XGEN : Ports TCP et Microsoft Exchange : description détaillée

Traductions disponibles Traductions disponibles
Numéro d'article: 176466 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Lorsque vous essayez de résoudre des problèmes de communication entre des ordinateurs exécutant Microsoft Exchange Server et entre des ordinateurs exécutant Exchange Server et un client Exchange, vous êtes souvent amené à déterminer que l'utilisation du filtrage des paquets (pare-feu) peut rendre la communication impossible. Dans certains cas, il est nécessaire de surveiller le trafic du réseau avant d'introduire Exchange dans l'infrastructure réseau pour vérifier que la communication peut avoir lieu entre les différents composants Exchange. Cet article répond aux questions fréquemment posées à propos des ports à maintenir ouverts sur les pare-feu et les ports à surveiller dans l'organisation Microsoft Exchange.

Plus d'informations

Pour traiter du trafic réseau associé à Exchange, nous examinerons six scénarios :

  1. Communication entre clients POP3 et ordinateurs Exchange Server. Deux situations :

    • Téléchargement et extraction de messages
    • Envoi de messages
  2. Communication entre clients IMAP4 et ordinateurs Exchange Server. Deux situations :

    • Téléchargement et extraction de messages
    • Envoi de messages
  3. Communication entre ordinateurs Exchange Server et clients LDAP (Lightweight Directory Access Protocol).
  4. Communication entre clients et serveurs Exchange.
  5. Communication entre deux ordinateurs Exchange Server du même site (communication intrasite).
  6. Communication entre deux ordinateurs Exchange Server de sites différents (communication inter-sites). Cette communication comprend deux sous-catégories :

    • La liaison entre les sites utilise le connecteur de sites (RPC).
    • La liaison entre les sites est un connecteur X.400.
REMARQUE : les termes "même site" et "site différent" sont employés ici dans un contexte de conception d'infrastructure Exchange et n'ont aucun rapport avec la notion d'emplacement. Par conséquent, deux ordinateurs Exchange Server du même site peuvent être situés dans des lieux distincts, connectés par une liaison de réseau étendu (WAN) via des routeurs et des pare-feu.

TERMINOLOGIE : Deux termes reviennent fréquemment lorsqu'il est question des ports : "réservé" et "éphémère". Le terme "réservé" désigne des ports dont le numéro est inférieur à 1024 et qui sont utilisés régulièrement, dans la plupart des cas avec une affectation standard à certains types de services réseau. "Éphémère" s'applique à tous les ports à partir du numéro 1024.

Les six scénarios présentés ci-dessus sont examinés en détail dans la suite de cet article.

Communication entre clients POP3 et ordinateurs Exchange Server

Exchange 5.0 prend en charge le protocole POP3 qui est utilisé pour extraire des messages d'un serveur de messagerie. Outre les clients de messagerie POP3 comme le courrier électronique et les groupes de discussion Internet, la boîte de réception Windows CE et le service Messagerie Internet pour Windows, les clients comme Pegasus et Eudora Pro sont souvent utilisés pour envoyer et extraire des messages à partir de l'ordinateur Exchange Server. Cela apporte un nouvel éclairage sur le problème de l'accès aux ports TCP.

- Téléchargement et extraction de messages

L'accès des clients POP3 aux messages sur un ordinateur Exchange Server est régi par la méthode d'authentification utilisée. Il existe trois méthodes d'authentification possibles. Si l'authentification de base ou la méthode stimulation/réponse de Windows NT (authentification NTLM) est utilisée, le téléchargement et l'extraction des messages à l'aide d'un client POP3 supposent l'accès au port TCP 110. Exchange Server attend sur le port 110 toutes les demandes de connexion entrantes émises par des clients POP3 pour télécharger des messages. Si la méthode d'authentification SSL (Secure Sockets Layer) est utilisée, l'ordinateur Exchange Server est à l'écoute sur le port 995. Par conséquent, si vous définissez les contraintes de filtrage de paquets pour un réseau qui comprend une installation Exchange, pensez à assurer l'accès au port TCP 110 ou au port TCP 995 si le protocole POP3 est pris en charge.

- Envoi de messages

Lorsque des clients POP3 envoient des messages, l'ordinateur Exchange Server communique avec un hôte SMTP (Simple Mail Transfer Protocol). L'accès au port TCP 25 est donc nécessaire. Le connecteur Messagerie Internet et le service Messagerie Internet utilisent le port TCP 25 pour les messages SMTP entrants, conformément à la spécification RFC 821. Pour les messages SMTP entrants, le connecteur Messagerie Internet et le service Messagerie Internet surveillent sur le port 25 l'arrivée de connexions entrantes en provenance d'autres hôtes SMTP. Microsoft Exchange Server prend en charge le protocole POP3 conformément aux spécifications RFC 1734 et RFC 1957.

Communication entre clients IMAP4 et ordinateurs Exchange Server

La version 5.5 d'Exchange prend en charge le protocole IMAP4 (Internet Message Access Protocol). IMAP4 est un sur-ensemble de POP3 et intègre donc toutes les fonctionnalités de ce protocole plus d'autres. Par exemple, IMAP4 peut rechercher des mots clés dans les messages qui se trouvent encore sur le serveur de messagerie, ce que POP3 ne permet pas. Les utilisateurs peuvent ainsi choisir les messages qu'ils vont télécharger sur leur ordinateur local. IMAP4 permet également d'accéder à des dossiers publics et à des dossiers personnels.

- Téléchargement et extraction de messages

Les ports utilisés par les clients IMAP4 pour accéder aux messages sur un ordinateur Exchange Server dépendent de la méthode d'authentification utilisée. Avec une authentification de base ou NTLM et TCP, le serveur IMAP4 attend sur le port TCP 143 les demandes de connexion entrantes de clients IMAP4 en vue du téléchargement et de l'extraction de messages. Si l'authentification SSL est utilisée, l'ordinateur Exchange Server est à l'écoute sur le port TCP 993. La configuration des routeurs et des pare-feu doit donc tenir compte de l'accès au port TCP 143 ou 993 lorsque ce protocole est pris en charge pour la messagerie.

- Envoi de messages

Comme indiqué plus haut pour les clients POP3 qui envoient des messages, l'ordinateur Exchange Server communique avec un hôte SMTP quand des clients IMAP4 envoient des messages. L'accès au port TCP 25 est donc nécessaire. Le connecteur Messagerie Internet et le service Messagerie Internet utilisent le port TCP 25 pour les messages SMTP entrants, conformément à la spécification RFC 821. Pour les messages SMTP entrants, le connecteur Messagerie Internet et le service Messagerie Internet surveillent sur le port 25 l'arrivée de connexions entrantes en provenance d'autres hôtes SMTP. Microsoft Exchange Server prend en charge le protocole IMAP4 conformément aux spécifications RFC 2060 et RFC 2061.

Communication entre ordinateurs Exchange Server et clients LDAP

LDAP (Lightweight Directory Access Protocol) est une spécification relative à l'accès des clients au service d'annuaire Exchange Server en vue de fournir des fonctions de carnet d'adresses. Ce protocole permet au client de se connecter à l'annuaire et lui permet d'extraire, d'ajouter ou de modifier des informations. LDAP a été introduit dans la version 5.0 de Microsoft Exchange.

Pour que le client LDAP se connecte à l'ordinateur Exchange Server, la configuration des ports sur le pare-feu dépend uniquement de la méthode d'authentification utilisée. Avec une authentification de base, l'ordinateur Exchange Server est à l'écoute sur le port 389. Avec l'authentification SSL, il est à l'écoute sur le port 636. Microsoft Exchange Server prend en charge le protocole LDAP conformément à la spécification RFC 1777.

Communication entre ordinateurs Exchange Server et clients NNTP

Le protocole NNTP (Network News Transport Protocol) est fréquemment utilisé pour publier, distribuer et extraire des messages USENET. Les clients peuvent accéder à ces groupes de discussion en tant que dossiers publics Exchange. Les clients NNTP doivent se connecter à l'ordinateur Exchange Server via le port 119. Le logiciel proxy ou le pare-feu doit en tenir compte lorsque le protocole NNTP est pris en charge. Microsoft Exchange Server prend en charge NNTP conformément à la spécification RFC 977.

Communication entre clients Exchange et ordinateurs Exchange Server3

Sur un réseau local (LAN) ou étendu (WAN), un ordinateur client Exchange utilise le protocole d'appel de procédure distante (RPC) pour communiquer avec un ordinateur Exchange Server. Le serveur Exchange Server, basé sur RPC, utilise le port TCP 135 qui est également identifié comme service de localisation permettant aux applications RPC de demander le numéro de port d'un service.

L'ordinateur Exchange Server écoute sur le port 135 les connexions de clients au service de mappeur de point final RPC. Une fois le client connecté à un socket, l'ordinateur Exchange Server lui affecte deux ports aléatoires à utiliser lors des communications avec l'annuaire et la banque d'informations. Le client ne communique avec aucun autre composant de l'ordinateur Exchange Server.

Si la sécurité d'une infrastructure réseau nécessite le blocage des ports non utilisés, l'affectation aléatoire des ports de communication avec l'annuaire et la banque d'informations peut poser un problème. Pour éviter cela, Exchange Server 4.0 et les versions ultérieures permettent d'allouer ces ports de manière statique.

À partir de là, la communication entre client et serveur nécessite que le pare-feu soit configuré pour autoriser les connexions TCP au port 135 et à tous les ports alloués statiquement. Si vous avez besoin de surveiller le trafic à des fins d'analyse, ce sont les ports à surveiller.

Communication entre deux ordinateurs Exchange Server sur le même site

Toutes les communications entre ordinateurs Exchange Server d'un même site utilisent le protocole RPC. Par conséquent, l'accès au port TCP 135 devient un élément important pour la capacité de communication lorsque les ordinateurs Exchange Server sont séparés par des routeurs et des pare-feu.

La communication entre deux ordinateurs Exchange Server d'un même site se produit entre les deux agents de transfert des messages (MTA) et les deux services d'annuaire. Les autres composants des ordinateurs Exchange Server ne communiquent pas directement.

Comme indiqué plus haut pour la communication entre client et serveur, un ordinateur Exchange Server surveille sur le port 135 les connexions au service de mappeur de point final RPC. Quand un ordinateur Exchange Server demandeur se connecte à un socket, l'ordinateur Exchange Server destinataire affecte deux ports aléatoires pour la communication avec l'annuaire et l'agent de transfert des messages (MTA).

Nous avons déjà évoqué la possibilité d'allouer un port TCP statique pour que l'annuaire écoute et communique sur un numéro de port spécifique. Le Service Pack 4 de Microsoft Exchange Server 4.0 et toutes les versions de Microsoft Exchange Server 5.0 permettent un ajustement similaire pour le MTA. Le mappeur de point final assure ensuite le relais vers le numéro de port approprié pour permettre aux communications ultérieures de s'établir correctement avec le numéro de port spécifié. Pour configurer l'allocation de port statique au MTA, reportez-vous à la dernière partie de l'article 161931 de la Base de connaissances, intitulée "XCON : Configuration des numéros de port TCP/IP du MTA pour des connecteurs X.400 et l'écoute des appels de procédure à distance (RPC)". Vous apprendrez ainsi à utiliser la valeur "TCP/IP port for RPC listens" du Registre.

Par conséquent, la communication entre deux serveurs exige que le pare-feu soit configuré pour autoriser les connexions TCP au port 135 et à tous les ports alloués statiquement. Si vous avez besoin de surveiller le trafic à des fins d'analyse, ce sont les ports à surveiller.

Pour obtenir des directives et des informations supplémentaires à propos de l'affectation de ports statiques pour les services Exchange, consultez l'article suivant de la Base de connaissances Microsoft :

180795 XADM : Échec de la réplication d'annuaire intrasite avec code d'erreur 1720

Communication entre deux ordinateurs Exchange Server appartenant à des sites différents

- La liaison entre les sites utilise le connecteur de sites (RPC)

La communication entre sites via des connecteurs de sites pose globalement les mêmes problèmes que la communication entre ordinateurs Exchange Serveur d'un même site. La seule différence est que la communication entre ordinateurs Exchange Server installés dans deux sites différents passe obligatoirement par les MTA (agents de transfert des messages).

Vous avez toujours besoin du service de localisation RPC et donc du port 135, mais la seule configuration à ajouter pour l'affectation statique de port concerne le MTA. À ce sujet, consultez l'article 161931 de la Base de connaissances intitulé "XCON : Configuration des numéros de port TCP/IP du MTA pour des connecteurs X.400 et l'écoute des appels de procédure à distance (RPC)". Cet article explique comment utiliser la valeur "TCP/IP port for RPC listens" du Registre. Cette fonctionnalité est disponible dans le Service Pack 4 de Microsoft Exchange Server et dans toutes les versions d'Exchange Server 5.0.

- La liaison entre les sites est un connecteur X.400

Si la liaison entre les sites est un connecteur X.400, la communication entre les deux ordinateurs Exchange Server reste limitée aux agents de transfert des messages (MTA) respectifs. Or le protocole RPC ne convient pas pour ce type de communication. La communication entre MTA est définie dans la spécification RFC 1006 : ISO sur TCP/IP. Par conséquent, les ordinateurs Exchange Server utilisent par défaut le port TCP 102 pour ce type de communication entre MTA. Le port TCP 135 n'est pas nécessaire dans le cadre des communications Exchange puisque ces dernières n'impliquent aucun trafic RPC.

Exchange Server Service Pack 4 et toutes les versions Exchange Server 5.0 permettent de modifier l'affectation par défaut du port 102. L'article 161931 mentionné plus haut décrit l'utilisation de la valeur "RFC1006 Port Number" du Registre.

Dans cette configuration, la communication entre deux serveurs ne peut aboutir que si le pare-feu autorise les connexions TCP au port TCP 102 ou au port de remplacement affecté manuellement. Si vous avez besoin de surveiller le trafic à des fins d'analyse, ce sont les ports à surveiller.

IMPORTANT : si le numéro de port spécifié dans RFC1006 est différent de la valeur par défaut 102 sur l'un des serveurs, il est absolument essentiel que tous les serveurs communiquant via le connecteur X.400 intègrent cette modification. Tous les agents de transfert des messages (MTA) doivent utiliser le même numéro de port.

Enfin, lorsque vous analysez votre propre situation, gardez à l'esprit que plusieurs combinaisons des situations décrites ci-dessus peuvent exister dans une infrastructure Exchange.

Propriétés

Numéro d'article: 176466 - Dernière mise à jour: jeudi 10 août 2006 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Exchange Server 4.0 Standard Edition
  • Microsoft Exchange Server 5.0 Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Mots-clés : 
kbusage KB176466
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com