下面将对上面所描述的六种情形的每个问题进行深入讨论。
POP3 客户与 Exchange Server 计算机之间的通信
Exchange 5.0 支持 POP3,POP3 是一种协议,用于从邮件服务器中检索邮件。 除了如 Internet Mail 和 News、Windows CE Inbox 以及 Internet Mail Service for Windows 的 POP3 邮件客户之外,客户如 Pegasus 和 Eudora Pro 也经常用于从 Exchange Server 计算机发送接收邮件。 这样使我们从全新的角度来讨论 TCP 端口访问的可用性问题。
— 下载并检索邮件
POP3 对 Exchange Server 计算机上的邮件的访问权限是由所使用的身份验证方法控制的。 有三种这样的身份验证方法。 如果使用了 Basic 或 Windows NT 挑战/响应身份验证(Windows NTLM 身份验证),使用 POP3 客户下载并检索邮件需要有访问 TCP 端口 110 的权限。Exchange Server 侦听端口 110,以得到来自 POP3 客户的有关邮件下载的任何入网连接请求。 如果使用了 SSL(安全套接字层)身份验证方法,Exchange Server 计算机侦听端口 995。因而,如果您正在规划包括 Exchange 安装的网络数据包筛选要求,在支持 POP3 协议的情况下,请记住 TCP 端口 110 或 TCP 端口 995 的访问权。
— 发送邮件
当 POP3 客户发送邮件时,Exchange Server 计算机正在与 SMTP(简单邮件传输协议)主机进行通信。 这就需要访问 TCP 端口 25。Internet Mail 连接器以及 Internet Mail 服务使用 TCP 端口 25 查找入站 SMTP 邮件,如 RFC-821 所定义。对于入站 SMTP 邮件,Internet Mail 连接器与 Internet Mail 服务监控端口 25,以查找来自其它 SMTP 主机的入网连接。 Microsoft Exchange Server 按 RFC-1734 和 RFC-1957 规范中的定义支持 POP3。
IMAP4 客户与 Exchange Server 计算机之间的通信
与如上所讨论的 POP3 客户发送邮件一样,当 IMAP4 客户发送邮件时,Exchange Server 计算机正在与 SMTP 主机进行通信。 这就需要访问 TCP 端口 25。Internet Mail 连接器以及 Internet Mail 服务使用 TCP 端口 25 查找入站 SMTP 邮件,如 RFC-821 所定义。对于入站 SMTP 邮件,Internet Mail 连接器与 Internet Mail 服务监控端口 25,以查找来自其它 SMTP 主机的入网连接。 Microsoft Exchange Server 按 RFC-2060 和 RFC-2061 规范中的定义支持 POP3。
Exchange Server 计算机和 LDAP 客户之间的通信
对于要连接到 Exchange Server 计算机的 LDAP 客户,在防火墙上需要配置的端口完全基于所使用的身份验证方法。 使用 Basic 身份验证方法,Exchange Server 计算机侦听端口 389。对于 SSL 身份验证,Exchange Server 计算机侦听的端口是 636。 Microsoft Exchange Server 按 RFC-1777 中的定义支持 LDAP。
Exchange Server 计算机与 NNTP 客户之间的通信
网络新闻传输协议 (NNTP) 广泛用于发送、分发与检索 USENET 邮件。 客户可以访问作为 Exchange 公用文件夹的这些新闻组。 NNTP 客户需要通过端口 119 连接到 Exchange Server 计算机。支持 NNTP 时,代理软件或防火墙应考虑到这个问题。 Microsoft Exchange Server 按 RFC-977 中的定义支持 NNTP。
Exchange 客户计算机与 Exchange Server3 之间的通信
在 LAN 或 WAN 链路上的 Exchange Client 计算机使用远程过程调用 (RPC) 与 Exchange Server 计算机进行通信。 Exchange Server 计算机,一个基于 RPC 的应用程序,使用 TCP 端口 135,也用参与帮助 RPC 应用程序查询服务端口号的位置服务。
Exchange Server 计算机监控端口 135 以查找到 RPC 终点映射程序服务的客户连接, 在客户连接至套接字之后,Exchange Server 计算机向客户分配两个随机端口,用于与目录和信息存储进行通信。 客户不与 Exchange Server 计算机的其它组件进行通信。
如果出于对网络结构的安全考虑,需要阻塞任一端口而不是所使用的端口,则与目录和信息存储进行通信的端口的随机指定就成为路障。 为避免这种情况,Exchange Server 版本 4.0 以及后续版本允许您静态分配这些端口。
有关与目录和信息存储进行通信的端口静态分配过程的其它信息,请参阅 Microsoft Knowledge Base 文章 Q155831 “XADM: 为通过防火墙进行 Exchange 和 Outlook 客户连接设置 TCP/IP 端口。”
在此结合点,为了成功地在客户与服务器之间进行通信,需要将防火墙配置为允许 TCP 连接到端口 135 以及所有静态分配的端口。 如果您需要监控通信以进行分析,这些端口就是要监控的端口。
在相同站点中两台 Exchange Server 计算机之间的通信
Exchange Server 计算机之间的所有站点内通信均使用 RPC。因此,如果 Exchange Server 计算机是被路由器和防火墙分隔开来的,那么到 TCP 端口 135 的访问权就成为 Exchange Server 计算机能否进行通信的一个重要因素。
在站点内的两台 Exchange Server 计算机之间的通信是在两台邮件传输代理 (MTA) 和两个目录服务之间进行的。 Exchange Server 计算机的其它组件都没有直接参与通信。
与如上所讨论的客户到服务器的通信一样,Exchange Server 计算机监控端口 135,以查找到 RPC 终点映射程序服务的连接。 当发起 Exchange Server 计算机连接至套接字时,接收 Exchange Server 计算机分配两个随机端口以用于与目录和 MTA 进行通信。
上面所讨论的是为目录静态分配 TCP 端口,以在特定端口号上进行侦听与通信的可能性。随着 Exchange Server 4.0 Service Pack 4 的发布以及所有 Exchange Server 5.0 的发布,可以对 MTA 做类似的调整。 然后,终点映射程序将中继到合适的端口号,这样通过转到指定的端口号可以进行进一步的通信。 有关为 MTA 建立端口静态分配的信息,请参阅 Knowledge Base 文章 Q161931 ,“XCON: 为 X.400 和 RPC 侦听配置 MTA TCP/IP 端口号”的后半部分。 本文将解释注册表数值 "TCP/IP port for RPC listens" 的使用。