Mandic Wiki

Referências Microsfot Exchange

Servidores de Transporte

O Exchange 2010 contém duas funções de servidor que executam a funcionalidade de transporte de mensagens: Servidores de Transporte de Hub e de Borda.

A tabela a seguir fornece informações sobre portas, autenticação e criptografia para os caminhos de dados entre esses servidores de transporte e outros servidores e serviços do Exchange 2010.

Caminhos de dados do servidor de transporte

Caminho de dadosPortas necessáriasAutenticação padrãoAutenticação aceitaCriptografia aceita?

Servidor de Transporte de Hub para servidor de Transporte de Hub

25/TCP (SMTP)

Kerberos

Kerberos

Sim, usando o protocolo TLS (Transport Layer Security)

Servidor de Transporte de Hub para servidor de Transporte de Borda

25/TCP (SMTP)

Confiança direta

Confiança direta

Sim, usando TLS

Servidor de Transporte de Borda para servidor de Transporte de Hub

25/TCP (SMTP)

Confiança direta

Confiança direta

Sim, usando TLS

Servidor de Transporte de Borda para servidor de Transporte de Borda

25/TCP (SMTP)

Anônimo, Certificado

Anônimo, Certificado

Sim, usando TLS

Servidor de Caixa de Correio para servidor de Transporte de Hub através do Serviço de Envio de Mensagens do Microsoft Exchange

135/TCP (RPC)

NTLM. Se as funções de servidor Transporte de Hub e Caixa de Correio estiverem no mesmo servidor, será utilizado o Kerberos.

NTLM/Kerberos

Sim, usando criptografia RPC

Transporte de Hub para servidor de Caixa de Correio via MAPI

135/TCP (RPC)

NTLM. Se as funções de servidor Transporte de Hub e Caixa de Correio estiverem no mesmo servidor, será utilizado o Kerberos.

NTLM/Kerberos

Sim, usando criptografia RPC

Servidor de Unificação de Mensagens para servidor de Transporte de Hub

25/TCP (SMTP)

Kerberos

Kerberos

Sim, usando TLS

Microsoft Serviço Exchange EdgeSync do servidor de Transporte de Hub para o servidor de Transporte de Borda

50636/TCP (SSL)

Básica

Básica

Sim, usando LDAP sobre SSL (LDAPS)

Acesso do Active Directory a partir do servidor de Transporte de Hub

389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC netlogon)

Kerberos

Kerberos

Sim, usando criptografia Kerberos

Acesso do Active Directory Rights Management Services (AD RMS) a partir do servidor de Transporte de Hub

443/TCP (HTTPS)

NTLM/Kerberos

NTLM/Kerberos

Sim, usando SSL

Clientes SMTP para o servidor de Transporte de Hub (por exemplo, usuários finais usando o Windows Live Mail)

587 (SMTP)

25/TCP (SMTP)

NTLM/Kerberos

NTLM/Kerberos

Sim, usando TLS

 
 
Notas sobre os servidores de transporte

  • Todo o tráfego entre os servidores de Transporte de Hub é criptografado usando TLS com certificados auto-assinados que são instalados pela Instalação do Exchange 2010.

    http://i3.technet.microsoft.com/Areas/Epx/Content/Images/ImageSprite.png); background-attachment: scroll; width: 16px; height: 14px; overflow: hidden; padding-right: 5px; background-position: -1152px -3px; background-repeat: no-repeat no-repeat;">Observação:
    No Exchange 2010, o TLS pode ser desabilitado nos servidores de Transporte de Hub para a comunicação SMTP interna com outros servidores de Transporte de Hub na mesma organização do Exchange. Não recomendamos que você faça isso, a menos que seja absolutamente necessário. Para mais informações, consulte Desabilitando TLS entre sites do Active Directory para otimização de WAN de suporte.

 

  • Todo o tráfego entre os servidores de Transporte de Borda e servidores de Transporte de Hub é autenticado e criptografado. O TLS mútuo é o mecanismo subjacente de autenticação e criptografia. Ao invés de usar a validação de X.509, o Exchange 2010 usa a confiança direta para autenticar os certificados. Confiança direta significa que a presença do certificado no Active Directory ou no Active Directory Lightweight Directory Services (AD LDS) age como validação para o certificado. O Active Directory é considerado um mecanismo de repositório confiável. Quando a confiança direta é usada, não importa se o certificado é autoassinado ou assinado por uma autoridade de certificação (CA). Quando um servidor de Transporte de Borda é inscrito na organização do Exchange, a Inscrição de Borda publica o certificado do servidor de Transporte de Borda no Active Directory para que os servidores de Transporte de Hub o validem. O serviço Microsoft Exchange Edgesync atualiza o AD LDS com o conjunto de certificados do servidor de Transporte de Hub para que o servidor de Transporte de Borda o valide.

  • O EdgeSync usa uma conexão LDAP segura do servidor de Transporte de Hub para os servidores de Transporte de Borda assinados sobre TCP 50636. O AD LDS também escuta a porta TCP 50389. Conexões a esta porta não usam SSL. É possível usar os utilitários do LDAP para se conectar à porta e verificar os dados do AD LDS. 

  • Por padrão, o tráfego entre os servidores de Transporte de Borda em duas organizações diferentes é criptografado. A Instalação do Exchange 2010 cria um certificado auto-assinado, e o TLS é habilitado por padrão. Isso permite que qualquer sistema de envio criptografe a sessão SMTP de entrada para o Exchange. Também por padrão, o Exchange 2010 testa o TLS em todas as conexões remotas.

  • Os métodos de autenticação de tráfego entre os servidores de Transporte de Hub e de Caixa de Correio são diferentes quando as funções de servidor Transporte de Hub e Caixa de Correio estão instaladas no mesmo computador. Quando o envio de mensagens é local, a autenticação Kerberos é usada. Quando o envio de mensagens é remoto, a autenticação NTLM é usada.

  • O Exchange 2010 também oferece suporte para Segurança de Domínio. A Segurança de Domínio refere-se às funcionalidades no Exchange 2010 e no Microsoft Outlook 2010 que fornecem uma alternativa de baixo custo ao S/MIME ou outras soluções de segurança no nível de mensagens, pela Internet. A Segurança de Domínio oferece uma forma de gerenciar caminhos de mensagens seguros entre domínios na Internet. Depois da configuração desses caminhos de mensagens protegidos, as mensagens que transitaram com êxito por esses caminhos a partir de um servidor autenticado são exibidas aos usuários do Outlook e do Outlook Web Access como "Domínio Seguro." Para mais informações, consulte Noções Básicas Sobre Segurança de Domínio.

  • Vários agentes podem ser executados nos servidores de Transporte de Hub e de Transporte de Borda. Geralmente, os agentes anti-spam dependem de informações locais para o computador no qual os agentes são executados. Portanto, é necessário um mínimo de comunicação com os computadores remotos. A filtragem de destinatários é a exceção. A filtragem de destinatários requer chamadas para o AD LDS ou o Active Directory. Como prática recomendada, execute a filtragem de destinatários no servidor de Transporte de Borda. Nesse caso, o diretório do AD LDS está no mesmo computador que o servidor de Transporte de Borda. Portanto, nenhuma comunicação remota é necessária. Quando a filtragem de destinatário foi instalada e configurada no servidor de Transporte de Hub, a filtragem de destinatário acessa o Active Directory.

  • O recurso de reputação do remetente no Exchange 2010 usa o agente de análise de protocolo. Esse agente também estabelece várias conexões com servidores proxy externos para determinar os caminhos de mensagem de entrada para conexões suspeitas.

  • Todos os outros usos das funcionalidades antispam, como dados para agregação de lista segura e dados de destinatário para filtragem de destinatários. Esses dados são reunidos, armazenados e acessados somente no computador local. Frequentemente, os dados são enviados para o diretório AD LDS local, usando-se do serviço Microsoft Exchange EdgeSync.

  • Agentes do Gerenciamento de Direitos de Informação (IRM) nos servidores de Transporte de Hub fazem conexão com os servidores Active Directory Rights Management Services (AD RMS) na organização. AD RMS é um serviço Web protegido pelo SSL como prática recomendada. A comunicação com os servidores AD RMS ocorre usando HTTPS, e Kerberos ou NTLM é usado para autenticação, dependendo da configuração do servidor AD RMS.

  • Regras de diário, regras de transporte e classificações de mensagens são armazenadas no Active Directory e acessadas pelo agente de Registro em Diário e o agente de Regras de Transporte em servidores de Transporte de Hub.

 

Voltar