Porte TCP e Microsoft Exchange: descrizione dettagliata

Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Nella risoluzione dei problemi di comunicazione tra computer che eseguono Exchange Server e tra computer che eseguono Exchange Server ed Exchange Client è spesso necessario affrontare il problema dell'utilizzo del filtro di pacchetti (firewall) che può rendere impossibile la comunicazione. In determinate situazioni potrebbe essere necessario monitorare il traffico sulla rete prima di introdurre Exchange nell'infrastruttura di rete, in modo da assicurare che la comunicazione possa svolgersi tra i vari componenti di Exchange. In questo articolo vengono riportate le domande frequenti relative alle porte che devono essere aperte quando si utilizzano firewall e alle porte che devono essere monitorate nell'organizzazione di Microsoft Exchange.
Informazioni
Nell'ambito del traffico di rete associato a Exchange vengono considerati sei scenari:

  1. Comunicazione tra client POP3 e computer che eseguono Exchange Server. Esistono due condizioni:

    • Download e recupero di messaggi
    • Invio di messaggi
  2. Comunicazione tra client IMAP4 e computer che eseguono Exchange Server. Esistono due condizioni:

    • Download e recupero di messaggi
    • Invio di messaggi
  3. Comunicazione tra computer che eseguono Exchange Server e client LDAP (Lightweight Directory Access Protocol).
  4. Comunicazione tra computer che eseguono Exchange Client e computer che eseguono Exchange Server.
  5. Comunicazione tra due computer che eseguono Exchange Server nello stesso sito (comunicazione intersito).
  6. Comunicazione tra due computer che eseguono Exchange Server in diversi siti (comunicazione tra siti). Questa comunicazione presenta due ulteriori distinzioni:

    • Per il collegamento tra siti viene utilizzato il connettore del sito (RPC).
    • Il collegamento tra siti è un connettore X.400.
NOTA: i termini "stesso sito" e "siti diversi" vengono utilizzati in questo caso nel contesto della progettazione di un'infrastruttura di Exchange e non hanno alcuna relazione con l'ubicazione. Di conseguenza due computer che eseguono Exchange Server nello stesso sito potrebbero trovarsi in due diverse ubicazioni ed essere connessi tramite un collegamento WAN attraverso router e firewall.

TERMINOLOGIA: quando ci si riferisce alle porte, vengono spesso utilizzati due termini, "nota" ed "effimera". Il termine "nota" si riferisce alle porte inferiori all'intervallo 1024 utilizzate regolarmente e assegnate, nella maggior parte dei casi, in maniera standard per determinati tipi di servizio di rete. Il termine "effimera" rappresenta tutte le porte inferiori e superiori all'intervallo 1024.

Di seguito vengono descritti in dettaglio i problemi relativi a ognuno dei sei scenari sopra indicati.

Comunicazione tra client POP3 e computer che eseguono Exchange Server

Exchange 5.0 supporta POP3, un protocollo utilizzato per il recupero di messaggi da un server della posta. Oltre ai client di posta POP3, come Internet Mail and News, Posta in arrivo di Windows CE e il Servizio posta Internet per Windows, per l'invio e il recupero di messaggi dal computer che esegue Exchange Server vengono spesso utilizzati anche client come Pegasus e Eudora Pro. Ciò introduce un nuovo aspetto nella discussione sulla disponibilità dell'accesso alle porte TCP.

- Download e recupero di messaggi

L'accesso dei client POP3 ai messaggi su un computer che esegue Exchange Server è regolato dal metodo di autenticazione utilizzato. Sono disponibili tre metodi di autenticazione. Se viene utilizzata l'autenticazione di base o l'autenticazione In attesa/Risposta di Windows NT (autenticazione NTLM di Windows), per il download e il recupero di messaggi tramite un client POP3 è richiesto l'accesso alla porta TCP 110. Per tutte le richieste di connessione in ingresso dai client POP3 per il download di messaggi, il computer che esegue Exchange Server è in ascolto sulla porta 110. Se viene utilizzato il metodo di autenticazione SSL (Secure Sockets Layer), il computer che esegue Exchange Server è in ascolto sulla porta 995. Se si progettano i requisiti per il filtro di pacchetti di una rete che include un'installazione di Exchange, è quindi opportuno considerare l'accesso alla porta TCP 110 o 995 se tra i protocolli è supportato POP3.

- Invio di messaggi

Quando i client POP3 inviano messaggi, il computer che esegue Exchange Server comunica con un host SMTP (Simple Mail Transfer Protocol). Ciò richiede l'accesso alla porta TCP 25. Internet Mail Connector e il Servizio posta Internet utilizzano la porta TCP 25 per i messaggi SMTP in ingresso, secondo quanto definito dalla RFC-821, ed effettuano il monitoraggio della porta 25 per le connessioni in ingresso da altri host SMTP. Microsoft Exchange Server supporta il protocollo POP3, come definito nelle specifiche RFC- 1734 e RFC- 1957.

Comunicazione tra client IMAP4 e computer che eseguono Exchange Server

Exchange versione 5.5 supporta IMAP4 (Internet Message Access Protocol). IMAP4 è un superset di POP3 e come tale ne supporta tutte le funzionalità e alcune aggiuntive. Un esempio di funzionalità avanzata di IMAP4 rispetto a POP3 è la capacità di effettuare la ricerca di messaggi per parole chiave mentre i messaggi sono ancora sul server della posta. Gli utenti possono quindi scegliere quali messaggi scaricare nel computer locale. IMAP4 consente inoltre l'accesso alle cartelle pubbliche e personali.

- Download e recupero di messaggi

Le porte utilizzate dai client IMAP4 per l'accesso ai messaggi su un computer che esegue Exchange Server dipendono dal metodo di autenticazione utilizzato. Con l'autenticazione di base o NTLM e TCP, per tutte le richieste di connessione in ingresso dai client IMAP4 per il download e il recupero di messaggi, il server IMAP4 è in ascolto sulla porta TCP 143. Se si utilizza l'autenticazione SSL, la porta su cui il computer che esegue Exchange Server è in ascolto è invece la porta TCP 993. Nelle impostazioni di router e firewall sarà quindi necessario considerare l'accesso alla porta TCP 143 o 993 quando è supportato questo protocollo per la messaggistica.

- Invio di messaggi

Come descritto in precedenza per l'invio di messaggi dai client POP3, quando i client IMAP4 inviano messaggi il computer che esegue Exchange Server comunica con un host SMTP. Ciò richiede l'accesso alla porta TCP 25. Internet Mail Connector e il Servizio posta Internet utilizzano la porta TCP 25 per i messaggi SMTP in ingresso, secondo quanto definito dalla RFC-821, ed effettuano il monitoraggio della porta 25 per le connessioni in ingresso da altri host SMTP. Microsoft Exchange Server supporta il protocollo IMAP4, come definito nelle specifiche RFC-2060 e RFC- 2061.

Comunicazione tra computer che eseguono Exchange Server e client LDAP

LDAP (Lightweight Directory Access Protocol) è una specifica per l'accesso dei client al servizio directory di Exchange Server al fine di fornire la funzionalità di rubrica. Consente al client di connettersi alla directory e di recuperare, aggiungere e modificare informazioni. LDAP è stato introdotto in Exchange versione 5.0.

Per consentire ai client LDAP di connettersi al computer che esegue Exchange Server, è necessario configurare le porte sul firewall esclusivamente in base al metodo di autenticazione utilizzato. Con l'autenticazione di base il computer che esegue Exchange Server è in ascolto sulla porta 389. Per l'autenticazione SSL la porta su cui il computer che esegue Exchange Server è in ascolto è la porta 636. Microsoft Exchange Server supporta LDAP, come definito nella RFC-1777.

Comunicazione tra computer che eseguono Exchange Server e client NNTP

Il protocollo NNTP (Network News Transport Protocol) viene ampiamente utilizzato per inviare, distribuire e recuperare messaggi USENET. I client possono accedere a questi newsgroup come cartelle pubbliche di Exchange. I client NNTP devono connettersi al computer che esegue Exchange Server tramite la porta 119, quindi sarà necessario considerare questo aspetto per la configurazione del software proxy o del firewall quando è supportato NNTP. Microsoft Exchange Server supporta il protocollo NNTP, come definito nella RFC-977.

Comunicazione tra computer che eseguono Exchange Client e computer che eseguono Exchange Server

Per comunicare con un computer che esegue Exchange Server, un computer Exchange Client su un collegamento LAN o WAN utilizza una chiamata di procedura remota (RPC). Il computer che esegue Exchange Server, un'applicazione basata su RPC, utilizza la porta TCP 135, a cui viene fatto riferimento anche come il servizio di individuazione che consente alle applicazioni RPC di richiedere il numero di porta di un servizio.

Il computer che esegue Exchange Server effettua il monitoraggio della porta 135 per le connessioni client al servizio mapper di endpoint RPC. Dopo che il client si è connesso a un socket, il computer che esegue Exchange Server assegna al client due porte casuali affinché siano utilizzate per la comunicazione con la directory e l'archivio informazioni. Il client non comunica con altri componenti del computer che esegue Exchange Server.

Se per problemi di protezione dell'infrastruttura di rete si dovesse rendere necessario bloccare una qualsiasi porta diversa da quelle in uso, l'assegnazione casuale di porte per la comunicazione con la directory e l'archivio informazioni potrebbe costituire un ostacolo. Per evitare il problema, Exchange Server versioni 4.0 e successive consentono l'assegnazione statica di queste porte.

A questo punto, per la comunicazione tra il client e il server è necessario configurare il firewall in modo da consentire connessioni TCP alla porta 135 e a tutte le porte assegnate staticamente. Se è necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

Comunicazione tra due computer che eseguono Exchange Server nello stesso sito

Per la comunicazione intersito tra computer che eseguono Exchange Server viene utilizzata RPC. L'accesso alla porta TCP 135 diventa pertanto un'importante variabile nella capacità di comunicare dei computer che eseguono Exchange Server se sono separati da router e firewall.

La comunicazione tra due computer che eseguono Exchange Server all'interno di un sito avviene tra i due agenti di trasferimento messaggi (MTA) e i due servizi directory. Nessun altro componente di tali computer comunica direttamente.

Come già illustrato in precedenza per la comunicazione da client a server, il computer che esegue Exchange Server effettua il monitoraggio della porta 135 per le connessioni al servizio mapper di endpoint RPC. Quando un computer che esegue Exchange Server di origine si connette a un socket, il computer con Exchange Server di destinazione assegna due porte casuali per la comunicazione con la directory e con MTA.

È già stata discussa in precedenza la possibilità di assegnazione statica di una porta TCP per la directory affinché venga utilizzata per l'ascolto e la comunicazione su un numero di porta specifico. Con la versione di Exchange Server 4.0 Service Pack 4 e tutte le versioni di Exchange Server 5.0 è possibile applicare una modifica analoga per MTA. Il mapper di endpoint trasmetterà quindi il numero di porta appropriato per consentire l'ulteriore comunicazione passando al numero di porta specificato. Per stabilire un'assegnazione statica della porta a MTA, fare riferimento all'ultima parte dell'articolo della Microsoft Knowledge Base 161931, "XCON: Configurazione del numero di porta TCP/IP di MTA per X.400 e l'ascolto RPC", in cui viene descritto l'utilizzo del valore del Registro di sistema "TCP/IP port for RPC listens".

Per la corretta comunicazione tra due server è pertanto necessario configurare il firewall in modo da consentire connessioni TCP alla porta 135 e a tutte le porte assegnate staticamente. Se è necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

Per informazioni sulla gerarchia da rispettare e le linee guida per l'assegnazione di porte statiche per i servizi di Exchange, vedere il seguente articolo della Microsoft Knowledge Base:

180795 XADM: Replica di directory tra siti non riuscita con errore 1720

Comunicazione tra due computer che eseguono Exchange Server in diversi siti

- Per il collegamento tra siti viene utilizzato il connettore del sito (RPC)

Gran parte della discussione relativa alla comunicazione tra siti tramite connettori del sito rispecchia la situazione della comunicazione intersito tra due computer che eseguono Exchange Server. La sola differenza è data dal fatto che la comunicazione tra computer che eseguono Exchange Server installati in due diversi siti avviene solo tramite i corrispondenti agenti di trasferimento messaggi (MTA).

Benché sia ancora necessario utilizzare i servizi del servizio di individuazione RPC e quindi della porta 135, la sola modifica che potrebbe essere richiesta per l'assegnazione statica di una porta potrebbe riguardare MTA. Anche in questo caso, vedere l'articolo 161931 della Knowledge Base, "XCON: Configurazione del numero di porta TCP/IP di MTA per X.400 e l'ascolto RPC", in cui viene descritto l'utilizzo del valore del Registro di sistema "TCP/IP port for RPC listens". Questa funzionalità è disponibile in Exchange Server Service Pack 4 e in tutte le versioni di Exchange Server 5.0.

- Il collegamento tra siti è un connettore X.400

Se il collegamento tra siti è un connettore X.400, la comunicazione tra i due computer che eseguono Exchange Server continuerà a svolgersi solo tra i due MTA corrispondenti. RPC non è tuttavia il mezzo attraverso il quale avviene questa comunicazione. La comunicazione tra MTA segue la specifica RFC1006: ISO su TCP/IP. Di conseguenza i computer che eseguono Exchange Server, per impostazione predefinita, utilizzano la porta TCP 102 per tutte queste comunicazioni tra MTA. La porta TCP 135 non è necessaria per quanto riguarda la comunicazione di Exchange, in quanto non è previsto traffico RPC.

In Exchange Server Service Pack 4 e in tutte le versioni di Exchange Server 5.0 è possibile modificare questa assegnazione predefinita della porta 102. Vedere l'articolo della Microsoft Knowledge Base 161931, indicato sopra, in cui viene descritto l'utilizzo del valore del Registro di sistema "RFC1006 Port Number".

In questa impostazione, per la corretta comunicazione tra due server è necessario configurare il firewall in modo da consentire connessioni TCP alla porta 102 o alla porta sostitutiva assegnata manualmente. Se è necessario monitorare il traffico a scopo di analisi, queste sono le porte interessate.

IMPORTANTE: se si cambia il numero di porta per RFC1006 dal valore predefinito 102 su un server, sarà indispensabile che tale modifica sia integrata in tutti i server che comunicano tramite il connettore X.400. Tutti gli MTA dovranno utilizzare lo stesso numero di porta.

Infine, nell'analizzare la situazione specifica, tenere presente che in un'infrastruttura di Exchange possono esistere varie combinazioni delle situazioni sopra descritte.
Proprietà

ID articolo: 176466 - Ultima revisione: 12/05/2015 08:10:13 - Revisione: 3.3

Microsoft Exchange Server 4.0 Standard Edition, Microsoft Exchange Server 5.0 Standard Edition, Microsoft Exchange Server 5.5 Standard Edition

  • kbnosurvey kbarchive kbusage KB176466
Feedback