数据路径安全性参考

 

适用于： Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题： 2009-06-05

本主题提供 Microsoft Exchange Server 2007 所使用的所有数据路径的端口、身份验证和加密的有关信息。每个表后面的“注释”部分解释或定义非标准的身份验证方法或加密方法。

传输服务器

Exchange 2007 包含两个执行邮件传输功能的服务器角色：集线器传输服务器和边缘传输服务器。

下表提供这些传输服务器之间以及与其他 Exchange 2007 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。

传输服务器的数据路径

数据路径	所需端口	默认身份验证	支持的身份验证	是否支持加密？	默认是否加密？
集线器传输服务器到集线器传输服务器	25/TCP（传输层安全 [TLS]）	Kerberos	Kerberos	是 (TLS)	是
集线器传输服务器到边缘传输服务器	25/TCP (TLS)	直接信任	直接信任	是 (TLS)	是
边缘传输服务器到集线器传输服务器	25/TCP (TLS)	直接信任	直接信任	是 (TLS)	是
边缘传输服务器到边缘传输服务器	25/TCP (TLS)、389/TCP/UDP 和 80/TCP（证书身份验证）	匿名、证书	匿名、证书	是 (TLS)	是
邮箱服务器到集线器传输服务器（通过 Microsoft Exchange 邮件提交服务）	135/TCP (RPC)	NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上，则使用 Kerberos。	NTLM/Kerberos	是（RPC 加密）	是
集线器传输服务器到邮箱服务器（通过 MAPI）	135/TCP (RPC)	NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上，则使用 Kerberos。	NTLM/Kerberos	是（RPC 加密）	是
统一消息服务器到集线器传输服务器	25/TCP (TLS)	Kerberos	Kerberos	是 (TLS)	是
Microsoft Exchange EdgeSync 服务	50636/TCP (SSL)、50389/TCP（无 SSL）	基本	基本	是 (LDAPS)	是
边缘传输服务器上的 Active Directory 应用程序模式 (ADAM) 目录服务	50389/TCP（无 SSL）	NTLM/Kerberos	NTLM/Kerberos	否	否
从集线器传输服务器进行 Active Directory 目录服务访问	389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)	Kerberos	Kerberos	是（Kerberos 加密）	是
到集线器传输服务器的最终用户 SMTP 客户端（例如，Outlook Express）	25/TCP (TLS), 587 (TLS)	NTLM/Kerberos	NTLM/Kerberos	是 (TLS)	是

有关传输服务器的注释

集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密，默认情况下通过 Exchange 2007 Setup 安装这些证书。使用 Kerberos 身份验证验证集线器传输服务器之间的通信。

边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。身份验证和加密的基础机制是相互 TLS。Exchange 2007 使用直接信任（而不是使用 X.509 验证）来验证证书。直接信任意味着 Active Directory 或 ADAM 中存在证书即证明证书有效。Active Directory 被视为受信任的存储机制。使用直接信任时，证书是自签名还是由证书颁发机构签名并不重要。为边缘传输服务器订阅 Exchange 组织时，边缘订阅将在 Active Directory 中发布边缘传输服务器证书，以便集线器传输服务器进行验证。Microsoft Exchange EdgeSync 服务使用集线器传输服务器证书集更新 ADAM，以便边缘传输服务器进行验证。

默认情况下，两个不同组织中的边缘传输服务器之间的通信将进行加密。Exchange 2007 Setup 创建一个自签名证书，并且默认启用 TLS。这样，任何发送系统都可以对 Microsoft Exchange 的入站 SMTP 会话进行加密。默认情况下，Exchange 2007 还对所有远程连接尝试实现 TLS。

当集线器传输服务器角色和邮箱服务器角色位于同一台计算机上时，对集线器传输服务器与邮箱服务器之间的通信的身份验证方法将有所不同。如果是本地邮件提交，则使用 Kerberos 身份验证。如果是远程邮件提交，则使用 NTLM 身份验证。

Exchange 2007 还支持域安全性。域安全性是指 Exchange 2007 和 Microsoft Office Outlook 2007 中的功能集，它提供一种成本较低的备选安全解决方案，可代替 S/MIME 或其他邮件级 Internet 安全解决方案。域安全性功能集的目的是为管理员提供一种管理域之间受保护的 Internet 邮件路径的方法。配置了这些受保护的邮件路径后，由通过身份验证的发件人发送并成功地经由受保护的路径传递的邮件在 Outlook 和 Outlook Web Access 界面中对用户显示为“域安全”。有关详细信息，请参阅规划域安全性。

许多代理可以在集线器传输服务器和边缘传输服务器上运行。通常，反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此，几乎不需要与远程计算机进行通信。收件人筛选除外。收件人筛选要求调用 ADAM 或 Active Directory。最好在边缘传输服务器上运行收件人筛选。在这种情况下，ADAM 目录与边缘传输服务器位于同一台计算机上，不需要进行任何远程通信。在集线器传输服务器上安装并配置了收件人筛选后，收件人筛选将访问 Active Directory。

协议分析代理供 Exchange 2007 中的发件人信誉功能使用。此代理还与外部代理服务器建立各种连接，以确定入站邮件路径中的可疑连接。

所有其他反垃圾邮件功能只使用本地计算机上收集、存储和访问的数据。通常，使用 Microsoft Exchange EdgeSync 服务将数据（例如用于收件人筛选的安全列表聚合或收件人数据）推送到本地 ADAM 目录。

日记和邮件分类在集线器传输服务器上进行，依赖于 Active Directory 数据执行操作。

邮箱服务器

在邮箱服务器角色的上下文中，身份验证是 NTLM 还是 Kerberos 依赖于运行 Exchange 业务逻辑层使用者的用户上下文或进程上下文。在此上下文中，使用者是使用 Exchange 业务逻辑层的任何应用程序或进程。在本节中“邮箱服务器数据路径”表的许多“默认身份验证”单元格中，列出的身份验证为“NTLM/Kerberos”。

Exchange 业务逻辑层用于访问 Exchange 存储并与其进行通信。也可以从 Exchange 存储调用 Exchange 业务逻辑层，以便与外部应用程序和进程进行通信。

如果 Exchange 业务逻辑层使用者使用“本地系统”帐户运行，从使用者到 Exchange 存储的身份验证方法始终是 Kerberos。使用 Kerberos 的原因是，必须使用计算机帐户“本地系统”对使用者进行身份验证，并且必须存在已通过双向身份验证的信任。

如果 Exchange 业务逻辑层使用者不是使用“本地系统”帐户运行，则身份验证方法是 NTLM。例如，如果管理员运行使用 Exchange 业务逻辑层的 Exchange 命令行管理程序 cmdlet，则使用 NTLM。

RPC 通信始终会进行加密。

下表提供与邮箱服务器之间的数据路径的端口、身份验证和加密的有关信息。

邮箱服务器的数据路径

数据路径	所需端口	默认身份验证	支持的身份验证	是否支持加密？	默认是否加密？
群集连续复制 (CCR) 和备用连续复制 (SCR) 日志传送	445/TCP	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
CCR 和 SCR 种子设定	随机端口	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
卷影复制服务 (VSS) 备份	本地消息块 (SMB)	NTLM/Kerberos	NTLM/Kerberos	否	否
旧版备份	随机端口	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
群集	135 /TCP (RPC)，请参阅此表后面的“与邮箱服务器有关的注释”	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
MAPI 访问	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
邮箱助理	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	否	否
可用性 Web 服务（对邮箱的客户端访问）	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
Active Directory 访问	389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)	Kerberos	Kerberos	是（Kerberos 加密）	是
内容索引	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
管理远程访问（远程注册表）	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
管理远程访问 (SMB/文件)	445/TCP (SMB)	NTLM/Kerberos	NTLM/Kerberos	是 (IPsec)	否
收件人更新服务 RPC 访问	135/TCP (RPC)	Kerberos	Kerberos	是（RPC 加密）	是
Microsoft Exchange Active Directory 拓扑服务访问	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
Microsoft Exchange 系统助理服务旧版访问（侦听请求）	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	否	否
Microsoft Exchange 系统助理服务旧版访问（对 Active Directory）	389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)	Kerberos	Kerberos	是（Kerberos 加密）	是
Microsoft Exchange 系统助理服务旧版访问（作为 MAPI 客户端）	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
访问 Active Directory 的脱机通讯簿 (OAB)	135/TCP (RPC)	Kerberos	Kerberos	是（RPC 加密）	是
对 Active Directory 的收件人更新	389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)	Kerberos	Kerberos	是（Kerberos 加密）	是
对 Active Directory 的目录服务访问	389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)	Kerberos	Kerberos	是（Kerberos 加密）	是
访问脱机通讯簿 (OAB) 的 Outlook 注意： 适用于 Outlook 2003 及更早版本。在未启用脱机通讯簿的 Web 分发功能时，该设置还适用于 Office Outlook 2007 客户端。	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是
WebDav	80/TCP、443/TCP (SSL)	基本、NTLM、协商	基本、NTLM、协商	是 (HTTPS)	是

有关邮箱服务器的注释

对于列出了“协商”的 HTTP 身份验证，先尝试使用 Kerberos，然后再尝试使用 NTLM。

对于节点内通信，群集节点通过用户报协议 (UDP) 端口 3343 进行通信。群集中的每个节点定期与群集中的每个其他节点交换顺序的单播 UDP 数据报。此交换的目的是确定所有节点是否正常运行并监视网络链接的运行状况。

尽管 WebDav 应用程序或客户端可以使用 80/TCP 或 443/TCP 连接到邮箱服务器，但在在大多数情况下，应用程序或客户端连接到客户端访问服务器。然后，客户端访问服务器通过 80/TCP 或 443/TCP 连接到邮箱服务器。

本节的“邮箱服务器数据路径”表中列出的群集数据路径使用动态 RPC (TCP) 在不同的群集节点之间传送群集状态和活动。群集服务 (ClusSvc.exe) 还使用 UDP/3343 以及随机分配的高位 TCP 端口在群集节点之间进行通信。

客户端访问服务器

除非特别说明，否则，客户端访问技术（例如 Microsoft Office Outlook Web Access、POP3 或 IMAP4）将通过从客户端应用程序到客户端访问服务器的身份验证和加密进行描述。

下表提供客户端访问服务器与其他服务器和客户端之间的数据路径的端口、身份验证和加密的有关信息。

客户端访问服务器的数据路径

数据路径	所需端口	默认身份验证	支持的身份验证	是否支持加密？	默认是否加密？
自动发现服务	80/TCP、443/TCP (SSL)	基本/集成 Windows 身份验证（协商）	基本、摘要式、NTLM、协商 (Kerberos)	是 (HTTPS)	是
可用性服务	80/TCP、443/TCP (SSL)	NTLM/Kerberos	NTLM/Kerberos	是 (HTTPS)	是
Outlook Web Access	80/TCP、443/TCP (SSL)	基于表单的身份验证	基本、摘要式、基于表单的身份验证、NTLM（仅限 v2）、Kerberos、证书	是 (HTTPS)	是，使用自签名证书
POP3	110/TCP (TLS)、995/TCP (SSL)	基本、NTLM、Kerberos	基本、NTLM、Kerberos	是（SSL、TLS）	是
IMAP4	143/TCP (TLS)、993/TCP (SSL)	基本、NTLM、Kerberos	基本、NTLM、Kerberos	是（SSL、TLS）	是
Outlook Anywhere（以前称为 RPC over HTTP）	80/TCP、443/TCP (SSL)	基本	基本或 NTLM	是 (HTTPS)	是
Exchange ActiveSync 应用程序	80/TCP、443/TCP (SSL)	基本	基本、证书	是 (HTTPS)	是
客户端访问服务器到统一消息服务器	5060/TCP、5061/TCP、5062/TCP、动态端口	按 IP 地址	按 IP 地址	是（SIP [会话初始协议] over TLS）	是
客户端访问服务器到运行早期版本的 Exchange Server 的邮箱服务器	80/TCP、443/TCP (SSL)	NTLM/Kerberos	协商（可回退到 NTLM 或可选的基本身份验证的 Kerberos）、POP/IMAP 纯文本	是 (IPsec)	否
客户端访问服务器到 Exchange 2007 邮箱服务器	RPC。请参阅此表后面的“有关客户端访问服务器的注释”。	Kerberos	NTLM/Kerberos	是（RPC 加密）	是
客户端访问服务器到客户端访问服务器 (Exchange ActiveSync)	80/TCP、443/TCP (SSL)	Kerberos	Kerberos、证书	是 (HTTPS)	是，使用自签名证书
客户端访问服务器到客户端访问服务器 (Outlook Web Access)	80/TCP、443/TCP (SSL)	Kerberos	Kerberos	是 (HTTPS)	是
WebDAV	80/TCP、443/TCP (SSL)	HTTP 基本或 Outlook Web Access 基于表单的身份验证	基本、Outlook Web Access 基于表单的身份验证	是 (HTTPS)	是
访问脱机通讯簿 (OAB) 的 Outlook 注意： 在启用脱机通讯簿的 Web 分发功能时，适用于 Office Outlook 2007。	80/TCP、443/TCP (SSL)	NTLM/Kerberos	NTLM/Kerberos	是 (HTTPS)	否

有关客户端访问服务器的注释

客户端访问服务器使用许多端口与邮箱服务器进行通信。不同的是，由远程过程调用 (RPC) 服务确定这些端口，并且不是固定的。可以指定 RPC 服务使用的动态端口范围。有关限制 RPC 服务使用的动态端口范围的详细信息，请参阅 Microsoft 知识库文章 154596 如何配置与防火墙一起使用的 RPC 动态端口分配。

要点：
我们不支持在位于同一 Active Directory 站点的客户端访问服务器和邮箱服务器之间添加防火墙的这种配置。

要点：
我们不支持在外围网络中安装客户端访问服务器的这种配置。客户端访问服务器必须是 Active Directory 域的成员，并且客户端访问服务器的计算机帐户必须是 Exchange Servers Active Directory 安全组的成员。Exchange Servers Active Directory 安全组对您的组织中的所有 Exchange 服务器都有读写访问权。组织内的客户端访问服务器和邮箱服务器之间的通信通过使用 RPC 服务发生。这是因为不支持在外围网络中安装客户端访问服务器的这些要求。

对于列出了“协商”的 HTTP 身份验证，先尝试使用 Kerberos，然后再尝试使用 NTLM。

当 Exchange 2007 客户端访问服务器与运行 Exchange Server 2003 的邮箱服务器进行通信时，最好使用 Kerberos 并禁用 NTLM 身份验证和基本身份验证。此外，最好将 Outlook Web Access 配置为通过受信任的证书使用基于表单的身份验证。为了使 Exchange ActiveSync 客户端通过 Exchange 2007 客户端访问服务器与 Exchange 2003 后端服务器进行通信，必须在 Exchange 2003 后端服务器的 Microsoft-Server-ActiveSync 虚拟目录中启用 Windows 集成身份验证。要在运行 Exchange 2003 的服务器上使用 Exchange 系统管理器管理 Exchange 2003 虚拟目录上的身份验证，请下载并安装 Microsoft 知识库文章 937301 当移动设备连接至 Exchange 2007 服务器以访问 Exchange 2003 后端服务器上的邮箱时，运行 CAS 角色的 Exchange 2007 服务器将记录事件 ID 1036 中引用的修补程序。

统一消息服务器

IP 网关只支持基于证书的身份验证，该身份验证对会话初始协议 (SIP)/TCP 连接使用 Mutual-TLS 和基于 IP 的身份验证。IP 网关不支持 NTLM 或 Kerberos 身份验证。因此，在使用基于 IP 的身份验证时，将使用连接的 IP 地址为未加密 (TCP) 连接提供身份验证机制。在统一消息中使用基于 IP 的身份验证时，统一消息服务器将验证是否允许连接该 IP 地址。在 IP 网关或 IP PBX 上配置该 IP 地址。

下表提供统一消息服务器与其他服务器之间的数据路径的端口、身份验证和加密的有关信息。

统一消息服务器的数据路径

数据路径	所需端口	默认身份验证	支持的身份验证	是否支持加密？	默认是否加密？
统一消息传真	5060/TCP、5061/TCP、5062/TCP、动态端口	按 IP 地址	按 IP 地址	SIP over TLS，但是媒体不进行加密	是（对于 SIP）
统一消息电话交互 (PBX)	5060/TCP、5061/TCP、5062/TCP、动态端口	按 IP 地址	按 IP 地址	SIP over TLS，但是媒体不进行加密	是（对于 SIP）
统一消息 Web 服务	80/TCP、443/TCP (SSL)	集成 Windows 身份验证（协商）	基本、摘要式、NTLM、协商 (Kerberos)	是 (SSL)	是
统一消息服务器到集线器传输服务器	25/TCP (SSL)	Kerberos	Kerberos	是 (TLS)	是
统一消息服务器到邮箱服务器	135/TCP (RPC)	NTLM/Kerberos	NTLM/Kerberos	是（RPC 加密）	是

有关统一消息服务器的注释

在 Active Directory 中创建统一消息 (UM) IP 网关对象时，必须定义物理 IP 网关或 IP PBX（专用交换机）的 IP 地址。为 UM IP 网关对象定义 IP 地址后，该 IP 地址将添加到允许统一消息服务器与其进行通信的有效 IP 网关的列表中。在创建 UM IP 网关时，该网关与 UM 拨号计划关联。通过将 UM IP 网关与某个拨号计划关联，与该拨号计划关联的统一消息服务器可以使用基于 IP 的身份验证与该 IP网关进行通信。如果尚未创建 UM IP 网关，或 UM IP 网关未配置为使用正确的 IP 地址，则身份验证将失败，统一消息服务器不接受来自该 IP 网关的 IP 地址的连接。

对于 Exchange 2007 的原始正式发布 (RTM) 版，统一消息服务器可以通过端口 5060/TCP（不受保护）或端口 5061/TCP（受保护）进行通信，但是不能同时通过这两个端口进行通信。

有关详细信息，请参阅了解统一消息 VoIP 安全性和了解统一消息中的协议、端口和服务。

详细信息

有关详细信息，请参阅 Microsoft 知识库文章 179442 如何为域和信任关系配置防火墙。