Statické mapování portů serveru Exchange

Tento článek je spojením těchto dřívějších článků: 270836, 148732, 155831, 833799, 291615, 264035, 302914, 278339, 280132, 298369, 194952, 259240, 832017, 320529, 320228 a 154596

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Další informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Informace o registru systému Windows pro pokročilé uživatele

Souhrn

Tento článek popisuje postup statického mapování portů, které jsou klientskými počítači se starší verzí rozhraní MAPI používány ke spojení přes bránu firewall se serverem, na kterém běží Microsoft Exchange Server 5.5, Microsoft Exchange 2000 Server nebo Microsoft Exchange Server 2003. Mezi klientské počítače se starší verzí rozhraní MAPI patří klientské počítače serveru Exchange a klientské počítače s aplikací Microsoft Outlook v režimu Corporate nebo Workgroup. Tento článek dále popisuje postup statického mapování portů serveru front-end v prostředí hraniční sítě Ethernet (označované také zóna DMZ nebo monitorovaná podsíť), aby se počítač mohl přihlásit k síti a komunikovat se servery back-end.

Další informace

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Statické mapování portů pro klientské počítače s rozhraním MAPI pro připojení k serveru Exchange 2000 Server nebo Exchange Server 2003 přes bránu firewall

Chcete-li umožnit připojení klientských počítačů se starší verzí rozhraní MAPI k serveru Exchange 2000 Server nebo Exchange Server 2003 přes bránu firewall, přidejte do registru položky, kterými nastavíte porty přiřazované těmto připojením na statické. Postupujte následujícím způsobem:
 1. Spusťte Editor registru.
 2. Vyhledejte následující klíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
 3. Přidejte následující položku pro rozhraní Microsoft Exchange SA RFR:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
  Zajistěte, abyste každému klíči registru přiřadili jiné nastavení čísla portu. Pokud na příkazovém řádku spustíte příkaz netstat -an, můžete si prohlédnout všechna připojení protokolu TCP/IP a naslouchající porty v číselném formátu. Statické mapování portů vyžaduje použít nepoužívaný port.

  Další informace o obecných pokynech pro statické přidělování portů serveru Exchange naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  154596 Konfigurace dynamického přidělování portů pro vzdálené volání procedur způsobem, který funguje s bránou firewall

 4. Vyhledejte následující klíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
 5. Přidejte následující hodnotu registru pro rozhraní Microsoft Exchange Directory NSPI Proxy:
  Název hodnoty: TCP/IP NSPI Port
  Typ hodnoty: REG_DWORD
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 6. Vyhledejte následující klíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
 7. Přidejte následující hodnotu registru pro rozhraní Microsoft Exchange Information Store:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 8. Vyhledejte následující klíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSRS\Parameters
 9. Přidejte následující hodnotu registru pro službu Microsoft Exchange SRS (Site Replication Service):
  Název hodnoty: TCP/IP
  Typ hodnoty: REG_DWORD
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 10. Ukončete Editor registru.
 11. Restartujte počítač.
Po dokončení těchto kroků nakonfigurujte filtr paketů nebo bránu firewall tak, aby byla možná připojení pomocí protokolu TCP na port 135 pro službu Microsoft Exchange System Attendant a porty přiřazené v krocích 5, 7 a 9.

Pokud tyto změny provádíte na serveru, kde běží Exchange 2000 Server nebo Exchange Server 2003 a server je nainstalován na serveru globálního katalogu, postupujte následujícím způsobem:
 1. Spusťte Editor registru.
 2. Vyhledejte následující klíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
 3. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 4. Ukončete Editor registru.
Restartujte server globálního katalogu, aby se při inicializaci rozhraní NSPI (Name Service Provider Interface) načetlo statické mapování.

Poznámka: Zvolené číslo portu by nemělo způsobovat konflikt s jinými programy. Pokud číslo portu způsobuje konflikt s jinými programy, rozhraní NSPI se nespustí.

Statické mapování portů pro klientské počítače s rozhraním MAPI pro připojení k serveru Exchange Server 5.5 přes bránu firewall

Chcete-li klientským počítačům se starší verzí rozhraní MAPI umožnit připojení k serveru Exchange Server 5.5 přes bránu firewall, přidejte do registru položky, kterými nastavíte porty přiřazované těmto připojením na statické. Postupujte následujícím způsobem:
 1. Spusťte Editor registru.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
 3. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: 5000
  Poznámka: Doporučujeme přiřazovat porty v rozsahu 5000 – 65535 (desítkově).
  Další informace o obecných pokynech pro statické přidělování portů služeb serveru Exchange naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  154596 Konfigurace dynamického přidělování portů pro vzdálené volání procedur způsobem, který funguje s bránou firewall

 4. Vyhledejte následující podklíč registru a klepněte na něj:
  System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
 5. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: 5001
  Poznámka: Doporučujeme přiřazovat porty v rozsahu 5000 - 65535 (desítkově).
  Další informace o obecných pokynech pro statické přidělování portů služeb serveru Exchange naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  154596 Konfigurace dynamického přidělování portů pro vzdálené volání procedur způsobem, který funguje s bránou firewall

 6. Ukončete Editor registru.
 7. Restartujte počítač.
Po dokončení těchto kroků nakonfigurujte filtr paketů nebo bránu firewall tak, aby bylo možné připojení služby Microsoft Exchange System Attendant protokolem TCP (Transmission Control Protocol) k portu 135 a k portům přiřazeným v krocích 3 a 5.

Statické mapování portů serveru front-end v prostředí hraniční sítě Ethernet, aby se počítač mohl přihlásit k síti a komunikovat se servery back-end

Chcete-li nainstalovat server Exchange Server 2003 nebo Exchange 2000 Server v počítačích, které jsou izolované od sítí Microsoft Windows Server 2003 nebo Microsoft Windows 2000 bránou firewall a jsou v prostředí hraniční sítě Ethernet, postupujte takto:
 1. Chcete-li počítačům se systémy Windows Server 2003 nebo Windows 2000 umožnit přihlášení k doméně přes bránu firewall, otevřete následující porty pro příchozí komunikaci:
  • 53 (Transmission Control Protocol [TCP], User Datagram Protocol [UDP]) – Domain Name System (DNS)
  • 80 (TCP) – Nutný pro aplikaci Outlook Web Access pro komunikaci mezi servery Exchange front-end a back-end
  • 88 (Transmission Control Protocol [TCP], UDP) – Ověřování pomocí protokolu Kerberos
  • 123 (UDP) - Protokol synchronizace času systému Windows (NTP) Není vyžadován pro přihlašování pomocí systému Windows 2000. Může být nicméně vyžadován nebo nakonfigurován správcem sítě.
  • 135 (TCP) – EndPointMapper.
  • 389 (TCP, UDP) – Protokol LDAP (Lightweight Directory Access Protocol).
  • 445 (TCP) – Protokol SMB (Server Message Block) procesu Netlogon, převod protokolu LDAP a zjišťování systému souborů DFS
  • 3268 (TCP) – Protokol LDAP pro servery globálních katalogů
  • Jeden port pro přihlášení ke službě Active Directory a rozhraní replikace adresářů (identifikátory UUID (universally unique identifiers) 12345678-1234-abcd-ef00-01234567cffb a 3514235-4b06-11d1-ab04-00c04fc2dcd2). Obvykle je během spouštění počítače přiřazen port 1025 nebo 1026. Tato hodnota není nastavena ve zdrojovém kódu služeb DSProxy nebo System Attendant (MAD). Z tohoto důvodu je nutné namapovat port v registru všech řadičů domén, které musí server Exchange kontaktovat přes bránu firewall, aby zpracoval přihlášení. Potom otevřete daný port v bráně firewall.

   Chcete-li namapovat port v registru, postupujte následovně:
   1. Spusťte Editor registru.
   2. Vyhledejte následující klíč registru a klepněte na něj:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
   3. Přidejte následující hodnotu registru:
    Název hodnoty: TCP/IP Port
    Typ hodnoty: REG_DWORD
    Číselná soustava: Desítková
    Hodnota: Hodnota větší než 1024
   4. Ukončete Editor registru.
   Zkontrolujte, zda ve výrazu „TCP/IP“ je lomítko (nikoli zpětné lomítko). Dále ověřte, zda přiřazujete hodnotu vyšší než 1024 (desítkově). Toto číslo je další port, který je třeba otevřít (TCP, UDP) v bráně firewall. Nastavení této hodnoty registru ve všech řadičích domén uvnitř brány firewall nemá vliv na výkon. Nastavení této hodnoty registru dále pokrývá jakákoli přesměrování požadavků přihlášení, která nastanou z důvodu výpadků serverů, změny rolí nebo požadavků na šířku pásma.
  Poznámky
  • Chcete-li, aby server uvnitř brány firewall mohl komunikovat přes tuto bránu se serverem, který je vně, je dále nutné nakonfigurovat porty 1024 až 65535 pro odchozí komunikaci. Počítače, které zahájí komunikaci přes tuto bránu firewall, používají port na straně klienta, který je dynamicky přiřazován a nelze jej nakonfigurovat.
  • Systém Windows 2000 komunikuje v případě přihlašování počítačů se systémem Windows 2000 Server k doméně přes bránu firewall pomocí sekvence požadavků příkazu ping protokolu TCP/IP na cílový server. Tímto postupem zjistí systém Windows 2000 skutečnost, zda klientský počítač získává přístup k řadiči domény prostřednictvím pomalé linky za účelem použití zásad skupiny nebo stažení cestovního profilu uživatele.
 2. Nainstalujte Exchange Server 2003 nebo Exchange 2000 Server do externího počítače. Instalace serveru Exchange Server 2003 nebo Exchange 2000 Server do externího počítače nevyžaduje otevření žádných dalších portů.
 3. Nakonfigurujte připojení serveru Exchange Server 2003 nebo Exchange 2000 Server front-end a back-end. Připojení serveru Exchange Server 2003 nebo Exchange Server 2000 front-end a back-end vyžaduje pouze otevření dalších portů vyžadovaných pro příslušnou komunikaci. Připojení webového klienta mezi front-end a back-end vyžaduje například otevření portů 80 [TCP], IMAP 143 [TCP], a tak dále. Připojení pomocí zabezpečených protokolů, například protokolu Ipsec nebo HTTP se zabezpečením SSL (Secure Sockets Layer), IMAP (Internet Message Access Protocol) nebo POP3 (Post Office Protocol version 3), které je potřeba, vyžaduje další konfiguraci, která není v tomto článku uvedena. Pokud je server front-end v hraniční síti v jiné podsíti, zajistěte, aby tato podsíť byla přidána do modulu snap-in Sítě a služby Active Directory.

  Poznámka: Podsíť není nutné přidávat v případě, že jste v modulu Sítě a služby Active Directory nevytvořili oddělený objekt podsítě.


  V prostředí hraniční sítě Ethernet je dále nutné definovat směrování protokolu TCP/IP z počítače v prostředí hraniční sítě Ethernet do každého počítače v interní síti, se kterým je třeba komunikovat.

  Poznámka: V případě hraniční sítě s bránou firewall neexistuje žádné připojení mezi serverem Exchange a řadiči domén pomocí protokolu ICMP (Internet Control Message Protocol). Ve výchozím nastavení používá služba DSAccess (Directory Access) protokol ICMP k získání odezvy příkazu ping ze všech serverů, ke kterým se připojuje, za účelem zjištění dostupnosti daného serveru. Pokud neexistuje připojení protokolem ICMP, odpoví služba Directory Access, jako by byly nedostupné všechny řadiče domén.
  Další informace o vypnutí použití příkazu ping službou Directory Access vytvořením klíče registru naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
  320529 Použití služby DSAccess v hraniční síti s bránou firewall vyžaduje nastavení klíče registru (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
  320228 Použití hodnoty registru DisableNetLogonCheck (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Konfigurace aplikace Microsoft Exchange Server 5.5 Outlook Web Access pro připojení k serveru Exchange Server 5.5 přes bránu firewall

Chcete-li nainstalovat aplikaci Exchange Server 5.5 Outlook Web Access v externím počítači, který je směrován na server Microsoft Exchange Server 5.5 provozovaný v hraniční síti za branou firewall, je třeba otevřít porty systému Windows 2000 nebo Windows Server 2003 uvedené na začátku části „Statické mapování portů serveru front-end v prostředí hraniční sítě Ethernet, aby se počítač mohl přihlásit k síti a komunikovat se servery back-end“. Dále je třeba statické mapování pro adresářové služby serveru Exchange Server 5.5 (identifikátor UUID f5cc5a18-4264-101a-8c59-08002b2f8426), služby Microsoft Exchange Information Store (identifikátor UUID a4f1db00-ca47-1067-b31f-00dd010662da) a služby System Attendant (identifikátor UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c).

Chcete-li nakonfigurovat port služby vzdáleného volání procedur (RPC) pro službu Microsoft Exchange Directory Service, postupujte takto:
 1. Spusťte Editor registru.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Parameters
 3. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 4. Ukončete Editor registru.
Chcete-li nakonfigurovat port služby vzdáleného volání procedur (RPC) pro službu Microsoft Exchange Information Store, postupujte takto:
 1. Spusťte Editor registru.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem
 3. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 4. Ukončete Editor registru.
Chcete-li nakonfigurovat port služby vzdáleného volání procedur (RPC) pro službu Microsoft Exchange System Attendant, postupujte takto:
 1. Spusťte Editor registru.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters
 3. Přidejte následující hodnotu registru:
  Název hodnoty: TCP/IP Port
  Typ hodnoty: REG_DWORD
  Číselná soustava: Desítková
  Údaj hodnoty: Číslo portu, které chcete přiřadit, v desítkovém formátu
 4. Ukončete Editor registru.
 5. Restartujte počítač.

Omezení statického mapování portů serveru Exchange

Následující seznam popisuje některá omezení statického mapování portů serveru Exchange:
 • Přístup klienta aplikace Outlook

  Pokud při spuštění služby Exchange již nějaký proces používá staticky přidělený port, služba Exchange nemůže tento port použít. Služby Microsoft Exchange Information Store a Microsoft Exchange Directory nicméně zaregistrují všechny své koncové body a úspěšně se spustí.

  Pokud se ovšem uživatelé pokusí spustit aplikaci Outlook a připojit se k serveru Exchange, je možné, že se zobrazí následující chybová zpráva:
  Nelze otevřít výchozí e-mailové složky. Nemáte oprávnění k přihlášení.
  Chcete-li tento problém vyřešit, zkontrolujte, zda server Exchange inicializoval port pro služby Microsoft Exchange Information Store, System Attendant a NSPI. To lze ověřit spuštěním příkazu RPCDump na serveru pro protokol TCP/IP.

  Služby serveru Exchange uvedené v tomto článku je možné staticky mapovat na jakékoli volné číslo portu TCP/IP v plném rozsahu (1 – 65535). Pokud na příkazovém řádku zadáte příkaz netstat -an, zobrazí se seznam všech portů aktuálně registrovaných na serveru. Pomocí tohoto výpisu můžete stanovit nový platný (nepoužívaný) port, který můžete použít ke statickému mapování služeb serveru Exchange.
 • Problémy se sledováním zpráv

  Chcete-li zapnout funkci sledování zpráv na serveru Exchange 2000 Server Service Pack 2 (SP2) nebo novějším, který se nachází v hraniční síti, je třeba službě WMI (Windows Management Instrumentation) povolit připojení k cílovému serveru.

  Služba WMI začne s vytvářením připojení u portu s nejnižším číslem od čísla 1024. V průběhu času postupně vzrůstá číslo portu, který je používán službou WMI.
  Další informace o statickém mapování portů pro službu WMI naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  154596 Konfigurace dynamického přidělování portů pro vzdálené volání procedur způsobem, který funguje s bránou firewall

Microsoft Exchange Server 2007

Proces pro statické mapování portu pro Exchange Server 2003 a Exchange 2000 Server v tomto článku funguje i na serveru Exchange 2007. Instalace serveru s rolí Klientský přístup v hraniční síti však není podporována. Není podporováno umístění serveru s rolí Klientský přístup do hraniční sítě (také označované jako zóna DMZ, demilitarizovaná zóna či sledovaná podsíť) ani jakákoli konfigurace s bránou firewall mezi tímto serverem a poštovní schránkou nebo řadiči domény. Porty v bráně firewall, které musí být otevřené pro server Exchange 2007:

Následující téma obsahuje informace o portech, ověření a šifrování pro všechny datové cesty, které jsou používány serverem Exchange 2007. Poznámky za každou tabulkou objasňují či definují nestandardní metody ověřování či šifrování.
http://technet.microsoft.com/en-us/library/bb331973.aspx

Další informace o opravě portu protokolu UDP pro aplikace Outlook 2003 a Outlook 2007 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

839226 Funkce vyhledávání a oznámení o nové poště v aplikaci Outlook nefungují po instalaci aktualizace Windows XP Service Pack 2 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Všechny servery, s výjimkou hraničních serverů, by měly být nasazeny v podnikové síti. Na rozdíl od předchozích verzí serveru Exchange společnost Microsoft nepodporuje instalaci a nasazení serveru Exchange 2007 v hraniční síti. Tyto informace byly dokumentovány v následujícím článku sítě Technet:
Poznámka: Instalace serveru s rolí Klientský přístup v hraniční síti není podporována. Pokud mezi servery Exchange 2007 nejsou žádné brány firewall, servery by spolu měly volně komunikovat. Brána firewall by měla být mezi produkčním prostředím a klienty.

Odkazy

Další informace o postupu konfigurace statických komunikačních portů v aplikaci Outlook 2003 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
833799 Konfigurace statických komunikačních portů v aplikaci Outlook 2003 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o tom, jak aplikace Outlook 2000 přistupuje k adresářové službě Active Directory, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
302914 Jak přistupuje aplikace Outlook 2000 ke službě Active Directory (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace portech používaných serverem Exchange 2000 Server naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
278339 Porty TCP/UDP využívané serverem Exchange 2000 Server

Další informace o přístupu klientů s rozhraním MAPI ke službě Active Directory naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256976 Přístup klientů s rozhraním MAPI ke službě Active Directory (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o připojení klientů aplikace Outlook přes bránu firewall nebo proxy server, který provádí překlad adres NAT (Network Address Translation) mezi veřejnými a privátními sítěmi, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
291615 Aplikace Outlook se nemůže připojit přes bránu firewall nebo proxy server, který provádí překlad adres NAT mezi veřejnými a privátními sítěmi, v aplikaci Outlook 2002 a Outlook 2003 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o konfiguraci portů pro pakety upozornění na novou poštu protokolu UDP naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
264035 Nelze nakonfigurovat porty pro pakety upozornění na novou poštu protokolu UDP (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Další informace o požadavcích na porty pro systémy Windows Server naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
832017 Přehled služeb a požadavků na síťové porty pro systém Windows Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Vlastnosti

ID článku: 270836 - Poslední kontrola: 8. 1. 2017 - Revize: 1

Váš názor