Porte TCP e Microsoft Exchange: descrizione dettagliata

Traduzione articoli Traduzione articoli
Identificativo articolo: 176466 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Nella risoluzione dei problemi di comunicazione tra computer che eseguono Exchange Server e tra computer che eseguono Exchange Server ed Exchange Client Ŕ spesso necessario affrontare il problema dell'utilizzo del filtro di pacchetti (firewall) che pu˛ rendere impossibile la comunicazione. In determinate situazioni potrebbe essere necessario monitorare il traffico sulla rete prima di introdurre Exchange nell'infrastruttura di rete, in modo da assicurare che la comunicazione possa svolgersi tra i vari componenti di Exchange. In questo articolo vengono riportate le domande frequenti relative alle porte che devono essere aperte quando si utilizzano firewall e alle porte che devono essere monitorate nell'organizzazione di Microsoft Exchange.

Informazioni

Nell'ambito del traffico di rete associato a Exchange vengono considerati sei scenari:

  1. Comunicazione tra client POP3 e computer che eseguono Exchange Server. Esistono due condizioni:

    • Download e recupero di messaggi
    • Invio di messaggi
  2. Comunicazione tra client IMAP4 e computer che eseguono Exchange Server. Esistono due condizioni:

    • Download e recupero di messaggi
    • Invio di messaggi
  3. Comunicazione tra computer che eseguono Exchange Server e client LDAP (Lightweight Directory Access Protocol).
  4. Comunicazione tra computer che eseguono Exchange Client e computer che eseguono Exchange Server.
  5. Comunicazione tra due computer che eseguono Exchange Server nello stesso sito (comunicazione intersito).
  6. Comunicazione tra due computer che eseguono Exchange Server in diversi siti (comunicazione tra siti). Questa comunicazione presenta due ulteriori distinzioni:

    • Per il collegamento tra siti viene utilizzato il connettore del sito (RPC).
    • Il collegamento tra siti Ŕ un connettore X.400.
NOTA: i termini "stesso sito" e "siti diversi" vengono utilizzati in questo caso nel contesto della progettazione di un'infrastruttura di Exchange e non hanno alcuna relazione con l'ubicazione. Di conseguenza due computer che eseguono Exchange Server nello stesso sito potrebbero trovarsi in due diverse ubicazioni ed essere connessi tramite un collegamento WAN attraverso router e firewall.

TERMINOLOGIA: quando ci si riferisce alle porte, vengono spesso utilizzati due termini, "nota" ed "effimera". Il termine "nota" si riferisce alle porte inferiori all'intervallo 1024 utilizzate regolarmente e assegnate, nella maggior parte dei casi, in maniera standard per determinati tipi di servizio di rete. Il termine "effimera" rappresenta tutte le porte inferiori e superiori all'intervallo 1024.

Di seguito vengono descritti in dettaglio i problemi relativi a ognuno dei sei scenari sopra indicati.

Comunicazione tra client POP3 e computer che eseguono Exchange Server

Exchange 5.0 supporta POP3, un protocollo utilizzato per il recupero di messaggi da un server della posta. Oltre ai client di posta POP3, come Internet Mail and News, Posta in arrivo di Windows CE e il Servizio posta Internet per Windows, per l'invio e il recupero di messaggi dal computer che esegue Exchange Server vengono spesso utilizzati anche client come Pegasus e Eudora Pro. Ci˛ introduce un nuovo aspetto nella discussione sulla disponibilitÓ dell'accesso alle porte TCP.

- Download e recupero di messaggi

L'accesso dei client POP3 ai messaggi su un computer che esegue Exchange Server Ŕ regolato dal metodo di autenticazione utilizzato. Sono disponibili tre metodi di autenticazione. Se viene utilizzata l'autenticazione di base o l'autenticazione In attesa/Risposta di Windows NT (autenticazione NTLM di Windows), per il download e il recupero di messaggi tramite un client POP3 Ŕ richiesto l'accesso alla porta TCP 110. Per tutte le richieste di connessione in ingresso dai client POP3 per il download di messaggi, il computer che esegue Exchange Server Ŕ in ascolto sulla porta 110. Se viene utilizzato il metodo di autenticazione SSL (Secure Sockets Layer), il computer che esegue Exchange Server Ŕ in ascolto sulla porta 995. Se si progettano i requisiti per il filtro di pacchetti di una rete che include un'installazione di Exchange, Ŕ quindi opportuno considerare l'accesso alla porta TCP 110 o 995 se tra i protocolli Ŕ supportato POP3.

- Invio di messaggi

Quando i client POP3 inviano messaggi, il computer che esegue Exchange Server comunica con un host SMTP (Simple Mail Transfer Protocol). Ci˛ richiede l'accesso alla porta TCP 25. Internet Mail Connector e il Servizio posta Internet utilizzano la porta TCP 25 per i messaggi SMTP in ingresso, secondo quanto definito dalla RFC-821, ed effettuano il monitoraggio della porta 25 per le connessioni in ingresso da altri host SMTP. Microsoft Exchange Server supporta il protocollo POP3, come definito nelle specifiche RFC- 1734 e RFC- 1957.

Comunicazione tra client IMAP4 e computer che eseguono Exchange Server

Exchange versione 5.5 supporta IMAP4 (Internet Message Access Protocol). IMAP4 Ŕ un superset di POP3 e come tale ne supporta tutte le funzionalitÓ e alcune aggiuntive. Un esempio di funzionalitÓ avanzata di IMAP4 rispetto a POP3 Ŕ la capacitÓ di effettuare la ricerca di messaggi per parole chiave mentre i messaggi sono ancora sul server della posta. Gli utenti possono quindi scegliere quali messaggi scaricare nel computer locale. IMAP4 consente inoltre l'accesso alle cartelle pubbliche e personali.

- Download e recupero di messaggi

Le porte utilizzate dai client IMAP4 per l'accesso ai messaggi su un computer che esegue Exchange Server dipendono dal metodo di autenticazione utilizzato. Con l'autenticazione di base o NTLM e TCP, per tutte le richieste di connessione in ingresso dai client IMAP4 per il download e il recupero di messaggi, il server IMAP4 Ŕ in ascolto sulla porta TCP 143. Se si utilizza l'autenticazione SSL, la porta su cui il computer che esegue Exchange Server Ŕ in ascolto Ŕ invece la porta TCP 993. Nelle impostazioni di router e firewall sarÓ quindi necessario considerare l'accesso alla porta TCP 143 o 993 quando Ŕ supportato questo protocollo per la messaggistica.

- Invio di messaggi

Come descritto in precedenza per l'invio di messaggi dai client POP3, quando i client IMAP4 inviano messaggi il computer che esegue Exchange Server comunica con un host SMTP. Ci˛ richiede l'accesso alla porta TCP 25. Internet Mail Connector e il Servizio posta Internet utilizzano la porta TCP 25 per i messaggi SMTP in ingresso, secondo quanto definito dalla RFC-821, ed effettuano il monitoraggio della porta 25 per le connessioni in ingresso da altri host SMTP. Microsoft Exchange Server supporta il protocollo IMAP4, come definito nelle specifiche RFC-2060 e RFC- 2061.

Comunicazione tra computer che eseguono Exchange Server e client LDAP

LDAP (Lightweight Directory Access Protocol) Ŕ una specifica per l'accesso dei client al servizio directory di Exchange Server al fine di fornire la funzionalitÓ di rubrica. Consente al client di connettersi alla directory e di recuperare, aggiungere e modificare informazioni. LDAP Ŕ stato introdotto in Exchange versione 5.0.

Per consentire ai client LDAP di connettersi al computer che esegue Exchange Server, Ŕ necessario configurare le porte sul firewall esclusivamente in base al metodo di autenticazione utilizzato. Con l'autenticazione di base il computer che esegue Exchange Server Ŕ in ascolto sulla porta 389. Per l'autenticazione SSL la porta su cui il computer che esegue Exchange Server Ŕ in ascolto Ŕ la porta 636. Microsoft Exchange Server supporta LDAP, come definito nella RFC-1777.

Comunicazione tra computer che eseguono Exchange Server e client NNTP

Il protocollo NNTP (Network News Transport Protocol) viene ampiamente utilizzato per inviare, distribuire e recuperare messaggi USENET. I client possono accedere a questi newsgroup come cartelle pubbliche di Exchange. I client NNTP devono connettersi al computer che esegue Exchange Server tramite la porta 119, quindi sarÓ necessario considerare questo aspetto per la configurazione del software proxy o del firewall quando Ŕ supportato NNTP. Microsoft Exchange Server supporta il protocollo NNTP, come definito nella RFC-977.

Comunicazione tra computer che eseguono Exchange Client e computer che eseguono Exchange Server

Per comunicare con un computer che esegue Exchange Server, un computer Exchange Client su un collegamento LAN o WAN utilizza una chiamata di procedura remota (RPC). Il computer che esegue Exchange Server, un'applicazione basata su RPC, utilizza la porta TCP 135, a cui viene fatto riferimento anche come il servizio di individuazione che consente alle applicazioni RPC di richiedere il numero di porta di un servizio.

Il computer che esegue Exchange Server effettua il monitoraggio della porta 135 per le connessioni client al servizio mapper di endpoint RPC. Dopo che il client si Ŕ connesso a un socket, il computer che esegue Exchange Server assegna al client due porte casuali affinchÚ siano utilizzate per la comunicazione con la directory e l'archivio informazioni. Il client non comunica con altri componenti del computer che esegue Exchange Server.

Se per problemi di protezione dell'infrastruttura di rete si dovesse rendere necessario bloccare una qualsiasi porta diversa da quelle in uso, l'assegnazione casuale di porte per la comunicazione con la directory e l'archivio informazioni potrebbe costituire un ostacolo. Per evitare il problema, Exchange Server versioni 4.0 e successive consentono l'assegnazione statica di queste porte.

A questo punto, per la comunicazione tra il client e il server Ŕ necessario configurare il firewall in modo da consentire connessioni TCP alla porta 135 e a tutte le porte assegnate staticamente. Se Ŕ necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

Comunicazione tra due computer che eseguono Exchange Server nello stesso sito

Per la comunicazione intersito tra computer che eseguono Exchange Server viene utilizzata RPC. L'accesso alla porta TCP 135 diventa pertanto un'importante variabile nella capacitÓ di comunicare dei computer che eseguono Exchange Server se sono separati da router e firewall.

La comunicazione tra due computer che eseguono Exchange Server all'interno di un sito avviene tra i due agenti di trasferimento messaggi (MTA) e i due servizi directory. Nessun altro componente di tali computer comunica direttamente.

Come giÓ illustrato in precedenza per la comunicazione da client a server, il computer che esegue Exchange Server effettua il monitoraggio della porta 135 per le connessioni al servizio mapper di endpoint RPC. Quando un computer che esegue Exchange Server di origine si connette a un socket, il computer con Exchange Server di destinazione assegna due porte casuali per la comunicazione con la directory e con MTA.

╚ giÓ stata discussa in precedenza la possibilitÓ di assegnazione statica di una porta TCP per la directory affinchÚ venga utilizzata per l'ascolto e la comunicazione su un numero di porta specifico. Con la versione di Exchange Server 4.0 Service Pack 4 e tutte le versioni di Exchange Server 5.0 Ŕ possibile applicare una modifica analoga per MTA. Il mapper di endpoint trasmetterÓ quindi il numero di porta appropriato per consentire l'ulteriore comunicazione passando al numero di porta specificato. Per stabilire un'assegnazione statica della porta a MTA, fare riferimento all'ultima parte dell'articolo della Microsoft Knowledge Base 161931, "XCON: Configurazione del numero di porta TCP/IP di MTA per X.400 e l'ascolto RPC", in cui viene descritto l'utilizzo del valore del Registro di sistema "TCP/IP port for RPC listens".

Per la corretta comunicazione tra due server Ŕ pertanto necessario configurare il firewall in modo da consentire connessioni TCP alla porta 135 e a tutte le porte assegnate staticamente. Se Ŕ necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

Per informazioni sulla gerarchia da rispettare e le linee guida per l'assegnazione di porte statiche per i servizi di Exchange, vedere il seguente articolo della Microsoft Knowledge Base:

180795 XADM: Replica di directory tra siti non riuscita con errore 1720

Comunicazione tra due computer che eseguono Exchange Server in diversi siti

- Per il collegamento tra siti viene utilizzato il connettore del sito (RPC)

Gran parte della discussione relativa alla comunicazione tra siti tramite connettori del sito rispecchia la situazione della comunicazione intersito tra due computer che eseguono Exchange Server. La sola differenza Ŕ data dal fatto che la comunicazione tra computer che eseguono Exchange Server installati in due diversi siti avviene solo tramite i corrispondenti agenti di trasferimento messaggi (MTA).

BenchÚ sia ancora necessario utilizzare i servizi del servizio di individuazione RPC e quindi della porta 135, la sola modifica che potrebbe essere richiesta per l'assegnazione statica di una porta potrebbe riguardare MTA. Anche in questo caso, vedere l'articolo 161931 della Knowledge Base, "XCON: Configurazione del numero di porta TCP/IP di MTA per X.400 e l'ascolto RPC", in cui viene descritto l'utilizzo del valore del Registro di sistema "TCP/IP port for RPC listens". Questa funzionalitÓ Ŕ disponibile in Exchange Server Service Pack 4 e in tutte le versioni di Exchange Server 5.0.

- Il collegamento tra siti Ŕ un connettore X.400

Se il collegamento tra siti Ŕ un connettore X.400, la comunicazione tra i due computer che eseguono Exchange Server continuerÓ a svolgersi solo tra i due MTA corrispondenti. RPC non Ŕ tuttavia il mezzo attraverso il quale avviene questa comunicazione. La comunicazione tra MTA segue la specifica RFC1006: ISO su TCP/IP. Di conseguenza i computer che eseguono Exchange Server, per impostazione predefinita, utilizzano la porta TCP 102 per tutte queste comunicazioni tra MTA. La porta TCP 135 non Ŕ necessaria per quanto riguarda la comunicazione di Exchange, in quanto non Ŕ previsto traffico RPC.

In Exchange Server Service Pack 4 e in tutte le versioni di Exchange Server 5.0 Ŕ possibile modificare questa assegnazione predefinita della porta 102. Vedere l'articolo della Microsoft Knowledge Base 161931, indicato sopra, in cui viene descritto l'utilizzo del valore del Registro di sistema "RFC1006 Port Number".

In questa impostazione, per la corretta comunicazione tra due server Ŕ necessario configurare il firewall in modo da consentire connessioni TCP alla porta 102 o alla porta sostitutiva assegnata manualmente. Se Ŕ necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

IMPORTANTE: se si cambia il numero di porta per RFC1006 dal valore predefinito 102 su un server, sarÓ indispensabile che tale modifica sia integrata in tutti i server che comunicano tramite il connettore X.400. Tutti gli MTA dovranno utilizzare lo stesso numero di porta.

Infine, nell'analizzare la situazione specifica, tenere presente che in un'infrastruttura di Exchange possono esistere varie combinazioni delle situazioni sopra descritte.

ProprietÓ

Identificativo articolo: 176466 - Ultima modifica: giovedý 11 maggio 2006 - Revisione: 3.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Exchange Server 4.0 Standard Edition
  • Microsoft Exchange Server 5.0 Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Chiavi:á
kbusage KB176466
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Dichiarazione di non responsabilitÓ per articoli della Microsoft Knowledge Base su prodotti non pi¨ supportati
Questo articolo Ŕ stato scritto sui prodotti per cui Microsoft non offre pi¨ supporto. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com