Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-04-22
В этом разделе приведены сведения о портах, проверке подлинности и шифровании для всех путей к данным, используемых в системе Microsoft Exchange Server 2010. Раздел «Примечания» после каждой таблицы уточняет или определяет нестандартные способы проверки подлинности или шифрования.
Транспортные серверы
В системе Exchange 2010 существует две роли сервера, которые выполняют функции транспортировки сообщений: транспортный сервер-концентратор и пограничный транспортный сервер.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей к данным между этими транспортными серверами и другими серверами и службами Exchange 2010.
Пути данных для транспортных серверов
Путь данных | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
Между двумя транспортными серверами-концентраторами |
25/TCP (SMTP) |
Kerberos |
Kerberos |
Да, с помощью TLS (Transport Layer Security) |
Да |
С транспортного сервера-концентратора на пограничный транспортный сервер |
25/TCP (SMTP) |
Прямое доверие |
Прямое доверие |
Да, с использованием TLS |
Да |
С пограничного транспортного сервера на транспортный сервер-концентратор |
25/TCP (SMTP) |
Прямое доверие |
Прямое доверие |
Да, с использованием TLS |
Да |
Между двумя пограничными транспортными серверами |
25/TCP SMTP |
Анонимно, проверка подлинности с помощью сертификата |
Анонимно, с помощью сертификата |
Да, с использованием TLS |
Да |
С сервера почтовых ящиков на транспортный сервер-концентратор через службу отправки почты Microsoft Exchange |
135/TCP (RPC) |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos. |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI |
135/TCP (RPC) |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков установлены на одном сервере, используется протокол Kerberos. |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
С сервера единой системы обмена сообщениями на транспортный сервер-концентратор |
25/TCP (SMTP) |
Kerberos |
Kerberos |
Да, с использованием TLS |
Да |
Служба Microsoft Exchange EdgeSync с транспортного сервера-концентратора на пограничный транспортный сервер |
50636/TCP (SSL) |
Обычная |
Обычная |
Да, с помощью LDAP через SSL (LDAPS) |
Да |
Доступ Служба каталогов Active Directory из транспортного сервера-концентратора |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Доступ к службе управления правами Служба каталогов Active Directory (AD RMS) с транспортного сервера-концентратора |
443/TCP (HTTPS) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью SSL |
Да* |
Клиенты SMTP на транспортный сервер-концентратор (например, конечные пользователи с помощью почты Windows Live) |
587 (SMTP) 25/TCP (SMTP) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с использованием TLS |
Да |
Примечания для транспортных серверов
- Весь трафик между транспортными серверами-концентраторами
шифруется с помощью протокола TLS и самозаверяющих сертификатов,
установленных программой установки Exchange 2010.
Примечание. В Exchange 2010 можно отключить TLS на транспортных серверах-концентраторах для внутренних сообщений по протоколу SMTP с другими транспортными серверами-концентраторами в одной организации Exchange. Однако делать это рекомендуется только в случае абсолютной необходимости. Дополнительные сведения см. в разделе Отключение TLS между сайтами Active Directory для поддержки оптимизации глобальной сети. - Весь трафик между пограничными транспортными серверами и
транспортными серверами-концентраторами проходит проверку
подлинности и шифруется. В качестве механизма проверки подлинности
и шифрования используется Mutual TLS. Вместо проверки X.509 в
Exchange 2010 для проверки подлинности сертификатов используется
прямое доверие. Прямое доверие означает, что наличие
сертификата в службах Служба каталогов Active Directory или в
службах Active Directory облегченного доступа к каталогам (AD LDS)
подтверждает подлинность сертификата. Служба каталогов Active
Directory считается доверенным механизмом хранения. Когда
используется прямое доверие, не имеет значения, применяется ли
самозаверяющий сертификат или же сертификат, подписанный центром
сертификации. При подписке пограничного транспортного сервера на
организацию Exchange пограничная подписка публикует сертификат
пограничного транспортного сервера в Служба каталогов Active
Directory, чтобы транспортные серверы-концентраторы могли его
проверять. Служба Microsoft Exchange EdgeSync добавляет в
службы Active Directory облегченного доступа к каталогам (AD LDS)
набор сертификатов транспортного сервера-концентратора, чтобы
пограничный транспортный сервер проверил их.
- EdgeSync использует безопасное подключение LDAP транспортного
сервера-концентратора к подписанным пограничным транспортным
серверам через порт TCP 50636. Службы Active Directory облегченного
доступа к каталогам также осуществляют прослушивание порта TCP
50389. Подключение к этому порту не использует протокол SSL. Для
подключения к этому порту и проверки данных служб Active Directory
облегченного доступа к каталогам можно использовать служебные
программы LDAP.
- По умолчанию трафик между пограничными транспортными серверами,
расположенными в двух различных организациях, шифруется. Программа
установки Exchange 2010 создает самозаверяющий сертификат и по
умолчанию включает TLS. Это позволяет любой отправляющей системе
шифровать входящий в Exchange сеанс SMTP. По умолчанию сервер
Exchange 2010 также пытается использовать протокол TLS для всех
удаленных подключений.
- Способы проверки подлинности для трафика между транспортными
серверами-концентраторами и серверами почтовых ящиков отличаются,
если роли транспортного сервера-концентратора и сервера почтовых
ящиков установлены на одном компьютере. При локальной передаче
почты используется проверка подлинности Kerberos. При удаленной
передаче почты используется проверка подлинности NTLM.
- Exchange 2010 также поддерживает безопасность домена.
Безопасность домена — это набор функций Exchange 2010 и
Microsoft Outlook 2010, которые являются недорогой
альтернативой S/MIME и другим решениям для обеспечения безопасности
передачи сообщений через Интернет. Безопасность домена обеспечивает
способ управления безопасными путями передачи сообщений между
доменами в Интернете. После настройки таких безопасных путей
успешно переданные по ним сообщения от прошедшего проверку
подлинности отправителя отображаются для пользователей Outlook и
Outlook Web Access как сообщения, «защищенные на уровне домена».
Дополнительные сведения см. в разделе Общие сведения о
безопасности домена.
- Многие агенты могут выполняться как на транспортных
серверах-концентраторах, так и на пограничных транспортных
серверах. Как правило, агенты защиты от нежелательной почты
используют сведения локального компьютера, на котором они
выполняются. Таким образом, практически не требуется взаимодействие
с удаленными компьютерами. Исключением является фильтрация
получателей. Для фильтрации получателей необходим вызов AD LDS или
Служба каталогов Active Directory. Фильтрацию получателей
рекомендуется выполнять на пограничном транспортном сервере. В этом
случае каталог AD LDS находится на том же компьютере, на
котором установлена роль пограничного транспортного сервера,
поэтому удаленное подключение не требуется. Если функция фильтрации
получателей установлена и настроена на транспортном
сервере-концентраторе, необходим доступ к Служба каталогов
Active Directory.
- Агент анализа протокола используется функцией репутации
отправителя в Exchange 2010. Этот агент также подключается к
различным внешним прокси-серверам, чтобы определить пути входящих
сообщений для подозрительных подключений.
- Все остальные функции защиты от нежелательной почты используют
данные, которые собираются, хранятся и доступны только на локальном
компьютере. Обычно такие данные, как объединенный список надежных
отправителей или данные получателей для фильтрации получателей,
принудительно отправляются в локальный каталог AD LDS с помощью
службы Microsoft Exchange EdgeSync.
- Агенты управления правами на доступ к данным (IRM) на
транспортных серверах-концентраторах выполняют подключение к
серверам служб управления правами Active Directory (AD RMS) в
организации. Служба управления правами Active Directory (AD RMS) —
это веб-служба, которую рекомендуется защищать с помощью SSL.
Подключение к серверам служб управления правами Active Directory
выполняется с помощью HTTPS, а для проверки подлинности
используется Kerberos или NTLM в зависимости от конфигурации
сервера служб управления правами Active Directory.
- Правила журналов, правила транспорта и классификации сообщений
хранятся в службах Служба каталогов Active Directory, и доступ к
ним осуществляет агент ведения журнала и агент правил транспорта на
транспортных серверах-концентраторах.
Серверы почтовых ящиков
На серверах почтовых ящиков использование проверки подлинности NTLM или Kerberos зависит от контекста пользователя или процесса, в рамках которого работает потребитель уровня бизнес-логики Exchange. В таком контексте потребителями являются любые приложения или процессы, использующие уровень бизнес-логики Exchange. В результате в столбце Проверка подлинности по умолчанию таблицы Пути к данным для серверов почтовых ящиков для многих строк указано значение NTLM/Kerberos.
Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия с внешними приложениями и процессами.
Если потребитель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе потребителя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера "Локальная система", а также требуется двустороннее доверие с проверкой подлинности.
Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется проверка подлинности NTLM.
Трафик RPC всегда шифруется.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.
Пути данных для серверов почтовых ящиков
Путь к данным | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
Доступ к Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Административный удаленный доступ (удаленный реестр) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью IPsec |
Нет |
Административный удаленный доступ (SMB, файлы) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью IPsec |
Нет |
Веб-служба доступности (клиентский доступ к почтовому ящику) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Кластеризация |
135/TCP (RPC). См. Примечания для серверов почтовых ящиков после этой таблицы. |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью IPsec |
Нет |
Индексирование содержимого |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Доставка журналов |
64327 (настраиваемый) |
NTLM/Kerberos |
NTLM/Kerberos |
Да |
Нет |
Заполнение |
64327 (настраиваемый) |
NTLM/Kerberos |
NTLM/Kerberos |
Да |
Нет |
Резервное копирование службы теневого копирования томов (VSS) |
Локальный блок сообщений (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
Помощники по обслуживанию почтовых ящиков |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
Доступ MAPI |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Доступ для службы топологии Microsoft Exchange Active Directory |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Устаревший доступ для службы системного помощника Microsoft Exchange (прослушивание запросов) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
Устаревший доступ службы системного помощника Microsoft Exchange к Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Устаревший доступ для службы системного помощника Microsoft Exchange (в качестве MAPI-клиента) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Доступ автономной адресной книги к Служба каталогов Active Directory |
135/TCP (RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования RPC |
Да |
RPC-доступ к службе обновления получателей |
135/TCP (RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования RPC |
Да |
Обновление получателей в Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Примечания для серверов почтовых ящиков
- Путь данных при кластеризации, приведенный в предыдущей
таблице, использует динамический RPC через протокол TCP для
передачи сведений о состоянии и действиях кластера между различными
узлами кластера. Служба кластеров (ClusSvc.exe) также использует
UDP-порт 3343 и случайным образом выделенные TCP-порты с высокими
номерами для взаимодействия между узлами кластера.
- Между собой узлы кластера взаимодействуют через UDP-порт 3343.
Каждый узел кластера периодически обменивается с остальными узлами
кластера последовательными одноадресными UDP-датаграммами. Этот
обмен выполняется с целью определения правильности работы всех
узлов, а также для наблюдения за работоспособностью сетевых
соединений.
- Порт 64327/TCP — это порт по умолчанию, используемый для
доставки журналов. Администраторы могут указать другой порт для
доставки журналов.
- Для проверки подлинности HTTP, для которой указано
согласование, сначала выполняется попытка использовать
проверку подлинности Kerberos, а затем — проверку подлинности
NTLM.
Серверы клиентского доступа
Если не указано иное, технологии клиентского доступа, такие как POP3 и IMAP4, описываются в контексте проверки подлинности и шифрования при подключении клиентского приложения к серверу клиентского доступа.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами клиентского доступа и другими серверами и клиентами.
Пути данных для серверов клиентского доступа
Путь к данным | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
Доступ к Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Служба автообнаружения |
80/TCP, 443/TCP (SSL) |
Обычная проверка подлинности, встроенная проверка подлинности Windows (Negotiate) |
Обычная, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos) |
Да, с помощью HTTPS |
Да |
Служба доступности |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM, Kerberos |
Да, с помощью HTTPS |
Да |
Доступ Outlook к автономной адресной книге |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью HTTPS |
Нет |
Outlook Web App |
80/TCP, 443/TCP (SSL) |
Проверка подлинности на основе форм |
Обычная проверка подлинности, дайджест-проверка подлинности, проверка подлинности на основе форм, NTLM (только версии 2), Kerberos, проверка подлинности с помощью сертификата |
Да, с помощью HTTPS |
Да, с использованием самозаверяющего сертификата |
POP3 |
110/TCP (TLS), 995/TCP (SSL) |
Обычная, Kerberos |
Обычная, Kerberos |
Да, с помощью SSL, TLS |
Да |
IMAP4 |
143/TCP (TLS), 993/TCP (SSL) |
Обычная, Kerberos |
Обычная, Kerberos |
Да, с помощью SSL, TLS |
Да |
Мобильный Outlook (прежнее название — RPC через HTTP) |
80/TCP, 443/TCP (SSL) |
Обычная |
Обычная проверка подлинности или NTLM |
Да, с помощью HTTPS |
Да |
Приложение Exchange ActiveSync |
80/TCP, 443/TCP (SSL) |
Обычная |
Обычная проверка подлинности, проверка подлинности с помощью сертификата |
Да, с помощью HTTPS |
Да |
С сервера клиентского доступа на сервер единой системы обмена сообщениями |
5060/TCP, 5061/TCP, 5062/TCP, динамический порт |
По IP-адресу |
По IP-адресу |
Да, с помощью протокола SIP через TLS |
Да |
С сервера клиентского доступа на сервер почтовых ящиков, на котором запущена предыдущая версия Exchange Server |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
Negotiate (Kerberos с резервным способом: NTLM или обычная проверка подлинности), POP/IMAP (обычный текст) |
Да, с помощью IPsec |
Нет |
С сервера клиентского доступа на сервер почтовых ящиков Exchange 2010 |
RPC. См. раздел Примечания для серверов клиентского доступа. |
Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Между серверами клиентского доступа (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos, проверка подлинности с помощью сертификата |
Да, с помощью HTTPS |
Да, с использованием самозаверяющего сертификата |
Между серверами клиентского доступа (Outlook Web Access) |
80/TCP, 443/TCP (HTTPS) |
Kerberos |
Kerberos |
Да, с помощью SSL |
Да |
Сервер клиентского доступа к серверу клиентского доступа (веб-службы Exchange) |
443/TCP (HTTPS) |
Kerberos |
Kerberos |
Да, с помощью SSL |
Да |
Сервер клиентского доступа к серверу клиентского доступа (POP3) |
995 (SSL) |
Обычная |
Обычная |
Да, с помощью SSL |
Да |
Сервер клиентского доступа к серверу клиентского доступа (IMAP4) |
993 (SSL) |
Обычная |
Обычная |
Да, с помощью SSL |
Да |
Сервер Office Communications Server к серверу клиентского доступа (когда включена интеграция Office Communications Server и Outlook Web App) |
5075-5077/TCP (ВХОД), 5061/TCP (ВЫХОД) |
mTLS (обязательно) |
mTLS (обязательно) |
Да, с помощью SSL |
Да |
Примечание. |
---|
Встроенная проверка подлинности Windows (NTLM) не поддерживается для подключения клиентов через POP3 или IMAP4. Дополнительные сведения см. в подразделах "Компоненты клиентского доступа" раздела Устаревшие возможности и сокращенная функциональность. |
Примечания для серверов клиентского доступа
- В Exchange 2010 клиенты MAPI, такие как Microsoft Outlook,
подключаются к серверам клиентского доступа.
- Серверы клиентского доступа используют много портов для связи с
серверами почтовых ящиков. За некоторыми исключениями эти порты
определяются службой RPC и не являются фиксированными.
- Для проверки подлинности HTTP, для которой указано
согласование, в первую очередь выполняется попытка проверки
подлинности Kerberos, а затем — проверки подлинности NTLM.
- При взаимодействии сервера клиентского доступа
Exchange 2010 с сервером почтовых ящиков, на котором работает
Exchange Server 2003, рекомендуется использовать Kerberos
и отключить проверку подлинности NTLM и обычную проверку
подлинности. Кроме того, рекомендуется настроить
Outlook Web App на использование проверки подлинности на
основе форм с доверенным сертификатом. Чтобы клиенты
Exchange ActiveSync могли взаимодействовать через сервер
клиентского доступа Exchange 2010 с тыловым сервером
Exchange 2003, необходимо включать интегрированную проверку
подлинности Windows в виртуальном каталоге
Microsoft-Server-ActiveSync на тыловом сервере Exchange 2003.
Чтобы использовать диспетчер Exchange на сервере с
Exchange 2003 для управления проверкой подлинности в
виртуальном каталоге Exchange 2003, загрузите и установите
исправление, описанное в статье 937031 базы знаний Майкрософт
Идентификационный номер события 1036
регистрируется на сервере Exchange 2007, на котором установлена
роль сервера клиентского доступа, когда мобильные устройства
подключаются к серверу Exchange 2007 для получения доступа к
почтовым ящикам на тыловом сервере Exchange 2003 (статья может быть
на английском языке).
Примечание. Хотя данная статья базы знаний относится к Exchange 2007, она также справедлива для Exchange 2010. - Когда сервер клиентского доступа отправляет через прокси
POP3-запрос к другому серверу клиентского доступа, сообщение
происходит через порт 995/TCP независимо от того, использует ли
подключающийся клиент протокол POP3 и запрашивает TLS (через порт
110/TCP) или же подключается через порт 995/TCP с использованием
шифрования SSL. Аналогично, для подключений IMAP4 порт 993/TCP
используется для передачи через прокси запросов независимо от того,
использует ли подключающийся клиент IMAP4 и запрашивает TLS (через
порт 443/TCP) или же подключается через порт 995 с помощью IMAP4 с
использованием шифрования SSL.
Серверы единой системы обмена сообщениями
Шлюзы IP и УАТС, работающие по протоколу IP, поддерживают только проверку подлинности с помощью сертификата, при которой используется проверка подлинности Mutual TLS для шифрования трафика SIP и проверка подлинности на основе IP-адреса для подключений по протоколам SIP или TCP. Шлюзы IP не поддерживают проверку подлинности NTLM и Kerberos. Таким образом, при использовании проверки подлинности на основе IP-адреса в качестве механизма проверки подлинности для незашифрованных подключений (TCP) используются IP-адреса подключений. При использовании в единой системе обмена сообщениями проверки подлинности на основе IP-адресов сервер единой системы обмена сообщениями проверяет, разрешено ли данному IP-адресу подключаться. IP-адрес настраивается на шлюзе IP или IP PBX.
Шлюзы IP и УАТС, работающие по протоколу IP, поддерживают Mutual TLS для шифрования трафика SIP. После успешного импорта и экспорта необходимых доверенных сертификатов шлюз IP или УАТС, работающая по протоколу IP, будет запрашивать сертификат у сервера единой системы обмена сообщениями, а затем запрашивать сертификат у шлюза IP или УАТС, работающей по протоколу IP. Обмен доверенными сертификатами между шлюзом IP или УАТС, работающей по протоколу IP, и сервером единой системы обмена сообщениями позволяет обоим устройствам взаимодействовать по безопасному каналу с помощью Mutual TLS.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами единой системы обмена сообщениями и другими серверами.
Пути данных для серверов единой системы обмена сообщениями
Путь к данным | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
Доступ к Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да, с помощью шифрования Kerberos |
Да |
Телефонное взаимодействие единой системы обмена сообщениями (шлюз IP PBX/VoIP) |
5060/TCP , 5065/TCP, 5067/TCP (в незащищенном режиме), 5061/TCP, 5066/TCP, 5068/TCP (в защищенном режиме), динамический порт из диапазона 16000-17000/TCP (управление), динамические порты UDP из диапазона 1024-65535/UDP (RTP) |
По IP-адресу |
По IP-адресу, MTLS |
Да, с помощью SIP/TLS, SRTP |
Нет |
Веб-служба единой системы обмена сообщениями |
80/TCP, 443/TCP (SSL) |
Интегрированная проверка подлинности Windows (Negotiate) |
Обычная, дайджест-проверка подлинности, NTLM, согласование (Kerberos) |
Да, с помощью SSL |
Да |
С сервера единой системы обмена сообщениями на сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
Встроенная проверка подлинности Windows (согласование) |
Обычная, дайджест-проверка подлинности, NTLM, согласование (Kerberos) |
Да, с помощью SSL |
Да |
С сервера единой системы обмена сообщениями на сервер клиентского доступа (воспроизведение на телефоне) |
Динамический RPC |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
С сервера единой системы обмена сообщениями на транспортный сервер-концентратор |
25/TCP (TLS) |
Kerberos |
Kerberos |
Да, с использованием TLS |
Да |
С сервера единой системы обмена сообщениями на сервер почтовых ящиков |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да, с помощью шифрования RPC |
Да |
Примечания для серверов единой системы обмена сообщениями
- При создании в Служба каталогов Active Directory объекта шлюза
IP единой системы обмена сообщениями необходимо определить IP-адрес
физического шлюза IP или УАТС, работающей по протоколу IP. При
определении IP-адреса объекта шлюза IP единой системы обмена
сообщениями IP-адрес добавляется в список допустимых шлюзов IP или
УАТС, работающих по протоколу IP (также называемых участниками
SIP-сеанса), с которыми разрешено взаимодействовать серверу единой
системы обмена сообщениями. После создания шлюза IP единой системы
обмена сообщениями можно связать его с абонентской группой этой
системы. Сопоставление шлюза IP единой системы обмена сообщениями с
абонентской группой позволяет серверам единой системы обмена
сообщениями, сопоставленным с абонентской группой, использовать
проверку подлинности на основе IP-адреса для взаимодействия со
шлюзом IP. Если шлюз IP единой системы обмена сообщениями не был
создан или не был настроен на использование правильного IP-адреса,
то произойдет сбой проверки подлинности, и серверы единой системы
обмена сообщениями не будут принимать подключения с IP-адреса
данного шлюза IP. Кроме того, при реализации Mutual TLS, шлюза IP
или УАТС, работающей по протоколу IP, и серверов единой системы
обмена сообщениями шлюз IP единой системы обмена сообщениями
необходимо настроить на использование полного доменного имени
(FQDN). После настройки шлюза IP единой системы обмена сообщениями
с использованием полного доменного имени необходимо также добавить
в зону прямого поиска DNS запись узла для этого шлюза.
- В версии Exchange 2010 сервер единой системы обмена сообщениями
может взаимодействовать через порт 5060/TCP (незащищенный) или
через порт 5061/TCP (защищенный), и его можно настроить
для использования обоих портов.
Дополнительные сведения см. в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями.
Правила брандмауэра Windows, созданные программой установки Exchange 2010
Брандмауэр Windows в режиме повышенной безопасности — это брандмауэр с отслеживанием состояния на основе компьютера, который осуществляет фильтрацию входящего и исходящего трафиков на основе правил брандмауэра. Программа установки Exchange 2010 создает правила брандмауэра Windows для открытия портов, необходимых для взаимодействия сервера и клиента, в каждой роли сервера. Таким образом, больше не требуется использовать мастер настройки безопасности для настройки этих параметров. Дополнительные сведения о брандмауэре Windows в режиме повышенной безопасности см. в статье Брандмауэр Windows в режиме повышенной безопасности и IPsec (страница может быть на английском языке).
В следующей таблице приведены правила брандмауэра Windows, создаваемые программой установки Exchange, включая порты, открытые в каждой роли сервера. Эти правила можно просмотреть с помощью оснастки консоли MMC брандмауэра Windows в режиме повышенной безопасности.
Имя правила | Роли сервера | Порт | Программа |
---|---|---|---|
MSExchangeADTopology — RPC (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, сервер почтовых ящиков, сервер единой системы обмена сообщениями |
Динамический RPC |
Bin\MSExchangeADTopologyService.exe |
MSExchangeMonitoring — RPC (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, пограничный транспортный сервер, сервер единой системы обмена сообщениями |
Динамический RPC |
Bin\Microsoft.Exchange.Management.Monitoring.exe |
MSExchangeServiceHost — RPC (TCP-входящий) |
Все роли |
Динамический RPC |
Bin\Microsoft.Exchange.ServiceHost.exe |
MSExchangeServiceHost — RPCEPMap (TCP-входящий) |
Все роли |
RPC-EPMap |
Bin\Microsoft.Exchange.Service.Host |
MSExchangeRPCEPMap (GFW) (TCP-входящий) |
Все роли |
RPC-EPMap |
Любая |
MSExchangeRPC (GFW) (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, сервер почтовых ящиков, сервер единой системы обмена сообщениями |
Динамический RPC |
Любая |
MSExchange — IMAP4 (GFW) (TCP-входящий) |
Сервер клиентского доступа |
143, 993 (TCP) |
Все |
MSExchangeIMAP4 (TCP-входящий) |
Сервер клиентского доступа |
143, 993 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe |
MSExchange — POP3 (FGW) (TCP-входящий) |
Сервер клиентского доступа |
110, 995 (TCP) |
Все |
MSExchange — POP3 (TCP-входящий) |
Сервер клиентского доступа |
110, 995 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe |
MSExchange — OWA (GFW) (TCP-входящий) |
Сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
Все |
MSExchangeOWAAppPool (TCP-входящий) |
Сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
Inetsrv\w3wp.exe |
MSExchangeAB RPC (TCP-входящий) |
Сервер клиентского доступа |
Динамический RPC |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RPCEPMap (TCP-входящий) |
Сервер клиентского доступа |
RPC-EPMap |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RpcHttp (TCP-входящий) |
Сервер клиентского доступа |
6002, 6004 (TCP) |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
RpcHttpLBS (TCP-входящий) |
Сервер клиентского доступа |
Динамический RPC |
System32\Svchost.exe |
MSExchangeRPC — RPC (TCP-входящий) |
Сервер клиентского доступа, сервер почтовых ящиков |
Динамический RPC |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC — PRCEPMap (TCP-входящий) |
Сервер клиентского доступа, сервер почтовых ящиков |
RPC-EPMap |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC (TCP-входящий) |
Сервер клиентского доступа, сервер почтовых ящиков |
6001 (TCP) |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeMailboxReplication (GFW) (TCP-входящий) |
Сервер клиентского доступа |
808 (TCP) |
Любая |
MSExchangeMailboxReplication (TCP-входящий) |
Сервер клиентского доступа |
808 (TCP) |
Bin\MSExchangeMailboxReplication.exe |
MSExchangeIS — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\Store.exe |
MSExchangeIS RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\Store.exe |
MSExchangeIS (GFW) (TCP-входящий) |
Сервер почтовых ящиков |
6001, 6002, 6003, 6004 (TCP) |
Любая |
MSExchangeIS (TCP-входящий) |
Сервер почтовых ящиков |
6001 (TCP) |
Bin\Store.exe |
MSExchangeMailboxAssistants — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailboxAssistants — RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailSubmission — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMailSubmission — RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMigration — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeMigration.exe |
MSExchangeMigration — RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeMigration.exe |
MSExchangerepl — Log Copier (TCP-входящий) |
Сервер почтовых ящиков |
64327 (TCP) |
Bin\MSExchangeRepl.exe |
MSExchangerepl — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeRepl.exe |
MSExchangerepl — RPC-EPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeRepl.exe |
MSExchangeSearch — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeThrottling — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeThrottling.exe |
MSExchangeThrottling — RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeThrottling.exe |
MSFTED — RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSFTED.exe |
MSFTED — RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
RPC-EPMap |
Bin\MSFTED.exe |
MSExchangeEdgeSync — RPC (TCP-входящий) |
Транспортный сервер-концентратор |
Динамический RPC |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeEdgeSync RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор |
RPC-EPMap |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportWorker — RPC (TCP-входящий) |
Транспортный сервер-концентратор |
Динамический RPC |
Bin\edgetransport.exe |
MSExchangeTransportWorker — RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор |
RPC-EPMap |
Bin\edgetransport.exe |
MSExchangeTransportWorker (GFW) (TCP-входящий) |
Транспортный сервер-концентратор |
25, 587 (TCP) |
Любая |
MSExchangeTransportWorker (TCP-входящий) |
Транспортный сервер-концентратор |
25, 587 (TCP) |
Bin\edgetransport.exe |
MSExchangeTransportLogSearch — RPC (TCP-входящий) |
Транспортный сервер-концентратор, пограничный транспортный сервер, сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeTransportLogSearch.exe |
MSExchangeTransportLogSearch — RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор, пограничный транспортный сервер, сервер почтовых ящиков |
RPC-EPMap |
Bin\MSExchangeTransportLogSearch.exe |
SESWorker (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Любая |
Любая |
SESWorker (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Любая |
UnifiedMessaging\SESWorker.exe |
UMService (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5060, 5061 |
Любая |
UMService (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5060, 5061 |
Bin\UMService.exe |
UMWorkerProcess (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5065, 5066, 5067, 5068 |
Любая |
UMWorkerProcess (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5065, 5066, 5067, 5068 |
Bin\UMWorkerProcess.exe |
UMWorkerProcess — RPC (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Динамический RPC |
Bin\UMWorkerProcess.exe |
Примечания к правилам брандмауэра Windows, созданным программой установки Exchange 2010
- На серверах с установленными службами IIS Windows открывает
порты HTTP (порт 80, TCP) и HTTPS (порт 443, TCP). Программа
установки Exchange 2010 не открывает эти порты. Следовательно, эти
порты не приведены в предыдущей таблице.
- В Windows Server 2008 и Windows Server 2008 R2 брандмауэр
Windows в режиме повышенной безопасности позволяет указать процесс
или службу, для которых открыт порт. Это более безопасно, поскольку
в таком случае порт может использоваться только процессом или
службой, указанной в правиле. Программа установки Exchange создает
правила брандмауэра с указанным именем процесса. В некоторых
случаях в целях совместимости также создается дополнительное
правило, не ограниченное этим процессом. Можно отключить или
удалить правила, не ограниченные процессами, и сохранить
соответствующие правила, ограниченные процессами, если текущая
среда развертывания поддерживает их. Правила, не ограниченные
процессами, можно отличить по слову (GFW) в имени
правила.
- Множество служб Exchange используют для взаимодействия
удаленные вызовы процедур (RPC). Серверные процессы, использующие
удаленные вызовы процедур, подключаются к сопоставителю конечных
точек RPC для получения динамических конечных точек и регистрации
их в базе данных сопоставителя конечных точек. Клиенты RPC
взаимодействуют с сопоставителем конечных точек RPC для определения
конечных точек, используемых серверным процессом. По умолчанию
сопоставитель конечных точек RPC прослушивает порт 135 (TCP). При
настройке брандмауэра Windows для процесса, использующего удаленные
вызовы процедур, программа установки Exchange 2010 создает для
этого процесса два правила брандмауэра. Одно правило разрешает
взаимодействие с сопоставителем конечных точек RPC, а второе
разрешает взаимодействие с динамически назначенной конечной точкой.
Дополнительные сведения об удаленных вызовах процедур см. в статье
Принцип работы RPC (статья может быть на английском
языке). Дополнительные сведения о создании правил брандмауэра
Windows для динамического удаленного вызова процедур см. в статье
Разрешение входящего сетевого трафика,
использующего динамический RPC (статья может быть на английском
языке).
Примечание. |
---|
Нельзя изменять правила брандмауэра Windows, созданные программой установки Exchange 2010. Можно создать на их основе пользовательские правила, а затем отключить или удалить их. |
Дополнительные сведения см. в статье 179442 базы знаний Microsoft Настройка брандмауэра для установления доверительных отношений между доменами.