XGEN: TCP 端口和 Microsoft Exchange: 深入讨论

文章翻译 文章翻译
文章编号: 176466 - 查看本文应用于的产品
本文的发布号曾为 CHS176466
展开全部 | 关闭全部

本文内容

概要

对在运行 Exchange Server 的计算机之间的通信,以及运行 Exchange Server 和 Exchange Client 的计算机之间的通信进行诊断排错时,经常会遇到有关数据包筛选(防火墙)的使用问题,这个问题可能会导致通信不能进行。 在某些情况下,在网络基础结构中引入 Exchange 之前您可能需要监控网络的通信,以确保通信可以在不同的 Exchange 组件之间进行。 本文旨在讨论以下常见问题,如在使用防火墙时需要打开哪些端口,以及在 Microsoft Exchange 组织中需要监控哪些端口。

更多信息

在讨论与 Exchange 有关的网络通信时,有六种情形:

  1. POP3 客户与 Exchange Server 计算机之间的通信。 有两种情况:

    • 下载并检索邮件
    • 发送邮件
  2. IMAP4 客户与 Exchange Server 计算机之间的通信。 有两种情况:

    • 下载并检索邮件
    • 发送邮件
  3. Exchange Server 计算机与 LDAP(轻量目录访问协议)客户之间的通信。
  4. Exchange 客户计算机和 Exchange Server 计算机之间的通信。
  5. 在相同站点中两台 Exchange Server 计算机之间的通信(站点内通信)。
  6. 在不同站点中的两台 Exchange Server 计算机之间的通信(站点间的通信)。 这种通信还可以进一步分为:

    • 站点间链接使用站点连接器 (RPC)。
    • 站点间链接使用 X.400 连接器。
备注: 此处的 Exchange 结构设计环境中使用的术语“同一站点”和“不同站点”,与位置没有任何关系。 因此,在同一站点中的两台 Exchange Server 计算机可以位于两个不同的位置,它们使用其间的路由器和防火墙通过 WAN 链接进行连接。

术语: 在讨论端口时,经常用到两个术语: “常用端口”与“暂用端口”。 “常用端口”代表经常用到的 1024 端口以下的端口,而且在大多数情况下,常用端口有标准的分配,以用于特定类型的网络服务。 “暂用端口”代表包括 1024 及其以上的所有端口。

下面将对上面所描述的六种情形的每个问题进行深入讨论。

POP3 客户与 Exchange Server 计算机之间的通信



Exchange 5.0 支持 POP3,POP3 是一种协议,用于从邮件服务器中检索邮件。 除了如 Internet Mail 和 News、Windows CE Inbox 以及 Internet Mail Service for Windows 的 POP3 邮件客户之外,客户如 Pegasus 和 Eudora Pro 也经常用于从 Exchange Server 计算机发送接收邮件。 这样使我们从全新的角度来讨论 TCP 端口访问的可用性问题。

— 下载并检索邮件



POP3 对 Exchange Server 计算机上的邮件的访问权限是由所使用的身份验证方法控制的。 有三种这样的身份验证方法。 如果使用了 Basic 或 Windows NT 挑战/响应身份验证(Windows NTLM 身份验证),使用 POP3 客户下载并检索邮件需要有访问 TCP 端口 110 的权限。Exchange Server 侦听端口 110,以得到来自 POP3 客户的有关邮件下载的任何入网连接请求。 如果使用了 SSL(安全套接字层)身份验证方法,Exchange Server 计算机侦听端口 995。因而,如果您正在规划包括 Exchange 安装的网络数据包筛选要求,在支持 POP3 协议的情况下,请记住 TCP 端口 110 或 TCP 端口 995 的访问权。

— 发送邮件



当 POP3 客户发送邮件时,Exchange Server 计算机正在与 SMTP(简单邮件传输协议)主机进行通信。 这就需要访问 TCP 端口 25。Internet Mail 连接器以及 Internet Mail 服务使用 TCP 端口 25 查找入站 SMTP 邮件,如 RFC-821 所定义。对于入站 SMTP 邮件,Internet Mail 连接器与 Internet Mail 服务监控端口 25,以查找来自其它 SMTP 主机的入网连接。 Microsoft Exchange Server 按 RFC-1734 和 RFC-1957 规范中的定义支持 POP3。

IMAP4 客户与 Exchange Server 计算机之间的通信



Exchange 版本 5.5 支持 IMAP4,即 Internet 邮件存取协议。 IMAP4 是 POP3 的超集,因而支持所有它的功能以及某些附加的功能。 IMAP4 对 POP3 的一个增强功能的示例是,当邮件还在邮件服务器上时可以搜索邮件的关键字。 然后,用户可以选择将哪些邮件下载至自己的本地计算机。 IMAP4 也允许访问公用文件夹和个人文件夹。

— 下载并检索邮件



在访问 Exchange Server 计算机上的邮件时,IMAP4 客户所使用的端口取决于所使用的身份验证方法。 使用 Basic 或 NTLM 身份验证和 TCP,IMAP4 服务器侦听 TCP 端口 143,以查找来自 IMAP4 客户的有关邮件下载与检索的入网连接请求。 但是,如果使用 SSL 身份验证,Exchange Server 计算机进行侦听的端口是 TCP 端口 993。因而,当支持这个协议进行邮件传递时,路由器与防火墙的设置应考虑到 TCP 端口 143 或 TCP 端口 993 的访问权限。

— 发送邮件



与如上所讨论的 POP3 客户发送邮件一样,当 IMAP4 客户发送邮件时,Exchange Server 计算机正在与 SMTP 主机进行通信。 这就需要访问 TCP 端口 25。Internet Mail 连接器以及 Internet Mail 服务使用 TCP 端口 25 查找入站 SMTP 邮件,如 RFC-821 所定义。对于入站 SMTP 邮件,Internet Mail 连接器与 Internet Mail 服务监控端口 25,以查找来自其它 SMTP 主机的入网连接。 Microsoft Exchange Server 按 RFC-2060 和 RFC-2061 规范中的定义支持 POP3。

Exchange Server 计算机和 LDAP 客户之间的通信



LDAP(轻量级目录访问协议)是有关客户对提供地址簿功能的 Exchange Server 目录服务的访问权限的规范。 它允许客户连接目录并允许进行信息检索、增添与修改。 LDAP 是在 Exchange 版本 5.0 中引入的。

对于要连接到 Exchange Server 计算机的 LDAP 客户,在防火墙上需要配置的端口完全基于所使用的身份验证方法。 使用 Basic 身份验证方法,Exchange Server 计算机侦听端口 389。对于 SSL 身份验证,Exchange Server 计算机侦听的端口是 636。 Microsoft Exchange Server 按 RFC-1777 中的定义支持 LDAP。

Exchange Server 计算机与 NNTP 客户之间的通信



网络新闻传输协议 (NNTP) 广泛用于发送、分发与检索 USENET 邮件。 客户可以访问作为 Exchange 公用文件夹的这些新闻组。 NNTP 客户需要通过端口 119 连接到 Exchange Server 计算机。支持 NNTP 时,代理软件或防火墙应考虑到这个问题。 Microsoft Exchange Server 按 RFC-977 中的定义支持 NNTP。

Exchange 客户计算机与 Exchange Server3 之间的通信



在 LAN 或 WAN 链路上的 Exchange Client 计算机使用远程过程调用 (RPC) 与 Exchange Server 计算机进行通信。 Exchange Server 计算机,一个基于 RPC 的应用程序,使用 TCP 端口 135,也用参与帮助 RPC 应用程序查询服务端口号的位置服务。

Exchange Server 计算机监控端口 135 以查找到 RPC 终点映射程序服务的客户连接, 在客户连接至套接字之后,Exchange Server 计算机向客户分配两个随机端口,用于与目录和信息存储进行通信。 客户不与 Exchange Server 计算机的其它组件进行通信。

如果出于对网络结构的安全考虑,需要阻塞任一端口而不是所使用的端口,则与目录和信息存储进行通信的端口的随机指定就成为路障。 为避免这种情况,Exchange Server 版本 4.0 以及后续版本允许您静态分配这些端口。

有关与目录和信息存储进行通信的端口静态分配过程的其它信息,请参阅 Microsoft Knowledge Base 文章 155831 “XADM: 为通过防火墙进行 Exchange 和 Outlook 客户连接设置 TCP/IP 端口。”

在此结合点,为了成功地在客户与服务器之间进行通信,需要将防火墙配置为允许 TCP 连接到端口 135 以及所有静态分配的端口。 如果您需要监控通信以进行分析,这些端口就是要监控的端口。

在相同站点中两台 Exchange Server 计算机之间的通信



Exchange Server 计算机之间的所有站点内通信均使用 RPC。 因此,如果 Exchange Server 计算机是被路由器和防火墙分隔开来的,那么到 TCP 端口 135 的访问权就成为 Exchange Server 计算机能否进行通信的一个重要因素。

在站点内的两台 Exchange Server 计算机之间的通信是在两台邮件传输代理 (MTA) 和两个目录服务之间进行的。 Exchange Server 计算机的其它组件都没有直接参与通信。

与如上所讨论的客户到服务器的通信一样,Exchange Server 计算机监控端口 135,以查找到 RPC 终点映射程序服务的连接。 当发起 Exchange Server 计算机连接至套接字时,接收 Exchange Server 计算机分配两个随机端口以用于与目录和 MTA 进行通信。

上面所讨论的是为目录静态分配 TCP 端口,以在特定端口号上进行侦听与通信的可能性。 随着 Exchange Server 4.0 Service Pack 4 的发布以及所有 Exchange Server 5.0 的发布,可以对 MTA 做类似的调整。 然后,终点映射程序将中继到合适的端口号,这样通过转到指定的端口号可以进行进一步的通信。 有关为 MTA 建立端口静态分配的信息,请参阅 Knowledge Base 文章 161931 ,“XCON: 为 X.400 和 RPC 侦听配置 MTA TCP/IP 端口号”的后半部分。 本文将解释注册表数值 "TCP/IP port for RPC listens" 的使用。

因而,为了在两台服务器之间成功地进行通信,必须将防火墙配置为允许 TCP 连接到端口 135 和所有静态分配的端口。 如果您需要监控通信以进行分析,这些端口就是要监控的端口。

有关 Exchange 服务静态端口分配的其它信息和指南,请参见以下 Microsoft Knowledge Base 文章:

180795 XADM: 站点间 Directory 复制失败错误 1720

在不同站点中的两台 Exchange Server 计算机之间的通信



— 站点间链接使用站点连接器 (RPC)



有关通过站点连接器进行站点间通信的大多数讨论,反映了在 Exchange Server 计算机之间的站点内进行通信的情况。 唯一的区别是,安装在不同站点内的 Exchange Server 计算机间的通讯,只通过相应的邮件传输代理 (MTA) 进行。

虽然您继续需要 RPC 定位程序服务,以及端口 135 的服务,但您需要的对静态分配端口的唯一调整将是对 MTA 进行调整。 请再次参阅 Knowledge Base 文章 Q161931,“XCON: 为 X.400 和 RPC 侦听配置 MTA TCP/IP 端口”。 本文讨论注册表数值“TCP/IP port for RPC listens”的使用。 在 Exchange Server Service Pack 4 和所有 Exchange Server 5.0 发布版本中均有该功能。

— 站点间链接使用 X.400 连接器



如果站点间链接使用 X.400 连接器,则两台 Exchange Server 计算机之间的通讯仅继续在相应的 MTA 之间进行。 但是,RPC 不是此类通讯的方式。 MTA 之间的通讯遵循 RFC1006: 基于 TCP/IP 的 ISO 规则。 因而默认情况下,Exchange Server 计算机对 MTA 之间的所有这类通讯都使用 TCP 端口 102。 至于 Exchange 通讯,不需要 TCP 端口 135,因为没有涉及 RPC 通讯。

Exchange Server Service Pack 4 和所有 Exchange Server 5.0 发布版本,都提供更改端口 102 的默认端口分配的功能。 文章 161931 ,引用上述内容,讨论了注册表值“RFC1006 Port Number”的使用。

在这种设置中,为了在两台服务器之间成功地进行通讯,必须将防火墙配置为允许 TCP 连接至 TCP 端口 102 或手动分配的替换端口。 如果您需要监控通信以进行分析,这些端口就是要监控的端口。

重要说明: 如果 RFC1006 的端口号是由一台服务器上的默认值 102 更改的,那么对通过 X.400 连接器通信的所有服务器进行此更改是绝对重要的。 所有 MTA 必须使用同一端口号。

最后,在分析您的特定情况时,切记在 Exchange 结构中也存在上述情况的几种综合情况。

属性

文章编号: 176466 - 最后修改: 2006年8月10日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Exchange Server 4.0 标准版
  • Microsoft Exchange Server 5.0 标准版
  • Microsoft Exchange Server 5.5 标准版
关键字:?
kbusage KB176466
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
不再更新的 KB 内容免责声明
本文介绍那些 Microsoft 不再提供支持的产品。因此本文按“原样”提供,并且不再更新。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com