Exchange 网络端口参考

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:
Exchange 网络端口参考

适用于: Exchange Server 2010 SP2

本主题介绍 Microsoft Exchange Server 2010 所使用的所有数据路径的端口、身份验证和加密。每个表后面的“注释”部分解释或定义非标准的身份验证方法或加密方法。

Exchange 2010 包含两个执行邮件传输功能的服务器角色:集线器传输服务器和边缘传输服务器。

下表提供这些传输服务器之间以及与其他 Exchange 2010 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。

传输服务器的数据路径

数据路径 所需端口 默认身份验证 支持的身份验证 是否支持加密? 默认是否加密?

集线器传输服务器到集线器传输服务器

25/TCP (SMTP)

Kerberos

Kerberos

是,使用传输层安全性 (TLS)

集线器传输服务器到边缘传输服务器

25/TCP (SMTP)

直接信任

直接信任

是,使用 TLS

边缘传输服务器到集线器传输服务器

25/TCP (SMTP)

直接信任

直接信任

是,使用 TLS

边缘传输服务器到边缘传输服务器

25/TCP SMTP

匿名、证书

匿名、证书

是,使用 TLS

邮箱服务器到集线器传输服务器(通过 Microsoft Exchange 邮件提交服务)

135/TCP (RPC)

NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上,则使用 Kerberos。

NTLM/Kerberos

是,使用 RPC 加密

集线器传输服务器到邮箱服务器(通过 MAPI)

135/TCP (RPC)

NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上,则使用 Kerberos。

NTLM/Kerberos

是,使用 RPC 加密

统一消息服务器到集线器传输服务器

25/TCP (SMTP)

Kerberos

Kerberos

是,使用 TLS

Microsoft Exchange EdgeSync 服务(从集线器传输服务器到边缘传输服务器)

50636/TCP (SSL)

基本

基本

是,使用 SSL 上的 LDAP (LDAPS)

Active Directory 从集线器传输服务器访问

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

Active Directory 权限管理服务 (AD RMS)(从集线器传输服务器访问)

443/TCP (HTTPS)

NTLM/Kerberos

NTLM/Kerberos

是,使用 SSL

是*

从 SMTP 客户端到集线器传输服务器(例如,使用 Windows Live Mail 的最终用户)

587 (SMTP)

25/TCP (SMTP)

NTLM/Kerberos

NTLM/Kerberos

是,使用 TLS

  • 集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密,这些证书通过 Exchange 2010 安装程序安装。
    Bb331973.note(zh-CN,EXCHG.141).gif注意:
    在 Exchange 2010 中,可以在集线器传输服务器上禁用 TLS,以便与同一 Exchange 组织中的其他集线器传输服务器进行内部 SMTP 通信。除非绝对需要,否则建议不要执行此操作。有关详细信息,请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化
  • 边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。Mutual TLS 是基础的身份验证和加密机制。Exchange 2010 使用“直接信任”(而不是使用 X.509 验证)来验证证书。直接信任意味着 Active Directory 或 Active Directory 轻型目录服务 (AD LDS) 中存在证书即证明证书有效。Active Directory 被视为是受信任的存储机制。使用直接信任时,证书是自签名还是由证书颁发机构 (CA) 签名并不重要。为边缘传输服务器订阅 Exchange 组织时,边缘订阅将在 Active Directory 中发布边缘传输服务器证书,以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新 AD LDS,以便边缘传输服务器进行验证。
     
  • EdgeSync 通过 TCP 50636 使用从集线器传输服务器到订阅的边缘传输服务器的安全 LDAP 连接。AD LDS 还会侦听 TCP 50389。不使用 SSL 连接到该端口。您可以使用 LDAP 实用程序连接到该端口并检查 AD LDS 数据。
     
  • 默认情况下,两个不同组织中的边缘传输服务器之间的通信将进行加密。Exchange 2010 Setup 创建一个自签名证书,并且默认启用 TLS。这样,任何发送系统都可以对 Exchange 的入站 SMTP 会话进行加密。默认情况下,Exchange 2010 还对所有远程连接尝试实现 TLS。
     
  • 当集线器传输服务器角色和邮箱服务器角色安装在同一台计算机上时,对集线器传输服务器与邮箱服务器之间的通信的身份验证方法将有所不同。如果是本地邮件提交,则使用 Kerberos 身份验证。如果是远程邮件提交,则使用 NTLM 身份验证。
     
  • Exchange 2010 还支持域安全。域安全性是指 Exchange 2010 和 Microsoft Outlook 2010 中的功能,它提供一种低成本的备选安全解决方案,可代替 S/MIME 或其他邮件级 Internet 安全解决方案。域安全提供了一种通过 Internet 管理域之间的安全邮件路径的方式。配置这些安全邮件路径后,通过安全路径从已通过身份验证的发件人成功传输的邮件将对 Outlook 和 Outlook Web Access 用户显示为“域安全”。有关详细信息,请参阅了解域安全性
     
  • 许多代理可以在集线器传输服务器和边缘传输服务器上运行。通常,反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此,几乎不需要与远程计算机进行通信。收件人筛选是例外情况。收件人筛选需要呼叫 AD LDS 或 Active Directory。作为最佳实践,应在边缘传输服务器上运行收件人筛选。在这种情况下,AD LDS 目录与边缘传输服务器位于同一台计算机上,不需要进行任何远程通信。在集线器传输服务器上安装并配置了收件人筛选后,收件人筛选将访问 Active Directory。
     
  • 协议分析代理供 Exchange 2010 中的发件人信誉功能使用。此代理还与外部代理服务器建立各种连接,以确定入站邮件路径中的可疑连接。
     
  • 所有其他反垃圾邮件功能只使用本地计算机上收集、存储和访问的数据。通常,使用 Microsoft Exchange EdgeSync 服务将数据(例如用于收件人筛选的安全列表聚合或收件人数据)推送到本地 AD LDS 目录。
     
  • 集线器传输服务器上的信息权限管理 (IRM) 代理可以建立到组织中的 Active Directory 权限管理服务 (AD RMS) 服务器的连接。AD RMS 是一个 Web 服务,通过使用 SSL 作为最佳做法进行安全保护。是否使用 HTTPS 与 AD RMS 服务器进行通信、使用 Kerberos 还是 NTLM 进行身份验证,具体取决于 AD RMS 服务器的配置。
     
  • 日记规则、传输规则和邮件分类存储在 Active Directory 中,可以通过集线器传输服务器上的日记代理和传输规则代理进行访问。
     

对邮箱服务器使用 NTLM 还是 Kerberos 身份验证取决于 Exchange 业务逻辑层使用者运行时所处的用户或进程上下文。在该上下文中,消费者是使用 Exchange 业务逻辑层的任何应用程序或进程。因此,“邮箱服务器数据路径”表的“默认身份验证”列中的许多条目都以 NTLM/Kerberos 形式列出。

Exchange 业务逻辑层用于访问 Exchange 存储并与其进行通信。也可以从 Exchange 存储调用 Exchange 业务逻辑层,以便与外部应用程序和进程进行通信。

如果 Exchange 业务逻辑层使用者使用“本地系统”帐户运行,从使用者到 Exchange 存储的身份验证方法始终是 Kerberos。使用 Kerberos 的原因是,必须使用计算机帐户“本地系统”对使用者进行身份验证,并且必须存在已通过双向身份验证的信任。

如果 Exchange 业务逻辑层使用者不是使用“本地系统”帐户运行,则身份验证方法是 NTLM。例如,运行使用 Exchange 业务逻辑层的 Exchange 命令行管理程序 cmdlet 时,将使用 NTLM。

RPC 通信始终会进行加密。

下表提供与邮箱服务器之间的数据路径的端口、身份验证和加密的有关信息。

邮箱服务器的数据路径

数据路径 所需端口 默认身份验证 支持的身份验证 是否支持加密? 默认是否加密?

Active Directory 访问

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

管理远程访问(远程注册表)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 IPsec

管理远程访问 (SMB/文件)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

是,使用 IPsec

可用性 Web 服务(对邮箱的客户端访问)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

群集

135/TCP (RPC)。请参阅此表后面的有关邮箱服务器的注释

NTLM/Kerberos

NTLM/Kerberos

是,使用 IPsec

内容索引

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

日志传送

64327(可自定义)

NTLM/Kerberos

NTLM/Kerberos

正在设定种子

64327(可自定义)

NTLM/Kerberos

NTLM/Kerberos

卷影复制服务 (VSS) 备份

本地消息块 (SMB)

NTLM/Kerberos

NTLM/Kerberos

邮箱助理

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

MAPI 访问

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

Microsoft Exchange Active Directory 拓扑服务访问

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

Microsoft Exchange 系统助理服务旧版访问(侦听请求)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Microsoft Exchange 系统助理服务旧版访问(对 Active Directory)

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

Microsoft Exchange 系统助理服务旧版访问(作为 MAPI 客户端)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

访问 Active Directory 的脱机通讯簿 (OAB)

135/TCP (RPC)

Kerberos

Kerberos

是,使用 RPC 加密

收件人更新服务 RPC 访问

135/TCP (RPC)

Kerberos

Kerberos

是,使用 RPC 加密

对 Active Directory 的收件人更新

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

  • 上表中列出的“群集”数据路径使用动态 RPC over TCP 在不同群集节点之间传送群集状态和活动。群集服务 (ClusSvc.exe) 还使用 UDP/3343 以及随机分配的高位 TCP 端口在群集节点之间进行通信。
     
  • 对于节点内通信,群集节点通过用户报协议 (UDP) 端口 3343 进行通信。群集中的每个节点定期与群集中的每个其他节点交换顺序的单播 UDP 数据报。此交换的目的是确定所有节点是否正常运行并监视网络链接的运行状况。
     
  • 端口 64327/TCP 是用于日志传送的默认端口。管理员可以为日志传送指定其他端口。
     
  • 对于列出了“协商”的 HTTP 身份验证,请先尝试使用 Kerberos,然后再尝试使用 NTLM。
     

除非特别说明,否则,客户端访问技术(例如 Outlook Web App、POP3 或 IMAP4)将通过从客户端应用程序到客户端访问服务器的身份验证和加密进行描述。

下表提供客户端访问服务器与其他服务器和客户端之间的数据路径的端口、身份验证和加密的有关信息。

客户端访问服务器的数据路径

数据路径 所需端口 默认身份验证 支持的身份验证 是否支持加密? 默认是否加密?

Active Directory 访问

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

自动发现服务

80/TCP、443/TCP (SSL)

基本/集成 Windows 身份验证(协商)

基本、摘要式、NTLM、协商 (Kerberos)

是,使用 HTTPS

可用性服务

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

是,使用 HTTPS

Outlook 访问 OAB

80/TCP、443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

是,使用 HTTPS

Outlook Web 应用程序

80/TCP、443/TCP (SSL)

基于表单的身份验证

基本、摘要式、基于表单的身份验证、NTLM(仅限 v2)、Kerberos、证书

是,使用 HTTPS

是,使用自签名证书

POP3

110/TCP (TLS)、995/TCP (SSL)

基本、Kerberos

基本、Kerberos

是,使用 SSL、TLS

IMAP4

143/TCP (TLS)、993/TCP (SSL)

基本、Kerberos

基本、Kerberos

是,使用 SSL、TLS

Outlook Anywhere(以前称为 RPC over HTTP)

80/TCP、443/TCP (SSL)

基本

基本或 NTLM

是,使用 HTTPS

Exchange ActiveSync 应用程序

80/TCP、443/TCP (SSL)

基本

基本、证书

是,使用 HTTPS

客户端访问服务器到统一消息服务器

5060/TCP、5061/TCP、5062/TCP、动态端口

按 IP 地址

按 IP 地址

是,使用基于 TLS 的会话初始协议 (SIP)

客户端访问服务器到运行早期版本的 Exchange Server 的邮箱服务器

80/TCP、443/TCP (SSL)

NTLM/Kerberos

协商(可回退到 NTLM 或可选的基本身份验证的 Kerberos)、POP/IMAP 纯文本

是,使用 IPsec

客户端访问服务器到 Exchange 2010 邮箱服务器

RPC。请参阅有关客户端访问服务器的注释

Kerberos

NTLM/Kerberos

是,使用 RPC 加密

客户端访问服务器到客户端访问服务器 (Exchange ActiveSync)

80/TCP、443/TCP (SSL)

Kerberos

Kerberos、证书

是,使用 HTTPS

是,使用自签名证书

客户端访问服务器到客户端访问服务器 (Outlook Web Access)

80/TCP, 443/TCP (HTTPS)

Kerberos

Kerberos

是,使用 SSL

客户端访问服务器到客户端访问服务器(Exchange Web 服务)

443/TCP (HTTPS)

Kerberos

Kerberos

是,使用 SSL

客户端访问服务器到客户端访问服务器 (POP3)

995 (SSL)

基本

基本

是,使用 SSL

客户端访问服务器到客户端访问服务器 (IMAP4)

993 (SSL)

基本

基本

是,使用 SSL

Office Communications Server 对客户端访问服务器(启用 Office Communications Server 和 Outlook Web App 集成)的访问权限

5075-5077/TCP (IN)、5061/TCP (OUT)

mTLS(必需)

mTLS(必需)

是,使用 SSL

Bb331973.note(zh-CN,EXCHG.141).gif注意:
POP3 或 IMAP4 客户端连接不支持集成 Windows 身份验证 (NTLM)。有关详细信息,请参阅废弃的功能和弱化的功能中的“客户端访问功能”部分。
  • 在 Exchange 2010 中,MAPI 客户端(如 Microsoft Outlook)连接到客户端访问服务器。
     
  • 客户端访问服务器使用多个端口与邮箱服务器进行通信。不同的是,由 RPC 服务确定这些端口,并且不是固定的。
     
  • 对于列出了“协商”的 HTTP 身份验证,请先尝试使用 Kerberos,然后再尝试使用 NTLM。
     
  • 当 Exchange 2010 客户端访问服务器与运行 Exchange Server 2003 的邮箱服务器进行通信时,最好使用 Kerberos 并禁用 NTLM 身份验证和基本身份验证。此外,最好将 Outlook Web App 配置为通过受信任的证书使用基于表单的身份验证。为了使 Exchange ActiveSync 客户端通过 Exchange 2010 客户端访问服务器与 Exchange 2003 后端服务器进行通信,必须在 Exchange 2003 后端服务器的 Microsoft-Server-ActiveSync 虚拟目录中启用 Windows 集成身份验证。若要在 Exchange 2003 服务器上使用 Exchange 系统管理器管理 Exchange 2003 虚拟目录上的身份验证,请下载并安装 Microsoft 知识库文章 937031 当移动设备连接至 Exchange 2007 服务器以访问 Exchange 2003 后端服务器上的邮箱时,运行 CAS 角色的 Exchange 2007 服务器将记录事件 ID 1036 中引用的修补程序。
    Bb331973.note(zh-CN,EXCHG.141).gif注意:
    尽管此知识库文章特定于 Exchange 2007,但也适用于 Exchange 2010。
  • 当客户端访问服务器代理 POP3 向其他客户端访问服务器发送请求时,会通过端口 995/TCP 进行通信,无论连接客户端是使用 POP3 并请求 TLS(位于端口 110/TCP),还是使用 SSL 在端口 995/TCP 进行连接。同样,对于 IMAP4 连接,端口 993/TCP 用于代理请求,无论连接客户端是使用 IMAP4 并请求 TLS(位于端口 443/TCP),还是使用带 SSL 加密的 IMAP4 在端口 995 进行连接。
     

IP 网关和 IP PBX 仅支持基于证书的身份验证,该身份验证使用 Mutual TLS 对 SIP 通信进行加密,并对会话初始协议 (SIP)/TCP 连接使用基于 IP 的身份验证。IP 网关不支持 NTLM 或 Kerberos 身份验证。因此,在使用基于 IP 的身份验证时,将使用连接的 IP 地址为未加密 (TCP) 连接提供身份验证机制。在统一消息 (UM) 中使用基于 IP 的身份验证时,UM 服务器将验证是否允许连接该 IP 地址。在 IP 网关或 IP PBX 上配置该 IP 地址。

IP 网关和 IP PBX 支持使用 Mutual TLS 对 SIP 通信进行加密。成功导入和导出所需的受信任证书后,IP 网关或 IP PBX 会向 UM 服务器请求证书,然后再向 IP 网关或 IP PBX 请求证书。通过在 IP 网关或 IP PBX 与 UM 服务器之间交换受信任证书,可以使 IP 网关或 IP PBX 与 UM 服务器能够使用 Mutual TLS 通过加密连接进行通信。

下表提供了 UM 服务器与其他服务器之间的数据路径的端口、身份验证和加密的有关信息。

统一消息服务器的数据路径

数据路径 所需端口 默认身份验证 支持的身份验证 是否支持加密? 默认是否加密?

Active Directory 访问

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked

Kerberos

Kerberos

是,使用 Kerberos 加密

统一消息电话交互(IP PBX/VoIP 网关)

5060/TCP、5065/TCP、5067/TCP(不安全)、5061/TCP、5066/TCP、5068/TCP(安全)、范围为 16000-17000 的动态端口/TCP(控制)、范围为 1024-65535 的动态 UDP 端口/UDP (RTP)

按 IP 地址

按 IP 地址、MTLS

是,使用 SIP/TLS、SRTP

统一消息 Web 服务

80/TCP、443/TCP (SSL)

集成 Windows 身份验证(协商)

基本、摘要式、NTLM、协商 (Kerberos)

是,使用 SSL

统一消息服务器到客户端访问服务器

5075, 5076, 5077 (TCP)

集成 Windows 身份验证(协商)

基本、摘要式、NTLM、协商 (Kerberos)

是,使用 SSL

统一消息服务器到客户端访问服务器(在电话上播放)

动态 RPC

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

统一消息服务器到集线器传输服务器

25/TCP (TLS)

Kerberos

Kerberos

是,使用 TLS

统一消息服务器到邮箱服务器

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

是,使用 RPC 加密

  • 在 Active Directory 中创建 UM IP 网关对象时,必须定义物理 IP 网关或 IP PBX(专用交换机)的 IP 地址。为 UM IP 网关对象定义 IP 地址后,该 IP 地址将添加到允许 UM 服务器与其进行通信的有效 IP 网关或 IP PBX(也称为 SIP 对等端)的列表中。创建 UM IP 网关时,可以将其与 UM 拨号计划相关联。通过将 UM IP 网关与某个拨号计划关联,与该拨号计划关联的统一消息服务器可以使用基于 IP 的身份验证与该 IP网关进行通信。如果尚未创建 UM IP 网关,或 UM IP 网关未配置为使用正确的 IP 地址,则身份验证将失败,UM 服务器不接受来自该 IP 网关的 IP 地址的连接。此外,在实现 Mutual TLS 和 IP 网关或 IP PBX 和 UM 服务器时,必须将 UM IP 网关配置为使用 FQDN。将 UM IP 网关配置为使用 FQDN 后,还必须向 UM IP 网关的 DNS 正向查找区域中添加主机记录。
     
  • 在 Exchange 2010 中,UM 服务器可以在端口 5060/TCP(不安全)或端口 5061/TCP(安全)上通信,也可以将其配置为使用这两个端口进行通信。
     

有关详细信息,请参阅了解统一消息 VoIP 安全性了解统一消息中的协议、端口和服务

高级安全 Windows 防火墙是一种基于主机的有状态防火墙,基于防火墙规则筛选入站和出站通信。Exchange 2010 安装程序会创建 Windows 防火墙规则,以便根据各服务器角色打开服务器和客户端通信所需的端口。因此,您不再需要使用安全配置向导 (SCW) 来配置这些设置。有关高级安全 Windows 防火墙的详细信息,请参阅高级安全 Windows 防火墙和 IPsec(英文)。

下表列出了由 Exchange 安装程序创建的 Windows 防火墙规则,包括针对每个服务器角色打开的端口。您可以使用高级安全 Windows 防火墙 MMC 管理单元来查看这些规则。

规则名称 服务器角色 端口 程序

MSExchangeADTopology - RPC (TCP-In)

客户端访问、集线器传输、邮箱、统一消息

动态 RPC

Bin\MSExchangeADTopologyService.exe

MSExchangeMonitoring - RPC (TCP-In)

客户端访问、集线器传输、边缘传输、统一消息

动态 RPC

Bin\Microsoft.Exchange.Management.Monitoring.exe

MSExchangeServiceHost - RPC (TCP-In)

所有角色

动态 RPC

Bin\Microsoft.Exchange.ServiceHost.exe

MSExchangeServiceHost - RPCEPMap (TCP-In)

所有角色

RPC-EPMap

Bin\Microsoft.Exchange.Service.Host

MSExchangeRPCEPMap (GFW) (TCP-In)

所有角色

RPC-EPMap

任意

MSExchangeRPC (GFW) (TCP-In)

客户端访问、集线器传输、邮箱、统一消息

动态 RPC

任意

MSExchange - IMAP4 (GFW) (TCP-In)

客户端访问

143, 993 (TCP)

所有

MSExchangeIMAP4 (TCP-In)

客户端访问

143, 993 (TCP)

ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe

MSExchange - POP3 (FGW) (TCP-In)

客户端访问

110, 995 (TCP)

所有

MSExchange - POP3 (TCP-In)

客户端访问

110, 995 (TCP)

ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe

MSExchange - OWA (GFW) (TCP-In)

客户端访问

5075, 5076, 5077 (TCP)

所有

MSExchangeOWAAppPool (TCP-In)

客户端访问

5075, 5076, 5077 (TCP)

Inetsrv\w3wp.exe

MSExchangeAB-RPC (TCP-In)

客户端访问

动态 RPC

Bin\Microsoft.Exchange.AddressBook.Service.exe

MSExchangeAB-RPCEPMap (TCP-In)

客户端访问

RPC-EPMap

Bin\Microsoft.Exchange.AddressBook.Service.exe

MSExchangeAB-RpcHttp (TCP-In)

客户端访问

6002, 6004 (TCP)

Bin\Microsoft.Exchange.AddressBook.Service.exe

RpcHttpLBS (TCP-In)

客户端访问

动态 RPC

System32\Svchost.exe

MSExchangeRPC - RPC (TCP-In)

客户端访问、邮箱

动态 RPC

Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

MSExchangeRPC - PRCEPMap (TCP-In)

客户端访问、邮箱

RPC-EPMap

Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

MSExchangeRPC (TCP-In)

客户端访问、邮箱

6001 (TCP)

Bing\Microsoft.Exchange.RpcClientAccess.Service.exe

MSExchangeMailboxReplication (GFW) (TCP-In)

客户端访问

808 (TCP)

任意

MSExchangeMailboxReplication (TCP-In)

客户端访问

808 (TCP)

Bin\MSExchangeMailboxReplication.exe

MSExchangeIS - RPC (TCP-In)

邮箱

动态 RPC

Bin\Store.exe

MSExchangeIS RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\Store.exe

MSExchangeIS (GFW) (TCP-In)

邮箱

6001, 6002, 6003, 6004 (TCP)

任意

MSExchangeIS (TCP-In)

邮箱

6001 (TCP)

Bin\Store.exe

MSExchangeMailboxAssistants - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSExchangeMailboxAssistants.exe

MSExchangeMailboxAssistants - RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSExchangeMailboxAssistants.exe

MSExchangeMailSubmission - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSExchangeMailSubmission.exe

MSExchangeMailSubmission - RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSExchangeMailSubmission.exe

MSExchangeMigration - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSExchangeMigration.exe

MSExchangeMigration - RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSExchangeMigration.exe

MSExchangerepl - Log Copier (TCP-In)

邮箱

64327 (TCP)

Bin\MSExchangeRepl.exe

MSExchangerepl - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSExchangeRepl.exe

MSExchangerepl - RPC-EPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSExchangeRepl.exe

MSExchangeSearch - RPC (TCP-In)

邮箱

动态 RPC

Bin\Microsoft.Exchange.Search.ExSearch.exe

MSExchangeThrottling - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSExchangeThrottling.exe

MSExchangeThrottling - RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSExchangeThrottling.exe

MSFTED - RPC (TCP-In)

邮箱

动态 RPC

Bin\MSFTED.exe

MSFTED - RPCEPMap (TCP-In)

邮箱

RPC-EPMap

Bin\MSFTED.exe

MSExchangeEdgeSync - RPC (TCP-In)

集线器传输

动态 RPC

Bin\Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeEdgeSync - RPCEPMap (TCP-In)

集线器传输

RPC-EPMap

Bin\Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeTransportWorker - RPC (TCP-In)

集线器传输

动态 RPC

Bin\edgetransport.exe

MSExchangeTransportWorker - RPCEPMap (TCP-In)

集线器传输

RPC-EPMap

Bin\edgetransport.exe

MSExchangeTransportWorker (GFW) (TCP-In)

集线器传输

25, 587 (TCP)

任意

MSExchangeTransportWorker (TCP-In)

集线器传输

25, 587 (TCP)

Bin\edgetransport.exe

MSExchangeTransportLogSearch - RPC (TCP-In)

集线器传输、边缘传输、邮箱

动态 RPC

Bin\MSExchangeTransportLogSearch.exe

MSExchangeTransportLogSearch - RPCEPMap (TCP-In)

集线器传输、边缘传输、邮箱

RPC-EPMap

Bin\MSExchangeTransportLogSearch.exe

SESWorker (GFW) (TCP-In)

统一消息

任意

任意

SESWorker (TCP-In)

统一消息

任意

UnifiedMessaging\SESWorker.exe

UMService (GFW) (TCP-In)

统一消息

5060, 5061

任意

UMService (TCP-In)

统一消息

5060, 5061

Bin\UMService.exe

UMWorkerProcess (GFW) (TCP-In)

统一消息

5065, 5066, 5067, 5068

任意

UMWorkerProcess (TCP-In)

统一消息

5065, 5066, 5067, 5068

Bin\UMWorkerProcess.exe

UMWorkerProcess - RPC (TCP-In)

统一消息

动态 RPC

Bin\UMWorkerProcess.exe

  • 在已安装 Internet 信息服务 (IIS) 的服务器上,Windows 会打开 HTTP(端口 80,TCP)和 HTTPS(端口 443,TCP)端口。Exchange 2010 安装程序不会打开这些端口。因此,这些端口没有显示在上表中。
     
  • 在 Windows Server 2008 和 Windows Server 2008 R2 中,高级安全 Windows 防火墙允许您指定为其打开端口的进程或服务。这样做会更安全,因为它将对端口的使用限制在规则中指定的进程或服务。Exchange 安装程序使用指定的进程名称创建防火墙规则。在某些情况下,也会出于兼容目的而创建其他不局限于进程的规则。您可以禁用或删除不局限于进程的规则,保留对应的局限于进程的规则(如果您的部署支持这些规则)。可以通过规则名称中的单词 (GFW) 区分不局限于进程的规则。
     
  • 许多 Exchange 服务使用远程过程调用 (RPC) 进行通信。使用 RPC 的服务器进程会联系 RPC 终结点映射程序来接收动态终结点并在终结点映射程序数据库中注册这些终结点。RPC 客户端会联系 RPC 终结点映射程序来确定服务器进程使用的终结点。默认情况下,RPC 终结点映射程序会侦听端口 135 (TCP)。为使用 RPC 的进程配置 Windows 防火墙时,Exchange 2010 安装程序会为该进程创建两个防火墙规则。一个规则允许与 RPC 终结点映射程序进行通信,另一个规则允许与动态分配的终结点进行通信。若要了解有关 RPC 的详细信息,请参阅 RPC 的工作方式(英文)。有关为动态 RPC 创建 Windows 防火墙规则的详细信息,请参阅允许使用动态 RPC 的入站网络流量




本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/751376,如需转载请自行联系原作者

目录
相关文章
|
4月前
|
安全 网络协议 网络安全
端口转发:解锁网络访问的新维度
端口转发技术,简化网络数据流,用于家庭至企业服务器场景。它隐藏内部网络服务,提供远程访问、个人网站公开、NAT穿透及安全的VPN连接。设置涉及路由器管理界面,添加转发规则,但需注意安全风险,仅开放必要端口并加强内部安全措施。了解和善用端口转发,提升网络服务可达性与安全性。
203 5
|
8天前
|
网络虚拟化
网络实验 VlAN 中 Trunk Access端口的说明及实验
本文介绍了VLAN技术及其在网络实验中的应用,包括Access端口和Trunk端口的工作原理,以及如何通过实验划分不同VLAN实现内部通信和跨交换机实现VLAN间通信的详细步骤和配置。
网络实验 VlAN 中 Trunk Access端口的说明及实验
|
16天前
|
存储 安全 网络安全
网络安全与信息安全:构建安全防线的多维策略在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的关键要素。本文旨在探讨网络安全漏洞的本质、加密技术的重要性以及提升公众安全意识的必要性,以期为构建更加坚固的网络环境提供参考。
本文聚焦于网络安全领域的核心议题,包括网络安全漏洞的现状与应对、加密技术的发展与应用,以及安全意识的培养与实践。通过分析真实案例,揭示网络安全威胁的多样性与复杂性,强调综合防护策略的重要性。不同于传统摘要,本文将直接深入核心内容,以简洁明了的方式概述各章节要点,旨在迅速吸引读者兴趣,引导其进一步探索全文。
|
2月前
|
存储 监控 安全
端口安全:交换机上的网络守护者
【8月更文挑战第27天】
39 1
|
3月前
|
容器 Docker 存储
|
2月前
|
监控 网络协议 Linux
在Linux中,如何实时抓取并显示当前系统中tcp 80 端口的网络数据信息?
在Linux中,如何实时抓取并显示当前系统中tcp 80 端口的网络数据信息?
|
21天前
|
云安全 安全 网络安全
探索云计算与网络安全的共生之道在数字化浪潮席卷全球的今天,云计算作为信息技术的一大革新,正重塑着企业的运营模式与服务交付。然而,随着云服务的普及,网络安全与信息安全的挑战也日益凸显,成为制约其发展的关键因素。本文旨在深入探讨云计算环境下的网络安全问题,分析云服务、网络安全及信息安全之间的相互关系,并提出相应的解决策略,以期为构建一个更安全、可靠的云计算生态系统提供参考。
本文聚焦于云计算环境中的网络安全议题,首先界定了云服务的基本概念及其广泛应用领域,随后剖析了当前网络安全面临的主要威胁,如数据泄露、身份盗用等,并强调了信息安全在维护网络空间秩序中的核心地位。通过对现有安全技术和策略的评估,包括加密技术、访问控制、安全审计等,文章指出了这些措施在应对复杂网络攻击时的局限性。最后,提出了一系列加强云计算安全的建议,如采用零信任架构、实施持续的安全监控与自动化响应机制、提升员工的安全意识教育以及制定严格的合规性标准等,旨在为云计算的安全可持续发展提供实践指南。
51 0
|
2月前
|
网络协议 Linux
在Linux中,如何分析网络连接和端口占用情况?
在Linux中,如何分析网络连接和端口占用情况?
|
2月前
|
网络协议 Windows
在电脑上测试TCP/UDP端口是否开放,还是得网络大佬这招厉害!
在电脑上测试TCP/UDP端口是否开放,还是得网络大佬这招厉害!
|
1月前
|
存储 网络协议 安全
C语言 网络编程(五)Socket和端口
Socket 是 TCP/IP 五层网络模型中应用层的编程接口,用于实现不同主机间应用程序的双向通信。它作为网络通信的端点,连接应用层与网络协议栈,提供可靠的流式或非流式数据传输服务。Socket 包括流式(SOCKET_STREAM)、数据报(SOCK_DGRAM)和原始套接字(SOCK_RAW)三种类型,分别适用于不同场景。通过 IP 地址和端口号,Socket 能准确识别并转发数据包至指定进程。端口号分为知名端口(1-1023)、注册端口(1024-49151)和动态端口(49152-65535),确保数据准确交付。
下一篇
无影云桌面