TCP porty a Microsoft Exchange: h�bkov� diskusie

V rie�en� probl�mov komunik�cie medzi dvoma po��ta�mi so serverom Exchange a medzi po��ta�mi so syst�mom Exchange Server a Exchange Client, m��ete �asto �elia vydanie pou�itie filtrovania (br�na firewall), paketov, ktor� m��ete n�sledok neschopnos� komunikova�. V ur�it�ch situ�ci�ch mus�te na monitorovanie prenosu vo va�ej sieti pred zaveden�m v�menu v va�e sie�ovej infra�trukt�ry, aby sa zabezpe�ilo, �e komunik�cia sa m��e vyskytn�� medzi r�znych v�menu komponentov. Tento �l�nok sa zaober� �asto kladen� ot�zky �o porty potrebu by� otvoren�, ke� sa pou��vaj� firewally a �o porty je potrebn� monitorova� v organiz�cii Microsoft Exchange.

V diskusii o sie�ov� prenosy s�visiace s v�meny, existuje �es� scen�re:

1. Komunik�cia medzi POP3 klienti a Exchange Server po��ta�e. Dve existuj� podmienky:
   
   
   • S�ahovanie a na��tanie spr�v
   • Odosielanie spr�v
2. Komunik�cia medzi IMAP4 klienti a Exchange Server po��ta�e. Dve existuj� podmienky:
   
   
   • S�ahovanie a na��tanie spr�v
   • Odosielanie spr�v
3. Komunik�cia medzi serverom Exchange po��ta�e a LDAP (Lightweight Klienti Directory Access Protocol).
4. Komunik�ciu medzi po��ta�mi Exchange Client a Exchange Server po��ta�e.
5. Komunik�cie medzi dvoma po��ta�mi Exchange Server na tom istom mieste (intrasite ozn�menie).
6. Komunik�cie medzi dvoma po��ta�mi Exchange Server v r�znych s�dlach (medzi lokalitami ozn�menie). Toto ozn�menie m� dve �al�ie Vyznamenania:
   
   
   • Medzi lokalitami prepojenie pou��va lokalitu konektor (RPC).
   • Medzi lokalitami odkaz je X.400 konektor.

Pozn�mka: "Rovnakom mieste" a "rozdielne miesta" sa pou��vaj� v�razy tu v V�mena infra�trukt�ry dizajn kontexte a nemaj� �iadny vplyv na umiestnenie. V d�sledku toho dvoch Exchange Server po��ta�ov na tom istom mieste by mohol by� umiestnen� na dvoch r�znych miestach pripojen� pomocou prepojenia siete WAN s smerova�e a br�ny firewall medzi.

Terminol�gia: Pri prerok�van� porty, dva pojmy sa �asto pou��vaj�: "zn�me" a "pominute�n�." "Zn�me" predstavuje pr�stavy pod 1024 rozsah sa pou��vaj� pravidelne a vo v��ine pr�padov �tandardizovan� priradenie pre ur�it� typy slu?ba siete. "Pominute�n�" predstavuje v�etky porty vr�tane a nad rozsah 1024.

H�bkov� diskusie nasleduje ot�zky pre ka�d� zo �iestich scen�re uveden� vy��ie.

Komunik�cia medzi POP3 klienti a Exchange Server po��ta�e

V�mena 5.0 podporuje POP3, protokol pou��van� na z�skavanie spr�v z po�tov� server. Popri POP3 mail klientov ako Internet Mail a News, Doru�enej po�ty Windows CE a Internet Mail Service for Windows, klientov ako Pegasus a Eudora Pro sa �asto pou��vaj� na odosiela� a prij�ma� spr�vy od po��ta� Exchange Server. Zav�dza nov� poh�ad na diskusiu dostupnos� TCP portu pr�stup.

-S�ahovanie a na��tanie spr�v

POP3 klient pr�stup k spr�vam na serveri Exchange Server po��ta�i je regulovan� met�dou overovania. Existuj� tri tak�to overovanie met�dy. Ak z�kladn� alebo Windows NT Challenge/Response overovanie (Windows Pou��va sa overenie pomocou �tandardu NTLM), s�ahovanie a vyh�ad�van�m spr�vy pomocou POP3 klienta vy�aduje pr�stup k portu TCP 110. Exchange Server po��va na port 110 pre v�etky prich�dzaj�ce pripojenie �iadosti od klientov POP3 pre spr�vu stiahnu�. Ak sa pou�ije met�da overenia SSL (Secure Sockets Layer), po��ta� Exchange Server po��va na porte 995. Preto, ak ste navrhovanie filtrovania po�iadaviek sie�, ktor� zah��a paketov V�menu in�tal�cie, majte na pam�ti, pr�stup k bu� TCP portu 110 alebo TCP portu 995 ak POP3 je podporovan� protokol.

-Odosielanie spr�v

Ke� klientov POP3 odosiela� spr�vy, po��ta� Exchange Server je komunikuje s hostite�a SMTP (Simple Mail Transfer Protocol). Toto vy�aduje pr�stup k portu TCP 25. Konektoru Internet Mail a Internetov� po�tov� slu�ba pou�itie portu TCP 25 pre prich�dzaj�ce spr�vy SMTP, definovan� v dokumente RFC-821. Pre prich�dzaj�ce spr�vy SMTP, konektoru Internet Mail a Internetov� po�tov� slu�ba monitor portu 25 pre prich�dzaj�ce pripojenia z in�ch SMTP hostite�ov. Microsoft Exchange Server podporuje POP3, ako je definovan� v dokumente RFC- 1734 a RFC-1957 �pecifik�cie.

Komunik�cia medzi IMAP4 klienti a Exchange Server po��ta�e

Exchange verzie 5.5 podporuje IMAP4, Internet Message Access Protocol. IMAP4 je nadmno�inou POP3 a preto podporuje v�etky jej �rty a niektor� �al�ie z nich. Je napr�klad IMAP4 vylep�enie cez POP3 schopnos� vyh�ad�va� spr�vy pre k���ov� slov�, zatia� �o spr�vy s� st�le o po�tov� server. Pou��vatelia potom m��ete zvoli�, ktor� spr�vy chcete prevzia� do ich lok�lny po��ta�. IMAP4 tie� umo��uje pr�stup k verejn� prie�inky a osobn� prie�inky.

-S�ahovanie a na��tanie spr�v

Porty, ktor� IMAP4 klientov pou�i� pri pr�stupe k spr�vam na v�mene Serverov� po��ta� z�visia na met�du overovania pri pou��van�. So Basic alebo Overenie pomocou �tandardu NTLM a TCP, IMAP4 server po��va na TCP porte 143 pre v�etky prich�dzaj�ce pripojenie �iadosti IMAP4 klientov pre spr�vy na prevzatie a vyh�ad�vanie. Ak sa pou��va SSL overovania, v�ak port, na ktor� po��ta� po��va Exchange Server je TCP port 993. Smerova� a br�ny firewall nastavenia by preto vzia� do �vahy pr�stup k portu TCP 143 alebo port TCP 993 ke� tohto protokolu je podporovan� funkcia na odosielanie spr�v.

-Odosielanie spr�v

Ako je uveden� vy��ie pre klientov POP3 odosielanie spr�v, ke� IMAP4 klientov odosielanie spr�v, po��ta� Exchange Server komunikuje so serverom SMTP hostite�. Toto si vy�aduje pr�stup k portu TCP 25. Konektoru Internet Mail a Internetov� po�tov� slu�ba pou�itie portu TCP 25 pre prich�dzaj�ce spr�vy SMTP, definovan� v dokumente RFC-821. Pre prich�dzaj�ce spr�vy SMTP, konektoru Internet Mail a Internetov� po�tov� slu�ba monitor portu 25 pre prich�dzaj�ce pripojenia z in�ch SMTP hostite�ov. Microsoft Exchange Server podporuje IMAP4, ako s� definovan� v dokumente RFC 2060 a RFC- 2061.

Komunik�cia medzi serverom Exchange po��ta�e a LDAP klientov

LDAP (Lightweight Directory Access Protocol) je �pecifik�cia pre klienta pr�stup k adres�rovej slu�be Exchange Server poskytn�� adres�r funk�nos�. To umo��uje klient pripoji� do adres�ra a vyh�ad�vanie inform�ci�, prid�vanie a zmena. LDAP bol zaveden� v V�mena verzia 5.0.

Pre klienta LDAP na pripojenie k po��ta�u servera Exchange, porty ktor� je potrebn� nakonfigurova� na firewall s� zalo�en� v�lu�ne na met�du overovania pri pou��van�. S z�kladn� overenie, v�menu Serverov� po��ta� na��va na porte 389. Pre SSL overovanie, pr�stav, po��ta� po��va na serveri Exchange je 636. Microsoft Exchange Server podporuje LDAP, ako s� definovan� v dokumente RFC 1777.

Komunik�cia medzi serverom Exchange po��ta�e a NNTP klientov

Network News Transport Protocol (NNTP) sa be�ne pou��va na post, distribuova� a z�skavanie USENET spr�v. Klienti m��u pr�stup k, tieto Diskusn� skupiny ako verejn� prie�inky Exchange. NNTP klienti potrebuj� na pripojenie k Po��ta� Exchange Server cez port 119. Softv�r proxy alebo br�ny firewall by toto vzia� do �vahy pri NNTP je podporovan�. Microsoft Exchange Server podporuje NNTP, ako s� definovan� v dokumente RFC 977.

Komunik�ciu medzi po��ta�mi Exchange Client a Exchange Server po��ta�e

V�mena klientskeho po��ta�a na sie� LAN alebo WAN prepojenie pou��va vzdialen� volanie proced�r (RPC) komunikova� s po��ta�om Exchange Server. Exchange Server po��ta�, RPC-zalo�en� �iados�, pou��va port TCP 135, �alej umiestnenie slu�ba, ktor� pom�ha RPC aplik�cie dotaz pre port po�et slu�bu.

Exchange Server po��ta�ov� monitory port 135 pre pripojenia klientov na koncov� bod Mapova� slu�by RPC. Po klient pripoj� soketu, Po��ta� Exchange Server alokuje klient dva n�hodn� porty na komunikova� s adres�r a information store. Klient nem� nem��e komunikova� s in�mi komponentmi po��ta� Exchange Server.

Ak bezpe�nostn� obavy pre sie�ov� infra�trukt�ru vy�aduj� blokovanie ak�hoko�vek pr�stavy, in� ne� tie potom pou��va N�hodn� pride�ovanie porty pre m��e sta� komunik�ciu s adres�ri a information store blokovanie. Ak tomu chcete zabr�ni�, Exchange Server verzie 4.0 a nov�ej umo��uj� prideli� staticky tieto porty.

V tejto situ�cii pre �spe�n� komunik�ciu medzi klientom a serverom, Br�na firewall je potrebn� nakonfigurova� tak, aby umo�nili pripojenia TCP port 135 a v�etky staticky pridelen�ch porty. Ak potrebujete sledova� prev�dzku pre anal�zu, tieto s� pr�stavy monitorova�.

Komunik�cie medzi dvoma po��ta�mi Exchange Server na tom istom mieste

V�etky intrasite komunik�cia medzi serverom Exchange po��ta�ov pou��va RPC. V d�sledku toho pr�stup k portu TCP 135 sa st�va d�le�itou premennou v schopnos� servera Exchange po��ta�e komunikova�, ak s� oddelen� pomocou smerova�ov a br�n firewall.

Je komunik�cia medzi dvoma po��ta�mi Exchange Server v r�mci lokality medzi dvoma message transfer agentami (MTA) a dva adres�r slu�by. �iadny z po��ta�ov servera Exchange komponentov komunikova� priamo.

Ako je uveden� vy��ie v klientskom serveri ozn�menie, serverom Exchange po��ta�ov� monitory port 135 pre pripojenia k Mapova� RPC slu�ba. Pri za�at� Exchange Server po��ta� pripoj� soketu, prij�maj�ci Exchange Server po��ta� prirad� dva n�hodn� porty na komunikova� s adres�r a MTA.

U� hovorilo bola mo�nos� statick� alokovanie TCP port pre adres�r po��va� a komunikova� na konkr�tne ��slo portu. S uvo�nen�m Exchange Server 4.0 Service Pack 4 a v�etky spr�vy o Exchange Server 5.0, podobn� �pravy mo�no MTA. V Mapova� bude potom rel� ��slo vhodn� portu tak, aby �al�ie ozn�menie m��e dosiahnu� t�m, �e p�jdete na ��slo portu �pecifikovan�. Pre stanovenie statick� alokovanie pr�stavu MTA, by� na druh� �as� �l�nku datab�zy Knowledge Base 161931, "XCON: Konfigur�cia MTA TCP/IP pr�stavu # X.400 a RPC po��va." To vysvet�uje pou�itie hodnota v datab�ze Registry "Port TCP/IP za RPC po��va".

V d�sledku toho pre �spe�n� komunik�ciu medzi dva servery Br�na firewall je potrebn� nakonfigurova� tak, aby umo�nili pripojenia TCP port 135 a v�etky staticky pridelen�ch porty. Ak potrebujete sledova� prev�dzky pre anal�za, tieto s� pr�stavy monitorova�.

�al�ie inform�cie o d�sledky a usmernenia pre statick� pr�stavu priradenie slu�ieb pri v�mene, pre��tajte si nasleduj�ci �l�nok v datab�ze Microsoft Knowledge Base:

Komunik�cie medzi dvoma po��ta�mi Exchange Server v r�znych s�dlach

-Medzi lokalitami prepojenie pou��va lokalitu konektor (RPC)

V��ina z diskusie o medzi lokalitami komunik�cie cez str�nky konektory odr�a situ�ciu intrasite komunik�cia medzi serverom Exchange po��ta�e. Jedin�m rozdielom je, �e komunik�cia medzi Exchange Server po��ta�e nain�talovan� v dvoch r�znych miestach je iba cez zodpovedaj�ce message transfer agentami (MTA).

Hoci m��ete na�alej potrebuj� slu�by slu�bu Lok�tor RPC a ��m portu 135, iba �pravu budete potrebova� pre statick� alokovanie port by MTA. Op�, ozna�ova� �l�nku datab�zy Knowledge Base Q161931, "XCON: Konfigur�cia portu TCP/IP MTA # pre X.400 a RPC po��va." Tento �l�nok popisuje pou�itie hodnotu datab�zy registry "port TCP/IP za RPC po��va". T�to funkcia je k dispoz�cii s Exchange Server Service Pack 4 a v�etky spr�vy Exchange Server 5.0.

-Medzi lokalitami odkaz je X.400 connector

Ak medzi lokalitami odkaz je X.400 connector potom komunik�ciu medzi dva po��ta�e Exchange Server na�alej medzi zodpovedaj�ce MTA iba. RPC v�ak nie je tak�to komunika�n� prostriedky. Komunik�cia medzi MTA takto RFC1006: ISO cez protokol TCP/IP. N�sledne Exchange Server, v predvolenom nastaven� pou��va� po��ta�e TCP port 102 pre v�etky tak�to komunik�ciu medzi MTA. Nie je potrebn� pre TCP port 135 ako �aleko je v�mena ozn�menia dotknut�ho, preto�e �iadne prenosu RPC je zapojen�.

Exchange Server Service Pack 4 a v�etky spr�vy Exchange Server 5.0 poskytn�� mo�nos� zmeni� toto predvolen� port priradenie portu 102. �l�nok 161931, uveden� vy��ie, popisuje pou�itie hodnotu datab�zy registry "��slo portu RFC1006".

V toto nastavenie pre �spe�n� komunik�ciu medzi dva servery Br�na firewall mus� by� nakonfigurovan� na umo�nenie pripojenia TCP port TCP 102 alebo manu�lne pridelen� n�hradn� pr�stavu. Ak potrebujete sledova� prev�dzky pre anal�za, tieto s� pr�stavy monitorova�.

D�LE�IT�: Ak ��slo portu pre RFC1006 sa zmenila z predvolenej hodnoty 102 na jednom serveri, potom je to absol�tne nevyhnutn�, aby v�etky servery komunikova� cez konektoru X.400 za�leni� t�to zmenu. V�etky MTA pou�i� rovnak� ��slo portu.

Nakoniec, ako analyzova� va�ej konkr�tnej situ�cii, majte na pam�ti, nieko�ko v v�meny m��e existova� kombin�cie vy��ie uveden�ch situ�ci� infra�trukt�ry.