Outlook какие порты использует
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей к данным между этими транспортными серверами и другими серверами и службами Exchange 2010.
Пути данных для транспортных серверов
Между двумя транспортными серверами-концентраторами
Да, с помощью TLS (Transport Layer Security)
С транспортного сервера-концентратора на пограничный транспортный сервер
Да, с использованием TLS
С пограничного транспортного сервера на транспортный сервер-концентратор
Да, с использованием TLS
Между двумя пограничными транспортными серверами
Анонимно, проверка подлинности с помощью сертификата
Анонимно, с помощью сертификата
Да, с использованием TLS
С сервера почтовых ящиков на транспортный сервер-концентратор через службу отправки почты Microsoft Exchange
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos.
Да, с помощью шифрования RPC
С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков установлены на одном сервере, используется протокол Kerberos.
Да, с помощью шифрования RPC
Да, с использованием TLS
Служба Microsoft Exchange EdgeSync с транспортного сервера-концентратора на пограничный транспортный сервер
Да, с помощью LDAP через SSL (LDAPS)
Доступ Служба каталогов Active Directory из транспортного сервера-концентратора
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
Доступ к службе управления правами Служба каталогов Active Directory (AD RMS) с транспортного сервера-концентратора
Да, с помощью SSL
Клиенты SMTP на транспортный сервер-концентратор (например, конечные пользователи с помощью почты Windows Live)
Да, с использованием TLS
Примечания для транспортных серверов
- Весь трафик между транспортными серверами-концентраторами шифруется с помощью протокола TLS и самозаверяющих сертификатов, установленных программой установки Exchange 2010.
На серверах почтовых ящиков использование проверки подлинности NTLM или Kerberos зависит от контекста пользователя или процесса, в рамках которого работает потребитель уровня бизнес-логики Exchange. В таком контексте потребителями являются любые приложения или процессы, использующие уровень бизнес-логики Exchange. В результате в столбце Проверка подлинности по умолчанию таблицы Пути к данным для серверов почтовых ящиков для многих строк указано значение NTLM/Kerberos.
Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия с внешними приложениями и процессами.
Если потребитель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе потребителя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера "Локальная система", а также требуется двустороннее доверие с проверкой подлинности.
Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется проверка подлинности NTLM.
Трафик RPC всегда шифруется.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.
Пути данных для серверов почтовых ящиков
Доступ к Служба каталогов Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
Административный удаленный доступ (удаленный реестр)
Да, с помощью IPsec
Административный удаленный доступ (SMB, файлы)
Да, с помощью IPsec
Веб-служба доступности (клиентский доступ к почтовому ящику)
Да, с помощью шифрования RPC
Да, с помощью IPsec
Да, с помощью шифрования RPC
Резервное копирование службы теневого копирования томов (VSS)
Помощники по обслуживанию почтовых ящиков
Да, с помощью шифрования RPC
Доступ для службы топологии Microsoft Exchange Active Directory
Да, с помощью шифрования RPC
Устаревший доступ для службы системного помощника Microsoft Exchange (прослушивание запросов)
Устаревший доступ службы системного помощника Microsoft Exchange к Служба каталогов Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
Устаревший доступ для службы системного помощника Microsoft Exchange (в качестве MAPI-клиента)
Да, с помощью шифрования RPC
Доступ автономной адресной книги к Служба каталогов Active Directory
Да, с помощью шифрования RPC
RPC-доступ к службе обновления получателей
Да, с помощью шифрования RPC
Обновление получателей в Служба каталогов Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
Примечания для серверов почтовых ящиков
- Путь данных при кластеризации, приведенный в предыдущей таблице, использует динамический RPC через протокол TCP для передачи сведений о состоянии и действиях кластера между различными узлами кластера. Служба кластеров (ClusSvc.exe) также использует UDP-порт 3343 и случайным образом выделенные TCP-порты с высокими номерами для взаимодействия между узлами кластера.
Если не указано иное, технологии клиентского доступа, такие как POP3 и IMAP4, описываются в контексте проверки подлинности и шифрования при подключении клиентского приложения к серверу клиентского доступа.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами клиентского доступа и другими серверами и клиентами.
Пути данных для серверов клиентского доступа
Доступ к Служба каталогов Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
80/TCP, 443/TCP (SSL)
Обычная проверка подлинности, встроенная проверка подлинности Windows (Negotiate)
Обычная, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos)
80/TCP, 443/TCP (SSL)
Доступ Outlook к автономной адресной книге
80/TCP, 443/TCP (SSL)
Outlook Web App
80/TCP, 443/TCP (SSL)
Проверка подлинности на основе форм
Обычная проверка подлинности, дайджест-проверка подлинности, проверка подлинности на основе форм, NTLM (только версии 2), Kerberos, проверка подлинности с помощью сертификата
Да, с использованием самозаверяющего сертификата
110/TCP (TLS), 995/TCP (SSL)
Да, с помощью SSL, TLS
143/TCP (TLS), 993/TCP (SSL)
Да, с помощью SSL, TLS
80/TCP, 443/TCP (SSL)
Обычная проверка подлинности или NTLM
Приложение Exchange ActiveSync
80/TCP, 443/TCP (SSL)
Обычная проверка подлинности, проверка подлинности с помощью сертификата
5060/TCP, 5061/TCP, 5062/TCP, динамический порт
Да, с помощью протокола SIP через TLS
С сервера клиентского доступа на сервер почтовых ящиков, на котором запущена предыдущая версия Exchange Server
80/TCP, 443/TCP (SSL)
Negotiate (Kerberos с резервным способом: NTLM или обычная проверка подлинности), POP/IMAP (обычный текст)
Да, с помощью IPsec
С сервера клиентского доступа на сервер почтовых ящиков Exchange 2010
Да, с помощью шифрования RPC
Между серверами клиентского доступа (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, проверка подлинности с помощью сертификата
Да, с использованием самозаверяющего сертификата
Между серверами клиентского доступа (Outlook Web Access)
Да, с помощью SSL
Сервер клиентского доступа к серверу клиентского доступа (веб-службы Exchange)
Да, с помощью SSL
Сервер клиентского доступа к серверу клиентского доступа (POP3)
Да, с помощью SSL
Сервер клиентского доступа к серверу клиентского доступа (IMAP4)
Да, с помощью SSL
Сервер Office Communications Server к серверу клиентского доступа (когда включена интеграция Office Communications Server и Outlook Web App)
5075-5077/TCP (ВХОД), 5061/TCP (ВЫХОД)
Да, с помощью SSL
Примечание. |
---|
Встроенная проверка подлинности Windows (NTLM) не поддерживается для подключения клиентов через POP3 или IMAP4. Дополнительные сведения см. в подразделах "Компоненты клиентского доступа" раздела Устаревшие возможности и сокращенная функциональность. |
Примечания для серверов клиентского доступа
- В Exchange 2010 клиенты MAPI, такие как Microsoft Outlook, подключаются к серверам клиентского доступа.
Примечание. |
---|
Хотя данная статья базы знаний относится к Exchange 2007, она также справедлива для Exchange 2010. |
Доступ к Служба каталогов Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)
Да, с помощью шифрования Kerberos
5060/TCP , 5065/TCP, 5067/TCP (в незащищенном режиме), 5061/TCP, 5066/TCP, 5068/TCP (в защищенном режиме), динамический порт из диапазона 16000-17000/TCP (управление), динамические порты UDP из диапазона 1024-65535/UDP (RTP)
По IP-адресу, MTLS
Да, с помощью SIP/TLS, SRTP
80/TCP, 443/TCP (SSL)
Интегрированная проверка подлинности Windows (Negotiate)
Обычная, дайджест-проверка подлинности, NTLM, согласование (Kerberos)
Да, с помощью SSL
5075, 5076, 5077 (TCP)
Встроенная проверка подлинности Windows (согласование)
Обычная, дайджест-проверка подлинности, NTLM, согласование (Kerberos)
Да, с помощью SSL
Да, с помощью шифрования RPC
Да, с использованием TLS
Да, с помощью шифрования RPC
Брандмауэр Windows в режиме повышенной безопасности — это брандмауэр с отслеживанием состояния на основе компьютера, который осуществляет фильтрацию входящего и исходящего трафиков на основе правил брандмауэра. Программа установки Exchange 2010 создает правила брандмауэра Windows для открытия портов, необходимых для взаимодействия сервера и клиента, в каждой роли сервера. Таким образом, больше не требуется использовать мастер настройки безопасности для настройки этих параметров. Дополнительные сведения о брандмауэре Windows в режиме повышенной безопасности см. в статье Брандмауэр Windows в режиме повышенной безопасности и IPsec (страница может быть на английском языке).
В следующей таблице приведены правила брандмауэра Windows, создаваемые программой установки Exchange, включая порты, открытые в каждой роли сервера. Эти правила можно просмотреть с помощью оснастки консоли MMC брандмауэра Windows в режиме повышенной безопасности.
MSExchangeADTopology — RPC (TCP-входящий)
MSExchangeMonitoring — RPC (TCP-входящий)
MSExchangeServiceHost — RPC (TCP-входящий)
MSExchangeServiceHost — RPCEPMap (TCP-входящий)
MSExchangeRPCEPMap (GFW) (TCP-входящий)
MSExchangeRPC (GFW) (TCP-входящий)
MSExchange — IMAP4 (GFW) (TCP-входящий)
Сервер клиентского доступа
Сервер клиентского доступа
MSExchange — POP3 (FGW) (TCP-входящий)
Сервер клиентского доступа
MSExchange — POP3 (TCP-входящий)
Сервер клиентского доступа
MSExchange — OWA (GFW) (TCP-входящий)
Сервер клиентского доступа
5075, 5076, 5077 (TCP)
Сервер клиентского доступа
5075, 5076, 5077 (TCP)
MSExchangeAB RPC (TCP-входящий)
Сервер клиентского доступа
Сервер клиентского доступа
Сервер клиентского доступа
Сервер клиентского доступа
MSExchangeRPC — RPC (TCP-входящий)
Сервер клиентского доступа, сервер почтовых ящиков
MSExchangeRPC — PRCEPMap (TCP-входящий)
Сервер клиентского доступа, сервер почтовых ящиков
Сервер клиентского доступа, сервер почтовых ящиков
MSExchangeMailboxReplication (GFW) (TCP-входящий)
Сервер клиентского доступа
Сервер клиентского доступа
MSExchangeIS — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeIS RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangeIS (GFW) (TCP-входящий)
Сервер почтовых ящиков
6001, 6002, 6003, 6004 (TCP)
Сервер почтовых ящиков
MSExchangeMailboxAssistants — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeMailboxAssistants — RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangeMailSubmission — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeMailSubmission — RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangeMigration — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeMigration — RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangerepl — Log Copier (TCP-входящий)
Сервер почтовых ящиков
MSExchangerepl — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangerepl — RPC-EPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangeSearch — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeThrottling — RPC (TCP-входящий)
Сервер почтовых ящиков
MSExchangeThrottling — RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSFTED — RPC (TCP-входящий)
Сервер почтовых ящиков
MSFTED — RPCEPMap (TCP-входящий)
Сервер почтовых ящиков
MSExchangeEdgeSync — RPC (TCP-входящий)
MSExchangeEdgeSync RPCEPMap (TCP-входящий)
MSExchangeTransportWorker — RPC (TCP-входящий)
MSExchangeTransportWorker — RPCEPMap (TCP-входящий)
MSExchangeTransportWorker (GFW) (TCP-входящий)
MSExchangeTransportLogSearch — RPC (TCP-входящий)
Транспортный сервер-концентратор, пограничный транспортный сервер, сервер почтовых ящиков
MSExchangeTransportLogSearch — RPCEPMap (TCP-входящий)
Транспортный сервер-концентратор, пограничный транспортный сервер, сервер почтовых ящиков
SESWorker (GFW) (TCP-входящий)
UMService (GFW) (TCP-входящий)
UMWorkerProcess (GFW) (TCP-входящий)
5065, 5066, 5067, 5068
5065, 5066, 5067, 5068
UMWorkerProcess — RPC (TCP-входящий)
Примечания к правилам брандмауэра Windows, созданным программой установки Exchange 2010
В этом разделе содержатся сведения о сетевых портах, используемых Microsoft Exchange Server 2013 для связи с почтовыми клиентами, почтовыми серверами Интернета и другими службами, внешними для локальной Exchange организации. Прежде чем начать, обдумайте следующие основные правила.
Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии. Если у вас есть брандмауэры или сетевые устройства, которые потенциально могут ограничивать или изменять такой сетевой трафик, необходимо настроить правила, разрешающее бесплатный и неограниченный обмен данными между этими серверами (правила, разрешающее входящий и исходящий сетевой трафик на любом порту (включая случайные порты RPC) и любой протокол, который никогда не изменяет биты по сети).
Пограничные транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что сетевой трафик между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и внутренней организацией Exchange будет ограничен. Эти сетевые порты описаны в данном разделе.
Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.
Сетевые порты, необходимые для клиентов и служб
Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.
Примечания.
Конечный компьютер этих клиентов и служб сервер клиентского доступа. Это может быть автономный сервер клиентского доступа или компьютер, на котором установлен и сервер клиентского доступа, и сервер почтовых ящиков.
Хотя на диаграмме показаны клиенты и службы из Интернета, концепции одинаковы и для внутренних клиентов (например, клиентов в лесу учетных записей, обращающихся к серверам Exchange в лесу ресурсов). Аналогично в таблице нет столбца "Источник", поскольку источником может быть любое внешнее по отношению к организации Exchange местоположение (например, Интернет или лес учетных записей).
Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.
Зашифрованные веб-подключения используются следующими клиентами и службами.
Веб-службы Exchange (EWS)
Распространение автономной адресной книги
Outlook Web App
Дополнительные сведения об этих клиентах и службах см. в следующих статьях.
Незашифрованные веб-подключения используются следующими клиентами и службами.
Публикация календаря в Интернете
Outlook Web App (перенаправление на 443/TCP)
Автообнаружение (откат, когда порт 443/TCP недоступен)
По возможности рекомендуется использовать зашифрованное веб-подключения на TCP-порте 443 для защиты учетных и других данных. Тем не менее, некоторые службы может потребоваться настроить для использования незашифрованных веб-подключений на TCP-порте 80 сервера клиентского доступа.
Дополнительные сведения об этих клиентах и службах см. в следующих статьях.
143/TCP (IMAP), 993/TCP (безопасный IMAP)
По умолчанию IMAP4 отключен. Дополнительные сведения см. в разделах POP3 и IMAP4 Exchange Server 2013.
Службе IMAP4 на подключениях прокси-сервера клиентского доступа к фоновой службе IMAP4 на сервере почтовых ящиков.
110/TCP (POP3), 995/TCP (безопасный POP3)
По умолчанию протокол POP3 отключен. Дополнительные сведения см. в разделах POP3 и IMAP4 Exchange Server 2013.
Службе POP3 на подключениях прокси-сервера клиентского доступа к фоновой службе POP3 на сервере почтовых ящиков.
Клиенты SMTP (с проверкой подлинности)
587/TCP (SMTP с проверкой подлинности)
Полученный соединитель по "умолчанию с именем client Frontend " прослушивает отправки клиентов SMTP, прошедших проверку подлинности, через порт 587 на сервере клиентского доступа.
Примечание.
Сетевые порты, необходимые для потока обработки почты
Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.
Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)
Сетевые порты, необходимые для потока обработки почты в организации Exchange, в которой есть только серверы клиентского доступа и серверы почтовых ящиков, описаны на следующей диаграмме и в таблице. Хотя на диаграмме показаны отдельные серверы почтовых ящиков и серверы клиентского доступа, применяются одинаковые концепции независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков на одном или разных компьютерах.
Сервер клиентского доступа
Соединитель получения по "<>" умолчанию с именем сервера клиентского доступа по умолчанию на сервере клиентского доступа прослушивает анонимную входящую почту SMTP через порт 25.
Сервер почтовых ящиков
По умолчанию Exchange не создает соединители отправки, которые позволяют отправлять почту в Интернет. Необходимо создать соединители отправки вручную. Дополнительные сведения см. в разделе Соединители отправки.
Исходящая почта (при маршрутизации через сервер клиентского доступа)
Сервер клиентского доступа
Исходящая почта направляется через сервер клиентского доступа только в том случае, если соединитель отправки настроен с прокси-сервером через сервер клиентского доступа в центре администрирования Exchange -FrontEndProxyEnabled $true или в командной консоли Exchange.
В этом случае соединитель "<>" получения по умолчанию с именем сервера внешнего клиентского доступа для исходящего прокси-сервера на сервере клиентского доступа ожидает передачи исходящей почты с сервера почтовых ящиков. Дополнительные сведения см. в статье "Создание соединителя отправки для электронной почты, отправляемой в Интернет".
DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке)
53/UDP, 53/TCP (DNS)
Интернет-сервер Exchange (сервер клиентского доступа или почтовый сервер)
См. раздел Разрешение имен.
Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами
Подписанный пограничный транспортный сервер, установленный в сети периметра, по сути прерывает поток почты SMTP через сервер клиентского доступа. Это означает следующее:
Исходящая почта от организации Exchange никогда не проходит через сервер клиентского доступа. Почта всегда идет с сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер (независимо от версии Exchange на пограничном транспортном сервере).
Дополнительные сведения см. в разделе Поток обработки почты.
Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице. Если не указано иное, применяемые концепции совпадают независимо от того, установлены ли сервер клиентского доступа и сервер почтовых ящиков установлены на одном или разных компьютерах.
Пограничный транспортный сервер
Соединитель получения по "<>" умолчанию с именем внутреннего соединителя получения по умолчанию на пограничном транспортном сервере прослушивает анонимную почту SMTP через порт 25.
Пограничный транспортный сервер
Серверы почтовых ящиков на подписанном сайте Active Directory
Соединитель отправки "по умолчанию с именем EdgeSync - Inbound to " передает входящую почту через порт 25 на любой сервер почтовых ящиков на подписанном сайте Active Directory. Дополнительные сведения см. в "разделе "Отправка соединителей", созданном во время процесса подписки Edge" в разделе " Подписки Edge".
Служба, которая фактически получает электронную почту, зависит от того, установлены ли сервер почтовых ящиков и сервер клиентского доступа на одном компьютере или на разных компьютерах.
Автономный сервер почтовых ящиков Соединитель получения по " " ящиков по умолчанию прослушивает входящую почту (включая почту с пограничных транспортных серверов) через порт 25.
Сервер почтовых ящиков и сервер клиентского доступа, установленные на одном компьютере Соединитель получения "по умолчанию с именем frontend " по умолчанию в службе транспорта переднего плана (роль сервера клиентского доступа) прослушивает входящую почту (включая почту с пограничных транспортных серверов Exchange 2013) через порт 25.
Исходящая почта от внутренней организации Exchange на пограничный транспортный сервера
Серверы почтовых ящиков на подписанном сайте Active Directory
Пограничные транспортные серверы
Исходящая почта всегда обходит сервер клиентского доступа.
Почта ретранслируется с любого сервера почтовых ящиков на подписанном сайте Active Directory на пограничный транспортный сервер с помощью неявного и невидимого внутриорганизационного соединителя отправки, который автоматически выполняет маршрутизацию почты между серверами Exchange в одной организации.
Соединитель получения "<>" по умолчанию с именем пограничного транспортного сервера внутреннего соединителя получения по умолчанию на пограничном транспортном сервере прослушивает почту SMTP через порт 25 с любого сервера почтовых ящиков на подписанном сайте Active Directory.
Исходящая почта с пограничного транспортного сервера в Интернет
Пограничный транспортный сервер
50636/TCP (безопасный LDAP)
Серверы почтовых ящиков на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync
Пограничные транспортные серверы
Если пограничный транспортный сервер подписан на сайт Active Directory, все серверы почтовых ящиков, которые существуют на сайте в текущий момент, участвуют в синхронизации EdgeSync. Но если добавить другие серверы почтовых ящиков позднее, они не будут автоматически участвовать в синхронизации EdgeSync.
DNS-сервер для разрешения имен следующего перехода почты (не показан на рисунке)
53/UDP, 53/TCP (DNS)
Пограничный транспортный сервер
См. раздел Разрешение имен.
Определение прокси-сервера для репутации отправителя (не показано)
Пограничные транспортные серверы
Разрешение имен
Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.
Сетевые порты, необходимые для гибридных развертываний
Сетевые порты, необходимые для организации, использующей Exchange 2013 и Microsoft 365 или Office 365, рассматриваются в разделе "Протоколы гибридного развертывания, порты и конечные точки" в предварительных требованиях гибридного развертывания.
В этом разделе приводится информация о сетевых портах, используемых Exchange Server 2016 и Exchange Server 2019 г. для связи с клиентами электронной почты, серверами интернет-почты и другими службами, внешними для локальной Exchange организации. Прежде чем начать, обдумайте следующие основные правила.
Мы не поддерживаем ограничение или изменение сетевого трафика между внутренними серверами Exchange, между внутренними серверами Exchange и внешними серверами Lync либо Skype для бизнеса или между внутренними серверами Exchange и внутренними контроллерами домена Active Directory в любых типах топологии. Если у вас есть брандмауэры или сетевые устройства, которые потенциально могут ограничить или изменить этот вид внутреннего сетевого трафика, необходимо настроить правила, которые позволяют свободно и неограниченное общение между этими серверами: правила, которые позволяют входящий и исходяющий сетевой трафик в любом порту (в том числе случайные порты RPC) и любой протокол, который никогда не изменяет биты на проводе.
Внешние транспортные серверы почти всегда находятся в сети периметра, поэтому ожидается, что вы ограничите сетевой трафик между транспортным сервером Edge и Интернетом, а также между краем транспортного сервера и внутренней Exchange организацией. Эти сетевые порты описаны в данном разделе.
Ожидается, что вы ограничите сетевой трафик между внешними клиентами и службами и внутренней организацией Exchange. Также можно ограничить трафик между внутренними клиентами и внутренними серверами Exchange. Эти сетевые порты описаны в данном разделе.
Сетевые порты, необходимые для клиентов и служб
Сетевые порты, которые необходимы почтовым клиентам для доступа к почтовым ящикам и другим службам в организации Exchange, описаны на следующей диаграмме и в таблице.
Примечания.
Предназначением для этих клиентов и служб являются службы клиентского доступа на сервере почтовых ящиков. В Exchange 2016 и Exchange 2019 года службы клиентского доступа (frontend) и backend устанавливаются вместе на одном сервере почтовых ящиков. Дополнительные сведения см. в архитектуре протокола клиентского доступа.
Хотя на схеме показаны клиенты и службы из Интернета, концепции одинаковы для внутренних клиентов (например, клиенты в лесу учетных записей, Exchange серверов в лесу ресурсов). Кроме того, в таблице нет столбца источника, так как источником может быть любое расположение, внешнее для организации Exchange (например, интернет или лес учетных записей).
Пограничные транспортные серверы не участвуют в сетевом трафике, связанном с этими клиентами и службами.
Сетевые порты, необходимые для потока обработки почты
Способ доставки почты в организацию Exchange и из нее зависит от топологии Exchange. Наиболее важный фактор наличие подписанного пограничного транспортного сервера, развернутого в сети периметра.
Сетевые порты, необходимые для потока обработки почты (без пограничных транспортных серверов)
Сетевые порты, необходимые для потока почты в Exchange организации, которая имеет только серверы почтовых ящиков, описаны в следующей схеме и таблице.
Сетевые порты, необходимые для потока обработки почты с пограничными транспортными серверами
Установленный в сети периметра поддерживаемый edge transport server влияет на поток почты следующим образом:
Почта с Exchange 2013 или более позднего edge Transport server сначала поступает в службу транспорта переднего конца, прежде чем она поступает в службу транспорта на сервере почтовых ящиков Exchange 2016 или Exchange 2019.
В Exchange 2016 г. почта с Exchange 2010 г. всегда доставляет почту непосредственно службе транспорта на сервере почтовых ящиков Exchange 2016 г. Обратите внимание, что сосуществование Exchange 2010 г. не поддерживается Exchange 2019 г.
Сетевые порты, необходимые для потока обработки почты в организациях Exchange с пограничными транспортными серверами, описаны на следующей диаграмме и в таблице.
Почта передается из транспортной службы на любом сервере почтовых ящиков на подписанном сайте Active Directory на транспортный сервер edge с помощью неявного и невидимого соединителя отправки внутри организации, который автоматически отправляет почту между Exchange серверами в той же организации.
Кроме того, если ваша организация использует прокси-сервер для управления исходящие интернет-трафик, необходимо определить имя, тип сервера прокси-сервера и порт TCP, для доступа к интернету для обнаружения открытых прокси-серверов.
Кроме того, можно отключить обнаружение открытых прокси-серверов в репутации отправитель.
Разрешение имен
Разрешение DNS следующего перехода почты является фундаментальной составляющей потока обработки почты в любой организации Exchange. Серверы Exchange, ответственные за получение входящей почты или доставку исходящей, должны иметь возможность разрешать как внутренние, так и внешние имена узлов для правильной маршрутизации почты. Все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена узлов для правильной маршрутизации почты. Существует множество различных способов разработки инфраструктуры DNS, но важный результат обеспечение правильного разрешения имен для следующего перехода на всех серверах Exchange.
Сетевые порты, необходимые для гибридных развертываний
Сетевые порты, необходимые для организации, использующей локальное Exchange и Microsoft 365 или Office 365, охватываются протоколами гибридного развертывания, портами и конечными точками.
This topic provides information about the network ports that are used by Exchange Server 2016 and Exchange Server 2019 for communication with email clients, internet mail servers, and other services that are external to your local Exchange organization. Before we get into that, understand the following ground rules:
We do not support restricting or altering network traffic between internal Exchange servers, between internal Exchange servers and internal Lync or Skype for Business servers, or between internal Exchange servers and internal Active Directory domain controllers in any and all types of topologies. If you have firewalls or network devices that could potentially restrict or alter this kind of internal network traffic, you need to configure rules that allow free and unrestricted communication between these servers: rules that allow incoming and outgoing network traffic on any port (including random RPC ports) and any protocol that never alter bits on the wire.
Edge Transport servers are almost always located in a perimeter network, so it's expected that you'll restrict network traffic between the Edge Transport server and the internet, and between the Edge Transport server and your internal Exchange organization. These network ports are described in this topic.
It's expected that you'll restrict network traffic between external clients and services and your internal Exchange organization. It's also OK if you decide to restrict network traffic between internal clients and internal Exchange servers. These network ports are described in this topic.
Network ports required for clients and services
The network ports that are required for email clients to access mailboxes and other services in the Exchange organization are described in the following diagram and table.
Notes:
The destination for these clients and services is the Client Access services on a Mailbox server. In Exchange 2016 and Exchange 2019, Client Access (frontend) and backend services are installed together on the same Mailbox server. For more information, see Client Access protocol architecture.
Although the diagram shows clients and services from the internet, the concepts are the same for internal clients (for example, clients in an accounts forest accessing Exchange servers in a resource forest). Similarly, the table doesn't have a source column because the source could be any location that's external to the Exchange organization (for example, the internet or an accounts forest).
Edge Transport servers have no involvement in the network traffic that's associated with these clients and services.
Network ports required for mail flow
How mail is delivered to and from your Exchange organization depends on your Exchange topology. The most important factor is whether you have a subscribed Edge Transport server deployed in your perimeter network.
Network ports required for mail flow (no Edge Transport servers)
The network ports that are required for mail flow in an Exchange organization that has only Mailbox servers are described in the following diagram and table.
Network ports required for mail flow with Edge Transport servers
A subscribed Edge Transport server that's installed in your perimeter network affects mail flow in the following ways:
Outbound mail from the Exchange organization never flows through the Front End Transport service on Mailbox servers. Mail always flows from the Transport service on a Mailbox server in the subscribed Active Directory site to the Edge Transport server (regardless of the version of Exchange on the Edge Transport server).
Inbound mail flows from the Edge Transport server to a Mailbox server in the subscribed Active Directory site. Specifically:
Mail from an Exchange 2013 or later Edge Transport server first arrives at the Front End Transport service before it flows to the Transport service on an Exchange 2016 or Exchange 2019 Mailbox server.
In Exchange 2016, mail from an Exchange 2010 Edge Transport server always delivers mail directly to the Transport service on an Exchange 2016 Mailbox server. Note that coexistance with Exchange 2010 isn't supported in Exchange 2019.
The network ports that are required for mail flow in Exchange organizations that have Edge Transport servers are described in the following diagram and table.
Mail is relayed from the Transport service on any Mailbox server in the subscribed Active Directory site to an Edge Transport server using the implicit and invisible intra-organization Send connector that automatically routes mail between Exchange servers in the same organization.
Also, if your organization uses a proxy server to control outbound internet traffic, you need to define the proxy server name, type, and TCP port that sender reputation requires to access the internet for open proxy server detection.
Alternatively, you can disable open proxy server detection in sender reputation.
Name resolution
DNS resolution of the next mail hop is a fundamental part of mail flow in any Exchange organization. Exchange servers that are responsible for receiving inbound mail or delivering outbound mail must be able to resolve both internal and external host names for proper mail routing. And all internal Exchange servers must be able to resolve internal host names for proper mail routing. There are many different ways to design a DNS infrastructure, but the important result is to ensure name resolution for the next hop is working properly for all of your Exchange servers.
Network ports required for hybrid deployments
The network ports that are required for an organization that uses both on-premises Exchange and Microsoft 365 or Office 365 are covered in Hybrid deployment protocols, ports, and endpoints.
Network ports required for Unified Messaging in Exchange 2016
The network ports that are required for Unified Messaging in Exchange 2013 and Exchange 2016 are covered in the topic UM protocols, ports, and services.
Недавно пришлось пилить сервер Microsoft Exchange, а затем прописывать правила на фаерволле для его портов. Так вот перед этим долго пришлось выяснять — какие порты использует Microsoft Exchange для работы. Что-то удалось узнать на форумах, а что-то пришлось проверять и выяснять самому, так что если какой-то используемый порт эксчендж я упустил — пишите в комментариях.
SMTP TCP: 25
The SMTP service uses TCP port 25.
DNS TCP/UDP: 53
DNS listens on port 53. Domain controllers use this port.
POP3 TCP: 110
Post Office Protocol version 3 (POP3).
NNTP TCP: 119
Network News Transfer Protocol (NNTP).
MSRPC TCP/UDP: 135
Microsoft RPC and Locator service — LOC-SRV
IMAP4 TCP: 143
Internet Message Access Protocol (IMAP).
LDAP TCP/UDP: 379
The Site Replication Service (SRS).
LDAP TCP/UPD: 389
Lightweight directory access protocol (LDAP) used by Microsoft Active Directory® directory service, Active Directory Connector, and the Microsoft Exchange Server 5.5 directory.
LDAP TCP/UDP: 390
This is the recommended alternate port to configure the Exchange Server 5.5 LDAP protocol when Exchange Server 5.5 is running on an Active Directory domain controller.
SMTP/SSL:465
SMTP over SSL. TCP port 465 is reserved by common industry practice for secure SMTP communication using the SSL protocol.
NNTP/SSL TCP: 563
NNTP over SSL.
LDAP/SSL TCP/UDP: 636
LDAP over Secure Sockets Layer (SSL).
LSA TCP: 691
The Microsoft Exchange Routing Engine service (RESvc) listens for routing link state information on this port.
IMAP4/SSL TCP: 993
IMAP4 over SSL.
POP3/SSL TCP: 995
POP3 over SSL.
LDAP TCP: 3268
Global catalog. The Windows 2000 and Windows Server 2003 Active Directory global catalog (a domain controller «role») listens on TCP port 3268.
LDAP/SSLPort TCP: 3269
Global catalog over SSL. Applications that connect to TCP port 3269 of a global catalog server can transmit and receive SSL encrypted data.
Читайте также: