Exchange 網路通訊埠參考
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
本主題提供 MicrosoftExchange Server 2010 使用之所有資料路徑的通訊埠、驗證及加密等相關資訊。「注意事項」的段落會緊接在每個表格之後,以釐清或定義非標準的驗證或加密方法。
傳輸伺服器
Exchange 2010 包含兩個可執行郵件傳輸功能的伺服器角色:Hub Transport Server 和 Edge Transport Server。
下表提供這些傳輸伺服器間以及其他 Exchange 2010 伺服器和服務之資料路徑的通訊埠、驗證及加密等相關資訊。
傳輸伺服器資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
Hub Transport Server 至 Hub Transport Server |
25/TCP (SMTP) |
Kerberos |
Kerberos |
是,使用傳輸層安全性 (TLS) |
是 |
Hub Transport Server 至 Edge Transport Server |
25/TCP (SMTP) |
直接信任 |
直接信任 |
是,使用 TLS |
是 |
Edge Transport Server 至 Hub Transport Server |
25/TCP (SMTP) |
直接信任 |
直接信任 |
是,使用 TLS |
是 |
Edge Transport Server 至 Edge Transport Server |
25/TCP (SMTP) |
匿名、憑證 |
匿名、憑證 |
是,使用 TLS |
是 |
信箱伺服器至集線傳輸伺服器 (透過 Microsoft Exchange 郵件提交服務) |
135/TCP (RPC) |
NTLM。如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Hub Transport 至 Mailbox Server (透過 MAPI) |
135/TCP (RPC) |
NTLM。如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 至 Hub Transport Server |
25/TCP (SMTP) |
Kerberos |
Kerberos |
是,使用 TLS |
是 |
Microsoft 從集線傳輸伺服器至邊際傳輸伺服器的 Exchange EdgeSync 服務 |
50636/TCP (SSL) |
基本 |
基本 |
是,使用 LDAP over SSL (LDAPS) |
是 |
從 Hub Transport Server 的 Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
從集線傳輸伺服器的 Active Directory Rights Management Services (AD RMS) 存取 |
443/TCP (HTTPS) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 SSL |
是* |
SMTP 用戶端至 Hub Transport Server (例如,使用 Windows Live Mail 的使用者) |
587 (SMTP) 25/TCP (SMTP) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 TLS |
是 |
傳輸伺服器的注意事項
集線傳輸伺服器間的所有流量都會使用含有自我簽署憑證的 TLS 進行加密,這些憑證是由 Exchange 2010 安裝程式安裝的。
.gif "注意事項")
附註:在 Exchange 2010 中,可以在 Hub Transport Server 上針對與相同 Exchange 組織中其他 Hub Transport Server 的內部 SMTP 通訊停用 TLS。除非有絕對的必要性,否則不建議您進行此作業。如需相關資訊,請參閱停用 Active Directory 站台之間的 TLS 以支援 WAN 最佳化。 Edge Transport Server 和 Hub Transport Server 間的所有流量均會受到驗證及加密。相互 TLS 是驗證和加密的基礎機制。不使用 X.509 驗證,Exchange 2010 改為使用「直接信任」驗證憑證。直接信任表示 Active Directory 中有憑證存在,或 Active Directory 輕量型目錄服務 (AD LDS) 作為憑證的驗證。Active Directory 已視為受信任的儲存機制。使用直接信任時,憑證是自我簽署或由憑證授權單位 (CA) 簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時,Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 進行驗證。MicrosoftExchange EdgeSync 服務會使用集線傳輸伺服器憑證集來配合更新 AD LDS,供邊際傳輸伺服器進行驗證。
EdgeSync 使用透過 TCP 50636 從 Hub Transport Server 至訂閱 Edge Transport Server 的安全 LDAP 連線。AD LDS 也會在 TCP 50389 上接聽。連至這個通訊埠的連線不使用 SSL。您可以使用 LDAP 公用程式,來連接至通訊埠及檢查 AD LDS 資料。
依據預設,會將兩個不同組織之 Edge Transport Server 間的流量加密。Exchange 2010 安裝程式預設會建立自我簽署憑證並啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Exchange。依預設,Exchange 2010 也會對所有遠端連線嘗試 TLS。
當 Hub Transport server role 和 Mailbox server role 安裝於相同電腦上時,Hub Transport Server 和信箱伺服器之間流量的驗證方法便會不同。若郵件提交是在本機發生,即會使用 Kerberos 驗證。若郵件提交是在遠端發生,則會使用 NTLM 驗證。
Exchange 2010 也支援網域安全性。網域安全性是指 Exchange 2010 和 MicrosoftOutlook 2010 中,透過網際網路安全性解決方案提供低成本替代方案給 S/MIME 或其他郵件層之功能。網域安全性提供您透過網際網路,來管理網域間之安全訊息路徑的方式。在設定這些安全郵件路徑之後,已經驗證之寄件者透過安全路徑順利傳送的郵件,會對 Outlook 及 Outlook Web Access 使用者顯示為 "Domain Secured"。如需相關資訊,請參閱了解網域安全性。
Hub Transport Server 和 Edge Transport Server 上可能會執行數個代理程式。反垃圾郵件代理程式通常依賴執行代理程式之電腦上的本機資訊。因此,需要與遠端電腦通訊的機會非常少。收件者篩選是例外狀況。收件者篩選需要呼叫 AD LDS 或 Active Directory。最佳作法是在 Edge Transport Server 上執行收件者篩選。在此情況下,AD LDS 目錄會位於邊際傳輸伺服器所在的電腦。因此,不需要進行遠端通訊。在集線傳輸伺服器上安裝並設定收件者篩選之後,收件者篩選即可存取 Active Directory。
Exchange 2010 中的寄件者信譽功能會使用通訊協定分析代理程式。這個代理程式也會建立不同的連線連至 Proxy 伺服器以外的地方,以判斷可疑連線的輸入郵件路徑。
所有其他反垃圾郵件功能會將此類資料用做安全清單彙總,以及用於收件者篩選的收件者資料。此資料只會於本機電腦上收集、儲存與存取。通常會使用 MicrosoftExchange EdgeSync 服務,將資料發送到本機 AD LDS 目錄。
Hub Transport Server 上的資訊版權管理 (IRM) 代理程式會連線到組織中的 Active Directory Rights Management Services (AD RMS) 伺服器。AD RMS 是使用 SSL 作為最佳作法來保護的 Web 服務。使用 HTTPS 進行與 AD RMS 伺服器的通訊,並依據 AD RMS 伺服器組態使用 Kerberos 或 NTLM 進行驗證。
日誌規則、傳輸規則及郵件分類儲存在 Active Directory 中,並由集線傳輸伺服器上的日誌代理程式和傳輸規則代理程式來存取。
信箱伺服器
信箱伺服器要使用 NTLM 或 Kerberos 驗證,係依照執行 Exchange 商務邏輯層消耗者的使用者或程序環境而定。在此情況下,取用者是使用 Exchange 商務邏輯層的任何應用程式或程序。因此,[信箱伺服器資料路徑] 表格的 [預設驗證] 欄位中許多項目都會列為 [NTLM/Kerberos]。
Exchange 商務邏輯層可用於存取 Exchange 儲存區並與其通訊。Exchange 商務邏輯層也可以從 Exchange 儲存區呼叫,以便與外部應用程式和程序通訊。
如果 Exchange 商務邏輯層用戶正以「本機系統」執行,則驗證方式一律是從用戶到 Exchange 儲存區的 Kerberos。因為用戶必須使用電腦帳戶「本機系統」進行驗證,而且必須有雙向的驗證信任,所以使用 Kerberos。
如果 Exchange 商務邏輯層用戶並未以「本機系統」執行,驗證方法則為 NTLM。例如,當您執行使用 Exchange 管理命令介面 商務邏輯層的 Exchange 指令程式時,便會使用 NTLM。
RPC 流量一律會加密。
下表提供進出 Mailbox Server 之資料路徑的通訊埠、驗證及加密等相關資訊。
Mailbox Server 資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
管理遠端存取 (遠端登錄) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
管理遠端存取 (SMB/檔案) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
可用性 Web 服務 (Client Access 至 Mailbox) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
叢集 |
135/TCP (RPC) 請參閱這個表格之後的Mailbox Server 的注意事項。 |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 IPsec |
否 |
內容索引 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
記錄傳送 |
64327 (可自訂) |
NTLM/Kerberos |
NTLM/Kerberos |
是 |
否 |
植入 |
64327 (可自訂) |
NTLM/Kerberos |
NTLM/Kerberos |
是 |
否 |
大量陰影複製服務 (VSS) 備份 |
本機訊息區 (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
信箱助理員 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
MAPI 存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Microsoft Exchange Active Directory 拓撲服務存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Microsoft Exchange 系統服務員服務傳統存取 (聆聽要求) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
Active Directory 的 Microsoft Exchange 系統服務員服務傳統存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
Microsoft Exchange 系統服務員服務傳統存取 (做為 MAPI 用戶端) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
存取 Active Directory 的離線通訊錄 (OAB) |
135/TCP (RPC) |
Kerberos |
Kerberos |
是,使用 RPC 加密 |
是 |
收件者更新服務 RPC 存取 |
135/TCP (RPC) |
Kerberos |
Kerberos |
是,使用 RPC 加密 |
是 |
Active Directory 的收件者更新 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
Mailbox Server 的注意事項
上表中列出的 Clustering 資料路徑,會使用 TCP 上的動態 RPC 在不同的叢集節點之間傳遞叢集狀態和活動。叢集服務 (ClusSvc.exe) 也會使用 UDP/3343,隨機配置高 TCP 通訊埠,以便在叢集節點間進行通訊。
針對節點內的通訊,叢集節點會透過使用者資料包通訊協定 (UDP) 通訊埠 3343 進行通訊。叢集中的每個節點會定期與叢集中的每個其他節點交換循序的單點傳播 UDP 資料包。此交換的目的是判斷所有節點是否正確執行,以及監視網路連結的健康狀態。
通訊埠 64327/TCP 是用於記錄傳送的預設通訊埠。系統管理員可以指定另一個通訊埠來記錄傳送。
若是列為交涉的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。
Client Access Server
除非另外註明,否則一律以用戶端應用程式到 Client Access Server 的驗證和加密來描述用戶端存取技術,例如 Outlook Web App、POP3 或 IMAP4。
下表提供 Client Access Server 和其他伺服器及用戶端之間資料路徑的通訊埠、驗證及加密等相關資訊。
Client Access Server 資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
自動探索服務 |
80/TCP、443/TCP (SSL) |
基本/整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 HTTPS |
是 |
可用性服務 |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM、Kerberos |
是,使用 HTTPS |
是 |
信箱複寫服務 (MRS) |
808/TCP |
Kerberos/NTLM |
Kerberos、NTLM |
是,使用 RPC 加密 |
是 |
Outlook 存取 OAB |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 HTTPS |
否 |
Outlook Web App |
80/TCP、443/TCP (SSL) |
表單型驗證 |
基本、摘要式、表單型驗證、NTLM (僅限 v2)、Kerberos、憑證 |
是,使用 HTTPS |
是,使用自我簽署憑證 |
POP3 |
110/TCP (TLS)、995/TCP (SSL) |
基本、Kerberos |
基本、Kerberos |
是,使用 SSL、TLS |
是 |
IMAP4 |
143/TCP (TLS)、993/TCP (SSL) |
基本、Kerberos |
基本、Kerberos |
是,使用 SSL、TLS |
是 |
Outlook 無所不在 (以前稱為 RPC over HTTP) |
80/TCP、443/TCP (SSL) |
基本 |
基本或 NTLM |
是,使用 HTTPS |
是 |
Exchange ActiveSync 應用程式 |
80/TCP、443/TCP (SSL) |
基本 |
基本、憑證 |
是,使用 HTTPS |
是 |
Client Access Server 至 Unified Messaging Server |
5060/TCP、5061/TCP、5062/TCP、動態通訊埠 |
依 IP 位址 |
依 IP 位址 |
是,使用透過 TLS 的工作階段初始通訊協定 (SIP) |
是 |
Client Access Server 至正在執行舊版 Exchange Server 的 Mailbox Server |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
交涉 (具備後援的 Kerberos 至 NTLM 或選擇至「基本」)、POP/IMAP 純文字 |
是,使用 IPsec |
否 |
Client Access Server 至 Exchange 2010 信箱伺服器 |
RPC。請參閱 Client Access Server 的注意事項。 |
Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Client Access Server 到 Client Access Server (Exchange ActiveSync) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos、憑證 |
是,使用 HTTPS |
是,使用自我簽署憑證 |
Client Access Server 到 Client Access Server (Outlook Web Access) |
80/TCP、443/TCP (HTTPS) |
Kerberos |
Kerberos |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (Exchange Web 服務) |
443/TCP (HTTPS) |
Kerberos |
Kerberos |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (POP3) |
995 (SSL) |
基本 |
基本 |
是,使用 SSL |
是 |
Client Access Server 至 Client Access Server (IMAP4) |
993 (SSL) |
基本 |
基本 |
是,使用 SSL |
是 |
Office Communications Server 存取 Client Access Server (當 Office Communications Server 和 Outlook Web App 整合啟用時) |
5075-5077/TCP (入),5061/TCP (出) |
mTLS (必要項) |
mTLS (必要項) |
是,使用 SSL |
是 |
| 附註: |
|---|
| POP3 或 IMAP4 用戶端連線不支援整合式 Windows 驗證 (NTLM)。如需相關資訊,請參閱<已終止的功能>中的<用戶端存取功能>一節。 |
Client Access Server 的注意事項
在 Exchange 2010 中,MAPI 用戶端 (例如 Microsoft Outlook) 會連接至 Client Access Server。
Client Access Server 使用許多通訊埠與 Mailbox Server 通訊。有一些例外狀況,可藉由 RPC 服務來判斷通訊埠,而這些通訊埠不是固定的。
若是列為交涉的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。
當 Exchange 2010 Client Access Server 與執行 MicrosoftExchange Server 2003 的 Mailbox Server 通訊時,最好使用 Kerberos,並停用 NTLM 驗證和基本驗證。將 Outlook Web App 設定為使用含有信任憑證的表單型驗證,也是最佳作法。為了讓 Exchange ActiveSync 用戶端透過 Exchange 2010 Client Access Server 與 Exchange 2003 後端伺服器通訊,必須在 Exchange 2003 後端伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用 Windows 整合式驗證。若要在 Exchange 伺服器上使用 Exchange 2003 系統管理員來管理 Exchange 2003 虛擬目錄上的驗證,請下載並安裝 Microsoft 知識庫文章 937031 當行動裝置連接至 2007 Exchange 伺服器來存取信箱的 Exchange 2003 後端伺服器時,執行 CAS 角色的 Exchange 2007 伺服器上會記錄事件識別碼 1036 中建議的問題修正。
附註:雖然這是 MicrosoftExchange Server 2007 的特定知識庫文章,但也適用於 Exchange 2010。 當 Client Access Server 代理對另一部 Client Access Server 的 POP3 要求時,通訊會透過通訊埠 995/TCP 進行。不論連接用戶端是使用 POP3 及要求 TLS (在通訊埠 110/TCP 上) 或使用 SSL 於通訊埠 995/TCP 上進行連接,這一點都不會改變。同樣地,不論連接用戶端是使用 IMAP4 及要求 TLS (在通訊埠 443/TCP 上) 或使用 IMAP4 和 SSL 加密在通訊埠 995 上進行連接,要求伺服器都是使用通訊埠 993/TCP 代理要求,以進行 IMAP4 連線。
用戶端存取伺服器的連線能力
除了在每個包含信箱伺服器的 Active Directory 站台內都需要用戶端存取伺服器外,也請務必避免在 Exchange 伺服器間限制流量。請確保所有由 Exchange 使用的定義通訊埠在所有的來源與目的伺服器間皆雙向開啟。不支援在 Exchange 伺服器間,或是 Exchange 2010 信箱伺服器或用戶端存取伺服器與 Active Directory 間安裝防火牆。但是,如果流量未受限制且所有可用的通訊埠在多個 Exchange 伺服器與 Active Directory 間皆為開啟的情況下,您皆能安裝網路裝置。
Unified Messaging Server
IP 閘道與 IP PBX 只支援使用相互 TLS 為 SIP 流量加密的憑證型驗證,以及工作階段初始通訊協定 (SIP)/TCP 連線的 IP 型驗證。IP 閘道器不支援 NTLM 或 Kerberos 驗證。因此,當您使用 IP 型驗證時,連接的 IP 位址可用來提供未加密 (TCP) 連線的驗證機制。在整合通訊 (UM)中使用 IP 型驗證時,UM 伺服器會驗證 IP 位址是否可以連接。IP 位址設定在 IP 閘道或 IP-PBX 上。
IP 閘道與 IP PBX 支援相互 TLS 為 SIP 流量加密。在您成功匯入及匯出必要的受信任憑證後,IP 閘道或 IP PBX 會從 UM 伺服器要求憑證,然後再從 IP 閘道或 IP PBX 要求憑證。在 IP 閘道或 IP PBX 與 UM 伺服器之間交換受信任憑證,可讓 IP 閘道或 IP PBX 與 UM 伺服器使用相互 TLS 透過加密的連線來通訊。
下表提供 UM 伺服器和其他伺服器之間資料路徑的通訊埠、驗證及加密等相關資訊。
Unified Messaging Server 資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是,使用 Kerberos 加密 |
是 |
整合通訊電話互動 (IP PBX/VoIP 閘道器) |
5060/TCP、5065/TCP、5067/TCP (非安全)、5061/TCP、5066/TCP、5068/TCP (安全)、從範圍 16000-17000/TCP 的動態通訊埠 (控制)、從範圍 1024-65535/UDP 的動態 UDP 通訊埠 (RTP) |
依 IP 位址 |
依 IP 位址、MTLS |
是,使用 SIP/TLS、SRTP |
否 |
整合通訊 Web 服務 |
80/TCP、443/TCP (SSL) |
整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 SSL |
是 |
Unified Messaging Server 至 Client Access Server |
5075、5076、5077 (TCP) |
整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是,使用 SSL |
是 |
Unified Messaging Server 至 Client Access Server (在電話上播放) |
動態 RPC |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 至集線傳輸伺服器 |
25/TCP (TLS) |
Kerberos |
Kerberos |
是,使用 TLS |
是 |
Unified Messaging Server 至 Mailbox Server |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是,使用 RPC 加密 |
是 |
Unified Messaging Server 的注意事項
當您在 Active Directory 中建立 UM IP 閘道器物件時,必須定義實體 IP 閘道器或 IP PBX (專用交換機) 的 IP 位址。當您在 UM IP 閘道物件上定義 IP 位址時,IP 位址會新增至允許 UM 伺服器與其通訊之有效 IP 閘道或 IP PBX (也稱為 SIP 對等) 的清單中。當您建立 UM IP 閘道時,可以將其與 UM 撥號對應表關聯。將 UM IP 閘道與 UM 撥號對應表產生關聯,可讓撥號對應表關聯的 Unified Messaging Server 使用 IP 型驗證對 IP 閘道進行通訊。如果 UM IP 閘道器尚未建立,或未設定為使用正確的 IP 位址,驗證會失敗,而且 UM 伺服器不會接受來自該 IP 閘道器之 IP 位址的連線。另外,當您實作相互 TLS 與 IP 閘道或 IP PBX 與 UM 伺服器時,必須將 UM IP 閘道設定成使用 FQDN。您使用 FQDN 設定 UM IP 閘道之後,還必須將主機記錄新增至 UM IP 閘道的 DNS 正向查閱區。
在 Exchange 2010 中,UM 伺服器可以在通訊埠 5060/TCP (非安全) 或在通訊埠 5061/TCP (安全) 上通訊,也可以設定成使用這兩者。
如需相關資訊,請參閱了解整合通訊 VoIP 安全性及瞭解整合通訊中的通訊協定、通訊埠及服務。
Exchange 2010 安裝程式所建立的 Windows 防火牆規則
具有進階安全性的 Windows 防火牆是可設定狀態的主機型防火牆,能根據防火牆規則篩選輸入和輸出流量。Exchange 2010 安裝程式會建立 Windows 防火牆規則,以開啟每個伺服器角色上的伺服器與用戶端通訊所需的通訊埠。因此,您不需再使用安全性設定精靈 (SCW) 來設定這些設定。如需具有進階安全性之 Windows 防火牆的相關資訊,請參閱具有進階安全性及 IPsec 的 Windows 防火牆。
本表列出 Exchange 安裝程式所建立的 Windows 防火牆規則,包括每個伺服器角色上已開啟的通訊埠。您可以使用具有進階安全性的 Windows 防火牆 MMC 嵌入式管理單元來檢視這些規則。
| 規則名稱 | 伺服器角色 | 通訊埠 | 程式 |
|---|---|---|---|
MSExchangeADTopology - RPC (TCP-In) |
Client Access、Hub Transport、Mailbox、Unified Messaging |
動態 RPC |
Bin\MSExchangeADTopologyService.exe |
MSExchangeMonitoring - RPC (TCP-In) |
Client Access、Hub Transport、Edge Transport、Unified Messaging |
動態 RPC |
Bin\Microsoft.Exchange.Management.Monitoring.exe |
MSExchangeServiceHost - RPC (TCP-In) |
所有角色 |
動態 RPC |
Bin\Microsoft.Exchange.ServiceHost.exe |
MSExchangeServiceHost - RPCEPMap (TCP-In) |
所有角色 |
RPC-EPMap |
Bin\Microsoft.Exchange.Service.Host |
MSExchangeRPCEPMap (GFW) (TCP-In) |
所有角色 |
RPC-EPMap |
任何 |
MSExchangeRPC (GFW) (TCP-In) |
Client Access、Hub Transport、Mailbox、Unified Messaging |
動態 RPC |
任何 |
MSExchange - IMAP4 (GFW) (TCP-In) |
用戶端存取 |
143, 993 (TCP) |
All |
MSExchangeIMAP4 (TCP-In) |
用戶端存取 |
143, 993 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe |
MSExchange - POP3 (FGW) (TCP-In) |
用戶端存取 |
110, 995 (TCP) |
全部 |
MSExchange - POP3 (TCP-In) |
用戶端存取 |
110, 995 (TCP) |
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe |
MSExchange - OWA (GFW) (TCP-In) |
用戶端存取 |
5075、5076、5077 (TCP) |
全部 |
MSExchangeOWAAppPool (TCP-In) |
用戶端存取 |
5075、5076、5077 (TCP) |
Inetsrv\w3wp.exe |
MSExchangeAB-RPC (TCP-In) |
用戶端存取 |
動態 RPC |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RPCEPMap (TCP-In) |
用戶端存取 |
RPC-EPMap |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeAB-RpcHttp (TCP-In) |
用戶端存取 |
6002, 6004 (TCP) |
Bin\Microsoft.Exchange.AddressBook.Service.exe |
RpcHttpLBS (TCP-In) |
用戶端存取 |
動態 RPC |
System32\Svchost.exe |
MSExchangeRPC - RPC (TCP-In) |
Client Access、Mailbox |
動態 RPC |
Bin\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC - PRCEPMap (TCP-In) |
Client Access、Mailbox |
RPC-EPMap |
Bin\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeRPC (TCP-In) |
Client Access、Mailbox |
6001 (TCP) |
Bin\Microsoft.Exchange.RpcClientAccess.Service.exe |
MSExchangeMailboxReplication (GFW) (TCP-In) |
用戶端存取 |
808 (TCP) |
任何 |
MSExchangeMailboxReplication (TCP-In) |
用戶端存取 |
808 (TCP) |
Bin\MSExchangeMailboxReplication.exe |
MSExchangeIS - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\Store.exe |
MSExchangeIS RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\Store.exe |
MSExchangeIS (GFW) (TCP-In) |
信箱 |
6001、6002、6003、6004 (TCP) |
任何 |
MSExchangeIS (TCP-In) |
信箱 |
6001 (TCP) |
Bin\Store.exe |
MSExchangeMailboxAssistants - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailboxAssistants - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMailboxAssistants.exe |
MSExchangeMailSubmission - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMailSubmission - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMailSubmission.exe |
MSExchangeMigration - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeMigration.exe |
MSExchangeMigration - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeMigration.exe |
MSExchangerepl - Log Copier (TCP-In) |
信箱 |
64327 (TCP) |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeRepl.exe |
MSExchangerepl - RPC-EPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeRepl.exe |
MSExchangeSearch - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\Microsoft.Exchange.Search.ExSearch.exe |
MSExchangeThrottling - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSExchangeThrottling.exe |
MSExchangeThrottling - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSExchangeThrottling.exe |
MSFTED - RPC (TCP-In) |
信箱 |
動態 RPC |
Bin\MSFTED.exe |
MSFTED - RPCEPMap (TCP-In) |
信箱 |
RPC-EPMap |
Bin\MSFTED.exe |
MSExchangeEdgeSync - RPC (TCP-In) |
集線傳輸 |
動態 RPC |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeEdgeSync - RPCEPMap (TCP-In) |
集線傳輸 |
RPC-EPMap |
Bin\Microsoft.Exchange.EdgeSyncSvc.exe |
MSExchangeTransportWorker - RPC (TCP-In) |
集線傳輸 |
動態 RPC |
Bin\edgetransport.exe |
MSExchangeTransportWorker - RPCEPMap (TCP-In) |
集線傳輸 |
RPC-EPMap |
Bin\edgetransport.exe |
MSExchangeTransportWorker (GFW) (TCP-In) |
集線傳輸 |
25, 587 (TCP) |
任何 |
MSExchangeTransportWorker (TCP-In) |
集線傳輸 |
25, 587 (TCP) |
Bin\edgetransport.exe |
MSExchangeTransportLogSearch - RPC (TCP-In) |
Hub Transport、Edge Transport、Mailbox |
動態 RPC |
Bin\MSExchangeTransportLogSearch.exe |
MSExchangeTransportLogSearch - RPCEPMap (TCP-In) |
Hub Transport、Edge Transport、Mailbox |
RPC-EPMap |
Bin\MSExchangeTransportLogSearch.exe |
SESWorker (GFW) (TCP-In) |
整合通訊 |
任何 |
任何 |
SESWorker (TCP-In) |
整合通訊 |
任何 |
UnifiedMessaging\SESWorker.exe |
UMService (GFW) (TCP-In) |
整合通訊 |
5060、5061 |
任何 |
UMService (TCP-In) |
整合通訊 |
5060、5061 |
Bin\UMService.exe |
UMWorkerProcess (GFW) (TCP-In) |
整合通訊 |
5065、5066、5067、5068 |
任何 |
UMWorkerProcess (TCP-In) |
整合通訊 |
5065、5066、5067、5068 |
Bin\UMWorkerProcess.exe |
UMWorkerProcess - RPC (TCP-In) |
整合通訊 |
動態 RPC |
Bin\UMWorkerProcess.exe |
Exchange 2010 安裝程式所建立之 Windows 防火牆規則的注意事項
在已安裝網際網路資訊服務 (IIS) 的伺服器上,Windows 會開啟 HTTP (通訊埠 80,TCP) 和 HTTPS (通訊埠 443,TCP) 通訊埠。Exchange 2010 安裝程式不會開啟這些通訊埠。因此,前面的表格中不會顯示這些通訊埠。
在 Windows Server 2008 和 Windows Server 2008 R2 上,具有進階安全性的 Windows 防火牆可讓您為開啟的通訊埠指定處理程序或服務。這樣會比較安全,因為它會限制規則中指定之處理程序或服務使用通訊埠的情形。Exchange 安裝程式會建立包含指定處理程序名稱的防火牆規則。在某些情況下,也會為了相容性而建立不限處理程序的其他規則。如果您的部署支援,便可以停用或移除不限處理程序的規則,並保留限定處理程序的相應規則。不限處理程序的規則在規則名稱中以 (GFW) 一字來區別。
許多 Exchange 服務會使用遠端程序呼叫 (RPC) 進行通訊。使用 RPC 的伺服器處理程序,會連絡 RPC 端點對應程式以接收動態端點,並在端點對應程式資料庫中註冊這些端點。RPC 用戶端會連絡 RPC 端點對應程式,以決定伺服器處理程序所使用的端點。根據預設,RPC 端點對應程式會在通訊埠 135 (TCP) 上接聽。針對使用 RPC 的處理程序設定 Windows 防火牆時,Exchange 2010 安裝程式會為處理程序建立兩個防火牆規則。一個規則允許與 RPC 端點對應程式的通訊,另一個規則允許與動態指派的端點通訊。如需 RPC 的相關資訊,請參閱 RPC 如何運作。如需針對動態 RPC 建立 Windows 防火牆的相關資訊,請參閱允許使用動態 RPC 的輸入網路流量。
| 附註: |
|---|
| 您不能修改 Exchange 2010 安裝程式所建立的 Windows 防火牆規則。您可以根據這些規則建立自訂的規則,然後再停用或刪除規則。 |
如需相關資訊,請參閱 Microsoft 知識庫文章 179442,如何設定網域和信任的防火牆。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。