admin 管理员组

文章数量: 887053

本文讨论 microsoft Windows Server system 中的 Microsoft 客户端和服务器操作系统、基于服务器的程序及其子组件所使用的必需网络端口、协议和服务。 管理员和支持人员可以使用此文章来确定在分段网络中,Microsoft 操作系统和程序在网络连接中需要哪些端口和协议。

原始产品版本:   Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、版本2004、Windows 10、版本1909、Windows 10、版本1903、Windows 7 Service Pack 1
原始 KB 数:   832017

 重要

本文包含对默认动态端口范围的几个引用。 在 Windows Server 2008 及更高版本中,在 Windows Vista 和更高版本中,默认动态端口范围更改为以下范围:

  • 起始端口:49152
  • 结束端口:65535

Windows 2000、Windows XP 和 Windows Server 2003 使用以下动态端口范围:

  • 起始端口:1025
  • 结束端口:5000

这意味着:

  • 如果你的计算机网络环境仅使用 Windows Server 2012,则必须在高端口范围(49152至65535)上启用连接。
  • 如果您的计算机网络环境将 Windows Server 2012 与 windows Server 2008 和 Windows Vista 早期版本的 Windows 结合使用,则必须在以下两个端口范围启用连接:
    高端口范围 49152 至 65535
    低端口范围 1025 至 5000
  • 如果计算机网络环境仅使用早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在低于1025到5000的端口范围内启用连接。

有关默认动态端口范围的详细信息,请参阅 TCP/IP 的默认动态端口范围已更改。

您不应使用本文中的端口信息来配置 Windows 防火墙。 有关如何配置 Windows 防火墙的信息,请参阅 具有高级安全性的 Windows 防火墙。

Windows Server 系统包括全面的集成基础结构,以满足开发人员和信息技术 () IT 专业人员的要求。 此系统将运行可用于快速轻松地获取、分析和共享信息的程序和解决方案。 这些 Microsoft 客户端、服务器和服务器程序产品使用不同的网络端口和协议通过网络与客户端系统和其他服务器系统进行通信。 IPsec) 筛选器的专用防火墙、基于主机的防火墙和 Internet 协议 (安全性是您必须具备的其他重要组件,以帮助保护您的网络。 但是,如果将这些技术配置为阻止特定服务器使用的端口和协议,该服务器将不再响应客户端请求。

概述

下面的列表概述了本文包含的信息:

  • " 系统服务端口 " 一节包含每个服务的简短说明,显示该服务的逻辑名称,并指示每个服务正确运行所需的端口和协议。 使用此部分可帮助确定特定服务使用的端口和协议。
  • " 端口和协议 " 部分包含一个表,其中汇总了 "系统服务端口" 部分中的信息。 该表按端口号而不是服务名称进行排序。 使用此部分可以快速确定在特定端口上侦听哪些服务。

本文以特定方式使用某些术语。 为了避免混淆,请务必了解文章使用这些术语的方式:

  • 系统服务:系统服务是作为应用程序启动过程的一部分自动加载的程序,也可以是操作系统启动过程的一部分。 系统服务支持操作系统必须执行的不同任务。 例如,在运行 Windows Server 2003 Enterprise Edition 的计算机上提供的某些系统服务包括服务器服务、后台打印程序服务和 World Wide Web 发布服务。 每个系统服务都有一个 友好的服务名称 和一个 服务名称。 友好服务名称是图形管理工具(如服务 Microsoft 管理控制台 (MMC) 管理单元)中显示的名称。 服务名称是用于命令行工具和许多脚本语言的名称。 每个系统服务可能提供一个或多个网络服务。
  • 应用协议:在本文中, 应用程序协议 是指使用一个或多个 tcp/ip 协议和端口的高级别网络协议。 应用程序协议的示例包括 HTTP、服务器消息块 (Smb) 和简单邮件传输协议 (SMTP) 。
  • 协议: TCP/IP 协议是在网络上的设备之间进行通信的标准格式。 TCP/IP 协议的运行级别低于应用程序协议。 TCP/IP 协议组包括 TCP、用户数据报协议 (UDP) 以及 Internet 控制邮件协议 (ICMP) 。
  • 端口:这是系统服务侦听传入网络流量的网络端口。

本文不指定哪些服务依赖于其他服务进行网络通信。 例如,许多服务依赖于远程过程调用 (RPC) 或 Microsoft Windows 中的 DCOM 功能将其分配给动态 TCP 端口。 远程过程调用服务通过其他系统服务(使用 RPC 或 DCOM 与客户端计算机进行通信)来协调请求。 许多其他服务依赖于网络基本输入/输出系统 (NetBIOS) 或 Smb,由服务器服务提供的协议。 其他服务依赖 HTTP 或超文本传输协议安全 (HTTPS) 。 这些协议由 Internet 信息服务 (IIS) 提供。 对 Windows 操作系统体系结构的完整讨论不在本文的讨论范围之内。 但是,有关此主题的详细文档在 Microsoft TechNet 和 Microsoft 开发人员网络上提供, (MSDN) 网站。 虽然许多服务可能依赖于特定的 TCP 或 UDP 端口,但一次只能有一个服务或进程侦听该端口。

在将 RPC 用作 TCP/IP 或将 UDP/IP 用作传输时,传入端口通常会根据需要动态分配给系统服务。将使用高于端口1024的 TCP/IP 和 UDP/IP 端口。 这些端口也称为 随机 RPC 端口。 在这些情况下,RPC 客户端依赖 RPC 终结点映射器告诉他们向服务器分配了哪些动态端口或端口。 对于某些基于 RPC 的服务,您可以配置特定端口,而不是让 RPC 动态分配端口。 您还可以将 RPC 动态分配的端口范围限制为一个较小的范围,而不考虑服务。 有关此主题的详细信息,请参阅 " 参考 " 部分。

本文包含有关 "适用范围" 一节中列出的 Microsoft 产品的系统服务角色和服务器角色的信息。 虽然此信息可能也适用于 Windows XP 和 Microsoft Windows 2000 Professional,但本文重点介绍了服务器级操作系统。 因此,这描述了服务侦听的端口,而不是客户端程序用于连接到远程系统的端口。

系统服务端口

本部分提供每个系统服务的说明,包括与系统服务对应的逻辑名称,并显示每个服务所需的端口和协议。

Active Directory (本地安全机构)

Active Directory 在 Lsass.exe 进程下运行,包括 Windows 域控制器的身份验证和复制引擎。 域控制器、客户端计算机和应用程序服务器需要通过特定硬编码端口与 Active Directory 进行网络连接。 此外,除非使用隧道协议将流量封装到 Active Directory,否则,必须在1024到5000之间的短暂 TCP 端口范围和49152到65535。

 备注

  • 如果计算机网络环境仅使用 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista,则必须通过高端口范围的49152到65535启用连接。

  • 如果您的计算机网络环境使用 Windows Server 2008 R2、Windows Server 2008、Windows Vista 或 Windows Vista,而早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在这两个端口范围启用连接:
    高端口范围为49152到65535
    低端口范围为1025到5000

  • 如果计算机网络环境仅使用早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在低于1025到5000的端口范围内启用连接。

封装的解决方案可能包含位于筛选路由器后面的 VPN 网关,该网关使用第2层隧道协议 (L2TP) 与 IPsec 一起使用。 在此封装的方案中,必须通过路由器允许以下项目,而不是打开本主题中列出的所有端口和协议:

  • IPsec 封装安全协议 (ESP) (IP 协议 50)
  • IPsec 网络地址转换器遍历 NAT-T (UDP 端口 4500)
  • IPsec Internet 安全关联和密钥管理协议 (ISAKMP) (UDP 端口 500)

最后,您可以按照将 Active DIRECTORY RPC 流量限制到特定端口的步骤,对用于 Active directory 复制的端口进行硬编码。 系统服务名称: LSASS

 备注

L2TP 通信的数据包筛选器不是必需的,因为 L2TP 受 IPsec ESP 保护。

表 1
应用协议协议端口
Active Directory Web 服务 (ADWS)TCP9389
Active Directory 管理网关服务TCP9389
全局编录TCP3269
全局编录TCP3268
ICMP 无端口号
LDAP 服务器TCP389
LDAP 服务器UDP389
LDAP SSLTCP636
IPsec ISAKMPUDP500
NAT-TUDP4500
RPCTCP135
RPC 随机分配的高 TCP 端口¹TCP1024-5000
49152-65535 ²
SMBTCP445
   

¹有关如何自定义此端口的详细信息,请参阅 " 参考 " 部分中的域控制器和 Active Directory。 这还包括在先决条件验证和服务器管理器工具期间,在 Windows Server 2012 域控制器升级中首次使用的远程 WMI 和 DCOM 通信。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

此外,Microsoft LDAP 客户端还使用 ICMP ping 验证其具有挂起的请求的 LDAP 服务器仍存在于网络中。以下设置是 LDAP 会话选项:

  • PingKeepAliveTimeout = 120 秒 (它在开始发送 ping PingLimit 之前在服务器上的上次响应之后等待的时间。 4 (在关闭连接之前发送的 ping 操作的数目)
  • PingWaitTimeout = 2000ms (等待 ICMP 响应的时间)
  • 引用: LdapSessionOptions 类

应用程序层网关服务

Internet 连接共享/Internet 连接防火墙 (ICF) 服务提供对插件的支持,这些插件允许网络协议通过防火墙并在 Internet 连接共享之后工作。 应用程序层网关 (ALG) 插件可以打开端口并更改 (嵌入数据包中的端口和 IP 地址) 等数据。 FTP 是唯一具有 Windows Server 附带的插件的网络协议。 ALG FTP 插件通过网络地址转换 (NAT) 引擎(这些组件使用)支持主动 FTP 会话。 ALG FTP 插件通过将满足以下条件的所有流量重定向到环回适配器上3000到5000范围内的专用侦听端口,来支持这些会话:

  • 通过 NAT 引擎传递
  • 向端口21定向

然后,ALG FTP 插件会监视和更新 FTP 控制通道流量,以便 FTP 插件可以通过 NAT 为 FTP 数据通道转发端口映射。 FTP 插件还更新了 FTP 控制通道流中的端口。

系统服务名称: ALG

应用程序层网关服务
应用协议协议端口
FTP 控件TCP21
   

ASP.NET State Service

ASP.NET State Service 为 ASP.NET 进程之外的会话状态提供支持。 ASP.NET State Service 将会话数据存储在进程之外。 该服务使用套接字与在 web 服务器上运行的 ASP.NET 进行通信。

系统服务名称: aspnet_state

ASP.NET STATE SERVICE
应用协议协议端口
ASP.NET 会话状态TCP42424
   

证书服务

证书服务是核心操作系统的一部分。 通过使用证书服务,企业可以充当其自己的证书颁发机构 (CA) 。 这将允许业务问题并管理针对程序和协议的数字证书,如下所示:

  • 安全/多用途 Internet 邮件扩展 (S/MIME)
  • 安全套接字层 (SSL)
  • 加密文件系统 (EFS)
  • IPsec
  • 智能卡登录

证书服务依靠 RPC 和 DCOM 通过使用高于端口1024的随机 TCP 端口与客户端进行通信。

系统服务名称: CertSvc

证书服务
应用协议协议端口
RPCTCP135
SMBTCP445、139
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

有关详细信息,请参阅 3.2.2.6.2.1.4.5.9 msPKI-Certificate-Name-标志。

群集服务

群集服务控制服务器群集操作并管理群集数据库。 群集是充当单个计算机的独立计算机的集合。 管理者、程序员和用户将群集视为单个系统。 软件在群集的节点之间分发数据。 如果某个节点出现故障,则其他节点将提供以前由缺少的节点提供的服务和数据。 在添加或修复节点时,群集软件会将一些数据迁移到该节点。

系统服务名称: ClusSvc

群集服务
应用程序协议端口
群集服务UDP 和 DTLS ¹3343
群集服务TCP3343 (在执行节点 join 操作的过程中,此端口是必需的。 )
RPCTCP135
群集管理器UDP137
随机分配的高 UDP 端口²UDP介于1024和65535之间的随机端口号
49152和65535之间的随机端口号³
   

 备注

此外,对于2008及更高版本上的 Windows 故障转移群集的成功验证,允许针对 ICMP4、ICMP6 和端口 445/TCP 的入站和出站通信用于 SMB。

¹通过端口3343的群集服务 UDP 流量需要数据报传输层安全性 (DTLS) 协议、版本1.0 或版本1.2。 默认情况下,DTLS 处于启用状态。 有关详细信息,请参阅 TLS/SSL 中的协议 (SCHANNEL SSP) 。

²有关如何自定义这些端口的详细信息,请参阅 " 参考 " 部分中的远程过程调用和 DCOM。

³这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

计算机浏览器

计算机浏览器系统服务维护网络上的计算机的最新列表,并向请求该列表的程序提供列表。 基于 Windows 的计算机使用计算机浏览器服务来查看网络域和资源。 被指定为浏览器的计算机维护包含网络上使用的所有共享资源的浏览列表。 早期版本的基于 Windows 的程序(如 "网上邻居"、"net view" 命令和 Windows 资源管理器)都需要浏览功能。 例如,当您在运行 Microsoft Windows 95 的计算机上打开 "网上邻居" 时,将显示域和计算机的列表。 若要显示此列表,计算机从指定为浏览器的计算机获取浏览列表的副本。

如果只运行 Windows Vista 和更高版本的 Windows,则不再需要浏览器服务。

系统服务名称: 浏览器

计算机浏览器
应用协议协议端口
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
   

浏览器服务通过命名管道使用 RPC 进行编译。

DHCP 服务器

DHCP 服务器服务使用动态主机配置协议 (DHCP) 自动分配 IP 地址。 您可以使用此服务调整 DHCP 客户端的高级网络设置。 例如,可以配置 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器的网络设置(如域名系统)。 您可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息,并将该信息提供给客户端计算机。

系统服务名称: DHCPServer

DHCP 服务器
应用协议协议端口
DHCP 服务器UDP67
MADCAPUDP2535
DHCP 故障转移TCP647
   

分布式文件系统命名空间

分布式文件系统命名空间 (DFSN) 将本地区域网络 (LAN) 或广域网络 (WAN) 中的不同文件共享集成到一个逻辑命名空间中。 Active Directory 域控制器需要 DFSN 服务才能公布 SYSVOL 共享文件夹。

系统服务名称: Dfs

分布式文件系统命名空间
应用协议协议端口
NetBIOS 数据报服务UDP138³
NetBIOS 会话服务TCP139³
LDAP 服务器TCP389
LDAP 服务器UDP389
SMBTCP445
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

³在 DFSN 使用 FQDN 服务器名称时,NETBIOS 端口是可选的,并且不是必需的。

分布式文件系统复制

分布式文件系统复制 (DFSR) 服务是基于状态的多主机文件复制引擎,可自动将更新复制到参与公用复制组的计算机之间的文件和文件夹。 DFSR 是在 Windows Server 2003 R2 中添加的。 您可以使用 Dfsrdiag.exe 命令行工具在特定端口上复制文件,而不考虑它们是否参与分布式文件系统命名空间 (DFSN) ,从而配置 DFSR。

系统服务名称: DFSR

分布式文件系统复制
应用协议协议端口
RPCTCP135
RPCTCP5722³
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 " 引用 " 部分中的分布式文件复制服务。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。 ³端口5722仅用于 Windows Server 2008 域控制器或 Windows Server 2008 R2 域控制器。 它不用于 Windows Server 2012 域控制器。

分布式链接跟踪服务器

分布式链接跟踪服务器系统服务存储信息,以便可以将在卷之间移动的文件跟踪到域中的每个卷。 分布式链接跟踪服务器服务在域中的每个域控制器上运行。 此服务使分布式链接跟踪客户端服务能够跟踪移动到同一域中另一个 NTFS 文件系统卷中的位置的链接文档。

系统服务名称: TrkSvr

分布式链接跟踪服务器
应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

分布式事务处理协调器

分布式事务协调器 (DTC) 系统服务协调分布在多个计算机系统和资源管理器(如数据库、邮件队列、文件系统或其他受事务保护的资源管理器)中的事务。 如果通过 COM + 配置了事务性组件,则需要 DTC 系统服务。 邮件队列中的事务性队列也需要 (也称为 MSMQ) 和跨多个系统的 SQL Server 操作。

系统服务名称: MSDTC

分布式事务处理协调器
应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 " 参考 " 部分中的分布式事务处理协调器。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

DNS 服务器

DNS 服务器服务通过应答对 DNS 名称的查询和更新请求来启用 DNS 名称解析。 DNS 服务器需要找到使用 DNS 名称标识的设备和服务,并在 Active Directory 中查找域控制器。

系统服务名称: DNS

DNS 服务器
应用协议协议端口
DNSUDP53
DNSTCP53
   

事件日志

事件日志系统服务记录由程序和 Windows 操作系统生成的事件消息。 事件日志报告包含可用于诊断问题的信息。 在事件查看器中查看报告。 事件日志服务写入由程序、服务和操作系统发送到日志文件的事件。 除了特定于源程序、服务或组件的错误之外,这些事件还包含诊断信息。 可以通过事件日志 Api 或通过 MMC 管理单元中的事件查看器以编程方式查看日志。

系统服务名称: Eventlog

事件日志
应用协议协议端口
RPC/named pipes (NP)TCP139
RPC/NPTCP445
RPC/NPUDP137
RPC/NPUDP138
   

 备注

事件日志服务使用 RPC over 命名管道。 此服务与文件和打印机共享功能具有相同的防火墙要求。

传真服务

传真服务是电话 API (TAPI) 兼容系统服务,可提供传真功能。 传真服务使用户可以使用本地传真设备或共享网络传真设备从其桌面程序发送和接收传真。

系统服务名称: Fax

传真服务
应用协议协议端口
NetBIOS 会话服务TCP139
SMBTCP445
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

文件复制

文件复制服务 (FRS) 是一种基于文件的复制引擎,可自动将更新复制到参与公用 FRS 副本集的计算机之间的文件和文件夹。 FRS 是默认复制引擎,用于在基于 Windows 2000 的域控制器和位于公共域中的基于 Windows Server 2003 的域控制器之间复制 SYSVOL 文件夹的内容。 您可以使用 DFS 管理工具配置 FRS 以在 DFS 根或链接的目标之间复制文件和文件夹。

系统服务名称: NtFrs

文件复制
应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 " 参考 " 部分的文件复制服务。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

FTP 发布服务

FTP 发布服务提供了 FTP 连接。 默认情况下,FTP 控制端口为21。 但是,您可以通过 Internet 信息服务 (IIS) 管理器管理单元来配置此系统服务。 用于 active 模式 FTP) 端口的默认数据 (自动设置为一个小于控制端口的端口。 因此,如果将控制端口配置为端口4131,则默认数据端口为端口4130。 大多数 FTP 客户端都使用被动模式 FTP。 这意味着客户端首先使用控制端口连接到 FTP 服务器。 接下来,FTP 服务器在端口1025和5000之间分配一个高 TCP 端口。 然后,客户端将打开与 FTP 服务器的第二个连接以传输数据。 您可以使用 IIS 元数据库配置高端口的范围。

系统服务名称: MSFTPSVC

FTP 发布服务
应用协议协议端口
FTP 控件TCP21
FTP 默认数据TCP20
随机分配的高 TCP 端口TCP1024-65535 之间的随机端口号
介于 49152-65535 ¹之间的随机端口号
   

¹这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

组策略

若要成功应用组策略,客户端计算机必须能够通过 Kerberos、LDAP、SMB 和 RPC 协议与域控制器联系。 Windows XP 和 Windows Server 2003 还需要 ICMP 协议。

如果其中任何一种协议不可用或在客户端与相关域控制器之间被阻止,组策略将不会应用或更新。 对于跨域登录(其中计算机位于一个域中,并且用户帐户位于另一个域中),客户端、资源域和要通信的帐户域可能需要这些协议。 ICMP 用于慢速链路检测。 有关慢速链接检测的详细信息,请参阅 组策略慢速链接检测。

系统服务名称: 组策略

组策略
应用协议协议端口
DCOM ¹TCP + UDP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
ICMP (ping) ³ICMP 
LDAPTCP389
SMBTCP445
RPC ¹TCP135
1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 " 参考 " 部分中的域控制器和 Active Directory。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

³此协议仅在 Windows XP 和作为客户端的 Windows Server 2003 中是必需的。

 备注

当组策略 Microsoft 管理控制台 (MMC) 管理单元创建组策略结果报告和组策略建模报告时,它使用 DCOM 和 RPC 发送和接收来自客户端或域控制器上的策略的结果集 (RSoP) 提供程序的信息。 组成组策略 Microsoft 管理控制台的各种二进制文件 (MMC) 的管理单元功能主要使用 COM 调用来发送或接收信息。 从 Windows Server 2012 计算机启动远程组策略结果报告时,需要访问目标计算机的事件日志。 有关端口要求的详细 (,请参阅本文中的 事件日志 部分。 )

Windows Server 2012 支持针对 Windows Server 2012 计算机启动远程组策略更新。 这需要通过端口135和端口49152-65535 对要在其上刷新策略的计算机进行 RPC/WMI 访问。

HTTP SSL

HTTP SSL 系统服务使 IIS 能够执行 SSL 功能。 SSL 是建立加密通信通道以帮助阻止拦截极其重要的信息(如信用卡号)的开放标准。 虽然此服务适用于其他 Internet 服务,但它主要用于在万维网 (WWW) 上启用加密电子财务交易。 您可以通过 Internet 信息服务 (IIS) 管理器管理单元,为此服务配置端口。

系统服务名称: HTTPFilter

HTTP SSL
应用协议协议端口
IP-HTTPSTCP443
   

Hyper-v 服务

Hyper-v 副本

HYPER-V 服务
应用协议协议端口
WMITCP135
随机分配的高 TCP 端口TCP介于49152和65535之间的随机端口号
Kerberos 身份验证 (HTTP)TCP80
基于证书的身份验证 (HTTPS)TCP443
   

Hyper-v 实时迁移

HYPER-V 服务
应用协议协议端口
实时迁移TCP6600
SMBTCP445
群集服务流量UDP3343
   

Internet 验证服务

Internet 身份验证服务 (IAS) 对连接到网络的用户执行集中的身份验证、授权、审核和记帐。 这些用户可以在 LAN 连接上,也可以在远程连接上。 IAS 实施 Internet 工程任务组 (IETF) 标准远程身份验证拨入用户服务 (RADIUS) 协议。

系统服务名称: IAS

应用协议协议端口
旧版 RADIUSUDP1645
旧版 RADIUSUDP1646
RADIUS 记帐UDP1813
RADIUS 身份验证UDP1812
   

Internet 连接防火墙 (ICF) /Internet 连接共享

此系统服务为家庭网络或小型办公室网络中的所有计算机提供了 NAT、寻址和名称解析服务。 启用 Internet 连接共享功能后,您的计算机将成为网络上的 Internet 网关。 然后,其他客户端计算机可以共享一个到 Internet 的连接,如拨号连接或宽带连接。 此服务提供基本的 DHCP 和 DNS 服务,但将使用功能齐全的 Windows DHCP 或 DNS 服务。 当 ICF 和 Internet 连接共享充当网络中其余计算机的网关时,它们将向内部网络接口上的专用网络提供 DHCP 和 DNS 服务。 它们不会在外部网络接口上提供这些服务。

系统服务名称: SharedAccess

应用协议协议端口
DHCP 服务器UDP67
DNSUDP53
DNSTCP53
   

IPAM

IP 地址管理 (IPAM) 客户端 UI 与 IPAM 服务器通信,以执行远程管理。 这是通过使用 Windows 通信框架 (WCF) 来实现的,该方法将 TCP 用作传输协议。 默认情况下,TCP 绑定在 IPAM 服务器上的端口48885上执行。

BranchCache 信息

  • 端口 3702 (UDP) 用于发现客户端上的缓存内容的可用性。
  • 端口 80 (TCP) 用于为请求客户端提供内容服务。
  • 端口 443 (TCP) 是托管缓存用来接受内容的传入客户端提供程序的默认端口。

ISA/TMG 服务器

应用协议协议端口
(域) 的配置存储TCP2171 (注释 1)
配置存储 (复制)TCP2173 (注释 1)
配置存储 (工作组)TCP2172 (注释 1)
防火墙客户端应用程序TCP/UDP1025-65535 (注释 2)
防火墙客户端控制通道TCP/UDP1745 (注释 3)
防火墙控制通道TCP3847 (注释 1)
RPCTCP135 (注释 6)
随机分配的高 TCP 端口 (注释 6)TCP1024-65535 之间的随机端口号
10000-65535 之间的随机端口号 (注释 7)
Web 管理TCP2175 (注释1、4)
Web 代理客户端TCP8080 (注释 5)
   

 备注

  1. 此端口不与 ISA 2000 一起使用。
  2. FWC 应用程序传输和协议在 FWC 控制通道中进行协商。
  3. ISA 2000 FWC 控件使用 UDP。 ISA 2004 和2006使用 TCP。
  4. OEM 使用防火墙 Web 管理来提供 ISA 服务器的非 MMC 管理。
  5. 此端口还用于阵列内流量。
  6. 在远程服务器和服务状态监视过程中,此端口仅由 ISA 管理 MMC 使用。
  7. 这是 TMG 中的范围。 请注意,TMG 扩展了 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的默认动态端口范围。

Kerberos 密钥发行中心

当您使用 Kerberos 密钥分发中心 (KDC) 系统服务时,用户可以使用 Kerberos 版本5身份验证协议登录网络。 与 Kerberos 协议的其他实现一样,KDC 是提供两种服务的单个过程:身份验证服务和票证授予服务。 身份验证服务颁发票证授予票证,而票证授予服务颁发到其自己的域中的计算机的连接票证。

系统服务名称: kdc

应用协议协议端口
KerberosTCP88
KerberosUDP88
Kerberos 密码 V5UDP464
Kerberos 密码 V5TCP464
DC 定位程序UDP389
   

许可证日志记录

许可证日志记录系统服务是一个工具,最初旨在帮助客户管理在服务器客户端访问许可证 (CAL) 模型中许可的 Microsoft 服务器产品的许可证。 许可证日志记录是通过 Microsoft Windows NT Server 3.51 引入的。 默认情况下,在 Windows Server 2003 中禁用许可证日志记录服务。 由于旧版设计限制和许可条款和条件不断改进,因此许可证日志记录可能不会提供与在特定服务器上或在整个企业中使用的 Cal 总数相比所购买的 Cal 总数的准确视图。 许可证日志记录报告的 Cal 可能会与 Microsoft 软件许可条款的解释以及 (PUR) 的产品使用权限相冲突。 许可证日志记录不包含在 Windows Server 2008 及更高版本的操作系统中。 我们建议只有 Microsoft Small Business Server 系列操作系统中的用户在其服务器上启用此服务。

系统服务名称: LicenseService

应用协议协议端口
NetBIOS 数据报服务UDP138
NetBIOS 会话服务TCP139
SMBTCP445
   

 备注

许可证日志记录服务使用命名管道上的 RPC。 此服务与文件和打印机共享功能具有相同的防火墙要求。

消息队列

"消息队列" 系统服务是用于为 Windows 创建分布式邮件程序的邮件基础结构和开发工具。 这些程序可以跨异类网络进行通信,并且可以在可能暂时无法连接到另一台计算机的计算机之间发送邮件。 消息队列可帮助提供安全性、高效路由、支持在事务内发送邮件、基于优先级的消息传递和有保障的邮件传递。

系统服务名称: MSMQ

应用协议协议端口
MSMQTCP1801
MSMQUDP1801
MSMQ-DcTCP2101
MSMQ 管理TCP2107
MSMQ-PingUDP3527
MSMQ-RPCTCP2105
MSMQ-RPCTCP2103
RPCTCP135
   

Microsoft Exchange MTA 堆栈

在 Microsoft Exchange 2000 Server 和 Exchange Server 2003 中,邮件传输代理 (MTA) 经常用于在混合模式环境中的 Exchange 2000 服务器服务器和基于 Exchange Server 5.5 的服务器之间提供向后兼容的邮件传输服务。

系统服务名称: MSExchangeMTA

应用协议协议端口
X 400TCP102
   

Microsoft POP3 服务

Microsoft POP3 服务提供电子邮件传输和检索服务。 管理员可以使用此服务来存储和管理邮件服务器上的电子邮件帐户。 当您在邮件服务器上安装 POP3 服务时,用户可以连接到邮件服务器,并且可以使用支持 POP3 协议的电子邮件客户端(如 Microsoft Outlook)来检索电子邮件。

系统服务名称: POP3SVC

应用协议协议端口
POP3TCP110
   

Net Logon

Net Logon 系统服务维护您的计算机和域控制器之间的安全通道,以对用户和服务进行身份验证。 它将用户的凭据传递给域控制器,并返回用户的域安全标识符和用户权限。 这通常称为 "传递身份验证"。 将网络登录配置为仅当成员计算机或域控制器加入域时才自动启动。 在 Windows 2000 Server 和 Windows Server 2003 系列中,Net Logon 将发布 DNS 中的服务资源定位器记录。 此服务运行时,它依赖工作站服务和本地安全机构服务来侦听传入的请求。 在域成员计算机上,Net Logon 使用命名管道上的 RPC。 在域控制器上,它使用 RPC over named pipes、TCP/IP 上的 RPC、邮件槽和轻型目录访问协议 (LDAP) 。

系统服务名称: Netlogon

应用协议协议端口
NetBIOS 数据报服务UDP138³
NetBIOS 名称解析UDP137³
NetBIOS 会话服务TCP139³
SMBTCP445
LDAPUDP389
RPC ¹TCP135, 介于 1024-65535 之间的随机端口号
135,介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 " 参考 " 部分中的域控制器和 Active Directory。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

³ NETBIOS 端口是可选的。 Netlogon 仅用于不支持 DNS 的信任,或在尝试回退期间 DNS 发生故障时使用。 如果没有 WINS 基础结构且广播无法正常工作,则应禁用 NetBt 或将计算机和服务器设置为 NodeType = 2。

 备注

Net Logon 服务对早期版本的 Windows 客户端使用命名管道的 RPC。 此服务与文件和打印机共享功能具有相同的防火墙要求。

NetMeeting 远程桌面共享

通过 NetMeeting 远程桌面共享系统服务,授权用户可以使用 Windows NetMeeting 从其他个人计算机通过公司 intranet 远程访问 Windows 桌面。 您必须在 NetMeeting 中显式启用此服务。 您可以通过使用 Windows 通知区域中显示的图标来禁用或关闭此功能。

系统服务名称: mnmsrvc

应用协议协议端口
终端服务TCP3389
   

网络新闻传输协议 (NNTP)

网络新闻传输协议 (NNTP) 系统服务允许运行 Windows Server 2003 的计算机充当新闻服务器。 客户端可以使用新闻客户端(如 Microsoft Outlook Express)从服务器检索新闻组,并读取每个新闻组中文章的标题或正文。

系统服务名称: NNTPSVC

应用协议协议端口
NNTPTCP119
基于 SSL 的 NNTPTCP563
   

脱机文件、用户配置文件服务、文件夹重定向和主计算机

脱机文件和漫游用户配置文件将用户数据缓存到计算机以供脱机使用。 这些功能存在于所有支持的 Microsoft 操作系统中。 Windows XP 在 Windows Vista、Windows Server 2008 及更高版本的操作系统使用 User Profile Service 时,将漫游用户配置文件缓存作为 Winlogon 进程的一部分实现。 所有这些系统都使用 SMB。

文件夹重定向使用 SMB 将用户数据从本地计算机重定向到远程文件共享。

Windows 的主要计算机系统是漫游用户配置文件和脱机文件服务的一部分。 主计算机提供了一种功能,可防止对特定用户未被管理员授权的计算机进行数据缓存。 主计算机使用 LDAP 确定配置,但不使用 SMB 执行任何数据传输;它改为更改默认脱机文件和漫游用户配置文件行为。 此系统是在 Windows Server 2012 中添加的。

系统服务名称: ProfSvc、 CscService

应用协议协议端口
SMBTCP445
全局编录TCP3269
全局编录TCP3268
LDAP 服务器TCP389
LDAP 服务器UDP389
LDAP SSLTCP636
   

性能日志和警报

性能日志和警报:系统服务根据预配置的计划参数收集本地或远程计算机的性能数据,然后将该数据写入日志或触发消息。 根据 "指定日志收集设置" 中包含的信息,"性能日志和警报" 服务将启动和停止每个已命名的性能数据集。 仅当至少计划了一个性能数据集合时,才会运行此服务。

系统服务名称: SysmonLog

应用协议协议端口
NetBIOS 会话服务TCP139
   

打印后台处理程序

打印后台处理程序系统服务管理所有本地和网络打印队列并控制所有打印作业。 打印后台处理程序是 Windows 打印子系统的中心。 它管理系统上的打印队列,并与打印机驱动程序和输入/输出 (i/o) 组件(如 USB 端口和 TCP/IP 协议套件)进行通信。

系统服务名称: 后台处理程序

应用协议协议端口
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
SMBTCP445
   

 备注

后台打印程序服务使用命名管道上的 RPC。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程安装

您可以使用远程安装系统服务在预启动执行环境中安装 Windows 2000、Windows XP 和 Windows Server 2003 (PXE) 远程启动的客户端计算机。 启动信息协商层 (BINL) service、远程安装服务器 (RIS) 的主要组件、应答 PXE 客户端请求、检查 Active Directory 是否适用于客户端验证,以及如何将客户端信息传递到服务器。 当您从 "添加/删除 Windows 组件" 添加 RIS 组件时,将会安装 BINL 服务,也可以在首次安装操作系统时选择它。

系统服务名称: BINLSVC

应用协议协议端口
BINLUDP4011
   

远程过程调用 (RPC)

(RPC) system service 的远程过程调用是一种进程间通信 (IPC) 机制,该机制允许数据交换和位于不同进程中的功能的调用。 不同的进程可以在同一台计算机上、在 LAN 上,也可以在远程位置,也可以通过 WAN 连接或 VPN 连接进行访问。 RPC 服务充当 RPC 终结点映射程序和组件对象模型 (COM) 服务控制管理器。 许多服务依赖于 RPC 服务才能成功启动。

系统服务名称: RpcSs

应用协议协议端口
RPCTCP135
RPC over HTTPSTCP593
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
SMBTCP445
   

 备注

  • RPC 不使用表中列出的硬编码端口。 Active Directory 和其他组件使用的暂时范围端口在暂时端口范围内通过 RPC 进行。 临时端口范围取决于客户端操作系统连接到的服务器操作系统。
  • RPC 终结点映射器还通过使用命名管道提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程过程调用 (RPC) 定位器

(RPC) 定位器系统服务管理 RPC 名称服务数据库的远程过程调用。 启用此服务时,RPC 客户端可以查找 RPC 服务器。 默认情况下,此服务处于关闭状态。

系统服务名称: RpcLocator

应用协议协议端口
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
SMBTCP445
   

 备注

RPC 定位器服务通过将 RPC 用于命名管道来提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程存储通知

远程存储通知系统服务可在用户读取或写入仅在辅助存储媒体上可用的文件时通知用户。 停止此服务将阻止此通知。

系统服务名称: Remote_Storage_User_Link

应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

远程存储

远程存储系统服务将不常使用的文件存储在辅助存储媒体上。 如果停止此服务,则用户无法从辅助存储媒体移动或检索文件。

系统服务名称: Remote_Storage_Server

应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

路由和远程访问

路由和远程访问服务提供了多协议 LAN 到 LAN、LAN 到 WAN、VPN 和 NAT 路由服务。 路由和远程访问服务还提供拨号和 VPN 远程访问服务。 尽管路由和远程访问服务可以使用以下所有协议,但服务通常只使用其中的几种协议。 例如,如果配置位于筛选路由器后面的 VPN 网关,则可能只使用一种协议。 如果将 L2TP 与 IPsec 一起使用,则必须在端口 4500) 上允许 IPsec ESP (IP 协议 50) 、NAT-T (UDP,并通过路由器 (端口 500) 上的 IPsec ISAKMP UDP。

 备注

虽然 L2TP 需要使用 NAT-T 和 IPsec ISAKMP,但这些端口由本地安全机构监视。 有关此内容的详细信息,请参阅 " 参考 " 部分。

系统服务名称: RemoteAccess

应用协议协议端口
GRE (IP 协议 47)GRE不适用
IPsec AH (IP 协议 51)AH不适用
IPsec ESP (IP 协议 50)ESP不适用
L2TPUDP1701
PPTPTCP1723
   

服务器

服务器系统服务提供 RPC 支持和文件共享、打印共享以及通过网络的命名管道共享。 服务器服务允许用户共享本地资源(如磁盘和打印机),以便网络中的其他用户可以访问它们。 它还启用在本地计算机和其他计算机上运行的程序之间的命名管道通信。 命名管道通信是为一个进程的输出保留的内存,用作另一个进程的输入。 接受输入的进程不必是本地计算机。

 备注

如果计算机名称通过使用 WINS 解析为多个 IP 地址,或者 WINS 失败并且名称是通过 DNS 解析的,则 TCP/IP 上的 NetBIOS (NetBT) 尝试对文件服务器的 IP 地址或地址进行 ping 操作。 端口139通信取决于 Internet 控制邮件协议 (ICMP) 回显邮件。 如果未安装 IP 版本 6 (IPv6) ,则端口445通信也将依赖 ICMP 进行名称解析。 预加载的 Lmhosts 项将绕过 DNS 解析程序。 如果在运行 Windows Server 2003 或 Windows XP 操作系统的计算机上安装了 IPv6,则端口445通信不会触发 ICMP 请求。

此处列出的 NetBIOS 端口是可选的。 Windows 2000 和更高版本的客户端可以通过端口445工作。

系统服务名称: lanmanserver

应用协议协议端口
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
SMBTCP445
   

SharePoint Portal Server

利用 SharePoint Portal Server 系统服务,您可以开发无缝连接用户、团队和知识的智能门户。 这有助于人们在业务流程中利用相关信息。 Microsoft SharePoint Portal Server 2003 提供了企业业务解决方案,可通过单一登录和企业应用集成功能将各种系统中的信息集成到一个解决方案中。

应用协议协议端口
HTTPTCP80
IP-HTTPSTCP443
   

简单邮件传输协议 (SMTP)

简单邮件传输协议 (SMTP) 系统服务是电子邮件提交和中继代理。 它接受并对远程目标的电子邮件进行排队,并按设置的时间间隔重试。 Windows 域控制器将 SMTP 服务用于基于站点站点间电子邮件的复制。 Windows Server 2003 COM 组件 (CDO) 的协作数据对象可以使用 SMTP 服务来提交和队列传出电子邮件。

系统服务名称: SMTPSVC

应用协议协议端口
SMTPTCPword
   

简单 TCP/IP 服务

简单 TCP/IP 服务实现对以下协议的支持:

  • 回显,第7端口,RFC 862
  • 放弃,第9端口,RFC 863
  • 字符生成器,端口19,RFC 864
  • 白天,第13端口,RFC 867
  • 一天的报价,第17端口,RFC 865

系统服务名称: SimpTcp

应用协议协议端口
ChargenTCP
ChargenUDP
联系TCP13
联系UDP13
TCP9
UDP9
回声TCP7
回声UDP7
QuotdTCP17
引号UDP17
   

SNMP 服务

SNMP 服务允许本地计算机服务传入的简单网络管理协议 (SNMP) 请求。 SNMP 服务包括监视网络设备中的活动并向网络控制台工作站报告的代理。 SNMP 服务提供了一种管理网络 (主机的方法,例如工作站或服务器计算机、路由器、网桥和集线器) 来自运行网络管理软件的中央计算机。 SNMP 通过使用管理系统和代理的分布式体系结构来执行管理服务。

系统服务名称: SNMP

应用协议协议端口
SNMPUDP161
   

SNMP 陷阱服务

SNMP 陷阱服务接收由本地或远程 SNMP 代理生成的陷阱消息。 然后,SNMP 陷阱服务会将这些邮件转发到计算机上运行的 SNMP 管理程序。 为代理配置 SNMP 陷阱服务时,如果发生任何特定事件,服务将生成陷阱消息。 这些邮件将被发送到陷阱目标。 例如,如果无法识别的管理系统发送信息请求,则可以将代理配置为启动身份验证陷阱。 陷阱目标包括计算机名称、IP 地址或网际数据包交换 (管理系统的 IPX) 地址。 陷阱目标必须是运行 SNMP 管理软件的启用网络的主机。

系统服务名称: SNMPTRAP

应用协议协议端口
SNMP 陷阱传出UDP162
   

SSDP Discovery Service

SSDP 发现服务实现简单服务发现协议 (SSDP) 为 Windows 服务。 SSDP 发现服务管理设备状态通知的回执,更新其缓存,并将这些通知发送给具有未完成的搜索请求的客户端。 SSDP 发现服务还接受来自客户端的事件回调的注册。 然后,已注册的事件回调将转换为订阅请求。 然后,SSDP 发现服务监视事件通知并将这些请求发送到注册的回调。 此系统服务还提供了对托管设备的定期通知。 当前,SSDP 事件通知服务使用 TCP 端口5000。

 备注

从 Windows XP Service Pack 2 开始 (SP2) 中,SSDP 事件通知服务使用 TCP 端口2869。

系统服务名称: SSDPRSR

应用协议协议端口
SSDPUDP1900
SSDP 事件通知TCP2869
SSDP 旧事件通知TCP5000
   

TCP/IP 打印服务器

TCP/IP 打印服务器系统服务通过使用线路打印机守护程序 (LPD) 协议来启用基于 TCP/IP 的打印。 服务器上的 LPD 服务从行打印机远程 (LPR) 实用程序中运行在 UNIX 计算机上接收文档。

系统服务名称: LPDSVC

应用协议协议端口
LPDTCP515
   

Telnet

Windows 的 Telnet 系统服务提供与 Telnet 客户端的 ASCII 终端会话。 Telnet 服务器支持两种类型的身份验证,并支持以下终端类型:

  • 美洲国家标准研究院 (ANSI)
  • VT-100
  • VT-52
  • VTNT

系统服务名称: TlntSvr

应用协议协议端口
TelnetTCP上午
   

终端服务

终端服务提供了一个多会话环境,使客户端设备能够访问在服务器上运行的虚拟 Windows 桌面会话和基于 Windows 的程序。 终端服务允许多个用户以交互方式连接到一台计算机。

系统服务名称: TermService

应用协议协议端口
终端服务TCP3389
   

终端服务许可

当客户端连接到终端服务器 (已) 启用终端服务器的服务器时,终端服务许可系统服务将安装许可证服务器并向已注册的客户端提供许可证。 终端服务授权是一项低影响服务,它存储为终端服务器颁发的客户端许可证,并跟踪颁发给客户端计算机或终端的许可证。

系统服务名称: TermServLicensing

应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
NetBIOS 数据报服务UDP138
NetBIOS 名称解析UDP137
NetBIOS 会话服务TCP139
SMBTCP445
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

 备注

终端服务授权通过使用 RPC over 命名管道来提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

终端服务会话目录

终端服务会话目录系统服务使负载平衡的终端服务器群集能够将用户的连接请求正确路由到用户已在其上运行会话的服务器。 用户将路由到第一个可用的终端服务器,而不管它们是否在服务器群集中运行另一个会话。 负载平衡功能通过使用 TCP/IP 网络协议来对多个服务器的处理资源进行缓冲。 您可以将此服务与终端服务器的群集结合使用,以提高单个终端服务器的性能,具体方法是跨多个服务器分布会话。 终端服务会话目录可在群集上跟踪断开连接的会话,并确保用户重新连接到这些会话。

系统服务名称: Tssdis

应用协议协议端口
RPCTCP135
随机分配的高 TCP 端口¹TCP1024-65535 之间的随机端口号
介于 49152-65535 ²之间的随机端口号
   

¹有关如何自定义此端口的详细信息,请参阅 参考 部分中的远程过程调用和 DCOM。

²这是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

简单 FTP 端口监控程序

普通 FTP 守护程序系统服务不需要用户名或密码,这是 (RIS) 的远程安装服务的重要部分。 简单 FTP 后台程序服务实现了对简单 FTP 协议 (TFTP) 的支持,该协议由以下 Rfc 定义:

  • RFC 1350-TFTP
  • RFC 2347-选项扩展
  • RFC 2348-块大小选项
  • RFC 2349-超时间隔和传输大小选项

(TFTP) 的简单文件传输协议是支持无盘启动环境的 FTP。 TFTP 服务侦听 UDP 端口69,但它通过随机分配的高端口进行响应。 因此,当您启用此端口时,TFTP 服务将接收传入的 TFTP 请求,但不允许选定的服务器响应这些请求。 该服务可以自由地响应来自任何源端口的任何此类请求,然后远程客户端将在传输过程中使用该端口。 通信是双向的。 如果必须通过防火墙启用此协议,则可能需要打开 UDP 端口69传入。 然后,您可以依赖其他防火墙功能,以动态让服务通过任何其他端口上的临时漏洞进行响应。

系统服务名称: tftpd

应用协议协议端口
TFTPUDP69
   

UPnP 设备主机

UPnP 设备主机发现系统服务实现设备注册、控制和对托管设备事件的响应所需的所有组件。 已注册的与设备相关的信息(如说明、生存期和容器)可选择存储到磁盘,并在注册后或操作系统重新启动时在网络上进行公告。 除了服务说明和演示文稿页面之外,该服务还包括为该设备提供服务的 web 服务器。

系统服务名称: UPNPHost

应用协议协议端口
UPNPTCP2869
   

Windows Internet 名称服务 (WINS)

Windows Internet 名称服务 (WINS) 启用 NetBIOS 名称解析。 此服务可帮助您使用 NetBIOS 名称查找网络资源。 WINS 服务器是必需的,除非所有域都已升级到 Active Directory 目录服务,且网络上的所有计算机都运行的是 Windows 2000 或更高版本。 WINS 服务器使用 NetBIOS 名称解析与网络客户端进行通信。 WINS 复制仅在 WINS 服务器之间是必需的。

系统服务名称: WINS

应用协议协议端口
NetBIOS 名称解析UDP137
WINS 复制TCP42
WINS 复制UDP42
   

Windows Media Services

Windows Server 2003 及更高版本中的 windows Media Services 将替换 Windows Media Services 版本4.0 和4.1 中包含的以下服务:

  • Windows Media Monitor 服务
  • Windows Media Program Service
  • Windows Media 站服务
  • Windows Media 单路广播服务

Windows Media Services 现在是运行在 Windows Server 上的一项服务。 其核心组件是使用 COM 开发的,并且它具有一个灵活的体系结构,可以为特定程序自定义该体系结构。 Windows Media Services 支持更多的控制协议。 其中包括实时流协议 (RTSP) 、Microsoft Media Server (MMS) 协议和 HTTP。

系统服务名称: WMServer

应用协议协议端口
HTTPTCP80
MMSTCP1755
MMSUDP1755
MS 剧院UDP2460
RTCPUDP5005
RTPUDP5004
RTSPTCP554
   

Windows 远程管理 (WinRM)

系统服务名称: WinRM

应用协议协议端口
WinRM 1.1 和更早版本TP默认的 HTTP 端口是 TCP 80,默认的 HTTPS 端口是 TCP 443。
WinRM 2。0TP默认的 HTTP 端口是 TCP 5985,默认的 HTTPS 端口是 TCP 5986。
   

有关详细信息,请参阅 安装和配置 Windows 远程管理。

Windows 时间

Windows 时间系统服务维护网络上运行 Windows XP 或更高版本以及 Windows Server 2003 或更高版本的所有计算机上的日期和时间同步。 此服务使用网络时间协议 (NTP) 同步计算机时钟,以便为网络验证和资源访问请求分配准确的时钟值或时间戳。 NTP 的实现和时间提供程序的集成有助于使 Windows 时间成为您的企业的可靠且可伸缩的时间服务。 对于未加入域的计算机,可以配置 Windows 时间以与外部时间源同步时间。 如果关闭此服务,本地计算机的时间设置不会与 Windows 域中的时间服务或外部配置的时间服务同步。 Windows Server 2003 使用 NTP。 NTP 在 UDP 端口123上运行。 此服务的 Windows 2000 版本使用简单的网络时间协议 (SNTP) 。 SNTP 也运行在 UDP 端口123上。

当 Windows 时间服务使用 Windows 域配置时,该服务需要域控制器位置和身份验证服务。 因此,Kerberos 和 DNS 的端口是必需的。

系统服务名称: W32Time

应用协议协议端口
NTPUDP123
SNTPUDP123
   

World Wide Web 发布服务

World Wide Web 发布服务提供了注册、管理、监视和服务在 IIS 中注册的网站和程序所需的基础结构。 此系统服务包含一个进程管理器和一个配置管理器。 进程管理器控制自定义应用程序和网站所驻留的进程。 配置管理器会读取存储的万维网发布服务的系统配置,并确保将 Http.sys 配置为将 HTTP 请求路由到相应的应用程序池或操作系统进程。 您可以使用 Internet 信息服务 (IIS) 管理器管理单元来配置该服务使用的端口。 如果启用了管理网站,则会创建一个在 TCP 端口8098上使用 HTTP 流量的虚拟网站。

系统服务名称: W3SVC

应用协议协议端口
HTTPTCP80
IP-HTTPSTCP443
   

端口和协议

下表汇总了 " 系统服务端口 " 部分中的信息。 此表按端口号而不是按服务名称排序。

端口协议应用协议系统服务名称
不适用GREGRE (IP 协议 47)路由和远程访问
不适用ESPIPsec ESP (IP 协议 50)路由和远程访问
不适用AHIPsec AH (IP 协议 51)路由和远程访问
7TCP回声简单 TCP/IP 服务
7UDP回声简单 TCP/IP 服务
9TCP简单 TCP/IP 服务
9UDP简单 TCP/IP 服务
13TCP联系简单 TCP/IP 服务
13UDP联系简单 TCP/IP 服务
17TCPQuotd简单 TCP/IP 服务
17UDPQuotd简单 TCP/IP 服务
TCPChargen简单 TCP/IP 服务
UDPChargen简单 TCP/IP 服务
20TCPFTP 默认数据FTP 发布服务
21TCPFTP 控件FTP 发布服务
21TCPFTP 控件应用程序层网关服务
上午TCPTelnetTelnet
wordTCPSMTP简单邮件传输协议
wordTCPSMTPExchange Server
42TCPWINS 复制Windows Internet 名称服务
42UDPWINS 复制Windows Internet 名称服务
53TCPDNSDNS 服务器
53UDPDNSDNS 服务器
53TCPDNSInternet 连接防火墙/Internet 连接共享
53UDPDNSInternet 连接防火墙/Internet 连接共享
67UDPDHCP 服务器DHCP 服务器
67UDPDHCP 服务器Internet 连接防火墙/Internet 连接共享
69UDPTFTP简单 FTP 后台程序服务
80TCPHTTPWindows Media Services
80TCPHTTPWinRM 1.1 和更早版本
80TCPHTTPWorld Wide Web 发布服务
80TCPHTTPSharePoint Portal Server
88TCPKerberosKerberos 密钥发行中心
88UDPKerberosKerberos 密钥发行中心
102TCPX 400Microsoft Exchange MTA 堆栈
110TCPPOP3Microsoft POP3 服务
110TCPPOP3Exchange Server
119TCPNNTP网络新闻传输协议
123UDPNTPWindows 时间
123UDPSNTPWindows 时间
135TCPRPC消息队列
135TCPRPC远程过程调用
135TCPRPCExchange Server
135TCPRPC证书服务
135TCPRPC群集服务
135TCPRPC分布式文件系统命名空间
135TCPRPC分布式链接跟踪
135TCPRPC分布式事务处理协调器
135TCPRPC分布式文件复制服务
135TCPRPC传真服务
135TCPRPCMicrosoft Exchange Server
135TCPRPC文件复制服务
135TCPRPC组策略
135TCPRPC本地安全机构
135TCPRPC远程存储通知
135TCPRPC远程存储
135TCPRPCSystems Management Server 2。0
135TCPRPC终端服务许可
135TCPRPC终端服务会话目录
137UDPNetBIOS 名称解析计算机浏览器
137UDPNetBIOS 名称解析服务器
137UDPNetBIOS 名称解析Windows Internet 名称服务
137UDPNetBIOS 名称解析Net Logon
137UDPNetBIOS 名称解析Systems Management Server 2。0
138UDPNetBIOS 数据报服务计算机浏览器
138UDPNetBIOS 数据报服务服务器
138UDPNetBIOS 数据报服务Net Logon
138UDPNetBIOS 数据报服务分布式文件系统
138UDPNetBIOS 数据报服务Systems Management Server 2。0
138UDPNetBIOS 数据报服务许可证日志记录服务
139TCPNetBIOS 会话服务计算机浏览器
139TCPNetBIOS 会话服务传真服务
139TCPNetBIOS 会话服务性能日志和警报
139TCPNetBIOS 会话服务打印后台处理程序
139TCPNetBIOS 会话服务服务器
139TCPNetBIOS 会话服务Net Logon
139TCPNetBIOS 会话服务远程过程调用定位器
139TCPNetBIOS 会话服务分布式文件系统命名空间
139TCPNetBIOS 会话服务Systems Management Server 2。0
139TCPNetBIOS 会话服务许可证日志记录服务
143TCPIMAPExchange Server
161UDPSNMPSNMP 服务
162UDPSNMP 陷阱传出SNMP 陷阱服务
389TCPLDAP 服务器本地安全机构
389UDPDC 定位程序本地安全机构
389TCPLDAP 服务器分布式文件系统命名空间
389UDPDC 定位程序分布式文件系统命名空间
389UDPDC 定位程序Netlogon
389UDPDC 定位程序Kerberos 密钥发行中心
389TCPLDAP 服务器分布式文件系统复制
389UDPDC 定位程序分布式文件系统复制
443TCPIP-HTTPSHTTP SSL
443TCPIP-HTTPSWorld Wide Web 发布服务
443TCPIP-HTTPSSharePoint Portal Server
443TCPRPC over HTTPSExchange Server 2003
443TCPIP-HTTPSWinRM 1.1 和更早版本
445TCPSMB传真服务
445TCPSMB打印后台处理程序
445TCPSMB服务器
445TCPSMB远程过程调用定位器
445TCPSMB分布式文件系统命名空间
445TCPSMB分布式文件系统复制
445TCPSMB许可证日志记录服务
445TCPSMBNet Logon
464UDPKerberos 密码 V5Kerberos 密钥发行中心
464TCPKerberos 密码 V5Kerberos 密钥发行中心
500UDPIPsec ISAKMP本地安全机构
515TCPLPDTCP/IP 打印服务器
554TCPRTSPWindows Media Services
563TCP基于 SSL 的 NNTP网络新闻传输协议
593TCPRPC over HTTPS 终结点映射器远程过程调用
593TCPRPC over HTTPSExchange Server
636TCPLDAP SSL本地安全机构
636UDPLDAP SSL本地安全机构
647TCPDHCP 故障转移DHCP 故障转移
9389TCPActive Directory Web 服务 (ADWS)Active Directory Web 服务 (ADWS)
9389TCPActive Directory Web 服务 (ADWS)Active Directory 管理网关服务
993TCP通过 SSL 的 IMAPExchange Server
995TCPPOP3 over SSLExchange Server
1067TCP安装启动服务安装启动协议服务器
1068TCP安装启动服务安装启动协议客户端
1270TCPMOM 加密Microsoft Operations Manager 2000
1433TCP基于 TCP 的 SQLMicrosoft SQL Server
1433TCP基于 TCP 的 SQLMSSQL $ UDDI
1434UDPSQL 探测器Microsoft SQL Server
1434UDPSQL 探测器MSSQL $ UDDI
1645UDP旧版 RADIUSInternet 验证服务
1646UDP旧版 RADIUSInternet 验证服务
1701UDPL2TP路由和远程访问
1723TCPPPTP路由和远程访问
1755TCPMMSWindows Media Services
1755UDPMMSWindows Media Services
1801TCPMSMQ消息队列
1801UDPMSMQ消息队列
1812UDPRADIUS 身份验证Internet 验证服务
1813UDPRADIUS 记帐Internet 验证服务
1900UDPSSDPSSDP Discovery Service
2101TCPMSMQ-Dc消息队列
2103TCPMSMQ-RPC消息队列
2105TCPMSMQ-RPC消息队列
2107TCPMSMQ 管理消息队列
2393TCPOLAP 服务7。0SQL Server:下层 OLAP 客户端支持
2394TCPOLAP 服务7。0SQL Server:下层 OLAP 客户端支持
2460UDPMS 剧院Windows Media Services
2535UDPMADCAPDHCP 服务器
2701TCPSMS 远程控制 (控制)SMS 远程控制代理
2701UDPSMS 远程控制 (控制)SMS 远程控制代理
2702TCPSMS 远程控制 (数据)SMS 远程控制代理
2702UDPSMS 远程控制 (数据)SMS 远程控制代理
2703TCPSMS 远程聊天SMS 远程控制代理
2703UPDSMS 远程聊天SMS 远程控制代理
2704TCPSMS 远程文件传输SMS 远程控制代理
2704UDPSMS 远程文件传输SMS 远程控制代理
2725TCPSQL Analysis ServicesSQL Server Analysis Services
2869TCPUPNPUPnP 设备主机
2869TCPSSDP 事件通知SSDP Discovery Service
3268TCP全局编录本地安全机构
3269TCP全局编录本地安全机构
3343UDP群集服务群集服务
3389TCP终端服务NetMeeting 远程桌面共享
3389TCP终端服务终端服务
3527UDPMSMQ-Ping消息队列
4011UDPBINL远程安装
4500UDPNAT-T本地安全机构
5000TCPSSDP 旧事件通知SSDP Discovery Service
5004UDPRTPWindows Media Services
5005UDPRTCPWindows Media Services
5722TCPRPC分布式文件系统复制
6001TCP信息存储Exchange Server 2003
6002TCP目录引用Exchange Server 2003
6004TCPDSProxy/NSPIExchange Server 2003
42424TCPASP.NET 会话状态ASP.NET State Service
51515TCPMOM-清除Microsoft Operations Manager 2000
5985TCPHTTPWinRM 2。0
5986TCPIP-HTTPSWinRM 2。0
1024-65535TCPRPC随机分配的高 TCP 端口
135TCPWMIHyper-v 服务
49152-65535 之间的随机端口号TCP随机分配的高 TCP 端口Hyper-v 服务
80TCPKerberos 身份验证 (HTTP)Hyper-v 服务
443TCP基于证书的身份验证 (HTTPS)Hyper-v 服务
6600TCP实时迁移Hyper-v 实时迁移
445TCPSMBHyper-v 实时迁移
3343UDP群集服务流量Hyper-v 实时迁移
    

 备注

端口5722仅用于 Windows Server 2008 域控制器或 Windows Server 2008 R2 域控制器;它不用于 Windows Server 2012 域控制器。 仅在创建新的空已复制文件夹时,DFSR 才使用端口445。

Microsoft 在 Microsoft Excel 工作表中提供了此表中的部分信息。 此工作表可从 Microsoft 下载中心下载。

Active Directory 端口和协议要求

位于公用或外部林的应用程序服务器、客户端计算机和域控制器具有服务依存关系,以便用户启动的和计算机启动的操作(如域加入、登录身份验证、远程管理和 Active Directory 复制)能够正常工作。 此类服务和操作需要通过特定端口和网络协议的网络连接。

成员计算机和域控制器之间的服务、端口和协议的汇总列表,与另一台服务器之间的相互操作或应用程序服务器可访问 Active Directory 包括但不限于以下各项。

Active Directory 所依赖的服务的列表:

  • Active Directory/LSA
  • 计算机浏览器
  • 分布式文件系统命名空间
  • 分布式文件系统复制 (如果不使用 FRS 进行 SYSVOL 复制)
  • 如果没有对 SYSVOL 复制使用 DFSR,则文件复制服务 ()
  • Kerberos 密钥发行中心
  • Net Logon
  • 远程过程调用 (RPC)
  • 服务器
  • 简单邮件传输协议 (SMTP)
  • WINS (在 Windows Server 2003 SP1 及更高版本中用于备份 Active Directory 复制操作(如果 DNS 未正常工作))
  • Windows 时间
  • World Wide Web 发布服务

需要 Active Directory 服务的服务的列表:

  • 特定配置需要证书服务 ()
  • DHCP 服务器
  • 分布式文件系统命名空间 (如果使用基于域的命名空间)
  • 分布式文件系统复制
  • 分布式链接跟踪服务器
  • 分布式事务处理协调器
  • DNS 服务器
  • 传真服务
  • 文件复制服务
  • Internet 验证服务
  • 许可证日志记录
  • Net Logon
  • 打印后台处理程序
  • 远程安装
  • 远程过程调用 (RPC) 定位器
  • 远程存储通知
  • 远程存储
  • 路由和远程访问
  • 服务器
  • 简单邮件传输协议 (SMTP)
  • 终端服务
  • 终端服务许可
  • 终端服务会话目录

参考

本文中介绍的每个 Microsoft 产品的帮助文件都包含更多帮助您配置程序的有用信息。

有关 Active Directory 域服务防火墙和端口的信息,请参阅 如何为 Active directory 域和信任配置防火墙。

一般信息

有关如何帮助保护 Windows Server 和特定服务器角色的示例 IPsec 筛选器的详细信息,请参阅 Microsoft 安全合规性管理器。 此工具将所有以前的安全建议和安全文档聚合到一个实用程序中,用于所有支持 Microsoft 操作系统:

  • Windows 安全基准
  • Windows Server 2008 R2 安全基准
  • Windows Server 2008 安全基准
  • Windows Server 2003 安全基准
  • Windows 7 安全基准
  • Windows Vista 安全基准
  • Windows XP 安全基准

有关操作系统服务、安全设置和 IPsec 筛选的详细信息,请参阅下列威胁和对策指南之一:

  • 威胁和对策指南: Windows Server 2008 R2 和 Windows 7 中的安全设置
  • 威胁和对策指南: Windows Server 2008 和 Windows Vista 中的安全设置
  • 威胁和对策: Windows Server 2003 和 Windows XP 中的安全设置

有关更多信息,请参阅:

  • 主要 Microsoft 服务器产品使用的网络端口
  • Active directory 和 Active Directory 域服务端口要求。

Internet 分配的号码颁发机构将协调已知端口的使用。 若要查看此组织的 TCP/IP 端口分配列表,请参阅 服务名称和传输协议端口号注册表。

远程过程调用和 DCOM

有关 RPC 的详细说明,请参阅 远程过程调用 (RPC) 。

有关如何配置 RPC 以与防火墙配合使用的详细信息,请参阅 how to CONFIGURE rpc dynamic port 分配 to with 防火墙。

有关 RPC 协议以及运行 Windows 2000 的计算机如何初始化的详细信息,请参阅 Windows 2000 启动和登录流量分析。

域控制器和 Active Directory

有关如何限制 Active Directory 复制和客户端登录流量的详细信息,请参阅 将 Active directory 复制流量和客户端 RPC 流量限制到特定端口。

有关目录系统代理、LDAP 和本地系统权限之间如何相关的说明,请参阅 目录系统代理。

有关 LDAP 和全局编录工作方式的详细信息,请参阅 全局编录的工作原理。

Exchange Server

有关 Microsoft Exchange Server 使用的所有数据路径的端口、身份验证和加密的信息,请参阅 Exchange 中的客户端和邮件流的网络端口。

您的特定环境可能需要考虑的其他事项。 您可以从以下 Microsoft 网站获取详细信息并帮助规划 Exchange 实施:

  • Exchange Server 2013
  • Exchange Server 2007
  • Exchange Server 2003

有关详细信息,请参阅 在 outlook 2013 中配置 Outlook 无处不在。

分布式文件复制服务

分布式文件复制服务包括 Dfsrdiag.exe 命令行工具。 Dfsrdiag.exe 可以设置用于管理和复制的服务器 RPC 端口。 若要使用 Dfsrdiag.exe 设置服务器 RPC 端口,请按照以下示例操作:

dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso

在此示例中, nnnnn 表示 DFSR 将用于复制的单个静态 RPC 端口。 Branch01.sales.contoso 表示目标成员计算机的 DNS 名称或 NetBIOS 名称。 如果未指定任何成员,Dfsrdiag.exe 将使用本地计算机。

Internet Information Services

有关 IIS 6.0 中的端口的信息,请参阅 Tcp/ip 端口筛选。

有关 FTP 的信息,请参阅以下资源:

  • FTP 发布服务网页
  • 配置 FTP 防火墙支持

多播地址动态客户端分配协议 (MADCAP)

有关如何规划 MADCAP 服务器的详细信息,请参阅 清单:安装 madcap 服务器。

消息队列

有关 Microsoft 消息队列使用的端口的详细信息,请参阅 " TCP 端口"、"UDP 端口" 和 "消息队列使用的 RPC 端口"。

Microsoft Operations Manager

有关如何规划和部署 MOM 的信息,请参阅 System Center 开发人员文档库。

系统管理服务器

有关 SMS 2003 使用的端口的详细信息,请参阅 Systems Management Server 2003 通过防火墙或代理服务器进行通信所使用的端口。

SQL Server

有关 SQL Server 7.0 和 OLAP SQL Server 2000 使用的端口的详细信息,请参阅 INF:通过防火墙连接时 OLAP 服务使用的 TCP 端口。

终端服务

有关如何配置终端服务使用的端口的详细信息,请参阅在 您的计算机上更改远程桌面的侦听端口。

在 Windows 中控制通过 Internet 的通信

有关详细信息,请参阅 托管环境中的使用 Windows Server 2003 Service Pack 1:控制与 Internet 的通信。

Windows Media Services

有关 Windows Media Services 使用的端口的信息,请参阅为 Windows Media Services 分配端口。

本文标签: 端口 网络 Windows