Rosalab Wiki'den Malzeme
Randevu
Bu talimat, çeşitli bağlantıların bağlantısını açıklar. posta istemcileri Microsoft Exchange sunucusuna. Meta - Microsoft Outlook'un işlevselliği için sistemi kaldırın.
Giriş verileri
Uygulamaların bir Microsoft Exchange 2010 sunucusu (v14.03.0361.001) Toplaması 18 vardır. Service Pack 3 Güncellemesi. Çağrılar DNS sunucularında belirtilir posta adresleri için posta sunucusu. Exchange sunucusunda şunlardan sorumluyuz:
- OWA (Outlook Web Erişimi) - paylaşılan bir sunucuya erişim için web istemcisi Microsoft robotları Değiş tokuş
- OAB (Çevrimdışı Adres Defteri) - çevrimdışı adres defteri
- EWS (Exchange Web Hizmetleri) – Exchange Online'da (Office 365'in bir parçası olarak) ve şirket içi Exchange'de (Exchange Server 2007'den başlayarak) depolanan e-posta ekranı verilerine erişim sağlayan bir hizmet
Exchange sunucusu ayarları
Microsoft dışı istemcilerin Exchange 2010'da başarılı çalışması için önemli bir nokta kimlik doğrulamadır. Bu parametreleri CAS (Client Access Server) katılımı ile Exchange server üzerinde görüntüleyebilirsiniz. IIS Yöneticisi ek bileşenini başlatın ve Siteler/Varsayılan Web Sitesi sekmesini açın. Üç bileşende kimlik doğrulamaya saygıyı geri yükleyin:
- OWA-Stan" Not alınmış" için " Zvichayna kimlik doğrulaması» ta « Windows Kimlik Doğrulama Kontrolü»:
- OAB - Stan " Not alınmış" için " Zvichayna kimlik doğrulaması» ta « Windows Kimlik Doğrulama Kontrolü»:
- EWS - Stan " Not alınmış" için " anonim kimlik doğrulama», « Zvichayna kimlik doğrulaması» ta « Windows Kimlik Doğrulama Kontrolü»:
Prosharok (aracılar) ve ek yardımcı programlar
Davmail
Etkin posta istemcileri, Microsoft Exchange'e doğrudan bağlanamaz ve bir proxy (aracı) gerektiremez. İÇİNDE bu popo bir aracı vikoristovuetsya proxy sunucusu olarak Davmail.
- Düzenlemek Davmail, yardım için yöneticinin haklarını alarak su veya sudo:
- Koşmak Davmail:
- “Ana” sekmesinde “ OWA (Değişim) URL'si» sunucunuzun adresini «https:// biçiminde girin
/EWS/Exchange.asmx" veya OWA'ya gönderildi
"https:// biçiminde
- Bağlantı noktası numaralarını hatırla Yerel IMAP bağlantı noktası» ta « Yerel SMTP bağlantı noktası". Kimin kıçında 1143 ve 1025 olduğu belli.
Sunucuyu manuel olarak başlatmaktan kaçınmak için Davmail, otomatik ilerlemek için bir yoga çağrısı eklemeniz gerekir.
- Menüye git " Sistem ayarları → Başlatma ve tamamlama → Otomatik çalıştırma", düğmesine tıklayın [ Program ekle] ve "davmail" arama dizesini girin, ardından [ yazın Tamam]:
Şimdi yerel proxy sunucusu Davmail sistem başladığında otomatik olarak başlayacaktır. Bu simgeyi görev panelinde istiyorsanız, kaydedebilirsiniz. Hangi .davmail.properties dosyası için, false değerini true olarak değiştirerek davmail.server=false dizesini düzenleyin:
sudo mcedit /home/<имя_пользователя>/.davmail.özellikler
Exchange'e bağlanmak için posta istemcileri
Artık posta istemcilerinin dağıtımını genişletmek mümkün.
yıldırım kuşu
Mozilla Thunderbirdє ROSA Linux dağıtımları için ana posta istemcisi ve hepsinden öte, sisteminizde kurulu ve çalışmaya hazır. Ancak, ROSA deposundan yüklenebilir. Bu buttstock 52.2.1 sürümüne sahiptir.
- Düzenlemek yıldırım kuşu:
- Rus arayüzü ekleyin:
- Düzenlemek Yıldırım uzantısı, takvimleri döndürmenize olanak tanır:
- Koşmak yıldırım kuşu.
- perakende olarak " Bulut kayıtları"noktada" Vizyon Kaydı Oluşturun"Seçmek" E-posta". Lütfen resepsiyonda görünün.
- Pencerede, düğmesine tıklayın [ іsnuyuchu postamı atla ve vikoristovuvaty].
- vikni'de " Resmi bir kayıt gönderme» alanına girin « Adınız», « E-mail adresleri İleti» ta « Şifre» kendi görünüm verileri.
- Basmak [ Devam et]. Program bağlantıyı (başarısız bir şekilde) bulmaya çalışacak ve af hakkında görünecektir:
Burada bağlantı noktası numaralarına ihtiyacınız var, böylece kurulum saatini hatırlarsınız Davmail.
- kategoriler için " giriş» ta « Hafta sonu» Sunucu adını "localhost" olarak değiştirin.
- " için girin IMAP"bağlantı noktası 1143 ve için" SMTP"- 1025 numaralı bağlantı noktası.
- Sahada" Im'ya Koristuvacha» UPN'yi (Kullanıcı Asıl Adı) girin - koristuvach'ın alan adı, “[email protected]” biçiminde.
- [ düğmesine tıklayın tekrar test et].
Afların görünüm verilerinin doğru girişi ile hiçbir şey temizlenmez. Sistemin, Exchange sunucusu sertifikasını kabul etme ihtiyacı hakkında size bilgi vermesi mümkündür. Görünmeyen bir şey, mümkün, arayüzü çok erken kapattınız Davmail.
Koristuvach takvimi oluşturma
- Kategori " Bulut kayıtları" Öğeyi seçin " Yeni bir takvim oluştur».
- Vіknі anlamını seç " Ölçüde"ve bas [ dali].
- Biçimi seçin " CalDAV» ta v polі « adresler» "http://localhost:1080/users/" girin
/takvim":
Adres defteri oluşturma
Adres defteri yıldırım kuşu CardDAV protokolünü desteklemez ve yalnızca Exchange sunucusunun LDAP dizinine bağlanabilir.
- [ düğmesine basarak doğru adres defterlerini açın. Adres defteri] ve ardından “ öğesini yazın Dosya → Oluştur → LDAP Dizini».
- Master penceresinde aşağıdaki parametreleri girin:
- isim- be-yak e vіdpovіdne im'ya
- Sunucu adı- yerel ana bilgisayar
- Kök eleman (Temel DN)-ou=insanlar
- Liman- 1389 (ö. Davmail)
- Im'ya Koristuvacha (Bind DN)- UPN-im'ya koristuvacha
- Basmak [ Tamam]. Program sizden bir şifre girmenizi isteyecektir.
- Seçenekler menüsüne gidin yıldırım kuşu. Kategori " Depolamak» sekmesini seçin « adresleme» ve «Adresi girerken, arayın ve doğru posta adreslerini girin» metninin altında» öğesini işaretleyin « dizin sunucusu”, onlara adres defterini gönderdikten sonra.
evrim
ROSA depolarının ayrıca bir posta istemcisi vardır evrim(Hangi buttstock 3.16.4 sürümüne sahiptir).
- Düzenlemek evrim:
- Bağlayıcıyı yükle Değiş tokuş, 2007 versiyonu ile özetlenmiş ve yazılmıştır:
- Koşmak evrim.
- Vіknі majstra'da basmak için [ Nastupna] sekmesine geçene kadar " Yüz Kaydı».
- Alanları kaydet " dışında im'ya» ta « E-posta».
- sekmesinde " Otrimannia postası"listelenmiş" Sunucu tipi» Exchange Web Hizmetleri'ni seçin.
- Muhabirin UPN adı "Im'[email protected]" biçiminde nasıl girilir.
- Sahada" Barındırma URL'si» «https://Posta SunucusuExchange/EWS/Exchange.asmx'in Adını girin .
- Sahada" OAB URL'si» Çevrimdışı adres defterinin URL'sini girin.
- Kimlik doğrulama türü olarak "Temel" öğesini seçin.
Başarılı kurulumdan sonra program şifreyi sorar:
Şifreyi girdikten sonra evrim Posta ekranınıza, adres defterinize ve takvimlerinize erişimi engeller.
Z be-yakah yemeği, pov'yazanih іz tsієyu makalesi, adres için prohannya zatatyatsya [e-posta korumalı]
Son zamanlarda Microsoft Exchange sunucusunu hackleme ve ardından güvenlik duvarında bağlantı noktaları için kuralları yazma şansım oldu. Böylece, tsim dovgo'dan önceki eksen, z'yasovuvati, yakі vikoristovuє robotlar için Microsoft Exchange'i bozma şansı buldu. Forumlarda öğrenmek için çok uzaklara gittim, ancak yeniden gözden geçirme ve kendim bulma şansım oldu, ben kazanan bir takas limanıyım, koydum - yorumlara yazın .
SMTP TCP: 25
SMTP hizmeti, TCP bağlantı noktası 25'i kullanır.
DNS TCP/UDP: 53
DNS 53 numaralı bağlantı noktasını dinler. Ev denetleyicileri bu bağlantı noktasını kullanır.
HTTP TCP: 80
HTTP Sunucusu Bağlantı Noktası.
POP3 TCP: 110
Postane Protokolü Sürüm 3 (POP3).
NNTP TCP: 119
Ağ Haber Aktarım Protokolü (NNTP).
MSRPC TCP/UDP: 135
Microsoft RPC ve Konum Belirleme hizmeti - LOC-SRV
IMAP4 TCP: 143
İnternet Mesaj Erişim Protokolü (IMAP).
LDAP TCP/UDP: 379
Site Çoğaltma Hizmeti (SRS).
LDAP TCP/UPD: 389
Microsoft tarafından kullanılan hafif dizin erişim protokolü (LDAP) Aktif Dizin® dizin hizmeti, Active Directory Bağlayıcısı ve Microsoft Exchange Server 5.5 dizini.
LDAP TCP/UDP: 390
Bu alternatif bağlantı noktası, Exchange Server 5.5 bir Active Directory etki alanı denetleyicisinde çalışırken Exchange Server 5.5 LDAP Protokolünü yapılandırmak için kullanılır.
HTTP/SSL TCP: 443
SSL üzerinden HTTP.
SMTP/SSL:465
SSL üzerinden SMTP. TCP bağlantı noktası 465, SSL protokolünü kullanan güvenli SMTP iletişimi için ayrılmış ortak endüstri uygulamasıdır.
NNTP/SSL TCP: 563
SSL üzerinden NNTP.
LDAP/SSL TCP/UDP: 636
Güvenli Yuva Katmanı (SSL) üzerinden LDAP.
LSA TCP: 691
Bağlantı noktasıyla ilgili e-posta bilgilerini uyarmak için Microsoft Exchange Yönlendirme Altyapısı Hizmeti (RESvc) uyarısı.
IMAP4/SSL TCP: 993
SSL üzerinden IMAP4.
POP3/SSL TCP: 995
SSL üzerinden POP3.
LDAP TCP: 3268
küresel katalog. 3268 numaralı TCP bağlantı noktasında Windows 2000 ve Windows Server 2003 Active Directory Genel Kataloğu (evdeki rol denetleyicisi).
LDAP/SSLPort TCP: 3269
SSL üzerinden küresel katalog. Global bir katalog sunucusunun 3269 numaralı TCP bağlantı noktasına bağlanan uygulamalar, SSL şifreli verileri iletebilir ve alabilir.
[Bu makale bir önceki belgedir ve ileriki sayılarda değiştirilebilir. Boş bölmeler zapovnyuvach'lar gibi açılır. Bir inceleme yazmak isterseniz, yoga yapmaktan memnuniyet duyarız. Yogayı bize e-posta ile gönder [e-posta korumalı]]
Ne yapalım: Exchange Sunucusu 2016
Vіdomosti pro merzhnі porti, istemci erişimi ve posta işleme akışı için yakі Exchange 2016 vikoristovuє.
Posta istemcileri, İnternet'teki posta sunucuları ve diğer hizmetlerle iletişim için Microsoft Exchange Server 2016 ile iletişim kurmak için kullanılan bağlantı noktası hakkında, posta siparişi olarak hangi dağıtımda bir bağlantı var? yerel kuruluşlar Değiş tokuş. Her şeyden önce, rozpochat, obmirkite gibi temel kurallar.
Aynı tür topolojide dahili Exchange Sunucuları, dahili Exchange Sunucuları ve dahili Lync sunucuları veya Skype Kurumsal arasında veya dahili Exchange Sunucuları ve bir Active Directory etki alanındaki dahili denetleyiciler arasında arabirim oluşturmayı veya arabirim trafiğini değiştirmeyi desteklemiyoruz. Jacgshchko Vikrovyovtii İtfaiyeci Abo Merezhivі denetimi, yaki Abo zmіniti TSY Merezhny Trafik İşlemleri tarafından kontrol edilebilir, kuralları gereksiz yere daraltır, Shaho, MІZhIZI sunucularının (Kurallar, Şah Tay Vikhidni Merezhii'ye İzin Veriyor, Vipad Böyle Üzerinde Trafik İşlemleri dahil olmak üzere birçok anlama aşamasını alıyor) Protokol ne olursa olsun, orijinal biti değiştirmeyen RPC'yi bozar).
Kordon taşıma sunucuları hala çevre çitinde bulunabilir, bu nedenle kordon taşıma sunucusu ile İnternet arasındaki ve ayrıca kordon taşıma sunucusu ile dahili Exchange organizasyonu arasındaki kordon trafiğinin çitle çevrileceği açıktır. Qi porti merezhі, tsmu rasdіl'de açıklanmıştır.
Mevcut istemciler ve hizmetler ile Exchange'in iç organizasyonu arasındaki sınır trafiğini çevreleyeceğinizi unutmayın. Dahili istemciler ve dahili Exchange sunucuları arasındaki trafiği de engelleyebilirsiniz. Qi porti merezhі, tsmu rasdіl'de açıklanmıştır.
Zmist
İstemciler ve hizmetler için gerekli ağ bağlantı noktaları
Posta akışı için gerekli ağ bağlantı noktaları (Edge Transport sunucusu yok)
Edge Transport sunucularıyla posta akışı için gereken ağ bağlantı noktaları
Hibrit dağıtımlar için gerekli ağ bağlantı noktaları
Birleşik Mesajlaşma için gerekli ağ bağlantı noktaları
Merezhev kapısı Posta istemcilerinin Exchange organizasyonundaki posta ekranlarına ve diğer hizmetlere erişmesi için gerekli olan , sonraki şema ve tabloda açıklanmıştır.
Notlar.
Bu istemciler ve hizmetler için tanınma noktası, sunucudaki istemci erişim hizmetidir. posta ekran görüntüleri. Exchange 2016'da, istemci erişim (çağrı) hizmetleri ve dahili hizmetler aynı anda aynı posta ekranı sunucusuna kurulur. dodatkovі vіdomosti böl. şubede.
Diyagram, hizmetin internetten istemcisini gösterse de, iç istemciler için kavramlar aynıdır (örneğin, kaynaklar için Exchange sunucularına gönderilen bulut kayıtları için istemciler). Benzer şekilde, tabloda "Dzherelo" öğesi yoktur, ancak dzherel'in osilatörleri, finansal kaynakların (örneğin, İnternet veya kamu kayıtları) Değişiminin organizasyonu için çağrılabilir.
Sınır taşıma sunucuları ve kaderini almayın trafik birleştirme, pov'yazanom s tsimi müşterileri ve hizmetleri.
| Randevu | Porty | notlar |
|---|---|---|
Şifreli bağlantılar bu tür istemciler ve hizmetler tarafından yapılır. Otomatik ziyaret hizmeti Exchange ActiveSync Exchange Web Servisleri (EWS) Rozvuzhenny Çevrimdışı Adres Defterleri Mobil Outlook (HTTP üzerinden RPC) HTTP üzerinden MAPI Outlook Web'de Outlook | 443/TCP (HTTPS) | Exchange için EWS Danışmanı |
Şifrelenmemiş bağlantılar, bu tür istemciler ve hizmetler tarafından yapılır. Takvimin internette yayınlanması İnternette Outlook (443/TCP bağlantı noktasına yönlendirilir) Otomatik görünüm (Vidkat, 443/TCP bağlantı noktası kullanılamıyorsa) | 80/TCP (HTTP) | Bulut verilerini korumak için 443/TCP bağlantı noktası üzerinden şifreli bir web bağlantısı kazanmanız önerilir. Ancak, bu hizmetler, posta ekranı sunucularındaki istemci erişim hizmetlerine 80/TCP bağlantı noktası üzerinden şifrelenmemiş bağlantıları kullanacak şekilde yapılandırılmalıdır. Otrimannya dodatkovyh vіdomosti için tsih müşterileri ve hizmetleri hakkında div. gelen istatistikler. |
IMAP4 istemcileri | 143/TCP (IMAP), 993/TCP (Güvenli IMAP) | IMAP4 kilitlendi. Ek div listelerinin seçimi için. Posta ekranı sunucusundaki istemci erişim hizmetlerindeki IMAP4 hizmeti, posta ekranı sunucusundaki dahili IMAP4 hizmetine olan bağlantıyı temsil eder. |
POP3 istemcileri | 110/TCP (POP3), 995/TCP (POP3 güvenli) | POP3, promosyon için olumsuz oy kullandı. Ek div listelerinin seçimi için. Posta ekranı sunucusundaki istemci erişim hizmetlerindeki POP3 hizmeti, posta ekranı sunucusundaki dahili POP3 hizmetine olan bağlantıyı temsil eder. |
SMTP istemcileri (kimlik doğrulama ile) | 587/TCP (kimlik doğrulamalı SMTP) | "Müşteri Ön Uç" Not. Posta istemcileriniz varsa, SMTP kimlik doğrulamasını yalnızca 25 numaralı bağlantı noktası üzerinden geçersiz kılabiliyorsanız, bu zadnuvache otrimannya'nın bağlama değerini değiştirebilirsiniz, böylece SMTP yönetimini 25 numaralı bağlantı noktası üzerinden de etkinleştirebilirsiniz. |
koçanın üzerinde
Posta işleme akışı için gerekli liman önlemleri
Giden posta
25/TCP (SMTP)
Posta ekran görüntüsü sunucusu
İnternet (tümü)
Promosyonlar için Exchange, İnternet'e mesaj göndermenize izin verdiği için herhangi bir kısıtlama oluşturmaz. Zadnuvachі nadsilannya'yı manuel olarak oluşturmak gerekir. Ek div listelerinin seçimi için.
Para çekme postası (resmi taşıma hizmeti aracılığıyla aktarıldığı için)
25/TCP (SMTP)
Posta ekran görüntüsü sunucusu
İnternet (tümü)
Çıkış postası harici taşıma hizmeti aracılığıyla aktarılır, sadece iade görevlisine bildirilmesi gerekir. İstemci erişim sunucusu aracılığıyla proxy Exchange Yönetim Merkezi'nde veya -FrontEndProxyEnabled $true'da komut konsolu Değiş tokuş.
Standart bir zadnuvach "Giden Proxy Ön Uç" var
Rahatsız edici geçiş postasının adlarını çözmek için DNS sunucusu (küçük resimde gösterilmemiştir)
53/UDP, 53/TCP (DNS)
Posta ekran görüntüsü sunucusu
Dns sunucusu
koçanın üzerinde
Yakın kordon taşıma sunucusunun imzalanması, çevre çitine kurulum, işleme akışına dökülmesi aşağıdaki sırayla gönderilir:
Bir Exchange 2016 veya Exchange 2013 sınır aktarım sunucusundan gelen postalar önce orijinal Aktarım hizmetine gidecek ve ardından Exchange 2016 Posta Ekranı sunucusundaki Aktarım hizmetine yönlendirilecektir.
Bir Exchange 2010 kordon aktarım sunucusundan gelen postalar, her zaman Exchange 2016 posta ekranı sunucusundaki aktarım hizmetine ulaşmalıdır.
Exchange organizasyonundan çıkış postası, posta ekranı sunucularındaki giden taşıma hizmetinden asla geçmez. Aktarım hizmetinden abone olunan Active Directory sitesinin posta ekran sunucusuna kalıcı olarak sınır aktarım sunucusuna yönlendirilir (sınır aktarım sunucusundaki Exchange sürümünden bağımsız olarak).
Giren posta, kordon aktarım sunucusundan imzalı Active Directory sitesinin posta ekran sunucusuna yönlendirilir. Tse şu anlama gelir:
Sınır taşıma sunucularına sahip Exchange kuruluşlarında posta işleme akışı için gerekli olan bağlantı noktaları, aşağıdaki vurgulu grafiğinde açıklanmıştır.
| Randevu | Porty | Cerelo | Randevu | notlar |
|---|---|---|---|---|
Girilecek posta - İnternetten sınır aktarım sunucusuna | 25/TCP (SMTP) | İnternet (tümü) | Ödeme için standart resepsiyonun makbuzu <имя пограничного транспортного сервера> kordon taşıma sunucusunda anonim posta SMTP bağlantı noktası 25. |
|
Posta - Exchange dahili organizasyonundaki kordon aktarım sunucusundan | 25/TCP (SMTP) | Sınır taşıma sunucusu | "EdgeSync - Gelen "Varsayılan Ön Uç" promosyonu için çağrı yapın |
|
Posta gönder - dahili Exchange organizasyonunu sınır aktarım sunucusuna gönderin | 25/TCP (SMTP) | İmzalı bir Active Directory web sitesindeki ekran posta sunucuları | Posta ekranlarının sunucularında her zaman taşıma hizmetinin çağrısından postanın ayrılması söz konusudur. Posta, aktarım hizmetinden, Active Directory sitesi tarafından ön hat aktarım sunucusuna imzalanmış herhangi bir posta ekranı sunucusuna, postayı otomatik olarak Exchange Server sunucuları arasında yeniden yönlendiren örtük ve görünmez bir dahili organizasyonel bağlantının yardımı için aktarılır. aynı organizasyon. "Varsayılan dahili Alma konektörü" promosyonu için çağrı yapın |
|
Postadan çık - kordon aktarım sunucusundan İnternet'e | 25/TCP (SMTP) | Sınır taşıma sunucusu | İnternet (tümü) | zamovchuvannyam s im'yam için Z'ednuvach "EdgeSync - s <имя сайта Active Directory> to the Internet", giden postaları kordon aktarım sunucusundan Internet'e 25 numaralı bağlantı noktasına aktarır. |
Senkronizasyon EdgeSync | 50636/TCP (güvenli LDAP) | EdgeSync senkronizasyonunda yer almak için imzalı bir Active Directory web sitesindeki posta sunucularını tarayın | Sınır taşıma sunucuları | Ön uç aktarım sunucusu Active Directory web sitesinde oturum açmış olsa da, şu anda web sitesinde bulunan tüm e-posta ekranı sunucuları EdgeSync senkronizasyonuna katılır. Ancak, daha sonra başka sunucular ve e-posta ekranları eklerseniz, koku, EdgeSync senkronizasyonunun kaderini otomatik olarak almaz. |
Sonraki toplu taşıma işinin adlarını çözmek için DNS sunucusu (küçük resimde gösterilmemiştir) | 53/UDP, 53/TCP (DNS) | Sınır taşıma sunucusu | Dns sunucusu | binaların isimlerinin dağılımını böldü. |
Devletin itibar hizmetinde açık bir proxy sunucusu gösteriliyor (küçük resimde gösterilmemiştir) | Böl. notlar | Sınır taşıma sunucusu | internet | Aracıyı zafer protokolünün analizine kilitlemek için, açık proxy sunucusunun görünümü, bildirim değişiminin çıkış sunucusunun itibarının hesaplanmasının akıllarından biridir. Dodatkovі vidomostі div. statta. Giden sunucuları kontrol etmek ve açık proxy sunucusunun kullanılabilirliği hakkında bilgi alışverişi yapmak için aşağıdaki TCP portları kontrol edilir: Ayrıca, kuruluşunuzun giden İnternet trafiğini kontrol etmek için bir proxy sunucusu varsa, İnternet'e erişim ve açık bir proxy sunucusunun varlığı için gerekli olan proxy sunucusunun adını, türünü ve TCP bağlantı noktasını belirtmeniz gerekir. Açık proxy sunucusunun görüntüsünü de kapatabilirsiniz. Ek div listelerinin seçimi için. |
koçanın üzerinde
Dozvil isimleri
Dozvil isimleri
Dozvіl DNS saldırgan geçiş postası є herhangi bir Exchange kuruluşundan posta işlemenin temel depo akışı. Gelen postanın kaldırılmasına veya harici, sorumlu annelerin teslimine izin veren Exchange sunucuları, postanın doğru yönlendirilmesi için düğümlerin hem dahili hem de çağrı adlarına izin verme yeteneği. Tüm dahili Exchange sunucuları, uygun posta yönlendirmesi için dahili düğüm adlarına izin verme yeteneğine sahiptir. Іsnuє kişisel olmayan Farklı yollar rozrobki, DNS'nin altyapısını oluşturur ve önemli bir sonuç - tüm Exchange sunucularında saldırgan geçiş için doğru razdіlіі zdatnostіn zdatnostіn ensuring sağlanması.
Exchange Sunucusu ve Güvenlik DuvarıPosta sunucuları (Exchange Sunucusu), posta sunucularının bağlantı noktaları, ön uç ve arka uç posta sunucuları, sanal sunucular SMTP, POP3, IMAP4 için güvenlik duvarları
İnternete bağlanan bir bilgisayar gibi, posta sunucusunun bir güvenlik duvarı arkasında korunması gereken bir bilgisayar. Bu posta sunucusunu kurma seçeneğiyle, merezhі yapılandırmasının bakış açıları farklı olabilir:
· En basit seçenek, bir anda bir proxy sunucusu / güvenlik duvarı haline gelen bir bilgisayara bir posta sunucusu kurmak ve ardından gerekli bağlantı noktalarını açmak için İnternet'e bağlanan bu arayüze kurmaktır. Küçük kuruluşlarda böyle bir şema zastosovuetsya Ses;
Başka bir seçenek de posta sunucusunu yerel hatlar bu nalashtuvati yogo bir proxy sunucusu aracılığıyla robota. Bunun için genel ip mail sunucusuna bağlanıp proxy üzerinden geçirebilir veya proxy sunucu üzerindeki port mapping tipini kullanabilirsiniz. Zengin proxy sunucularında, özel maisterler vardır veya dahası, böyle bir çözümün düzenlenmesi için kurallar hazırlanmıştır (örneğin, ISA Server). Bu seçenek çoğu kuruluş arasında başarılıdır.
Bir diğer önemli olasılık, bir DMZ oluşturmak ve bunun içine bir ön uç Exchange Sunucusu (bu olasılık sürüm 2000'den beri ortaya çıkmıştır) veya başka bir Exchange Sunucusuna dayalı SMTP Geçişi veya örneğin *nix'te sendmail yerleştirmektir. Büyük organizasyonların sınırlarında ses zastosovuєtsya.
Bir posta sunucusu için, iletişimin en az TCP 25 (SMTP) ve UDP 53 (DNS) bağlantı noktasında olduğundan emin olmak gerekir. Ağ yapılandırmanıza bağlı olarak Exchange Server'a ihtiyaç duyabileceğiniz diğer bağlantı noktaları (tümü - TCP):
80 HTTP - Web arayüzüne (OWA) erişim için
· 88 Kerberos kimlik doğrulama protokolü - Kerberos kimlik doğrulaması genellikle kazanılır (nadiren);
· TCP /IP üzerinden 102 MTA .X .400 bağlayıcı
· 110 Postane Protokolü 3 (POP 3) – istemci erişimi için;
· 119 Ağ Haber Aktarım Protokolü (NNTP) - bir grup haber bu şekilde toplanır;
· 135 İstemci/sunucu iletişimi RPC Exchange yönetimi - standart Sistem Yöneticisi yöntemleri kullanılarak Exchange'in uzaktan yönetimi için standart RPC bağlantı noktası;
· 143 İnternet Mesaj Erişim Protokolü (IMAP) - istemci erişimi için;
· 389 LDAP - rehber hizmetine geçiş için;
· 443 HTTP (Güvenli Yuva Katmanı (SSL)) (aşağıda i) - bunlar, SSL tarafından korunan protokollerin kendileridir.
563 NNTP (SSL)
636 LDAP (SSL)
993 IMAP4 (SSL)
995 POP3 (SSL)
· 3268 ve 3269 - sunucuyu genel katalog için sorgulayın (evrensel gruplardaki üyeliği kontrol eden bir Active Directory araması).
Exchange Server arayüzü, kuruluş içinde, güvenlik duvarını kapatmanın bir anlamı yok - yenisine göre, etki alanı denetleyicileri, yönetim yardımcı programları, sistemler ile etkileşime girmek gerekiyor destek olmak vb. Internet'e bağlı bir arabirim için, 53 numaralı bağlantı noktasının devre dışı bırakılması önerilir (böylece Exchange, istekleri yeniden yönlendirmek yerine ana bilgisayar adlarının kendisine izin verir). Yerel sunucu DNS) ve 25. Çoğu zaman, müşterilerin aramalar için (evden, daha sonra şarj olduğu saatte) e-posta ekranlarına başvurmaları gerekir. En iyi çözüm bu durumda - SSL ile çalışmak için OWA ayarları (kilidin arkasına kurulan Exchange Sunucusuna erişim için web arayüzü, http://im'ya_server/exchange adresinde bulunur) ve yalnızca 443 numaralı bağlantı noktasında erişime izin verir. güvenli kimlik doğrulama ve şifreleme desteği, SMTP Relay için güç kaynağı otomatik olarak devre dışı bırakılır (muhtemelen durum böyledir) ve bu durum, coristuvach istemeden çalışmaya müdahale ederse e-posta posta istemcisinin klasörlerini ev bilgisayarında ve ardından robotta, bilgileri bilemeyiz (postayı evde kaydedenlerle ilgili görünmüyor - güvenlik bozuldu).
Yeni fırsat Yaka, Exchange Sunucusunda göründü. 2000 sürümünden başlayarak, farklı güvenlik ayarlarına sahip bir dizi sanal SMTP ve POP3 sunucusunu değiştirme imkanı. Örneğin, İnternet ile etkileşime giren SMTP sunucusu, güvenlik modunu ve sıkı teslimat güvenliğini hareket ettirecek ve SMTP sunucusu için, organizasyonun ortasındaki corystuvach yardımıyla, aşağıdakileri başarmak için ayarlanabilir. tırmık için en üretken ve verimli.
Terminolojideki iftira niteliğindeki dolandırıcılık için de aynı şeyi söylemek gerekir - buna genellikle aşağıda incelenecekleri gibi filtreleme desteği sistemleri için Exchange için güvenlik duvarları denir.
Ne yapalım: Exchange Sunucusu 2010 SP1
Değişikliğin geri kalanı bölündü: 2011-04-22
Her dağıtım için, Microsoft Exchange Server 2010'da şifrelenen verilere giden tüm yollar için taşıma, kimlik doğrulama ve şifreleme hakkında bilgiler vardır.
Taşıma sunucuları
Exchange 2010'un temel aktarım işlevleri olarak hizmet eden iki sunucu rolü vardır: Hub Transport sunucusu ve Frontier Transport sunucusu.
Sonraki tablo, taşıma sunucuları ve diğer sunucular ve Exchange 2010 hizmetleri arasında taşıma, kimlik doğrulama ve bunlara giden şifreleme yolları hakkında bilgi içerir.
Taşıma sunucuları için veri yolları
| Danih Yolu | gerekli bağlantı noktaları | Şifreleme desteği | |||
|---|---|---|---|---|---|
|
İki Hub Transport sunucusu arasında |
Yani, yardım için TLS (Taşıma Katmanı Güvenliği) |
||||
|
Bir Hub Aktarım sunucusundan bir sınır aktarım sunucusuna |
doğrudan dovira |
doğrudan dovira |
Yani, TLS zaferleriyle |
||
|
3 kordon aktarım sunucusundan hub aktarım sunucusuna |
doğrudan dovira |
doğrudan dovira |
Yani, TLS zaferleriyle |
||
|
İki kordon taşıma sunucusu arasında |
Anonim olarak, ek bir sertifika için kimlik doğrulama |
Ek sertifika için anonim olarak |
Yani, TLS zaferleriyle |
||
|
Microsoft Exchange posta hizmeti aracılığıyla ekran görüntüsü gönderme sunucusundan |
NTLM. Hub Transport sunucu rolü gibi, bu posta ekranı sunucu rolü de Kerberos protokolünü çalıştıran sunucuda çalışır. |
Yani, RPC şifrelemesinin yardımı için |
|||
|
MAPI aracılığıyla bir Hub Transport sunucusundan bir posta ekranı sunucusuna |
NTLM. Hub Transport sunucu rolü gibi, posta ekranı sunucu rolü de aynı sunucuya kurulur ve Kerberos protokolü desteklenir. |
Yani, RPC şifrelemesinin yardımı için |
|||
|
Yani, TLS zaferleriyle |
|||||
|
Hub Aktarım Sunucusundan Ön Uç Aktarım Sunucusuna Microsoft Exchange EdgeSync Hizmeti |
Bu nedenle, yardım için SSL üzerinden LDAP (LDAPS) |
||||
|
Bir Hub Transport sunucusundan Active Directory'ye erişme |
|||||
|
Bir Hub Transport sunucusundan Çekirdek Hizmetine Active Directory Dizin Hizmeti (AD RMS) haklarıyla erişme |
Yani, SSL yardımı için |
||||
|
Bir Hub Transport sunucusuna SMTP istemcileri (örneğin, Windows Live yardımı için uç noktalar) |
Yani, TLS zaferleriyle |
Aktarım sunucuları için notlar
- Hub Transport sunucuları arasındaki tüm trafik, TLS protokolü ve Exchange 2010 kurulum programı tarafından yüklenen kendinden imzalı sertifikalar kullanılarak şifrelenir.
- Kordon taşıma sunucuları ile hub taşıma sunucuları arasındaki tüm trafiğin kimliği doğrulanır ve şifrelenir. Kimlik doğrulama ve şifreleme için bir mekanizma olarak Mutual TLS kullanılır. Doğrulanmış sertifikaların kimlik doğrulaması için Exchange 2010 X.509 mutabakatı doğrudan dovira. Doğrudan doğrulama, Active Directory Hizmetlerinde veya Active Directory Basit Dizin Hizmetlerinde (AD LDS) sertifikanın bulunmasının sertifikanın geçerliliğini onayladığı anlamına gelir. Active Directory dizin hizmeti, güvenilir bir tasarruf mekanizması tarafından saygı görür. Doğrudan bir anlaşmayı kazanırsanız, bir sertifika veya sertifika merkezi tarafından imzalanmış bir sertifikanın verilmesi önemli değildir. Bir kordon aktarım sunucusu bir Exchange kuruluşuna abone olduğunda, kordon aktarım sunucusunun aboneliği, kordon aktarım sunucusunun sertifikasını, hub aktarım sunucularının yorumlayabilmesi için Active Directory dizin hizmetlerine yayınlar. Microsoft Exchange EdgeSync hizmeti, Hub Transport sunucusu sertifikalarını çevirerek, sınır aktarım sunucusunun bunları doğrulayabilmesi için Active Directory Kolay Dizin Erişim Hizmetleri'ni (AD LDS) genişletir.
- EdgeSync, LDAP Hub Transport sunucusunu 50636 numaralı TCP bağlantı noktası üzerinden sınır aktarım sunucularının imzasına güvenli bir şekilde bağlar. Active Directory Kolay Dizin Erişimi ayrıca 50389 numaralı TCP bağlantı noktasını dinler. Bu bağlantı noktasına bağlantı SSL etkin değildir. Bağlantı noktasına bağlanmak ve dizinlere daha kolay erişim için bu Active Directory hizmetlerini yeniden kontrol etmek için LDAP hizmetlerini seçebilirsiniz.
- Zamovchuvannyam için, iki farklı kuruluştaki kordon taşıma sunucuları, roztashovaniy arasındaki trafik şifrelenir. Exchange 2010 kurulum programı, kendinden imzalı bir sertifika oluşturur ve TLS'yi kilitler. Bu, herhangi bir kontrol sisteminin Exchange'de oturum açan bir SMTP oturumunu şifrelemesine izin verir. Yükseltme amacıyla, Exchange 2010 sunucusu, tüm uzak bağlantılar için TLS protokolünü kazanmaya zorlanır.
- Hub aktarım sunucusu ve posta ekranı sunucularının rolleri tek bir bilgisayara yüklendiğinden, hub aktarım sunucuları ile posta ekranı sunucuları arasındaki trafik için kimlik doğrulama yöntemleri güncellenir. Yerel olarak gönderirken, Kerberos kimlik doğrulaması geçersiz kılınır. Uzaktan iletim saatinde, NTLM kimlik doğrulaması geçersiz kılınır.
- Exchange 2010 ayrıca etki alanı güvenliğini de destekler. Etki alanı güvenliği - Exchange 2010 ve Microsoft Outlook 2010'un fiyatı, İnternet üzerinden güvenli güvenlik için S/MIME ve diğer çözümlere düşük maliyetli bir alternatif olarak işlev görür. Bir etki alanı için güvenlik, İnternet'teki etki alanları arasındaki desteğin gücü üzerinden güvenli yolları yönetmenin güvenli bir yoludur. Bu tür güvenli yolların oluşturulmasından sonra, bunlar üzerinden yöneticiye başarıyla bildirimler gönderildi, kimlik doğrulamanın geçildi, Outlook ve Outlook Web Access corystuvac'ları için "eşit etki alanında koruma" bildirimi olarak görünüyorlar. Shchob otrimati dodatkovі vіdomosti, div. Alanın güvenliği hakkında Zagalni vіdomosti.
- Hem Hub Transport sunucularında hem de sınır Transport sunucularında birçok aracı bulunabilir. Kural olarak, nebazhany postasındaki ajanlar zahistu yerel bilgisayar hangi kokuya yemin ederler. Bu sıralamada, etkileşime girmek pratik olarak gerekli değildir. uzak bilgisayarlar. Vinyatkom є oberzhuvachіv filtreleme. Özellik filtreleme için AD LDS veya Active Directory'ye tıklamanız gerekir. Siparişlerin filtrelenmesinin kordon taşıma sunucusunda yapılması önerilir. Her kişi için, AD LDS dizini, kordon aktarım sunucusu rolünün kurulu olduğu aynı bilgisayarda bulunur. uzak bağlantı boş ver. İçerik filtreleme özelliği Hub Transport sunucusuna yüklenip yapılandırıldıktan sonra, Active Directory dizin hizmetine erişim gerekir.
- Protokol analizi aracısı, Exchange 2010 proxy itibarı işlevini kazanır.Bu aracı, şüpheli bağlantılar için gelen bildirimlerin yolunu belirlemek için çeşitli harici proxy sunucularına da bağlanır.
- Diğer işlevler, toplanan, kaydedilen ve yalnızca yerel bilgisayarda bulunan ekstra verilerden korunur. Yukarıdaki yetkililerin bir listesi olarak bu tür verileri veya riayetleri filtrelemek için itaat verilerini arayın. yerel dizin Microsoft Exchange EdgeSync hizmetinin yardımı için AD LDS.
- Hub Transport sunucularındaki Veri Hakları Yönetimi (IRM) aracıları, kuruluştaki Active Directory Rights Management Services (AD RMS) sunucularına yapılan bağlantıları hackler. Active Directory Yetkilendirme Hizmeti (AD RMS), SSL yardımıyla güvenliğinin sağlanması önerilen bir web hizmetidir. Keruvannya hizmetlerinin sunucularına Active Directory haklarıyla bağlantı HTTPS tarafından kontrol edilir ve kimlik doğrulama için Kerberos veya NTLM, Keruvannya hizmetlerinin sunucusunun konfigürasyonunda Active Directory haklarıyla bağımsız olarak kullanılır.
- Günlüğe kaydetme kuralları, aktarım kuralları ve sınıflandırmalar, Active Directory hizmetlerinden kaydedilir ve Hub Aktarım sunucularındaki Günlük Aracısı ve Aktarım Kuralları Aracısı tarafından erişilir.
Sunucular ve posta ekran görüntüleri
NTLM veya Kerberos kimlik doğrulaması kullanan posta ekran görüntülerinin sunucularında, Exchange iş mantığına eşit bir tür pratsyuє spozhivach çerçevesinde coristuvacha veya süreç bağlamında bulunur. Böyle bir bağlamda, ister bir program ister bir süreç olsun, muzaffer bir değişim iş mantığı gibi. Sonuç olarak sütunda Kilitler için orijinallik doğrulaması tablolar Posta ekran görüntülerinin sunucuları için veri yolları bagatioh satırları için değer belirtilir NTLM/Kerberos.
Exchange iş mantığı kuralları, Exchange koleksiyonuna erişmek ve onunla etkileşim kurmak için kullanılır. Exchange iş mantığı, mevcut programlar ve süreçlerle arayüz oluşturmak için Exchange bağlantıları olarak da adlandırılır.
Exchange'in iş mantığının ne kadar sorunsuz olduğu bağlama bağlıdır yerel sistem, spozhivacha'ya Exchange klasörüne erişirken kimlik doğrulama yöntemi her zaman Kerberos'tur. Kerberos Kimlik Doğrulama Yöntemi Vykorivayutsya bunlar aracılığıyla, scho kontrol yetkisinin vikoristannyam ile çaprazlanması gerekir oblіkovogo kaydı bilgisayar "Yerel Sistem" yanı sıra iki yönlü kimlik doğrulaması gereklidir.
Exchange iş mantığının sahibi yerel sistem bağlamında dikkate alınmadığından, kimlik doğrulama NTLM'dir. Örneğin, yönetici Exchange iş mantığını bozan Exchange komut ve kontrol cmdlet'ini çalıştırırsa, NTLM kimlik doğrulaması tetiklenir.
RPC trafiği şifrelenmelidir.
Bir sonraki tabloda, posta ekranı sunucuları için veri yollarının taşınması, kimlik doğrulaması ve şifrelenmesi hakkında bilgiler eklendi.
Posta ekranı sunucuları için veri yolları
Danimarka yolu gerekli bağlantı noktaları Kilitler için orijinallik doğrulaması Destekleyen kimlik doğrulama yöntemi Şifreleme desteği Kilitleme için verilerin şifrelenmesi 389/TCP/UDP (LDAP) 3268/TCP (LDAP GC) 88/TCP/UDP (Kerberos) 53/TCP/UDP (DNS)
Yani, Kerberos şifrelemesinin yardımı için
Yönetim uzaktan erişim(silinmiş kayıt)
Yani, yardım için IPsec
Uzaktan yönetim erişimi (SMB, dosyalar)
Yani, yardım için IPsec
Erişilebilirlik web hizmeti (posta ekranına istemci erişimi)
Yani, RPC şifrelemesinin yardımı için
kümeleme
Yani, RPC şifrelemesinin yardımı için
İstemci erişimi için sunucular arasında (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, ek bir sertifika için kimlik doğrulama
Yani, HTTPS'nin yardımı için
Yani, kendi kendine şarkı söyleyen sertifikanın seslendirmeleriyle
İstemci erişim sunucuları arasında (Outlook Web Erişimi)
80/TCP, 443/TCP (HTTPS)
Yani, SSL yardımı için
İstemci Erişim Sunucusu ile İstemci Erişim Sunucusu (Exchange Web Hizmetleri)
Yani, SSL yardımı için
İstemci Erişim Sunucusu ile İstemci Erişim Sunucusu (POP3)
Yani, SSL yardımı için
İstemci Erişim Sunucusu'ndan İstemci Erişim Sunucusuna (IMAP4)
Yani, SSL yardımı için
Office Communications Server'dan Client Access Server'a (Office Communications Server ve Outlook Web App entegrasyonu etkinse)
5075-5077/TCP (VHID), 5061/TCP (VHID)
mTLS (önceden yazılmış)
mTLS (önceden yazılmış)
Yani, SSL yardımı için
İstemci erişimi için sunucular için notlar
Bildirim alışverişi için sunucular ve tek bir sistem
IP protokolünün arkasında çalışan IP ağ geçitleri ve UVBX, yalnızca ek bir sertifika için kimlik doğrulamayı destekler, bu durumda SIP trafiğinin şifrelenmesi için Karşılıklı TLS kimlik doğrulaması ve bağlantı için IP adresi tabanlı kimlik doğrulama SIP protokolleri veya TCP'yi seçin. IP ağ geçitleri, NTLM ve Kerberos kimlik doğrulamasını desteklemez. Bu nedenle, IP adresine dayalı kimlik doğrulama geçersiz kılındığında, bağlantının IP adresleri, şifrelenmemiş bağlantılar için kimlik doğrulama mekanizmasının (TCP) bir parçası olarak geçersiz kılınır. Tek sistemde bir değişiklik olması durumunda, IP adresine bağlanmasına izin verilip verilmediğini görmek için IP adresine dayalı kimlik doğrulama alışverişi kontrol edilir. IP adresleri, IP ağ geçitlerinde veya IP PBX'lerde yapılandırılır.
IP protokolünü izleyen IP ağ geçitleri ve PBX'ler, SIP trafiğini şifrelemek için Karşılıklı TLS'yi destekler. Gerekli güvenilir sertifikaların IP ağ geçidine veya IP protokolünü kullanan PBX'e başarılı bir şekilde içe ve dışa aktarılmasından sonra, sertifikayı birleştirilmiş bildirim değişim sisteminin sunucusundan isteyin ve ardından sertifikayı IP ağ geçidinden veya PBX'ten isteyin. , hangi protokolü kullanır. IP protokolünün arkasında çalışan IP ağ geçidi veya UVATS ile tek değişim sisteminin sunucusu arasındaki güvenilir sertifikaların değişimi, her iki cihazın da Karşılıklı TLS yardımı için güvenli bir kanalla etkileşime girmesine izin verir.
Bir sonraki tabloda, diğer sunucularla bilgi alışverişi için tek bir sistemin sunucuları arasındaki veri yolları için bağlantı noktaları, kimlik doğrulama ve şifreleme hakkında bilgiler eklendi.
Bildirim alışverişi için tek bir sistemdeki sunucular için veri yolları
Danimarka yolu gerekli bağlantı noktaları Kilitler için orijinallik doğrulaması Destekleyen kimlik doğrulama yöntemi Şifreleme desteği Kilitleme için verilerin şifrelenmesi Active Directory dizin hizmetine erişim
389/TCP/UDP (LDAP) 3268/TCP (LDAP GC) 88/TCP/UDP (Kerberos) 53/TCP/UDP (DNS)
Yani, Kerberos şifrelemesinin yardımı için
Tek bir bildirim değişim sisteminin telefon bağlantısı (IP PBX/VoIP ağ geçidi)
5060/TCP , 5065/TCP, 5067/TCP (korumasız mod), 5061/TCP, 5066/TCP, 5068/TCP (güvenli mod), dinamik bağlantı noktası 16000-17000/TCP (güvenli) aralığında 1024-65535/ UDP (RTP)
IP adresine göre
IP adresine göre, MTLS
Yani, yardım için SIP / TLS, SRTP
Birleşik bildirim değişim sisteminin web hizmeti
80/TCP, 443/TCP (SSL)
Tümleşik Windows kimlik doğrulaması (Anlaşma)
Yani, SSL yardımı için
İstemci erişimi için sunucuya bildirim alışverişi için tek sistemin sunucusundan
5075, 5076, 5077 (TCP)
Windows Kimlik Doğrulaması Etkin (Kullanılmış)
Zvichina, Özgünlük Özeti, NTLM, Zevk (Kerberos)
Yani, SSL yardımı için
İstemci erişim sunucusuna bildirim alışverişi için tek sistem sunucusundan (telefonda yetkilendirme)
Dinamik RPC
Yani, RPC şifrelemesinin yardımı için
Tek sistem sunucusundan ve hub aktarım sunucusuna bildirim alışverişi
Yani, TLS zaferleriyle
Posta ekran görüntüleri sunucusuna bildirim alışverişi için tek sistemin sunucusundan
Yani, RPC şifrelemesinin yardımı için
Bildirim alışverişi için tek bir sistemdeki sunucular için notlar
- Tek Sistem IP Ağ Geçidi için bir nesne oluşturduğunuzda, fiziksel IP ağ geçidinin veya IP protokolü arkasında çalışan PBX'in IP adresini Birleşik Sistem IP Ağ Geçidine atamanız gerekir. Nesnenin IP adresi, birleşik değişim sisteminin IP ağ geçidine atandığında, IP adresleri, izin verilen IP ağ geçitleri listesine veya IP protokolüne (SIP katılımcıları olarak da bilinir) dayalı PBX'e eklenir. oturum), birleşik değişim sisteminin sunucusunu değiştirmesine izin verilir. Tek sistem IP ağ geçidi, bildirim alışverişi yapmak üzere ayarlandığında, sistemin abone grubuna bağlanabilir. Abone grubuyla bildirim alışverişinde bulunmak üzere Tek Sistem IP Ağ Geçidinin ayarlanması, Tek Sistem sunucularının, IP ağ geçidi ile etkileşim için IP adresine dayalı kimlik doğrulaması kazanmak için abone grubuyla oluşturulan bildirimleri değiş tokuş etmesine olanak tanır. Tek Sistem IP Ağ Geçidi ve Exchange Bildirimleri doğru IP adresini oluşturmazsa veya ulaşamazsa, kimlik doğrulama başarısız olur ve Tekdüzen Exchange Sunucuları bu ağ geçidinin IP adresine yapılan bağlantıları kabul etmez. Ayrıca Mutual TLS, IP ağ geçidi veya IP protokolünü kullanan bir PBX uygulanırken, tekli değişim sistemindeki o sunucu tekli değişim sisteminin IP ağ geçidi tarafından desteklenir, alternatif alan adının (FQDN) ayarlanması gerekir. ). Alternatif alan adı hakkında bilgi alışverişi yapmak için Tek Sistem IP Ağ Geçidi kurduktan sonra, Doğrudan DNS arama bölgesine bu ağ geçidi için bir ana bilgisayar kaydı eklemek de gereklidir.
- Exchange 2010 ile, Tek Exchange Sunucusu, 5060/TCP (kaçırma olmayan) veya 5061/TCP (kaçırma) bağlantı noktası aracılığıyla değiştirilebilir ve her iki bağlantı noktası arasında geçiş yapacak şekilde yapılandırılabilir.
Shchob otrimati dodatkovі vіdomosti, div. Tek bir bilgi alışverişi sisteminde VoIP'nin güvenliği hakkında genel bilgiler ve tek bir bilgi alışverişi sisteminde protokoller, bozulma ve servis hakkında genel bilgiler.
tüzük Windows Güvenlik Duvarı Exchange 2010 kurulum programı tarafından oluşturuldu
Gelişmiş Güvenlik Modunda Windows Güvenlik Duvarı - Güvenlik duvarı kurallarına göre gelen ve giden trafiği filtreleyen bilgisayar tabanlı bir güvenlik duvarı olacağım. Exchange 2010 yükleyicisi, dış görünüm sunucusu rolündeki sunucu ve istemci etkileşimleri için gereken bağlantı noktalarına izin vermek için Windows Güvenlik Duvarı kuralları oluşturur. Bu sıralamada, bu parametreleri ayarlamak için güvenlik ayarlama ustasında ustalaşmak gerekli değildir. Gelişmiş güvenlik modundaki Windows güvenlik duvarı hakkında ekler div. IPsec'in gelişmiş güvenlik modundaki Windows Güvenlik Duvarı makalesinde (sayfa İngilizce olabilir).
Aşağıdaki tablo, sunucunun dış görünüm rolüne girilen bağlantı noktaları dahil olmak üzere Exchange kurulum programı tarafından oluşturulan Windows Güvenlik Duvarı kurallarını listeler. Bu kurallar, gelişmiş güvenlik modunda Windows güvenlik duvarının MMC konsolunun ek donanımı için gözden geçirilebilir.
ben kurallarım Sunucu Rolleri Liman programı MSExchangeADTopology - RPC (gelen TCP)
Dinamik RPC
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (gelen TCP)
İstemci erişim sunucusu, hub aktarım sunucusu, kordon aktarım sunucusu, birleşik bildirim değişim sistemi sunucusu
Dinamik RPC
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (gelen TCP)
Dinamik RPC
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (gelen TCP)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (gelen TCP)
MSExchangeRPC (GFW) (gelen TCP)
İstemci Erişim Sunucusu, Hub Aktarım Sunucusu, Posta Ekranı Sunucusu, Birleşik Bilgi Değişim Sistemi Sunucusu
Dinamik RPC
MSExchange - IMAP4 (GFW) (gelen TCP)
İstemci erişim sunucusu
MSExchangeIMAP4 (gelen TCP)
İstemci erişim sunucusu
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (gelen TCP)
İstemci erişim sunucusu
MSExchange - POP3 (gelen TCP)
İstemci erişim sunucusu
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (gelen TCP)
İstemci erişim sunucusu
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (gelen TCP)
İstemci erişim sunucusu
5075, 5076, 5077 (TCP)
inetsrv\w3wp.exe
MSExchangeAB RPC (gelen TCP)
İstemci erişim sunucusu
Dinamik RPC
MSExchangeAB-RPCEPMap (gelen TCP)
İstemci erişim sunucusu
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (gelen TCP)
İstemci erişim sunucusu
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP girişi)
İstemci erişim sunucusu
Dinamik RPC
System32\Svchost.exe
MSExchangeRPC - RPC (TCP girişi)
Dinamik RPC
MSExchangeRPC - PRCEPMap (gelen TCP)
İstemci erişim sunucusu, posta ekranı sunucusu
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (gelen TCP)
İstemci erişim sunucusu, posta ekranı sunucusu
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (gelen TCP)
İstemci erişim sunucusu
MSExchangeMailboxReplication (gelen TCP)
İstemci erişim sunucusu
Bin\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
MSExchangeIS RPCEPMap (gelen TCP)
Posta ekran görüntüsü sunucusu
MSExchangeIS (GFW) (gelen TCP)
Posta ekran görüntüsü sunucusu
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (gelen TCP)
Posta ekran görüntüsü sunucusu
MSExchangeMailboxAssistants - RPC (gelen TCP)
Posta ekran görüntüsü sunucusu
Dinamik RPC
MSExchangeMailboxAssistants - RPCEPMap (gelen TCP)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
MSExchangeMailSubmission - RPCEPMap (gelen TCP)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP girişi)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeMigration.exe
MSExchangerepl - Günlük Kopyalayıcı (gelen TCP)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-Girdi)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP Girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (gelen TCP)
Posta ekran görüntüsü sunucusu
Dinamik RPC
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (gelen TCP)
Posta ekran görüntüsü sunucusu
Bin\MSExchangeThrottling.exe
MSFTED - RPC (TCP girişi)
Posta ekran görüntüsü sunucusu
Dinamik RPC
MSFTED - RPCEPMap (TCP girişi)
Posta ekran görüntüsü sunucusu
MSExchangeEdgeSync - RPC (gelen TCP)
Hub Aktarım Sunucusu
Dinamik RPC
MSExchangeEdgeSync RPCEPMap (gelen TCP)
Hub Aktarım Sunucusu
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP girişi)
Hub Aktarım Sunucusu
Dinamik RPC
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (gelen TCP)
Hub Aktarım Sunucusu
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (gelen TCP)
Hub Aktarım Sunucusu
MSExchangeTransportWorker (gelen TCP)
Hub Aktarım Sunucusu
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (gelen TCP)
Dinamik RPC
MSExchangeTransportLogSearch - RPCEPMap (gelen TCP)
Hub aktarım sunucusu, kordon aktarım sunucusu, posta ekranı sunucusu
Bin\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (gelen TCP)
Bildirim alışverişi için tek bir sistemin sunucusu
SESWorker (gelen TCP)
Bildirim alışverişi için tek bir sistemin sunucusu
UnifiedMessaging\SESWorker.exe
UMService (GFW) (gelen TCP)
Bildirim alışverişi için tek bir sistemin sunucusu
UMService (gelen TCP)
Bildirim alışverişi için tek bir sistemin sunucusu
Bin\UMService.exe
UMWorkerProcess (GFW) (gelen TCP)
Bildirim alışverişi için tek bir sistemin sunucusu
5065, 5066, 5067, 5068
UMWorkerProcess (TCP girişi)
Bildirim alışverişi için tek bir sistemin sunucusu
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP girişi)
Bildirim alışverişi için tek bir sistemin sunucusu
Dinamik RPC
Bin\UMWorkerProcess.exe
Exchange 2010 Installer Tarafından Oluşturulan Windows Güvenlik Duvarı Kurallarına İlişkin Notlar
- Windows IIS tarafından yüklenen sunucularda, HTTP bağlantı noktalarını (bağlantı noktası 80, TCP) ve HTTPS'yi (bağlantı noktası 443, TCP) açın. Exchange 2010 yükleyici bağlantı noktasını açmıyor. Ayrıca, ön tabloda q porti belirtilmemiştir.
- Windows Server 2008 ve Windows Server 2008 R2'de, Gelişmiş Güvenlik Modundaki Windows Güvenlik Duvarı, hangi bağlantı noktasının açılacağını belirtmenize olanak tanır. Tse bezpechnіshe, oskіlki limanı, yalnızca kurallarda belirtilen süreç veya hizmet tarafından vikoristovuvatisya olabilir. Exchange Kurulumu için güvenlik duvarı kuralları oluşturur hadi onlara gösterelim işlem. Bazı durumlarda, özetlemek için, bir süreçle çevrelenmemiş ek bir kural da oluşturulur. Kuralları, süreçlerle çevrili olmayan, ancak eski kuralları, süreçlerle çevrili, aslında gırtlak desteğinin ortasında kurtarmak mümkündür. Süreçlerle değiştirilmeyen kurallara kelimelerle meydan okunabilir. (GFW) kural adına.
- Pek çok Exchange hizmeti, birlikte çalışabilirlik ve uzak bağlantı prosedürleri (RPC) için hack'lenir. Uzak prosedür döngülerini kazanan sunucu süreçleri, dinamik uç noktaları kaldırmak ve bunları uç noktalar işleyici veritabanına kaydetmek için RPC uç noktaları işleyicisine bağlanır. RPC istemcileri, sunucu işlemi tarafından eşleşen uç noktaları belirlemek için RPC bitiş noktası işleyicisi ile etkileşime girer. Yükseltme için, RPC bitiş noktası dinleyicisi 135 numaralı bağlantı noktasını (TCP) dinler. Windows Güvenlik Duvarı, uzaktan yordam bağlantıları kazanan bir işlem için etkinleştirildiğinde, Exchange 2010 yükleyicisi bu işlem için iki güvenlik duvarı kuralı oluşturur. Bir kural, yardımcı ile RPC uç noktalarının etkileşimine izin verirken, diğeri dinamik olarak tanınan bir uç nokta ile etkileşime izin verir. Otrimannya dodatkovyh vіdomosti için prosedürlerin vіddalenі bağlantıları hakkında div. Dinamik uzaktan çevrim prosedürleri için Windows güvenlik duvarı kurallarının oluşturulmasıyla ilgili ek bilgileri gözden geçirmek için, div.
Dodatkovі vidomostі div. makale 179442 temel Microsoft bilgisi
