Exchange端口映射資料

1、Good is good, but better carries it.精益求精，善益求善。Exchange端口映射-傳輸服務(wù)器Exchange2010包含兩個(gè)執(zhí)行郵件傳輸功能的服務(wù)器角色：集線器傳輸服務(wù)器和邊緣傳輸服務(wù)器。下表提供這些傳輸服務(wù)器之間以及與其他Exchange2010服務(wù)器和服務(wù)之間的數(shù)據(jù)路徑的端口、身份驗(yàn)證和加密的有關(guān)信息。傳輸服務(wù)器的數(shù)據(jù)路徑數(shù)據(jù)路徑所需端口默認(rèn)身份驗(yàn)證支持的身份驗(yàn)證是否支持加密？默認(rèn)是否加密？集線器傳輸服務(wù)器到集線器傳輸服務(wù)器25/TCP(SMTP)KerberosKerberos是，使用傳輸層安全性(TLS)是集線器傳輸服務(wù)器到邊緣傳輸服務(wù)器25/TCP

2、(SMTP)直接信任直接信任是，使用TLS是邊緣傳輸服務(wù)器到集線器傳輸服務(wù)器25/TCP(SMTP)直接信任直接信任是，使用TLS是邊緣傳輸服務(wù)器到邊緣傳輸服務(wù)器25/TCPSMTP匿名、證書匿名、證書是，使用TLS是郵箱服務(wù)器到集線器傳輸服務(wù)器（通過MicrosoftExchange郵件提交服務(wù)）135/TCP(RPC)NTLM。如果集線器傳輸和郵箱服務(wù)器角色位于同一服務(wù)器上，則使用Kerberos。NTLM/Kerberos是，使用RPC加密是集線器傳輸服務(wù)器到郵箱服務(wù)器（通過MAPI）135/TCP(RPC)NTLM。如果集線器傳輸和郵箱服務(wù)器角色位于同一服務(wù)器上，則使用Kerberos

3、。NTLM/Kerberos是，使用RPC加密是統(tǒng)一消息服務(wù)器到集線器傳輸服務(wù)器25/TCP(SMTP)KerberosKerberos是，使用TLS是MicrosoftExchangeEdgeSync服務(wù)（從集線器傳輸服務(wù)器到邊緣傳輸服務(wù)器）50636/TCP(SSL)基本基本是，使用SSL上的LDAP(LDAPS)是ActiveDirectory從集線器傳輸服務(wù)器訪問389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UDP(Kerberos)、53/TCP/UDP(DNS)、135/TCP(RPCnetlogon)KerberosKerberos是，使用K

4、erberos加密是ActiveDirectory權(quán)限管理服務(wù)(ADRMS)（從集線器傳輸服務(wù)器訪問）443/TCP(HTTPS)NTLM/KerberosNTLM/Kerberos是，使用SSL是*從SMTP客戶端到集線器傳輸服務(wù)器（例如，使用WindowsLiveMail的最終用戶）587(SMTP)25/TCP(SMTP)NTLM/KerberosNTLM/Kerberos是，使用TLS是有關(guān)傳輸服務(wù)器的注釋集線器傳輸服務(wù)器之間的所有通信均使用具有自簽名證書的TLS進(jìn)行加密，這些證書通過Exchange2010安裝程序安裝。注意：在Exchange2010中，可以在集線器傳輸服務(wù)器上禁用

5、TLS，以便與同一Exchange組織中的其他集線器傳輸服務(wù)器進(jìn)行內(nèi)部SMTP通信。除非絕對(duì)需要，否則建議不要執(zhí)行此操作。有關(guān)詳細(xì)信息，請(qǐng)參閱HYPERLINK/zh-cn/ee633456(EXCHG.140).aspx禁用ActiveDirectory站點(diǎn)間的TLS以支持WAN優(yōu)化。邊緣傳輸服務(wù)器與集線器傳輸服務(wù)器之間的所有通信均進(jìn)行身份驗(yàn)證并加密。MutualTLS是基礎(chǔ)的身份驗(yàn)證和加密機(jī)制。Exchange2010使用直接信任（而不是使用X.509驗(yàn)證）來驗(yàn)證證書。直接信任意味著ActiveDirectory或ActiveDirectory輕型目錄服務(wù)(ADLDS)中存在證書即證明證書

6、有效。ActiveDirectory被視為是受信任的存儲(chǔ)機(jī)制。使用直接信任時(shí)，證書是自簽名還是由證書頒發(fā)機(jī)構(gòu)(CA)簽名并不重要。為邊緣傳輸服務(wù)器訂閱Exchange組織時(shí)，邊緣訂閱將在ActiveDirectory中發(fā)布邊緣傳輸服務(wù)器證書，以便集線器傳輸服務(wù)器進(jìn)行驗(yàn)證。MicrosoftExchangeEdgeSync服務(wù)使用集線器傳輸服務(wù)器證書集更新ADLDS，以便邊緣傳輸服務(wù)器進(jìn)行驗(yàn)證。EdgeSync通過TCP50636使用從集線器傳輸服務(wù)器到訂閱的邊緣傳輸服務(wù)器的安全LDAP連接。ADLDS還會(huì)偵聽TCP50389。不使用SSL連接到該端口。您可以使用LDAP實(shí)用程序連接到該端口并檢

7、查ADLDS數(shù)據(jù)。默認(rèn)情況下，兩個(gè)不同組織中的邊緣傳輸服務(wù)器之間的通信將進(jìn)行加密。Exchange2010Setup創(chuàng)建一個(gè)自簽名證書，并且默認(rèn)啟用TLS。這樣，任何發(fā)送系統(tǒng)都可以對(duì)Exchange的入站SMTP會(huì)話進(jìn)行加密。默認(rèn)情況下，Exchange2010還對(duì)所有遠(yuǎn)程連接嘗試實(shí)現(xiàn)TLS。當(dāng)集線器傳輸服務(wù)器角色和郵箱服務(wù)器角色安裝在同一臺(tái)計(jì)算機(jī)上時(shí)，對(duì)集線器傳輸服務(wù)器與郵箱服務(wù)器之間的通信的身份驗(yàn)證方法將有所不同。如果是本地郵件提交，則使用Kerberos身份驗(yàn)證。如果是遠(yuǎn)程郵件提交，則使用NTLM身份驗(yàn)證。Exchange2010還支持域安全。域安全性是指Exchange2010和Mic

8、rosoftOutlook2010中的功能，它提供一種低成本的備選安全解決方案，可代替S/MIME或其他郵件級(jí)Internet安全解決方案。域安全提供了一種通過Internet管理域之間的安全郵件路徑的方式。配置這些安全郵件路徑后，通過安全路徑從已通過身份驗(yàn)證的發(fā)件人成功傳輸?shù)泥]件將對(duì)Outlook和OutlookWebAccess用戶顯示為“域安全”。有關(guān)詳細(xì)信息，請(qǐng)參閱HYPERLINK/zh-cn/bb124392(EXCHG.140).aspx了解域安全性。許多代理可以在集線器傳輸服務(wù)器和邊緣傳輸服務(wù)器上運(yùn)行。通常，反垃圾郵件代理依賴于運(yùn)行代理的計(jì)算機(jī)上的本地信息。因此，幾乎不需要與遠(yuǎn)

9、程計(jì)算機(jī)進(jìn)行通信。收件人篩選是例外情況。收件人篩選需要呼叫ADLDS或ActiveDirectory。作為最佳實(shí)踐，應(yīng)在邊緣傳輸服務(wù)器上運(yùn)行收件人篩選。在這種情況下，ADLDS目錄與邊緣傳輸服務(wù)器位于同一臺(tái)計(jì)算機(jī)上，不需要進(jìn)行任何遠(yuǎn)程通信。在集線器傳輸服務(wù)器上安裝并配置了收件人篩選后，收件人篩選將訪問ActiveDirectory。協(xié)議分析代理供Exchange2010中的發(fā)件人信譽(yù)功能使用。此代理還與外部代理服務(wù)器建立各種連接，以確定入站郵件路徑中的可疑連接。所有其他反垃圾郵件功能只使用本地計(jì)算機(jī)上收集、存儲(chǔ)和訪問的數(shù)據(jù)。通常，使用MicrosoftExchangeEdgeSync服務(wù)將數(shù)據(jù)

10、（例如用于收件人篩選的安全列表聚合或收件人數(shù)據(jù)）推送到本地ADLDS目錄。集線器傳輸服務(wù)器上的信息權(quán)限管理(IRM)代理可以建立到組織中的ActiveDirectory權(quán)限管理服務(wù)(ADRMS)服務(wù)器的連接。ADRMS是一個(gè)Web服務(wù)，通過使用SSL作為最佳做法進(jìn)行安全保護(hù)。是否使用HTTPS與ADRMS服務(wù)器進(jìn)行通信、使用Kerberos還是NTLM進(jìn)行身份驗(yàn)證，具體取決于ADRMS服務(wù)器的配置。日記規(guī)則、傳輸規(guī)則和郵件分類存儲(chǔ)在ActiveDirectory中，可以通過集線器傳輸服務(wù)器上的日記代理和傳輸規(guī)則代理進(jìn)行訪問。郵箱服務(wù)器對(duì)郵箱服務(wù)器使用NTLM還是Kerberos身份驗(yàn)證，取決于

11、Exchange業(yè)務(wù)邏輯層使用者運(yùn)行時(shí)的用戶或進(jìn)程上下文。在此上下文中，使用者是使用Exchange業(yè)務(wù)邏輯層的任何應(yīng)用程序或進(jìn)程。因此，“郵箱服務(wù)器數(shù)據(jù)路徑”表的“默認(rèn)身份驗(yàn)證”列中的許多條目都以NTLM/Kerberos形式列出。Exchange業(yè)務(wù)邏輯層用于訪問Exchange存儲(chǔ)并與其進(jìn)行通信。也可以從Exchange存儲(chǔ)調(diào)用Exchange業(yè)務(wù)邏輯層，以便與外部應(yīng)用程序和進(jìn)程進(jìn)行通信。如果Exchange業(yè)務(wù)邏輯層使用者使用“本地系統(tǒng)”帳戶運(yùn)行，從使用者到Exchange存儲(chǔ)的身份驗(yàn)證方法始終是Kerberos。使用Kerberos的原因是，必須使用計(jì)算機(jī)帳戶“本地系統(tǒng)”對(duì)使用者進(jìn)行

12、身份驗(yàn)證，并且必須存在已通過雙向身份驗(yàn)證的信任。如果Exchange業(yè)務(wù)邏輯層使用者不是使用“本地系統(tǒng)”帳戶運(yùn)行，則身份驗(yàn)證方法是NTLM。例如，運(yùn)行使用Exchange業(yè)務(wù)邏輯層的Exchange命令行管理程序cmdlet時(shí)，將使用NTLM。RPC通信始終會(huì)進(jìn)行加密。下表提供與郵箱服務(wù)器之間的數(shù)據(jù)路徑的端口、身份驗(yàn)證和加密的有關(guān)信息。郵箱服務(wù)器的數(shù)據(jù)路徑數(shù)據(jù)路徑所需端口默認(rèn)身份驗(yàn)證支持的身份驗(yàn)證是否支持加密？默認(rèn)是否加密？ActiveDirectory訪問389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UDP(Kerberos)、53/TCP/UDP(DN

13、S)、135/TCP(RPCnetlogon)KerberosKerberos是，使用Kerberos加密是管理遠(yuǎn)程訪問（遠(yuǎn)程注冊(cè)表）135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用IPsec否管理遠(yuǎn)程訪問(SMB/文件)445/TCP(SMB)NTLM/KerberosNTLM/Kerberos是，使用IPsec否可用性Web服務(wù)（對(duì)郵箱的客戶端訪問）135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是群集135/TCP(RPC)。請(qǐng)參閱此表后面的HYPERLINK/zh-cn/bb331973(EXCHG.14

14、0).aspxlMBXNotes有關(guān)郵箱服務(wù)器的注釋。NTLM/KerberosNTLM/Kerberos是，使用IPsec否內(nèi)容索引135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是日志傳送64327（可自定義）NTLM/KerberosNTLM/Kerberos是否正在設(shè)定種子64327（可自定義）NTLM/KerberosNTLM/Kerberos是否卷影復(fù)制服務(wù)(VSS)備份本地消息塊(SMB)NTLM/KerberosNTLM/Kerberos否否郵箱助理135/TCP(RPC)NTLM/KerberosNTLM/Kerberos否否MA

15、PI訪問135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是MicrosoftExchangeActiveDirectory拓?fù)浞?wù)訪問135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是MicrosoftExchange系統(tǒng)助理服務(wù)舊版訪問（偵聽請(qǐng)求）135/TCP(RPC)NTLM/KerberosNTLM/Kerberos否否MicrosoftExchange系統(tǒng)助理服務(wù)舊版訪問（對(duì)ActiveDirectory）389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UD

16、P(Kerberos)、53/TCP/UDP(DNS)、135/TCP(RPCnetlogon)KerberosKerberos是，使用Kerberos加密是MicrosoftExchange系統(tǒng)助理服務(wù)舊版訪問（作為MAPI客戶端）135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是訪問ActiveDirectory的脫機(jī)通訊簿(OAB)135/TCP(RPC)KerberosKerberos是，使用RPC加密是Outlook訪問OAB80/TCP、443/TCP(SSL)NTLM/KerberosNTLM/Kerberos是，使用HTTPS否收件

17、人更新服務(wù)RPC訪問135/TCP(RPC)KerberosKerberos是，使用RPC加密是對(duì)ActiveDirectory的收件人更新389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UDP(Kerberos)、53/TCP/UDP(DNS)、135/TCP(RPCnetlogon)KerberosKerberos是，使用Kerberos加密是有關(guān)郵箱服務(wù)器的注釋上表中列出的“群集”數(shù)據(jù)路徑使用動(dòng)態(tài)RPCoverTCP在不同群集節(jié)點(diǎn)之間傳送群集狀態(tài)和活動(dòng)。群集服務(wù)(ClusSvc.exe)還使用UDP/3343以及隨機(jī)分配的高位TCP端口在群集節(jié)點(diǎn)之間進(jìn)

18、行通信。對(duì)于節(jié)點(diǎn)內(nèi)通信，群集節(jié)點(diǎn)通過用戶報(bào)協(xié)議(UDP)端口3343進(jìn)行通信。群集中的每個(gè)節(jié)點(diǎn)定期與群集中的每個(gè)其他節(jié)點(diǎn)交換順序的單播UDP數(shù)據(jù)報(bào)。此交換的目的是確定所有節(jié)點(diǎn)是否正常運(yùn)行并監(jiān)視網(wǎng)絡(luò)鏈接的運(yùn)行狀況。端口64327/TCP是用于日志傳送的默認(rèn)端口。管理員可以為日志傳送指定其他端口。對(duì)于列出了“協(xié)商”的HTTP身份驗(yàn)證，先嘗試使用Kerberos，然后再嘗試使用NTLM?？蛻舳嗽L問服務(wù)器除非特別說明，否則，客戶端訪問技術(shù)（例如OutlookWebApp、POP3或IMAP4）將通過從客戶端應(yīng)用程序到客戶端訪問服務(wù)器的身份驗(yàn)證和加密進(jìn)行描述。下表提供客戶端訪問服務(wù)器與其他服務(wù)器和客戶端

19、之間的數(shù)據(jù)路徑的端口、身份驗(yàn)證和加密的有關(guān)信息?？蛻舳嗽L問服務(wù)器的數(shù)據(jù)路徑數(shù)據(jù)路徑所需端口默認(rèn)身份驗(yàn)證支持的身份驗(yàn)證是否支持加密？默認(rèn)是否加密？ActiveDirectory訪問389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UDP(Kerberos)、53/TCP/UDP(DNS)、135/TCP(RPCnetlogon)KerberosKerberos是，使用Kerberos加密是自動(dòng)發(fā)現(xiàn)服務(wù)80/TCP、443/TCP(SSL)基本/集成Windows身份驗(yàn)證（協(xié)商）基本、摘要式、NTLM、協(xié)商(Kerberos)是，使用HTTPS是可用性服務(wù)80/T

20、CP、443/TCP(SSL)NTLM/KerberosNTLM/Kerberos是，使用HTTPS是OutlookWeb應(yīng)用程序80/TCP、443/TCP(SSL)基于表單的身份驗(yàn)證基本、摘要式、基于表單的身份驗(yàn)證、NTLM（僅限v2）、Kerberos、證書是，使用HTTPS是，使用自簽名證書POP3110/TCP(TLS)、995/TCP(SSL)基本、Kerberos基本、Kerberos是，使用SSL、TLS是IMAP4143/TCP(TLS)、993/TCP(SSL)基本、Kerberos基本、Kerberos是，使用SSL、TLS是OutlookAnywhere（以前稱為RPC

21、overHTTP）80/TCP、443/TCP(SSL)基本基本或NTLM是，使用HTTPS是ExchangeActiveSync應(yīng)用程序80/TCP、443/TCP(SSL)基本基本、證書是，使用HTTPS是客戶端訪問服務(wù)器到統(tǒng)一消息服務(wù)器5060/TCP、5061/TCP、5062/TCP、動(dòng)態(tài)端口按IP地址按IP地址是，使用基于TLS的會(huì)話初始協(xié)議(SIP)是客戶端訪問服務(wù)器到運(yùn)行早期版本的ExchangeServer的郵箱服務(wù)器80/TCP、443/TCP(SSL)NTLM/Kerberos協(xié)商（可回退到NTLM或可選的基本身份驗(yàn)證的Kerberos）、POP/IMAP純文本是，使用I

22、Psec否客戶端訪問服務(wù)器到Exchange2010郵箱服務(wù)器RPC。請(qǐng)參閱HYPERLINK/zh-cn/bb331973(EXCHG.140).aspxlCASNotes有關(guān)客戶端訪問服務(wù)器的注釋。KerberosNTLM/Kerberos是，使用RPC加密是客戶端訪問服務(wù)器到客戶端訪問服務(wù)器(ExchangeActiveSync)80/TCP、443/TCP(SSL)KerberosKerberos、證書是，使用HTTPS是，使用自簽名證書客戶端訪問服務(wù)器到客戶端訪問服務(wù)器(OutlookWebAccess)80/TCP,443/TCP(HTTPS)KerberosKerberos是，使

23、用SSL是客戶端訪問服務(wù)器到客戶端訪問服務(wù)器（ExchangeWeb服務(wù)）443/TCP(HTTPS)KerberosKerberos是，使用SSL是客戶端訪問服務(wù)器到客戶端訪問服務(wù)器(POP3)995(SSL)基本基本是，使用SSL是客戶端訪問服務(wù)器到客戶端訪問服務(wù)器(IMAP4)993(SSL)基本基本是，使用SSL是注意：POP3或IMAP4客戶端連接不支持集成Windows身份驗(yàn)證(NTLM)。有關(guān)詳細(xì)信息，請(qǐng)參閱HYPERLINK/zh-cn/aa998911(EXCHG.140).aspx廢棄的功能和弱化的功能中的“客戶端訪問功能”部分。有關(guān)客戶端訪問服務(wù)器的注釋在Exchange

24、2010中，MAPI客戶端（如MicrosoftOutlook）連接到客戶端訪問服務(wù)器?？蛻舳嗽L問服務(wù)器使用多個(gè)端口與郵箱服務(wù)器進(jìn)行通信。不同的是，由RPC服務(wù)確定這些端口，并且不是固定的。對(duì)于列出了“協(xié)商”的HTTP身份驗(yàn)證，先嘗試使用Kerberos，然后再嘗試使用NTLM。當(dāng)Exchange2010客戶端訪問服務(wù)器與運(yùn)行ExchangeServer2003的郵箱服務(wù)器進(jìn)行通信時(shí)，最好使用Kerberos并禁用NTLM身份驗(yàn)證和基本身份驗(yàn)證。此外，最好將OutlookWebApp配置為通過受信任的證書使用基于表單的身份驗(yàn)證。為了使ExchangeActiveSync客戶端通過Exchang

25、e2010客戶端訪問服務(wù)器與Exchange2003后端服務(wù)器進(jìn)行通信，必須在Exchange2003后端服務(wù)器的Microsoft-Server-ActiveSync虛擬目錄中啟用Windows集成身份驗(yàn)證。若要在Exchange2003服務(wù)器上使用Exchange系統(tǒng)管理器管理Exchange2003虛擬目錄上的身份驗(yàn)證，請(qǐng)下載并安裝Microsoft知識(shí)庫(kù)文章937031HYPERLINK/fwlink/?linkid=3052&kbid=937031t_blank當(dāng)移動(dòng)設(shè)備連接至Exchange2007服務(wù)器以訪問Exchange2003后端服務(wù)器上的郵箱時(shí)，運(yùn)行CAS角色的Excha

26、nge2007服務(wù)器將記錄事件ID1036中引用的修補(bǔ)程序。注意：盡管此知識(shí)庫(kù)文章特定于Exchange2007，但也適用于Exchange2010。當(dāng)客戶端訪問服務(wù)器代理POP3向其他客戶端訪問服務(wù)器發(fā)送請(qǐng)求時(shí)，會(huì)通過端口995/TCP進(jìn)行通信，無論連接客戶端是使用POP3并請(qǐng)求TLS（位于端口110/TCP），還是使用SSL在端口995/TCP進(jìn)行連接。同樣，對(duì)于IMAP4連接，端口993/TCP用于代理請(qǐng)求，無論連接客戶端是使用IMAP4并請(qǐng)求TLS（位于端口443/TCP），還是使用帶SSL加密的IMAP4在端口995進(jìn)行連接。統(tǒng)一消息服務(wù)器IP網(wǎng)關(guān)和IPPBX僅支持基于證書的身份驗(yàn)證

27、，該身份驗(yàn)證使用MutualTLS對(duì)SIP通信進(jìn)行加密，并對(duì)會(huì)話初始協(xié)議(SIP)/TCP連接使用基于IP的身份驗(yàn)證。IP網(wǎng)關(guān)不支持NTLM或Kerberos身份驗(yàn)證。因此，在使用基于IP的身份驗(yàn)證時(shí)，將使用連接的IP地址為未加密(TCP)連接提供身份驗(yàn)證機(jī)制。在統(tǒng)一消息(UM)中使用基于IP的身份驗(yàn)證時(shí)，UM服務(wù)器將驗(yàn)證是否允許連接該IP地址。在IP網(wǎng)關(guān)或IPPBX上配置該IP地址。IP網(wǎng)關(guān)和IPPBX支持使用MutualTLS對(duì)SIP通信進(jìn)行加密。成功導(dǎo)入和導(dǎo)出所需的受信任證書后，IP網(wǎng)關(guān)或IPPBX會(huì)向UM服務(wù)器請(qǐng)求證書，然后再向IP網(wǎng)關(guān)或IPPBX請(qǐng)求證書。通過在IP網(wǎng)關(guān)或IPPBX與

28、UM服務(wù)器之間交換受信任證書，可以使IP網(wǎng)關(guān)或IPPBX與UM服務(wù)器能夠使用MutualTLS通過加密連接進(jìn)行通信。下表提供了UM服務(wù)器與其他服務(wù)器之間的數(shù)據(jù)路徑的端口、身份驗(yàn)證和加密的有關(guān)信息。統(tǒng)一消息服務(wù)器的數(shù)據(jù)路徑數(shù)據(jù)路徑所需端口默認(rèn)身份驗(yàn)證支持的身份驗(yàn)證是否支持加密？默認(rèn)是否加密？ActiveDirectory訪問389/TCP/UDP(LDAP)、3268/TCP(LDAPGC)、88/TCP/UDP(Kerberos)、53/TCP/UDP(DNS)、135/TCP(RPCnetlogon)KerberosKerberos是，使用Kerberos加密是統(tǒng)一消息電話交互（IPPBX/

29、VoIP網(wǎng)關(guān)）5060/TCP、5065/TCP、5067/TCP（不安全）、5061/TCP、5066/TCP、5068/TCP（安全）、范圍為16000-17000的動(dòng)態(tài)端口/TCP（控制）、范圍為1024-65535的動(dòng)態(tài)UDP端口/UDP(RTP)按IP地址按IP地址、MTLS是，使用SIP/TLS、SRTP否統(tǒng)一消息Web服務(wù)80/TCP、443/TCP(SSL)集成Windows身份驗(yàn)證（協(xié)商）基本、摘要式、NTLM、協(xié)商(Kerberos)是，使用SSL是統(tǒng)一消息服務(wù)器到客戶端訪問服務(wù)器5075,5076,5077(TCP)集成Windows身份驗(yàn)證（協(xié)商）基本、摘要式、NTLM

30、、協(xié)商(Kerberos)是，使用SSL是統(tǒng)一消息服務(wù)器到客戶端訪問服務(wù)器（在電話上播放）動(dòng)態(tài)RPCNTLM/KerberosNTLM/Kerberos是，使用RPC加密是統(tǒng)一消息服務(wù)器到集線器傳輸服務(wù)器25/TCP(TLS)KerberosKerberos是，使用TLS是統(tǒng)一消息服務(wù)器到郵箱服務(wù)器135/TCP(RPC)NTLM/KerberosNTLM/Kerberos是，使用RPC加密是有關(guān)統(tǒng)一消息服務(wù)器的注釋在ActiveDirectory中創(chuàng)建UMIP網(wǎng)關(guān)對(duì)象時(shí)，必須定義物理IP網(wǎng)關(guān)或IPPBX（專用交換機(jī)）的IP地址。為UMIP網(wǎng)關(guān)對(duì)象定義IP地址后，該IP地址將添加到允許UM服務(wù)

31、器與其進(jìn)行通信的有效IP網(wǎng)關(guān)或IPPBX（也稱為SIP對(duì)等端）的列表中。創(chuàng)建UMIP網(wǎng)關(guān)時(shí)，可以將其與UM撥號(hào)計(jì)劃相關(guān)聯(lián)。通過將UMIP網(wǎng)關(guān)與某個(gè)撥號(hào)計(jì)劃關(guān)聯(lián)，與該撥號(hào)計(jì)劃關(guān)聯(lián)的統(tǒng)一消息服務(wù)器可以使用基于IP的身份驗(yàn)證與該IP網(wǎng)關(guān)進(jìn)行通信。如果尚未創(chuàng)建UMIP網(wǎng)關(guān)，或UMIP網(wǎng)關(guān)未配置為使用正確的IP地址，則身份驗(yàn)證將失敗，UM服務(wù)器不接受來自該IP網(wǎng)關(guān)的IP地址的連接。此外，在實(shí)現(xiàn)MutualTLS和IP網(wǎng)關(guān)或IPPBX和UM服務(wù)器時(shí)，必須將UMIP網(wǎng)關(guān)配置為使用FQDN。將UMIP網(wǎng)關(guān)配置為使用FQDN后，還必須向UMIP網(wǎng)關(guān)的DNS正向查找區(qū)域中添加主機(jī)記錄。在Exchange2010中

32、，UM服務(wù)器可以在端口5060/TCP（不安全）或端口5061/TCP（安全）上通信，也可以將其配置為使用這兩個(gè)端口進(jìn)行通信。有關(guān)詳細(xì)信息，請(qǐng)參閱HYPERLINK/zh-cn/bb124092(EXCHG.140).aspx了解統(tǒng)一消息VoIP安全性和HYPERLINK/zh-cn/aa998265(EXCHG.140).aspx了解統(tǒng)一消息中的協(xié)議、端口和服務(wù)。Exchange2010安裝程序創(chuàng)建的Windows防火墻規(guī)則高級(jí)安全Windows防火墻是一種基于主機(jī)的有狀態(tài)防火墻，基于防火墻規(guī)則篩選入站和出站通信。Exchange2010安裝程序會(huì)創(chuàng)建Windows防火墻規(guī)則，以便根據(jù)各服務(wù)

33、器角色打開服務(wù)器和客戶端通信所需的端口。因此，您不再需要使用安全配置向?qū)?SCW)來配置這些設(shè)置。若要了解有關(guān)高級(jí)安全Windows防火墻的詳細(xì)信息，請(qǐng)參閱HYPERLINK/fwlink/?LinkId=179177t_blank高級(jí)安全Windows防火墻-內(nèi)容路標(biāo)。下表列出了由Exchange安裝程序創(chuàng)建的Windows防火墻規(guī)則，包括針對(duì)每個(gè)服務(wù)器角色打開的端口。您可以使用高級(jí)安全Windows防火墻MMC管理單元來查看這些規(guī)則。規(guī)則名稱服務(wù)器角色端口程序MSExchangeADTopology-RPC(TCP-In)客戶端訪問、集線器傳輸、郵箱、統(tǒng)一消息動(dòng)態(tài)RPCBinMSExcha

34、ngeADTopologyService.exeMSExchangeMonitoring-RPC(TCP-In)客戶端訪問、集線器傳輸、邊緣傳輸、統(tǒng)一消息動(dòng)態(tài)RPCBinMicrosoft.Exchange.Management.Monitoring.exeMSExchangeServiceHost-RPC(TCP-In)所有角色動(dòng)態(tài)RPCBinMicrosoft.Exchange.ServiceHost.exeMSExchangeServiceHost-RPCEPMap(TCP-In)所有角色RPC-EPMapBinMicrosoft.Exchange.Service.HostMSExcha

35、ngeRPCEPMap(GFW)(TCP-In)所有角色RPC-EPMapAnyMSExchangeRPC(GFW)(TCP-In)客戶端訪問、集線器傳輸、郵箱、統(tǒng)一消息動(dòng)態(tài)RPCAnyMSExchange-IMAP4(GFW)(TCP-In)客戶端訪問143,993(TCP)所有MSExchangeIMAP4(TCP-In)客戶端訪問143,993(TCP)ClientAccessPopImapMicrosoft.Exchange.Imap4Service.exeMSExchange-POP3(FGW)(TCP-In)客戶端訪問110,995(TCP)所有MSExchange-POP3(TC

36、P-In)客戶端訪問110,995(TCP)ClientAccessPopImapMicrosoft.Exchange.Pop3Service.exeMSExchange-OWA(GFW)(TCP-In)客戶端訪問5075,5076,5077(TCP)所有MSExchangeOWAAppPool(TCP-In)客戶端訪問5075,5076,5077(TCP)Inetsrvw3wp.exeMSExchangeAB-RPC(TCP-In)客戶端訪問動(dòng)態(tài)RPCBinMicrosoft.Exchange.AddressBook.Service.exeMSExchangeAB-RPCEPMap(TCP-

37、In)客戶端訪問RPC-EPMapBinMicrosoft.Exchange.AddressBook.Service.exeMSExchangeAB-RpcHttp(TCP-In)客戶端訪問6002,6004(TCP)BinMicrosoft.Exchange.AddressBook.Service.exeRpcHttpLBS(TCP-In)客戶端訪問動(dòng)態(tài)RPCSystem32Svchost.exeMSExchangeRPC-RPC(TCP-In)客戶端訪問、郵箱動(dòng)態(tài)RPCBingMicrosoft.Exchange.RpcClientAccess.Service.exeMSExchangeR

38、PC-PRCEPMap(TCP-In)客戶端訪問、郵箱RPC-EPMapBingMicrosoft.Exchange.RpcClientAccess.Service.exeMSExchangeRPC(TCP-In)客戶端訪問、郵箱6001(TCP)BingMicrosoft.Exchange.RpcClientAccess.Service.exeMSExchangeMailboxReplication(GFW)(TCP-In)客戶端訪問808(TCP)AnyMSExchangeMailboxReplication(TCP-In)客戶端訪問808(TCP)BinMSExchangeMailbox

39、Replication.exeMSExchangeIS-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinStore.exeMSExchangeISRPCEPMap(TCP-In)郵箱RPC-EPMapBinStore.exeMSExchangeIS(GFW)(TCP-In)郵箱6001,6002,6003,6004(TCP)AnyMSExchangeIS(TCP-In)郵箱6001(TCP)BinStore.exeMSExchangeMailboxAssistants-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSExchangeMailboxAssistants.exeMSExchangeMail

40、boxAssistants-RPCEPMap(TCP-In)郵箱RPC-EPMapBinMSExchangeMailboxAssistants.exeMSExchangeMailSubmission-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSExchangeMailSubmission.exeMSExchangeMailSubmission-RPCEPMap(TCP-In)郵箱RPC-EPMapBinMSExchangeMailSubmission.exeMSExchangeMigration-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSExchangeMigration.exeMSEx

41、changeMigration-RPCEPMap(TCP-In)郵箱RPC-EPMapBinMSExchangeMigration.exeMSExchangerepl-LogCopier(TCP-In)郵箱64327(TCP)BinMSExchangeRepl.exeMSExchangerepl-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSExchangeRepl.exeMSExchangerepl-RPC-EPMap(TCP-In)郵箱RPC-EPMapBinMSExchangeRepl.exeMSExchangeSearch-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMicrosoft.

42、Exchange.Search.ExSearch.exeMSExchangeThrottling-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSExchangeThrottling.exeMSExchangeThrottling-RPCEPMap(TCP-In)郵箱RPC-EPMapBinMSExchangeThrottling.exeMSFTED-RPC(TCP-In)郵箱動(dòng)態(tài)RPCBinMSFTED.exeMSFTED-RPCEPMap(TCP-In)郵箱RPC-EPMapBinMSFTED.exeMSExchangeEdgeSync-RPC(TCP-In)集線器傳輸動(dòng)態(tài)RPCBinMic

43、rosoft.Exchange.EdgeSyncSvc.exeMSExchangeEdgeSync-RPCEPMap(TCP-In)集線器傳輸RPC-EPMapBinMicrosoft.Exchange.EdgeSyncSvc.exeMSExchangeTransportWorker-RPC(TCP-In)集線器傳輸動(dòng)態(tài)RPCBinedgetransport.exeMSExchangeTransportWorker-RPCEPMap(TCP-In)集線器傳輸RPC-EPMapBinedgetransport.exeMSExchangeTransportWorker(GFW)(TCP-In)集線器傳輸25,587(TCP)AnyMSExchangeTransportWorker(TCP-