Поделиться через


Справка по безопасности путей данных

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2009-06-05

В этом разделе рассказывается о портах, проверке подлинности и шифровании для всех путей данных, используемых Microsoft Exchange Server 2007. В разделе «Примечания», следующем за каждой таблицей, объясняются или определяются нестандартные способы проверки подлинности или шифрования.

Транспортные серверы

В Exchange 2007 существует две роли сервера, которые выполняют функции транспорта сообщений: транспортный сервер-концентратор и пограничный транспортный сервер.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных между данными транспортными серверами и другими серверами и службами Exchange 2007.

Пути данных для транспортных серверов

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Между двумя транспортными серверами-концентраторами

25/TCP (TLS)

Kerberos

Kerberos

Да (TLS)

Да

С транспортного сервера-концентратора на пограничный транспортный сервер

25/TCP (TLS)

Прямое доверие

Прямое доверие

Да (TLS)

Да

С пограничного транспортного сервера на транспортный сервер-концентратор

25/TCP (TLS)

Прямое доверие

Прямое доверие

Да (TLS)

Да

Между двумя пограничными транспортными серверами

25/TCP (TLS), 389/TCP/UDP и 80/TCP (проверка подлинности на основе сертификатов)

Анонимно, проверка подлинности с помощью сертификата

Анонимно, проверка подлинности с помощью сертификата

Да (TLS)

Да

С сервера почтовых ящиков на транспортный сервер-концентратор через службу отправки почты Microsoft Exchange

135/TCP (RPC)

NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos.

NTLM/Kerberos

Да (шифрование RPC)

Да

С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI

135/TCP (RPC)

NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos.

NTLM/Kerberos

Да (шифрование RPC)

Да

С сервера единой системы обмена сообщениями на транспортный сервер-концентратор

25/TCP (TLS)

Kerberos

Kerberos

Да (TLS)

Да

Служба Microsoft Exchange EdgeSync

50636/TCP (SSL), 50389/TCP (без SSL)

Обычная

Обычная

Да (LDAPS)

Да

Служба каталогов ADAM на пограничном транспортном сервере

50389/TCP (без SSL)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Доступ к службе каталогов Active Directory с транспортного сервера-концентратора

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

SMTP-клиент пользователя, например Outlook Express, на транспортный сервер-концентратор

25/TCP (TLS), 587 (TLS)

NTLM/Kerberos

NTLM/Kerberos

Да (TLS)

Да

Примечания для транспортных серверов

Весь трафик между транспортными серверами-концентраторами шифруется с использованием TLS и самозаверяющих сертификатов, установленных по умолчанию программой установки Exchange 2007. Проверка подлинности трафика между транспортными серверами-концентраторами осуществляется с использованием протокола Kerberos.

Весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2007 используется прямое доверие. Прямое доверие означает, что наличие сертификата в Active Directory или ADAM подтверждает подлинность сертификата. Active Directory считается доверенным механизмом хранения. Когда используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Active Directory, чтобы транспортные серверы-концентраторы могли его проверять. Служба Microsoft Exchange EdgeSync добавляет в ADAM набор сертификатов транспортного сервера-концентратора, чтобы пограничный транспортный сервер проверил их.

По умолчанию трафик между пограничными транспортными серверами, расположенными в двух различных организациях, шифруется. Программа установки Exchange 2007 создает самозаверяющий сертификат и включает по умолчанию TLS. Это позволяет любой отправляющей системе шифровать входящие сеансы SMTP на Microsoft Exchange. По умолчанию Exchange 2007 также пытается использовать TLS для всех удаленных подключений.

Способы проверки подлинности для трафика между транспортными серверами-концентраторами и серверами почтовых ящиков отличаются, если роли транспортного сервера-концентратора и сервера почтовых ящиков установлены на одном компьютере. При локальной передаче почты используется проверка подлинности Kerberos. При удаленной передаче почты используется проверка подлинности NTLM.

Exchange 2007 также поддерживает безопасность домена. Безопасность домена — это набор функций Exchange 2007 и Microsoft Office Outlook 2007, которые являются недорогой альтернативой S/MIME и другим решениям для обеспечения безопасности передачи сообщений через Интернет. Цель набора функций безопасности домена заключается в предоставлении администраторам способа управления безопасными путями сообщений между доменами через Интернет. После настройки таких безопасных путей сообщения от прошедших проверку подлинности отправителей, которые успешно переданы по безопасному пути, отображаются для пользователей как "защищенные на уровне домена" в интерфейсе Outlook и Outlook Web Access . Дополнительные сведения см. в разделе Планирование безопасности домена.

Многие агенты могут выполняться как на транспортных серверах-концентраторах, так и на пограничных транспортных серверах. Как правило, агенты защиты от нежелательной почты используют сведения локального компьютера, на котором они выполняются. Таким образом, практически не требуется взаимодействие с удаленными компьютерами. Исключением является фильтрация получателей. Эта функция требует вызовов ADAM или Active Directory. Фильтрацию получателей рекомендуется выполнять на пограничном транспортном сервере. В этом случае каталог ADAM находится на том же компьютере, что и пограничный транспортный сервер, поэтому удаленная связь не требуется. Если функция фильтрации получателей установлена и настроена на транспортном сервере-концентраторе, необходим доступ к Active Directory.

Агент анализа протокола используется функцией репутации отправителя в Exchange 2007. Этот агент также подключается к различным внешним прокси-серверам, чтобы определить пути входящих сообщений для подозрительных подключений.

Все остальные функции защиты от нежелательной почты используют данные, которые собираются, хранятся и используются только на локальном компьютере. Зачастую такие данные, как объединенные списки надежных отправителей или данные получателей для фильтрации получателей, принудительно отправляются в локальный каталог ADAM с помощью службы Microsoft Exchange EdgeSync.

Функции ведения журнала и классификации сообщений работают на транспортных серверах-концентраторах и используют данные Active Directory.

Сервер почтовых ящиков

В контексте роли сервера почтовых ящиков используемый способ проверки подлинности (NTLM или Kerberos) зависит от контекста пользователя или процесса, в котором запущен получатель уровня бизнес-логики Exchange. В данном контексте получателем является любое приложение или процесс, использующие уровень бизнес-логики Exchange. Во многих ячейках «Проверка подлинности по умолчанию» таблицы «Пути данных для серверов почтовых ящиков» в данном разделе указан способ проверки подлинности «NTLM/Kerberos».

Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия с внешними приложениями и процессами.

Если получатель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе получателя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера «Локальная система», а также требуется двустороннее доверие с проверкой подлинности.

Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется NTLM.

Трафик RPC всегда шифруется.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.

Пути данных для серверов почтовых ящиков

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Доставка журналов для кластера с непрерывной репликацией и локальной непрерывной репликации

445/TCP

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Заполнение для кластера с непрерывной репликацией и резервной непрерывной репликации

Случайный порт

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Резервное копирование службы теневого копирования томов (VSS)

Локальный блок сообщений (SMB)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Резервное копирование для прежних версий

Случайный порт

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Кластеризация

135 /TCP (RPC). См. раздел «Примечания для серверов почтовых ящиков» после этой таблицы.

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Доступ MAPI

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Помощники по обслуживанию почтовых ящиков

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Веб-служба доступности (клиентский доступ к почтовому ящику)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Доступ к Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Индексирование содержимого

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Административный удаленный доступ (удаленный реестр)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

Административный удаленный доступ (SMB, файлы)

445/TCP (SMB)

NTLM/Kerberos

NTLM/Kerberos

Да (IPsec)

Нет

RPC-доступ к службе обновления получателей

135/TCP (RPC)

Kerberos

Kerberos

Да (шифрование RPC)

Да

Доступ для службы топологии Microsoft Exchange Active Directory

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Устаревший доступ для службы системного помощника Microsoft Exchange (прослушивание запросов)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Нет

Нет

Устаревший доступ службы системного помощника Microsoft Exchange к Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Устаревший доступ для службы системного помощника Microsoft Exchange (в качестве MAPI-клиента)

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Доступ автономной адресной книги к Active Directory

135/TCP (RPC)

Kerberos

Kerberos

Да (шифрование RPC)

Да

Обновление получателей в Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

DSAccess к Active Directory

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC)

Kerberos

Kerberos

Да (шифрование Kerberos)

Да

Доступ Outlook к автономной адресной книге

noteПримечание.
Применимо к Outlook 2003 или более ранней версии. Этот параметр также применяется к клиентам Office Outlook 2007, если для автономной адресной книги отключена функция распространения через Интернет.

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

WebDav

80/TCP, 443/TCP (SSL)

Обычная проверка подлинности, NTLM, Negotiate

Обычная проверка подлинности, NTLM, Negotiate

Да (HTTPS)

Да

Примечания для серверов почтовых ящиков

Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

Между собой узлы кластера взаимодействуют через UDP-порт 3343. Каждый узел кластера периодически обменивается с остальными узлами кластера последовательными одноадресными UDP-датаграммами. Этот обмен выполняется с целью определения правильности работы всех узлов, а также для наблюдения за работоспособностью сетевых соединений.

Хотя приложения или клиенты WebDav могут подключаться к серверу почтовых ящиков через TCP-порт 80 или 443, в большинстве случаев они подключаются к серверу клиентского доступа. После этого сервер клиентского доступа подключается к серверу почтовых ящиков через TCP-порт 80 или 443.

Для пути данных при кластеризации, приведенном в таблице «Пути данных для серверов почтовых ящиков» данного раздела, используется динамический протокол RPC (TCP) для передачи данных о состоянии и активности кластера между узлами кластера. Служба кластеров (ClusSvc.exe) также использует UDP-порт 3343 и случайным образом назначенные TCP-порты с высокими номерами для взаимодействия между узлами кластера.

Сервер клиентского доступа

Если не указано иное, технологии клиентского доступа, например Microsoft Office Outlook Web Access, POP3 или IMAP4, описаны в контексте проверки подлинности и шифрования при подключении клиентского приложения к серверу клиентского доступа.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами клиентского доступа и другими серверами и клиентами.

Пути данных для серверов клиентского доступа

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Служба автообнаружения

80/TCP, 443/TCP (SSL)

Обычная проверка подлинности, встроенная проверка подлинности Windows (Negotiate)

Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos)

Да (HTTPS)

Да

Служба доступности

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM, Kerberos

Да (HTTPS)

Да

Outlook Web Access

80/TCP, 443/TCP (SSL)

Проверка подлинности на основе форм

Обычная проверка подлинности, дайджест-проверка подлинности, проверка подлинности на основе форм, NTLM (только версии 2), Kerberos, проверка подлинности с помощью сертификата

Да (HTTPS)

Да, с использованием самозаверяющего сертификата

POP3

110/TCP (TLS), 995/TCP (SSL)

Обычная проверка подлинности, NTLM, Kerberos

Обычная проверка подлинности, NTLM, Kerberos

Да (SSL, TLS)

Да

IMAP4

143/TCP (TLS), 993/TCP (SSL)

Обычная проверка подлинности, NTLM, Kerberos

Обычная проверка подлинности, NTLM, Kerberos

Да (SSL, TLS)

Да

Мобильный Outlook (прежнее название — RPC через HTTP)

80/TCP, 443/TCP (SSL)

Обычная

Обычная проверка подлинности или NTLM

Да (HTTPS)

Да

Приложение Exchange ActiveSync

80/TCP, 443/TCP (SSL)

Обычная

Обычная проверка подлинности, проверка подлинности с помощью сертификата

Да (HTTPS)

Да

С сервера клиентского доступа на сервер единой системы обмена сообщениями

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

Да (SIP через TLS)

Да

С сервера клиентского доступа на сервер почтовых ящиков, на котором запущена предыдущая версия Exchange Server

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

Negotiate (Kerberos с резервным способом: NTLM или обычная проверка подлинности), POP/IMAP (обычный текст)

Да (IPsec)

Нет

С сервера клиентского доступа на сервер почтовых ящиков Exchange 2007

RPC. См. раздел «Примечания для серверов клиентского доступа» после данной таблицы.

Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Между серверами клиентского доступа (Exchange ActiveSync)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos, проверка подлинности с помощью сертификата

Да (HTTPS)

Да, с использованием самозаверяющего сертификата

Между серверами клиентского доступа (Outlook Web Access)

80/TCP, 443/TCP (SSL)

Kerberos

Kerberos

Да (HTTPS)

Да

WebDAV

80/TCP, 443/TCP (SSL)

Обычная проверка подлинности HTTP или проверка подлинности на основе форм Outlook Web Access

Обычная проверка подлинности, проверка подлинности на основе форм Outlook Web Access

Да (HTTPS)

Да

Доступ Outlook к автономной адресной книге

noteПримечание.
Применимо к Office Outlook 2007, если для автономной адресной книги включена функция распространения через Интернет.

80/TCP, 443/TCP (SSL)

NTLM/Kerberos

NTLM/Kerberos

Да (HTTPS)

Нет

Примечания для серверов клиентского доступа

Сервер клиентского доступа взаимодействует с сервером почтовых ящиков, используя множество портов. За некоторыми исключениями эти порты определяются службой удаленного вызова процедур (RPC) и не являются фиксированными. Можно указать диапазон динамических портов, используемых службой RPC. Дополнительные сведения об ограничении диапазона динамических портов, используемых службой RPC, см. в статье 154596 базы знаний Майкрософт Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

importantВажно!
Конфигурации, в которых в пределах одного сайта Active Directory между серверами клиентского доступа и серверами почтовых ящиков находится брандмауэр, не поддерживаются.
importantВажно!
Не поддерживаются конфигурации, в которых сервер клиентского доступа установлен в демилитаризованной зоне. Сервер клиентского доступа должен быть членом домена Active Directory, а учетная запись компьютера с сервером клиентского доступа должна быть членом группы безопасности Active Directory «Серверы Exchange». Группе безопасности Active Directory «Серверы Exchange» разрешен доступ для чтения и записи ко всем серверам Exchange в организации. Взаимодействие между сервером клиентского доступа и серверами почтовых ящиков в организации осуществляется с помощью RPC. Именно поэтому не поддерживается установка сервера клиентского доступа в демилитаризованной зоне.

Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.

При взаимодействии сервера клиентского доступа Exchange 2007 с сервером почтовых ящиков, на котором установлена версия Exchange Server 2003, рекомендуется использовать Kerberos и отключить проверку подлинности NTLM и обычную проверку подлинности. Кроме того, рекомендуется настроить веб-клиент Outlook на использование проверки подлинности на основе форм с доверенным сертификатом. Для того, чтобы клиенты Exchange ActiveSync могли взаимодействовать, используя все от сервера клиентского доступа Exchange 2007 до фонового сервера Exchange 2003, необходимо включать интегрированную проверку подлинности Windows для виртуального каталога Microsoft-Server-ActiveSync на фоновом сервере Exchange 2003. Чтобы использовать диспетчер Exchange на сервере с Exchange 2003 для управления проверкой подлинности в виртуальном каталоге Exchange 2003, загрузите и установите исправление, описанное в статье 937301 базы знаний Майкрософт Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server (на английском языке).

Сервер единой системы обмена сообщениями

Шлюзы IP поддерживают только проверку подлинности с помощью сертификата, при которой используется проверка подлинности Mutual TLS и проверка подлинности на основе IP-адреса для подключений по протоколам SIP или TCP. Шлюзы IP не поддерживают проверку подлинности NTLM или Kerberos. Таким образом, при использовании проверки подлинности на основе IP-адреса в качестве механизма проверки подлинности для незашифрованных подключений (TCP) используются IP-адреса подключений. При использовании в единой системе обмена сообщениями проверки подлинности на основе IP-адресов сервер единой системы обмена сообщениями проверяет, разрешено ли данному IP-адресу подключаться. IP-адрес настраивается на шлюзе IP или IP PBX.

В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами единой системы обмена сообщениями и другими серверами.

Пути данных для серверов единой системы обмена сообщениями

Путь данных Требуемые порты Проверка подлинности по умолчанию Поддерживаемый способ проверки подлинности Поддержка шифрования Шифрование данных по умолчанию

Факс единой системы обмена сообщениями

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

SIP через TLS, но носитель не шифруется

Да для SIP

Взаимодействие с единой системой обмена сообщениями по телефону (АТС)

5060/TCP, 5061/TCP, 5062/TCP, динамический порт

По IP-адресу

По IP-адресу

SIP через TLS, но носитель не шифруется

Да для SIP

Веб-служба единой системы обмена сообщениями

80/TCP, 443/TCP (SSL)

Интегрированная проверка подлинности Windows (Negotiate)

Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos)

Да (SSL)

Да

С сервера единой системы обмена сообщениями на транспортный сервер-концентратор

25/TCP (SSL)

Kerberos

Kerberos

Да (TLS)

Да

С сервера единой системы обмена сообщениями на сервер почтовых ящиков

135/TCP (RPC)

NTLM/Kerberos

NTLM/Kerberos

Да (шифрование RPC)

Да

Примечания для серверов единой системы обмена сообщениями

При создании в Active Directory объекта шлюза IP единой системы обмена сообщениями необходимо определить IP-адрес физического шлюза IP или IP PBX (АТС). При определении IP-адреса объекта шлюза IP единой системы обмена сообщениями IP-адрес добавляется в список допустимых шлюзов IP, с которыми разрешено взаимодействовать серверу единой системы обмена сообщениями. При создании шлюза IP единой системы обмена сообщениями он сопоставляется с абонентской группой единой системы обмена сообщениями. Сопоставление шлюза IP единой системы обмена сообщениями с абонентской группой позволяет серверам единой системы обмена сообщениями, сопоставленным с абонентской группой, использовать проверку подлинности на основе IP-адреса для взаимодействия со шлюзом IP. Если шлюз IP единой системы обмена сообщениями не создан или не настроен на использование правильного IP-адреса, произойдет сбой проверки подлинности, а серверы единой системы обмена сообщениями не будут принимать подключения с IP-адреса данного шлюза IP.

В исходной окончательной первоначальной (RTM) версии Exchange 2007 сервер единой системы обмена сообщениями может взаимодействовать либо через TCP-порт 5060 (небезопасный), либо через TCP-порт 5061 (безопасный), но не через оба порта.

Дополнительные сведения см. в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями.

Дополнительные сведения

Дополнительные сведения см. в статье 179442 базы знаний Майкрософт Настройка брандмауэра для установления доверительных отношений между доменами.