Exchange Server 静态端口映射

文章翻译 文章翻译
文章编号: 270836 - 查看本文应用于的产品
本文综合了以前发布的几篇文章的内容:270836、148732、155831、833799、291615、264035、302914、278339、280132、298369、194952、259240、832017、320529、320228 和 154596

展开全部 | 关闭全部

本文内容

概要

本文介绍如何通过静态方式对特定端口进行映射,早期版本的 MAPI 客户端计算机使用这些端口通过防火墙连接到运行 Microsoft Exchange Server 5.5、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003 的服务器。早期版本的 MAPI 客户端计算机包括 Exchange Server 客户端计算机以及在“公司”或“工作组”模式下运行 Microsoft Outlook 的客户端计算机。此外,本文还介绍如何通过静态方式映射外围网络(也称为 DMZ、外围安全区域和外围子网)以太网环境中前端服务器的端口,以便计算机可以登录到该网络并与后端服务器通信。

更多信息

重要说明:本节、方法或任务包含有关如何修改注册表的步骤。但是,如果注册表修改不当,则可能会出现严重问题。因此,请一定严格按照这些步骤操作。为了获得进一步保护,请在修改注册表之前对其进行备份。这样在出现问题时就可以还原注册表。有关如何备份和还原注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表

用于让 MAPI 客户端计算机通过防火墙连接到 Exchange 2000 Server 或 Exchange Server 2003 的静态端口映射

若要让早期版本的 MAPI 客户端计算机能够通过防火墙连接到 Exchange 2000 Server 或 Exchange Server 2003,请向注册表中添加一些项,以使分配给这些连接的端口成为静态端口。为此,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  3. 为 Microsoft Exchange SA RFR 接口添加下面的项:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    数值数据:<要分配的端口号(用十进制表示)>
    确保为每个注册表项分配不同的端口设置。如果从命令提示符处运行命令 netstat -an,则可以用数字格式查看所有 TCP/IP 连接和侦听端口。对于静态映射,必须使用尚未使用的端口。

    有关 Exchange Server 静态端口分配准则的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    154596 如何配置与防火墙一起使用的 RPC 动态端口分配
  4. 找到下面的注册表项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  5. 为 Microsoft Exchange 目录 NSPI 代理接口添加下面的注册表值:
    数值名称:TCP/IP NSPI Port
    数值类型:REG_DWORD
    数值数据:<要分配的端口号(用十进制表示)>
  6. 找到下面的注册表项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  7. 为 Microsoft Exchange 信息存储接口添加下面的注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    数值数据:<要分配的端口号(用十进制表示)>
  8. 找到下面的注册表项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
  9. 为 Microsoft Exchange 站点复制服务 (SRS) 添加下面的注册表值:
    数值名称:TCP/IP
    数值类型:REG_DWORD
    数值数据:<要分配的端口号(用十进制表示)>
  10. 退出注册表编辑器。
  11. 重新启动计算机。
在您完成上述步骤后,配置数据包筛选器或防火墙,以便可以通过 Microsoft Exchange 系统助理服务的端口 135 以及您在步骤 3、5、7 和 9 中分配的端口建立 TCP 连接。

如果您要对运行 Exchange 2000 Server 或 Exchange Server 2003 以及安装在全局编录服务器上的服务器进行这些更改,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:<要分配的端口号(用十进制表示)>
  4. 退出注册表编辑器。
重新启动全局编录服务器,以便在初始化名称服务提供程序接口 (NSPI) 时读取静态映射。

注意:选择的端口号不应与其他程序冲突。如果该端口号与其他程序冲突,NSPI 将不启动。

用于让 MAPI 客户端计算机通过防火墙连接到 Exchange Server 5.5 的静态端口映射

若要让早期版本的 MAPI 客户端计算机能够通过防火墙连接到 Exchange Server 5.5,请向注册表添加一些项,以使分配给这些连接的端口成为静态端口。为此,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表子项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
  3. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:5000
    注意:建议在 5000 到 65535 这一范围(十进制值)内分配端口。 有关 Exchange Server 服务的静态端口分配准则的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    154596 如何配置与防火墙一起使用的 RPC 动态端口分配
  4. 找到下面的注册表子项并单击以选中它:
    System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  5. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:5001
    注意:建议在 5000 到 65535 这一范围(十进制值)内分配端口。 有关 Exchange Server 服务的静态端口分配准则的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    154596 如何配置与防火墙一起使用的 RPC 动态端口分配
  6. 退出注册表编辑器。
  7. 重新启动计算机。
在您完成上述步骤后,配置数据包筛选器或防火墙,以便可以通过 Microsoft Exchange 系统助理服务的端口 135 以及您在步骤 3 和 5 中分配的端口建立传输控制协议 (TCP) 连接。

通过静态方式映射外围网络以太网环境中前端服务器的端口,以便计算机可以登录到该网络并与后端服务器通信

如果要安装 Exchange Server 2003 或 Exchange 2000 Server 的计算机通过防火墙与其 Microsoft Windows Server 2003 或 Microsoft Windows 2000 网络隔离,或者位于外围网络以太网环境中,请按照下列步骤操作:
  1. 若要使基于 Windows Server 2003 的计算机或基于 Windows 2000 的计算机能够通过防火墙登录到域,请为传入的通信打开以下端口:
    • 53(传输控制协议 [TCP]、用户数据报协议 [UDP])- 域名系统 (DNS)。
    • 80 (TCP) - Outlook Web Access 访问 Exchange 前端服务器和后端服务器之间通信所需的端口。
    • 88(传输控制协议 [TCP]、UDP)- Kerberos 验证。
    • 123 (UDP) - Windows 时间同步协议 (NTP)。此端口并非 Windows 2000 登录功能所必需的。不过,网络管理员可能会配置或需要它。
    • 135 (TCP) - EndPointMapper。
    • 389 (TCP, UDP) - 轻型目录访问协议 (LDAP)。
    • 445 (TCP) - 用于 Netlogon、LDAP 转换和 Microsoft 分布式文件系统 (DFS) 发现的服务器消息块 (SMB)。
    • 3268 (TCP) - LDAP 到全局编录服务器。
    • 一个用于 Active Directory 登录和目录复制接口的端口(全局唯一标识符 [UUID] 12345678-1234-abcd-ef00-01234567cffb 和 3514235-4b06-11d1-ab04-00c04fc2dcd2)。它通常是启动期间分配的端口 1025 或 1026。不在 DSProxy 或系统助理 (MAD) 源代码中设置该值。因此,您必须在注册表中将该端口映射到 Exchange 服务器为处理登录而必须通过防火墙与其通信的任何域控制器。然后,在防火墙上打开该端口。

      若要在注册表中映射该端口,请按照下列步骤操作:
      1. 启动注册表编辑器。
      2. 找到下面的注册表项并单击以选中它:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. 添加以下注册表值:
        数值名称:TCP/IP Port
        数值类型:REG_DWORD
        基数:十进制
        值:<一个大于 1024 的值>
      4. 退出注册表编辑器。
      确保“TCP/IP”中的斜杠是正斜杠。此外,确保您分配的值大于 1024(十进制)。此数值是您在防火墙上必须打开的其他端口(TCP、UDP)。在防火墙内的每个域控制器上都设置此注册表值并不影响性能。此外,设置此注册表值时还应考虑由于以下问题而发生的所有登录请求重定向情况:服务器停止运行、角色发生变化或带宽要求。
    注意
    • 为了使防火墙内的服务器能够通过防火墙与外部服务器进行通信,您还必须为传出通信配置端口 1024 到 65535。对于启动经过防火墙的通信的计算机,使用的是动态分配并且不能配置的客户端端口。
    • 基于 Windows 2000 Server 的计算机通过防火墙登录到域时,Windows 2000 使用一系列针对目标服务器的 TCP/IP Ping 请求。Windows 2000 进行此操作以确定客户端计算机是正通过慢速链接获取对域控制器的访问权限以应用组策略,还是下载漫游用户配置文件。
  2. 在外部计算机上安装 Exchange Server 2003 或 Exchange 2000 Server。在外部计算机上安装 Exchange Server 2003 或 Exchange 2000 Server 时,您无需打开任何其他端口。
  3. 配置 Exchange Server 2003 或 Exchange 2000 Server 前端和后端连接。Exchange Server 2003 或 Exchange 2000 Server 前端和后端连接只要求在通信合适的情况下根据需要打开其他端口。例如,Web 客户端前端和后端连接要求打开端口 80 [TCP]、IMAP 143 [TCP] 等。此外,采用您需要的安全协议(例如 Ipsec 或安全套接字层 (SSL) 保护的 HTTP、Internet 消息访问协议 (IMAP) 或邮局协议 3 (POP3))的任何连接需要另外进行配置,本文不再论述。如果外围网络中的前端服务器具有不同的子网,请确保在 Active Directory 站点和服务管理单元中添加该子网。

    注意:如果您尚未在 Active Directory 站点和服务中创建单独的子网对象,则不必添加该子网。


    在外围网络以太网环境中,您还必须定义从该环境中的计算机到内部网络中您必须与之通信的每台计算机的 TCP/IP 路由。

    注意:在外围网络防火墙方案中,Exchange 服务器与域控制器之间不存在 Internet 控制消息协议 (ICMP) 连接。默认情况下,目录访问 (DSAccess) 使用 ICMP 来 Ping 它连接到的每台服务器,以确定服务器是否可用。不存在 ICMP 连接时,目录访问将按照每个域控制器都不可用的方式进行响应。 有关如何通过创建注册表项关闭目录访问 Ping 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    320529 在外围网络防火墙方案中使用 DSAccess 要求设置注册表值
    320228 “DisableNetLogonCheck”注册表值及其使用方式

如何配置 Microsoft Exchange Server 5.5 Outlook Web Access 以通过防火墙连接到 Exchange Server 5.5

若要将 Exchange Server 5.5 Outlook Web Access 安装到在外围网络和防火墙内运行的 Microsoft Exchange Server 5.5 服务器所定向的外部计算机上,您必须打开在“通过静态方式映射外围网络以太网环境中前端服务器的端口,以便计算机可以登录到该网络并与后端服务器通信”一节的开始部分中提到的 Windows 2000 或 Windows Server 2003 端口。此外,您需要用于 Exchange Server 5.5 目录服务 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426)、Microsoft Exchange 信息存储服务 (UUID a4f1db00-ca47-1067-b31f-00dd010662da) 和系统助理 (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c) 的静态映射。

若要为 Microsoft Exchange 目录服务配置 RPC 端口,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表子项,然后单击将其选中:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
  3. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:<要分配的端口号(用十进制表示)>
  4. 退出注册表编辑器。
若要为 Microsoft Exchange 信息存储服务配置 RPC 端口,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表子项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
  3. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:<要分配的端口号(用十进制表示)>
  4. 退出注册表编辑器。
若要为 Microsoft Exchange 系统助理服务配置 RPC 端口,请按照下列步骤操作:
  1. 启动注册表编辑器。
  2. 找到下面的注册表子项并单击以选中它:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
  3. 添加以下注册表值:
    数值名称:TCP/IP Port
    数值类型:REG_DWORD
    基数:十进制
    数值数据:<要分配的端口号(用十进制表示)>
  4. 退出注册表编辑器。
  5. 重新启动计算机。

Exchange Server 静态端口映射的限制

以下列表描述了 Exchange Server 静态端口映射的一些限制:
  • Outlook 客户端访问问题

    如果某个进程在 Exchange 服务启动时已在使用静态分配的端口,则 Exchange 服务将无法使用该端口。但是,Microsoft Exchange 信息存储服务和/或 Microsoft Exchange 目录服务仍将注册其所有其他的终结点并成功启动。

    但用户在尝试打开 Outlook 并连接到 Exchange Server 时,可能会收到以下错误消息:
    无法打开默认电子邮件文件夹。您没有登录权限。
    要解决此问题,请确保 Exchange Server 已为 Microsoft Exchange 信息存储服务、系统助理服务和 NSPI 服务初始化某个端口。您可以在服务器上为 TCP/IP 协议运行 RPCDump,以对上述要求进行验证。

    您可以将本文列出的 Exchange Server 服务静态映射到整个端口范围 (1 - 65535) 内任何空闲的 TCP/IP 端口号。如果您在命令提示符处运行 netstat -an 命令,则将收到服务器上当前注册的所有端口的列表。您可以使用该列表帮助确定可用于静态映射 Exchange 服务的有效(未使用)的新端口。
  • 消息跟踪问题

    若要在运行 Exchange 2000 Server Service Pack 2 (SP2) 或更高版本并位于外围网络中的服务器上启用消息跟踪功能,必须允许 Windows Management Instrumentation (WMI) 连接到目标服务器。

    WMI 服务开始时将在编号最低的端口(1024 端口)上创建连接。随着时间推移,WMI 使用的端口号将按顺序增加。 有关如何以静态方式为 WMI 服务映射端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    154596 如何配置与防火墙一起使用的 RPC 动态端口分配

Microsoft Exchange Server 2007

在本文中,Exchange Server 2003 和 Exchange 2000 Server 的静态端口映射过程在 Exchange 2007 中仍然起作用。但是,不支持在外围网络中安装客户端访问服务器。不支持在外围网络(也称为 DMZ、外围安全区域和外围子网)中或者在与邮箱或域控制器之间配置有防火墙的任何网络中放置客户端访问服务器。必须为 Exchange 2007 打开防火墙端口。

以下主题提供有关 Exchange 2007 使用的所有数据路径的端口、身份验证和加密的信息。以下各表的“备注”部分阐明或定义了非标准的身份验证或加密方法。
http://technet.microsoft.com/zh-cn/library/bb331973.aspx

有关如何修复 Outlook 2003 和 Outlook 2007 的 UDP 端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
839226 在应用了 Windows XP Service Pack 2 之后,Outlook“查找”功能和新邮件通知无法正常工作

应在企业网络上部署除边缘服务器外的所有服务器。与早期版本的 Exchange 不同,Microsoft 不支持在外围网络中安装和部署 Exchange 2007。下面的 Technet 文章已归档出此信息:
http://technet.microsoft.com/zh-cn/library/bb232184.aspx

注意:不支持在外围网络中安装客户端访问服务器。Exchange 2007 服务器之间不存在防火墙时,Exchange 2007 服务器应可自由地与另一台服务器通信。防火墙应介于生产环境和客户端之间。

参考

有关如何在 Outlook 2003 中配置静态通信端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
833799 如何在 Outlook 2003 中配置静态通讯端口
有关 Outlook 2000 如何访问 Active Directory 目录服务的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
302914 Outlook 2000 如何访问 Active Directory
有关 Exchange 2000 Server 使用的端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
278339 Exchange 2000 Server 使用的 TCP/UDP 端口
有关 MAPI 客户端如何访问 Active Directory 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256976 MAPI 客户端如何访问 Active Directory
有关 Outlook 客户端如何通过防火墙或在公共网络和专用网络之间执行网络地址转换 (NAT) 的代理服务器进行连接的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
291615 Outlook 无法通过正在执行网络地址转换 (NAT) 的防火墙或代理服务器在公用网络与专用网络之间建立连接
有关如何为 UDP 新邮件通知数据包配置端口的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
264035 无法为 UDP 新邮件通知数据包配置端口
有关 Windows Server 系统的端口要求的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
832017 Windows 服务器系统的服务概述和网络端口要求

属性

文章编号: 270836 - 最后修改: 2009年6月8日 - 修订: 14.0
这篇文章中的信息适用于:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server 标准版
  • Microsoft Exchange Server 5.5 标准版
关键字:?
kbhowto kbnofix KB270836
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com