Exchange 2010网络端口参考.docxVIP

Exchange Server 2010 Exchange 网络端口参考 适用于： Exchange Server 2010 SP1上一次修改主题： 2011-04-22本主题介绍 Microsoft?Exchange Server 2010 所使用的所有数据路径的端口、身份验证和加密。每个表后面的“注释”部分解释或定义非标准的身份验证方法或加密方法。传输服务器Exchange 2010 包含两个执行邮件传输功能的服务器角色：集线器传输服务器和边缘传输服务器。下表提供这些传输服务器之间以及与其他 Exchange 2010 服务器和服务之间的数据路径的端口、身份验证和加密的有关信息。传输服务器的数据路径数据路径 所需端口 默认身份验证 支持的身份验证 是否支持加密？ 默认是否加密？ 集线器传输服务器到集线器传输服务器25/TCP (SMTP)KerberosKerberos是，使用传输层安全性 (TLS)是集线器传输服务器到边缘传输服务器25/TCP?(SMTP)直接信任直接信任是，使用 TLS是边缘传输服务器到集线器传输服务器25/TCP?(SMTP)直接信任直接信任是，使用 TLS是边缘传输服务器到边缘传输服务器25/TCP?SMTP匿名、证书匿名、证书是，使用 TLS是邮箱服务器到集线器传输服务器（通过 Microsoft?Exchange 邮件提交服务）135/TCP?(RPC)NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上，则使用 Kerberos。NTLM/Kerberos是，使用 RPC 加密是集线器传输服务器到邮箱服务器（通过 MAPI）135/TCP?(RPC)NTLM。如果集线器传输和邮箱服务器角色位于同一服务器上，则使用 Kerberos。NTLM/Kerberos是，使用 RPC 加密是统一消息服务器到集线器传输服务器25/TCP?(SMTP)KerberosKerberos是，使用 TLS是Microsoft?Exchange EdgeSync 服务（从集线器传输服务器到边缘传输服务器）50636/TCP?(SSL)基本基本是，使用 SSL 上的 LDAP (LDAPS)是Active Directory 从集线器传输服务器访问389/TCP/UDP?(LDAP)、3268/TCP?(LDAP?GC)、88/TCP/UDP?(Kerberos)、53/TCP/UDP?(DNS)、135/TCP?(RPC?netlogon)hzwlockedKerberosKerberos是，使用 Kerberos 加密是Active Directory 权限管理服务 (AD RMS)（从集线器传输服务器访问）443/TCP (HTTPS)NTLM/KerberosNTLM/Kerberos是，使用 SSL是*从 SMTP 客户端到集线器传输服务器（例如，使用 Windows Live Mail 的最终用户）587 (SMTP)25/TCP?(SMTP)NTLM/KerberosNTLM/Kerberos是，使用 TLS是有关传输服务器的注释集线器传输服务器之间的所有通信均使用具有自签名证书的 TLS 进行加密，这些证书通过 Exchange 2010?安装程序安装。注意： 在 Exchange 2010 中，可以在集线器传输服务器上禁用 TLS，以便与同一 Exchange 组织中的其他集线器传输服务器进行内部 SMTP 通信。除非绝对需要，否则建议不要执行此操作。有关详细信息，请参阅禁用 Active Directory 站点间的 TLS 以支持 WAN 优化。 边缘传输服务器与集线器传输服务器之间的所有通信均进行身份验证并加密。Mutual TLS 是基础的身份验证和加密机制。Exchange 2010 使用“直接信任”（而不是使用 X.509 验证）来验证证书。直接信任意味着 Active Directory 或 Active Directory 轻型目录服务 (AD LDS) 中存在证书即证明证书有效。Active Directory 被视为是受信任的存储机制。使用直接信任时，证书是自签名还是由证书颁发机构 (CA) 签名并不重要。为边缘传输服务器订阅 Exchange 组织时，边缘订阅将在 Active Directory 中发布边缘传输服务器证书，以便集线器传输服务器进行验证。Microsoft?Exchange EdgeSync 服务使用集线器传输服务器证书集更新 AD LDS，以便边缘传输服务器进行验证。EdgeSync 通过 TCP 50636 使用从集线器传输服务器到订阅的边缘传输服务器的安全 LDAP 连接。AD LDS 还会侦听 TCP 50389。不使用 SSL 连接到该端口。您可