2024年2月19日发(作者:)

Exchange-2022网络端口参考

Exchange Server 2022

Exchange 网络端口参考

适用于: Exchange Server 2022 SP1

上一次修改主题: 2022-04-22

本主题介绍 Microsoft Exchange Server 2022 所使用的所有数据路径的端口、身份验证和加密。每个表后面的“注释〞局部解释或定义非标准的身份验证方法或加密方法。

传输效劳器

Exchange 2022 包含两个执行邮件传输功能的效劳器角色:集线器传输效劳器和边缘传输效劳器。

下表提供这些传输效劳器之间以及与其他 Exchange 2022 效劳器和效劳之间的数据路径的端口、身份验证和加密的有关信息。

传输效劳器的数据路径

默认是否支是默认身份支持的身持加否验证 份验证

密? 加密?

是,使用传输Kerberos Kerberos 层平安是

(TLS)

直接信任 直接信任

是,使是

用 TLS

是,使是

用 TLS

数据路径 所需端口

集线器传输效劳器到集线器传输25/TCP (SMTP)

效劳器

集线器传输效劳器到边缘传输效25/TCP (SMTP)

劳器

边缘传输效劳器到集线器传输效25/TCP (SMTP)

劳器

边缘传输效劳器25/TCP SMTP

直接信任 直接信任

匿名、证书 匿名、证书 是,使是

到边缘传输效劳器

邮箱效劳器到集线器传输效劳器〔通过

135/TCP (RPC)

Microsoft Exchange 邮件提交效劳〕

NTLM。如果集线器传输和邮箱效劳器角NTLM/Kerb色位于同eros

一效劳器上,那么使用

Kerberos。

NTLM。如果集线器传输和邮箱效劳器角NTLM/Kerb色位于同eros

一效劳器上,那么使用

Kerberos。

Kerberos Kerberos

用 TLS

是,使用 RPC 是

加密

集线器传输效劳器到邮箱效劳器135/TCP (RPC)

〔通过 MAPI〕

是,使用 RPC 是

加密

统一消息效劳器到集线器传输效25/TCP (SMTP)

劳器

Microsoft Exchange EdgeSync

效劳〔从集线器50636/TCP (SSL)

传输效劳器到边缘传输效劳器〕

是,使是

用 TLS

是,使用 SSL

上的

LDAP

(LDAPS)

根本 根本

389/TCP/UDP (LDAP)、是,使Active 3268/TCP (LDAP GC)、用

Directory 从集88/TCP/UDP (Kerberos)、Kerberos Kerberos Kerbe是

线器传输效劳器53/TCP/UDP (DNS)、ros 加访问 135/TCP (RPC netlogon)密

hzwlocked

Active

Directory 权限管理效劳 (AD NTLM/KerbNTLM/Kerb是,使是443/TCP (HTTPS)

RMS)〔从集线器eros eros 用 SSL *

传输效劳器访问〕

决方案,可代替 S/MIME 或其他邮件级 Internet 平安解决方案。域平安提供了一种通过 Internet 管理域之间的平安邮件路径的方式。配置这些平安邮件路径后,通过平安路径从已通过身份验证的发件人成功传输的邮件将对 Outlook 和 Outlook Web Access 用户显示为“域平安〞。有关详细信息,请参阅了解域平安性。

许多代理可以在集线器传输效劳器和边缘传输效劳器上运行。通常,反垃圾邮件代理依赖于运行代理的计算机上的本地信息。因此,几乎不需要与远程计算机进行通信。收件人筛选是例外情况。收件人筛选需要呼叫 AD LDS 或 Active Directory。作为最正确实践,应在边缘传输效劳器上运行收件人筛选。在这种情况下,AD LDS 目录与边缘传输效劳器位于同一台计算机上,不需要进行任何远程通信。在集线器传输效劳器上安装并配置了收件人筛选后,收件人筛选将访问 Active Directory。

协议分析代理供 Exchange 2022 中的发件人信誉功能使用。此代理还与外部代理效劳器建立各种连接,以确定入站邮件路径中的可疑连接。

所有其他反垃圾邮件功能只使用本地计算机上收集、存储和访问的数据。通常,使用 Microsoft Exchange EdgeSync 效劳将数据〔例如用于收件人筛选的平安列表聚合或收件人数据〕推送到本地 AD LDS 目录。

集线器传输效劳器上的信息权限管理 (IRM) 代理可以建立到组织中的

Active Directory 权限管理效劳 (AD RMS) 效劳器的连接。AD RMS 是一个 Web 效劳,通过使用 SSL 作为最正确做法进行平安保护。是否使用 HTTPS 与 AD RMS 效劳器进行通信、使用 Kerberos 还是 NTLM 进行身份验证,具体取决于 AD RMS 效劳器的配置。

日记规那么、传输规那么和邮件分类存储在 Active Directory 中,可以通过集线器传输效劳器上的日记代理和传输规那么代理进行访问。

邮箱效劳器

对邮箱效劳器使用 NTLM 还是 Kerberos 身份验证取决于 Exchange 业务逻辑层使用者运行时所处的用户或进程上下文。在该上下文中,消费者是使用

Exchange 业务逻辑层的任何应用程序或进程。因此,“邮箱效劳器数据路径〞表的“默认身份验证〞列中的许多条目都以 NTLM/Kerberos 形式列出。

Exchange 业务逻辑层用于访问 Exchange 存储并与其进行通信。也可以从

Exchange 存储调用 Exchange 业务逻辑层,以便与外部应用程序和进程进行通信。

如果 Exchange 业务逻辑层使用者使用“本地系统〞帐户运行,从使用者到

Exchange 存储的身份验证方法始终是 Kerberos。使用 Kerberos 的原因是,必须使用计算机帐户“本地系统〞对使用者进行身份验证,并且必须存在已通过双向身份验证的信任。

如果 Exchange 业务逻辑层使用者不是使用“本地系统〞帐户运行,那么身份验证方法是 NTLM。例如,运行使用 Exchange 业务逻辑层的 Exchange 命令行管理程序 cmdlet 时,将使用 NTLM。

RPC 通信始终会进行加密。

下表提供与邮箱效劳器之间的数据路径的端口、身份验证和加密的有关信息。

邮箱效劳器的数据路径

默认是否支是默认身份验支持的身份持加否证 验证

密? 加密?

是,使用

Kerberos Kerber是

os 加密

是,使NTLM/Kerbe用 否

ros

IPsec

是,使NTLM/Kerbe用 否

ros

IPsec

是,使NTLM/Kerbe用 RPC 是

ros

加密

数据路径 所需端口

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、Active

88/TCP/UDP (Kerberos)、Directory Kerberos

53/TCP/UDP (DNS)、访问

135/TCP (RPC netlogon)hzwlocked

管理远程NTLM/Kerbe访问〔远程135/TCP (RPC)

ros

注册表〕

管理远程访问 NTLM/Kerbe445/TCP (SMB)

(SMB/文ros

件)

可用性

Web 效劳NTLM/Kerbe〔对邮箱135/TCP (RPC)

ros

的客户端访问〕

是,使135/TCP (RPC)。请参阅此表后NTLM/KerbeNTLM/Kerbe群集 用 否

面的有关邮箱效劳器的注释。 ros ros

IPsec

是,使NTLM/KerbeNTLM/Kerbe内容索引 135/TCP (RPC) 用 RPC 是

ros ros

加密

NTLM/KerbeNTLM/Kerbe日志传送 64327〔可自定义〕 是 否

ros ros

正在设定64327〔可自定义〕

种子

卷影复制效劳

本地消息块 (SMB)

(VSS) 备份

邮箱助理 135/TCP (RPC)

MAPI 访问 135/TCP (RPC)

NTLM/KerbeNTLM/Kerbe是

ros ros

NTLM/KerbeNTLM/Kerbe否

ros ros

NTLM/KerbeNTLM/Kerbe否 否

ros ros

是,使NTLM/KerbeNTLM/Kerbe用 RPC 是

ros ros

加密

是,使NTLM/Kerbe用 RPC 是

ros

加密

Microsoft

Exchange

Active NTLM/Kerbe135/TCP (RPC)

Directory ros

拓扑效劳访问

Microsoft

Exchange

系统助理NTLM/Kerbe135/TCP (RPC)

效劳旧版ros

访问〔侦听请求〕

Microsoft

Exchange 389/TCP/UDP (LDAP)、系统助理3268/TCP (LDAP GC)、效劳旧版88/TCP/UDP (Kerberos)、Kerberos

访问〔对 53/TCP/UDP (DNS)、Active 135/TCP (RPC netlogon)hzwDirectorylocked

Microsoft

Exchange

系统助理NTLM/Kerbe效劳旧版135/TCP (RPC)

ros

访问〔作为

MAPI 客户端〕

访问

Active

Directory 135/TCP (RPC) Kerberos

的脱机通讯簿

NTLM/Kerbe否

ros

是,使用

Kerberos Kerber是

os 加密

是,使NTLM/Kerbe用 RPC 是

ros

加密

是,使Kerberos 用 RPC 是

加密

(OAB)

收件人更是,使新效劳 135/TCP (RPC) Kerberos Kerberos 用 RPC 是

RPC 访问 加密

389/TCP/UDP (LDAP)、是,使对 Active 3268/TCP (LDAP GC)、用

Directory 88/TCP/UDP (Kerberos)、Kerberos Kerberos Kerber是

的收件人53/TCP/UDP (DNS)、os 加更新 135/TCP (RPC netlogon)hzw密

locked

有关邮箱效劳器的注释

上表中列出的“群集〞数据路径使用动态 RPC over TCP 在不同群集节点之间传送群集状态和活动。群集效劳 () 还使用

UDP/3343 以及随机分配的高位 TCP 端口在群集节点之间进行通信。

对于节点内通信,群集节点通过用户报协议 (UDP) 端口 3343 进行通信。群集中的每个节点定期与群集中的每个其他节点交换顺序的单播

UDP 数据报。此交换的目的是确定所有节点是否正常运行并监视网络链接的运行状况。

端口 64327/TCP 是用于日志传送的默认端口。管理员可以为日志传送指定其他端口。

对于列出了“协商〞的 HTTP 身份验证,请先尝试使用 Kerberos,然后再尝试使用 NTLM。

客户端访问效劳器

除非特别说明,否那么,客户端访问技术〔例如 Outlook Web App、POP3 或

IMAP4〕将通过从客户端应用程序到客户端访问效劳器的身份验证和加密进行描述。

下表提供客户端访问效劳器与其他效劳器和客户端之间的数据路径的端口、身份验证和加密的有关信息。

客户端访问效劳器的数据路径

是否支默默认身份验支持的身份持加认证 验证

密? 是数据路径 所需端口

否加密?

389/TCP/UDP (LDAP)、是,使3268/TCP (LDAP GC)、Active 用

88/TCP/UDP (Kerberos)、Directory 访Kerberos Kerberos Kerber是

53/TCP/UDP (DNS)、问 os 加135/TCP (RPC netlogon)h密

zwlocked

根本、摘要根本/集成

式、NTLM、是,使Windows

自动发现效劳 80/TCP、443/TCP (SSL) 协商 用 是

身份验证(KerberosHTTPS

〔协商〕

)

是,使NTLM/KerbNTLM/Kerb可用性效劳 80/TCP、443/TCP (SSL) 用 是

eros eros

HTTPS

是,使Outlook 访问 NTLM/KerbNTLM/Kerb80/TCP、443/TCP (SSL) 用 否

OAB eros eros

HTTPS

根本、摘要是,式、基于表使单的身份验用是,使Outlook Web 基于表单的证、NTLM自80/TCP、443/TCP (SSL) 用

应用程序 身份验证 〔仅限 签HTTPS

v2〕、名Kerberos、证证书 书

是,使110/TCP (TLS)、根本、根本、用

POP3 是

995/TCP (SSL) Kerberos Kerberos SSL、TLS

是,使143/TCP (TLS)、根本、根本、用

IMAP4 是

993/TCP (SSL) Kerberos Kerberos SSL、TLS

Outlook Anyw是,使根本或

here〔以前称为 80/TCP、443/TCP (SSL) 根本 用 是

NTLM

RPC over HTTP〕 HTTPS

Exchange 是,使ActiveSync 应80/TCP、443/TCP (SSL) 根本 根本、证书 用 是

用程序 HTTPS

客户端访问效5060/TCP、5061/TCP、劳器到统一消5062/TCP、动态端口

息效劳器

客户端访问效劳器到运行早期版本的

80/TCP、443/TCP (SSL)

Exchange

Server 的邮箱效劳器

是,使用基于

TLS 的按 IP 地址 按 IP 地址 是

会话初始协议

(SIP)

协商〔可回退到 NTLM

或可选的根本身份验证是,使NTLM/Kerb的 用 否

eros

KerberosIPsec

〕、POP/IMAP

纯文本

客户端访问效是,使劳器到 RPC。请参阅有关客户端访问NTLM/KerbKerberos 用 RPC 是

Exchange 2022 效劳器的注释。 eros

加密

邮箱效劳器

是,使客户端访问效用劳器到客户端是,使Kerberos、自访问效劳器 80/TCP、443/TCP (SSL) Kerberos 用

证书 签(Exchange HTTPS

名ActiveSync)

证书

客户端访问效劳器到客户端是,使访问效劳器 80/TCP, 443/TCP (HTTPS) Kerberos Kerberos 是

用 SSL

(Outlook Web

Access)

客户端访问效劳器到客户端是,使访问效劳器443/TCP (HTTPS) Kerberos Kerberos 是

用 SSL

〔Exchange

Web 效劳〕

客户端访问效劳器到客户端是,使995 (SSL) 根本 根本 是

访问效劳器 用 SSL

(POP3)

客户端访问效是,使993 (SSL) 根本 根本 是

劳器到客户端用 SSL

访问效劳器

(IMAP4)

Office

Communications Server 对客户端访问效劳器〔启用

5075-5077/TCP (IN)、Office

5061/TCP (OUT)

Communications Server 和

Outlook Web

App 集成〕的访问权限

mTLS〔必需〕

mTLS〔必需〕

是,使是

用 SSL

注意:

POP3 或 IMAP4 客户端连接不支持集成 Windows 身份验证 (NTLM)。有关详细信息,请参阅废弃的功能和弱化的功能中的“客户端访问功能〞局部。

有关客户端访问效劳器的注释

在 Exchange 2022 中,MAPI 客户端〔如 Microsoft Outlook〕连接到客户端访问效劳器。

客户端访问效劳器使用多个端口与邮箱效劳器进行通信。不同的是,由

RPC 效劳确定这些端口,并且不是固定的。

对于列出了“协商〞的 HTTP 身份验证,请先尝试使用 Kerberos,然后再尝试使用 NTLM。

当 Exchange 2022 客户端访问效劳器与运行 Exchange Server 2022 的邮箱效劳器进行通信时,最好使用 Kerberos 并禁用 NTLM 身份验证和根本身份验证。此外,最好将 Outlook Web App 配置为通过受信任的证书使用基于表单的身份验证。为了使 Exchange ActiveSync 客户端通过 Exchange 2022 客户端访问效劳器与 Exchange 2022 后端效劳器进行通信,必须在 Exchange 2022 后端效劳器的

Microsoft-Server-ActiveSync 虚拟目录中启用 Windows 集成身份验证。假设要在 Exchange 2022 效劳器上使用 Exchange 系统管理器管理

Exchange 2022 虚拟目录上的身份验证,请下载并安装 Microsoft 知识库文章 937031 当移动设备连接至 Exchange 2022 效劳器以访问

Exchange 2022 后端效劳器上的邮箱时,运行 CAS 角色的 Exchange

2022 效劳器将记录事件 ID 1036 中引用的修补程序。

注意:

尽管此知识库文章特定于 Exchange 2022,但也适用于 Exchange 2022。

当客户端访问效劳器代理 POP3 向其他客户端访问效劳器发送请求时,会通过端口 995/TCP 进行通信,无论连接客户端是使用 POP3 并请求

TLS〔位于端口 110/TCP〕,还是使用 SSL 在端口 995/TCP 进行连接。同样,对于 IMAP4 连接,端口 993/TCP 用于代理请求,无论连接客户端是使用 IMAP4 并请求 TLS〔位于端口 443/TCP〕,还是使用带 SSL 加密的 IMAP4 在端口 995 进行连接。

统一消息效劳器

IP 网关和 IP PBX 仅支持基于证书的身份验证,该身份验证使用 Mutual TLS

对 SIP 通信进行加密,并对会话初始协议 (SIP)/TCP 连接使用基于 IP 的身份验证。IP 网关不支持 NTLM 或 Kerberos 身份验证。因此,在使用基于 IP 的身份验证时,将使用连接的 IP 地址为未加密 (TCP) 连接提供身份验证机制。在统一消息 (UM) 中使用基于 IP 的身份验证时,UM 效劳器将验证是否允许连接该 IP 地址。在 IP 网关或 IP PBX 上配置该 IP 地址。

IP 网关和 IP PBX 支持使用 Mutual TLS 对 SIP 通信进行加密。成功导入和导出所需的受信任证书后,IP 网关或 IP PBX 会向 UM 效劳器请求证书,然后再向 IP 网关或 IP PBX 请求证书。通过在 IP 网关或 IP PBX 与 UM 效劳器之间交换受信任证书,可以使 IP 网关或 IP PBX 与 UM 效劳器能够使用

Mutual TLS 通过加密连接进行通信。

下表提供了 UM 效劳器与其他效劳器之间的数据路径的端口、身份验证和加密的有关信息。

统一消息效劳器的数据路径

默认是否支是默认身份验支持的身份持加否证 验证

密? 加密?

是,使用

Kerbero是

s 加密

是,使用 否

数据路径

所需端口

389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、Active

88/TCP/UDP (Kerberos)、DirectoKerberos Kerberos

53/TCP/UDP (DNS)、ry 访问

135/TCP (RPC netlogon)hzwlocked

统一消5060/TCP、5065/TCP、5067/TCP按 IP 地址 按 IP 地

息电话〔不平安〕、5061/TCP、交互〔IP 5066/TCP、5068/TCP〔平安〕、PBX/VoI范围为 16000-17000 的动态端P 网关〕 口/TCP〔控制〕、范围为

1024-65535 的动态 UDP 端口/UDP (RTP)

集成

统一消Windows 身息 Web 80/TCP、443/TCP (SSL)

份验证〔协效劳

商〕

统一消息效劳集成

器到客Windows 身5075, 5076, 5077 (TCP)

户端访份验证〔协问效劳商〕

统一消息效劳器到客户端访NTLM/Kerbe动态 RPC

问效劳ros

器〔在电话上播放〕

统一消息效劳器到集25/TCP (TLS) Kerberos

线器传输效劳器

统一消息效劳NTLM/Kerbe器到邮135/TCP (RPC)

ros

箱效劳器

址、MTLS SIP/TLS、SRTP

根本、摘要式、NTLM、是,使用

协商 SSL

(Kerberos)

根本、摘要式、NTLM、是,使用

协商 SSL

(Kerberos)

是,使用

NTLM/KerbeRPC 加是

ros

Kerberos

是,使用

TLS

是,使用

NTLM/KerbeRPC 加是

ros

有关统一消息效劳器的注释

在 Active Directory 中创立 UM IP 网关对象时,必须定义物理 IP 网关或 IP PBX〔专用交换机〕的 IP 地址。为 UM IP 网关对象定义 IP 地址后,该 IP 地址将添加到允许 UM 效劳器与其进行通信的有效 IP 网关或 IP PBX〔也称为 SIP 对等端〕的列表中。创立 UM IP 网关时,可以将其与 UM 拨号方案相关联。通过将 UM IP 网关与某个拨号方案关联,

与该拨号方案关联的统一消息效劳器可以使用基于 IP 的身份验证与该

IP网关进行通信。如果尚未创立 UM IP 网关,或 UM IP 网关未配置为使用正确的 IP 地址,那么身份验证将失败,UM 效劳器不接受来自该 IP

网关的 IP 地址的连接。此外,在实现 Mutual TLS 和 IP 网关或 IP PBX

和 UM 效劳器时,必须将 UM IP 网关配置为使用 FQDN。将 UM IP 网关配置为使用 FQDN 后,还必须向 UM IP 网关的 DNS 正向查找区域中添加主机记录。

在 Exchange 2022 中,UM 效劳器可以在端口 5060/TCP〔不平安〕或端口 5061/TCP〔平安〕上通信,也可以将其配置为使用这两个端口进行通信。

Exchange 2022 安装程序创立的

Windows 防火墙规那么

高级平安 Windows 防火墙是一种基于主机的有状态防火墙,基于防火墙规那么筛选入站和出站通信。Exchange 2022 安装程序会创立 Windows 防火墙规那么,以便根据各效劳器角色翻开效劳器和客户端通信所需的端口。因此,您不再需要使用平安配置向导 (SCW) 来配置这些设置。有关高级平安 Windows 防火墙的详细信息,请参阅高级平安 Windows 防火墙和 IPsec〔英文〕。

下表列出了由 Exchange 安装程序创立的 Windows 防火墙规那么,包括针对每个效劳器角色翻开的端口。您可以使用高级平安 Windows 防火墙 MMC 管理单元来查看这些规那么。

效劳器角色 端口 程序

客户端访问、MSExchangeADTopo集线器传输、动态 - RPC

邮箱、统一消RPC exe

(TCP-In)

客户端访问、MSExchangeMonito集线器传输、动态 menring - RPC

边缘传输、统RPC

(TCP-In)

一消息

MSExchangeServic动态 eHoeHost - RPC 所有角色

RPC

(TCP-In)

- RPCEPMap 所有角色

Map ost

(TCP-In)

MSExchangeRPCEPMRPC-EP所有角色 任意

ap (GFW) (TCP-In) Map

规那么名称

客户端访问、MSExchangeRPC 集线器传输、动态

(GFW) (TCP-In) 邮箱、统一消RPC

MSExchange - 143,

IMAP4 (GFW) 客户端访问 993

(TCP-In) (TCP)

143,

MSExchangeIMAP4

客户端访问 993

(TCP-In)

(TCP)

110,

MSExchange - POP3

客户端访问 995

(FGW) (TCP-In)

(TCP)

110,

MSExchange - POP3

客户端访问 995

(TCP-In)

(TCP)

5075,

MSExchange - OWA 5076,

客户端访问

(GFW) (TCP-In) 5077

(TCP)

5075,

MSExchangeOWAApp5076,

客户端访问

Pool (TCP-In) 5077

(TCP)

MSExchangeAB-RPC 动态

客户端访问

(TCP-In) RPC

MSExchangeAB-RPCRPC-EP客户端访问

EPMap (TCP-In) Map

6002,

MSExchangeAB-Rpc客户端访问 6004

Http (TCP-In)

(TCP)

RpcHttpLBS 动态

客户端访问

(TCP-In) RPC

MSExchangeRPC - 客户端访问、动态

RPC (TCP-In) 邮箱 RPC

MSExchangeRPC -

客户端访问、RPC-EPPRCEPMap

邮箱 Map

(TCP-In)

MSExchangeRPC 客户端访问、6001

(TCP-In) 邮箱 (TCP)

MSExchangeMailbo808

xReplication 客户端访问

(TCP)

(GFW) (TCP-In)

任意

所有

所有

所有

任意

MSExchangeMailboxReplication 客户端访问

(TCP-In)

MSExchangeIS -

邮箱

RPC (TCP-In)

MSExchangeIS

RPCEPMap 邮箱

(TCP-In)

MSExchangeIS

邮箱

(GFW) (TCP-In)

MSExchangeIS

邮箱

(TCP-In)

MSExchangeMailboxAssistants - RPC 邮箱

(TCP-In)

MSExchangeMailboxAssistants -

邮箱

RPCEPMap

(TCP-In)

MSExchangeMailSubmission - RPC 邮箱

(TCP-In)

MSExchangeMailSubmission -

邮箱

RPCEPMap

(TCP-In)

MSExchangeMigration - RPC 邮箱

(TCP-In)

MSExchangeMigration - RPCEPMap 邮箱

(TCP-In)

MSExchangerepl -

Log Copier 邮箱

(TCP-In)

MSExchangerepl -

邮箱

RPC (TCP-In)

MSExchangerepl -

RPC-EPMap 邮箱

(TCP-In)

808 BinMSExchangeMailboxReplication(TCP) .exe

动态

RPC

Map

6001,

6002,

6003, 任意

6004

(TCP)

6001

(TCP)

动态

RPC

exe

动态

RPC

Map

动态

RPC

Map

64327

(TCP)

动态

RPC

Map

MSExchangeSearch

邮箱

- RPC (TCP-In)

MSExchangeThrottling - RPC 邮箱

(TCP-In)

MSExchangeThrottling - RPCEPMap 邮箱

(TCP-In)

MSFTED - RPC

邮箱

(TCP-In)

MSFTED - RPCEPMap

邮箱

(TCP-In)

MSExchangeEdgeSy集线器传输

nc - RPC (TCP-In)

MSExchangeEdgeSync - RPCEPMap 集线器传输

(TCP-In)

MSExchangeTransportWorker - RPC 集线器传输

(TCP-In)

MSExchangeTransportWorker -

集线器传输

RPCEPMap

(TCP-In)

MSExchangeTransportWorker (GFW) 集线器传输

(TCP-In)

MSExchangeTransportWorker 集线器传输

(TCP-In)

MSExchangeTransp集线器传输、ortLogSearch - 边缘传输、邮RPC (TCP-In) 箱

MSExchangeTransp集线器传输、ortLogSearch -

边缘传输、邮RPCEPMap

(TCP-In)

SESWorker (GFW)

统一消息

(TCP-In)

SESWorker

统一消息

(TCP-In)

UMService (GFW)

统一消息

(TCP-In)

动态

RPC

动态

RPC

Map

动态

RPC

RPC-EPMap

动态

RPC

ncSMap

动态

RPC

Map

25, 587

任意

(TCP)

25, 587

(TCP)

动态

RPC

RPC-EPBinMSExchangeTransportLogSearchMap .exe

任意

任意

任意

5060,

任意

5061

UMService

(TCP-In)

统一消息

UMWorkerProcess

统一消息

(GFW) (TCP-In)

UMWorkerProcess

统一消息

(TCP-In)

UMWorkerProcess

统一消息

- RPC (TCP-In)

5060,

5061

5065,

5066,

5067,

5068

5065,

5066,

5067,

5068

动态

RPC

任意

关于 Exchange 2022 安装程序创立的 Windows 防火墙规那么的说明

在已安装 Internet 信息效劳 (IIS) 的效劳器上,Windows 会翻开

HTTP〔端口 80,TCP〕和 HTTPS〔端口 443,TCP〕端口。Exchange 2022

安装程序不会翻开这些端口。因此,这些端口没有显示在上表中。

在 Windows Server 2022 和 Windows Server 2022 R2 中,高级平安

Windows 防火墙允许您指定为其翻开端口的进程或效劳。这样做会更平安,因为它将对端口的使用限制在规那么中指定的进程或效劳。Exchange

安装程序使用指定的进程名称创立防火墙规那么。在某些情况下,也会出于兼容目的而创立其他不局限于进程的规那么。您可以禁用或删除不局限于进程的规那么,保存对应的局限于进程的规那么〔如果您的部署支持这些规那么〕。可以通过规那么名称中的单词 (GFW) 区分不局限于进程的规那么。

许多 Exchange 效劳使用远程过程调用 (RPC) 进行通信。使用 RPC 的效劳器进程会联系 RPC 终结点映射程序来接收动态终结点并在终结点映射程序数据库中注册这些终结点。RPC 客户端会联系 RPC 终结点映射程序来确定效劳器进程使用的终结点。默认情况下,RPC 终结点映射程序会侦听端口 135 (TCP)。为使用 RPC 的进程配置 Windows 防火墙时,Exchange 2022 安装程序会为该进程创立两个防火墙规那么。一个规那么允许与 RPC 终结点映射程序进行通信,另一个规那么允许与动态分配的终结点进行通信。假设要了解有关 RPC 的详细信息,请参阅 RPC 的工作方式〔英文〕。有关为动态 RPC 创立 Windows 防火墙规那么的详细信息,请参阅允许使用动态 RPC 的入站网络流量。

注意:

您不能修改由 Exchange 2022 安装程序创立的 Windows 防火墙规那么。但可以基于这些规那么创立自定义规那么,然后禁用或删除这些规那么。