Весь трафик между транспортными серверами-концентраторами шифруется с использованием TLS и самозаверяющих сертификатов, установленных по умолчанию программой установки Exchange 2007. Проверка подлинности трафика между транспортными серверами-концентраторами осуществляется с использованием протокола Kerberos.

Весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2007 используется прямое доверие. Прямое доверие означает, что наличие сертификата в Active Directory или ADAM подтверждает подлинность сертификата. Active Directory считается доверенным механизмом хранения. Когда используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Active Directory, чтобы транспортные серверы-концентраторы могли его проверять. Служба Microsoft Exchange EdgeSync добавляет в ADAM набор сертификатов транспортного сервера-концентратора, чтобы пограничный транспортный сервер проверил их.

По умолчанию трафик между пограничными транспортными серверами, расположенными в двух различных организациях, шифруется. Программа установки Exchange 2007 создает самозаверяющий сертификат и включает по умолчанию TLS. Это позволяет любой отправляющей системе шифровать входящие сеансы SMTP на Microsoft Exchange. По умолчанию Exchange 2007 также пытается использовать TLS для всех удаленных подключений.

Способы проверки подлинности для трафика между транспортными серверами-концентраторами и серверами почтовых ящиков отличаются, если роли транспортного сервера-концентратора и сервера почтовых ящиков установлены на одном компьютере. При локальной передаче почты используется проверка подлинности Kerberos. При удаленной передаче почты используется проверка подлинности NTLM.

Exchange 2007 также поддерживает безопасность домена. Безопасность домена — это набор функций Exchange 2007 и Microsoft Office Outlook 2007, которые являются недорогой альтернативой S/MIME и другим решениям для обеспечения безопасности передачи сообщений через Интернет. Цель набора функций безопасности домена заключается в предоставлении администраторам способа управления безопасными путями сообщений между доменами через Интернет. После настройки таких безопасных путей сообщения от прошедших проверку подлинности отправителей, которые успешно переданы по безопасному пути, отображаются для пользователей как "защищенные на уровне домена" в интерфейсе Outlook и Outlook Web Access . Дополнительные сведения см. в разделе Планирование безопасности домена.

Многие агенты могут выполняться как на транспортных серверах-концентраторах, так и на пограничных транспортных серверах. Как правило, агенты защиты от нежелательной почты используют сведения локального компьютера, на котором они выполняются. Таким образом, практически не требуется взаимодействие с удаленными компьютерами. Исключением является фильтрация получателей. Эта функция требует вызовов ADAM или Active Directory. Фильтрацию получателей рекомендуется выполнять на пограничном транспортном сервере. В этом случае каталог ADAM находится на том же компьютере, что и пограничный транспортный сервер, поэтому удаленная связь не требуется. Если функция фильтрации получателей установлена и настроена на транспортном сервере-концентраторе, необходим доступ к Active Directory.

Агент анализа протокола используется функцией репутации отправителя в Exchange 2007. Этот агент также подключается к различным внешним прокси-серверам, чтобы определить пути входящих сообщений для подозрительных подключений.

Все остальные функции защиты от нежелательной почты используют данные, которые собираются, хранятся и используются только на локальном компьютере. Зачастую такие данные, как объединенные списки надежных отправителей или данные получателей для фильтрации получателей, принудительно отправляются в локальный каталог ADAM с помощью службы Microsoft Exchange EdgeSync.

Функции ведения журнала и классификации сообщений работают на транспортных серверах-концентраторах и используют данные Active Directory.

Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

Между собой узлы кластера взаимодействуют через UDP-порт 3343. Каждый узел кластера периодически обменивается с остальными узлами кластера последовательными одноадресными UDP-датаграммами. Этот обмен выполняется с целью определения правильности работы всех узлов, а также для наблюдения за работоспособностью сетевых соединений.

Хотя приложения или клиенты WebDav могут подключаться к серверу почтовых ящиков через TCP-порт 80 или 443, в большинстве случаев они подключаются к серверу клиентского доступа. После этого сервер клиентского доступа подключается к серверу почтовых ящиков через TCP-порт 80 или 443.

Для пути данных при кластеризации, приведенном в таблице «Пути данных для серверов почтовых ящиков» данного раздела, используется динамический протокол RPC (TCP) для передачи данных о состоянии и активности кластера между узлами кластера. Служба кластеров (ClusSvc.exe) также использует UDP-порт 3343 и случайным образом назначенные TCP-порты с высокими номерами для взаимодействия между узлами кластера.

Сервер клиентского доступа взаимодействует с сервером почтовых ящиков, используя множество портов. За некоторыми исключениями эти порты определяются службой удаленного вызова процедур (RPC) и не являются фиксированными. Можно указать диапазон динамических портов, используемых службой RPC. Дополнительные сведения об ограничении диапазона динамических портов, используемых службой RPC, см. в статье 154596 базы знаний Майкрософт Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Важно!
Конфигурации, в которых в пределах одного сайта Active Directory между серверами клиентского доступа и серверами почтовых ящиков находится брандмауэр, не поддерживаются.

Важно!

Не поддерживаются конфигурации, в которых сервер клиентского доступа установлен в демилитаризованной зоне. Сервер клиентского доступа должен быть членом домена Active Directory, а учетная запись компьютера с сервером клиентского доступа должна быть членом группы безопасности Active Directory «Серверы Exchange». Группе безопасности Active Directory «Серверы Exchange» разрешен доступ для чтения и записи ко всем серверам Exchange в организации. Взаимодействие между сервером клиентского доступа и серверами почтовых ящиков в организации осуществляется с помощью RPC. Именно поэтому не поддерживается установка сервера клиентского доступа в демилитаризованной зоне.

Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

При взаимодействии сервера клиентского доступа Exchange 2007 с сервером почтовых ящиков, на котором установлена версия Exchange Server 2003, рекомендуется использовать Kerberos и отключить проверку подлинности NTLM и обычную проверку подлинности. Кроме того, рекомендуется настроить веб-клиент Outlook на использование проверки подлинности на основе форм с доверенным сертификатом. Для того, чтобы клиенты Exchange ActiveSync могли взаимодействовать, используя все от сервера клиентского доступа Exchange 2007 до фонового сервера Exchange 2003, необходимо включать интегрированную проверку подлинности Windows для виртуального каталога Microsoft-Server-ActiveSync на фоновом сервере Exchange 2003. Чтобы использовать диспетчер Exchange на сервере с Exchange 2003 для управления проверкой подлинности в виртуальном каталоге Exchange 2003, загрузите и установите исправление, описанное в статье 937301 базы знаний Майкрософт Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server (на английском языке).

При создании в Active Directory объекта шлюза IP единой системы обмена сообщениями необходимо определить IP-адрес физического шлюза IP или IP PBX (АТС). При определении IP-адреса объекта шлюза IP единой системы обмена сообщениями IP-адрес добавляется в список допустимых шлюзов IP, с которыми разрешено взаимодействовать серверу единой системы обмена сообщениями. При создании шлюза IP единой системы обмена сообщениями он сопоставляется с абонентской группой единой системы обмена сообщениями. Сопоставление шлюза IP единой системы обмена сообщениями с абонентской группой позволяет серверам единой системы обмена сообщениями, сопоставленным с абонентской группой, использовать проверку подлинности на основе IP-адреса для взаимодействия со шлюзом IP. Если шлюз IP единой системы обмена сообщениями не создан или не настроен на использование правильного IP-адреса, произойдет сбой проверки подлинности, а серверы единой системы обмена сообщениями не будут принимать подключения с IP-адреса данного шлюза IP.

В исходной окончательной первоначальной (RTM) версии Exchange 2007 сервер единой системы обмена сообщениями может взаимодействовать либо через TCP-порт 5060 (небезопасный), либо через TCP-порт 5061 (безопасный), но не через оба порта.

Дополнительные сведения см. в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями.