Netzwerkports für Clients und Nachrichtenfluss in Exchange 2013
Gilt für: Exchange Server 2013
Dieses Thema enthält Informationen zu den Netzwerkports, die von Microsoft Exchange Server 2013 für die Kommunikation mit E-Mail-Clients, Internet-E-Mail-Servern und anderen Diensten außerhalb Ihrer lokalen Exchange-Organisation verwendet werden. Bevor wir dies vertiefen, möchten wir Sie zunächst mit den folgenden Grundregeln vertraut machen:
Das Einschränken oder Ändern des Netzwerkdatenverkehrs zwischen internen Exchange-Servern, zwischen internen Exchange-Servern und internen Lync- oder Skype for Business-Servern oder zwischen internen Exchange-Servern und internen Active Directory-Domänencontrollern in allen Topologietypen wird nicht unterstützt. Wenn Sie über Firewalls oder Netzwerkgeräte verfügen, die diese Art von Netzwerkdatenverkehr möglicherweise einschränken oder ändern könnten, müssen Sie Regeln konfigurieren, die eine freie und uneingeschränkte Kommunikation zwischen diesen Servern ermöglichen (Regeln, die eingehenden und ausgehenden Netzwerkdatenverkehr an einem beliebigen Port zulassen (einschließlich zufälliger RPC-Ports) und jedes Protokoll, das niemals Bits auf der Verbindung ändert).
Edge-Transport-Server befinden sich fast immer in einem Umkreisnetzwerk, sodass erwartet wird, dass Sie den Netzwerkdatenverkehr zwischen dem Edge-Transport-Server und dem Internet sowie zwischen dem Edge-Transport-Server und Ihrer internen Exchange-Organisation beschränken. Diese Netzwerkports werden in diesem Thema beschrieben.
Es wird erwartet, dass Sie den Netzwerkverkehr zwischen externen Clients und Diensten und Ihrer internen Exchange-Organisation beschränken. Sie können auch den Netzwerkdatenverkehr zwischen internen Clients und internen Exchange-Servern beschränken. Diese Netzwerkports werden in diesem Thema beschrieben.
Für Clients und Dienste erforderliche Netzwerkports
Die Netzwerkports, die E-Mail-Clients für den Zugriff auf Postfächer und andere Dienste in der Exchange-Organisation benötigen, werden in der nachstehenden Abbildung und Tabelle beschrieben.
Hinweise:
Das Ziel dieser Clients und Dienste ist ein Clientzugriffsserver. Dabei kann es sich um einen eigenständigen Clientzugriffsserver oder einen Clientzugriffsserver und Postfachserver handeln, die auf demselben Computer installiert sind.
Obwohl das Diagramm Clients und Dienste aus dem Internet zeigt, sind die Konzepte für interne Clients identisch (z. B. Clients in einer Kontengesamtstruktur, die auf Exchange-Server in einer Ressourcengesamtstruktur zugreifen). Ebenso enthält die Tabelle keine Quellspalte, da es sich bei der Quelle um einen beliebigen Speicherort handeln kann, der außerhalb der Exchange-Organisation liegt (z. B. internet oder eine Kontengesamtstruktur).
Edge-Transport-Server sind nicht am Netzwerkdatenverkehr beteiligt, der diesen Clients und Diensten zugeordnet ist.
Zweck | Ports | Kommentare |
---|---|---|
Verschlüsselte Webverbindungen werden von folgenden Clients und Diensten verwendet:
|
443/TCP (HTTPS) | Weitere Informationen zu diesen Clients und Diensten finden Sie in den folgenden Themen: |
Unverschlüsselte Webverbindungen werden von folgenden Clients und Diensten verwendet:
|
80/TCP (HTTP) | Sofern möglich, empfehlen wir die Verwendung verschlüsselter Webverbindungen an 443/TCP zum Schutz von Daten und Anmeldeinformationen. Möglicherweise müssen einige Dienste jedoch für die Verwendung unverschlüsselter Webverbindungen mit dem Clientzugriffsserver an 80/TCP konfiguriert werden. Weitere Informationen zu diesen Clients und Diensten finden Sie in den folgenden Themen: |
IMAP4-Clients | 143/TCP (IMAP), 993/TCP (sicheres IMAP) | IMAP4 ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter >POP3 und IMAP4 in Exchange Server 2013. Der IMAP4-Dienst auf dem Clientzugriffsserver dient als Proxy für Verbindungen mit dem IMAP4-Back-End-Dienst auf einem Postfachserver. |
POP3-Clients | 110/TCP (POP3), 995/TCP (sicheres POP3) | POP3 ist standardmäßig deaktiviert. Weitere Informationen finden Sie unter >POP3 und IMAP4 in Exchange Server 2013. Der POP3-Dienst auf dem Clientzugriffsserver dient als Proxy für Verbindungen mit dem POP3-Back-End-Dienst auf einem Postfachserver. |
SMTP-Clients (authentifiziert) | 587/TCP (authentifiziertes SMTP) | Der Standardmäßig empfangene Connector mit dem Namen "Name> des Client-Front-End-Servers<" lauscht auf authentifizierten SMTP-Clientübermittlungen an Port 587 auf dem Clientzugriffsserver. Hinweis: Wenn Sie über E-Mail-Clients verfügen, die authentifizierte SMTP-E-Mails nur an Port 25 senden können, können Sie den Wert der Netzwerkadapterbindungen dieses Empfangsconnectors ändern, um auch auf authentifizierte SMTP-E-Mail-Übermittlungen an Port 25 zu lauschen. |
Für den E-Mail-Fluss erforderliche Netzwerkports
Die Übermittlung von E-Mails an Ihre und aus Ihrer Exchange-Organisation richtet sich nach Ihrer Exchange-Topologie. Der wichtigste Faktor ist, ob Sie in Ihrem Umkreisnetzwerk einen abonnierten Edge-Transport-Server bereitgestellt haben.
Für den E-Mail-Fluss Netzwerkports (ohne Edge-Transport-Server)
Die Netzwerkports, die für den E-Mail-Fluss in einer Exchange-Organisation mit nur Clientzugriffs- und Postfachservern erforderlich sind, werden in der folgenden Abbildung und Tabelle beschrieben. Obwohl die Abbildung getrennte Postfach- und Clientzugriffsserver zeigt, sind die Konzepte für auf demselben Computer oder auf getrennten Computern installierte Clientzugriffsserver und Postfachserver identisch.
Zweck | Ports | Source | Ziel | Kommentare |
---|---|---|---|---|
Eingehende E-Mails | 25/TCP (SMTP) | Internet (alle) | Clientzugriffsserver | Der Standard-Empfangsconnector mit dem Namen "Standardname> des Front-End-Clientzugriffsservers<" auf dem Clientzugriffsserver lauscht auf anonyme eingehende SMTP-E-Mails an Port 25. E-Mails werden vom Clientzugriffsserver mithilfe des impliziten und unsichtbaren organisationsinternen Sendeconnectors an einen Postfachserver weitergeleitet. Dieser Connector leitet E-Mails automatisch zwischen Exchange-Servern in der gleichen Organisation weiter. |
Ausgehende E-Mails | 25/TCP (SMTP) | Postfachserver | Internet (alle) | Standardmäßig erstellt Exchange keine Sendeconnectors, die das Senden von E-Mail an das Internet ermöglichen. Sie müssen Sendeconnectors manuell erstellen. Weitere Informationen finden Sie unter Sendeconnectors. |
Ausgehende E-Mails (bei Weiterleitung über den Clientzugriffsserver) | 25/TCP (SMTP) | Clientzugriffsserver | Internet (alle) | Ausgehende E-Mails werden nur dann über einen Clientzugriffsserver weitergeleitet, wenn ein Sendeconnector mit Proxy über Clientzugriffsserver im Exchange Admin Center oder -FrontEndProxyEnabled $true in der Exchange-Verwaltungsshell konfiguriert ist. In diesem Fall lauscht der Standard-Empfangsconnector mit dem Namen "Name des Clientzugriffsservers> für ausgehende Proxy-Front-End-Clientzugriffsserver<" auf ausgehende E-Mails vom Postfachserver. Weitere Informationen finden Sie unter Erstellen eines Sendeconnectors für E-Mails, die über das Internet gesendet werden. |
DNS für die Namensauflösung des nächsten E-Mail-Hops (nicht abgebildet) | 53/UDP, 53/TCP (DNS) | InternetfähigeExchange-Server (Clientzugriffsserver oder Postfachserver) | DNS-Server | Weitere Informationen finden Sie im Abschnitt Namensauflösung. |
Netzwerkports, die für den E-Mail-Fluss mit Edge-Transport-Servern erforderlich sind
Ein abonnierter Edge-Transport-Server, der im Umkreisnetzwerk installiert ist, beseitigt im Wesentlichen den SMTP-E-Mail-Fluss durch den Clientzugriffsserver. Insbesondere gilt:
Ausgehende E-Mails von der Exchange-Organisation durchlaufen nie einen Clientzugriffsserver. E-Mails werden stets von einem Postfachserver am abonnierten Active Directory-Standort zum Edge-Transport-Server geleitet (ungeachtet der Version von Exchange auf dem Edge-Transport-Server).
Eingehende E-Mails durchlaufen nie einen eigenständigen Clientzugriffsserver. E-Mails werden vom Edge-Transport-Server an einen Postfachserver am abonnierten Active Directory-Standort geleitet. Wenn der Postfachserver und der Clientzugriffsserver auf demselben Computer installiert sind, werden E-Mails von einem Exchange 2013-Edge-Transport-Server zunächst zum Computer mit dem Front-End-Transportdienst (der Clientzugriffs-Serverrolle) geleitet, bevor sie zum Transportdienst (der Postfachserverrolle) geleitet werden. Exchange 2007 oder Exchange 2010-Edge-Transport-Server übertragen E-Mails immer direkt an den Transportdienst, selbst wenn Postfachserver und Clientzugriffsserver auf demselben Computer installiert sind.
Weitere Informationen finden Sie unter Nachrichtenübermittlung.
Die Netzwerkports, die für den E-Mail-Fluss in Exchange-Organisationen erforderlich sind, die über Edge-Transport-Server verfügen, werden in der folgenden Abbildung und Tabelle beschrieben. Sofern nicht anders angegeben, gelten die Konzepte ungeachtet dessen, ob der Clientzugriffsserver und Postfachserver auf demselben Computer oder auf getrennten Computern installiert sind.
Zweck | Ports | Source | Ziel | Kommentare |
---|---|---|---|---|
Eingehende E-Mails - Internet zu Edge-Transport-Server | 25/TCP (SMTP) | Internet (alle) | Edge-Transport-Server | Der Standard-Empfangsconnector mit dem Namen "Standardname> des internen Empfangsconnectors< Edge-Transport-Server" auf dem Edge-Transport-Server lauscht auf anonyme SMTP-E-Mails an Port 25. |
Eingehende E-Mails - Edge-Transport-Server zu interner Exchange-Organisation | 25/TCP (SMTP) | Edge-Transport-Server | Postfachserver am abonnierten Active Directory-Standort | Der Standardmäßige Sendeconnector mit dem Namen "EdgeSync – Name des Active Directory-Standorts> für eingehenden< Datenverkehr" leitet eingehende E-Mails an Port 25 an einen beliebigen Postfachserver am abonnierten Active Directory-Standort weiter. Weitere Informationen finden Sie im Abschnitt „Beim Edge-Abonnementprozess erstellte Sendeconnectors" im Thema Edge-Abonnements. Welcher Dienst E-Mails tatsächlich empfängt, hängt davon ab, ob Postfachserver und Clientzugriffsserver auf demselben Computer oder auf getrennten Computern installiert sind.
|
Ausgehende E-Mails - interne Exchange-Organisation zu Edge-Transport-Server | 25/TCP (SMTP) | Postfachserver am abonnierten Active Directory-Standort | Edge-Transport-Server | Ausgehende E-Mails umgehen stets den Clientzugriffsserver. E-Mails werden von einem beliebigen Postfachserver am abonnierten Active Directory-Standort mithilfe des impliziten und unsichtbaren organisationsinternen Sendeconnectors an einen Edge-Transport-Server weitergeleitet. Dieser Connector leitet E-Mails automatisch zwischen Exchange-Servern in derselben Organisation weiter. Der Standard-Empfangsconnector mit dem Namen "Standardname> des internen Edge-Transport-Servers des Empfangsconnectors<" auf dem Edge-Transport-Server lauscht auf SMTP-E-Mail an Port 25 von einem beliebigen Postfachserver am abonnierten Active Directory-Standort. |
Ausgehende E-Mails - Edge-Transport-Server zu Internet | 25/TCP (SMTP) | Edge-Transport-Server | Internet (alle) | Der Standardmäßige Sendeconnector mit dem Namen "EdgeSync – <Active Directory-Standortname> an das Internet" leitet ausgehende E-Mails an Port 25 vom Edge-Transport-Server an das Internet weiter. |
EdgeSync-Synchronisierung | 50636/TCP (sicheres LDAP) | Postfachserver am abonnierten Active Directory-Standort, die an der EdgeSync-Synchronisierung teilnehmen | Edge-Transport-Server | Wenn der Edge-Transport-Server für den Active Directory-Standort abonniert ist, nehmen alle Postfachserver, die zum jeweiligen Zeitpunkt an diesem Standort vorhanden sind, an der EdgeSync-Synchronisierung teil. Postfachserver, die Sie später hinzufügen, nehmen jedoch nicht automatisch an der EdgeSync-Synchronisierung teil. |
DNS für die Namensauflösung des nächsten E-Mail-Hops (nicht abgebildet) | 53/UDP, 53/TCP (DNS) | Edge-Transport-Server | DNS-Server | Weitere Informationen finden Sie im Abschnitt Namensauflösung. |
Proxyserverdefinition für die Absenderzuverlässigkeit (nicht abgebildet) | Benutzerdefiniert | Edge-Transport-Server | Internet | Die Absenderzuverlässigkeit (der Protokollanalyse-Agent) analysiert die Pfade eingehender Nachrichten, um Spam zu reduzieren. Wenn Ihre Organisation einen Proxyserver zum Steuern des Zugriffs auf das Internet verwendet, müssen Sie Details zum Proxyserver definieren, damit die Absenderzuverlässigkeit ordnungsgemäß funktionieren kann (insbesondere die Erkennung offener Proxys und die Blockierung von Absendern). Sie verwenden die Parameter ProxyServerName, ProxyServerPort und ProxyServerType im Cmdlet Set-SenderReputationConfig , um den Proxyserver Ihrer Organisation zu definieren, damit die Absenderzuverlässigkeit erfolgreich eine Verbindung mit dem Internet herstellen kann. Weitere Informationen finden Sie unter Verwalten der Absenderzuverlässigkeit. |
Namensauflösung
DNS-Auflösung des nächsten E-Mail-Hops ist ein grundlegender Bestandteil des E-Mail-Flusses in jeder Exchange-Organisation. Exchange-Server, die für das Empfangen von eingehenden E-Mails oder das Übermitteln von ausgehenden E-Mails zuständig sind, müssen in der Lage sein, interne und externe Hostnamen für die richtige E-Mail-Weiterleitung aufzulösen. Alle internen Exchange-Server müssen in der Lage, interne Hostnamen für die richtige E-Mail-Weiterleitung aufzulösen . Es gibt zahlreiche Möglichkeiten zum Entwerfen einer DNS-Infrastruktur, doch wichtig ist es, eine ordnungsgemäße Funktionsweise der Namensauflösung des nächsten Hops für alle Exchange-Server sicherzustellen.
Für Hybridbereitstellungen erforderliche Netzwerkports
Die Netzwerkports, die für eine Organisation erforderlich sind, die sowohl Exchange 2013 als auch Microsoft 365 oder Office 365 verwendet, werden im Abschnitt "Protokolle, Port und Endpunkte für hybride Bereitstellung" unter Voraussetzungen für die Hybridbereitstellung behandelt.
Für Unified Messaging erforderliche Netzwerkports
Die Netzwerkports, die für Unified Messaging erforderlich sind, werden in den folgenden Themen behandelt: