Referência de porta de rede do Exchange
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-26
Este tópico fornece informações sobre portas, autenticação e criptografia para todos os caminhos de dados usados pelo Microsoft Exchange Server 2010. As seções de Notas depois de cada tabela esclarecem ou definem métodos não-padrão de autenticação ou criptografia.
Servidores de transporte
O Exchange 2010 contém duas funções de servidor que executam a funcionalidade de transporte de mensagens: Servidores de Transporte de Hub e de Borda.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre esses servidores de transporte e outros servidores e serviços do Exchange 2010.
Caminhos de dados do servidor de transporte
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Servidor de Transporte de Hub para servidor de Transporte de Hub |
25/TCP (SMTP) |
Kerberos |
Kerberos |
Sim, usando o protocolo TLS (Transport Layer Security) |
Sim |
Servidor de Transporte de Hub para servidor de Transporte de Borda |
25/TCP (SMTP) |
Confiança direta |
Confiança direta |
Sim, usando TLS |
Sim |
Servidor de Transporte de Borda para servidor de Transporte de Hub |
25/TCP (SMTP) |
Confiança direta |
Confiança direta |
Sim, usando TLS |
Sim |
Servidor de Transporte de Borda para servidor de Transporte de Borda |
25/TCP SMTP |
Anônimo, Certificado |
Anônimo, Certificado |
Sim, usando TLS |
Sim |
Servidor de Caixa de Correio para servidor de Transporte de Hub através do Serviço de Envio de Mensagens do Microsoft Exchange |
135/TCP (RPC) |
NTLM. Se as funções de servidor Transporte de Hub e Caixa de Correio estiverem no mesmo servidor, será utilizado o Kerberos. |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Transporte de Hub para servidor de Caixa de Correio via MAPI |
135/TCP (RPC) |
NTLM. Se as funções de servidor Transporte de Hub e Caixa de Correio estiverem no mesmo servidor, será utilizado o Kerberos. |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Servidor de Unificação de Mensagens para o servidor de Transporte de Hub |
25/TCP (SMTP) |
Kerberos |
Kerberos |
Sim, usando TLS |
Sim |
O serviço Microsoft Exchange EdgeSync do servidor de Transporte de Hub para o servidor de Transporte de Borda |
50636/TCP (SSL) |
Básica |
Básica |
Sim, usando LDAP sobre SSL (LDAPS) |
Sim |
Acesso do Active Directory do servidor de Transporte de Borda |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
Acesso do Active Directory Rights Management Services (AD RMS) do servidor de Transporte de Hub |
443/TCP (HTTPS) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando SSL |
Sim* |
Clientes SMTP para o servidor de Transporte de Hub (por exemplo, usuários finais usando o Windows Live Mail) |
587 (SMTP) 25/TCP (SMTP) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando TLS |
Sim |
Notas sobre os servidores de transporte
Todo o tráfego entre os servidores de Transporte de Hub é criptografado usando TLS com certificados auto-assinados que são instalados pela Instalação do Exchange 2010.
Dica
No Exchange 2010, o TLS pode ser desabilitado nos servidores de Transporte de Hub para a comunicação SMTP interna com outros servidores de Transporte de Hub na mesma organização do Exchange. Não é recomendável, a menos que seja absolutamente necessário. Para obter mais informações, consulte Desabilitando TLS entre sites do Active Directory para otimização de WAN de suporte.
Todo o tráfego entre os servidores de Transporte de Borda e de servidores de Transporte de Hub é autenticado e criptografado. O TLS mútuo é o mecanismo subjacente de autenticação e criptografia. Ao invés de usar a validação de X.509, o Exchange 2010 usa a confiança direta para autenticar os certificados. Confiança direta significa que a presença do certificado no Active Directory ou no Active Directory Lightweight Directory Services (AD LDS) age como validação para o certificado. O Active Directory é considerado um mecanismo de repositório confiável. Quando a confiança direta é usada, é indiferente se o certificado é auto-assinado ou assinado por uma autoridade de certificação (CA). Quando você inscreve um servidor de Transporte de Borda na organização do Exchange, a Inscrição de Borda publica o certificado do servidor de Transporte de Borda no Active Directory para que os servidores de Transporte de Hub o validem. O serviço Microsoft Exchange EdgeSync atualiza o AD LDS com o conjunto de certificados do servidor de Transporte de Hub para que o servidor de Transporte de Borda o valide.
O EdgeSync usa uma conexão LDAP segura do servidor de Transporte de Hub para os servidores de Transporte de Borda assinados sobre TCP 50636. O AD LDS também escuta a TCP 50389. Conexões a esta porta não usam SSL. Você pode usar os utilitários do LDAP para se conectar à porta e verificar os dados do AD LDS.
Por padrão, o tráfego entre os servidores de Transporte de Borda em duas organizações diferentes é criptografado. A Instalação do Exchange 2010 cria um certificado auto-assinado, e o TLS é habilitado por padrão. Isso permite que qualquer sistema de envio criptografe a sessão SMTP de entrada para o Exchange. Por padrão, o Exchange 2010 também testa o TLS em todas as conexões remotas.
Os métodos de autenticação de tráfego entre os servidores de Transporte de Hub e de Caixa de Correio são diferentes quando as funções de servidor Transporte de Hub e Caixa de Correio estão instaladas no mesmo computador. Quando o envio de mensagens é local, a autenticação Kerberos é usada. Quando o envio de mensagens é remoto, a autenticação do NTLM é usada.
O Exchange 2010 também oferece suporte para Segurança de Domínio. A Segurança de Domínio refere-se às funcionalidades no Exchange 2010 e no Microsoft Outlook 2010 que fornecem uma alternativa de baixo custo ao S/MIME ou outras soluções de segurança no nível de mensagens pela Internet. A Segurança de Domínio fornece uma forma de gerenciar caminhos de mensagens seguros entre domínios na Internet. Depois da configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários do Outlook e do Outlook Web Access como "Domínio Seguro". Para obter mais informações, consulte Noções Básicas Sobre Segurança de Domínio.
Vários agentes podem ser executados nos servidores de Transporte de Hub e de Transporte de Borda. Geralmente, os agentes anti-spam dependem de informações locais para o computador no qual os agentes são executados. Portanto, pouca comunicação com os computadores remotos é necessária. A filtragem de destinatários é a exceção. A filtragem de destinatários requer chamadas para o AD LDS ou o Active Directory. Como prática recomendada, execute a filtragem de destinatários no servidor de Transporte de Borda. Neste caso, o diretório do AD LDS está no mesmo computador que o servidor de Transporte de Borda e nenhuma comunicação remota é necessária. Quando a filtragem de destinatário foi instalada e configurada no servidor de Transporte de Hub, a filtragem de destinatário acessa o Active Directory.
O agente de Análise de Protocolo é usado pelo recurso Reputação do Remetente no Exchange 2010. Esse agente também estabelece várias conexões com servidores proxy externos para determinar os caminhos de mensagem de entrada para conexões suspeitas.
Todas as outras funcionalidades anti-spam usam os dados reunidos, armazenados e acessados somente no computador local. Frequentemente, dados como a agregação de lista segura ou dados de destinatário para a filtragem de destinatários são enviados para o diretório do AD LDS local usando o serviço Microsoft Exchange EdgeSync.
Agentes do Gerenciamento de Direitos de Informação (IRM) nos servidores de Transporte de Hub fazem conexão com os servidores Active Directory Rights Management Services (AD RMS) na organização. AD RMS é um serviço Web protegido pelo SSL como prática recomendada. A comunicação com os servidores AD RMS ocorre usando HTTPS, e Kerberos ou NTLM é usado para autenticação, dependendo da configuração do servidor AD RMS.
Regras de diário, regras de transporte e classificações de mensagens são armazenadas no Active Directory e acessadas pelo agente de Registro em Diário e o agente de Regras de Transporte em servidores de Transporte de Hub.
Servidores de Caixa de Correio
Se a autenticação NTLM ou Kerberos é usada para servidores de Caixa de Correio, depende do contexto do usuário ou processo em que o consumidor da Camada de Lógica Comercial do Exchange está em execução. Nesse contexto, o consumidor é qualquer aplicativo ou processo que usa a camada de Lógica Comercial do Exchange. Como resultado, muitas entradas na coluna Autenticação Padrão da tabela Caminhos de dados do servidor de Caixa de Correio são listadas como NTLM/Kerberos.
A camada de Lógica Comercial do Exchange é usada para acessar e se comunicar com o armazenamento do Exchange. A camada de Lógica Comercial do Exchange também é chamada a partir do armazenamento do Exchange para se comunicar com aplicativos e processos externos.
Se o consumidor da camada de Lógica Comercial do Exchange estiver em execução como Sistema Local, o método de autenticação será sempre Kerberos do consumidor para o armazenamento do Exchange. O Kerberos é usado porque o consumidor deve ser autenticado usando o Sistema Local da conta do computador, e deve existir a confiança autenticada bidirecional.
Se o consumidor da camada de Lógica Comercial do Exchange não estiver em execução como Sistema Local, o método de autenticação será o NTLM. Por exemplo, ao executar um cmdlet do Shell de Gerenciamento do Exchange que usa a camada de Lógica Comercial do Exchange, o NTLM é usado.
O tráfego RPC é sempre criptografado.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados para/de servidores de Caixa de Correio.
Caminhos de dados do servidor de Caixa de Correio
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Acesso ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
Acesso remoto de Admin. (Registro remoto) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando IPsec |
Não |
Acesso remoto de Admin. (SMB/Arquivo) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando IPsec |
Não |
Serviço Web de Disponibilidade (Acesso para Cliente à Caixa de Correio) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Agrupamento |
135/TCP (RPC) Consulte Notas sobre servidores de Caixa de Correio depois desta tabela. |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando IPsec |
Não |
Indexação de conteúdo |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Envio de logs |
64327 (personalizável) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim |
Não |
Propagação |
64327 (personalizável) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim |
Não |
Backup do VSS (serviço de cópias de sombra de volume) |
Bloco de Mensagens Locais (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Assistentes de Caixa de Correio |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Acesso MAPI |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Acesso ao serviço de Topologia do Active Directory do Microsoft Exchange |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange (Ouvir solicitações) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Não |
Não |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
Acesso herdado do serviço Atendedor do Sistema do Microsoft Exchange (como Cliente MAPI) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Catálogo de endereços offline (OAB) acessando o Active Directory |
135/TCP (RPC) |
Kerberos |
Kerberos |
Sim, usando criptografia RPC |
Sim |
Outlook acessando o OAB |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando HTTPS |
Não |
Acesso de RPC ao Serviço de Atualização de Destinatários |
135/TCP (RPC) |
Kerberos |
Kerberos |
Sim, usando criptografia RPC |
Sim |
Atualização de destinatários para o Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
Notas sobre servidores de Caixa de Correio
- O caminho de dados Clustering listado na tabela anterior usa RPC dinâmico sobre TCP para comunicar o status e as atividades do cluster entre os diferentes nós de cluster. O serviço de Cluster (ClusSvc.exe) também usa a UDP/3343 e as portas TCP altas alocadas aleatoriamente, para se comunicar entre os nós do cluster.
- Para as comunicações entre nós, os nós de cluster se comunicam através da porta 3343 UDP (User Datagram Protocol). Cada nó no cluster troca datagramas UDP unicast em seqüência com cada nó alternado no cluster. A finalidade dessa troca é determinar se todos os nós estão sendo executados corretamente e monitorar a integridade dos links da rede.
- A porta 64327/TCP é a porta padrão usada para o envio de logs. Os administradores podem especificar uma porta diferente para o envio de logs.
- Para autenticação HTTP onde Negociar é listado, o Kerberos é tentado em primeiro lugar e depois o NTLM.
Servidores de Acesso para Cliente
A menos que seja observado de outra forma, tecnologias de acesso de clientes, como Outlook Web App, POP3 ou IMAP4, são descritas pela autenticação e criptografia do aplicativo cliente para o servidor de Acesso para Cliente.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre os servidores de Acesso para Cliente e outros servidores e clientes.
Caminhos de dados do servidor de Acesso para Cliente
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Acesso ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
serviço de Descoberta Automática |
80/TCP, 443/TCP (SSL) |
Autenticação do Windows Integrada/Básica (Negociar) |
Básica, Resumida, NTLM, Negociar (Kerberos) |
Sim, usando HTTPS |
Sim |
Serviço de Disponibilidade |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM, Kerberos |
Sim, usando HTTPS |
Sim |
Outlook Web App |
80/TCP, 443/TCP (SSL) |
Autenticação Baseada em Formulários |
Autenticação Básica, Resumida, Baseada em Formulários, NTLM (somente v2), Kerberos, Certificado |
Sim, usando HTTPS |
Sim, usando um certificado autoassinado |
POP3 |
110/TCP (TLS), 995/TCP (SSL) |
Básica, Kerberos |
Básica, Kerberos |
Sim, usando SSL, TLS |
Sim |
IMAP4 |
143/TCP (TLS), 993/TCP (SSL) |
Básica, Kerberos |
Básica, Kerberos |
Sim, usando SSL, TLS |
Sim |
Outlook Em Qualquer Lugar (conhecido anteriormente como RPC sobre HTTP). |
80/TCP, 443/TCP (SSL) |
Básica |
Básica ou NTLM |
Sim, usando HTTPS |
Sim |
Aplicativo do Exchange ActiveSync |
80/TCP, 443/TCP (SSL) |
Básica |
Básica, Certificado |
Sim, usando HTTPS |
Sim |
Servidor de Acesso para Cliente para servidor de Unificação de Mensagens |
5060/TCP, 5061/TCP, 5062/TCP, uma porta dinâmica |
Por endereço IP |
Por endereço IP |
Sim, usando SIP (Session Initiation Protocol) sobre TLS |
Sim |
O Servidor de Acesso para Cliente para um servidor de Caixa de Correio está executando uma versão anterior do Exchange Server |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
Negociar (Kerberos com fallback para NTLM ou opcionalmente Básico,) texto sem formatação de POP/IMAP |
Sim, usando IPsec |
Não |
Servidor de Acesso para Cliente para servidor de Caixa de Correio do Exchange 2010 |
RPC. Consulte Notas sobre Servidores de Acesso para Cliente. |
Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Servidor de Acesso para Cliente para o servidor de Acesso para Cliente (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos, Certificado |
Sim, usando HTTPS |
Sim, usando um certificado autoassinado |
Servidor de Acesso para Cliente para o servidor de Acesso para Cliente (Outlook Web Access) |
80/TCP, 443/TCP (HTTPS) |
Kerberos |
Kerberos |
Sim, usando SSL |
Sim |
Servidor de Acesso para Cliente para servidor de Acesso para Cliente (Serviços Web do Exchange) |
443/TCP (HTTPS) |
Kerberos |
Kerberos |
Sim, usando SSL |
Sim |
Servidor de Acesso para Cliente para servidor de Acesso para Cliente (POP3) |
995 (SSL) |
Básica |
Básica |
Sim, usando SSL |
Sim |
Servidor de Acesso para Cliente para servidor de Acesso para Cliente (IMAP4) |
993 (SSL) |
Básica |
Básica |
Sim, usando SSL |
Sim |
Dica
Não há suporte para a autenticação integrada do Windows (NTLM) para a conectividade de cliente POP3 ou IMAP4. Para obter mais informações, consulte as seções "Recursos de Acesso do Cliente" em Descontinuar recursos e desenfatizar funcionalidades.
Notas sobre Servidores de Acesso para Cliente
No Exchange 2010, clientes MAPI como o Microsoft Outlook conectam-se a servidores de Acesso para Cliente.
Os servidores de Acesso para Cliente usam várias portas para se comunicar com servidores de Caixa de Correio. Com algumas exceções, essas portas são determinadas pelo serviço RPC e não são fixas.
Para autenticação HTTP onde Negociar é listado, o Kerberos é tentado em primeiro lugar e depois o NTLM.
Quando um servidor de Acesso para Cliente do Exchange 2010 se comunica com um servidor de Caixa de Correio que está executando o Exchange Server 2003, é uma prática recomendada usar o Kerberos e desabilitar as autenticações NTLM e Básica. Além disso, é prática recomendada configurar o Outlook Web App para usar autenticação baseada em formulários com um certificado confiável. Para que os clientes do Exchange ActiveSync se comuniquem por meio do servidor de Acesso para Cliente do Exchange 2010 com o servidor de back-end do Exchange 2003, a Autenticação Integrada do Windows deve ser habilitada no diretório virtual do Microsoft-Server-ActiveSync no servidor de back-end do Exchange 2003. Para usar o Gerenciador do Sistema do Exchange em um servidor Exchange 2003 para gerenciar a autenticação em um diretório virtual do Exchange 2003, baixe e instale o hotfix citado no artigo 937031 da Base de Dados de Conhecimento Microsoft, O evento de ID 1036 está conectado em um servidor Exchange 2007 que está executando a função CAS quando dispositivos móveis se conectam ao servidor Exchange 2007 para acessar caixas de correio em um servidor de back-end do Exchange 2003.
Dica
Embora o artigo da Base de Conhecimento seja específico para o Exchange 2007, também é aplicável ao Exchange 2010.
Quando um servidor de Acesso para Cliente envia solicitações POP3 por proxy a outro servidor de Acesso para Cliente, a comunicação ocorre sobre a porta 995/TCP, independente do cliente que está conectando usar POP3 e solicitar TLS (na porta 110/TCP) ou se conectar na porta 995/TCP usando SSL. Da mesma forma, para conexões IMAP4, a porta 993/TCP é usada para solicitações de proxy independente de o cliente que está conectando usar IMAP4 e solicitar TLS (na porta 443/TCP) ou se conectar na porta 995 usando IMAP4 com criptografia SSL.
Servidores de Unificação de Mensagens
Os gateways IP e IP PBXs só oferecem suporte para a autenticação baseada em certificados que utiliza TLS mútuo para criptografia e autenticação baseada em IP para conexões de protocolo (SIP)/TCP. Os gateways IP não oferecem suporte para a autenticação NTLM ou Kerberos. Portanto, quando você usar a autenticação baseada em IP, o endereço ou endereços IP da conexão são utilizados para oferecer o mecanismo de autenticação para as conexões (TCP) sem criptografia. Quando a autenticação baseada em IP é utilizada na Unificação de Mensagens (UM), o servidor de Unificação de Mensagens verifica se o endereço IP está autorizado a se conectar. O endereço IP é configurado no gateway IP ou no IP-PBX.
Gateways IP e IP PBXs suportam TLS mútuo para criptografar o tráfego SIP. Depois de importar e exportar com êxito os certificados confiáveis necessários, o gateway IP ou IP PBX solicitará um certificado do servidor de UM e um certificado do gateway IP ou IP PBX. Trocar os certificados confiáveis entre o gateway IP ou IP PBX e o servidor de UM permite que o gateway IP ou IP PBX e o servidor de UM se comuniquem por uma conexão criptografada usando TLS mútuo.
A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre os servidores de UM e outros servidores.
Caminhos de dados do servidor de Unificação de Mensagens
| Caminho de dados | Portas necessárias | Autenticação padrão | Autenticação aceita | Criptografia aceita? | Criptografado por padrão? |
|---|---|---|---|---|---|
Acesso ao Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
Sim, usando criptografia Kerberos |
Sim |
Interação do Telefone da Unificação de Mensagens (IP PBX/VoIP Gateway) |
5060/TCP , 5065/TCP, 5067/TCP (não segura), 5061/TCP, 5066/TCP, 5068/TCP (segura), uma porta dinâmica do intervalo 16000-17000/TCP (controle), portas UDP dinâmicas do intervalo 1024-65535/UDP (RTP) |
Por endereço IP |
Por endereço IP, MTLS |
Sim, usando SIP/TLS, SRTP |
Não |
Serviço Web de Unificação de Mensagens |
80/TCP, 443/TCP (SSL) |
Autenticação Integrada do Windows (Negociar) |
Básica, Resumida, NTLM, Negociar (Kerberos) |
Sim, usando SSL |
Sim |
Servidor de Unificação de Mensagens para servidor de Acesso para Cliente |
5075, 5076, 5077 (TCP) |
Autenticação Integrada do Windows (Negociar) |
Básica, Resumida, NTLM, Negociar (Kerberos) |
Sim, usando SSL |
Sim |
Servidor de Unificação de Mensagens para servidor de Acesso para Cliente (Tocar no Telefone) |
RPC dinâmico |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Servidor de Unificação de Mensagens para o servidor de Transporte de Hub |
25/TCP (TLS) |
Kerberos |
Kerberos |
Sim, usando TLS |
Sim |
Servidor de Unificação de Mensagens para servidor de Caixa de Correio |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Sim, usando criptografia RPC |
Sim |
Notas sobre os Servidores de Unificação de Mensagens
- Ao criar um objeto de gateway IP da UM no Active Directory, você deve definir o endereço IP do gateway IP físico ou IP PBX (Private Branch eXchange). Ao definir o endereço IP no objeto de gateway IP da UM, esse endereço é adicionado a uma lista de gateways IP válidos ou IP PBXs (também chamados de pontos SIP), com os quais o servidor de UM está autorizado a se comunicar. Ao criar um gateway IP da UM, você pode associá-lo a um plano de discagem da UM. A associação do gateway IP do UM a um plano de discagem permite que os servidores de Unificação de Mensagens associados ao plano de discagem usem a autenticação baseada em IP para se comunicar com o gateway IP. Se o gateway IP da UM não tiver sido criado ou não estiver configurado para usar o endereço IP correto, ocorrerá falha na autenticação e os servidores de UM não aceitarão conexões provenientes do endereço IP desse gateway IP. Além disso, ao implementar o TLS mútuo e o gateway IP ou IP PBX e servidores de UM, o gateway IP da UM deve ser configurado para usar o FQDN. Depois de configurar o gateway IP da UM com um FQDN, você deve também adicionar um registro de host para a zona de pesquisa direta do DNS para o gateway IP da UM.
- No Exchange 2010, um servidor de UM pode se comunicar na porta 5060/TCP (não segura) ou na porta 5061/TCP (segura), e pode ser configurado para usar ambas.
Para obter mais informações, consulte Noções Básicas Sobre a Segurança VoIP da Unificação de Mensagens e Noções Básicas sobre Protocolos, Portas e Serviços da Unificação de Mensagens.
Regras de Firewall do Windows Criadas pela Instalação do Exchange 2010
O Firewall do Windows com Segurança Avançada é um firewall monitorador, com base em host, que filtra o tráfego de entrada e saída com base em regras de firewall. A Instalação do Exchange 2010 cria regras do Firewall do Windows para abrir as portas necessárias para a comunicação do servidor e do cliente em cada função de servidor. Portanto, não é mais necessário usar o Assistente de Configuração de Segurança (SCW) para configurar estas definições. Para saber mais sobre o Firewall do Windows com Segurança Avançada, consulte Firewall do Windows com Segurança Avançada - Mapa de Conteúdo.
Esta tabela lista as regras do Firewall do Windows criadas pela Instalação do Exchange, incluindo as portas abertas em cada função de servidor. Você pode visualizar estas regras utilizando o snap-in MMC do Firewall do Windows com Segurança Avançada.
| Nome da regra | Funções de servidor | Porta | Programa |
|---|---|---|---|
MSExchangeADTopology - RPC (TCP-In) |
Acesso para Cliente, Transporte de Hub, Caixa de Correio e Unificação de Mensagens |
RPC dinâmico |
Bin\MSExchangeADTopologyService.exe |
MSExchangeMonitoring - RPC (TCP-In) |
Acesso para Cliente, Transporte de Hub, Transporte de Borda, Unificação de Mensagens |
RPC dinâmico |
Bin\Microsoft.Exchange.Management.Monitoring.exe |
MSExchangeServiceHost - RPC (TCP-In) |
Todas as funções |
RPC dinâmico |
Bin\Microsoft.Exchange.ServiceHost.exe |
MSExchangeServiceHost - RPCEPMap (TCP-In) |
Todas as funções |
RPC-EPMap |
Bin\Microsoft.Exchange.Service.Host |
MSExchangeRPCEPMap (GFW) (TCP-In) |
Todas as funções |
RPC-EPMap |
Qualquer |
MSExchangeRPC (GFW) (TCP-In) |
Acesso para Cliente, Transporte de Hub, Caixa de Correio e Unificação de Mensagens |
RPC dinâmico |
Qualquer |
MSExchange - IMAP4 (GFW) (TCP-In) |
Acesso para Cliente |
143, 993 (TCP) |
Todos |
MSExchangeIMAP4 (TCP-In) |
Acesso para Cliente |
143, 993 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe |
MSExchange - POP3 (FGW) (TCP-In) |
Acesso para Cliente |
110, 995 (TCP) |
Todos |
MSExchange - POP3 (TCP-In) |
Acesso para Cliente |
110, 995 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe |
MSExchange - OWA (GFW) (TCP-In) |
Acesso para Cliente |
5075, 5076, 5077 (TCP) |
Todos |
MSExchangeOWAAppPool (TCP-In) |
Acesso para Cliente |
5075, 5076, 5077 (TCP) |
Inetsrv\w3wp.exe |
MSExchangeAB-RPC (TCP-In) |
Acesso para Cliente |
RPC dinâmico |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RPCEPMap (TCP-In) |
Acesso para Cliente |
RPC-EPMap |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RpcHttp (TCP-In) |
Acesso para Cliente |
6002, 6004 (TCP) |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
RpcHttpLBS (TCP-In) |
Acesso para Cliente |
RPC dinâmico |
System32\Svchost.exe |
MSExchangeRPC - RPC (TCP-In) |
Acesso para Cliente, Caixa de Correio |
RPC dinâmico |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC - PRCEPMap (TCP-In) |
Acesso para Cliente, Caixa de Correio |
RPC-EPMap |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC (TCP-In) |
Acesso para Cliente, Caixa de Correio |
6001 (TCP) |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeMailboxReplication (GFW) (TCP-In) |
Acesso para Cliente |
808 (TCP) |
Qualquer |
MSExchangeMailboxReplication (TCP-In) |
Acesso para Cliente |
808 (TCP) |
Bin\MSExchangeMailboxReplication.exe |
MSExchangeIS - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\Store.exe |
MSExchangeIS RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\Store.exe |
MSExchangeIS (GFW) (TCP-In) |
Caixa de Correio |
6001, 6002, 6003, 6004 (TCP) |
Qualquer |
MSExchangeIS (TCP-In) |
Caixa de Correio |
6001 (TCP) |
Bin\Store.exe |
MSExchangeMailboxAssistants - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailboxAssistants - RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailSubmission - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMailSubmission - RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMigration - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeMigration.exe |
MSExchangeMigration - RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeMigration.exe |
MSExchangerepl - Log Copier (TCP-In) |
Caixa de Correio |
64327 (TCP) |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC-EPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeRepl.exe |
MSExchangeSearch - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeThrottling - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeThrottling.exe |
MSExchangeThrottling - RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeThrottling.exe |
MSFTED - RPC (TCP-In) |
Caixa de Correio |
RPC dinâmico |
Bin\MSFTED.exe |
MSFTED - RPCEPMap (TCP-In) |
Caixa de Correio |
RPC-EPMap |
Bin\MSFTED.exe |
MSExchangeEdgeSync - RPC (TCP-In) |
Transporte de Hub |
RPC dinâmico |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeEdgeSync - RPCEPMap (TCP-In) |
Transporte de Hub |
RPC-EPMap |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportWorker - RPC (TCP-In) |
Transporte de Hub |
RPC dinâmico |
Bin\edgetransport.exe |
MSExchangeTransportWorker - RPCEPMap (TCP-In) |
Transporte de Hub |
RPC-EPMap |
Bin\edgetransport.exe |
MSExchangeTransportWorker (GFW) (TCP-In) |
Transporte de Hub |
25, 587 (TCP) |
Qualquer |
MSExchangeTransportWorker (TCP-In) |
Transporte de Hub |
25, 587 (TCP) |
Bin\edgetransport.exe |
MSExchangeTransportLogSearch - RPC (TCP-In) |
Transporte de Hub, Transporte de Borda, Caixa de Correio |
RPC dinâmico |
Bin\MSExchangeTransportLogSearch.exe |
MSExchangeTransportLogSearch - RPCEPMap (TCP-In) |
Transporte de Hub, Transporte de Borda, Caixa de Correio |
RPC-EPMap |
Bin\MSExchangeTransportLogSearch.exe |
SESWorker (GFW) (TCP-In) |
Unificação de Mensagens |
Qualquer |
Qualquer |
SESWorker (TCP-In) |
Unificação de Mensagens |
Qualquer |
UnifiedMessaging\SESWorker.exe |
UMService (GFW) (TCP-In) |
Unificação de Mensagens |
5060, 5061 |
Qualquer |
UMService (TCP-In) |
Unificação de Mensagens |
5060, 5061 |
Bin\UMService.exe |
UMWorkerProcess (GFW) (TCP-In) |
Unificação de Mensagens |
5065, 5066, 5067, 5068 |
Qualquer |
UMWorkerProcess (TCP-In) |
Unificação de Mensagens |
5065, 5066, 5067, 5068 |
Bin\UMWorkerProcess.exe |
UMWorkerProcess - RPC (TCP-In) |
Unificação de Mensagens |
RPC dinâmico |
Bin\UMWorkerProcess.exe |
Notas sobre Regras de Firewall do Windows Criadas pela Instalação do Exchange 2010
- Em servidores que possuem o IIS (Serviços de Informações da Internet) instalado, o Windows abre as portas HTTP (porta 80, TCP) e HTTPS (porta 443, TCP). A Instalação do Exchange 2010 não abre essas portas. Portanto, essas portas não aparecem na tabela anterior.
- No Windows Server 2008 e no Windows Server 2008 R2, o Firewall do Windows com Segurança Avançada permite que você especifique o processo ou serviço para o qual a porta é aberta. Isso é mais seguro porque restringe o uso da porta para o processo ou serviço especificado na regra. A Instalação do Exchange cria regras de firewall com o nome do processo especificado. Em alguns casos, uma regra adicional que não é restrita ao processo também é criada para fins de compatibilidade. Você pode desabilitar ou remover as regras que não são restritas aos processos e manter as regras correspondentes restritas aos processos se sua implantação oferece suporte para elas. As regras não restritas a processos são diferenciadas pela palavra (GFW) no nome da regra.
- Vários serviços do Exchange usam chamadas de procedimento remoto (RPCs) para comunicação. Os processos de servidor que usam RPCs contatam o Mapeador de Ponto de Extremidade RPC para receber pontos de extremidade dinâmicos e registrá-los no banco de dados do Mapeador de Ponto de Extremidade. Clientes RPC contatam o Mapeador de Ponto de Extremidade RPC para determinar os pontos de extremidade usados pelo processo do servidor. Por padrão, o Mapeador de Ponto de Extremidade RPC escuta na porta 135 (TCP). Ao configurar o Firewall do Windows para um processo que usa RPCs, a Instalação do Exchange 2010 cria duas regras de firewall para o processo. Um regra permite a comunicação com o Mapeador de Ponto de Extremidade RPC e a outra permite comunicação com o ponto de extremidade atribuído dinamicamente. Para saber mais sobre RPCs, consulte Como o RPC Funciona. Para mais informações sobre a criação de regras de Firewall do Windows para RPC dinâmica, consulte Permitindo o Tráfego de Rede de Entrada que usa RPC Dinâmico.
Dica
Não é possível modificar as regras de Firewall do Windows criadas pela Instalação do Exchange 2010. Você pode criar regras personalizadas baseadas nelas, e então desabilitá-las ou excluí-las.
Para obter mais informações, consulte o artigo 179442 da Base de Dados de Conhecimento Microsoft, Como configurar um firewall para domínios e relações de confiança.