群晖NAS无法加域
重要这篇文章包含默认的动态端口范围的几种参考。在 Windows Server 2008 和更高版本,并且在 Windows Vista 或更高版本中,默认的动态端口范围更改为下面的区域:
启动端口: 49152
结束端口: 65535
Windows 2000、 Windows Server 2003 和 Windows XP 中,请使用以下的动态端口范围:
启动端口: 1025年
结束端口: 5000
这意味着您:
如果您的计算机网络环境使用仅 Windows Server 2012、 Windows Server 2008 R2,Windows Server 2008,Windows 8,Windows 7 或 Windows Vista,您必须启用连接高端口 49152 到 65535 的范围内。
如果您计算机的网络环境使用 Windows 的版本早于 Windows Server 2008 和 Windows Vista 和 Windows Server 2012,Windows Server 2008 R2,Windows Server 2008,Windows 8,Windows 7 或 Windows Vista,您必须启用连接通过这两个端口范围如下:
较高的端口范围 49152 到 65535 之间
较低的端口范围 1025年到 5000
如果您的计算机网络环境使用只有 Windows 的版本早于 Windows Server 2008 和 Windows Vista,您必须通过较低的端口范围的 1025 到 5000 启用连接。
有关 Windows Server 2012,Windows 8,Windows Server 2008 R2 中的默认动态端口范围,Windows 7,Windows Server 2008 中,Windows Vista 中,请单击 followng 的文章编号,以转到 Microsoft 知识库中相应的文章:
929851在 Windows Vista 和 Windows Server 2008 中 TCP/IP 默认动态端口范围已更改
摘要
本文讨论了所需的网络端口、 协议和服务使用的 Microsoft 客户端和服务器操作系统、 基于服务器的程序和及其子组件在 Microsoft Windows 服务器系统中。管理员和支持专业人员可能会使用此 Microsoft 知识库文章作为路线图以确定哪些端口和协议的 Microsoft 操作系统和程序要求的分段网络中的网络连接。 不应使用此文章中的端口信息来配置 Windows 防火墙。有关如何将 Windows 防火墙配置的信息,请参阅下面的 Microsoft 网站:网络和访问技术: Windows 防火墙Windows 服务器系统包括一个综合和集成的基础结构以满足开发人员和信息技术 (IT) 专业人员的需求。此系统运行程序和解决方案,可用来获得,分析,和快速而方便地共享信息。这些 Microsoft 客户端、 服务器和服务器程序产品使用不同的网络端口和协议在网络上通讯与客户端系统和其他服务器系统。专用的防火墙、 基于主机的防火墙和 Internet 协议安全 (IPsec) 筛选器都必须具有可帮助保护您的网络的其他重要组件。但是,如果将这些技术配置为阻止的端口和协议所使用的特定服务器,则该服务器将不再响应客户端请求。
概述
下面的列表概述了本文包含的信息:
"系统服务端口"一节包含每个服务的简短说明,显示该服务的逻辑名称和指示的端口和每个服务进行正确操作的协议。使用此节可帮助识别的端口和协议的某项服务使用。
"端口和协议"部分包含一个表,其中总结了系统服务端口部分中的信息。表按端口号而不是按服务名称排序。使用此部分可以迅速确定哪些服务侦听特定的端口。
本文以特定的方式使用某些术语。为了避免混淆,请确保您了解文章如何使用这些术语:
系统服务: 系统服务是作为应用程序的启动过程中或在操作系统启动过程中自动加载的程序。系统服务支持的操作系统必须执行的不同任务。例如,一些在运行 Windows Server 2003 企业版的计算机可用的系统服务包括服务器服务、 打印后台处理程序服务和万维网发布服务。每个系统服务都有一个好记的服务名称和一个服务名称。好记的服务名称是这样的服务 Microsoft 管理控制台 (MMC) 管理单元中的图形化管理工具中显示的名称。服务名称是用于命令行工具和许多脚本语言的名称。每个系统服务可以提供一个或多个网络服务。
应用程序协议: 在本文中,应用程序协议指的高级网络协议使用一个或多个 TCP/IP 协议和端口。应用程序协议的示例包括 HTTP 服务器消息块 (Smb) 和简单邮件传输协议 (SMTP)。
协议: TCP/IP 协议是网络上设备之间进行通信的标准格式。在比应用程序协议低的级别运行的 TCP/IP 协议。TCP/IP 协议套件包括 TCP、 用户数据报协议 (UDP) 和 Internet 控制消息协议 (ICMP)。
端口: 这是系统服务侦听传入的网络通信的网络端口。
这篇文章没有指定哪些服务依赖于其他服务进行网络通信。例如,许多服务依赖于远程过程调用 (RPC) 或 DCOM 在 Microsoft Windows 中的功能,来分配这些动态的 TCP 端口。远程过程调用服务协调由其他使用 RPC 或 DCOM 与客户端计算机通信的系统服务的请求。许多其他服务依赖于网络基本输入/输出系统 (NetBIOS) 或中小型企业,都由服务器服务的协议。其他服务依赖于 HTTP 或在超文本传输协议安全 (HTTPS)。这些协议提供了通过 Internet Information Services (IIS)。Windows 操作系统的体系结构的完整讨论已超出本文的范围。但是,有关该主题的详细的文档是 Microsoft TechNet 和 Microsoft 开发人员网络 (MSDN) 的网站上找到。尽管许多服务可能依赖于特定的 TCP 或 UDP 端口,但只有一个服务或进程一次可以侦听该端口。 当您使用 RPC 使用 TCP/IP 或 UDP/IP 作为传输时,传入端口是经常动态分配的系统服务的要求;使用 TCP/IP 和高于端口 1024年的 UDP/IP 端口。这些主题还非正式地称为随机 RPC 端口。在这些情况下,RPC 客户端依赖于 RPC 终结点映射器来告诉他们哪些动态端口或端口被分配给服务器。对于某些基于 RPC 的服务,您可以配置特定的端口而不是让 RPC 动态分配端口。您还可以限制为一个小的范围,不考虑服务的 RPC 动态分配的端口范围。有关此主题的详细信息,请参阅"参考"部分。 本文包含有关的系统服务角色和服务器角色"适用于"一节中列出的 Microsoft 产品的信息。虽然此信息还可应用到 Windows XP 和 Microsoft Windows 2000 专业版,这篇文章的重点服务器级操作系统。因此,描述了一种服务而不是客户端程序用来连接到远程系统的端口侦听的端口。
系统服务端口
本节提供了每个系统服务的说明,包括与系统服务相对应并显示的端口和协议,要求每个服务的逻辑名称。 单击系统服务说明,请参阅以下列表中的名称:
1.活动目录 (本地安全颁发机构)
Active Directory Lsass.exe 进程下运行,并包括 Windows 域控制器的身份验证和复制引擎。域控制器、 客户端计算机和应用程序服务器需要通过特定硬编码端口与 Active Directory 的网络连接。此外,除非使用隧道协议封装到 Active Directory 通讯,1024年到 5000 和 49152 到 65535 之间的临时 TCP 端口范围是必需的。 注意
如果您的计算机网络环境使用 Windows Server 2008 R2,Windows Server 2008,Windows 7 或 Windows Vista,您必须启用连接高端口 49152 到 65535 的范围内。
如果计算机网络环境使用 Windows Server 2008 R2、 Windows Server 2008、 Windows 7 或 Windows Vista 和 Windows 的版本早于 Windows Server 2008 和 Windows Vista,您必须在这两个端口范围内启用连接:
高端口 49152 到 65535 范围
通过 5000 1025年低端口范围
如果您的计算机网络环境使用只有 Windows 的版本早于 Windows Server 2008 和 Windows Vista,您必须通过较低的端口范围的 1025 到 5000 启用连接。
使用第 2 层隧道协议 (L2TP) 与 IPsec 筛选路由器后面的 VPN 网关可能包含封装的解决方案。在此封装的情况下,您必须允许通过路由器而不是打开所有端口和协议在本主题中列出以下各项:
IPsec 封装式安全协议 (ESP) (IP 协议 50)
IPsec 网络地址转换器遍历 NAT-T (UDP 端口 4500)
IPsec Internet 安全关联和密钥管理协议 (ISAKMP) (UDP 端口 500)
最后,您可以按照 Microsoft 知识库文章中的步骤用于 Active Directory 复制端口进行硬编码224196: 限制 Active Directory 复制通信,客户端 RPC 通信到特定端口系统服务名称: 用于 L2TP 通信的LSASS注意数据包筛选器不是必需的因为 L2TP 受 IPsec ESP。
| 应用程序协议 | 协议 | 端口 |
| 活动目录的 Web 服务 (ADWS) | TCP | 9389 |
| Active Directory 管理网关服务 | TCP | 9389 |
| 全局编录 | TCP | 3269 |
| 全局编录 | TCP | 3268 |
| ICMP | 没有端口号 | |
| LDAP 服务器 | TCP | 389 |
| LDAP 服务器 | UDP | 389 |
| LDAP SSL | TCP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT T | UDP | 4500 |
| RPC | TCP | 135 |
| RPC 随机分配的高 TCP ports¹ | TCP | 1024-5000 49152-65535² |
| SMB | TCP | 445 |
¹ 有关如何自定义此端口,请参阅"参考"一节中"域控制器和活动目录"。这还包括第一次使用 Windows Server 2012 域控制器升级必备项验证过程,并使用服务器管理器工具中的远程 WMI 和 DCOM 通信。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 ³ 撰写电子邮件客户端使用 ICMP ping 命令验证已挂起的请求与 LDAP 服务器是网络上仍然存在。以下设置是 LDAP 会话选项:PingKeepAliveTimeout = 120 秒 (多长时间等待后从服务器上一次响应之前它开始发送 ping PingLimit = 4 (多少 ping 命令关闭连接之前发送) PingWaitTimeout = 2000 毫秒 (多长时间等待 ICMP 响应) LdapSessionOptions 类的参考信息:
2.应用程序层网关服务
Internet 连接共享/互联网连接防火墙 (ICF) 服务的该组件用于为允许网络协议通过防火墙和 Internet 连接共享后工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据 (如端口和 IP 地址)。FTP 是唯一网络协议具有插件附带 Windows 服务器。ALG FTP 插件通过这些组件使用网络地址转换 (NAT) 引擎支持活动的 FTP 会话。ALG FTP 插件通过重定向所有满足以下条件到环回适配器上 3000 到 5000 范围内的专用侦听端口的通信来支持这些会话:
通过 NAT 引擎
向端口 21 定向
ALG FTP 插件,然后监视和更新 FTP 控制信道流量,使得 FTP 插件可以转发通过 FTP 数据信道 NAT 端口映射。FTP 插件还更新 FTP 控制通道流中的端口。 系统服务名称: ALG
| 应用程序协议 | 协议 | 端口 |
| FTP 控件 | TCP | 21 |
3.ASP.NET 状态服务
ASP.NET 状态服务的 ASP.NET 进程外会话状态提供支持。ASP.NET 状态服务将存储会话数据的进程外。该服务使用套接字进行通信的 web 服务器运行的 ASP.NET。 系统服务名称: aspnet_state
| 应用程序协议 | 协议 | 端口 |
| ASP.NET 会话状态 | TCP | 42424 |
4.证书服务
证书服务是核心操作系统的一部分。通过使用证书服务,企业可以充当它自己的证书颁发机构 (CA)。这使企业颁发和管理数字证书的程序和协议如下所示:
确保安全/多用途 Internet 邮件扩展 (S/MIME)
安全套接字层 (SSL)
加密文件系统 (EFS)
IPsec
智能卡登录
证书服务依赖于 RPC 和 DCOM 与客户端通信使用高于端口 1024年的随机 TCP 端口。 系统服务名称:证书服务
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
5.群集服务
群集服务控制服务器群集操作并管理群集数据库。群集是充当单个计算机的独立计算机的集合。管理员、 程序员和用户,请参阅群集作为单个系统。软件分发在群集的节点之间的数据。如果某个节点发生故障,其他节点将提供原来由丢失的节点的数据与服务。当添加或修复节点时,群集软件将一些数据迁移到该节点。 系统服务名称: ClusSvc
| 应用程序 | 协议 | 端口 |
| 群集服务 | UDP | 3343 |
| 群集服务 | TCP | 3343(此端口在节点联接操作过程中必不可少。) |
| RPC | TCP | 135 |
| 群集管理器 | UDP | 137 |
| 随机分配高 UDP ports¹ | UDP | 随机端口号介于 1024年和 65535 之间 49152 和 65535² 之间的随机端口号 |
注: 此外,对于成功验证 Windows 故障转移群集在 2008 年及以上,允许入站和出站流量为 ICMP4、 ICMP6 和端口 445/TCP SMB。 ¹ 有关如何自定义这些端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
6.计算机浏览器
计算机浏览器系统服务维护网络上计算机的最新列表,并提供给需要它的程序的列表。计算机浏览器服务来查看网络域和资源的基于 Windows 的计算机使用。都被指定为浏览器维护浏览列表包含网络使用的所有共享的资源的计算机。所有所需要的基于 Windows 的程序,例如网上邻居、 net view命令和 Windows 资源管理器中,较早版本浏览功能。例如,运行的 Microsoft Windows 95 的计算机上打开网上邻居,将显示域和计算机的列表。若要显示此列表,计算机从指定为浏览器的计算机中获得浏览列表的副本。 如果您正在运行只有 Windows Vista 和更高版本的 Windows,则浏览器服务不再需要。 系统服务名称:浏览器
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 名称解析 | UDP | 137 |
| NetBIOS 会话服务 | TCP | 139 |
7.DHCP 服务器
DHCP 服务器服务使用动态主机配置协议 (DHCP) 自动分配的 IP 地址。此服务可用于调整 DHCP 客户机的高级的网络设置。例如,您可以配置如域名系统 (DNS) 服务器和 Windows Internet 名称服务 (入选) 服务器的网络设置。您可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息并向客户端计算机提供此信息。 系统服务名称:进行
| 应用程序协议 | 协议 | 端口 |
| DHCP 服务器 | UDP | 67 |
| MADCAP | UDP | 2535 |
| DHCP 故障转移 | TCP | 647 |
8.分布式文件系统命名空间
分布式文件系统命名空间 (DFSN) 集成位于本地网络 (LAN) 或广域网 (WAN) 为一个逻辑命名空间的不同的文件共享。DFSN 服务是 Active Directory 域控制器公布 SYSVOL 共享的文件夹的需要。 系统服务名称: Dfs
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138³ |
| NetBIOS 会话服务 | TCP | 139³ |
| LDAP 服务器 | TCP | 389 |
| LDAP 服务器 | UDP | 389 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 ³ NETBIOS 端口是可选的 DFSN 使用 FQDN 服务器名称时都不需要。
9.分布式文件系统复制
分布式文件系统复制 (DFSR) 服务是一种基于状态的多主机文件复制引擎,将更新自动复制到文件和文件夹的常见的复制组中参与的计算机之间。在 Windows Server 2003 R2 中添加 DFSR。您可以通过使用 Dfsrdiag.exe 命令行工具来复制特定的端口,而不考虑是否它们已加入在分布式文件系统命名空间 (DFSN) 上的文件配置 DFSR。 系统服务名称: DFSR
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| RPC | TCP | 5722³ |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义此端口,请参阅"分布式文件复制服务"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 ³ 端口 5722 仅使用 Windows Server 2008 在域控制器上或在 Windows Server 2008 R2 域控制器上。它不使用 Windows Server 2012 在域控制器上。
10.分布式链接跟踪服务器
分布式链接跟踪服务器系统服务存储信息,以便在卷之间移动的文件可以跟踪到域中的每个卷。在每个域中的域控制器上运行分布式链接跟踪服务器服务。此服务启用了分布式链接跟踪客户端服务可以跟踪被移动到同一个域中另一个 NTFS 文件系统卷中的某个位置的链接的文档。 系统服务名称: TrkSvr
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
11.分布式事务处理协调器
分布式事务处理协调器 (DTC) 系统服务协调分布在多个计算机系统和资源管理器,如数据库、 消息队列、 文件系统或其他受事务保护的资源的事务管理人员。如果事务性组件通过 COM + 配置 DTC 系统服务是必需的。它也是必需的事务性队列,消息队列 (也称为 MSMQ) 和 SQL Server 中跨多个系统的操作。 系统服务名称: MSDTC
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"分布式事务处理协调器"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
12.DNS 服务器
DNS 服务器服务允许通过应答查询和更新请求 DNS 名称的 DNS 名称解析。DNS 服务器不需要定位设备和服务,通过使用 DNS 名称来识别并定位在活动目录中的域控制器。 系统服务名称: DNS
| 应用程序协议 | 协议 | 端口 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
13.事件日志
事件日志系统服务记录由程序和 Windows 操作系统生成的事件消息。事件日志报告包含可用于诊断问题的信息。您可以在事件查看器中查看报告。事件日志服务将发送到日志文件的程序、 服务和操作系统事件。事件包含诊断信息和特定于源应用程序、 服务或组件的错误。日志可以通过事件日志 Api 或通过 mmc 管理单元中的事件查看器以编程方式查看。 系统服务名称:事件日志
| 应用程序协议 | 协议 | 端口 |
| 名为 RPC/管道 (NP) | TCP | 139 |
| RPC/NP | TCP | 445 |
| RPC/NP | UDP | 137 |
| RPC/NP | UDP | 138 |
注意事件日志服务使用命名管道上的 RPC。此服务具有相同的防火墙要求"文件和打印机共享"功能。
14.传真服务
传真服务,电话服务 API (TAPI) Ccompliant 系统服务,提供了传真功能。传真服务允许用户使用本地传真设备或共享的网络传真设备来发送和接收传真,从他们的桌面程序。 系统服务名称:传真
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
15.文件复制
文件复制服务 (FRS) 是一个基于文件的复制引擎,将更新自动复制到文件和文件夹可以在参与公共 FRS 副本集的计算机之间。FRS 是用于将 SYSVOL 文件夹的内容复制基于 Windows Server 2003 的域控制器位于一个公共域中基于 Windows 2000 的域控制器之间的默认复制引擎。可以使用 DFS 管理工具来配置 FRS 的 DFS 根或链接的目标之间复制文件和文件夹。 系统服务名称: NtFrs
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义此端口,请参阅"参考"一节中的"文件复制服务"。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中,并在 Windows Vista 中的范围。
16.FTP 发布服务
FTP 发布服务提供 FTP 连接。默认情况下,FTP 控制端口为 21。但是,您可以配置此系统服务通过 Internet Information Services (IIS) 管理器管理单元。(即用于主动模式的 FTP) 的默认数据端口将自动设置为一个端口小于控制端口。因此,如果您配置端口到端口 4131 该控件,则默认数据端口为端口 4130。大多数 FTP 客户端使用被动模式 FTP。这意味着,客户端首次连接到 FTP 服务器通过使用控制端口。接下来,FTP 服务器分配一个端口 1025年和 5000 之间的高 TCP 端口。然后,客户端打开一个连接到 FTP 服务器来传送数据。您可以通过使用 IIS 元数据库配置高端口的范围。 系统服务名称: MSFTPSVC
| 应用程序协议 | 协议 | 端口 |
| FTP 控件 | TCP | 21 |
| FTP 默认数据 | TCP | 20 |
| 随机分配的高 TCP 端口 | TCP | 1024-65535 之间的随机端口号 介于 49152-65535¹ 之间随机端口号 |
¹ 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。
17.组策略
若要成功应用组策略,客户端计算机必须能够通过 Kerberos、 LDAP、 SMB 和 RPC 协议连接的域控制器。Windows Server 2003 和 Windows XP 另外需要使用 ICMP 协议。 如果任何一种协议不可用或阻止客户端和相关域控制器之间,组策略将不适用或更新。对于跨域登录,其中一台计算机是一个域中,用户帐户是在另一个域中这些协议可能需要的客户端、 资源域和帐户域进行通信。ICMP 用于慢速链接检测。慢速链接检测的更多信息,请参见下面的 Microsoft 知识库文章: 227260: 用于处理用户配置文件和组策略如何检测到慢速链接2008977: 组策略慢速链接检测使用 Windows Vista 和Server 2008 系统服务名称:组策略
| 应用程序协议 | 协议 | 端口 |
| DCOM ¹ | TCP + UDP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
| ICMP (ping) ³ | ICMP | |
| LDAP | TCP | 389 |
| SMB | TCP | 445 |
| RPC ¹ | TCP | 135 1024-65535 之间的随机端口号 介于 49152-65535 之间随机端口号² |
¹ 有关如何自定义此端口,请参阅"参考"一节中"域控制器和活动目录"。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 该协议要求只能由作为客户端的 Windows Server 2003 和 Windows XP ³。 注意当组策略 Microsoft 管理控制台 (MMC) 管理单元中创建的组策略结果报告和组策略建模的报告,它使用 DCOM 和 RPC 发送和接收来自客户端或上的策略的结果集 (RSoP) 提供信息域控制器。各种二进制文件,请启动组策略 Microsoft 管理控制台 (MMC) 管理单元中的功能主要是使用 COM 调用发送或接收信息。Initiatin 远程组策略结果报告从 Windows 8 和 Windows Server 2012 计算机向目标计算机的事件日志的访问权限是必需的。(请参阅端口要求本文中的"事件日志"一节)。 Windows 8 和 Windows Server 2012 支持启动针对 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 的计算机远程组策略更新。这就需要通过端口 135 的 RPC/WMI 访问,正在刷新策略时的计算机的入站端口 49152-65535。
18.HTTP SSL
HTTP SSL 系统服务允许 IIS 执行 SSL 功能。SSL 是信息的一种开放标准建立加密的通信通道,以帮助防止拦截的极其重要,如信用卡号。尽管此服务使用的其他互联网服务,它主要用于启用加密电子金融交易在万维网 (WWW)。您可以配置此服务通过 Internet Information Services (IIS) 管理器管理单元中的端口。 系统服务名称: HTTPFilter
| 应用程序协议 | 协议 | 端口 |
| HTTPS | TCP | 443 |
19.Hyper-V 服务
Hyper-V 副本
| 应用程序协议 | 协议 | 端口 |
| WMI | TCP | 135 |
| 随机分配的高 TCP 端口 | TCP | 介于 49152 和 65535 之间的随机端口号 |
| Kerberos 身份验证 (HTTP) | TCP | 80 |
| 基于证书的身份验证 (HTTPS) | TCP | 443 |
Hyper-V 实时迁移
| 应用程序协议 | 协议 | 端口 |
| 实时迁移 | TCP | 6600 |
| SMB | TCP | 445 |
| 群集服务通信 | UDP | 3343 |
20.Internet 身份验证服务
Internet 验证服务 (IAS) 执行集中式的身份验证、 审核和记帐的用户连接到网络。这些用户可以在 LAN 连接或远程连接上。IAS 实现 Internet 工程任务组 (IETF) 的标准远程身份验证拨入用户服务 (RADIUS) 协议。 系统服务名称: IAS
| 应用程序协议 | 协议 | 端口 |
| 传统的半径 | UDP | 1645 |
| 传统的半径 | UDP | 1646 |
| RADIUS 记帐 | UDP | 1813 |
| RADIUS 身份验证 | UDP | 1812 |
21.Internet 连接防火墙 (ICF) / Internet 连接共享
此系统服务提供了 NAT、 寻址和名称解析服务,您的家庭网络或小型办公室网络上的所有计算机。启用 Internet 连接共享功能后,您的计算机将成为"Internet 网关"在网络上。其他客户端计算机可以共享一个连接到互联网,如拨号连接或宽带连接。此服务提供了基本的 DHCP 和 DNS 服务,但将使用全功能的 Windows DHCP 或 DNS 服务。当 ICF 和 Internet 连接共享充当网关为您网络上的计算机的其余部分时,它们提供到专用网络的 DHCP 和 DNS 服务的内部网络接口上。它们的外部网络接口上不提供这些服务。 系统服务名称: SharedAccess
| 应用程序协议 | 协议 | 端口 |
| DHCP 服务器 | UDP | 67 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
22.IPAM
IP 地址管理 (IPAM) 客户端 UI 通信与 IPAM 服务器执行远程管理。这是通过使用 Windows 的通信框架 (WCF),它使用 TCP 作为传输协议。默认情况下,TCP 绑定端口 48885 IPAM 服务器上执行。
分支缓存信息
3702 (UDP) 端口用于发现可用性的客户端上缓存的内容。
使用端口 80 (TCP) 向发出请求的客户端提供内容。
端口 443 (TCP) 是由托管缓存用来接受传入的客户端提供的内容的默认端口。
23.ISA/TMG 服务器
| 应用程序协议 | 协议 | 端口 |
| 配置存储 (域) | TCP | 2171 (注释 1) |
| 配置存储 (复制) | TCP | 2173 (注释 1) |
| 配置存储 (工作组) | TCP | 2172 (注释 1) |
| 防火墙客户端应用程序 | TCP/UDP | 1025-65535 (注释 2) |
| 防火墙客户端控制信道 | TCP/UDP | 1745 (注 3) |
| 防火墙控制通道 | TCP | 3847 (注释 1) |
| RPC | TCP | 135 (注 6) |
| 随机分配的高 TCP 端口 (注 6) | TCP | 1024-65535 之间的随机端口号 10000-65535 (注 7) 之间的随机端口号 |
| 网站管理 | TCP | 2175 (注释 1,4) |
| Web 代理客户端 | TCP | 8080 (注释 5) |
备注:
使用 ISA 2000 不使用此端口。
在 FWC 控制通道内协商 FWC 应用程序传输和协议。
ISA 2000 FWC 控件使用 UDP。ISA 2004 和 2006 年使用 TCP。
OEM 使用防火墙 Web 管理提供非 MMC 管理 ISA 服务器。
为阵列内通信也使用此端口。
在远程服务器和服务状态监视过程只能由 ISA 管理 MMC 使用此端口。
这是在 TMG 的范围。请注意 TMG 扩展了默认 Windows Server 2008 R2、 Windows 7,Windows Server 2008 中和 Windows Vista 中的动态端口范围。
24.Kerberos 密钥分发中心
当您使用 Kerberos 密钥分发中心 (KDC) 系统服务时,用户可以登录到网络使用 Kerberos 版本 5 身份验证协议。在 Kerberos 协议的其他实现,KDC 是一个过程,提供两种服务: 身份验证服务和票证授予服务。身份验证服务颁发的票证授予票证,该票证授予服务颁发用于连接到其自己的域中的计算机, 系统服务名称: kdc
| 应用程序协议 | 协议 | 端口 |
| Kerberos | TCP | 88 |
| Kerberos | UDP | 88 |
| 密码 Kerberos V5 | UDP | 464 |
| 密码 Kerberos V5 | TCP | 464 |
| DC 定位程序 | UDP | 389 |
25.许可证记录
许可证记录系统服务是一个工具,最初设计是为了帮助用户管理服务器客户端访问许可证 (CAL) 模型中授权的 Microsoft 服务器产品的许可证。许可证记录中引入的 Microsoft Windows NT 服务器 3.51。默认情况下,Windows Server 2003 中禁用许可证记录服务。由于原始设计的限制和发展许可条款和条件,许可证记录可能不提供精确视图的特定服务器上使用或横向的 Cal 的总数相比购买 Cal 的总数企业。Microsoft 软件许可条款的解释和产品使用权利 (PUR),许可证记录报告的 Cal 可能会发生冲突。许可证记录不包括在 Windows Server 2008 和更高版本的操作系统。我们建议只有 Microsoft 小型企业服务器系列的操作系统的用户,使他们的服务器上此服务。 系统服务名称: 许可
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
注意许可证记录服务使用命名管道上的 RPC。此服务具有相同的防火墙要求"文件和打印机共享"功能。
26.消息队列
消息队列系统服务是一个消息处理结构和开发工具,用于创建 Windows 分布式消息处理程序。这些程序可以跨异类网络进行通信,可以可能暂时无法彼此连接的计算机之间发送消息。消息队列提供安全、 有效的路由,支持帮助内事务、 基于优先级的消息传递,和有保证的消息传递发送消息。 系统服务名称: MSMQ
| 应用程序协议 | 协议 | 端口 |
| MSMQ | TCP | 1801 |
| MSMQ | UDP | 1801 |
| MSMQ Dc | TCP | 2101 |
| MSMQ 管理 | TCP | 2107 |
| MSMQ Ping | UDP | 3527 |
| MSMQ RPC | TCP | 2105 |
| MSMQ RPC | TCP | 2103 |
| RPC | TCP | 135 |
27.微软 Exchange MTA 堆栈
邮件传输代理 (MTA) 经常在 Microsoft Exchange 2000 Server 和 Microsoft Exchange Server 2003年中,用于提供向后兼容邮件传输服务之间基于 Exchange 2000 服务器的服务器和基于 Exchange Server 5.5 的在混合模式环境中的服务器。 系统服务名称: MSExchangeMTA
| 应用程序协议 | 协议 | 端口 |
| X.400 | TCP | 102 |
28.微软 POP3 服务
Microsoft POP3 服务提供电子邮件传送和检索服务。管理员可以使用该服务来存储和管理邮件服务器上的电子邮件帐户。在邮件服务器上安装 Microsoft POP3 服务时,用户可以连接到邮件服务器,并可以通过使用支持 POP3 协议,如 Microsoft Outlook 的电子邮件客户端来检索电子邮件。 系统服务名称: POP3SVC
| 应用程序协议 | 协议 | 端口 |
| POP3 | TCP | 110 |
29.net Logon
Net Logon 系统服务维护计算机与验证用户和服务身份的域控制器之间的安全通道。它将用户的凭据传递给域控制器并返回域安全标识符和用户的用户权限。这通常被称为传递身份验证。网络登录配置为自动启动仅在成员计算机或域控制器加入到域。在 Windows Server 2003 和 Windows 2000 Server 家族中,Net Logon 发布服务资源定位器记录在 DNS 中。此服务运行时,它依赖于工作站服务和本地安全机构服务来侦听传入的请求。域成员计算机上,Net Logon 命名管道上使用 RPC。在域控制器上它使用 RPC 通过命名管道,通过 TCP/IP、 邮件插槽和轻型目录访问协议 (LDAP) 的 RPC。 系统服务名称: Netlogon
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 ³ |
| NetBIOS 名称解析 | UDP | 137 ³ |
| NetBIOS 会话服务 | TCP | 139 ³ |
| SMB | TCP | 445 |
| LDAP | UDP | 389 |
| RPC¹ | TCP | 135, 1024年-65535 之间的随机端口号 135,介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义此端口,请参阅"参考"一节中"域控制器和活动目录"。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中和 Windows Vista 中的范围。 ³ NETBIOS 端口是可选的。Netlogon 使用这些仅用于不支持 DNS 或 DNS 失败尝试回退过程的信任。如果没有任何 WINS 基础结构和广播不能正常工作,应该禁用 NetBt 或将计算机和服务器设置为节点类型 = 2。 注意Net Logon 服务为早期版本的 Windows 客户端使用命名管道上的 RPC。此服务具有相同的防火墙要求"文件和打印机共享"功能。
30。 NetMeeting 远程桌面共享
NetMeeting 远程桌面共享系统服务允许授权的用户能够使用 Windows NetMeeting 远程访问您的 Windows 桌面上从另一台个人计算机通过公司的内部网。您必须显式启用此网络会议中的服务。您可以禁用或关闭此功能通过使用 Windows 通知区域中显示一个图标。 系统服务名称: mnmsrvc
| 应用程序协议 | 协议 | 端口 |
| 终端服务 | TCP | 3389 |
31.网络新闻传输协议 (NNTP)
网络新闻传输协议 (NNTP) 系统服务允许计算机正在运行 Windows Server 2003 法案作为新闻服务器。客户端可以使用新闻客户端,如 Microsoft Outlook Express,从服务器检索新闻组和读取标头或在每个新闻组文章的主体。 系统服务名称: NNTPSVC
| 应用程序协议 | 协议 | 端口 |
| NNTP | TCP | 119 |
| 通过 SSL 的 NNTP | TCP | 563 |
32、 脱机文件、 用户配置文件服务、 文件夹重定向和主计算机
脱机文件和漫游用户配置文件缓存到计算机供脱机使用的用户数据。这些功能在所有支持 Microsoft 操作系统中存在。Windows XP 实现漫游用户配置文件缓存时 Windows Vista 中,Windows Server 2008 中,Winlogon 进程的一部分,和更高版本的操作系统使用的用户配置文件服务。所有这些系统都使用 SMB。 文件夹重定向重定向到远程文件共享,用户从本地计算机的数据使用 SMB。 Windows 的主要计算机系统是漫游用户配置文件和脱机文件服务的一部分。主计算机提供了能力,以防止数据缓存到由特定用户管理员未获授权的计算机。主计算机使用 LDAP 来确定配置且不执行任何数据传输使用 SMB;而是会改变的默认脱机文件和漫游用户配置文件的行为。此系统已添加 Windows 8 和 Windows Server 2012。 系统服务名称: ProfSvc、 CscService
| 应用程序协议 | 协议 | 端口 |
| SMB | TCP | 445 |
| 全局编录 | TCP | 3269 |
| 全局编录 | TCP | 3268 |
| LDAP 服务器 | TCP | 389 |
| LDAP 服务器 | UDP | 389 |
| LDAP SSL | TCP | 636 |
33。 性能日志和警报
性能日志和警报系统服务本地或远程计算机基于预先配置的计划参数从收集性能数据然后将这些数据写入日志或触发消息。基于已命名的日志收集设置中包含的信息,性能日志和警报服务启动和停止每个已命名的性能数据集合。该服务运行才安排至少一个性能数据集合。 系统服务名称: SysmonLog
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 会话服务 | TCP | 139 |
34、 打印后台处理程序
后台打印程序系统服务管理所有本地和网络打印队列并控制所有打印作业。打印后台处理程序是 Windows 打印子系统的中心。它管理系统上的打印队列,并与打印机驱动程序和输入/输出 (I/O) 组件 (如 USB 端口和 tcp/ip 协议进行通信。 系统服务名称: 后台打印程序
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 名称解析 | UDP | 137 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
注意打印后台处理程序服务使用命名管道上的 RPC。此服务具有相同的防火墙要求"文件和打印机共享"功能。
35.远程安装
可以使用远程安装系统服务在预启动执行环境 (PXE) 远程启动功能的客户端计算机上安装 Windows 2000、 Windows Server 2003 和 Windows XP 中。启动信息协商层 (BINL) 服务,主要组件的远程安装服务器 (RIS),回答 PXE 客户端请求,客户端验证检查 Active Directory 和传递客户端到服务器和从服务器的信息。当您从添加/删除 Windows 组件,添加 RIS 组件或首次安装操作系统时,可以选择该安装 BINL 服务。 系统服务名称: BINLSVC
| 应用程序协议 | 协议 | 端口 |
| BINL | UDP | 4011 |
36.远程过程调用 (RPC)
远程过程调用 (RPC) 系统服务是进程间通信 (IPC) 机制,它启用数据交换和功能的程序在不同的进程中调用。不同的进程可以位于同一台计算机上,在局域网上,或在远程位置,并通过 WAN 连接或 VPN 连接可以访问它。RPC 终结点映射程序和组件对象模型 (COM) 服务控制管理器充当 RPC 服务。许多服务依赖于 RPC 服务成功启动。 系统服务名称: RpcSs
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 通过 HTTPS 的 RPC | TCP | 593 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 名称解析 | UDP | 137 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
备注:
RPC 不使用只有硬编码端口的表中列出。临时端口范围通过 RPC 发生 Active Directory 和其他组件所使用的临时范围端口。临时端口范围取决于客户端操作系统连接到服务器操作系统。
RPC 终结点映射程序还通过使用命名管道提供其服务。此服务具有相同的防火墙要求"文件和打印机共享"功能。
37.远程过程调用 (RPC) 定位器
远程过程调用 (RPC) 定位器系统服务管理 RPC 名称服务数据库。启用该服务后,RPC 客户端可以找到的 RPC 服务器。默认情况下,该服务已关闭。 系统服务名称: RpcLocator
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 名称解析 | UDP | 137 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
注意RPC 定位器服务通过使用命名管道上的 RPC 提供其服务。此服务具有相同的防火墙要求"文件和打印机共享"功能。
38.远程存储通知
远程存储通知系统服务将通知用户,当他们从读取或写入仅从辅助存储介质可用的文件。停止此服务将禁止此通知。 系统服务名称: Remote_Storage_User_Link
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中,并在 Windows Vista 中的范围。
39.远程存储
远程存储系统服务存储在辅助存储媒体上不经常使用的文件。如果停止此服务,用户不能移动或从辅助存储介质检索文件。 系统服务名称: Remote_Storage_Server
| 应用程序协议 | 协议 | 端口 |
| RPC | TCP | 135 |
| 随机分配高 TCP ports¹ | TCP | 1024-65535 之间的随机端口号 介于 49152-65535² 之间随机端口号 |
¹ 有关如何自定义端口,此端口的详细信息,请参阅"远程过程调用和 DCOM"中的"参考"部分。 ² 这是 Windows Server 2012,Windows 8,Windows Server 2008 R2,Windows 7,Windows Server 2008 中,并在 Windows Vista 中的范围。
40、 路由和远程访问
路由和远程访问服务提供了多协议局域网到局域网,局域网到广域网、 VPN 和 NAT 路由服务。路由和远程访问服务还提供拨号和 VPN 远程访问服务。尽管路由和远程访问服务可以使用下列的全部协议,该服务通常使用只有几个。例如,如果您配置位于筛选路由器后面的 VPN 网关,您将可能使用只有一个协议。如果使用 IPsec 使用 L2TP,则必须通过路由器允许 IPsec ESP (IP 协议 50)、 NAT T (UDP 端口 4500) 和 IPsec ISAKMP (UDP 端口 500)。 注意虽然 NAT T 和 IPsec ISAKMP 所需的 L2TP,由本地安全机构监控这些端口。有关详细信息,请参阅"参考"部分。 系统服务名称:远程访问
| 应用程序协议 | 协议 | 端口 |
| GRE (IP 协议 47) | GRE | n/a |
| IPsec AH (IP 协议 51) | 啊 | n/a |
| IPsec ESP (IP 协议 50) | ESP | n/a |
| L2TP | UDP | 1701 |
| PPTP | TCP | 1723 |
41.服务器
服务器系统服务提供 RPC 支持和文件共享、 打印共享、 以及通过网络的命名的管道共享。服务器服务允许用户共享本地资源,如磁盘和打印机,以便网络上的其他用户可以访问它们。它还允许在本地计算机和其他计算机上正在运行的程序之间的命名的管道通信。命名的管道通信是保留一个进程要用作另一个进程的输入输出的内存。接受输入的进程不必是该计算机本地。 注意如果计算机名称解析为多个 IP 地址使用 WINS,或失败,WINS 并通过使用 DNS 解析的名称,通过 TCP/IP (NetBT) 的 NetBIOS 尝试 ping IP 地址或文件服务器的地址。通信端口 139 取决于 Internet 控制消息协议 (ICMP) 回显消息。如果未安装 IP 版本 6 (IPv6),端口 445 通信还取决于 ICMP 来进行名称解析。预加载的 Lmhosts 条目将绕过 DNS 解析程序。如果在运行 Windows Server 2003 或 Windows XP 操作系统的计算机上安装了 IPv6,则端口 445 通信不会触发 ICMP 请求。 此处列出的 NetBIOS 端口是可选的。Windows 2000 和更高版本的客户端可以通过端口 445。 系统服务名称: lanmanserver
| 应用程序协议 | 协议 | 端口 |
| NetBIOS 数据报服务 | UDP | 138 |
| NetBIOS 名称解析 | UDP | 137 |
| NetBIOS 会话服务 | TCP | 139 |
| SMB | TCP | 445 |
42。 SharePoint Portal Server
SharePoint Portal Server 系统服务使您可以开发一个无缝连接的用户、 团队和知识的智能门户网站。这可以帮助人们利用业务流程中的相关信息。Microsoft SharePoint Portal Server 2003年提供了一个企业业务解决方案,将来自各种系统的信息集成到一个解决方案中通过单一登录和企业应用程序集成功能。
| 应用程序协议 | 协议 | 端口 |
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
45。 简单邮件传输协议 (SMTP)
简单邮件传输协议 (SMTP) 系统服务是电子邮件提交和中继代理。它接受队列发送消息的远程目标,电子邮件和它在设置的时间间隔重试。Windows 域控制器使用 SMTP 服务用于站点间基于电子邮件的复制。Windows 服务器 2003 COM 组件的协作数据对象 (CDO) 可以使用 SMTP 服务提交并传出电子邮件的队列。 系统服务名称: SMTPSVC
| 应用程序协议 | 协议 | 端口 |
| SMTP | TCP | 25 |
44。 简单 TCP/IP 服务
简单 TCP/IP 服务实现支持下列协议:
回声,端口 7,RFC 862
放弃、 端口 9,RFC 863
字符生成器,端口 19,RFC 864
白天,端口 13,RFC 867
今日,端口 17,RFC 865 股价
系统服务名称: SimpTcp
| 应用程序协议 | 协议 | 端口 |
| Chargen | TCP | 19 |
| Chargen | UDP | 19 |
| 白天 | TCP | 13 |
| 白天 | UDP | 13 |
| 放弃 | TCP | 9 |
| 放弃 | UDP | 9 |
| 回声 | TCP | 7 |
| 回声 | UDP | 7 |
| Quotd | TCP | 17 |
| 用引号括起来 | UDP | 17 |
45。 SNMP 服务
SNMP 服务允许本地计算机服务传入简单网络管理协议 (SNMP) 请求。SNMP 服务包含监视网络设备活动并向网络控制台工作站报告的代理。SNMP 服务提供了从运行网络管理软件的集中位于计算机的管理网络主机 (如工作站或服务器计算机、 路由器、 网桥和集线器) 的方法。SNMP 使用管理系统和代理的分布式体系结构来执行管理服务。 系统服务名称: SNMP
| 应用程 |
