对 邮箱服务器使用 NTLM 还是 Kerberos 身份验证取决于 Exchange 业务逻辑层使用者运行时所处的用户或进程上下文。在该上下文中,消费者是使用 Exchange 业务逻辑层的任何应用程序或进程。因此,“邮箱服务器数据路径”表的“默认身份验证”列中的许多条目都以 NTLM/Kerberos 形式列出。
Exchange 业务逻辑层用于访问 Exchange 存储并与其进行通信。也可以从 Exchange 存储调用 Exchange 业务逻辑层,以便与外部应用程序和进程进行通信。
如 果 Exchange 业务逻辑层使用者使用“本地系统”帐户运行,从使用者到 Exchange 存储的身份验证方法始终是 Kerberos。使用 Kerberos 的原因是,必须使用计算机帐户“本地系统”对使用者进行身份验证,并且必须存在已通过双向身份验证的信任。
如果 Exchange 业务逻辑层使用者不是使用“本地系统”帐户运行,则身份验证方法是 NTLM。例如,运行使用 Exchange 业务逻辑层的 Exchange 命令行管理程序 cmdlet 时,将使用 NTLM。
RPC 通信始终会进行加密。
下表提供与邮箱服务器之间的数据路径的端口、身份验证和加密的有关信息。
邮箱服务器的数据路径
|
数据路径 |
所需端口 |
默认身份验证 |
支持的身份验证 |
是否支持加密? |
默认是否加密? |
|
Active Directory 访问
|
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked
|
Kerberos
|
Kerberos
|
是,使用 Kerberos 加密
|
是
|
|
管理远程访问(远程注册表)
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 IPsec
|
否
|
|
管理远程访问 (SMB/文件)
|
445/TCP (SMB)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 IPsec
|
否
|
|
可用性 Web 服务(对邮箱的客户端访问)
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
群集
|
135/TCP (RPC)。
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 IPsec
|
否
|
|
内容索引
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
日志传送
|
64327(可自定义)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是
|
否
|
|
正在设定种子
|
64327(可自定义)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是
|
否
|
|
卷影复制服务 (VSS) 备份
|
本地消息块 (SMB)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
否
|
否
|
|
邮箱助理
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
否
|
否
|
|
MAPI 访问
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
Microsoft Exchange Active Directory 拓扑服务访问
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
Microsoft Exchange 系统助理服务旧版访问(侦听请求)
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
否
|
否
|
|
Microsoft Exchange 系统助理服务旧版访问(对 Active Directory)
|
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked
|
Kerberos
|
Kerberos
|
是,使用 Kerberos 加密
|
是
|
|
Microsoft Exchange 系统助理服务旧版访问(作为 MAPI 客户端)
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
访问 Active Directory 的脱机通讯簿 (OAB)
|
135/TCP (RPC)
|
Kerberos
|
Kerberos
|
是,使用 RPC 加密
|
是
|
|
收件人更新服务 RPC 访问
|
135/TCP (RPC)
|
Kerberos
|
Kerberos
|
是,使用 RPC 加密
|
是
|
|
对 Active Directory 的收件人更新
|
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked
|
Kerberos
|
Kerberos
|
是,使用 Kerberos 加密
|
是
|
-
上表中列出的“群集”数据路径使用动态 RPC over TCP 在不同群集节点之间传送群集状态和活动。群集服务 (ClusSvc.exe) 还使用 UDP/3343 以及随机分配的高位 TCP 端口在群集节点之间进行通信。
-
对于节点内通信,群集节点通过用户报协议 (UDP) 端口 3343 进行通信。群集中的每个节点定期与群集中的每个其他节点交换顺序的单播 UDP 数据报。此交换的目的是确定所有节点是否正常运行并监视网络链接的运行状况。
-
端口 64327/TCP 是用于日志传送的默认端口。管理员可以为日志传送指定其他端口。
-
对于列出了“协商”的 HTTP 身份验证,请先尝试使用 Kerberos,然后再尝试使用 NTLM。
(责任编辑:admin)