Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-04-22
В этом разделе приведены сведения о портах, проверке подлинности и шифровании для всех путей к данным, используемых в системе Microsoft Exchange Server 2010. Раздел «Примечания» после каждой таблицы уточняет или определяет нестандартные способы проверки подлинности или шифрования.
В системе Exchange 2010 существует две роли сервера, которые выполняют функции транспортировки сообщений: транспортный сервер-концентратор и пограничный транспортный сервер.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей к данным между этими транспортными серверами и другими серверами и службами Exchange 2010.
Путь данных | Требуемые порты | Поддержка шифрования | |||
---|---|---|---|---|---|
Между двумя транспортными серверами-концентраторами |
Да, с помощью TLS (Transport Layer Security) |
||||
С транспортного сервера-концентратора на пограничный транспортный сервер |
Прямое доверие |
Прямое доверие |
Да, с использованием TLS |
||
С пограничного транспортного сервера на транспортный сервер-концентратор |
Прямое доверие |
Прямое доверие |
Да, с использованием TLS |
||
Между двумя пограничными транспортными серверами |
Анонимно, проверка подлинности с помощью сертификата |
Анонимно, с помощью сертификата |
Да, с использованием TLS |
||
С сервера почтовых ящиков на через службу отправки почты Microsoft Exchange |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos. |
Да, с помощью шифрования RPC |
|||
С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков установлены на одном сервере, используется протокол Kerberos. |
Да, с помощью шифрования RPC |
|||
Да, с использованием TLS |
|||||
Служба Microsoft Exchange EdgeSync с транспортного сервера-концентратора на пограничный транспортный сервер |
Да, с помощью LDAP через SSL (LDAPS) |
||||
Доступ Служба каталогов Active Directory из транспортного сервера-концентратора |
|||||
Доступ к службе управления правами Служба каталогов Active Directory (AD RMS) с транспортного сервера-концентратора |
Да, с помощью SSL |
||||
Клиенты SMTP на транспортный сервер-концентратор (например, конечные пользователи с помощью почты Windows Live) |
Да, с использованием TLS |
На серверах почтовых ящиков использование проверки подлинности NTLM или Kerberos зависит от контекста пользователя или процесса, в рамках которого работает потребитель уровня бизнес-логики Exchange. В таком контексте потребителями являются любые приложения или процессы, использующие уровень бизнес-логики Exchange. В результате в столбце Проверка подлинности по умолчанию таблицы Пути к данным для серверов почтовых ящиков для многих строк указано значение NTLM/Kerberos .
Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия с внешними приложениями и процессами.
Если потребитель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе потребителя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера "Локальная система", а также требуется двустороннее доверие с проверкой подлинности.
Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется проверка подлинности NTLM.
Трафик RPC всегда шифруется.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.
Путь к данным | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Да, с помощью шифрования Kerberos |
||||
Административный удаленный доступ (удаленный реестр) |
Да, с помощью IPsec |
||||
Административный удаленный доступ (SMB, файлы) |
Да, с помощью IPsec |
||||
Веб-служба доступности (клиентский доступ к почтовому ящику) |
Да, с помощью шифрования RPC |
||||
Кластеризация |
Да, с помощью шифрования RPC |
||||
Между серверами клиентского доступа (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos, проверка подлинности с помощью сертификата |
Да, с помощью HTTPS |
Да, с использованием самозаверяющего сертификата |
|
Между серверами клиентского доступа (Outlook Web Access) |
80/TCP, 443/TCP (HTTPS) |
Да, с помощью SSL |
|||
Сервер клиентского доступа к серверу клиентского доступа (веб-службы Exchange) |
Да, с помощью SSL |
||||
Сервер клиентского доступа к серверу клиентского доступа (POP3) |
Да, с помощью SSL |
||||
Сервер клиентского доступа к серверу клиентского доступа (IMAP4) |
Да, с помощью SSL |
||||
Сервер Office Communications Server к серверу клиентского доступа (когда включена интеграция Office Communications Server и Outlook Web App) |
5075-5077/TCP (ВХОД), 5061/TCP (ВЫХОД) |
mTLS (обязательно) |
mTLS (обязательно) |
Да, с помощью SSL |
Шлюзы IP и УАТС, работающие по протоколу IP, поддерживают только проверку подлинности с помощью сертификата, при которой используется проверка подлинности Mutual TLS для шифрования трафика SIP и проверка подлинности на основе IP-адреса для подключений по протоколам SIP или TCP. Шлюзы IP не поддерживают проверку подлинности NTLM и Kerberos. Таким образом, при использовании проверки подлинности на основе IP-адреса в качестве механизма проверки подлинности для незашифрованных подключений (TCP) используются IP-адреса подключений. При использовании в единой системе обмена сообщениями проверки подлинности на основе IP-адресов проверяет, разрешено ли данному IP-адресу подключаться. IP-адрес настраивается на шлюзе IP или IP PBX.
Шлюзы IP и УАТС, работающие по протоколу IP, поддерживают Mutual TLS для шифрования трафика SIP. После успешного импорта и экспорта необходимых доверенных сертификатов шлюз IP или УАТС, работающая по протоколу IP, будет запрашивать сертификат у сервера единой системы обмена сообщениями, а затем запрашивать сертификат у шлюза IP или УАТС, работающей по протоколу IP. Обмен доверенными сертификатами между шлюзом IP или УАТС, работающей по протоколу IP, и сервером единой системы обмена сообщениями позволяет обоим устройствам взаимодействовать по безопасному каналу с помощью Mutual TLS.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами единой системы обмена сообщениями и другими серверами.
Путь к данным | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
---|---|---|---|---|---|
Доступ к Служба каталогов Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Да, с помощью шифрования Kerberos |
|||
Телефонное взаимодействие единой системы обмена сообщениями (шлюз IP PBX/VoIP) |
5060/TCP , 5065/TCP, 5067/TCP (в незащищенном режиме), 5061/TCP, 5066/TCP, 5068/TCP (в защищенном режиме), динамический порт из диапазона 16000-17000/TCP (управление), динамические порты UDP из диапазона 1024-65535/UDP (RTP) |
По IP-адресу |
По IP-адресу, MTLS |
Да, с помощью SIP/TLS, SRTP |
|
Веб-служба единой системы обмена сообщениями |
80/TCP, 443/TCP (SSL) |
Интегрированная проверка подлинности Windows (Negotiate) |
Да, с помощью SSL |
||
С сервера единой системы обмена сообщениями на сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
Встроенная проверка подлинности Windows (согласование) |
Обычная, дайджест-проверка подлинности, NTLM, согласование (Kerberos) |
Да, с помощью SSL |
|
С сервера единой системы обмена сообщениями на сервер клиентского доступа (воспроизведение на телефоне) |
Динамический RPC |
Да, с помощью шифрования RPC |
|||
С сервера единой системы обмена сообщениями на транспортный сервер-концентратор |
Да, с использованием TLS |
||||
С сервера единой системы обмена сообщениями на сервер почтовых ящиков |
Да, с помощью шифрования RPC |
Дополнительные сведения см. в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями .
Брандмауэр Windows в режиме повышенной безопасности - это брандмауэр с отслеживанием состояния на основе компьютера, который осуществляет фильтрацию входящего и исходящего трафиков на основе правил брандмауэра. Программа установки Exchange 2010 создает правила брандмауэра Windows для открытия портов, необходимых для взаимодействия сервера и клиента, в каждой роли сервера. Таким образом, больше не требуется использовать мастер настройки безопасности для настройки этих параметров. Дополнительные сведения о брандмауэре Windows в режиме повышенной безопасности см. в статье Брандмауэр Windows в режиме повышенной безопасности и IPsec (страница может быть на английском языке).
В следующей таблице приведены правила брандмауэра Windows, создаваемые программой установки Exchange, включая порты, открытые в каждой роли сервера. Эти правила можно просмотреть с помощью оснастки консоли MMC брандмауэра Windows в режиме повышенной безопасности.
Имя правила | Роли сервера | Порт | Программа |
---|---|---|---|
MSExchangeADTopology - RPC (TCP-входящий) |
Динамический RPC |
Bin\MSExchangeADTopologyService.exe |
|
MSExchangeMonitoring - RPC (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, пограничный транспортный сервер, сервер единой системы обмена сообщениями |
Динамический RPC |
Bin\Microsoft.Exchange.Management.Monitoring.exe |
MSExchangeServiceHost - RPC (TCP-входящий) |
Динамический RPC |
Bin\Microsoft.Exchange.ServiceHost.exe |
|
MSExchangeServiceHost - RPCEPMap (TCP-входящий) |
Bin\Microsoft.Exchange.Service.Host |
||
MSExchangeRPCEPMap (GFW) (TCP-входящий) |
|||
MSExchangeRPC (GFW) (TCP-входящий) |
Сервер клиентского доступа, транспортный сервер-концентратор, сервер почтовых ящиков, сервер единой системы обмена сообщениями |
Динамический RPC |
|
MSExchange - IMAP4 (GFW) (TCP-входящий) |
Сервер клиентского доступа |
||
MSExchangeIMAP4 (TCP-входящий) |
Сервер клиентского доступа |
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe |
|
MSExchange - POP3 (FGW) (TCP-входящий) |
Сервер клиентского доступа |
||
MSExchange - POP3 (TCP-входящий) |
Сервер клиентского доступа |
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe |
|
MSExchange - OWA (GFW) (TCP-входящий) |
Сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
|
MSExchangeOWAAppPool (TCP-входящий) |
Сервер клиентского доступа |
5075, 5076, 5077 (TCP) |
Inetsrv\w3wp.exe |
MSExchangeAB RPC (TCP-входящий) |
Сервер клиентского доступа |
Динамический RPC |
|
MSExchangeAB-RPCEPMap (TCP-входящий) |
Сервер клиентского доступа |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
|
MSExchangeAB-RpcHttp (TCP-входящий) |
Сервер клиентского доступа |
6002, 6004 (TCP) |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
RpcHttpLBS (TCP-входящий) |
Сервер клиентского доступа |
Динамический RPC |
System32\Svchost.exe |
MSExchangeRPC - RPC (TCP-входящий) |
Динамический RPC |
||
MSExchangeRPC - PRCEPMap (TCP-входящий) |
Сервер клиентского доступа, сервер почтовых ящиков |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
|
MSExchangeRPC (TCP-входящий) |
Сервер клиентского доступа, сервер почтовых ящиков |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
|
MSExchangeMailboxReplication (GFW) (TCP-входящий) |
Сервер клиентского доступа |
||
MSExchangeMailboxReplication (TCP-входящий) |
Сервер клиентского доступа |
Bin\MSExchangeMailboxReplication.exe |
|
MSExchangeIS - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
|
MSExchangeIS RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
||
MSExchangeIS (GFW) (TCP-входящий) |
Сервер почтовых ящиков |
6001, 6002, 6003, 6004 (TCP) |
|
MSExchangeIS (TCP-входящий) |
Сервер почтовых ящиков |
||
MSExchangeMailboxAssistants - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
|
MSExchangeMailboxAssistants - RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeMailboxAssistants.exe |
|
MSExchangeMailSubmission - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
|
MSExchangeMailSubmission - RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeMailSubmission.exe |
|
MSExchangeMigration - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeMigration.exe |
MSExchangeMigration - RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeMigration.exe |
|
MSExchangerepl - Log Copier (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeRepl.exe |
|
MSExchangerepl - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC-EPMap (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeRepl.exe |
|
MSExchangeSearch - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeThrottling - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
Bin\MSExchangeThrottling.exe |
MSExchangeThrottling - RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
Bin\MSExchangeThrottling.exe |
|
MSFTED - RPC (TCP-входящий) |
Сервер почтовых ящиков |
Динамический RPC |
|
MSFTED - RPCEPMap (TCP-входящий) |
Сервер почтовых ящиков |
||
MSExchangeEdgeSync - RPC (TCP-входящий) |
Транспортный сервер-концентратор |
Динамический RPC |
|
MSExchangeEdgeSync RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
|
MSExchangeTransportWorker - RPC (TCP-входящий) |
Транспортный сервер-концентратор |
Динамический RPC |
Bin\edgetransport.exe |
MSExchangeTransportWorker - RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор |
Bin\edgetransport.exe |
|
MSExchangeTransportWorker (GFW) (TCP-входящий) |
Транспортный сервер-концентратор |
||
MSExchangeTransportWorker (TCP-входящий) |
Транспортный сервер-концентратор |
Bin\edgetransport.exe |
|
MSExchangeTransportLogSearch - RPC (TCP-входящий) |
Динамический RPC |
||
MSExchangeTransportLogSearch - RPCEPMap (TCP-входящий) |
Транспортный сервер-концентратор, пограничный транспортный сервер, сервер почтовых ящиков |
Bin\MSExchangeTransportLogSearch.exe |
|
SESWorker (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
||
SESWorker (TCP-входящий) |
Сервер единой системы обмена сообщениями |
UnifiedMessaging\SESWorker.exe |
|
UMService (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
||
UMService (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Bin\UMService.exe |
|
UMWorkerProcess (GFW) (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5065, 5066, 5067, 5068 |
|
UMWorkerProcess (TCP-входящий) |
Сервер единой системы обмена сообщениями |
5065, 5066, 5067, 5068 |
Bin\UMWorkerProcess.exe |
UMWorkerProcess - RPC (TCP-входящий) |
Сервер единой системы обмена сообщениями |
Динамический RPC |
Bin\UMWorkerProcess.exe |
Дополнительные сведения см. в статье 179442 базы знаний Microsoft
What TCP and UDP ports does my Exchange 2000/2003 Server use?
For purposes of configuring firewalls or for troubleshooting communications issues, it may be useful to know what TCP/UDP ports Exchange 2000 Server and Exchange 2000 Conferencing Server are using. This article is also true for Exchange Server 2003 installations.
Protocol: LDAP
Protocol: LDAP/SSL
Protocol: LDAP
Protocol: LDAP
Protocol: LDAP
Protocol: LDAP/SSL
Protocol: IMAP4
Protocol: IMAP4/SSL
Protocol: POP3
Protocol: POP3/SSL
Protocol: NNTP
Protocol: NNTP/SSL
Port (TCP/UDP): 563 (TCP)
Description: NNTP over SSL. To enable NNTP over SSL, you must install a Computer certificate on the Exchange 2000 Server.
Protocol: HTTP
Protocol: HTTP/SSL
Protocol: SMTP
Protocol: SMTP/SSL
Protocol: SMTP/LSA
Protocol: RVP
Protocol: IRC/IRCX
Protocol: IRC/SSL
Protocol: X.400
Protocol: MS-RPC
For additional information, click the article numbers below to view the articles in the Microsoft Knowledge Base:
XADM: Setting TCP/IP Port Numbers for Internet Firewalls
XCON: Configuring MTA TCP/IP Port # for X.400 and RPC Listens
Protocol: T.120
Protocol: ULS
Protocol: H.323 (Video)
Protocol: Audio
Если вы пытаетесь добавить вашу учетную запись на Outlook.com в другое почтовое приложение, вам могут потребоваться параметры POP, IMAP или SMTP для Outlook.com. Вы можете найти их ниже или по ссылке Настройка POP и IMAP на Outlook.com .
Если вы хотите добавить свою учетную запись Outlook.com на интеллектуальное устройство, например на камеру для защиты домашних компьютеров, вам понадобится пароль приложения. Дополнительные сведения можно найти в статье Добавление учетной записи Outlook.com в другое почтовое приложение или интеллектуальное устройство .
Параметры POP, IMAP и SMTP для Outlook.com
Если вы хотите добавить учетную запись Outlook.com в другую почтовую программу, поддерживающую протокол POP или IMAP, используйте указанные ниже параметры сервера.
Примечания:
Имя сервера IMAP Outlook.Office365.com
Порт IMAP : 993
Метод шифрования IMAP TLS
Outlook.office365.com имя сервера POP
POP-порт : 995
Метод шифрования POP TLS
Имя SMTP-сервера SMTP.Office365.com
Порт SMTP : 587
Метод шифрования SMTP STARTTLS
Включите доступ по протоколу POP в Outlook.com
Если вы хотите получать доступ к почте в Outlook.com по протоколу POP, вам потребуется включить его.
Измените настройки вашего почтового провайдера
Если вы пытаетесь подключить другую учетную запись к Outlook.com с помощью протокола POP, вам может понадобиться изменить некоторые настройки вашего почтового провайдера для того, чтобы наладить подключение, которое могло быть заблокировано.
Для учетных записей Gmail с доступом по протоколу POP, .
Для учетных записей Yahoo с доступом по протоколу POP, выполните указанные ниже действия .
При использовании других провайдеров электронной почты следует обратиться к ним за инструкциями для разблокировки подключения.
Outlook.com Ошибки подключения по протоколу IMAP
Если вы настроили учетную запись Outlook.com как IMAP в нескольких почтовых клиентах, возможно, вы получаете сообщение об ошибке подключения. Мы работаем над исправлением и обновляем эту статью, если у нас есть дополнительные сведения. В настоящее время попробуйте следующее решение:
Если вы используете Outlook.com для доступа к учетной записи, использующей домен, отличный от @live. com, @hotmail. com или @outlook. com, вы не сможете синхронизировать учетные записи по протоколу IMAP. Чтобы устранить эту проблему, удалите подключенную учетную запись IMAP в Outlook.com и перенастройте ее как подключение POP. Инструкции по повторной настройке учетной записи для использования POP можно узнать у поставщика учетной записи электронной почты.
Если вы используете учетную запись GoDaddy, следуйте этим инструкциям, чтобы изменить параметры учетной записи GoDaddy для использования подключения по протоколу POP . Если использование протокола POP не решило проблему, или необходимо включить протокол IMAP (отключен по умолчанию), следует обратиться в службу
В данной статье мы разберемся с тем, как настроить статические RPC порты для служб RPC Client Access, Exchange Address Book и службы доступа к общим папкам в Exchange 2010.
Представим, что у нас имеется сложная организация с Exchange Server 2010 SP1 (или выше), в которой в том числе имеется . Сервера CAS обычно располагаются в сети, отделенной межсетевыми экранами от сетей, из которых предполагается доступ пользователей (сети Outlook). Подключение клиента Outlook к серверу CAS происходит по RPC, а это значит на сетевом уровне может быть задействован любой порт из свободного диапазона портов. Не секрет, что в Windows Server 2008 и 2008 R2 в качестве динамического диапазона портов для RPC подключений используется диапазон 49152-65535 (в предыдущих версиях Windows Server использовались RPC порты в диапазоне 1025-65535).
Чтобы не превращать брандмауэры в «решето», желательно сузить диапазон используемых RPC портов, в идеале, сделав их статическими на каждом сервере Client Access Server в массиве Client Access. Кроме того использование статических RPC портов позволяет снизить потребления памяти на устройствах балансировки нагрузки (особенно HLB) и упростить их конфигурирование (не нужно указывать большие диапазоны портов).
В Exchange 2010 для службы RPC Client Access, а также для службы адресной книги Exchange можно задать статические порты. Outlook взаимодействует с данными службами через интерфейс MAPI.
Виртуальная служба Exchange 2010 RPC Client Access связана со службой доступа клиентов RPC Client, к которой в Exchange 2010 подключаются клиенты Outlook MAPI. Когда клиент Outlook подключается к Exchange, на сервере Exchange 2010 Client Access службой RPC Client Access для входящих подключений используется порт TCP End Point Mapper (TCP/135) и случайный порт из динамического диапазона портов RPC (6005-59530)
Чтобы в Exchange 2010 для службы RPC Client Access задать статический порт, необходимо в редакторе реестра открыть раздел:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC
Создайте новый ключ с именем ParametersSystem , внутри которого создайте параметр типа REG_DWORD с именем TCP/IP Port . В параметре TCP/IP Port задается статический порт для службы RPC Client Access. В документации Microsoft рекомендуется выбрать порт в диапазоне 59531 — 60554 , и использовать данное значение на всех серверах CAS (мы указали порт 59532, естественно, он не должен использоваться никаким другим ПО).
После заданий статического порта, чтобы изменения вступили в силу, нужно перезапустить службу Microsoft Exchange RPC Client Access.
Restart-Service MSExchangeRPC
В Exchange 2010 до выхода SP1 для задания статического порта службы Exchange 2010 Address Book использовался специальный конфигурационный файл Microsoft.exchange.addressbook.service.exe.config . После релиза Exchange 2010 SP1 задать статический порт данной службы можно через реестр. Для этого откройте редактор реестра и перейдите в ветку:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters
Создайте новый параметр RpcTcpPort (типа REG_SZ) и задайте ему номер порта, который необходимо зафиксировать для службы Exchange Address Book service. Рекомендуется использовать любой свободный порт в диапазоне 59531-60554 и в дальнейшем использовать его на всех серверах Exchange 2010 Client Access в домене. Мы зададим RpcTcpPort=59533
После этого необходимо перезапустить службу Microsoft Exchange Address Book
Restart-Service MSExchangeAB
Важно: При переходе с Exchange 2010 RTM на SP1 этот ключ нужно задавать вручную, автоматически он не наследуется.
Доступ к общим папкам из клиента Outlook осуществляется напрямую через службу RPC Client Access на сервере с ролью Mailbox. Данную настройку необходимо провести на всех серверах с ролью Mailbox, которые содержат базу общих папок (аналогично серверам CAS). Откройте редактор реестра и перейдите в ветку
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ MSExchangeRPC
Создайте новый ключ с именем ParametersSystem , внутри которого создайте параметр типа REG_DWORD с именем TCP/IP Port . Задайте его значение: TCP/IP Port = 59532.
Задав статически порт для общих папок, нужно перезапустить службу Microsoft Exchange RPC Client Access service на каждом mailbox сервере.
После внесенных изменений проверим, что Outlook подключается к заданным нами статическим RPC портам. Для этого на клиентской машине перезапустите Outlook, а затем в командной строке выполните команду:
Netstat -na
Www.microsoft.com
Статья Служба Exchange 2013 FrontEnd Transport является первой в цикле статей, повествующих о принципе работы служб транспорта Exchange Server 2013. В этой статье речь пойдет о Транспортной службе переднего плана на серверах клиентского доступа.
В 2013 версии сервера Exchange произошли достаточно сильные изменения в архитектуре и теперь существует всего две основные роли — сервер почтовых ящиков (Mailbox Server или сокращенно MBX) и сервер клиентского доступа (Client Access Server — CAS). Обособленно стоит роль пограничного транспортного сервера (Edge Transport). Служба Exchange 2013 FrontEnd Transport располагается на серверах CAS и выполняет функции прокси.
Это первая статья из серии, посвященной принципам работы служб транспортного конвейера Exchange 2013, а вот полный список:
А также статьи по управлению логированием этих служб:
Не забывайте об официальной документации.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — .
Так уж получилось, что теперь в сервере Exchange 2013 существует достаточно много служб транспорта, имеющих схожие название, но фундаментально отличающиеся по назначению и принципу работу. Вот все эти службы:
При этом сопоставимый функционал выполняют только вторая и четвертая служба, остальные отличаются принципиально. Вместе все они образуют транспортный конвейер, являющийся сердцем почтового сервера.
В общем плане транспортный конвейер выглядит следующим образом:
В контексте данной статьи нас интересует именно верхняя часть иллюстрации, на которой изображен Сервер клиентского доступа:
В этой схеме кроется один нюанс. Дело в том, что по умолчанию серверы MBX могут самостоятельно отправлять почту наружу через порт 25 SMTP. Чтобы соединитель отправки всегда отправлял почту в интернет через серверы клиентского доступа, нужно в явном виде установить у этого соединителя параметр FrontendProxyEnabled в значение $true (или в EAC поставить галочку на Прокси через сервер клиентского доступа в свойствах соединителя отправки). Именно от такой конфигурации я и буду отталкиваться в дальнейшем.
Ниже я постараюсь внести некоторые ясности в принцип работы серверов Exchange 2013 с ролью CAS.
FrontEnd Transport (в терминологии Microsoft — Служба транспорта переднего плана ) не занимается обработкой содержимого сообщений, не использует очередь сообщений и не взаимодействует с транспортной службой почтовых ящиков. Другими словами, серверы Exchange 2013 только с ролью CAS не хранят у себя данные ни на постоянной основе (используя БД), ни на временной (в очереди обработки сообщений) .
Тем не менее, служба транспорта переднего плана имеет собственных агентов транспорта (см. рисунок — Агенты протокола). Агенты позволяют расширять функционал почтового сервера Exchange путем добавления в логику обработки сообщений собственный код. Вызов агентов происходит при возникновении событий SMTP. Эти события, в свою очередь, генерируются на той или иной стадии обработки сообщений по мере их прохождения через транспортный конвейер. Стоит отметить, что большинство присутствующих по умолчанию агентов скрыты или их настройками управлять нельзя. Функционал агентов на CAS-серверах достаточно сильно ограничен и в полной мере присутствует только у ролей MBX и Edge.
На схеме (см. выше) Транспортной службы переднего плана сервера клиентского доступа обозначим на каждом входящем и исходящем соединении соответствующий порт, получив в итоге следующее представление:
За прослушивание подключений каждого порта, обозначенного на схеме, отвечает отдельный соединитель получения, которых по умолчанию при установке роли CAS создается три штуки:
Помимо видимых и доступных администратору соединителей, существуют также скрытые системные соединители отправки:
Кстати, первый соединитель в русскоязычной версии Exchange Server 2013 будет иметь имя Внутренний соединитель отправки для вход. подкл. прокси-сервера , а второй — Соединитель отправки прокси клиента . Это на всякий случай, чтобы не прийти в ступор при первой встрече с этими коннекторами.
В итоге получаем следующую полную таблицу:
Название | Назначение | Порт | Направление |
Default Frontend |
Прием | 25 | От внешних серверов |
Outbound Proxy Frontend |
Прием | 717 | От серверов MBX |
Client Frontend |
Прием | 587 | От внешних клиентов, защищенное подключение |
Client Proxy Send Connector | Отправка | 465 | На серверы MBX |
Inbound Proxy Internal Send Connector | Отправка | 25/2525 | На серверы MBX. Только подключения, принятые на 587 порту |
Созданный вручную соединитель отправки | Отправка | 25 | На внешние серверы |
Перенесем названия соединителей на схему Транспортной службы переднего плана .