідний TCP)
Динамічний RPC
MSExchangeTransportLogSearch - RPCEPMap (вхідний TCP)
Транспортний сервер-концентратор, прикордонний транспортний сервер, сервер поштових скриньок
Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
SESWorker (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
UnifiedMessaging\SESWorker.exe
UMService (GFW) (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
UMService (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
Bin\UMService.exe
UMWorkerProcess (GFW) (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
5065, 5066, 5067, 5068
UMWorkerProcess (вхідний TCP)
Сервер єдиної системи обміну повідомленнями
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP-вхідний)
Сервер єдиної системи обміну повідомленнями
Динамічний RPC
Bin\UMWorkerProcess.exe
Примітки до правил брандмауера Windows, створених програмою інсталяції Exchange 2010
- На серверах із встановленими службами IIS Windows відкриває порти HTTP (порт 80, TCP) та HTTPS (порт 443, TCP). Програма інсталяції Exchange 2010 не відкриває ці порти. Отже, ці порти не наведено у попередній таблиці.
- У Windows Server 2008 та Windows Server 2008 R2 брандмауер Windows у режимі підвищеної безпеки дозволяє вказати процес або службу, для яких відкрито порт. Це безпечніше, оскільки порт може використовуватися лише процесом або службою, зазначеною в правилі. Програма установки Exchange створює правила брандмауера з вказаним ім'ямпроцесу. У деяких випадках для сумісності також створюється додаткове правило, не обмежене цим процесом. Можна вимкнути або видалити правила, не обмежені процесами, та зберегти відповідні правила, обмежені процесами, якщо поточне середовище розгортання підтримує їх. Правила, не обмежені процесами, можна відрізнити за словами (GFW)у імені правила.
- Багато служб Exchange використовують для взаємодії віддалені дзвінки процедур (RPC). Серверні процеси, що використовують віддалені виклики процедур, підключаються до співставника кінцевих точок RPC для отримання динамічних кінцевих точок та реєстрації їх у базі даних зіставника кінцевих точок. Клієнти RPC взаємодіють із співставником кінцевих точок RPC для визначення кінцевих точок, що використовуються серверним процесом. За промовчанням співставник кінцевих точок RPC прослуховує порт 135 (TCP). При налаштуванні брандмауера Windows для процесу, що використовує віддалені дзвінки процедур, програма інсталяції Exchange 2010 створює для цього процесу два правила брандмауера. Одне правило дозволяє взаємодію із співставником кінцевих точок RPC, а друге дозволяє взаємодію з динамічно призначеною кінцевою точкою. Для отримання додаткових відомостей про віддалені дзвінки процедур див . Щоб отримати додаткові відомості про створення правил брандмауера Windows для динамічного віддаленого виклику процедур, див.
Додаткові відомості див. у статті 179442 бази знань Microsoft
