Mapeamentos de portas estáticas do Exchange Server

Este artigo descreve como estaticamente mapear as portas que utilizam computadores de cliente MAPI versão anterior para estabelecer ligação através de um firewall para um servidor que está a executar o Microsoft Exchange Server 5.5, o Microsoft Exchange 2000 Server ou o Microsoft Exchange Server 2003. Versão anterior MAPI computadores incluem computadores cliente do Exchange Server e computadores cliente com o Microsoft Outlook no modo empresa ou grupo de trabalho. Além disso, este artigo descreve como estaticamente mapear as portas num servidor front-end numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) ambiente Ethernet para que o computador possa iniciar sessão rede e comunicar com servidores back-end.

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Mapeamentos de portas estáticas para computadores de cliente MAPI para ligar ao Exchange 2000 Server ou Exchange Server 2003 através de um firewall

Para permitir que computadores cliente MAPI de versão anterior para ligar ao Exchange 2000 Server ou Exchange Server 2003 através de um firewall, adicione entradas ao registo para tornar as portas que estão atribuídas a estas ligações estáticas. Para o fazer, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Adicione a seguinte entrada para o RFR do Microsoft Exchange SA interface:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Dados do valor: The port number to be assigned, in decimal format
   Certifique-se de que atribuir definições de porta diferente a cada chave de registo. Se executar o comando netstat - numa linha de comandos, pode ver todas as ligações TCP/IP e portas de escuta no formato numérico. Tem de utilizar uma porta não utilizada para mapeamentos estáticos.
   
   Para obter mais informações sobre directrizes para atribuição de portas estáticas do Exchange Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewalls
4. Localize e, em seguida, clique para seleccionar a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
5. Adicione o seguinte valor de registo para o Microsoft Exchange Directory NSPI interface do proxy:
   Nome do valor: porta do TCP/IP NSPI
   Tipo de valor: REG_DWORD
   Dados do valor: The port number to be assigned, in decimal format
6. Localize e, em seguida, clique para seleccionar a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
7. Adicione o seguinte valor de registo para a interface do Microsoft Exchange Information Store:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Dados do valor: The port number to be assigned, in decimal format
8. Localize e, em seguida, clique para seleccionar a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
9. Adicione o seguinte valor de registo para o Microsoft Exchange SRS (Site Replication Service):
   Nome do valor: TCP/IP
   Tipo de valor: REG_DWORD
   Dados do valor: The port number to be assigned, in decimal format
10. Saia do Editor de registo.
11. Reinicie o computador.

Depois de concluir estes passos, configure o filtro de pacotes ou firewall para permitir as ligações TCP sejam feitas para a porta 135 para o serviço System Attendant do Microsoft Exchange e as portas que atribuiu nos passos 3, 5, 7 e 9.

Se efectuar estas alterações num servidor com o Exchange 2000 Server ou Exchange Server 2003 e que está instalado no servidor de catálogo global, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte chave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: The port number to be assigned, in decimal format
4. Saia do Editor de registo.

Reinicie o servidor de catálogo global para que o mapeamento estático é lido quando o nome Service Provider Interface (NSPI) é inicializado.

Nota O número da porta que está seleccionado não deve entrar em conflito com outros programas. Se o número da porta entrar em conflito com outros programas, não será iniciado o NSPI.

Mapeamentos de portas estáticas para computadores de cliente MAPI para ligar ao Exchange Server 5.5 através de um firewall

Para permitir que computadores cliente MAPI de versão anterior para ligar ao Exchange Server 5.5 através de um firewall, adicione entradas ao registo para tornar as portas que estão atribuídas a estas ligações estáticas. Para o fazer, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte subchave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: 5000
   Nota A Microsoft recomenda que atribua portas no intervalo 5000 a 65535 (decimal). Para obter mais informações sobre directrizes para atribuições de portas estáticas dos serviços do Exchange Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewalls
4. Localize e, em seguida, clique para seleccionar a seguinte subchave:
   System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
5. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: 5001
   Nota A Microsoft recomenda que atribua portas no intervalo 5000 a 65535 (decimal). Para obter mais informações sobre directrizes para atribuições de portas estáticas dos serviços do Exchange Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewalls
6. Saia do Editor de registo.
7. Reinicie o computador.

Depois de concluir estes passos, configure o filtro de pacotes ou firewall para permitir ligações de TCP (Transmission Control Protocol) a ser efectuados a porta 135 para o serviço System Attendant do Microsoft Exchange e as portas que atribuiu nos passos 3 e 5.

Estaticamente mapear as portas para um servidor front-end num ambiente Ethernet de rede de perímetro para que o computador possa iniciar sessão rede e comunicar com servidores back-end

Para instalar o Exchange Server 2003 ou o Exchange 2000 Server em computadores isolados das respectivas Microsoft Windows Server 2003 ou redes do Microsoft Windows 2000 por um firewall e que estiver num ambiente de Ethernet de rede de perímetro, siga estes passos:

1. Para activar computadores baseados no Windows Server 2003 ou computadores baseados no Windows 2000 para iniciar sessão domínio através da firewall, abra as seguintes portas para tráfego de entrada:
   • 53 (Transmissão Control Protocol [TCP], [UDP] User Datagram Protocol) - sistema de nome de domínio (DNS).
   • 80 (TCP) ? necessárias para acesso de Outlook Web Access para a comunicação entre servidores front-end e back-end do Exchange.
   • 88 (Transmissão Control Protocol [TCP], UDP) - autenticação Kerberos.
   • 123 (UDP) - protocolo de sincronização de hora do Windows (NTP). Não é necessário para a capacidade de início de sessão do Windows 2000. No entanto, pode ser configurada ou requerida pelo administrador da rede.
   • 135 (TCP) ? EndPointMapper.
   • 389 (TCP, UDP) - Lightweight Directory Access Protocol (LDAP).
   • 445 (TCP) ? o bloco de mensagem de servidor (SMB) para Netlogon, conversão de LDAP, sistema de ficheiros distribuído (DFS, Distributed File System) da Microsoft e identificação.
   • 3268 (TCP) ? LDAP para servidores de catálogo global.
   • Uma porta para o Active Directory directório de início de sessão e interface de replicação (identificadores exclusivos universalmente [UUID] 12345678-1234-abcd-ef00-01234567cffb e 3514235-4b06-11 d 1-ab04-00c04fc2dcd2). Isto é normalmente atribuído porta 1025 ou 1026 durante o arranque. Este valor não está definido no código de origem DSProxy ou System Attendant (MAD). Por conseguinte, tem de mapear a porta no registo em quaisquer controladores de domínio que o Exchange server tem de contactar através da firewall para processar inícios de sessão. Em seguida, abra a porta no firewall.
     
     Para mapear a porta no registo, siga estes passos:
     1. Inicie o Editor de registo.
     2. Localize e, em seguida, clique para seleccionar a seguinte chave:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
     3. Adicione o seguinte valor de registo:
        Nome do valor: porta de TCP/IP
        Tipo de valor: REG_DWORD
        Base: decimal
        Valor: A value that is more than 1024
     4. Saia do Editor de registo.
     Certifique-se a barra em "TCP/IP" é uma barra invertida. Além disso, certifique-se de que atribui um valor que é mais do que 1024 (decimal). Este número é a porta adicional é necessário abrir (TCP, UDP) no firewall. A definição deste valor de registo em cada controlador de domínio dentro do firewall não afecta o desempenho. Além disso, se definir este valor de registo abrange qualquer redireccionamentos de pedido de início de sessão que ocorrem devido a servidores que estejam inactivos, funções alterar ou requisitos de largura de banda.
   notas
   • Para o servidor no firewall comunique através da firewall para o servidor externo, tem de ter portas 1024 a 65535 configuradas para enviar comunicações. Computadores que iniciam a comunicação através do firewall utilizam uma porta lado do cliente que é atribuída dinamicamente e não pode ser configurada.
   • Windows 2000 assume a forma de uma sequência de TCP/IP ping pedidos para o servidor de destino quando computadores baseados no Windows 2000 Server inicia sessão no domínio através da firewall. Windows 2000 efectua este procedimento para determinar se um computador cliente é obtenham acesso a um controlador de domínio através de uma ligação lenta para aplicar política de grupo ou para transferir um perfil de utilizador guardado no servidor.
2. Instale o Exchange Server 2003 ou o Exchange 2000 Server no computador externo. Não é necessário qualquer mais portas abertas para instalar o Exchange Server 2003 ou o Exchange 2000 Server no computador externo.
3. Configure conectividade front-end e back-end Exchange Server 2003 ou o Exchange 2000 Server. Conectividade de front-end e back-end do Exchange Server 2003 ou o Exchange 2000 Server apenas requer outras portas abertas conforme necessário para qualquer comunicação for apropriada. Por exemplo, Web front-end do cliente e conectividade de back-end requer a porta 80 [TCP] aberta, IMAP 143 [TCP] e assim sucessivamente. Além disso, qualquer conectividade por protocolos seguras, como o IPSec ou HTTP seguras de camada segura de sockets SSL, IMAP (Internet Message Access Protocol) ou Post Office Protocol versão 3 (POP3), que necessita requer configuração adicional que não especificada neste artigo. Se o servidor front-end na rede de perímetro tiver uma sub-rede diferente, certifique-se de que é adicionar essa sub-rede no snap-in Serviços e locais do Active Directory.
   
   Nota Não é necessário adicionar a sub-rede se não tiver criado um objecto de subrede separada em serviços e locais do Active Directory.
   
   
   Num ambiente Ethernet de rede perímetro, tem de definir rotas de TCP/IP do computador no ambiente de Ethernet de rede de perímetro para cada computador na rede interna tem de comunicar com o.
   
   Nota Um cenário de firewall de rede de perímetro, existe existe conectividade de ICMP (Internet Control Message Protocol) entre o servidor Exchange e os controladores de domínio. Por predefinição, o acesso a directórios (DSAccess) utiliza ICMP para o ping a cada servidor ao qual liga para determinar se o servidor está disponível. Quando não existe conectividade ICMP, o acesso a directórios responde como se cada controlador de domínio não estiver disponível. Para obter mais informações sobre como desactivar o ping do Access através da criação de uma chave de registo, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
   320529  (http://support.microsoft.com/kb/320529/ ) A utilização do DSAccess num cenário de firewall de rede de perímetro requer uma definição de chave de registo
   320228  (http://support.microsoft.com/kb/320228/ ) O valor de registo "DisableNetLogonCheck" e como utilizá-la

Como configurar o Microsoft Exchange Server 5.5 Outlook Web Access para ligar ao Exchange Server 5.5 através de um firewall

Para instalar o Outlook Web Access do Exchange Server 5.5 no computador externo que direccionou num servidor Microsoft Exchange Server 5.5 que está em execução no interior da rede de perímetro e um firewall, tem de abrir as portas do Windows 2000 ou Windows Server 2003 que foram mencionadas no início da secção "Estatisticamente mapear as portas para um servidor front-end num ambiente Ethernet de rede de perímetro para que o computador possa iniciar sessão rede e comunicar com servidores back-end". Além disso, necessita de mapeamentos estáticos para o serviço de directório do Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8 c 59-08002b2f8426), o Microsoft Exchange Information Store service (UUID a4f1db00-ca47-1067-b31f-00dd010662da) e o System Attendant (UUID 469d6ec0-0 d 87-11ce-b13f-00aa003bac6c).

Para configurar a porta RPC para o serviço de directório do Microsoft Exchange, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: The port number to be assigned, in decimal format
4. Saia do Editor de registo.

Para configurar a porta RPC para o serviço Microsoft Exchange Information Store, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte subchave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
3. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: The port number to be assigned, in decimal format
4. Saia do Editor de registo.

Para configurar a porta RPC para o Microsoft Exchange System Attendant do serviço, siga estes passos:

1. Inicie o Editor de registo.
2. Localize e, em seguida, clique para seleccionar a seguinte subchave:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Adicione o seguinte valor de registo:
   Nome do valor: porta de TCP/IP
   Tipo de valor: REG_DWORD
   Base: decimal
   Dados do valor: The port number to be assigned, in decimal format
4. Saia do Editor de registo.
5. Reinicie o computador.

Limitações dos mapeamentos de portas estáticas do Exchange Server

A lista seguinte descreve algumas das limitações do Exchange Server mapeamentos de portas estáticas:

• problemas de acesso de cliente do Outlook
  
  Se um processo já está a utilizar a porta atribuída estaticamente quando o serviço do Exchange é iniciado, o serviço do Exchange não poderá utilizar essa porta. No entanto, o serviço Microsoft Exchange Information Store, o serviço Microsoft Exchange Directory ou ambos os serviços, vão ainda registar todos os respectivos pontos outros finais e iniciar com êxito.
  
  No entanto, quando os utilizadores tentarem abrir o Outlook e aceda ao Exchange Server, poderão receber a seguinte mensagem de erro:
  Não é possível abrir pastas de correio electrónico predefinidas. Não tem permissão para iniciar sessão.
  Para resolver este problema, certifique-se de que o Exchange Server foi inicializado uma porta para o serviço Microsoft Exchange Information Store, o serviço System Attendant e o NSPI serviço. Pode verificar isto através da execução RPCDump no servidor para o TCP/IP protocolo.
  
  Pode mapear estatisticamente os serviços do Exchange Server que estão listados neste artigo para qualquer número de porta TCP/IP disponível no intervalo inteiro (1-65535). Se executar um netstat - um comando numa linha de comandos, receberá uma lista de todas as portas que estão actualmente registados no servidor. Pode utilizar esta lista para ajudar a determinar uma nova válida (não utilizada) porta que pode utilizar para mapear estatisticamente os serviços do Exchange.
• rastreio de problemas de mensagens
  
  Para activar a função de rastreio num servidor com o Exchange 2000 Server Service Pack 2 (SP2) ou uma versão posterior e que está localizado na rede de perímetro de mensagem, o Windows Management Instrumentation (WMI) deverá ser permitido ligar ao servidor de destino.
  
  O serviço WMI é iniciado criar ligações a mais baixa porta numerada começando na porta 1024. Ao longo do tempo, o número de porta utilizado pelo WMI aumenta sequencialmente. Para obter mais informações sobre como mapear estatisticamente portas para o serviço WMI, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
  154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a atribuição dinâmica de portas RPC para trabalhar com firewall

Microsoft Exchange Server 2007

Neste artigo, o processo de mapeamento de portas estáticas para Exchange Server 2003 e Exchange 2000 Server continua a funcionar no Exchange 2007. No entanto, a instalação de um servidor na rede de perímetro de acesso de cliente não é suportada. Não é suportada para colocar um servidor de acesso de cliente numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) ou qualquer configuração com uma firewall entre eles e os controladores de domínio ou da caixa de correio. Portas de firewall que deverão estar abertas para o Exchange 2007.

O seguinte tópico fornece informações sobre portas, autenticação e encriptação para todos os caminhos de dados que são utilizados pelo Exchange 2007. As secções de notas de cada tabela seguinte clarificar ou definem métodos de autenticação ou encriptação não padrão.
http://technet.microsoft.com/en-us/library/bb331973.aspx (http://technet.microsoft.com/en-us/library/bb331973.aspx)

Para mais informações sobre como corrigir o UDP porta para o Outlook 2003 e para o Outlook 2007, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
Todos os servidores excepto servidores limite devem ser implementados na rede da empresa. Ao contrário de versões anteriores do Exchange, a Microsoft não suporta instalar e implementar o Exchange 2007 numa rede de perímetro. Estas informações tem foi documentadas no seguinte artigo da TechNet:
Nota Instalação de um servidor de acesso de cliente na rede de perímetro não é suportada. Quando não firewalls entre os servidores Exchange 2007, os servidores do Exchange 2007 devem comunicar livremente entre si. O firewall deve estar entre o ambiente de produção e os clientes

Para obter mais informações sobre como configurar portas de comunicação estático no Outlook 2003, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre como o Outlook 2000 acede o serviço de directório do Active Directory, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre as portas utilizadas pelo Exchange 2000 Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre como clientes MAPI acedem ao Active Directory, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre o Outlook os clientes ligar através de um servidor proxy ou firewall que está a efectuar (Network Address TRANSLATION) entre redes públicas e privadas, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre como configurar portas para pacotes de notificação de correio novos UDP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre requisitos de porta para sistemas Windows Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: