Mapeamentos de porta est?tica do Exchange 2000 e do Exchange 2003

Este artigo descreve como mapear estaticamente as portas usadas pelos computadores cliente com versões anteriores do MAPI para se conectar, via firewall, a um servidor que esteja executando o Microsoft Exchange Server 5.5, o Microsoft Exchange 2000 Server ou o Microsoft Exchange Server 2003. Os computadores cliente com versões anteriores do MAPI incluem computadores cliente com o Exchange Server e computadores cliente que executam o Microsoft Outlook no modo corporativo ou de grupo de trabalho. Ele também descreve como mapear estaticamente as portas de um servidor front-end em um ambiente Ethernet de rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) para que o computador possa fazer logon na rede e se comunicar com os servidores back-end.

Importante: esta seção, este método ou esta tarefa contém etapas que o orientam sobre como modificar o Registro. Entretanto, podem ocorrer sérios problemas caso você modifique o Registro incorretamente. Por isso, certifique-se de seguir estas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:

Mapeamentos de porta estática para que os computadores cliente com o MAPI se conectem ao Exchange 2000 Server ou ao Exchange Server 2003 por meio de um firewall

Para permitir que os computadores cliente com versões anteriores do MAPI se conectem ao Exchange 2000 Server ou ao Exchange Server 2003 por meio de um firewall, adicione entradas ao Registro para tornar estáticas as portas atribuídas a essas conexões. Para fazer isso, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte chave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Adicione a seguinte entrada para Microsoft Exchange SA RFR Interface:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Dados do valor: O número da porta a ser atribuída, em formato decimal
   Certifique-se de atribuir configurações de portas diferentes a cada chave do Registro. Se você executar o comando netstat -an em um prompt de comando, poderá exibir todas as conexões TCP/IP e portas de escuta em formato numérico. Use uma porta ainda não utilizada para os mapeamentos estáticos.
   
   Para obter mais informações sobre as diretrizes de atribuição de portas estáticas do Exchange Server, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a aloca??o de porta din?mica da RPC para funcionar com os firewalls
4. Localize a seguinte chave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
5. Adicione o seguinte valor do Registro para Microsoft Exchange Directory NSPI Proxy Interface:
   Nome do valor: TCP/IP NSPI Port
   Tipo do valor: REG_DWORD
   Dados do valor: O número da porta a ser atribuída, em formato decimal
6. Localize a seguinte chave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
7. Adicione o seguinte valor do Registro para Microsoft Exchange Information Store Interface:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Dados do valor: O número da porta a ser atribuída, em formato decimal
8. Localize a seguinte chave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
9. Adicione o seguinte valor do Registro para Microsoft Exchange Site Replication Service (SRS):
   Nome do valor: TCP/IP
   Tipo do valor: REG_DWORD
   Dados do valor: O número da porta a ser atribuída, em formato decimal
10. Feche o Editor do Registro.
11. Reinicie o computador.

Após concluir essas etapas, configure o filtro de pacote ou o firewall para permitir conexões TCP para a porta 135 para o serviço Atendedor do Sistema do Microsoft Exchange e as portas atribuídas nas etapas 3, 5, 7 e 9.

Se você fizer essas alterações em um servidor que esteja executando o Exchange 2000 Server ou o Exchange Server 2003 e que esteja instalado em um servidor de catálogo global, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte chave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: O número da porta a ser atribuída, em formato decimal
4. Feche o Editor do Registro.

Reinicie o servidor de catálogo global para que o mapeamento estático seja lido quando a NSPI (Interface de provedor de serviço de nomes) for inicializada.

Observação: o número de porta selecionado não deve estar em conflito com outros programas. Se estiver, a NSPI não será inicializada.

Mapeamentos de porta estática para que os computadores cliente com o MAPI se conectem ao Exchange Server 5.5 por meio de um firewall

Para permitir que os computadores cliente com versões anteriores do MAPI se conectem ao Exchange Server 5.5 por meio de um firewall, adicione entradas ao Registro para tornar estáticas as portas atribuídas a essas conexões. Para fazer isso, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte subchave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: 5000
   Observação: é recomendável atribuir portas dentro do intervalo de 5000 a 65535 (decimal). Para obter mais informações sobre as diretrizes de atribuição de portas estáticas dos serviços do Exchange Server, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a aloca??o de porta din?mica da RPC para funcionar com os firewalls
4. Localize a seguinte subchave e clique nela para selecioná-la:
   System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
5. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: 5001
   Observação: é recomendável atribuir portas dentro do intervalo de 5000 a 65535 (decimal). Para obter mais informações sobre as diretrizes de atribuição de portas estáticas dos serviços do Exchange Server, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:
   154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a aloca??o de porta din?mica da RPC para funcionar com os firewalls
6. Feche o Editor do Registro.
7. Reinicie o computador.

Após concluir essas etapas, configure o filtro de pacote ou o firewall para permitir conexões TCP para a porta 135 para o serviço Atendedor do Sistema do Microsoft Exchange e as portas atribuídas nas etapas 3 e 5.

Mapear estaticamente as portas de um servidor front-end em um ambiente Ethernet de rede de perímetro para que o computador possa fazer logon na rede e se comunicar com os servidores back-end

Para instalar o Exchange Server 2003 ou o Exchange 2000 Server em computadores isolados de suas redes Microsoft Windows Server 2003 ou Microsoft Windows 2000 por um firewall e que se encontrem em um ambiente Ethernet de rede de perímetro, execute estas etapas:

1. Para permitir que computadores com base no Windows Server 2003 ou no Windows 2000 façam logon no domínio por meio do firewall, abra as seguintes portas para o tráfego de entrada:
   • 53 (TCP, UDP) - Sistema de Nomes de Domínio (DNS).
   • 80 (TCP) - Necessária para o acesso ao Outlook Web Access para a comunicação entre os servidores front-end e back-end do Exchange.
   • 88 (TCP, UDP) - Autenticação Kerberos.
   • 123 (UDP) - Windows Time Synchronization Protocol (NTP). Não é necessário para o recurso de logon do Windows 2000. No entanto, pode ser configurado ou exigido pelo administrador da rede.
   • 135 (TCP) - EndPointMapper.
   • 389 (TCP, UDP) - LDAP.
   • 445 (TCP) - SMB para Netlogon, conversão de LDAP e descoberta do sistema de arquivos distribuído (DFS) da Microsoft.
   • 3268 (TCP) - LDAP para servidores de catálogo globais.
   • Uma porta para o logon do Active Directory e para a interface de replicação do diretório (UUIDs ? identificadores universais exclusivos ? 12345678-1234-abcd-ef00-01234567cffb e 3514235-4b06-11d1-ab04-00c04fc2dcd2). Geralmente, é atribuída a porta 1025 ou 1026 durante a inicialização. Esse valor não está definido no código-fonte do DSProxy ou do Atendedor do Sistema (MAD). Portanto, é necessário mapear a porta no Registro em qualquer um dos controladores de domínio que o Exchange Server deve contatar por meio do firewall para processar logons. Em seguida, abra a porta no firewall.
     
     Para mapear a porta no Registro, execute estas etapas:
     1. Inicie o Editor do Registro.
     2. Localize a seguinte chave e clique nela para selecioná-la:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
     3. Adicione o seguinte valor do Registro:
        Nome do valor: TCP/IP Port
        Tipo do valor: REG_DWORD
        Base: Decimal
        Valor: Um valor superior a 1024
     4. Feche o Editor do Registro.
     Certifique-se de que a barra em "TCP/IP" seja uma barra regular (?/?). Certifique-se, também, de atribuir um valor superior a 1024 (decimal). Esse número é a porta adicional que você deve abrir (TCP, UDP) no firewall. A definição desse valor do Registro em todos os controladores de domínio dentro do firewall não afeta o desempenho. Além disso, a definição desse valor do Registro cobre todos os redirecionamentos de solicitações de logon ocorridos devido a servidores inativos, funções alteradas ou requisitos de largura de banda.
   Observações
   • Para que o servidor dentro do firewall se comunique por meio do firewall com o servidor externo, também é necessário configurar as portas de 1024 a 65535 para comunicações de saída. Os computadores que iniciam a comunicação por meio do firewall usam uma porta do lado do cliente que é dinamicamente atribuída e não pode ser configurada.
   • O Windows 2000 envia a forma de uma seqüência de solicitações de ping TCP/IP para o servidor de destino quando os computadores com base no Windows 2000 Server fazem logon no domínio por meio do firewall. O Windows 2000 faz isso para determinar se um computador cliente obtém acesso a um controlador de domínio por meio de uma conexão lenta para aplicar a Diretiva de Grupo ou baixar um perfil de usuário móvel.
2. Instale o Exchange Server 2003 ou o Exchange 2000 Server no computador externo. Não é necessário ter nenhuma outra porta aberta para instalar o Exchange Server 2003 ou o Exchange 2000 Server no computador externo.
3. Configure a conectividade front-end e back-end do Exchange Server 2003 ou do Exchange 2000 Server. A conectividade front-end e back-end do Exchange Server 2003 ou do Exchange 2000 Server só exige que outras portas sejam abertas conforme a necessidade para alguma comunicação. Por exemplo, a conectividade front-end e back-end do cliente Web requer a porta 80 [TCP] aberta, o IMAP 143 [TCP], etc. Além disso, qualquer conectividade por protocolos seguros (como Ipsec ou HTTP protegido por SSL, protocolo IMAP ou protocolo POP3) necessária exige configurações adicionais que não estão especificadas neste artigo. Caso o servidor front-end da rede de perímetro tenha uma sub-rede diferente, verifique se você adicionou essa sub-rede ao snap-in Serviços e Sites do Active Directory.
   
   Observação: não é preciso adicionar a sub-rede se você não tiver criado um objeto de sub-rede separado no snap-in Serviços e Sites do Active Directory.
   
   
   Em um ambiente Ethernet de rede de perímetro, também é necessário definir rotas TCP/IP do computador do ambiente Ethernet da rede de perímetro para todos os computadores da rede interna com os quais você precisa se comunicar.
   
   Observação: em um cenário de firewall de rede de perímetro, não há conectividade ICMP entre o Exchange Server e os controladores de domínio. Por padrão, o Directory Access (DSAccess) usa o ICMP para executar o ping em todos os servidores aos quais ele se conecta para determinar se o servidor está disponível. Quando não há conectividade ICMP, o Directory Access responde como se todos os controladores de domínio estivessem indisponíveis. Para obter mais informações sobre como desativar o ping do Directory Access criando uma chave do Registro, clique nos números dos artigos a seguir para exibi-los na Base de Dados de Conhecimento Microsoft:
   320529  (http://support.microsoft.com/kb/320529/ ) Usando DSAccess em uma situa??o de firewall na rede de per?metro exige uma configura??o da chave do Registro
   320228  (http://support.microsoft.com/kb/320228/ ) O valor do Registro "DisableNetLogonCheck" e como utiliz?-lo

Como configurar o Microsoft Exchange Server 5.5 Outlook Web Access para se conectar ao Exchange Server 5.5 por meio de um firewall

Para instalar o Exchange Server 5.5 Outlook Web Access no computador externo direcionado a um Microsoft Exchange Server 5.5 que é executado dentro da rede de perímetro e de um firewall, você deve abrir as portas do Windows 2000 ou do Windows Server 2003 mencionadas no início da seção "Mapear estaticamente as portas de um servidor front-end em um ambiente Ethernet de rede de perímetro para que o computador possa fazer logon na rede e se comunicar com os servidores back-end". Além disso, você precisa ter mapeamentos estáticos para o Serviço de Diretório do Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), o serviço Armazenamento de Informações do Microsoft Exchange (UUID a4f1db00-ca47-1067-b31f-00dd010662da) e o Atendedor do Sistema (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c).

Para configurar a porta RPC para o Serviço de Diretório do Microsoft Exchange, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte subchave do Registro e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
3. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: O número da porta a ser atribuída, em formato decimal
4. Feche o Editor do Registro.

Para configurar a porta RPC para o serviço Armazenamento de Informações do Microsoft Exchange, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte subchave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
3. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: O número da porta a ser atribuída, em formato decimal
4. Feche o Editor do Registro.

Para configurar a porta RPC para o serviço Atendedor do Sistema do Microsoft Exchange, execute estas etapas:

1. Inicie o Editor do Registro.
2. Localize a seguinte subchave e clique nela para selecioná-la:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
3. Adicione o seguinte valor do Registro:
   Nome do valor: TCP/IP Port
   Tipo do valor: REG_DWORD
   Base: Decimal
   Dados do valor: O número da porta a ser atribuída, em formato decimal
4. Feche o Editor do Registro.
5. Reinicie o computador.

Limitações dos mapeamentos de porta estática do Exchange Server

A lista a seguir descreve algumas das limitações dos mapeamentos de porta estática do Exchange Server:

• Problemas de acesso ao cliente Outlook
  
  Se um processo já estiver usando a porta estaticamente atribuída quando o serviço do Exchange for iniciado, esse serviço não poderá usar essa porta. No entanto, o serviço Armazenamento de Informações do Microsoft Exchange ou o Serviço de Diretório do Microsoft Exchange, ou ambos, ainda registrarão todos os seus outros pontos de extremidade e serão iniciados com êxito.
  
  Mas, quando os usuários tentarem abrir o Outlook e se conectar ao Exchange Server, eles poderão receber a seguinte mensagem de erro:
  Não é possível abrir suas pastas de email padrão. Você não tem permissão para fazer logon.
  Para resolver esse problema, verifique se o Exchange Server inicializou uma porta para o serviço Armazenamento de Informações do Microsoft Exchange, o serviço Atendedor do Sistema e o serviço NSPI. Você pode confirmar isso executando RPCDump no servidor para o protocolo TCP/IP.
  
  É possível mapear estaticamente os serviços do Exchange Server listados neste artigo para qualquer número de porta TCP/IP livre em todo o intervalo (de 1 a 65535). Se você executar um comando netstat -an em um prompt de comando, receberá uma listagem de todas as portas atualmente registradas no servidor. Você pode usar essa lista para ajudar a determinar uma porta nova válida (que não esteja em uso) a ser usada para mapear estaticamente os serviços do Exchange.
• Problemas de controle de mensagens
  
  Para habilitar a função de controle de mensagens em um servidor que esteja executando o Exchange 2000 Server Service Pack 2 (SP2) ou uma versão posterior e que esteja localizado na rede de perímetro, a WMI (Instrumentação de Gerenciamento do Windows) deve ter permissão para se conectar ao servidor de destino.
  
  O serviço WMI começa a criar conexões na porta com o número mais baixo, a partir da porta 1024. Com o tempo, o número de porta usado pela WMI aumenta seqüencialmente. Para obter mais informações sobre como mapear portas estaticamente para o serviço WMI, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:
  154596  (http://support.microsoft.com/kb/154596/ ) Como configurar a aloca??o de porta din?mica de RPC para funcionar com o firewall

Microsoft Exchange Server 2007

Neste artigo, o processo para o mapeamento de porta estática para o Exchange Server 2003 e o Exchange 2000 Server ainda funciona no Exchange 2007. No entanto, não há suporte para a instalação de um Servidor de Acesso para Cliente em uma rede de perímetro. Não há suporte para a inserção de um Servidor de Acesso para Cliente em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada) ou em qualquer configuração com um firewall entre o servidor e a caixa de correio ou os controladores de domínio. Portas do firewall que devem ser abertas para o Exchange 2007.

O tópico a seguir fornece informações sobre portas, autenticação e criptografia para todos os caminhos de dados usados pelo Exchange 2007. As seções de Observações que seguem cada tabela esclarecem ou definem métodos não-padrão de autenticação ou criptografia.
http://technet.microsoft.com/pt-br/library/bb331973.aspx (http://technet.microsoft.com/pt-br/library/bb331973.aspx)

Para obter mais informações sobre como corrigir a porta UDP para o Outlook 2003 e o Outlook 2007, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft:
Todos os servidores, com exceção dos servidores de Borda, devem ser implantados na rede corporativa. Ao contrário das versões anteriores do Exchange, a Microsoft não oferece suporte à instalação e implantação do Exchange 2007 em uma rede de perímetro. Essas informações foram documentadas no seguinte artigo do Technet:
Observação: não há suporte para a instalação de um Servidor de Acesso para Cliente em uma rede de perímetro. Quando não houver firewalls entre os servidores Exchange 2007, eles deverão se comunicar livremente. O firewall deve estar entre o ambiente de produção e os clientes.

Para obter mais informações sobre como configurar portas de comunicação estática no Outlook 2003, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre como o Outlook 2000 acessa o Serviço de Diretório do Active Directory, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre as portas utilizadas pelo Exchange Server 2000, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre como os clientes MAPI acessam o Active Directory, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre como os clientes Outlook se conectam por meio de um firewall ou de um servidor proxy que esteja executando a Conversão de Endereço de Rede (NAT) entre redes públicas e privadas, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre como configurar portas para pacotes de notificação de novas mensagens via UDP, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: Para obter mais informações sobre os requisitos de portas para sistemas Windows Server, clique no número de artigo a seguir para exibi-lo na Base de Dados de Conhecimento Microsoft: