Обзор служб и требования к сетевым портам в Windows

В этой статье рассмотрены необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в системах Microsoft Windows Server. Представленные в этой статье сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых операционным системам и программам Майкрософт для сетевого подключения в сегментированной сети.

Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 версии 2004, Windows 10 версии 1909, Windows 10 версии 1903, Windows 7 с пакетом обновления 1 (SP1)
Оригинальный номер базы знаний: 832017

Важно!

Эта статья содержит несколько ссылок на динамический диапазон портов по умолчанию. В Windows Server 2008 и последующих версиях, а также в Windows Vista и последующих версиях рамки динамического диапазона портов по умолчанию изменяются в указанных ниже пределах.

  • Начальный порт: 49152
  • Конечный порт: 65535

В Windows 2000, Windows XP и Windows Server 2003 используется следующий динамический диапазон портов.

  • Начальный порт: 1025
  • Конечный порт: 5000

Это означает:

  • Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2012 или более поздние версии Windows, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.
  • Если в сетевом окружении вашего компьютера помимо Windows Server 2012 используются более ранние версии Windows, чем Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба нижеприведенных диапазона портов:
    высокий диапазон портов (49152-65535);
    низкий диапазон портов (1025-5000).
  • Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.

Дополнительные сведения о динамическом диапазоне портов по умолчанию см. в разделе Динамический диапазон портов по умолчанию для TCP/IP изменился.

Сведения о портах, которые приводятся в данной статье, не следует использовать для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.

Система Windows Server располагает всесторонней и интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий (ИТ). Запущенные в такой системе программы и решения позволяют сотрудникам быстро и без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют разные сетевые порты и протоколы для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) являются другими важными компонентами, которые необходимо использовать для обеспечения безопасности сети. Но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Обзор

Ниже представлен краткий обзор содержания этой статьи:

  • Раздел Порты системных служб:

    • Содержит краткое описание каждой службы.
    • Отображает логическое имя каждой службы.
    • Указывает порты и протоколы, необходимые каждой службе для правильной работы.

    Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.

  • В разделе Порты и протоколы сведения из предыдущего раздела «Порты системных служб» обобщены в форме таблицы. Таблица отсортирована по номерам портов, а не названиям служб. Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте.

Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых терминов.

  • Системные службы — это программы, которые загружаются автоматически в рамках процесса запуска приложения или процесса загрузки операционной системы. Системные службы поддерживают разные задачи, которые должна выполнять операционная система. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition относятся служба сервера, служба очереди печати и служба веб-публикаций. Каждой системной службе сопоставлено понятное имя и обычное имя. Понятное имя службы — это имя, которое отображается в графических средствах управления, таких как оснастка консоли управления (MMC). Имя службы — это имя, которое используется с помощью программы командной строки и со многими языками сценариев. Каждая системная служба может включать в себя одну или несколько сетевых служб.
  • Протокол приложений. В контексте этой статьи протокол приложений — это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP. например HTTP, блоки сообщений сервера (SMB) и протокол SMTP (Simple Mail Transfer Protocol).
  • Протокол. Протоколы TCP/IP — это стандартные форматы взаимодействия между устройствами в сети. Протоколы TCP/IP функционируют на более низком уровне, чем протоколы приложений. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
  • Порт — сетевой порт, на котором системная служба прослушивает входящий сетевой трафик.

Эта статья не содержит сведений о том, какие службы зависят от других служб при осуществлении сетевого взаимодействия. Например, для назначения динамических портов TCP многие службы в Microsoft Windows используют удаленный вызов процедур (RPC) или компоненты DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure). Эти протоколы предоставляются службами IIS. Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Подробную документацию по этой теме можно найти на веб-сайтах Microsoft TechNet и MSDN (Microsoft Developer Network). Хотя один и тот же порт TCP или UDP часто используется многими службами, прослушивать этот порт в каждый момент времени может только одна служба или процесс.

Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости. Используются порты TCP/IP и UDP/IP с номером выше 1024. Эти порты также неофициально называются случайными портами RPC. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют сопоставитель конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, можно настроить определенный порт, чтобы не полагаться на динамическое назначение. Кроме того, для любой службы можно ограничить диапазон портов, динамически назначаемых службой RPC. Дополнительные сведения по этой теме см. в разделе Ссылки.

Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе «Применяется к». Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине здесь описаны порты, которые прослушиваются службами, а не портами, используемыми клиентскими программами для подключения к удаленной системе.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.

Active Directory (локальная система безопасности)

Active Directory выполняется как процесс Lsass.exe и содержит модули проверки подлинности и репликации для контроллеров домена Windows. Контроллерам домена, клиентским компьютерам и серверам приложений требуется сетевое подключение к службе Active Directory через определенные жестко заданные порты. Кроме того, если для инкапсуляции трафика в Active Directory не используется туннельный протокол, необходимы диапазоны временных портов TCP от 1024 до 5000 и от 49152 до 65535.

Примечание.

  • Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2008 R2, Windows Server 2008, Windows 7 и Windows Vista, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.

  • Если в сетевом окружении вашего компьютера помимо Windows Server 2008 R2, Windows Server 2008, Windows 7 и Windows Vista используются версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба диапазона портов:
    более высокий диапазон портов от 49152 до 65535;
    более низкий диапазон портов от 1025 до 5000.

  • Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.

Инкапсулированное решение может заключаться в применении VPN-шлюза, расположенного за фильтрующим маршрутизатором, который использует протокол L2TP (Layer 2 Tunneling Protocol) с IPSec. В этом случае необходимо вместо открытия всех портов и протоколов, перечисленных в этой статье, разрешить проходить через маршрутизатор следующим элементам:

  • протоколу ESP (IPsec Encapsulating Security Protocol) (50, протокол IP);
  • протоколу NAT-T (IPsec Network Address Translator Traversal) (порт 4500 UDP);
  • протоколу ISAKMP (IPsec Internet Security Association and Key Management Protocol) (порт 500 UDP).

Также можно жестко задать порт, используемый для репликации Active Directory, выполнив действия, приведенные в статье Ограничение RPC-трафика Active Directory в определенный порт. Имя системной службы: LSASS.

Примечание.

Фильтры пакетов для трафика L2TP не требуются, поскольку протокол L2TP защищен протоколом IPsec ESP.

Протокол приложений Протокол Порты
Веб-службы Active Directory (ADWS) TCP 9389
Служба Active Directory Management Gateway Service TCP 9389
Глобальный каталог TCP 3269
Глобальный каталог TCP 3268
ICMP Номер порта отсутствует
Сервер LDAP (Lightweight Directory Access Protocol) TCP 389
Сервер LDAP UDP 389
LDAP SSL TCP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
Порты ТСР с большими номерами, произвольно назначенные службой RPC¹ TCP 1024–5000
49152 - 65535²
SMB TCP 445

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки. В этом разделе также рассматриваются удаленные взаимодействия посредством WMI и DCOM, которые сначала использовались в рамках повышения роли контроллера домена Windows Server 2012 во время проверки выполнения предварительных требований и в программе Server Manager.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Кроме того, клиент Microsoft LDAP выполняет проверку связи по протоколу ICMP для подтверждения того, что LDAP-сервер, на который отправлен ожидающий запрос, все еще присутствует в сети. Ниже приведены параметры, которые представляют собой дополнительные возможности сеанса LDAP:

  • PingKeepAliveTimeout = 120 секунд (время ожидания после последнего ответа от сервера перед отправкой пакетов для проверки связи)
  • PingLimit = 4 (количество отправленных пакетов для проверки связи до закрытия подключения)
  • PingWaitTimeout = 2000 мс (длительность ожидания ответа ICMP)
  • Ссылка: класс LdapSessionOptions

Служба шлюза уровня приложения

Этот подкомпонент службы общего доступа к подключению Интернета (ICS) / брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP — это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server. Подключаемый модуль ALG FTP поддерживает активные сеансы по протоколу FTP через механизм преобразования сетевых адресов (NAT). Подключаемый модуль ALG FTP поддерживает эти сеансы путем перенаправления в частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 в адаптере замыкания на себя всего трафика, соответствующего следующим критериям:

  • проходящего через механизм преобразования сетевых адресов (NAT);
  • направленного в порт 21.

Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP. Модуль FTP также обновляет порты в потоке управляющего канала FTP.

Имя системной службы: ALG

Протокол приложений Протокол Порты
Управление FTP TCP 21

Служба состояния ASP.NET

Служба состояния ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Эта служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на веб-сервере средой ASP.NET.

Имя системной службы: aspnet_state

Протокол приложений Протокол Порты
Состояние сеанса ASP.NET TCP 42424

Службы сертификации

Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации, Позволяет организации выпускать цифровые сертификаты и управлять ими для программ и протоколов, таких как:

  • Secure/Multipurpose Internet Mail Extensions (S/MIME)
  • Secure Sockets Layer (SSL)
  • Шифрованная файловая система (EFS)
  • IPSec
  • Вход со смарт-картой

Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные порты TCP с номерами больше 1024.

Имя системной службы: CertSvc

Протокол приложений Протокол Порты
RPC TCP 135
SMB TCP 445, 139
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Дополнительные сведения см. в разделе 3.2.2.6.2.1.4.5.9 msPKI-Certificate-Name-Flag.

Служба кластеров

Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

Имя системной службы: ClusSvc

Для приложений Протокол Порты
Служба кластеров UDP и DTLS¹ 3343
Служба кластеров TCP 3343 (этот порт не требуется во время операции объединения узлов)
RPC TCP 135
Администратор кластера UDP 137
Случайно назначенные порты UDP с большими номерами² UDP Произвольный номер порта в диапазоне от 1024 до 65535
Случайный номер порта в диапазоне от 49152 до 65535³

Примечание.

Кроме того, для успешной проверки на отказоустойчивых кластерах Windows 2008 года и более поздних версий следует разрешить входящий и исходящий трафик для протоколов ICMP4, ICMP6 и порт 445/TCP для SMB.

¹ Трафик UDP для службы кластеров через порт 3343 требует использования протокола датаграмм безопасности транспортного уровня (DTLS) версии 1.0 или 1.2. По умолчанию протокол DTLS включен. Дополнительные сведения см. в разделе Протоколы в TLS/SSL (Schannel SSP).

² Дополнительные сведения о настройке этих портов см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

³ Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Браузер компьютеров

Системная служба браузера компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Браузер компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли браузеров, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра требуются таким Windows-программам более ранних версий, как «Сетевое окружение», команда net view и проводник Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль браузера.

Если используется только Windows Vista и последующие версии Windows, то служба браузера больше не требуется.

Имя системной службы: браузер

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139

Служба браузера использует RPC по именованным каналам для компиляции.

DHCP-сервер

Служба DHCP-сервера использует DHCP для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.

Имя системной службы: DHCPServer

Протокол приложений Протокол Порты
DHCP-сервер UDP 67
MADCAP UDP 2535
Отработка отказа DHCP TCP 647

Пространства имен распределенной файловой системы

Пространства имен распределенной файловой системы (DFSN) объединяют разные файловые ресурсы, которые расположены в локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба DFSN необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.

Имя системной службы: Dfs

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 1787
Служба сеансов NetBIOS TCP 1797
Сервер LDAP TCP 389
Сервер LDAP UDP 389
SMB TCP 445
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

³ Порты NETBIOS являются дополнительными и не требуются, когда DFSN используют полные доменные серверные имена.

Репликация распределенной файловой системы

Служба репликации распределенной файловой системы (DFSR) является средством репликации, выполняющим репликацию с несколькими хозяевами, которое автоматически копирует обновления файлов и папок между компьютерами, входящими в общую группу репликации. Служба DFSR была добавлена в систему Windows Server 2003 R2. С помощью средства командной строки Dfsrdiag.exe эту службу можно настроить для репликации файлов на определенных портах независимо от того, входят ли они в пространства имен распределенной файловой системы.

Имя системной службы: DFSR

Протокол приложений Протокол Порты
RPC TCP 135
RPC TCP 5722
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации распределенных файлов» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista. ³ Порт 5722 используется только в контроллере домена Windows Server 2008 или в контроллере домена Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012.

Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Эта служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.

Имя системной службы: TrkSvr

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Координатор распределенных транзакций

Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Системная служба DTC используется в том случае, если транзакционные компоненты настраиваются через СОМ+. Она также требуется для транзактных очередей в очередях сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.

Имя системной службы: MSDTC

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 5000
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе «Координатор распределенных транзакций» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

DNS-сервер

Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. DNS-серверы необходимы для обнаружения устройств и служб, идентификация которых происходит по доменным именам, а также контроллеров домена в Active Directory.

Имя системной службы: DNS

Протокол приложений Протокол Порты
DNS UDP 53
DNS TCP 53

Журнал событий

Системная служба «Журнал событий» регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты журнала событий содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит компонент «Просмотр событий». Сообщения, полученные журналами от программ, других служб и операционной системы, регистрируются службой журнала событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью компонента «Просмотр событий» из оснастки консоли управления ММС.

Имя системной службы: журнал событий

Протокол приложений Протокол Порты
RPC/NP (именованные каналы) TCP 139
RPC/NP TCP 445
RPC/NP UDP 137
RPC/NP UDP 138

Примечание.

Служба журнала событий использует RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Служба факсов

Служба факсов (системная служба, совместимая с интерфейсом Telephony API (TAPI)) предназначена для поддержки функций приема факсов. Служба факсов предоставляет пользователям возможность отправлять и принимать факсы из прикладных программ с помощью локальных или общих сетевых устройств.

Имя системной службы: факс

Протокол приложений Протокол Порты
Служба сеансов NetBIOS TCP 139
SMB TCP 445
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Репликация файлов

Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это механизм репликации по умолчанию, задачей которого является репликация содержимого папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Для настройки репликации файлов и папок между целевыми объектами корня или ссылки DFS можно использовать средство администрирования DFS.

Имя системной службы: NtFrs

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации файлов» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Служба публикации FTP

Служба публикации FTP используется для установки подключений к серверам FTP. По умолчанию, порт управления FTP — 21. Тем не менее, системную службу можно настроить с помощью оснастки диспетчера служб IIS. Порту данных по умолчанию (используемому для FTP-сервера в активном режиме) автоматически назначается на один порт меньше, чем порту управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство FTP-клиентов используют пассивный режим FTP. Это означает, что клиент сначала подключается к серверу FTP через порт управления, после этого FTP-сервер назначает TCP-порт с большим номером между портами 1025 и 5000. Затем клиент открывает второе соединение к FTP-серверу для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

Имя системной службы: MSFTPSVC

Протокол приложений Протокол Порты
Управление FTP TCP 21
FTP-данные по умолчанию TCP 20
Произвольно назначенные порты TCP с большими номерами TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535¹

¹ Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Групповая политика

Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам Kerberos, LDAP, SMB и RPC. Для Windows XP и Windows Server 2003 дополнительно требуется протокол ICMP.

Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то групповая политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал.

Имя системной службы: групповая политика

Протокол приложений Протокол Порты
DCOM¹ TCP + UDP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²
Проверка связи по протоколу ICMP³ ICMP
LDAP TCP 389
SMB TCP 445
RPC¹ TCP 135
случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

³ Этот протокол необходим только Windows XP и Windows Server 2003, функционирующим в качестве клиентов.

Примечание.

С помощью оснастки консоли управления групповой политикой создаются отчеты о результатах групповой политики и отчеты о моделировании групповой политики. При этом используются DCOM и RPC для отправки и получения сведений о клиенте или контроллере домена от поставщика результирующей политики (RSoP). Различные двоичные файлы компонентов оснастки групповой политики консоли управления (MMC) используют вызовы COM для отправки и получения сведений. При инициации удаленных отчетов результатов групповой политики с компьютера под управлением Windows Server 2012 требуется доступ к журналу событий конечного компьютера. (Требования к портам см. в разделе Журнал событий данной статьи).

Windows Server 2012 поддерживает инициирование удаленного обновления групповой политики компьютеров под управлением Windows Server 2012. Для этого требуется доступ RPC/WMI через порт 135 и входящие порты в диапазоне 49152–65535 на компьютере, на котором обновляется политика.

HTTP SSL

Системная служба HTTP SSL позволяет службам IIS выполнять функции SSL. SSL — это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата исключительно важной информации, например номеров кредитных карточек. Несмотря на то что служба работает с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Прослушиваемые порты для службы можно настроить с помощью диспетчера служб IIS.

Имя системной службы: HTTPFilter

Протокол приложений Протокол Порты
HTTPS TCP 443

Служба Hyper-V

Реплика Hyper-V

Протокол приложений Протокол Порт
WMI TCP 135
Произвольно назначенные порты TCP с большими номерами TCP Произвольный номер порта в диапазоне от 49152 до 65535
Проверка подлинности Kerberos (HTTP) TCP 80
Проверка подлинности на основе сертификата (HTTPS) TCP 443

Динамическая миграция Hyper-V

Протокол приложений Протокол Порт
Динамическая миграция TCP 6600
SMB TCP 445
Трафик службы кластеров UDP 3343

Служба проверки подлинности в Интернете

Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.

Имя системной службы: IAS

Протокол приложений Протокол Порты
Традиционный RADIUS UDP 1645
Традиционный RADIUS UDP 1646
Учетные данные RADIUS UDP 1813
Проверка подлинности RADIUS UDP 1812

Общий доступ к подключению Интернета / брандмауэр подключения к Интернету (ICF)

Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда включена функция общего доступа к подключению к Интернету, компьютер становится шлюзом Интернета в сети. а другие клиентские компьютеры могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное подключение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем сетевом интерфейсе).

Имя системной службы: общий доступ

Протокол приложений Протокол Порты
DHCP-сервер UDP 67
DNS UDP 53
DNS TCP 53

Сервер управления IP-адресами (IPAM)

Интерфейс IPAM-клиента связывается с IPAM-сервером для выполнения удаленного управления. Это осуществляется с помощью платформы Windows Communications Framework (WCF), в которой используется TCP в качестве транспортного протокола. По умолчанию, привязка TCP осуществляется через порт 48885 на сервере IPAM.

Сведения о BranchCache

  • Порт 3702 (UDP) используется для обнаружения доступности кэшированного контента на клиенте.
  • Порт 80 (TCP) используется для передачи контента клиентам по запросу.
  • Порт 443 (TCP) — это порт по умолчанию, используемый размещаемым кэшем для приема входящих предложений контента от клиентов.

Сервер ISA/TMG

Протокол приложений Протокол Порты
Хранилище настроек (домен) TCP 2171 (примечание 1)
Хранилище настроек (репликация) TCP 2173 (примечание 1)
Хранилище настроек (рабочая группа) TCP 2172 (примечание 1)
Клиентское приложение брандмауэра TCP/UDP 1025-65535 (примечание 2)
Управляющий канал клиента брандмауэра TCP/UDP 1745 (примечание 3)
Управляющий канал брандмауэра TCP 3847 (примечание 1)
RPC TCP 135 (примечание 6)
Произвольно назначенные порты TCP с большими номерами (примечание 6) TCP произвольный номер порта в диапазоне от 1024 до 65535
произвольный номер порта в диапазоне от 10000 до 65535 (примечание 7)
Веб-управление TCP 2175 (примечание 1, 4)
Клиент веб-прокси TCP 8080 (примечание 5)

Примечание.

  1. Этот порт не используется ISA 2000.
  2. Транспорт и протоколы приложения клиента межсетевого экрана согласуются в рамках управляющего канала клиента межсетевого экрана.
  3. Элемент управления клиента межсетевого экрана 2000 использует UDP. ISA 2004 и 2006 использует TCP.
  4. Веб-управление брандмауэром используется изготовителями оборудования в качестве механизма управления сервером ISA, альтернативного консоли управления (MMC).
  5. Этот порт используется также для трафика внутри массива.
  6. Этот порт используется только оснасткой ISA консоли управления (MMC) при мониторинге удаленного сервера и статуса службы.
  7. Это диапазон в TMG. Обратите внимание, что TMG расширяет динамические диапазоны портов по умолчанию в Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Центр распространения ключей Kerberos

Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут выполнить вход в сеть с помощью протокола проверки подлинности Kerberos версии 5. Как и в других версиях протокола Kerberos, KDC — это один процесс, обеспечивающий две службы: службу проверки подлинности и службу предоставления билетов. Служба проверки подлинности выпускает билеты на предоставление билета, а служба предоставления билетов — билеты для подключения к компьютерам в своем домене.

Имя системной службы: kdc

Протокол приложений Протокол Порты
Kerberos; TCP 88
Kerberos; UDP 88
Пароль Kerberos версии 5 UDP 464
Пароль Kerberos версии 5 TCP 464
Локатор контроллеров домена UDP 389

Учет лицензий

Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. В Windows Server 2003 служба учета лицензий отключена по умолчанию. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных клиентских лицензий в сравнении с общим числом клиентских лицензий, которые используются на определенном сервере или предприятии. Лицензии CAL, сообщенные службой учета лицензий, могут противоречить условиям лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и правам на использование продукта. Учет лицензий не включается в Windows Server 2008 и последующие операционные системы. Корпорация Майкрософт рекомендует включать эту службу на своих серверах только пользователям операционных систем семейства Microsoft Small Business Server.

Имя системной службы: LicenseService

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 138
Служба сеансов NetBIOS TCP 139
SMB TCP 445

Примечание.

В службе учета лицензий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Очереди сообщений

Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.

Имя системной службы: MSMQ

Протокол приложений Протокол Порты
MSMQ TCP 1801
MSMQ UDP 1801
MSMQ-DCs TCP 2101
MSMQ-Mgmt TCP 2107
MSMQ-Ping UDP 3527
MSMQ-RPC TCP 2105
MSMQ-RPC TCP 2103
RPC TCP 135

Стеки агента передачи сообщений Microsoft Exchange

В Microsoft Exchange 2000 Server и Microsoft Exchange Server 2003 агент MTA часто используется для обеспечения обратно совместимых служб передачи сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.

Имя системной службы: MSExchangeMTA

Протокол приложений Протокол Порты
X.400 TCP 102

Служба POP3 (Microsoft)

Служба POP3 Microsoft предназначена для передачи и извлечения сообщений электронной почты. Администраторы могут использовать эту службу для хранения учетных записей электронной почты на почтовом сервере и управления ими. Если на почтовом сервере установлена служба POP3 (Microsoft), пользователи могут подключаться к этому почтовому серверу и загружать сообщения электронной почты с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.

Имя системной службы: POP3SVC

Протокол приложений Протокол Порты
POP3 TCP 110

Сетевой вход в систему

Системная служба сетевого входа в систему поддерживает безопасный канал между компьютером и контроллером домена для проверки подлинности пользователей и служб. Посредством этой службы учетные данные пользователя передаются на контроллер домена, а возвращаются доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба сетевого входа в систему автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба сетевого входа в систему публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб рабочей станции и локального администратора безопасности. На компьютерах в составе домена служба сетевого входа в систему использует удаленный вызов процедур по именованным каналам. В контроллерах домена она использует RPC по именованным каналам, RPC по протоколу TCP/IP, почтовые ячейки и протокол LDAP.

Имя системной службы: Netlogon

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 1787
Разрешение имен NetBIOS UDP 1777
Служба сеансов NetBIOS TCP 1797
SMB TCP 445
LDAP UDP 389
RPC¹ TCP 135, произвольный номер порта в диапазоне от 1024 до 65535
135, случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

³ Порты NETBIOS являются необязательными. Netlogon использует их только для отношений доверия, в которых не поддерживается DNS, или в тех случаях, когда во время предпринятого отката происходит сбой DNS. Если отсутствует инфраструктура WINS, и широковещательный показ не может работать, необходимо либо отключить NetBt, либо установить для компьютеров и серверов NodeType=2.

Примечание.

В службе сетевого входа в систему используется RPC по именованным каналам для клиентов Windows более ранних версий. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Протокол NNTP

Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.

Имя системной службы: NNTPSVC

Протокол приложений Протокол Порты
NNTP TCP 119
NNTP по SSL TCP 563

Автономные файлы, служба профилей пользователей, перенаправление папок и основной компьютер

Службы автономных файлов и перемещаемых профилей пользователей кэшируют пользовательские данные на компьютерах для автономного использования. Такие возможности существуют во всех поддерживаемых операционных системах корпорации Майкрософт. В Windows XP кэширование перемещаемых профилей пользователей реализовано как часть процесса Winlogon, а в Windows Vista, Windows Server 2008 и операционных системах более поздних версий используется служба профилей пользователей. Все эти системы используют SMB.

Служба перенаправления папок перенаправляет пользовательские данные с локального компьютера в удаленный файловый ресурс с использованием SMB.

Система основного компьютера для Windows является частью служб перемещаемых профилей пользователей и автономных файлов. Система основного компьютера предоставляет возможность запретить кэширование данных на компьютерах, не авторизованных администраторами для определенных пользователей. Система основного компьютера определяет конфигурацию с помощью LDAP и не выполняет передачу данных с использованием SMB; она меняет поведение служб автономных файлов и перемещаемых профилей пользователей, установленное по умолчанию. Эта система была добавлена в Windows Server 2012.

Имена системных служб: ProfSvc, CscService

Протокол приложений Протокол Порты
SMB TCP 445
Глобальный каталог TCP 3269
Глобальный каталог TCP 3268
Сервер LDAP TCP 389
Сервер LDAP UDP 389
LDAP SSL TCP 636

Журналы и оповещения производительности

Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба журналов и оповещений производительности запускает или останавливает каждый сбор именованных данных о производительности. Эта служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.

Имя системной службы: SysmonLog

Протокол приложений Протокол Порты
Служба сеансов NetBIOS TCP 139

Системная служба очереди печати принтера управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Очередь печати принтера является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например портами USB и протоколами семейства TCP/IP.

Имя системной службы: очередь печати

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139
SMB TCP 445

Примечание.

Примечание. В службе очереди печати принтера используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Удаленная установка

Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot Execution Environment), которые поддерживают удаленную загрузку. Основной компонент сервера удаленной установки (RIS) — служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) — отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства «Установка компонентов Windows» добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.

Имя системной службы: BINLSVC

Протокол приложений Протокол Порты
BINL UDP 4011

Удаленный вызов процедур (RPC)

Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли сопоставителя конечных точек RPC и диспетчера служб модели СОМ. Служба удаленного вызова процедур необходима для запуска многих других служб.

Имя системной службы: RpcSs

Протокол приложений Протокол Порты
RPC TCP 135
RPC по HTTPS TCP 593
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139
SMB TCP 445

Примечание.

  • RPC использует не только жестко закодированные порты, приведенные в таблице. Порты временного диапазона, используемые Active Directory и другими компонентами, возникают через RPC во временном диапазоне портов. Этот временный диапазон портов зависит от операционной системы сервера, к которому подключается операционная система клиента.
  • В службах сопоставителя конечных точек RPC также используются именованные каналы. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Локатор удаленного вызова процедур (RPC)

Системная служба локатора удаленного вызова процедур (RPC) управляет базой данных службы RPC-имен. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию эта служба отключена.

Имя системной службы: RpcLocator

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139
SMB TCP 445

Примечание.

В службе локатора RPC используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Уведомления удаленного хранилища

Системная служба уведомлений удаленного хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе. Если служба остановлена, отправка уведомлений прекращается.

Имя системной службы: Remote_Storage_User_Link

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Удаленное хранилище

С помощью системной службы удаленного хранилища редко используемые файлы сохраняются на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.

Имя системной службы: Remote_Storage_Server

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Маршрутизация и удаленный доступ

Служба маршрутизации и удаленного доступа обеспечивает многопротокольные функции маршрутизации типа «локальная сеть – локальная сеть», «локальная сеть – глобальная сеть», VPN и NAT, а также функции подключения удаленного доступа и удаленного доступа по сети VPN. Эта служба может использовать все перечисленные ниже протоколы, однако часто ограничивается только некоторыми из них. Например, если под защитой осуществляющего фильтрацию маршрутизатора настроен шлюз виртуальной частной сети, то, как правило, применяется только один протокол. Если используется протокол L2TP с безопасностью IPSec, необходимо разрешить протоколам IPSec ESP (50, протокол IP), NAT-T (UDP на порте 4500) и IPSec ISAKMP (UDP на порте 500) проходить через маршрутизатор.

Примечание.

Несмотря на то, что протоколы NAT-T и IPSec ISAKMP требуются для L2TP, эти порты контролируются локальной системой безопасности. Дополнительные сведения по этой теме см. в разделе Ссылки.

Имя системной службы: удаленный доступ

Протокол приложений Протокол Порты
GRE (47, протокол IP) GRE н/д
IPSec AH (51, протокол IP) AH н/д
IPSec ESP (50, протокол IP) ESP н/д
L2TP UDP 1701
PPTP TCP 1723

Сервер

Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.

Примечание.

Если имя компьютера разрешается в несколько IP-адресов с помощью службы WINS или в случае ее сбоя с помощью DNS, то служба NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 139 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.

Порты NetBIOS, которые перечислены здесь, являются необязательными. Windows 2000 и более новые клиенты могут работать через порт 445.

Имя системной службы: lanmanserver

Протокол приложений Протокол Порты
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139
SMB TCP 445

SharePoint Portal Server

Системная служба SharePoint Portal Server позволяет разработать портал со встроенной логикой для объединения пользователей, групп и знаний, Это позволяет обмениваться релевантной информацией между различными бизнес-процессами. Microsoft SharePoint Portal Server 2003 представляет собой приложение, которое объединяет данные из разных систем в одном решении путем применения функций единого входа в систему и интеграции приложений предприятия.

Протокол приложений Протокол Порты
HTTP TCP 80
HTTPS TCP 443

Протокол SMTP

Системная служба протокола SMTP — это агент отправки и пересылки электронной почты. Она принимает и ставит в очередь почтовые сообщения для удаленных получателей, а также через определенные интервалы времени повторяет попытки отправки. Контроллеры домена Windows используют службу SMTP для межузловой репликации с помощью электронной почты. Объекты совместной работы (Collaboration Data Object, CDO) для компонента СОМ из состава Windows Server 2003 с помощью службы SMTP передают и ставят в очередь исходящие почтовые сообщения.

Имя системной службы: SMTPSVC

Протокол приложений Протокол Порты
SMTP TCP 25

Простые службы TCP/IP

Простые службы TCP/IP реализуют поддержку для следующих протоколов:

  • Echo, порт 7, спецификация RFC 862
  • Discard, порт 9, спецификация RFC 863
  • Character Generator, порт 19, спецификация RFC 864
  • Daytime, порт 13, спецификация RFC 867
  • Quote of the Day, порт 17, спецификация RFC 865

Имя системной службы: SimpTcp

Протокол приложений Протокол Порты
Chargen TCP 19
Chargen UDP 19
Daytime TCP 13
Daytime UDP 13
Discard TCP 9
Discard UDP 9
Эхо TCP 7
Эхо UDP 7
Quotd TCP 17
Quoted UDP 17

Служба SNMP

Служба SNMP позволяет службе локального компьютера обслуживать входящие запросы протокола SNMP. Она включает в себя агенты, осуществляющие мониторинг работы сетевых устройств и сообщающих результаты на рабочую станцию сетевой консоли. Служба SNMP предоставляет метод управления узлами сети (например, рабочими станциями, компьютерами-серверами, маршрутизаторами, мостами и концентраторами) с центрального компьютера, на котором запущено соответствующее программное обеспечение для управления сетями. Для выполнения своих функций служба SNMP использует распределенную модель агентов и систем управления.

Имя системной службы: SNMP

Протокол приложений Протокол Порты
SNMP UDP 161

Служба ловушек SNMP

Служба ловушек SNMP принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP, и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба настроена для агента, она создает сообщения перехвата, когда происходят определенные события. Такие сообщения отправляются по адресу назначения ловушки. Например, агент может инициировать ловушку проверки подлинности, если нераспознанная система управления отправляет запрос на получение данных. Адресом назначения ловушки может быть имя компьютера, IP-адрес или адрес IPX (Internetwork Packet Exchange) системы управления; на таком узле должна быть запущена программа управления SNMP и обеспечена поддержка работы в сети.

Имя системной службы: SNMPTRAP

Протокол приложений Протокол Порты
Исходящие ловушки SNMP UDP 162

Служба обнаружения SSDP

Служба обнаружения SSDP реализует протокол SSDP в качестве службы Windows. Эта служба управляет приемом извещений о присутствии устройств, обновляет свой кэш и передает эти извещения клиентам с невыполненными запросами поиска. Кроме того, она регистрирует обратные вызовы событий от клиентов. Затем зарегистрированные обратные вызовы событий преобразуются в запросы подписки. Далее служба обнаружения SSDP наблюдает за уведомлениями о событиях и отправляет эти запросы в зарегистрированные обратные вызовы. Эта системная служба также обеспечивает устройства периодическими объявлениями. В настоящее время служба уведомления о событиях SSDP использует TCP-порт 5000.

Примечание.

Начиная с Windows XP с пакетом обновления 2 (SP2), служба уведомления о событиях SSDP использует TCP-порт 2869.

Имя системной службы: SSDPRSR

Протокол приложений Протокол Порты
SSDP UDP 1900
Уведомление о событиях SSDP TCP 2869
Уведомление о событиях SSDP (традиционный) TCP 5000

Сервер печати TCP/IP

Системная служба сервера печати TCP/IP позволяет производить печать TCP/IP путем использования протокола LPD (Line Printer Daemon). Служба LPD на сервере получает документы от программ LPR (Line Printer Remote), запущенных на компьютерах под управлением операционных систем UNIX.

Имя системной службы: LPDSVC

Протокол приложений Протокол Порты
LPD TCP 515

Telnet

Системная служба Telnet для Windows используется клиентами Telnet для проведения сеансов терминального доступа в формате ASCII. Сервер Telnet поддерживает два вида проверки подлинности, а также следующие типы терминалов:

  • American National Standards Institute (ANSI)
  • VT-100
  • VT-52
  • VTNT

Имя системной службы: TlntSvr

Протокол приложений Протокол Порты
Telnet TCP 23

Службы терминалов

Службы терминалов обеспечивают многосеансовую среду для доступа клиентов к сеансам виртуального рабочего стола Windows и программам Windows, запущенным на сервере. Службы терминалов позволяют интерактивно подключиться к компьютеру нескольким пользователям.

Имя системной службы: службы терминалов

Протокол приложений Протокол Порты
Службы терминалов TCP 3389
Службы терминалов UDP 3389

Лицензирование служб терминалов

Системная служба лицензирования служб терминалов производит установку сервера лицензий и предоставляет лицензии зарегистрированным пользователям, которые подключаются к серверу терминалов. Лицензирование служб терминалов — это не требующая больших затрат ресурсов служба, которая хранит выпущенные для сервера терминалов клиентские лицензии и отслеживает лицензии, выданные клиентским компьютерам или терминалам.

Имя системной службы: TermServLicensing

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²
Служба датаграмм NetBIOS UDP 138
Разрешение имен NetBIOS UDP 137
Служба сеансов NetBIOS TCP 139
SMB TCP 445

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Примечание.

Для лицензирования служб терминалов используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Каталог сеанса служб терминалов

Системная служба каталога сеанса служб терминалов позволяет кластерам серверов терминалов с балансировкой нагрузки правильно направлять пользовательский запрос на подключение к серверу, на котором уже запущен сеанс пользователя. Пользователь направляется на первый доступный сервер терминалов независимо от того, запустил ли он уже другой сеанс в кластере серверов. С помощью сетевого протокола TCP/IP балансировка сетевой нагрузки производит объединение в общем пуле вычислительных мощностей нескольких серверов. Служба может использоваться вместе с кластером серверов терминалов для повышения производительности отдельного сервера путем распределения сеанса между несколькими серверами. Служба каталога сеанса служб терминалов отслеживает отключенные сеансы в кластере и обеспечивает повторное подключение пользователей к этим сеансам.

Имя системной службы: Tssdis

Протокол приложений Протокол Порты
RPC TCP 135
Произвольно назначенные порты TCP с большими номерами¹ TCP случайный номер порта в диапазоне от 1024 до 65535
случайный номер порта в диапазоне от 49152 до 65535²

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Управляющая программа элементарного протокола FTP

Системная служба управляющей программы элементарного протокола FTP не требует имени пользователя и пароля и является неотъемлемой частью служб удаленной установки (RIS). Служба обеспечивает поддержку протокола TFTP (Trivial FTP Protocol), который определен в следующих спецификациях RFC:

  • RFC 1350 – TFTP
  • RFC 2347 – Option extension
  • RFC 2348 – Block size option
  • RFC 2349 – интервал времени ожидания и варианты размеров передачи

Элементарный протокол передачи файлов (Trivial File Transfer Protocol, TFTP) — это FTP-протокол, который поддерживает среды бездискового запуска. Служба TFTP прослушивает порт 69 UDP, но отвечает с произвольно назначенного порта с большим номером. Таким образом, когда порт включен, служба TFTP принимает входящие TFTP-запросы, но не позволяет выбранному серверу отвечать на них. Эта служба может ответить на любой из таких запросов с произвольного порта источника, а удаленный клиент затем использует этот порт на протяжении сеанса передачи данных. Обмен данными носит двунаправленный характер. Чтобы протокол мог функционировать через брандмауэр, необходимо открыть UDP-порт 69 для приема входящего трафика. После этого настройте брандмауэр таким образом, чтобы он динамически разрешал службе отвечать на запросы, временно открывая любой другой порт.

Имя системной службы: tftpd

Протокол приложений Протокол Порты
TFTP UDP 69

Узел универсальных PNP-устройств

Системная служба обнаружения узла универсальных PNP-устройств содержит все компоненты, необходимые для регистрации и управления устройствами, а также ответа на события, связанные с обслуживаемыми устройствами. Зарегистрированные сведения об устройстве (такие как описание, время жизни, контейнеры) могут быть сохранены на диске и объявляются в сети после регистрации или перезагрузки операционной системы. В дополнение к описаниям служб и странице представления служба содержит веб-сервер, который обслуживает устройство.

Имя системной службы: UPNPHost

Протокол приложений Протокол Порты
UPNP TCP 2869

Служба WINS

Служба WINS (Windows Internet Name Service) обеспечивает разрешение имен NetBIOS. Она позволяет обнаруживать сетевые ресурсы по именам NetBIOS. Использование серверов WINS обязательно, кроме случаев, когда во всех доменах установлена служба каталогов Active Directory, и все компьютеры сети находятся под управлением Windows 2000 или более поздней версии. Серверы WINS обмениваются данными с клиентами сети с помощью разрешения имен NetBIOS. Репликация WINS требуется только между серверами WINS.

Имя системной службы: WINS

Протокол приложений Протокол Порты
Разрешение имен NetBIOS UDP 137
Репликация WINS TCP 42
Репликация WINS UDP 42

Службы Windows Media

В Windows Server 2003 и в более поздних версиях службы Windows Media заменяют следующие компоненты служб Windows Media версий 4.0 и 4.1:

  • Windows Media Monitor Service
  • Windows Media Program Service
  • Windows Media Station Service
  • Служба Windows Media Unicast

На данный момент службы Windows Media являются единой службой, работающей на Windows Server. Основные компоненты этой службы были разработаны с помощью модели СОМ. Гибкая архитектура службы позволяет настраивать ее для отдельных программ. Службы Windows Media поддерживают большое количество управляющих протоколов, включая RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) и НТТР.

Имя системной службы: WMServer

Протокол приложений Протокол Порты
HTTP TCP 80
MMS TCP 1755
MMS UDP 1755
MS Theater UDP 2460
RTCP UDP 5005
RTP UDP 5004
RTSP TCP 554

Удаленное управление Windows (WinRM)

Имя системной службы: WinRM

Протокол приложений Протокол Порты
WinRM 1.1 и более ранние версии TP Порт HTTP по умолчанию — TCP 80, а порт HTTPS по умолчанию — TCP 443.
WinRM 2.0 TP Порт HTTP по умолчанию — TCP 5985, а порт HTTPS по умолчанию — TCP 5986.

Дополнительные сведения см. в разделе Установка и настройка удаленного управления Windows.

Служба времени Windows

Системная служба времени Windows поддерживает синхронизацию даты и времени на всех компьютерах в сети, работающих под управлением Windows XP или последующих версий и Windows Server 2003 или последующих версий. Эта служба использует протокол NTP (Network Time Protocol) для синхронизации часов компьютера, что позволяет назначать запросам на проверку подлинности в сети и на получение доступа к ресурсам точное значение (метку) времени. Реализация протокола NTP и интеграция поставщиков времени делают службу времени Windows надежной и масштабируемой. На компьютере, который не входит в состав домена, службу времени можно настроить на проведение синхронизации с внешним источником времени. Если служба отключена, время на локальном компьютере не синхронизируется со службой времени в домене Windows или внешней службой времени. В Windows Server 2003 используется протокол NTP (работает на порте 123 UDP), а в Windows 2000 — протокол SNTP (Simple Network Time Protocol) (также работает на порте 123 UDP).

Если в службе времени Windows используется конфигурация домена Windows, для работы службы требуются локатор контроллера домена и службы проверки подлинности. Таким образом, требуются порты для протоколов Kerberos и DNS.

Имя системной службы: W32Time

Протокол приложений Протокол Порты
NTP UDP 123
SNTP UDP 123

служба веб-публикации;

Служба веб-публикаций обеспечивает инфраструктуру, которая необходима для регистрации, управления, мониторинга и обслуживания веб-сайтов и программ, зарегистрированных на сервере IIS. В состав службы входит диспетчер процессов и диспетчер конфигурации. Диспетчер процессов управляет процессами пользовательских приложений и веб-сайтов. Диспетчер конфигурации считывает сохраненную системную конфигурацию службы веб-публикации и обеспечивает маршрутизацию НТТР-запросов соответствующему пулу приложений или процессу операционной системы с помощью параметров файла Http.sys. Порты, которые используются службой, можно настраивать с помощью оснастки диспетчера IIS. Если включен административный веб-сайт, то создается виртуальный веб-сайт, который использует трафик HTTP в TCP-порте 8098.

Имя системной службы: W3SVC

Протокол приложений Протокол Порты
HTTP TCP 80
HTTPS TCP 443

Порты и протоколы

В приведенной ниже таблице обобщаются сведения раздела Порты системных служб. Таблица отсортирована по номерам портов, а не по названиям служб.

Порт Протокол Протокол приложений Имя системной службы
н/д GRE GRE (47, протокол IP) Маршрутизация и удаленный доступ
н/д ESP IPSec ESP (50, протокол IP) Маршрутизация и удаленный доступ
н/д AH IPSec AH (51, протокол IP) Маршрутизация и удаленный доступ
7 TCP Эхо Простые службы TCP/IP
7 UDP Эхо Простые службы TCP/IP
9 TCP Discard Простые службы TCP/IP
9 UDP Discard Простые службы TCP/IP
13 TCP Daytime Простые службы TCP/IP
13 UDP Daytime Простые службы TCP/IP
17 TCP Quotd Простые службы TCP/IP
17 UDP Quotd Простые службы TCP/IP
19 TCP Chargen Простые службы TCP/IP
19 UDP Chargen Простые службы TCP/IP
20 TCP FTP-данные по умолчанию Служба публикации FTP
21 TCP Управление FTP Служба публикации FTP
21 TCP Управление FTP Служба шлюза уровня приложения
23 TCP Telnet Telnet
25 TCP SMTP Протокол SMTP
25 TCP SMTP Exchange Server
42 TCP Репликация WINS Служба WINS
42 UDP Репликация WINS Служба WINS
53 TCP DNS DNS-сервер
53 UDP DNS DNS-сервер
53 TCP DNS Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
53 UDP DNS Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
67 UDP DHCP-сервер DHCP-сервер
67 UDP DHCP-сервер Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
69 UDP TFTP Служба управляющей программы элементарного протокола FTP
80 TCP HTTP Службы Windows Media
80 TCP HTTP WinRM 1.1 и более ранние версии
80 TCP HTTP служба веб-публикации;
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos; Центр распространения ключей Kerberos
88 UDP Kerberos; Центр распространения ключей Kerberos
102 TCP X.400 Стеки агента передачи сообщений Microsoft Exchange
110 TCP POP3 Служба Microsoft POP3
110 TCP POP3 Exchange Server
119 TCP NNTP Протокол NNTP
123 UDP NTP Служба времени Windows
123 UDP SNTP Служба времени Windows
135 TCP RPC Очереди сообщений
135 TCP RPC Удаленный вызов процедур
135 TCP RPC Exchange Server
135 TCP RPC Службы сертификации
135 TCP RPC Служба кластеров
135 TCP RPC Пространства имен распределенной файловой системы
135 TCP RPC Отслеживание изменившихся связей
135 TCP RPC Координатор распределенных транзакций
135 TCP RPC Служба репликации распределенной файловой системы
135 TCP RPC Служба факсов
135 TCP RPC Microsoft Exchange Server
135 TCP RPC Служба репликации файлов
135 TCP RPC Групповая политика
135 TCP RPC Локальная система безопасности
135 TCP RPC Уведомления удаленного хранилища
135 TCP RPC Удаленное хранилище
135 TCP RPC Systems Management Server 2.0
135 TCP RPC Лицензирование служб терминалов
135 TCP RPC Каталог сеанса служб терминалов
137 UDP Разрешение имен NetBIOS Браузер компьютеров
137 UDP Разрешение имен NetBIOS Сервер
137 UDP Разрешение имен NetBIOS Служба WINS
137 UDP Разрешение имен NetBIOS Сетевой вход в систему
137 UDP Разрешение имен NetBIOS Systems Management Server 2.0
138 UDP Служба датаграмм NetBIOS Браузер компьютеров
138 UDP Служба датаграмм NetBIOS Сервер
138 UDP Служба датаграмм NetBIOS Сетевой вход в систему
138 UDP Служба датаграмм NetBIOS Распределенная файловая система
138 UDP Служба датаграмм NetBIOS Systems Management Server 2.0
138 UDP Служба датаграмм NetBIOS Служба учета лицензий
139 TCP Служба сеансов NetBIOS Браузер компьютеров
139 TCP Служба сеансов NetBIOS Служба факсов
139 TCP Служба сеансов NetBIOS Журналы и оповещения производительности
139 TCP Служба сеансов NetBIOS Очередь печати принтера
139 TCP Служба сеансов NetBIOS Сервер
139 TCP Служба сеансов NetBIOS Сетевой вход в систему
139 TCP Служба сеансов NetBIOS Локатор удаленного вызова процедур
139 TCP Служба сеансов NetBIOS Пространства имен распределенной файловой системы
139 TCP Служба сеансов NetBIOS Systems Management Server 2.0
139 TCP Служба сеансов NetBIOS Служба учета лицензий
143 TCP IMAP Exchange Server
161 UDP SNMP Служба SNMP
162 UDP Исходящие ловушки SNMP Служба ловушек SNMP
389 TCP Сервер LDAP Локальная система безопасности
389 UDP Локатор контроллеров домена Локальная система безопасности
389 TCP Сервер LDAP Пространства имен распределенной файловой системы
389 UDP Локатор контроллеров домена Пространства имен распределенной файловой системы
389 UDP Локатор контроллеров домена Netlogon
389 UDP Локатор контроллеров домена Центр распространения ключей Kerberos
389 TCP Сервер LDAP Репликация распределенной файловой системы
389 UDP Локатор контроллеров домена Репликация распределенной файловой системы
443 TCP HTTPS HTTP SSL
443 TCP HTTPS служба веб-публикации;
443 TCP HTTPS SharePoint Portal Server
443 TCP RPC по HTTPS Exchange Server 2003
443 TCP HTTPS WinRM 1.1 и более ранние версии
445 TCP SMB Служба факсов
445 TCP SMB Очередь печати принтера
445 TCP SMB Сервер
445 TCP SMB Локатор удаленного вызова процедур
445 TCP SMB Пространства имен распределенной файловой системы
445 TCP SMB Репликация распределенной файловой системы
445 TCP SMB Служба учета лицензий
445 TCP SMB Сетевой вход в систему
464 UDP Пароль Kerberos версии 5 Центр распространения ключей Kerberos
464 TCP Пароль Kerberos версии 5 Центр распространения ключей Kerberos
500 UDP IPsec ISAKMP Локальная система безопасности
515 TCP LPD Сервер печати TCP/IP
554 TCP RTSP Службы Windows Media
563 TCP NNTP по SSL Протокол NNTP
593 TCP Сопоставитель конечных точек RPC по HTTPS Удаленный вызов процедур
593 TCP RPC по HTTPS Exchange Server
636 TCP LDAP SSL Локальная система безопасности
636 UDP LDAP SSL Локальная система безопасности
647 TCP Отработка отказа DHCP Отработка отказа DHCP
9389 TCP Веб-службы Active Directory (ADWS) Веб-службы Active Directory (ADWS)
9389 TCP Веб-службы Active Directory (ADWS) Служба Active Directory Management Gateway Service
993 TCP IMAP по SSL Exchange Server
995 TCP POP3 по SSL Exchange Server
1067 TCP Служба Installation Bootstrap Service Сервер протокола Installation Bootstrap
1068 TCP Служба Installation Bootstrap Service Клиент протокола Installation Bootstrap
1270 TCP MOM-Encrypted Microsoft Operations Manager 2000
1433 TCP SQL по TCP Microsoft SQL Server
1433 TCP SQL по TCP MSSQL$UDDI
1434 UDP SQL Probe Microsoft SQL Server
1434 UDP SQL Probe MSSQL$UDDI
1645 UDP Традиционный RADIUS Служба проверки подлинности в Интернете
1646 UDP Традиционный RADIUS Служба проверки подлинности в Интернете
1701 UDP L2TP Маршрутизация и удаленный доступ
1723 TCP PPTP Маршрутизация и удаленный доступ
1755 TCP MMS Службы Windows Media
1755 UDP MMS Службы Windows Media
1801 TCP MSMQ Очереди сообщений
1801 UDP MSMQ Очереди сообщений
1812 UDP Проверка подлинности RADIUS Служба проверки подлинности в Интернете
1813 UDP Учетные данные RADIUS Служба проверки подлинности в Интернете
1900 UDP SSDP Служба обнаружения SSDP
2101 TCP MSMQ-DCs Очереди сообщений
2103 TCP MSMQ-RPC Очереди сообщений
2105 TCP MSMQ-RPC Очереди сообщений
2107 TCP MSMQ-Mgmt Очереди сообщений
2393 TCP OLAP Services 7.0 SQL Server: поддержка клиентов OLAP нижнего уровня
2394 TCP OLAP Services 7.0 SQL Server: поддержка клиентов OLAP нижнего уровня
2460 UDP MS Theater Службы Windows Media
2535 UDP MADCAP DHCP-сервер
2701 TCP SMS Remote Control (управление) Агент удаленного управления SMS
2701 UDP SMS Remote Control (управление) Агент удаленного управления SMS
2702 TCP SMS Remote Control (данные) Агент удаленного управления SMS
2702 UDP SMS Remote Control (данные) Агент удаленного управления SMS
2703 TCP SMS Remote Chat Агент удаленного управления SMS
2703 UPD SMS Remote Chat Агент удаленного управления SMS
2704 TCP SMS Remote File Transfer Агент удаленного управления SMS
2704 UDP SMS Remote File Transfer Агент удаленного управления SMS
2725 TCP Службы SQL Analysis Services Службы SQL Server Analysis Services
2869 TCP UPNP Узел универсальных PNP-устройств
2869 TCP Уведомление о событиях SSDP Служба обнаружения SSDP
3268 TCP Глобальный каталог Локальная система безопасности
3269 TCP Глобальный каталог Локальная система безопасности
3343 UDP Службы кластеров Служба кластеров
3389 TCP Службы терминалов Службы терминалов
3389 UDP Службы терминалов Службы терминалов
3527 UDP MSMQ-Ping Очереди сообщений
4011 UDP BINL Удаленная установка
4500 UDP NAT-T Локальная система безопасности
5000 TCP Уведомление о событиях SSDP (традиционный) Служба обнаружения SSDP
5004 UDP RTP Службы Windows Media
5005 UDP RTCP Службы Windows Media
5722 TCP RPC Репликация распределенной файловой системы
6001 TCP Банк данных Exchange Server 2003
6002 TCP Directory Referral Exchange Server 2003
6004 TCP DSProxy/NSPI Exchange Server 2003
42424 TCP Состояние сеанса ASP.NET Служба состояния ASP.NET
51515 TCP MOM-Clear Microsoft Operations Manager 2000
5985 TCP HTTP WinRM 2.0
5986 TCP HTTPS WinRM 2.0
1024–65535 TCP RPC Произвольно назначенные порты TCP с большими номерами
135 TCP WMI Служба Hyper-V
произвольный номер порта в диапазоне от 49152 до 65535 TCP Произвольно назначенные порты TCP с большими номерами Служба Hyper-V
80 TCP Проверка подлинности Kerberos (HTTP) Служба Hyper-V
443 TCP Проверка подлинности на основе сертификата (HTTPS) Служба Hyper-V
6600 TCP Динамическая миграция Динамическая миграция Hyper-V
445 TCP SMB Динамическая миграция Hyper-V
3343 UDP Трафик службы кластеров Динамическая миграция Hyper-V

Примечание.

Порт 5722 использовался только в контроллерах доменов Windows Server 2008 или Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012. Порт 445 используется DFSR только при создании новой пустой реплицированной папки.

Часть этих сведений в формате книги Microsoft Excel можно загрузить с веб-сайта Центра загрузки Майкрософт.

Требования к портам и протоколам Active Directory

Серверам приложений, клиентским компьютерам и контроллерам домена, которые расположены в одном лесу или во внешних лесах, для правильного выполнения инициированных пользователями или компьютерами операций, таких как присоединение к домену, проверка подлинности входа в систему, удаленное администрирование и репликация Active Directory, необходимы соответствующие зависимости служб. Эти службы и операции используют сетевые подключения по определенным портам и сетевым протоколам.

Ниже представлен обобщенный список служб, портов и протоколов, необходимых рядовым компьютерам и контроллерам домена для взаимодействия друг с другом, а серверам приложений — для получения доступа к Active Directory.

Список служб, от которых зависит Active Directory:

  • Active Directory/LSA
  • Браузер компьютеров
  • Пространства имен распределенной файловой системы
  • Репликация распределенной файловой системы (если не используется FRS для репликации SYSVOL)
  • Служба репликации файлов (если не используется DFSR для репликации SYSVOL)
  • Центр распространения ключей Kerberos
  • Сетевой вход в систему
  • Удаленный вызов процедур (RPC)
  • Сервер
  • Протокол SMTP
  • WINS (в Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версиях для резервных репликаций Active Directory, если служба DNS не работает)
  • Служба времени Windows
  • служба веб-публикации;

Список служб, для которых требуются службы Active Directory:

  • Службы сертификации (нужны в системах с определенной конфигурацией)
  • DHCP-сервер
  • Пространства имен распределенной файловой системы (при использовании доменных пространств имен)
  • Репликация распределенной файловой системы
  • Сервер отслеживания изменившихся связей
  • Координатор распределенных транзакций
  • DNS-сервер
  • Служба факсов
  • Служба репликации файлов
  • Служба проверки подлинности в Интернете
  • Учет лицензий
  • Сетевой вход в систему
  • Очередь печати принтера
  • Удаленная установка
  • Локатор удаленного вызова процедур (RPC)
  • Уведомления удаленного хранилища
  • Удаленное хранилище
  • Маршрутизация и удаленный доступ
  • Сервер
  • Протокол SMTP
  • Службы терминалов
  • Лицензирование служб терминалов
  • Каталог сеанса служб терминалов

Ссылки

Файлы справки для описанных в этой статье продуктов Майкрософт содержат дополнительные сведения по настройке программ.

Сведения о брандмауэрах и портах доменных служб Active Directory см. в разделе Настройка брандмауэра для доменов Active Directory и отношений доверия.

Общие сведения

Дополнительные сведения об обеспечении безопасности Windows Server и примеры фильтров IPSec для отдельных ролей сервера см. в разделе Microsoft Security Compliance Manager. Это средство объединяет все предыдущие рекомендации по обеспечению безопасности и документацию по безопасности в единую служебную программу для всех поддерживаемых операционных систем Майкрософт.

Дополнительные сведения о службах, параметрах безопасности и фильтрах IPsec операционной системы см. в одном из следующих руководств по угрозам и мерам противодействия.

Дополнительные сведения см. в указанных ниже статьях.

Использование стандартных портов координируется агентством IANA (Internet Assigned Numbers Authority). Список назначений портов TCP/IP этой организации представлен в реестре наименований служб и портов транспортных протоколов.

Удаленный вызов процедур и модель DCOM

Подробное описание RPC см. в разделе Удаленный вызов процедур (RPC).

Дополнительные сведения о настройке RPC для работы с брандмауэром см. в разделе Настройка динамического выделения портов RPC для работы с брандмауэрами.

Дополнительные сведения о протоколе RPC и инициализации компьютеров под управлением Windows 2000 см. в разделе Анализ трафика во время загрузки и входа в систему Windows 2000.

Контроллеры домена и служба Active Directory

Дополнительные сведения о том, как ограничить репликацию Active Directory и трафик для входа клиента, см. в разделе Ограничение трафика репликации Active Directory и клиентского трафика RPC в определенный порт.

Описание того, как связаны системный агент каталога, LDAP и администратор локальной системы см. в разделе Системный агент каталога.

Дополнительные сведения о работе LDAP и глобального каталога см. в разделе Как работает глобальный каталог.

Exchange Server

Сведения о портах, проверке подлинности и шифровании для всех путей к данным, используемых Microsoft Exchange Server, см. в разделе Сетевые порты для клиентов и поток обработки почты в Exchange.

В зависимости от среды может потребоваться принять во внимание дополнительные компоненты. Более подробные сведения и справку о планировании реализации сервера Exchange см. на следующих веб-сайтах корпорации Майкрософт.

Дополнительную информацию см. в разделе Настройка мобильного Outlook в Outlook 2013.

Служба репликации распределенной файловой системы

Служба репликации распределенной файловой системы включает запускаемое из командной строки средство Dfsrdiag.exe. С помощью Dfsrdiag.exe можно устанавливать порт сервера RPC, используемый для администрирования и репликации. Процедура использования Dfsrdiag.exe для настройки RPC порта сервера приведена в следующем примере:

dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso.com

В этом примере nnnnn представляет один статический RPC-порт, который будет использоваться DFSR для репликации. Branch01.sales.contoso.com — DNS- или NetBIOS-имя конечного компьютера члена. Если компьютер не указан, Dfsrdiag.exe использует локальный компьютер.

Службы IIS

Дополнительные сведения о портах в IIS 6.0 см. в разделе Фильтрация портов TCP/IP.

Дополнительные сведения о протоколе FTP см. в следующих источниках:

Протокол MADCAP (Multicast Address Dynamic Client Allocation Protocol)

Дополнительные сведения о планировании серверов MADCAP см. в разделе Контрольный список: установка сервера MADCAP.

Очереди сообщений

Дополнительные сведения о портах, используемых в очереди сообщений (Майкрософт), см. в разделе Порты TCP, порты UDP и порты RPC, используемые в очереди сообщений.

Запускается из Microsoft Operations Manager

Дополнительные сведения о планировании и развертывании MOM см. в разделе Библиотека документации разработчика System Center.

Службы терминалов

Дополнительные сведения о настройке порта, используемого службами терминалов, см. в разделе Изменение порта прослушивания для удаленного рабочего стола на компьютере.

Управление обменом данными через Интернет в Windows

Дополнительные сведения см. в разделе Использование Windows Server 2003 с пакетом обновления 1 (SP1) в управляемой среде: управление связью с Интернетом.

Службы Windows Media

Сведения о портах, используемых службами Windows Media, см. в разделе Выделение портов для служб Windows Media.