Статическое сопоставление портов для Exchange Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Переводы статьи Переводы статьи
Код статьи: 270836 - Vizualiza?i produsele pentru care se aplic? acest articol.
Данная статья объединяет сведения предыдущих статей: 270836, 148732, 155831, 833799, 291615, 264035, 302914, 278339, 280132, 298369, 194952, 259240, 832017, 320529, 320228 и 154596.

Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается процедура статического сопоставления портов, используемых клиентскими компьютерами с более ранней версией MAPI для подключения через брандмауэр к серверу, на котором выполняется Microsoft Exchange Server 5.5, Microsoft Exchange 2000 Server или Microsoft Exchange Server 2003. К клиентским компьютерам с более ранней версией MAPI относятся клиентские компьютеры Exchange Server и клиентские компьютеры с приложением Microsoft Outlook, работающим в корпоративном режиме или в режиме рабочей группы. Кроме того, в данной статье описывается статическое сопоставление портов на сервере переднего плана, находящемся в демилитаризованной зоне Ethernet (также называемой ДМЗ, промежуточной или экранированной подсетью), которое позволяет компьютерам входить в сеть и взаимодействовать с фоновыми серверами.

Дополнительная информация

Важно! Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако неправильное изменение реестра может привести к возникновению серьезных проблем. Поэтому при выполнении таких действий строго соблюдайте инструкции. Для обеспечения дополнительной защиты создайте резервную копию реестра, прежде чем вносить изменения. В этом случае, если возникнут неполадки, реестр можно будет восстановить. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните номер следующей статьи базы знаний Майкрософт:
322756 Как выполнить резервное копирование и восстановление реестра в Windows

Статическое сопоставление портов для клиентских компьютеров MAPI для подключения к серверам Exchange 2000 Server или Exchange Server 2003 через брандмауэр

Чтобы разрешить клиентским компьютерам с предыдущей версией MAPI подключаться к серверам Exchange 2000 Server или Exchange Server 2003 через брандмауэр, добавьте в реестр записи, которые делают назначенные этим подключениям порты статическими. Для этого выполните указанные ниже действия.
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  3. Добавьте следующую запись для раздела Microsoft Exchange SA RFR Interface:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Значение: номер порта, который необходимо назначить, в десятичном формате
    Назначьте каждому разделу реестра различные параметры порта. При выполнении из командной строки команды netstat -an выводится список всех подключений TCP/IP и прослушивающих портов в числовом формате. Для статического сопоставления требуется указать неиспользуемый порт.

    Дополнительные сведения о назначении статических портов для сервера Exchange Server см. в следующей статье базы знаний Майкрософт:
    154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэрами
  4. Найдите и выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  5. Добавьте следующий параметр реестра для раздела Microsoft Exchange Directory NSPI Proxy Interface:
    Имя параметра: TCP/IP NSPI Port
    Тип параметра: REG_DWORD
    Значение: номер порта, который необходимо назначить, в десятичном формате
  6. Найдите и выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  7. Добавьте следующий параметр реестра для раздела Microsoft Exchange Information Store Interface:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Значение: номер порта, который необходимо назначить, в десятичном формате
  8. Найдите и выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
  9. Добавьте следующий параметр реестра для раздела Microsoft Exchange Site Replication Service (SRS):
    Имя параметра: TCP/IP
    Тип параметра: REG_DWORD
    Значение: номер порта, который необходимо назначить, в десятичном формате
  10. Выйдите из редактора реестра.
  11. Перезагрузите компьютер.
После выполнения этих действий настройте фильтр пакетов или брандмауэр таким образом, чтобы разрешить подключения по протоколу TCP к порту 135 для службы системного помощника Microsoft Exchange, а также к портам, назначенным в действиях 3, 5, 7 и 9.

Если эти изменения вносятся на сервере глобального каталога, на котором установлен сервер Exchange 2000 Server или Exchange Server 2003, выполните следующие действия:
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: номер порта, который необходимо назначить, в десятичном формате
  4. Выйдите из редактора реестра.
Перезапустите сервер глобального каталога, чтобы статическое сопоставление было прочитано при инициализации интерфейса NSPI.

Примечание. Выбранный номер порта не должен конфликтовать с другими программами. Если номер порта конфликтует с другими программами, NSPI не запустится.

Статическое сопоставление портов для клиентских компьютеров MAPI для подключения к серверам Exchange Server 5.5 через брандмауэр

Чтобы разрешить клиентским компьютерам с предыдущей версией MAPI подключаться к серверам Exchange Server 5.5 через брандмауэр, добавьте в реестр записи, которые делают назначенные этим подключениям порты статическими. Для этого выполните указанные ниже действия.
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
  3. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: 5000
    Примечание. Рекомендуется назначать порты в диапазоне десятичных значений 5000–65535. Дополнительные сведения о назначении статических портов для служб сервера Exchange Server см. в следующей статье базы знаний Майкрософт:
    154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэрами
  4. Найдите и выберите следующий подраздел реестра:
    System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  5. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: 5001
    Примечание. Рекомендуется назначать порты в диапазоне десятичных значений 5000–65535. Дополнительные сведения о назначении статических портов для служб сервера Exchange Server см. в следующей статье базы знаний Майкрософт:
    154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэрами
  6. Выйдите из редактора реестра.
  7. Перезагрузите компьютер.
После выполнения этих действий настройте фильтр пакетов или брандмауэр таким образом, чтобы разрешить подключения по протоколу TCP к порту 135 для службы системного помощника Microsoft Exchange, а также к портам, назначенным в действиях 3 и 5.

Статическое сопоставление портов для сервера переднего плана в демилитаризованной зоне Ethernet, которое позволяет компьютеру входить в сеть и взаимодействовать с фоновыми серверами

Чтобы установить сервер Exchange Server 2003 или Exchange 2000 Server на компьютерах, отделенных от сети Microsoft Windows Server 2003 или Microsoft Windows 2000 брандмауэром и работающих в демилитаризованной зоне Ethernet, выполните следующие действия:
  1. Чтобы компьютеры под управлением ОС Windows 2000 или Windows Server 2003 могли входить в домен через брандмауэр, откройте следующие порты для входящего трафика:
    • Порт 53 протоколов TCP и UDP — используется службой доменных имен (DNS).
    • Порт 80 протокола TCP — при доступе с помощью веб-клиента Outlook данный порт используется для обмена данными между серверами Exchange переднего плана и фоновыми серверами Exchange.
    • Порт 88 протоколов TCP и UDP — используется для проверки подлинности Kerberos.
    • Порт 123 протокола UDP — используется при синхронизации времени по протоколу NTP. Он не требуется для входа в систему Windows 2000. Тем не менее, он может быть настроен системным администратором или являться обязательным.
    • Порт 135 протокола TCP — используется системой отображения конечных точек (EndPointMapper).
    • Порт 389 протоколов TCP и UDP — используется протоколом LDAP.
    • Порт 445 протокола TCP — используется для преобразования LDAP, обнаружения распределенной файловой системы (DFS), а также службой Netlogon при обмене данными по протоколу SMB.
    • Порт 3268 протокола TCP — используется для обращения по протоколу LDAP к серверам глобального каталога.
    • Один порт для входа в Active Directory и интерфейса репликации каталогов (идентификаторы UUID 12345678-1234-abcd-ef00-01234567cffb и 3514235-4b06-11d1-ab04-00c04fc2dcd2). Как правило, при загрузке системы для этих целей выделяется порт 1025 или 1026. Данное значение не задано в исходном коде DSProxy или системного помощника (MAD). Поэтому необходимо сопоставить порт в реестре на всех контроллерах домена, с которыми сервер Exchange Server связывается через брандмауэр для обработки входа в систему. Затем требуется открыть порт в брандмауэре.

      Чтобы сопоставить порт в реестре, выполните следующие действия:
      1. Запустите редактор реестра.
      2. Найдите и выберите следующий раздел реестра:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. Добавьте следующий параметр реестра:
        Имя параметра: TCP/IP Port
        Тип параметра: REG_DWORD
        Система исчисления: десятичное
        Значение: значение, превышающее 1024
      4. Выйдите из редактора реестра.
      Убедитесь в том, что косая черта в значении «TCP/IP» не является обратной. Кроме того, убедитесь в том, что назначенное десятичное значение превышает 1024. Это значение представляет собой дополнительный порт (TCP или UDP), который необходимо открыть в брандмауэре. Задание этого параметра реестра на каждом контроллере домена в сети брандмауэра не влияет на производительность. Кроме того, при задании этого параметра реестра охватываются все перенаправления запросов на вход в систему, которые возникают при отключении серверов, изменении ролей или из-за требований к пропускной способности.
    Примечания.
    • Чтобы серверы, расположенные за брандмауэром, могли взаимодействовать через брандмауэр с внешним сервером, должны быть разрешены исходящие подключения для портов 1024—65535. Компьютеры, инициирующие подключение через брандмауэр, используют динамически назначаемый номер порта на стороне клиента, который нельзя настроить.
    • Когда компьютеры под управлением Windows 2000 Server входят в домен через брандмауэр, операционная система Windows 2000 пытается выполнить последовательность запросов для проверки связи по протоколу TCP/IP с сервером назначения. Это делается, чтобы определить, используется ли при подключении к контроллеру домена медленный канал связи, и принять решение о применении групповой политики или о загрузке перемещаемого профиля пользователя.
  2. Установите сервер Exchange Server 2003 или Exchange 2000 Server на внешний компьютер. Чтобы установить сервер Exchange 2000 Server или Exchange Server 2003 на внешний компьютер, не требуется открывать дополнительные порты.
  3. Настройте возможность подключения к серверам переднего плана и фоновым серверам Exchange Server 2003 или Exchange 2000 Server. Для подключения к серверам переднего плана и фоновым серверам Exchange Server 2003 или Exchange 2000 Server требуются только те открытые порты, которые используются для нужных типов связи. Например, для возможности подключения веб-клиента к серверам переднего плана и фоновым серверам требуется, чтобы был открыт порт 80 (TCP), порт IMAP 143 (TCP) и т. д. Кроме того, любые подключения по защищенным протоколам, таким как IPSec или HTTP с использованием SSL, IMAP или POP3, требуют дополнительной настройки, описание которой выходит за рамки этой статьи. Если сервер переднего плана, расположенный в демилитаризованной зоне, принадлежит к другой подсети, добавьте эту подсеть в оснастке «Active Directory — сайты и службы».

    Примечание. Подсеть добавлять не требуется, если в оснастке «Active Directory — сайты и службы» не создан отдельный объект подсети.


    Кроме того, в демилитаризованной зоне Ethernet необходимо задать маршруты TCP/IP, позволяющие компьютерам в демилитаризованной зоне обмениваться данными с нужными компьютерами внутренней сети.

    Примечание. При наличии брандмауэра демилитаризованной зоны связь между сервером Exchange Server и контроллерами домена по протоколу ICMP невозможна. По умолчанию служба доступа к каталогам (DSAccess) отправляет на все серверы ICMP-запросы проверки связи, чтобы определить, доступны ли они. Если подключение по протоколу ICMP невозможно, служба доступа к каталогам будет считать, что все контроллеры домена недоступны. Дополнительные сведения о том, как отключить проверку связи службой доступа к каталогам путем создания раздела реестра, см. в следующих статьях базы знаний Майкрософт:
    320529 Задание раздела реестра для использования доступа к каталогу (DSAccess) при наличии брандмауэра демилитаризованной зоны (эта ссылка может указывать на содержимое полностью или частично на английском языке)
    320228 Параметр реестра "DisableNetLogonCheck" и его использование (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Настройка Microsoft Exchange Server 5.5 Outlook Web Access для подключения к серверу Exchange Server 5.5 через брандмауэр

Чтобы установить Exchange Server 5.5 Outlook Web Access на внешний компьютер, который ссылается на сервер Microsoft Exchange Server 5.5, установленный внутри демилитаризованной зоны и за брандмауэром, необходимо открыть порты Windows 2000 или Windows Server 2003, упомянутые в начале раздела «Статическое сопоставление портов для сервера переднего плана в демилитаризованной зоне Ethernet, которое позволяет компьютеру входить в сеть и взаимодействовать с фоновыми серверами». Кроме того, необходимо задать статические сопоставления для службы каталогов сервера Exchange Server 5.5 (идентификатор UUID f5cc5a18-4264-101a-8c59-08002b2f8426), службы банка данных Microsoft Exchange (идентификатор UUID a4f1db00-ca47-1067-b31f-00dd010662da) и системного помощника (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c).

Чтобы настроить порт RPC для службы каталогов Microsoft Exchange, выполните следующие действия:
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
  3. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: номер порта, который необходимо назначить, в десятичном формате
  4. Выйдите из редактора реестра.
Чтобы настроить порт RPC для службы банка данных Microsoft Exchange, выполните следующие действия:
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  3. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: номер порта, который необходимо назначить, в десятичном формате
  4. Выйдите из редактора реестра.
Чтобы настроить порт RPC для службы системного помощника Microsoft Exchange, выполните следующие действия:
  1. Запустите редактор реестра.
  2. Найдите и выберите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  3. Добавьте следующий параметр реестра:
    Имя параметра: TCP/IP Port
    Тип параметра: REG_DWORD
    Система исчисления: десятичное
    Значение: номер порта, который необходимо назначить, в десятичном формате
  4. Выйдите из редактора реестра.
  5. Перезагрузите компьютер.

Ограничения сопоставлений статических портов для сервера Exchange Server

В следующем списке приведены некоторые ограничения сопоставлений статический портов для сервера Exchange Server.
  • Проблемы с доступом клиентов Outlook

    Если процесс уже использует статически назначенный порт при запуске службы Exchange, служба Exchange не сможет использовать этот порт. При этом служба банка данных Microsoft Exchange, служба каталогов Microsoft Exchange или обе эти службы смогут регистрировать свои остальные конечные точки и запускаться.

    Тем не менее, когда пользователи попытаются открыть Outlook и подключиться к серверу Exchange Server, они могут получить следующее сообщение об ошибке:
    Не удается открыть почтовые папки, используемые по умолчанию. Отсутствуют права доступа для входа.
    Чтобы решить эту проблему, убедитесь в том, что сервер Exchange Server инициализировал порт для службы банка данных Microsoft Exchange, службы системного помощника и службы NSPI. Это можно проверить, запустив на сервере средство RPCDump для протокола TCP/IP.

    Службам сервера Exchange Server, перечисленным в данной статье, можно статически сопоставить любой свободный порт TCP/IP из диапазона 1–65535. При выполнении из командной строки команды netstat -an выводится список всех портов, зарегистрированных на сервере в настоящий момент. Этот список можно использовать для определения нового допустимого (неиспользуемого) порта, который можно использовать для статического сопоставления в службах Exchange.
  • Проблемы с отслеживанием сообщений

    Чтобы включить функцию отслеживания сообщений на сервере с Exchange 2000 Server с пакетом обновления 2 (SP2) или более поздней версии, расположенном в демилитаризованной зоне, необходимо разрешить инструментарию управления Windows (WMI) подключаться к целевому серверу.

    Служба инструментария WMI запускается для создания подключений через порт с наименьшим номером (начиная с порта 1024). Со временем номер порта, используемого инструментарием WMI, последовательно увеличивается. Дополнительные сведения о статическом сопоставлении портов для службы инструментария WMI см. в следующей статье базы знаний Майкрософт:
    154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром

Microsoft Exchange Server 2007

В этой статье сообщается, что процесс сопоставлений статических портов для серверов Exchange Server 2003 и Exchange 2000 Server работает также и в Exchange 2007. Однако установка сервера клиентского доступа в демилитаризованной зоне не поддерживается. Не поддерживается размещение сервера клиентского доступа в демилитаризованной зоне (также называемой ДМЗ, экранированной или промежуточной подсетью) или в любой конфигурации с брандмауэром, находящимся между ним и почтовым ящиком или контроллерами домена. Порты брандмауэра, которые необходимо открыть для Exchange 2007.

В следующем разделе содержатся сведения о портах, проверке подлинности и шифровании для всех путей к данным, которые используются Exchange 2007. В примечаниях, помещенных после каждой таблицы, поясняются или определяются нестандартные методы проверки подлинности или шифрования.
http://technet.microsoft.com/en-us/library/bb331973.aspx

Дополнительные сведения о способах отладки порта UDP для Outlook 2003 и для Outlook 2007 см. в следующей статье базы знаний Майкрософт:
839226 Функция поиска в Outlook и уведомления о новых электронных сообщениях не работают после установки пакета обновления 2 (SP2) для Windows XP

Все серверы, за исключением пограничных серверов, должны быть развернуты в корпоративной сети. В отличие от предыдущих версий Exchange, установка и развертывание Exchange 2007 в демилитаризованной зоне не поддерживается Майкрософт. Эти сведения содержатся в следующей статье Technet:
http://technet.microsoft.com/en-us/library/bb232184.aspx

Примечание. Установка сервера клиентского доступа в демилитаризованной зоне не поддерживается. Когда между серверами Exchange 2007 нет брандмауэров, серверы Exchange 2007 свободно взаимодействуют друг с другом. Брандмауэр должен находиться между производственной средой и клиентами.

Ссылки

Дополнительные сведения о настройке статических портов связи в Outlook 2003 см. в следующей статье базы знаний Майкрософт:
833799 Настройка статического порта связи в Outlook 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о доступе Outlook 2000 к службе каталогов Active Directory см. в следующей статье базы знаний Майкрософт:
302914 Доступ Outlook 2000 к Active Directory (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о портах, используемых сервером Exchange 2000 Server, см. в следующей статье базы данных Майкрософт:
278339 Порты TCP/UDP, которые используются сервером Exchange 2000 Server
Дополнительные сведения о доступе клиентов MAPI к Active Directory см. в следующей статье базы знаний Майкрософт:
256976 Доступ клиентов MAPI к Active Directory (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о подключении клиентов Outlook через брандмауэр или прокси-сервер, выполняющий преобразование сетевых адресов (NAT) между общей и частной сетями, см. в следующей статье базы знаний Майкрософт:
291615 Outlook 2002 и Outlook 2003 не может подключаться через брандмауэр или прокси-сервер, выполняющий преобразование сетевых адресов (NAT) между публичной и частной сетями (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о настройке портов для UDP-пакетов уведомлений о новых сообщениях электронной почты см. в следующей статье базы знаний Майкрософт:
264035 Невозможно настроить порт для UDP-пакетов уведомлений о новых сообщениях электронной почты (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Дополнительные сведения о требованиях к портам для систем Windows Server см. в следующей статье базы знаний Майкрософт:
832017 Службы и сетевые порты в серверных системах Microsoft Windows

Свойства

Код статьи: 270836 - Последний отзыв: 4 июня 2009 г. - Revision: 14.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Ключевые слова: 
kbhowto kbnofix KB270836

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com