前提：
    在单机实现AD,DC,Exchange Server, DNS, 证书服务，也就是说我的整个Exchange系统都在同一台服务器上部署。
    已经实现了RPC Over HTTP，客户端outlook可以通过https方式链接到服务器，见图。

问题：
    为安全考虑，我想只允许rpc over http方式登录邮件系统，我知道https通过443端口访问，rpc over http 还需要开放6001、6002、6004端口。
    但dns，dc还有涉及到证书这块需要开放哪些端口？
    有做过的朋友吗，告知开放哪些端口，我好在防火墙上做限制。

如果只是允许外部用rpc over http方式登录邮件系统，只需要开通443端口即可。

我是把DNS,dc,exchange server 都放在这一台服务器上，要是只开放443端口，客户端还能发现dc吗？dns还能通讯吗？

如果你是对外网发布rpc over http，那么仅仅需要开放443端口就可以了；如果你是指自己的服务器和客户端处于不同的区域，而需要在防火墙上面开放策略的话，就要看你自己的具体情况了，看你的服务器对这些客户端还提供什么服务了。对于域控需要开放的端口，在微软的网站上面是可以搜索到这篇KB的，你可以参考一下。一般还是不建议将域控等服务器，和客户端放置在不同的区域。
外网发布rpc over http，客户端是不用直接与域控联系的，而仅仅需要连接邮件服务器的443端口即可！

搞定了！
需要开放udp的53端口和https的443端口，而且仅这2个端口就OK了！
因为内网通过dns实现将域名解析为内网地址，所以必须保证服务器的53端口好用，外网由外部dns解析；
内外网都通过https传输，仅仅是因为内网需要dns才开了53端口用于内网解析域名。

精彩~！！！！！！~~~~~~~~~~~

引用:

原帖由 flaaash 于 2008-5-12 16:50 发表
搞定了！
需要开放udp的53端口和https的443端口，而且仅这2个端口就OK了！
因为内网通过dns实现将域名解析为内网地址，所以必须保证服务器的53端口好用，外网由外部dns解析；
内外网都通过https传输，仅仅是因为内 ...

--===------------------------------------------===---
应该开放https的443端口，TCP的25号端口，udp的53端口共3个端口！！！
分析如下：
对于内网，需要将你的域名解析为内网地址，DNS的端口是udp53，所以53只是因为内网的DNS解析需要！
https传输端口是443，如果仅是你域名内的用户互发邮件，只需要443端口就可以了，因为不需要双域的连接测试；
但是如果你只开443，向Gmail发送邮件，恭喜你，成功了，但是以GMail回复到这个邮件，你的邮件服务器根本收不到了。
查看GMail的退信信息：TEMP_FAILURE: The recipient server did not accept our requests to connect.
上面说明了你的邮件服务器没有应答GMail的连接请求，那么你开什么端口来应答GMail的链接请求呢？
Exchange Server 通过什么端口来接收GMail传递过来的数据包呢？
我用TCPView监控服务器端，关闭防火墙，然后从GMail向我的邮件爱你服务器发送邮件，我注意到有下面一条信息：
inetinfo.exe:884    TCP    10.0.0.2:25    209.85.128.191:23307    ESTABLISHED   
注意到209.85.128.191是Google的IP，连接了我的25号端口，于是开TCP的25号端口，测试GMail向我的域发邮件，OK！
但是25端口是smtp端口啊，不是用来发邮件的吗，pop3的110端口才是收邮件的吗？
我只能按smtp在应答GMail的链接请求来理解了。若是你不开25端口，你也能向Internet发送电子邮件，只是不能接收Internet邮件。
精简来说：
配置好RPC OVER HTTPS后，ESM只需要打开SMTP虚拟服务器，启用防火墙，开启443端口，udp53端口和tcp的25端口，一切都OK了！
如果你愿意，可以打开“Windows防火墙”的‘高级’选项卡，RCMP设置，“允许传入回显请求”打上钩，你的域就可以被ping通了。

感谢楼主，及时的分享经验，但25和53端口已经超出了本帖中说的ROH的使用端口范围。应

精神非常好,向楼主学习