Справка по безопасности путей данных
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2009-06-05
В этом разделе рассказывается о портах, проверке подлинности и шифровании для всех путей данных, используемых Microsoft Exchange Server 2007. В разделе «Примечания», следующем за каждой таблицей, объясняются или определяются нестандартные способы проверки подлинности или шифрования.
Транспортные серверы
В Exchange 2007 существует две роли сервера, которые выполняют функции транспорта сообщений: транспортный сервер-концентратор и пограничный транспортный сервер.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных между данными транспортными серверами и другими серверами и службами Exchange 2007.
Пути данных для транспортных серверов
| Путь данных | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
|---|---|---|---|---|---|
Между двумя транспортными серверами-концентраторами |
25/TCP (TLS) |
Kerberos |
Kerberos |
Да (TLS) |
Да |
С транспортного сервера-концентратора на пограничный транспортный сервер |
25/TCP (TLS) |
Прямое доверие |
Прямое доверие |
Да (TLS) |
Да |
С пограничного транспортного сервера на транспортный сервер-концентратор |
25/TCP (TLS) |
Прямое доверие |
Прямое доверие |
Да (TLS) |
Да |
Между двумя пограничными транспортными серверами |
25/TCP (TLS), 389/TCP/UDP и 80/TCP (проверка подлинности на основе сертификатов) |
Анонимно, проверка подлинности с помощью сертификата |
Анонимно, проверка подлинности с помощью сертификата |
Да (TLS) |
Да |
С сервера почтовых ящиков на транспортный сервер-концентратор через службу отправки почты Microsoft Exchange |
135/TCP (RPC) |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos. |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
С транспортного сервера-концентратора на сервер почтовых ящиков через MAPI |
135/TCP (RPC) |
NTLM. Если роль транспортного сервера-концентратора и роль сервера почтовых ящиков выполняются на одном сервере, используется протокол Kerberos. |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
С сервера единой системы обмена сообщениями на транспортный сервер-концентратор |
25/TCP (TLS) |
Kerberos |
Kerberos |
Да (TLS) |
Да |
Служба Microsoft Exchange EdgeSync |
50636/TCP (SSL), 50389/TCP (без SSL) |
Обычная |
Обычная |
Да (LDAPS) |
Да |
Служба каталогов ADAM на пограничном транспортном сервере |
50389/TCP (без SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
Доступ к службе каталогов Active Directory с транспортного сервера-концентратора |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да (шифрование Kerberos) |
Да |
SMTP-клиент пользователя, например Outlook Express, на транспортный сервер-концентратор |
25/TCP (TLS), 587 (TLS) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (TLS) |
Да |
Примечания для транспортных серверов
Весь трафик между транспортными серверами-концентраторами шифруется с использованием TLS и самозаверяющих сертификатов, установленных по умолчанию программой установки Exchange 2007. Проверка подлинности трафика между транспортными серверами-концентраторами осуществляется с использованием протокола Kerberos.
Весь трафик между пограничными транспортными серверами и транспортными серверами-концентраторами проходит проверку подлинности и шифруется. В качестве механизма проверки подлинности и шифрования используется Mutual TLS. Вместо проверки X.509 для проверки подлинности сертификатов в Exchange 2007 используется прямое доверие. Прямое доверие означает, что наличие сертификата в Active Directory или ADAM подтверждает подлинность сертификата. Active Directory считается доверенным механизмом хранения. Когда используется прямое доверие, не имеет значения, применяется ли самозаверяющий сертификат или же сертификат, подписанный центром сертификации. При подписке пограничного транспортного сервера на организацию Exchange пограничная подписка публикует сертификат пограничного транспортного сервера в Active Directory, чтобы транспортные серверы-концентраторы могли его проверять. Служба Microsoft Exchange EdgeSync добавляет в ADAM набор сертификатов транспортного сервера-концентратора, чтобы пограничный транспортный сервер проверил их.
По умолчанию трафик между пограничными транспортными серверами, расположенными в двух различных организациях, шифруется. Программа установки Exchange 2007 создает самозаверяющий сертификат и включает по умолчанию TLS. Это позволяет любой отправляющей системе шифровать входящие сеансы SMTP на Microsoft Exchange. По умолчанию Exchange 2007 также пытается использовать TLS для всех удаленных подключений.
Способы проверки подлинности для трафика между транспортными серверами-концентраторами и серверами почтовых ящиков отличаются, если роли транспортного сервера-концентратора и сервера почтовых ящиков установлены на одном компьютере. При локальной передаче почты используется проверка подлинности Kerberos. При удаленной передаче почты используется проверка подлинности NTLM.
Exchange 2007 также поддерживает безопасность домена. Безопасность домена — это набор функций Exchange 2007 и Microsoft Office Outlook 2007, которые являются недорогой альтернативой S/MIME и другим решениям для обеспечения безопасности передачи сообщений через Интернет. Цель набора функций безопасности домена заключается в предоставлении администраторам способа управления безопасными путями сообщений между доменами через Интернет. После настройки таких безопасных путей сообщения от прошедших проверку подлинности отправителей, которые успешно переданы по безопасному пути, отображаются для пользователей как "защищенные на уровне домена" в интерфейсе Outlook и Outlook Web Access . Дополнительные сведения см. в разделе Планирование безопасности домена.
Многие агенты могут выполняться как на транспортных серверах-концентраторах, так и на пограничных транспортных серверах. Как правило, агенты защиты от нежелательной почты используют сведения локального компьютера, на котором они выполняются. Таким образом, практически не требуется взаимодействие с удаленными компьютерами. Исключением является фильтрация получателей. Эта функция требует вызовов ADAM или Active Directory. Фильтрацию получателей рекомендуется выполнять на пограничном транспортном сервере. В этом случае каталог ADAM находится на том же компьютере, что и пограничный транспортный сервер, поэтому удаленная связь не требуется. Если функция фильтрации получателей установлена и настроена на транспортном сервере-концентраторе, необходим доступ к Active Directory.
Агент анализа протокола используется функцией репутации отправителя в Exchange 2007. Этот агент также подключается к различным внешним прокси-серверам, чтобы определить пути входящих сообщений для подозрительных подключений.
Все остальные функции защиты от нежелательной почты используют данные, которые собираются, хранятся и используются только на локальном компьютере. Зачастую такие данные, как объединенные списки надежных отправителей или данные получателей для фильтрации получателей, принудительно отправляются в локальный каталог ADAM с помощью службы Microsoft Exchange EdgeSync.
Функции ведения журнала и классификации сообщений работают на транспортных серверах-концентраторах и используют данные Active Directory.
Сервер почтовых ящиков
В контексте роли сервера почтовых ящиков используемый способ проверки подлинности (NTLM или Kerberos) зависит от контекста пользователя или процесса, в котором запущен получатель уровня бизнес-логики Exchange. В данном контексте получателем является любое приложение или процесс, использующие уровень бизнес-логики Exchange. Во многих ячейках «Проверка подлинности по умолчанию» таблицы «Пути данных для серверов почтовых ящиков» в данном разделе указан способ проверки подлинности «NTLM/Kerberos».
Уровень бизнес-логики Exchange используется для доступа к хранилищу Exchange и взаимодействия с ним. Уровень бизнес-логики Exchange также вызывается из хранилища Exchange для взаимодействия с внешними приложениями и процессами.
Если получатель уровня бизнес-логики Exchange выполняется в контексте локальной системы, способом проверки подлинности при доступе получателя к хранилищу Exchange всегда является Kerberos. Способ проверки подлинности Kerberos используется из-за того, что подлинность получателя необходимо проверять с использованием учетной записи компьютера «Локальная система», а также требуется двустороннее доверие с проверкой подлинности.
Если получатель уровня бизнес-логики Exchange выполняется не в контексте локальной системы, способом проверки подлинности является NTLM. Например, когда администратор запускает командлет командной консоли Exchange, использующий уровень бизнес-логики Exchange, применяется NTLM.
Трафик RPC всегда шифруется.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании путей данных для серверов почтовых ящиков.
Пути данных для серверов почтовых ящиков
| Путь данных | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию | ||
|---|---|---|---|---|---|---|---|
Доставка журналов для кластера с непрерывной репликацией и локальной непрерывной репликации |
445/TCP |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
Заполнение для кластера с непрерывной репликацией и резервной непрерывной репликации |
Случайный порт |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
Резервное копирование службы теневого копирования томов (VSS) |
Локальный блок сообщений (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
||
Резервное копирование для прежних версий |
Случайный порт |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
Кластеризация |
135 /TCP (RPC). См. раздел «Примечания для серверов почтовых ящиков» после этой таблицы. |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
Доступ MAPI |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Помощники по обслуживанию почтовых ящиков |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
||
Веб-служба доступности (клиентский доступ к почтовому ящику) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Доступ к Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да (шифрование Kerberos) |
Да |
||
Индексирование содержимого |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Административный удаленный доступ (удаленный реестр) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
Административный удаленный доступ (SMB, файлы) |
445/TCP (SMB) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (IPsec) |
Нет |
||
RPC-доступ к службе обновления получателей |
135/TCP (RPC) |
Kerberos |
Kerberos |
Да (шифрование RPC) |
Да |
||
Доступ для службы топологии Microsoft Exchange Active Directory |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Устаревший доступ для службы системного помощника Microsoft Exchange (прослушивание запросов) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Нет |
Нет |
||
Устаревший доступ службы системного помощника Microsoft Exchange к Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да (шифрование Kerberos) |
Да |
||
Устаревший доступ для службы системного помощника Microsoft Exchange (в качестве MAPI-клиента) |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Доступ автономной адресной книги к Active Directory |
135/TCP (RPC) |
Kerberos |
Kerberos |
Да (шифрование RPC) |
Да |
||
Обновление получателей в Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да (шифрование Kerberos) |
Да |
||
DSAccess к Active Directory |
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (сетевой вход в систему RPC) |
Kerberos |
Kerberos |
Да (шифрование Kerberos) |
Да |
||
Доступ Outlook к автономной адресной книге
|
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
WebDav |
80/TCP, 443/TCP (SSL) |
Обычная проверка подлинности, NTLM, Negotiate |
Обычная проверка подлинности, NTLM, Negotiate |
Да (HTTPS) |
Да |
.gif "note")
Примечание.Примечания для серверов почтовых ящиков
Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.
Между собой узлы кластера взаимодействуют через UDP-порт 3343. Каждый узел кластера периодически обменивается с остальными узлами кластера последовательными одноадресными UDP-датаграммами. Этот обмен выполняется с целью определения правильности работы всех узлов, а также для наблюдения за работоспособностью сетевых соединений.
Хотя приложения или клиенты WebDav могут подключаться к серверу почтовых ящиков через TCP-порт 80 или 443, в большинстве случаев они подключаются к серверу клиентского доступа. После этого сервер клиентского доступа подключается к серверу почтовых ящиков через TCP-порт 80 или 443.
Для пути данных при кластеризации, приведенном в таблице «Пути данных для серверов почтовых ящиков» данного раздела, используется динамический протокол RPC (TCP) для передачи данных о состоянии и активности кластера между узлами кластера. Служба кластеров (ClusSvc.exe) также использует UDP-порт 3343 и случайным образом назначенные TCP-порты с высокими номерами для взаимодействия между узлами кластера.
Сервер клиентского доступа
Если не указано иное, технологии клиентского доступа, например Microsoft Office Outlook Web Access, POP3 или IMAP4, описаны в контексте проверки подлинности и шифрования при подключении клиентского приложения к серверу клиентского доступа.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами клиентского доступа и другими серверами и клиентами.
Пути данных для серверов клиентского доступа
| Путь данных | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию | ||
|---|---|---|---|---|---|---|---|
Служба автообнаружения |
80/TCP, 443/TCP (SSL) |
Обычная проверка подлинности, встроенная проверка подлинности Windows (Negotiate) |
Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos) |
Да (HTTPS) |
Да |
||
Служба доступности |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM, Kerberos |
Да (HTTPS) |
Да |
||
Outlook Web Access |
80/TCP, 443/TCP (SSL) |
Проверка подлинности на основе форм |
Обычная проверка подлинности, дайджест-проверка подлинности, проверка подлинности на основе форм, NTLM (только версии 2), Kerberos, проверка подлинности с помощью сертификата |
Да (HTTPS) |
Да, с использованием самозаверяющего сертификата |
||
POP3 |
110/TCP (TLS), 995/TCP (SSL) |
Обычная проверка подлинности, NTLM, Kerberos |
Обычная проверка подлинности, NTLM, Kerberos |
Да (SSL, TLS) |
Да |
||
IMAP4 |
143/TCP (TLS), 993/TCP (SSL) |
Обычная проверка подлинности, NTLM, Kerberos |
Обычная проверка подлинности, NTLM, Kerberos |
Да (SSL, TLS) |
Да |
||
Мобильный Outlook (прежнее название — RPC через HTTP) |
80/TCP, 443/TCP (SSL) |
Обычная |
Обычная проверка подлинности или NTLM |
Да (HTTPS) |
Да |
||
Приложение Exchange ActiveSync |
80/TCP, 443/TCP (SSL) |
Обычная |
Обычная проверка подлинности, проверка подлинности с помощью сертификата |
Да (HTTPS) |
Да |
||
С сервера клиентского доступа на сервер единой системы обмена сообщениями |
5060/TCP, 5061/TCP, 5062/TCP, динамический порт |
По IP-адресу |
По IP-адресу |
Да (SIP через TLS) |
Да |
||
С сервера клиентского доступа на сервер почтовых ящиков, на котором запущена предыдущая версия Exchange Server |
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
Negotiate (Kerberos с резервным способом: NTLM или обычная проверка подлинности), POP/IMAP (обычный текст) |
Да (IPsec) |
Нет |
||
С сервера клиентского доступа на сервер почтовых ящиков Exchange 2007 |
RPC. См. раздел «Примечания для серверов клиентского доступа» после данной таблицы. |
Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
||
Между серверами клиентского доступа (Exchange ActiveSync) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos, проверка подлинности с помощью сертификата |
Да (HTTPS) |
Да, с использованием самозаверяющего сертификата |
||
Между серверами клиентского доступа (Outlook Web Access) |
80/TCP, 443/TCP (SSL) |
Kerberos |
Kerberos |
Да (HTTPS) |
Да |
||
WebDAV |
80/TCP, 443/TCP (SSL) |
Обычная проверка подлинности HTTP или проверка подлинности на основе форм Outlook Web Access |
Обычная проверка подлинности, проверка подлинности на основе форм Outlook Web Access |
Да (HTTPS) |
Да |
||
Доступ Outlook к автономной адресной книге
|
80/TCP, 443/TCP (SSL) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (HTTPS) |
Нет |
Примечания для серверов клиентского доступа
Сервер клиентского доступа взаимодействует с сервером почтовых ящиков, используя множество портов. За некоторыми исключениями эти порты определяются службой удаленного вызова процедур (RPC) и не являются фиксированными. Можно указать диапазон динамических портов, используемых службой RPC. Дополнительные сведения об ограничении диапазона динамических портов, используемых службой RPC, см. в статье 154596 базы знаний Майкрософт Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.
.gif "important") Важно! |
|---|
| Конфигурации, в которых в пределах одного сайта Active Directory между серверами клиентского доступа и серверами почтовых ящиков находится брандмауэр, не поддерживаются. |
| Важно! |
|---|
| Не поддерживаются конфигурации, в которых сервер клиентского доступа установлен в демилитаризованной зоне. Сервер клиентского доступа должен быть членом домена Active Directory, а учетная запись компьютера с сервером клиентского доступа должна быть членом группы безопасности Active Directory «Серверы Exchange». Группе безопасности Active Directory «Серверы Exchange» разрешен доступ для чтения и записи ко всем серверам Exchange в организации. Взаимодействие между сервером клиентского доступа и серверами почтовых ящиков в организации осуществляется с помощью RPC. Именно поэтому не поддерживается установка сервера клиентского доступа в демилитаризованной зоне. |
Для проверки подлинности HTTP, для которой указано «Negotiate», сначала выполняется попытка использовать проверку подлинности Kerberos, а затем — проверку подлинности NTLM.
При взаимодействии сервера клиентского доступа Exchange 2007 с сервером почтовых ящиков, на котором установлена версия Exchange Server 2003, рекомендуется использовать Kerberos и отключить проверку подлинности NTLM и обычную проверку подлинности. Кроме того, рекомендуется настроить веб-клиент Outlook на использование проверки подлинности на основе форм с доверенным сертификатом. Для того, чтобы клиенты Exchange ActiveSync могли взаимодействовать, используя все от сервера клиентского доступа Exchange 2007 до фонового сервера Exchange 2003, необходимо включать интегрированную проверку подлинности Windows для виртуального каталога Microsoft-Server-ActiveSync на фоновом сервере Exchange 2003. Чтобы использовать диспетчер Exchange на сервере с Exchange 2003 для управления проверкой подлинности в виртуальном каталоге Exchange 2003, загрузите и установите исправление, описанное в статье 937301 базы знаний Майкрософт Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server (на английском языке).
Сервер единой системы обмена сообщениями
Шлюзы IP поддерживают только проверку подлинности с помощью сертификата, при которой используется проверка подлинности Mutual TLS и проверка подлинности на основе IP-адреса для подключений по протоколам SIP или TCP. Шлюзы IP не поддерживают проверку подлинности NTLM или Kerberos. Таким образом, при использовании проверки подлинности на основе IP-адреса в качестве механизма проверки подлинности для незашифрованных подключений (TCP) используются IP-адреса подключений. При использовании в единой системе обмена сообщениями проверки подлинности на основе IP-адресов сервер единой системы обмена сообщениями проверяет, разрешено ли данному IP-адресу подключаться. IP-адрес настраивается на шлюзе IP или IP PBX.
В следующей таблице приведены сведения о портах, проверке подлинности и шифровании для путей данных между серверами единой системы обмена сообщениями и другими серверами.
Пути данных для серверов единой системы обмена сообщениями
| Путь данных | Требуемые порты | Проверка подлинности по умолчанию | Поддерживаемый способ проверки подлинности | Поддержка шифрования | Шифрование данных по умолчанию |
|---|---|---|---|---|---|
Факс единой системы обмена сообщениями |
5060/TCP, 5061/TCP, 5062/TCP, динамический порт |
По IP-адресу |
По IP-адресу |
SIP через TLS, но носитель не шифруется |
Да для SIP |
Взаимодействие с единой системой обмена сообщениями по телефону (АТС) |
5060/TCP, 5061/TCP, 5062/TCP, динамический порт |
По IP-адресу |
По IP-адресу |
SIP через TLS, но носитель не шифруется |
Да для SIP |
Веб-служба единой системы обмена сообщениями |
80/TCP, 443/TCP (SSL) |
Интегрированная проверка подлинности Windows (Negotiate) |
Обычная проверка подлинности, дайджест-проверка подлинности, NTLM, Negotiate (Kerberos) |
Да (SSL) |
Да |
С сервера единой системы обмена сообщениями на транспортный сервер-концентратор |
25/TCP (SSL) |
Kerberos |
Kerberos |
Да (TLS) |
Да |
С сервера единой системы обмена сообщениями на сервер почтовых ящиков |
135/TCP (RPC) |
NTLM/Kerberos |
NTLM/Kerberos |
Да (шифрование RPC) |
Да |
Примечания для серверов единой системы обмена сообщениями
При создании в Active Directory объекта шлюза IP единой системы обмена сообщениями необходимо определить IP-адрес физического шлюза IP или IP PBX (АТС). При определении IP-адреса объекта шлюза IP единой системы обмена сообщениями IP-адрес добавляется в список допустимых шлюзов IP, с которыми разрешено взаимодействовать серверу единой системы обмена сообщениями. При создании шлюза IP единой системы обмена сообщениями он сопоставляется с абонентской группой единой системы обмена сообщениями. Сопоставление шлюза IP единой системы обмена сообщениями с абонентской группой позволяет серверам единой системы обмена сообщениями, сопоставленным с абонентской группой, использовать проверку подлинности на основе IP-адреса для взаимодействия со шлюзом IP. Если шлюз IP единой системы обмена сообщениями не создан или не настроен на использование правильного IP-адреса, произойдет сбой проверки подлинности, а серверы единой системы обмена сообщениями не будут принимать подключения с IP-адреса данного шлюза IP.
В исходной окончательной первоначальной (RTM) версии Exchange 2007 сервер единой системы обмена сообщениями может взаимодействовать либо через TCP-порт 5060 (небезопасный), либо через TCP-порт 5061 (безопасный), но не через оба порта.
Дополнительные сведения см. в разделах Общие сведения о безопасности VoIP единой системы обмена сообщениями и Общие сведения о протоколах, портах и службах в единой системе обмена сообщениями.
Дополнительные сведения
Дополнительные сведения см. в статье 179442 базы знаний Майкрософт Настройка брандмауэра для установления доверительных отношений между доменами.