Exchange 網路通訊埠參考
適用版本: Exchange Server 2010
上次修改主題的時間: 2010-01-26
本主題提供 Microsoft Exchange Server 2010 使用之所有資料路徑的通訊埠、驗證及加密等相關資訊。「注意事項」的段落會緊接在每個表格之後,以釐清或定義非標準的驗證或加密方法。
傳輸伺服器
Exchange 2010 包含兩個可執行郵件傳輸功能的伺服器角色: Hub Transport Server 和 Edge Transport Server。
下表提供這些傳輸伺服器間以及其他 Exchange 2010 伺服器和服務之資料路徑的通訊埠、驗證及加密等相關資訊。
傳輸伺服器資料路徑
資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
---|---|---|---|---|---|
Hub Transport Server 至 Hub Transport Server |
25/TCP (SMTP) |
Kerberos |
Kerberos |
是,使用傳輸層安全性 (TLS) |
是 |
Hub Transport Server 至 Edge Transport Server |
25/TCP (SMTP) |
直接信任 |
直接信任 |
是,使用 TLS |
是 |
Edge Transport Server 至 Hub Transport Server |
25/TCP (SMTP) |
直接信任 |
直接信任 |
是,使用 TLS |
是 |
Edge Transport Server 至 Edge Transport Server |
25/TCP SMTP |
匿名、憑證 |
匿名、憑證 |
是,使用 TLS |
是 |
Mailbox Server 至 Hub Transport Server (透過 Microsoft Exchange 郵件提交服務) |
135/TCP (RPC) |
NTLM。 如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Hub Transport 至 Mailbox Server (透過 MAPI) |
135/TCP (RPC) |
NTLM。 如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 至 Hub Transport Server |
25/TCP (SMTP) |
Kerberos |
Kerberos |
是,使用 TLS |
是 |
從 Hub Transport Server 至 Edge Transport Server 的 Microsoft Exchange EdgeSync 服務 |
50636/TCP (SSL) |
基本 |
基本 |
是,使用 LDAP over SSL (LDAPS) |
是 |
從 Hub Transport Server 的 Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
從 Hub Transport Server 的 Active Directory Rights Management Services (AD RMS) 存取 |
443/TCP (HTTPS) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 SSL |
是* |
SMTP 用戶端至 Hub Transport Server (例如,使用 Windows Live Mail 的使用者) |
587 (SMTP) 25/TCP (SMTP) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 TLS |
是 |
傳輸伺服器的注意事項
Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密,這些憑證是由 Exchange 2010 安裝程式安裝的。
注意
在 Exchange 2010 中,可以在 Hub Transport Server 上針對與相同 Exchange 組織中其他 Hub Transport Server 的內部 SMTP 通訊停用 TLS。除非有絕對必要,否則不建議這麼做。如需相關資訊,請參閱停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化。
Edge Transport Server 和 Hub Transport Server 間的所有流量均會受到驗證及加密。相互 TLS 是驗證和加密的基礎機制。不使用 X.509 驗證,Exchange 2010 改為使用直接信任驗證憑證。直接信任表示 Active Directory 中有憑證存在,或 Active Directory 輕量型目錄服務 (AD LDS) 作為憑證的驗證。Active Directory 已視為受信任的儲存機制。使用直接信任時,憑證是自行簽署或由憑證授權單位 (CA) 簽署都無所謂。 當您向 Exchange 組織訂閱 Edge Transport Server 時,Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 進行驗證。Microsoft Exchange EdgeSync 服務會使用 Hub Transport Server 憑證集來更新 AD LDS,供 Edge Transport Server 進行驗證。
EdgeSync 使用透過 TCP 50636 從 Hub Transport Server 至訂閱 Edge Transport Server 的安全 LDAP 連線。AD LDS 也會在 TCP 50389 上接聽。連至這個通訊埠的連線不使用 SSL。您可以使用 LDAP 公用程式,來連接至通訊埠及檢查 AD LDS 資料。
依據預設,會將兩個不同組織之 Edge Transport Server 間的流量加密。Exchange 2010 安裝程式預設會建立自行簽署的憑證並啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Exchange。依據預設,Exchange 2010 也會針對所有遠端連線嘗試 TLS。
當 Hub Transport server role 和 Mailbox server role 安裝於相同電腦上時,Hub Transport Server 和信箱伺服器之間流量的驗證方法便會不同。 若郵件提交是在本機發生,即會使用 Kerberos 驗證。 若郵件提交是在遠端發生,則會使用 NTLM 驗證。
Exchange 2010 也支援網域安全性。網域安全性是指 Exchange 2010 和 Microsoft Outlook 2010 提供低成本替代方案給 S/MIME 或其他郵件層透過網際網路安全性解決方案之功能。網域安全性提供您透過網際網路,來管理網域間之安全訊息路徑的方式。在設定這些安全郵件路徑之後,已經驗證之寄件者透過安全路徑順利傳送的郵件,會將 Outlook 及 Outlook Web Access 使用者顯示為 "Domain Secured"。 如需相關資訊,請參閱了解網域安全性。
Hub Transport Server 和 Edge Transport Server 上可能會執行數個代理程式。反垃圾郵件代理程式通常依賴執行代理程式之電腦上的本機資訊。因此,需要與遠端電腦通訊的機會非常少。收件者篩選是例外狀況。收件者篩選需要呼叫 AD LDS 或 Active Directory。最佳作法是在 Edge Transport Server 上執行收件者篩選。在本例中,AD LDS 目錄位於與 Edge Transport Server 相同的電腦上,而且不需要任何遠端通訊。 在 Hub Transport Server 上安裝並設定收件者篩選之後,收件者篩選即可存取 Active Directory。
Exchange 2010 中的寄件者信譽功能會使用通訊協定分析代理程式。 這個代理程式也會建立不同的連線連至 Proxy 伺服器以外的地方,以判斷可疑連線的輸入郵件路徑。
所有的其他反垃圾郵件功能只會使用在本機電腦上所蒐集、儲存及存取的資料。經常會使用 Microsoft Exchange EdgeSync 服務,將資料 (例如,安全清單彙總,或用於收件者篩選的收件者資料) 發送至本機 AD LDS 目錄。
Hub Transport Server 上的資訊版權管理 (IRM) 代理程式會連線到組織中的 Active Directory Rights Management Services (AD RMS) 伺服器。AD RMS 是使用 SSL 作為最佳作法來保護的 Web 服務。使用 HTTPS 進行與 AD RMS 伺服器的通訊,並依據 AD RMS 伺服器組態使用 Kerberos 或 NTLM 進行驗證。
日誌規則、傳輸規則及郵件分類儲存在 Active Directory 中,並由 Hub Transport Server 上的日誌代理程式和傳輸規則代理程式來存取。
信箱伺服器
Mailbox Server 要使用 NTLM 或 Kerberos 驗證,係依照執行 Exchange 商務邏輯層消耗者的使用者或程序環境而定。在此環境中,消耗者是使用 Exchange 商務邏輯層的任何應用程式或處理程序。因此,[Mailbox Server 資料路徑] 表格的 [預設驗證] 欄位中許多項目都會列為 [NTLM/Kerberos]。
Exchange 商務邏輯層可用於存取 Exchange 儲存區並與其通訊。 Exchange 商務邏輯層也可以從 Exchange 儲存區呼叫,以便與外部應用程式和程序通訊。
如果 Exchange 商務邏輯層用戶正以「本機系統」執行,則驗證方式一律是從用戶到 Exchange 儲存區的 Kerberos。因為用戶必須使用電腦帳戶「本機系統」進行驗證,而且必須有雙向的驗證信任,所以使用 Kerberos。
如果 Exchange 商務邏輯層用戶並未以「本機系統」執行,驗證方法則為 NTLM。例如,當您執行使用 Exchange 商務邏輯層的 Exchange 管理命令介面指令程式時,便會使用 NTLM。
RPC 流量一律會加密。
下表提供進出 Mailbox Server 之資料路徑的通訊埠、驗證及加密等相關資訊。
Mailbox Server 資料路徑
資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
管理遠端存取 (遠端登錄) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
管理遠端存取 (SMB/檔案) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
可用性 Web 服務 (Client Access 至 Mailbox) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
叢集 |
135/TCP (RPC) 請參閱這個表格之後的Mailbox Server 的注意事項。 |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
內容索引 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
記錄傳送 |
64327 (可自訂) |
NTLM/Kerberos |
NTLM/Kerberos |
是 |
否 |
植入 |
64327 (可自訂) |
NTLM/Kerberos |
NTLM/Kerberos |
是 |
否 |
大量陰影複製服務 (VSS) 備份 |
本機訊息區 (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
信箱助理員 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
MAPI 存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Microsoft Exchange Active Directory 拓撲服務存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Microsoft Exchange 系統服務員服務傳統存取 (聆聽要求) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
Active Directory 的 Microsoft Exchange 系統服務員服務傳統存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
Microsoft Exchange 系統服務員服務傳統存取 (做為 MAPI 用戶端) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
存取 Active Directory 的離線通訊錄 (OAB) |
135/TCP (RPC) |
Kerberos |
Kerberos |
是,使用 RPC 加密 |
是 |
Outlook 存取 OAB |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 HTTPS |
否 |
收件者更新服務 RPC 存取 |
135/TCP (RPC) |
Kerberos |
Kerberos |
是,使用 RPC 加密 |
是 |
Active Directory 的收件者更新 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
Mailbox Server 的注意事項
- 上表中列出的 Clustering 資料路徑,會使用 TCP 上的動態 RPC 在不同的叢集節點之間傳遞叢集狀態和活動。叢集服務 (ClusSvc.exe) 也會使用 UDP/3343,隨機配置高 TCP 通訊埠,以便在叢集節點間進行通訊。
- 針對節點內的通訊,叢集節點會透過使用者資料包通訊協定 (UDP) 通訊埠 3343 進行通訊。叢集中的每個節點會定期與叢集中的每個其他節點交換循序的單點傳播 UDP 資料包。 此交換的目的是判斷所有節點是否正確執行,以及監視網路連結的健康狀態。
- 通訊埠 64327/TCP 是用於記錄傳送的預設通訊埠。系統管理員可以指定另一個通訊埠來記錄傳送。
- 若是列為交涉的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。
Client Access Server
除非另外註明,否則一律以用戶端應用程式到 Client Access Server 的驗證和加密來描述用戶端存取技術,例如 Outlook Web App、POP3 或 IMAP4。
下表提供 Client Access Server 和其他伺服器及用戶端之間資料路徑的通訊埠、驗證及加密等相關資訊。
Client Access Server 資料路徑
資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
自動探索服務 |
80/TCP、443/TCP (SSL) |
基本/整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 HTTPS |
是 |
可用性服務 |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM、Kerberos |
是,使用 HTTPS |
是 |
Outlook Web 應用程式 |
80/TCP、443/TCP (SSL) |
表單型驗證 |
基本、摘要式、表單型驗證、NTLM (僅限 v2)、Kerberos、憑證 |
是,使用 HTTPS |
是,使用自行簽署憑證 |
POP3 |
110/TCP (TLS)、995/TCP (SSL) |
基本、Kerberos |
基本、Kerberos |
是,使用 SSL、TLS |
是 |
IMAP4 |
143/TCP (TLS)、993/TCP (SSL) |
基本、Kerberos |
基本、Kerberos |
是,使用 SSL、TLS |
是 |
Outlook 無所不在 (以前稱為 RPC over HTTP) |
80/TCP、443/TCP (SSL) |
基本 |
基本或 NTLM |
是,使用 HTTPS |
是 |
Exchange ActiveSync 應用程式 |
80/TCP、443/TCP (SSL) |
基本 |
基本、憑證 |
是,使用 HTTPS |
是 |
Client Access Server 至 Unified Messaging Server |
5060/TCP、5061/TCP、5062/TCP、動態通訊埠 |
依 IP 位址 |
依 IP 位址 |
是,使用透過 TLS 的工作階段初始通訊協定 (SIP) |
是 |
Client Access Server 至正在執行舊版 Exchange Server 的 Mailbox Server |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
交涉 (具備後援的 Kerberos 至 NTLM 或選擇至「基本」)、POP/IMAP 純文字 |
是,使用 IPsec |
否 |
Client Access Server 至 Exchange 2010 信箱伺服器 |
RPC。請參閱 Client Access Server 的注意事項。 |
Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Client Access Server 到 Client Access Server (Exchange ActiveSync) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos、憑證 |
是,使用 HTTPS |
是,使用自行簽署憑證 |
Client Access Server 到 Client Access Server (Outlook Web Access) |
80/TCP、443/TCP (HTTPS) |
Kerberos |
Kerberos |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (Exchange Web 服務) |
443/TCP (HTTPS) |
Kerberos |
Kerberos |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (POP3) |
995 (SSL) |
基本 |
基本 |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (IMAP4) |
993 (SSL) |
基本 |
基本 |
是,使用 SSL |
是 |
注意
整合式 Windows 驗證 (NTLM) 不支援 POP3 或 IMAP4 用戶端連線。如需詳細資訊,請參閱<已終止的功能及重要性較低的功能>中的<用戶端存取功能>一節。
Client Access Server 的注意事項
在 Exchange 2010 中,MAPI 用戶端 (例如 Microsoft Outlook) 連接至 Client Access Server。
Client Access Server 使用許多通訊埠與 Mailbox Server 通訊。有一些例外狀況,可藉由 RPC 服務來判斷通訊埠,而這些連接埠不是固定的。
若是列為交涉的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。
當 Exchange 2010 Client Access Server 與執行 Exchange Server 2003 的 Mailbox Server 通訊時,最佳作法是使用 Kerberos 並停用 NTLM 驗證和基本驗證。此外,最佳作法是將 Outlook Web App 設定為使用含有信任憑證的表單型驗證。為了讓 Exchange ActiveSync clients 用戶端經由 Exchange 2010 Client Access server 傳達至 Exchange 2003 後端伺服器,必須在 Exchange 2003 後端伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用 Windows 整合式驗證。若要在 Exchange 2003 伺服器上使用 Exchange 系統管理員來管理 Exchange 2003 虛擬目錄上的驗證,請下載及安裝 Microsoft 知識庫文章 937031 行動裝置連接至 Exchange 2007 伺服器以存取 Exchange 2003 後端伺服器上的信箱時,執行 CAS 角色的 Exchange 2007 伺服器上會記錄事件識別碼 1036 (英文) 中所提的 Hotfix。
注意
雖然知識庫文章是 Exchange 2007 特定的,不過也適用於 Exchange 2010。
當 Client Access Server 代理至另一個 Client Access Server 的 POP3 要求時,不論連接用戶端是使用 POP3 及要求 TLS (在通訊埠 110/TCP 上) 或使用 SSL 在通訊埠 995/TCP 上連接,都是透過通訊埠 995/TCP 通訊。同樣地,不論連接用戶端是使用 IMAP4 及要求 TLS (在通訊埠 443/TCP 上) 或使用 IMAP4 和 SSL 加密在通訊埠 995 上連接,IMAP4 連線都是使用通訊埠 993/TCP 代理要求
Unified Messaging Server
IP 閘道與 IP PBX 只支援使用相互 TLS 為 SIP 流量加密的憑證型驗證,以及工作階段初始通訊協定 (SIP)/TCP 連線的 IP 型驗證。IP 閘道器不支援 NTLM 或 Kerberos 驗證。 因此,當您使用 IP 型驗證時,連接的 IP 位址可用來提供未加密 (TCP) 連線的驗證機制。在整合通訊 (UM)中使用 IP 型驗證時,UM 伺服器會驗證 IP 位址是否可以連接。 IP 位址設定在 IP 閘道或 IP-PBX 上。
IP 閘道與 IP PBX 支援相互 TLS 為 SIP 流量加密。在您成功匯入及匯出必要的受信任憑證後,IP 閘道或 IP PBX 會從 UM 伺服器要求憑證,然後再從 IP 閘道或 IP PBX 要求憑證。在 IP 閘道或 IP PBX 與 UM 伺服器之間交換受信任憑證,可讓 IP 閘道或 IP PBX 與 UM 伺服器使用相互 TLS 透過加密的連線來通訊。
下表提供 UM 伺服器和其他伺服器之間資料路徑的通訊埠、驗證及加密等相關資訊。
整合通訊伺服器資料路徑
資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
整合通訊電話互動 (IP PBX/VoIP 閘道器) |
5060/TCP、5065/TCP、5067/TCP (非安全)、5061/TCP、5066/TCP、5068/TCP (安全)、從範圍 16000-17000/TCP 的動態通訊埠 (控制)、從範圍 1024-65535/UDP 的動態 UDP 通訊埠 (RTP) |
依 IP 位址 |
依 IP 位址、MTLS |
是,使用 SIP/TLS、SRTP |
否 |
整合通訊 Web 服務 |
80/TCP、443/TCP (SSL) |
整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 SSL |
是 |
Unified Messaging Server 至 Client Access Server |
5075、5076、5077 (TCP) |
整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 SSL |
是 |
Unified Messaging Server 至 Client Access Server (在電話上播放) |
動態 RPC |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 至 Hub Transport Server |
25/TCP (TLS) |
Kerberos |
Kerberos |
是,使用 TLS |
是 |
Unified Messaging Server 至 Mailbox Server |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 的注意事項
- 當您在 Active Directory 中建立 UM IP 閘道器物件時,必須定義實體 IP 閘道器或 IP PBX (專用交換機) 的 IP 位址。當您在 UM IP 閘道物件上定義 IP 位址時,IP 位址會新增至允許 UM 伺服器與其通訊之有效 IP 閘道或 IP PBX (也稱為 SIP 對等) 的清單中。當您建立 UM IP 閘道時,可以將其與 UM 撥號對應表關聯。 將 UM IP 閘道與 UM 撥號對應表產生關聯,可讓撥號對應表關聯的 Unified Messaging Server 使用 IP 型驗證對 IP 閘道進行通訊。如果 UM IP 閘道器尚未建立,或未設定為使用正確的 IP 位址,驗證會失敗,而且 UM 伺服器不會接受來自該 IP 閘道器之 IP 位址的連線。另外,當您實作相互 TLS 與 IP 閘道或 IP PBX 與 UM 伺服器時,必須將 UM IP 閘道設定成使用 FQDN。您使用 FQDN 設定 UM IP 閘道之後,還必須將主機記錄新增至 UM IP 閘道的 DNS 正向查閱區。
- 在 Exchange 2010 中,UM 伺服器可以在通訊埠 5060/TCP (非安全) 或在通訊埠 5061/TCP (安全) 上通訊,也可以設定成使用這兩者。
如需相關資訊,請參閱了解整合通訊 VoIP 安全性及瞭解整合通訊中的通訊協定、通訊埠及服務。
Exchange 2010 安裝程式所建立的 Windows 防火牆規則
具有進階安全性的 Windows 防火牆是可設定狀態的主機型防火牆,能根據防火牆規則篩選輸入和輸出流量。Exchange 2010 安裝程式會建立 Windows 防火牆規則,以開啟每個伺服器角色上的伺服器與用戶端通訊所需的通訊埠。因此,您不需再使用安全性設定精靈 (SCW) 來設定這些設定。如需具有進階安全性之 Windows 防火牆的相關資訊,請參閱具有進階安全性的 Windows 防火牆 - 內容導覽 (英文)。
本表列出 Exchange 安裝程式所建立的 Windows 防火牆規則,包括每個伺服器角色上已開啟的通訊埠。您可以使用具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元來檢視這些規則。
規則名稱 | 伺服器角色 | 通訊埠 | 程式 |
---|---|---|---|
MSExchangeADTopology - RPC (TCP-In) |
Client Access、Hub Transport、Mailbox、Unified Messaging |
動態 RPC |
Bin\MSExchangeADTopologyService.exe |
MSExchangeMonitoring - RPC (TCP-In) |
Client Access、Hub Transport、Edge Transport、Unified Messaging |
動態 RPC |
Bin\Microsoft.Exchange.Management.Monitoring.exe |
MSExchangeServiceHost - RPC (TCP-In) |
所有角色 |
動態 RPC |
Bin\Microsoft.Exchange.ServiceHost.exe |
MSExchangeServiceHost - RPCEPMap (TCP-In) |
所有角色 |
RPC-EPMap |
Bin\Microsoft.Exchange.Service.Host |
MSExchangeRPCEPMap (GFW) (TCP-In) |
所有角色 |
RPC-EPMap |
任何 |
MSExchangeRPC (GFW) (TCP-In) |
Client Access、Hub Transport、Mailbox、Unified Messaging |
動態 RPC |
任何 |
MSExchange - IMAP4 (GFW) (TCP-In) |
用戶端存取 |
143, 993 (TCP) |
全部 |
MSExchangeIMAP4 (TCP-In) |
用戶端存取 |
143, 993 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe |
MSExchange - POP3 (FGW) (TCP-In) |
用戶端存取 |
110, 995 (TCP) |
全部 |
MSExchange - POP3 (TCP-In) |
用戶端存取 |
110, 995 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe |
MSExchange - OWA (GFW) (TCP-In) |
用戶端存取 |
5075、5076、5077 (TCP) |
全部 |
MSExchangeOWAAppPool (TCP-In) |
用戶端存取 |
5075、5076、5077 (TCP) |
Inetsrv\w3wp.exe |
MSExchangeAB-RPC (TCP-In) |
用戶端存取 |
動態 RPC |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RPCEPMap (TCP-In) |
用戶端存取 |
RPC-EPMap |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RpcHttp (TCP-In) |
用戶端存取 |
6002, 6004 (TCP) |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
RpcHttpLBS (TCP-In) |
用戶端存取 |
動態 RPC |
System32\Svchost.exe |
MSExchangeRPC - RPC (TCP-In) |
Client Access、Mailbox |
動態 RPC |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC - PRCEPMap (TCP-In) |
Client Access、Mailbox |
RPC-EPMap |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC (TCP-In) |
Client Access、Mailbox |
6001 (TCP) |
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeMailboxReplication (GFW) (TCP-In) |
用戶端存取 |
808 (TCP) |
任何 |
MSExchangeMailboxReplication (TCP-In) |
用戶端存取 |
808 (TCP) |
Bin\MSExchangeMailboxReplication.exe |
MSExchangeIS - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\Store.exe |
MSExchangeIS RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\Store.exe |
MSExchangeIS (GFW) (TCP-In) |
信箱 |
6001、6002、6003、6004 (TCP) |
任何 |
MSExchangeIS (TCP-In) |
信箱 |
6001 (TCP) |
Bin\Store.exe |
MSExchangeMailboxAssistants - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailboxAssistants - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailSubmission - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMailSubmission - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMigration - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMigration.exe |
MSExchangeMigration - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMigration.exe |
MSExchangerepl - Log Copier (TCP-In) |
信箱 |
64327 (TCP) |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC-EPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeRepl.exe |
MSExchangeSearch - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeThrottling - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeThrottling.exe |
MSExchangeThrottling - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeThrottling.exe |
MSFTED - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSFTED.exe |
MSFTED - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSFTED.exe |
MSExchangeEdgeSync - RPC (TCP-In) |
集線傳輸 |
動態 RPC |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeEdgeSync - RPCEPMap (TCP-In) |
集線傳輸 |
RPC-EPMap |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportWorker - RPC (TCP-In) |
集線傳輸 |
動態 RPC |
Bin\edgetransport.exe |
MSExchangeTransportWorker - RPCEPMap (TCP-In) |
集線傳輸 |
RPC-EPMap |
Bin\edgetransport.exe |
MSExchangeTransportWorker (GFW) (TCP-In) |
集線傳輸 |
25, 587 (TCP) |
任何 |
MSExchangeTransportWorker (TCP-In) |
集線傳輸 |
25, 587 (TCP) |
Bin\edgetransport.exe |
MSExchangeTransportLogSearch - RPC (TCP-In) |
Hub Transport、Edge Transport、Mailbox |
動態 RPC |
Bin\MSExchangeTransportLogSearch.exe |
MSExchangeTransportLogSearch - RPCEPMap (TCP-In) |
Hub Transport、Edge Transport、Mailbox |
RPC-EPMap |
Bin\MSExchangeTransportLogSearch.exe |
SESWorker (GFW) (TCP-In) |
整合通訊 |
任何 |
任何 |
SESWorker (TCP-In) |
整合通訊 |
任何 |
UnifiedMessaging\SESWorker.exe |
UMService (GFW) (TCP-In) |
整合通訊 |
5060, 5061 |
任何 |
UMService (TCP-In) |
整合通訊 |
5060, 5061 |
Bin\UMService.exe |
UMWorkerProcess (GFW) (TCP-In) |
整合通訊 |
5065, 5066, 5067, 5068 |
任何 |
UMWorkerProcess (TCP-In) |
整合通訊 |
5065, 5066, 5067, 5068 |
Bin\UMWorkerProcess.exe |
UMWorkerProcess - RPC (TCP-In) |
整合通訊 |
動態 RPC |
Bin\UMWorkerProcess.exe |
Exchange 2010 安裝程式所建立之 Windows 防火牆規則的注意事項
- 在已安裝網際網路資訊服務 (IIS) 的伺服器上,Windows 會開啟 HTTP (通訊埠 80,TCP) 和 HTTPS (通訊埠 443,TCP) 通訊埠。Exchange 2010 安裝程式不會開啟這些通訊埠。因此,前面的表格中不會顯示這些通訊埠。
- 在 Windows Server 2008 和 Windows Server 2008 R2 上,具有進階安全性的 Windows 防火牆可讓您指定為其開啟通訊埠的處理程序或服務。這樣會比較安全,因為它會限制規則中指定之處理程序或服務使用通訊埠的情形。Exchange 安裝程式會建立包含指定處理程序名稱的防火牆規則。某些情況下,也會為了相容性而建立不限處理程序的其他規則。如果您的部署支援,便可以停用或移除不限處理程序的規則,並保持限定處理程序的規則。不限處理程序的規則在規則名稱中以 (GFW) 一字來區別。
- 許多 Exchange 服務使用遠端程序呼叫 (RPC) 進行通訊。使用 RPC 的伺服器處理程序,會連絡 RPC 端點對應程式以接收動態端點,並在端點對應程式資料庫中註冊這些端點。RPC 用戶端會連絡 RPC 端點對應程式,以決定伺服器處理程序所使用的端點。根據預設,RPC 端點對應程式會在通訊埠 135 (TCP) 上接聽。針對使用 RPC 的處理程序設定 Windows 防火牆時,Exchange 2010 安裝程式會為處理程序建立兩個防火牆規則。一個規則允許與 RPC 端點對應程式的通訊,另一個規則允許與動態指派的端點通訊。如需 RPC 的相關資訊,請參閱 RPC 如何運作 (英文)。如需針對動態 RPC 建立 Windows 防火牆的相關資訊,請參閱允許使用動態 RPC 的輸入網路流量 (英文)。
注意
您不能修改 Exchange 2010 安裝程式所建立的 Windows 防火牆規則。您可以根據這些規則建立自訂的規則,然後再停用或刪除規則。
如需相關資訊,請參閱 Microsoft 知識庫文章 179442,如何設定網域和信任的防火牆。