Porty TCP i program Microsoft Exchange: szczegółowe omówienie

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Streszczenie
Podczas rozwiązywania problemów z komunikacją między komputerami z programem Exchange Server oraz między komputerami z programem Exchange Server i klientem programu Exchange użytkownik często napotyka problem z korzystaniem z filtrowania pakietów (zapory), co może uniemożliwiać komunikację. W niektórych sytuacjach przed wprowadzeniem programu Exchange do infrastruktury sieci może być konieczne monitorowanie ruchu w sieci w celu upewnienia się, że komunikacja między różnymi składnikami środowiska Exchange jest możliwa. W tym artykule zamieszczono odpowiedzi na często zadawane pytania dotyczące portów, które muszą być otwarte podczas korzystania z zapór, oraz portów, które należy monitorować w organizacji korzystającej z programu Microsoft Exchange.
Więcej informacji
W omówieniu ruchu sieciowego skojarzonego z programem Exchange uwzględniono sześć scenariuszy:

 1. Komunikacja między klientami POP3 a komputerami z programem Exchange Server. Istnieją dwa warunki:

  • Pobieranie i odbieranie wiadomości
  • Wysyłanie wiadomości
 2. Komunikacja między klientami IMAP4 a komputerami z programem Exchange Server. Istnieją dwa warunki:

  • Pobieranie i odbieranie wiadomości
  • Wysyłanie wiadomości
 3. Komunikacja między komputerami z programem Exchange Server a klientami LDAP (Lightweight Directory Access Protocol).
 4. Komunikacja między komputerami z klientem programu Exchange a komputerami z programem Exchange Server.
 5. Komunikacja między dwoma komputerami z programem Exchange Server w tej samej lokacji (komunikacja wewnątrzlokacyjna).
 6. Komunikacja między dwoma komputerami z programem Exchange Server w różnych lokacjach (komunikacja międzylokacyjna). Ten rodzaj komunikacji można podzielić na dwa kolejne rodzaje:

  • Łącze międzylokacyjne używa łącznika lokacji (RPC).
  • Łącze międzylokacyjne jest łącznikiem X.400.
UWAGA: Terminy „ta sama lokacja” oraz „inna lokacja” są tutaj używane w kontekście projektu infrastruktury środowiska Exchange i nie dotyczą lokalizacji. Oznacza to, że dwa komputery z programem Exchange Server w tej samej lokacji mogą się znajdować w dwóch różnych miejscach i mogą być połączone przy użyciu łącza sieci WAN, a między nimi mogą znajdować się routery i zapory.

TERMINOLOGIA: Podczas omawiania portów często są używane dwa terminy: „dobrze znany” i „efemeryczny”. Określenie „dobrze znany” może dotyczyć portów z zakresu mniejszego niż 1024, które są regularnie używane i zazwyczaj są standardowo przypisane do określonych rodzajów usług sieciowych. Określenie „efemeryczny” dotyczy wszystkich portów z zakresu od 1024 wzwyż.

Poniżej zamieszczono szczegółowe omówienie problemów dotyczących wszystkich sześciu scenariuszy.

Komunikacja między klientami POP3 a komputerami z programem Exchange Server

Program Exchange 5.0 obsługuje protokół POP3, używany do pobierania wiadomości z serwera poczty. Oprócz klientów poczty POP3, takich jak Poczta internetowa i grupy dyskusyjne, Windows CE Inbox czy usługa Internet Mail Service dla systemu Windows, do wysyłania i odbierania wiadomości z komputera z programem Exchange Server są często używani tacy klienci, jak Pegasus i Eudora Pro. Wymaga to innego spojrzenia na możliwości dostępu do portu TCP.

— Pobieranie i odbieranie wiadomości

Dostęp klienta POP3 do wiadomości na komputerze z programem Exchange Server jest kontrolowany przez wybraną metodę uwierzytelniania. Dostępne są trzy metody. Jeżeli jest stosowane uwierzytelnianie podstawowe albo uwierzytelnianie typu wyzwanie/odpowiedź systemu Windows NT (uwierzytelnianie Windows NTLM), pobieranie i odbieranie wiadomości za pomocą klienta POP3 wymaga dostępu do portu TCP 110. Program Exchange Server nasłuchuje na porcie 110 i odbiera wszystkie przychodzące żądania połączenia od klientów POP3 mające na celu pobranie wiadomości. Jeżeli jest stosowana metoda SSL (Secure Sockets Layer), komputer z programem Exchange Server nasłuchuje na porcie 995. Dlatego podczas opracowywania wymagań związanych z filtrowaniem pakietów w sieci obejmujących instalację programu Exchange i obsługę protokołu POP3 należy pamiętać o dostępie do portu TCP 110 lub TCP 995.

— Wysyłanie wiadomości

Gdy klienci POP3 wysyłają wiadomości, komputer z programem Exchange Server komunikuje się z hostem SMTP (Simple Mail Transfer Protocol). Wymaga to dostępu do portu TCP 25. Program Internet Mail Connector i usługa Internet Mail Service odbierają przychodzące wiadomości SMTP za pośrednictwem portu TCP 25 (tak jak zdefiniowano w specyfikacji RFC-821). W przypadku przychodzących wiadomości SMTP program Internet Mail Connector i usługa Internet Mail Service monitorują port 25 w poszukiwaniu połączeń przychodzących z innych hostów SMTP. Program Microsoft Exchange Server obsługuje protokół POP3, tak jak zdefiniowano w specyfikacjach RFC-1734 i RFC-1957.

Komunikacja między klientami IMAP4 a komputerami z programem Exchange Server

Program Exchange w wersji 5.5 obsługuje protokół IMAP4 (Internet Message Access Protocol). IMAP4 jest protokołem bardziej rozbudowanym niż POP3, tj. obsługuje wszystkie jego funkcje i jeszcze kilka innych funkcji. Przykładem dodatkowych funkcji protokołu IMAP4 jest możliwość wyszukiwania słów kluczowych w wiadomościach, które są jeszcze na serwerze poczty. Użytkownicy mogą dzięki temu wybrać wiadomości, które zostaną pobrane na komputer lokalny. Protokół IMAP4 umożliwia również dostęp do folderów publicznych i osobistych.

— Pobieranie i odbieranie wiadomości

Porty, których używa protokół IMAP4 podczas uzyskiwania dostępu do wiadomości na komputerze z programem Exchange Server, zależą od używanej metody uwierzytelniania. Podczas korzystania z uwierzytelniania podstawowego lub uwierzytelniania NTLM i portu TCP serwer IMAP4 nasłuchuje na porcie TCP 143 w oczekiwaniu na przychodzące żądania połączenia od klientów IMAP4 mające na celu pobranie i odebranie wiadomości. Jeżeli jednak jest używane uwierzytelnianie SSL, port, na którym nasłuchuje komputer z programem Exchange Server, to port TCP 993. Dlatego w konfiguracji routera i zapory należy uwzględnić dostęp do portu TCP 143 lub 993, jeżeli wiadomości są obsługiwane przy użyciu tego protokołu.

— Wysyłanie wiadomości

Jak już wspomniano przy okazji omawiania klientów POP3 wysyłających wiadomości, podczas wysyłania wiadomości przez klientów IMAP4 komputer z programem Exchange Server komunikuje się z hostem SMTP. Wymaga to dostępu do portu TCP 25. Program Internet Mail Connector i usługa Internet Mail Service odbierają przychodzące wiadomości SMTP za pośrednictwem portu TCP 25 (tak jak zdefiniowano w specyfikacji RFC-821). W przypadku przychodzących wiadomości SMTP program Internet Mail Connector i usługa Internet Mail Service monitorują port 25 w poszukiwaniu połączeń przychodzących z innych hostów SMTP. Program Microsoft Exchange Server obsługuje protokół IMAP4, tak jak zdefiniowano w specyfikacjach RFC-2060 i RFC-2061.

Komunikacja między komputerami z programem Exchange Server a klientami LDAP

LDAP (Lightweight Directory Access Protocol) to specyfikacja używana dla dostępu klientów do usługi katalogowej programu Exchange Server, udostępniająca funkcję książki adresowej. Umożliwia ona klientom łączenie się z katalogiem i zezwala na pobieranie, dodawanie i modyfikowanie informacji. Protokół LDAP został wprowadzony w programie Exchange w wersji 5.0.

Aby klient LDAP mógł łączyć się z komputerem z programem Exchange Server, na zaporze należy skonfigurować porty wyłącznie na podstawie używanej metody uwierzytelniania. Korzystając z podstawowego uwierzytelniania, komputer z programem Exchange Server nasłuchuje na porcie 389. W przypadku uwierzytelniania SSL port, na którym nasłuchuje komputer z programem Exchange Server, to port 636. Program Microsoft Exchange Server obsługuje protokół LDAP (tak jak zdefiniowano w specyfikacji RFC-1777).

Komunikacja między komputerami z programem Exchange Server a klientami NNTP

Protokół NNTP (Network News Transport Protocol) jest często używany do wysyłania, dystrybuowania i pobierania wiadomości sieci USENET. Klienci mogą uzyskiwać dostąp do tych grup dyskusyjnych, tak jak do folderów publicznych programu Exchange. Klienci NNTP muszą łączyć się z komputerem z programem Exchange Server przy użyciu portu 119. Jeżeli jest używany protokół NNTP, oprogramowanie serwera proxy lub zapory musi to uwzględniać. Program Microsoft Exchange Server obsługuje protokół NNTP, tak jak zdefiniowano w specyfikacji RFC-977.

Komunikacja między komputerami z klientem programu Exchange a komputerami z programem Exchange Server

Komputer z klientem programu Exchange połączony z siecią LAN lub WAN używa zdalnego wywołania procedury (RPC) do komunikowania się z komputerem z programem Exchange Server. Komputer z programem Exchange Server, będąc aplikacją opartą na zdalnym wywołaniu procedury, używa portu TCP 135, nazywanego również usługą lokacyjną, która pomaga aplikacjom RPC w wysyłaniu kwerend w celu uzyskania numeru portu usługi.

Komputer z programem Exchange Server monitoruje port 135 w oczekiwaniu na połączenia klientów z usługą mapowania punktów końcowych zdalnego wywołania procedury. Po nawiązaniu przez klienta połączenia z gniazdem komputer z programem Exchange Server przydziela klientowi dwa losowe porty, które zostaną użyte do komunikacji z katalogiem i magazynem informacji. Klient nie komunikuje się z innymi składnikami komputera z programem Exchange Server.

Jeżeli ze względu na bezpieczeństwo infrastruktury sieci konieczne jest blokowanie jakichkolwiek portów innych niż używane, losowe przydzielanie portów do komunikacji z katalogiem i magazynem informacji może być przeszkodą. Aby temu zapobiec, program Exchange Server w wersjach 4.0 i nowszych umożliwia statyczny przydział tych portów.

Aby więc komunikacja między klientem a serwerem była udana, zapora musi być skonfigurowana tak, aby zezwalała na połączenia z portem TCP 135 i wszystkimi statycznie przydzielonymi portami. Jeżeli jest konieczne monitorowanie ruchu w celach analitycznych, należy monitorować te porty.

Komunikacja między dwoma komputerami z programem Exchange Server w tej samej lokacji

Cała komunikacja wewnątrzlokacyjna między komputerami z programem Exchange Server odbywa się przy użyciu zdalnego wywołania procedury. Z tego powodu dostęp do portu TCP 135 jest ważną zmienną, którą należy uwzględnić, aby komputery programu Exchange Server mogły się ze sobą komunikować w sytuacji, gdy są oddzielone za pomocą routerów i zapór.

Komunikacja między dwoma komputerami z programem Exchange Server wewnątrz lokacji odbywa się między dwoma agentami transferu wiadomości i dwiema usługami katalogowymi. Żadne inne składniki komputerów z programem Exchange Server nie komunikują się ze sobą bezpośrednio.

Tak jak opisano powyżej, w komunikacji klienta z serwerem komputer z programem Exchange Server monitoruje port 135 w oczekiwaniu na połączenia z usługą mapowania punktów końcowych zdalnego wywołania procedury. Gdy inicjujący komputer z programem Exchange Server połączy się z gniazdem, to odbierający komputer z programem Exchange Server przypisuje dwa losowe porty do komunikacji z katalogiem i agentem transferu wiadomości.

Powyżej opisano już możliwość statycznego przydziału portu TCP, dzięki czemu katalog będzie nasłuchiwał i komunikował się przy użyciu portu o określonym numerze. Począwszy od wersji programu Exchange Server 4.0 z dodatkiem Service Pack 4 i wszystkich wydań programu Exchange Server 5.0, można wprowadzać podobne dopasowania dla agentów transferu wiadomości. Usługa mapowania punktów końcowych przekazuje wtedy odpowiedni numer portu, aby dalsza komunikacja mogła się odbyć przez przejście do portu o określonym numerze. Aby ustanowić statyczny przydział portu dla agenta transferu wiadomości, zapoznaj się z dalszą częścią artykułu z bazy wiedzy Knowledge Base: 161931, „XCON: Configuring MTA TCP/IP Port # for X.400 and RPC Listens”. Zawiera ona instrukcję używania wartości rejestru „TCP/IP port for RPC listens”.

Aby komunikacja między dwoma serwerami była udana, zapora musi być skonfigurowana tak, aby zezwalała na połączenia TCP z portem 135 i wszystkimi statycznie przydzielonymi portami. Jeżeli jest konieczne monitorowanie ruchu w celach analitycznych, należy monitorować te porty.

Aby uzyskać więcej informacji na temat konsekwencji i wytycznych dotyczących statycznego przydzielania portów usług Exchange, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

180795 XADM: Intrasite Directory Replication Fails with Error 1720

Komunikacja między dwoma komputerami z programem Exchange Server w różnych lokacjach

— Łącze międzylokacyjne używa łącznika lokacji (RPC)

Większość opisów dotyczących komunikacji międzylokacyjnej za pomocą łączników lokacji odzwierciedla komunikację wewnątrzlokacyjną między komputerami z programem Exchange Server. Jedyna różnica jest taka, że komunikacja między komputerami z programem Exchange Server znajdującymi się w dwóch różnych lokacjach odbywa się tylko przez odpowiednich agentów transferu wiadomości.

Mimo że nadal są potrzebne usługi lokalizatora RPC oraz port 135, jedyne dopasowanie, jakie trzeba wprowadzić, aby statyczny przydział portu był możliwy, dotyczy agenta transferu wiadomości. Również w tym przypadku warto się zapoznać z artykułem Q161931 z bazy wiedzy Knowledge Base: „XCON: Configuring MTA TCP/IP Port # for X.400 and RPC Listens”. Zawiera on instrukcję używania wartości rejestru „TCP/IP port for RPC listens”. Funkcja ta jest dostępna w programie Exchange Server z dodatkiem Service Pack 4 i we wszystkich wydaniach programu Exchange Server 5.0.

— Łącze międzylokacyjne jest łącznikiem X.400

Jeżeli łącze międzylokacyjne jest łącznikiem X.400, komunikacja między dwoma komputerami z programem Exchange Server odbywa się w dalszym ciągu tylko między odpowiednimi agentami transferu wiadomości. Ale środkiem takiej komunikacji nie jest zdalne wywołanie procedury. Komunikacja między agentami transferu stosuje zasady specyfikacji RFC-1006: ISO over TCP/IP. W wyniku tego komputery z programem Exchange Server domyślnie używają portu TCP 102 dla całej takiej komunikacji między agentami. Port TCP 135 nie jest potrzebny, jeżeli komunikacja programu Exchange jest zabezpieczona, ponieważ nie ma wtedy ruchu związanego ze zdalnym wywołaniem procedury.

Program Exchange Server z dodatkiem Service Pack 4 i wszystkie wydania programu Exchange Server 5.0 umożliwiają zmianę tego domyślnego przypisania portu 102. We wspomnianym wyżej artykule 161931 opisano sposób korzystania z wartości rejestru „RFC1006 Port Number”.

Aby komunikacja między dwoma serwerami w tym ustawieniu była możliwa, zapora musi być skonfigurowana tak, aby zezwalała na połączenia z portem TCP 102 lub ręcznie przypisanym portem zastępczym. Jeżeli jest konieczne monitorowanie ruchu w celach analitycznych, należy monitorować te porty.

WAŻNE: Jeżeli numer portu zgodny ze specyfikacją RFC-1006 zostanie zmieniony na jednym z serwerów z wartości domyślnej 102, zmiana ta musi zostać uwzględniona na wszystkich serwerach komunikujących się przez łącznik X.400. Wszyscy agenci transferu wiadomości muszą używać tego samego numeru portu.

Podczas analizy określonej sytuacji należy pamiętać, że w infrastrukturze środowiska Exchange może występować wiele kombinacji powyższych scenariuszy.
Właściwości

Identyfikator artykułu: 176466 — ostatni przegląd: 12/05/2015 08:10:14 — zmiana: 3.4

Microsoft Exchange Server 4.0 Standard Edition, Microsoft Exchange Server 5.0 Standard Edition, Microsoft Exchange Server 5.5 Standard Edition

 • kbnosurvey kbarchive kbusage KB176466
Opinia