資料路徑安全性參照
適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上次修改主題的時間: 2009-06-05
本主題提供 Microsoft Exchange Server 2007 使用之所有資料路徑的通訊埠、驗證及加密等相關資訊。「注意事項」的段落會緊接在每個表格之後,以釐清或定義非標準的驗證或加密方法。
傳輸伺服器
Exchange 2007 包含兩個可執行郵件傳輸功能的伺服器角色:Hub Transport Server 和 Edge Transport Server。
下表提供這些傳輸伺服器間以及進出其他 Exchange 2007 伺服器和服務之資料路徑的通訊埠、驗證及加密等相關資訊。
傳輸伺服器資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
Hub Transport Server 至 Hub Transport Server |
25/TCP (傳輸層安全性 [TLS]) |
Kerberos |
Kerberos |
是 (TLS) |
是 |
Hub Transport Server 至 Edge Transport Server |
25/TCP (TLS) |
直接信任 |
直接信任 |
是 (TLS) |
是 |
Edge Transport Server 至 Hub Transport Server |
25/TCP (TLS) |
直接信任 |
直接信任 |
是 (TLS) |
是 |
Edge Transport Server 至 Edge Transport Server |
25/TCP (TLS)、389/TCP/UDP 及 80/TCP (憑證驗證) |
匿名、憑證 |
匿名、憑證 |
是 (TLS) |
是 |
Mailbox Server 至 Hub Transport Server (透過 Microsoft Exchange 郵件提交服務) |
135/TCP (RPC) |
NTLM。如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
Hub Transport 至 Mailbox Server (透過 MAPI) |
135/TCP (RPC) |
NTLM。如果 Hub Transport 及 Mailbox server role 位於同一部伺服器,則會使用 Kerberos。 |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
Unified Messaging 至 Hub Transport |
25/TCP (TLS) |
Kerberos |
Kerberos |
是 (TLS) |
是 |
Microsoft Exchange EdgeSync 服務 |
50636/TCP (SSL)、50389/TCP (沒有 SSL) |
基本 |
基本 |
是 (LDAPS) |
是 |
Edge Transport Server 上的 Active Directory 應用程式模式 (ADAM) 目錄服務 |
50389/TCP (沒有 SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
來自 Hub Transport Server 的 Active Directory 目錄服務存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是 (Kerberos 加密) |
是 |
使用者 SMTP 用戶端 (例如,Outlook Express) 至集線傳輸 |
25/TCP (TLS)、587 (TLS) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (TLS) |
是 |
傳輸伺服器的注意事項
Hub Transport Server 間的所有流量都會使用含有自行簽署憑證的 TLS 進行加密,這些憑證是由 Exchange 2007 安裝程式預設安裝的。Hub Transport Server 之間的流量是使用 Kerberos 驗證來驗證。
Edge Transport Server 和 Hub Transport Server 間的所有流量均會受到驗證及加密。驗證和加密的基礎機制為相互 TLS。Exchange 2007 不使用 X.509 驗證,改為使用直接信任來驗證憑證。直接信任表示 Active Directory 或 ADAM 中所顯示的憑證會驗證該憑證。Active Directory 可視為是一種受信任的儲存機制。使用直接信任時,憑證是自行簽署或由憑證授權單位簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時,Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 進行驗證。Microsoft Exchange EdgeSync 服務會使用 Hub Transport Server 憑證集來更新 ADAM,供 Edge Transport Server 進行驗證。
依據預設,會將兩個不同組織之 Edge Transport Server 間的流量加密。Exchange 2007 安裝程式預設會建立自行簽署的憑證並啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Microsoft Exchange。依據預設,Exchange 2007 也會針對所有遠端連線嘗試 TLS。
當 Hub Transport server role 和 Mailbox server role 位於相同電腦上時,Hub Transport Server 和 Mailbox Server 之間流量的驗證方法便會不同。若郵件提交是在本機發生,即會使用 Kerberos 驗證。若郵件提交是在遠端發生,則會使用 NTLM 驗證。
Exchange 2007 也支援網域安全性。網域安全性是指 Exchange 2007 及提供低成本替代方案給 S/MIME 或其他郵件層透過網際網路安全性解決方案之 Microsoft Office Outlook 2007 中的一組功能。網域安全性功能集的目的,是提供管理者透過網際網路管理網域間安全郵件路徑的方式。在設定這些安全郵件路徑之後,已經驗證之寄件者透過安全路徑順利傳送的郵件,會在 Outlook 及 Outlook Web Access 介面中對使用者顯示為 "Domain Secured"。如需相關資訊,請參閱規劃網域安全性。
Hub Transport Server 和 Edge Transport Server 上可能會執行數個代理程式。一般而言,反垃圾郵件代理程式會依賴位於執行代理程式之電腦的本機資訊。因此,需要與遠端電腦通訊的機會非常少。收件者篩選則為例外狀況。此狀況需要呼叫 ADAM 或 Active Directory。最佳作法是在 Edge Transport Server 上執行收件者篩選。在本例中,ADAM 目錄位於與 Edge Transport Server 相同的電腦上,而且不需要任何遠端通訊。在 Hub Transport Server 上安裝並設定收件者篩選之後,收件者篩選即可存取 Active Directory。
Exchange 2007 中的寄件者信譽功能會使用通訊協定分析代理程式。這個代理程式也會建立不同的連線連至 Proxy 伺服器以外的地方,以判斷可疑連線的輸入郵件路徑。
所有的其他反垃圾郵件功能只會使用在本機電腦上所蒐集、儲存及存取的資料。經常會使用 Microsoft Exchange EdgeSync 服務,將資料 (例如,安全清單彙總,或用於收件者篩選的收件者資料) 發送至本機 ADAM 目錄。
日誌記錄和郵件分類會在 Hub Transport Server 上執行,並依賴 Active Directory 資料進行運作。
Mailbox Server
在 Mailbox server role 的內容中,不論驗證是 NTLM 或 Kerberos,都會依賴正在其下執行 Exchange 商務邏輯層用戶的使用者或程序內容。在此內容中,用戶是任何會使用 Exchange 商務邏輯層的應用程式或程序。在本節之「Mailbox Server 資料路徑」表格中,有好幾個「預設驗證」儲存格將驗證列為 "NTLM/Kerberos"。
Exchange 商務邏輯層可用於存取 Exchange 儲存區並與其通訊。Exchange 商務邏輯層也可以從 Exchange 儲存區呼叫,以便與外部應用程式和程序通訊。
如果 Exchange 商務邏輯層用戶正以「本機系統」執行,則驗證方式一律是從用戶到 Exchange 儲存區的 Kerberos。因為用戶必須使用電腦帳戶「本機系統」進行驗證,而且必須有雙向的驗證信任,所以使用 Kerberos。
如果 Exchange 商務邏輯層用戶並未以「本機系統」執行,驗證方法則為 NTLM。例如,當系統管理員執行使用 Exchange 商務邏輯層的 Exchange 管理命令介面指令程式時,即會使用 NTLM。
RPC 流量一律會加密。
下表提供進出 Mailbox Server 之資料路徑的通訊埠、驗證及加密等相關資訊。
Mailbox Server 資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? | ||
|---|---|---|---|---|---|---|---|
叢集連續複寫 (CCR) 及待命連續複寫 (SCR) 記錄傳送 |
445/TCP |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
CCR 及 SCR 植入 |
隨機通訊埠 |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
大量陰影複製服務 (VSS) 備份 |
本機訊息區 (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
||
傳統備份 |
隨機通訊埠 |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
叢集 |
135 /TCP (RPC) 請參閱本表之後的「Mailbox Server 的注意事項」。 |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
MAPI 存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
信箱助理員 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
||
可用性 Web 服務 (Client Access 至 Mailbox) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
Active Directory 存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是 (Kerberos 加密) |
是 |
||
內容索引 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
管理遠端存取 (遠端登錄) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
管理遠端存取 (SMB/檔案) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (IPsec) |
否 |
||
收件者更新服務 RPC 存取 |
135/TCP (RPC) |
Kerberos |
Kerberos |
是 (RPC 加密) |
是 |
||
Microsoft Exchange Active Directory 拓撲服務存取 |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
Microsoft Exchange 系統服務員服務傳統存取 (聆聽要求) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
否 |
否 |
||
Active Directory 的 Microsoft Exchange 系統服務員服務傳統存取 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是 (Kerberos 加密) |
是 |
||
Microsoft Exchange 系統服務員服務傳統存取 (做為 MAPI 用戶端) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
存取 Active Directory 的離線通訊錄 (OAB) |
135/TCP (RPC) |
Kerberos |
Kerberos |
是 (RPC 加密) |
是 |
||
Active Directory 的收件者更新 |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是 (Kerberos 加密) |
是 |
||
Active Directory 的 DSAccess |
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon) |
Kerberos |
Kerberos |
是 (Kerberos 加密) |
是 |
||
Outlook 存取離線通訊錄 (OAB)
|
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
WebDav |
80/TCP、443/TCP (SSL) |
基本、NTLM、交涉 |
基本、NTLM、交涉 |
是 (HTTPS) |
是 |
.gif "note")
附註:Mailbox Server 的注意事項
若是列為「交涉」的 HTTP 驗證,即會先嘗試 Kerberos,然後是 NTLM。
針對節點內的通訊,叢集節點會透過使用者資料包通訊協定 (UDP) 通訊埠 3343 進行通訊。叢集中的每個節點會定期與叢集中的每個其他節點交換循序的單點傳播 UDP 資料包。此交換的目的是判斷所有節點是否正確執行,以及監視網路連結的健康狀況。
雖然 WebDav 應用程式或用戶端可以使用 80/TCP 或 443/TCP 連接至 Mailbox Server,但在大多數的情況下,應用程式或用戶端會連接至 Client Access Server。然後 Client Access Server 會透過 80/TCP 或 443/TCP 連接至 Mailbox Server。
本節中「Mailbox Server 資料路徑」表格上所列的叢集資料路徑會使用動態 RPC (TCP),在不同等級節點之間,針對叢集狀態及活動進行通訊。叢集服務 (ClusSvc.exe) 也會使用 UDP/3343,隨機配置高 TCP 通訊埠,以便在叢集節點間進行通訊。
Client Access Server
除非另有說明,否則會藉由從用戶端應用程式到 Client Access Server 的驗證和加密來描述用戶端存取技術 (例如,Microsoft Office Outlook Web Access、POP3 或 IMAP4)。
下表提供 Client Access Server 和其他伺服器及用戶端之間資料路徑的通訊埠、驗證及加密等相關資訊。
Client Access Server 資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? | ||
|---|---|---|---|---|---|---|---|
自動探索服務 |
80/TCP、443/TCP (SSL) |
基本/整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是 (HTTPS) |
是 |
||
可用性服務 |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM、Kerberos |
是 (HTTPS) |
是 |
||
Outlook Web Access |
80/TCP、443/TCP (SSL) |
表單型驗證 |
基本、摘要式、表單型驗證、NTLM (僅限 v2)、Kerberos、憑證 |
是 (HTTPS) |
使用自行簽署的憑證時為「是」 |
||
POP3 |
110/TCP (TLS)、995/TCP (SSL) |
基本、NTLM、Kerberos |
基本、NTLM、Kerberos |
是 (SSL、TLS) |
是 |
||
IMAP4 |
143/TCP (TLS)、993/TCP (SSL) |
基本、NTLM、Kerberos |
基本、NTLM、Kerberos |
是 (SSL、TLS) |
是 |
||
Outlook 無所不在 (以前稱為 RPC over HTTP) |
80/TCP、443/TCP (SSL) |
基本 |
基本或 NTLM |
是 (HTTPS) |
是 |
||
Exchange ActiveSync 應用程式 |
80/TCP、443/TCP (SSL) |
基本 |
基本、憑證 |
是 (HTTPS) |
是 |
||
Client Access Server 至 Unified Messaging Server |
5060/TCP、5061/TCP、5062/TCP、動態通訊埠 |
依 IP 位址 |
依 IP 位址 |
是 (工作階段初始通訊協定 [SIP] over TLS) |
是 |
||
Client Access Server 至正在執行舊版 Exchange Server 的 Mailbox Server |
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
交涉 (具備後援的 Kerberos 至 NTLM 或選擇至「基本」)、POP/IMAP 純文字 |
是 (IPsec) |
否 |
||
Client Access Server 至 Exchange 2007 Mailbox Server |
RPC。請參閱本表之後的「Client Access Server 的注意事項」。 |
Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
||
Client Access Server 到 Client Access Server (Exchange ActiveSync) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos、憑證 |
是 (HTTPS) |
使用自行簽署的憑證時為「是」 |
||
Client Access Server 到 Client Access Server (Outlook Web Access) |
80/TCP、443/TCP (SSL) |
Kerberos |
Kerberos |
是 (HTTPS) |
是 |
||
WebDAV |
80/TCP、443/TCP (SSL) |
HTTP 基本或 Outlook Web Access 表單型驗證 |
基本、Outlook Web Access 表單型驗證 |
是 (HTTPS) |
是 |
||
Outlook 存取離線通訊錄 (OAB)
|
80/TCP、443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (HTTPS) |
否 |
Client Access Server 的注意事項
Client Access Server 會使用許多通訊埠來與 Mailbox Server 通訊。在一些例外狀況下,這些通訊埠是由遠端程序呼叫 (RPC) 服務所決定,而且不是固定的。可以指定 RPC 服務所使用的動態通訊埠範圍。如需限制 RPC 服務所使用之動態通訊埠範圍的相關資訊,請參閱 Microsoft 知識庫文章 154596,如何設定 RPC 動態通訊埠配置以使用防火牆。
.gif "important") 重要事項: |
|---|
| 我們不支援在相同 Active Directory 站台的 Client Access Server 與 Mailbox Server 之間新增防火牆的這種組態。 |
| 重要事項: |
|---|
| 我們不支援在周邊網路中安裝 Client Access Server 的這種組態。Client Access Server 必須是 Active Directory 網域的成員,且 Client Access Server 電腦帳戶必須是 Exchange Servers Active Directory 安全性群組的成員。Exchange Servers Active Directory 安全性群組對組織內所有的 Exchange 伺服器具有讀取和寫入權限。組織內的 Client Access Server 與 Mailbox Server 之間是透過 RPC 服務進行通訊。這是因為周邊網路不支援安裝 Client Access Server 的這些需求。 |
若是列為「交涉」的 HTTP 驗證,即會先嘗試 Kerberos,然後嘗試 NTLM。
當 Exchange 2007 Client Access Server 與執行 Exchange Server 2003 的 Mailbox Server 通訊時,最好使用 Kerberos,並停用 NTLM 驗證和基本驗證。此外,最佳作法是將 Outlook Web Access 設定為使用含有信任憑證的表單型驗證。為了讓 Exchange ActiveSync 用戶端經由 Exchange 2007 Client Access Server 傳達至 Exchange 2003 後端伺服器,必須在 Exchange 2003 後端伺服器的 Microsoft-Server-ActiveSync 虛擬目錄上啟用 Windows 整合式驗證。若要在執行 Exchange 2003 的伺服器上使用 Exchange 系統管理員來管理 Exchange 2003 虛擬目錄上的驗證,請下載並安裝 Microsoft 知識庫文章 937301,當行動裝置連接至 Exchange 2007 伺服器以存取 Exchange 2003 後端伺服器的信箱時,執行 CAS 角色的 Exchange 2007 伺服器上會記錄事件識別碼 1036 中所提及的 Hotfix。
Unified Messaging Server
IP 閘道僅支援憑證型驗證,此驗證會對工作階段初始通訊協定 (SIP)/TCP 連線使用相互 TLS 和 IP 型驗證。IP 閘道不支援 NTLM 或 Kerberos 驗證。因此,當您使用 IP 型驗證時,連接的 IP 位址可用來提供未加密 (TCP) 連線的驗證機制。在 Unified Messaging 中使用 IP 型驗證時,Unified Messaging Server 會驗證 IP 位址是否可以連接。IP 位址設定在 IP 閘道或 IP-PBX 上。
下表提供 Unified Messaging Server 和其他伺服器之間資料路徑的通訊埠、驗證及加密等相關資訊。
整合通訊伺服器資料路徑
| 資料路徑 | 所需的通訊埠 | 預設的驗證 | 支援的驗證 | 支援加密? | 預設加密? |
|---|---|---|---|---|---|
整合通訊傳真 |
5060/TCP、5061/TCP、5062/TCP、動態通訊埠 |
依 IP 位址 |
依 IP 位址 |
SIP over TLS,但是媒體並未加密 |
SIP 時為「是」 |
整合通訊電話互動 (PBX) |
5060/TCP、5061/TCP、5062/TCP、動態通訊埠 |
依 IP 位址 |
依 IP 位址 |
SIP over TLS,但是媒體並未加密 |
SIP 時為「是」 |
整合通訊 Web 服務 |
80/TCP、443/TCP (SSL) |
整合式 Windows 驗證 (交涉) |
基本、摘要式、NTLM、交涉 (Kerberos) |
是 (SSL) |
是 |
Unified Messaging 至 Hub Transport |
25/TCP (SSL) |
Kerberos |
Kerberos |
是 (TLS) |
是 |
Unified Messaging Server 至 Mailbox Server |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
是 (RPC 加密) |
是 |
Unified Messaging Server 的注意事項
當您在 Active Directory 中建立整合通訊 (UM) IP 閘道物件時,必須定義實體 IP 閘道或 IP PBX (專用交換機) 的 IP 位址。當您在 UM IP 閘道物件上定義 IP 位址時,允許與 Unified Messaging Server 通訊的有效 IP 閘道清單中會新增該 IP 位址。建立 UM IP 閘道時,它會與 UM 撥號對應表產生關聯。將 UM IP 閘道與 UM 撥號對應表產生關聯,可讓撥號對應表關聯的 Unified Messaging Server 使用 IP 型驗證對 IP 閘道進行通訊。如果 UM IP 閘道尚未建立,或未設定為使用正確的 IP 位址,驗證會失敗,而且 Unified Messaging Server 不會接受來自該 IP 閘道之 IP 位址的連線。
如為 Exchange 2007 的原始量產發行 (RTM) 版本,Unified Messaging Server 即可在通訊埠 5060/TCP (不安全) 或通訊埠 5061/TCP (安全) 上進行通訊,但不可同時在這兩個通訊埠上進行通訊。
如需相關資訊,請參閱了解整合通訊 VoIP 安全性及了解整合通訊中的通訊協定、通訊埠及服務。
相關資訊
如需相關資訊,請參閱 Microsoft 知識庫文章 179442,如何設定網域和信任的防火牆。
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.