Обзор служб и требования к сетевым портам в Windows
В этой статье рассмотрены необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в системах Microsoft Windows Server. Представленные в этой статье сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых операционным системам и программам Майкрософт для сетевого подключения в сегментированной сети.
Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 версии 2004, Windows 10 версии 1909, Windows 10 версии 1903, Windows 7 с пакетом обновления 1 (SP1)
Оригинальный номер базы знаний: 832017
Важно!
Эта статья содержит несколько ссылок на динамический диапазон портов по умолчанию. В Windows Server 2008 и последующих версиях, а также в Windows Vista и последующих версиях рамки динамического диапазона портов по умолчанию изменяются в указанных ниже пределах.
- Начальный порт: 49152
- Конечный порт: 65535
В Windows 2000, Windows XP и Windows Server 2003 используется следующий динамический диапазон портов.
- Начальный порт: 1025
- Конечный порт: 5000
Это означает:
- Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2012 или более поздние версии Windows, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.
- Если в сетевом окружении вашего компьютера помимо Windows Server 2012 используются более ранние версии Windows, чем Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба нижеприведенных диапазона портов:
высокий диапазон портов (49152-65535);
низкий диапазон портов (1025-5000). - Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.
Дополнительные сведения о динамическом диапазоне портов по умолчанию см. в разделе Динамический диапазон портов по умолчанию для TCP/IP изменился.
Сведения о портах, которые приводятся в данной статье, не следует использовать для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.
Система Windows Server располагает всесторонней и интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий (ИТ). Запущенные в такой системе программы и решения позволяют сотрудникам быстро и без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют разные сетевые порты и протоколы для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) являются другими важными компонентами, которые необходимо использовать для обеспечения безопасности сети. Но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.
Обзор
Ниже представлен краткий обзор содержания этой статьи:
Раздел Порты системных служб:
- Содержит краткое описание каждой службы.
- Отображает логическое имя каждой службы.
- Указывает порты и протоколы, необходимые каждой службе для правильной работы.
Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.
В разделе Порты и протоколы сведения из предыдущего раздела «Порты системных служб» обобщены в форме таблицы. Таблица отсортирована по номерам портов, а не названиям служб. Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте.
Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых терминов.
- Системные службы — это программы, которые загружаются автоматически в рамках процесса запуска приложения или процесса загрузки операционной системы. Системные службы поддерживают разные задачи, которые должна выполнять операционная система. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition относятся служба сервера, служба очереди печати и служба веб-публикаций. Каждой системной службе сопоставлено понятное имя и обычное имя. Понятное имя службы — это имя, которое отображается в графических средствах управления, таких как оснастка консоли управления (MMC). Имя службы — это имя, которое используется с помощью программы командной строки и со многими языками сценариев. Каждая системная служба может включать в себя одну или несколько сетевых служб.
- Протокол приложений. В контексте этой статьи протокол приложений — это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP. например HTTP, блоки сообщений сервера (SMB) и протокол SMTP (Simple Mail Transfer Protocol).
- Протокол. Протоколы TCP/IP — это стандартные форматы взаимодействия между устройствами в сети. Протоколы TCP/IP функционируют на более низком уровне, чем протоколы приложений. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
- Порт — сетевой порт, на котором системная служба прослушивает входящий сетевой трафик.
Эта статья не содержит сведений о том, какие службы зависят от других служб при осуществлении сетевого взаимодействия. Например, для назначения динамических портов TCP многие службы в Microsoft Windows используют удаленный вызов процедур (RPC) или компоненты DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure). Эти протоколы предоставляются службами IIS. Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Подробную документацию по этой теме можно найти на веб-сайтах Microsoft TechNet и MSDN (Microsoft Developer Network). Хотя один и тот же порт TCP или UDP часто используется многими службами, прослушивать этот порт в каждый момент времени может только одна служба или процесс.
Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости. Используются порты TCP/IP и UDP/IP с номером выше 1024. Эти порты также неофициально называются случайными портами RPC. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют сопоставитель конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, можно настроить определенный порт, чтобы не полагаться на динамическое назначение. Кроме того, для любой службы можно ограничить диапазон портов, динамически назначаемых службой RPC. Дополнительные сведения по этой теме см. в разделе Ссылки.
Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе «Применяется к». Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине здесь описаны порты, которые прослушиваются службами, а не портами, используемыми клиентскими программами для подключения к удаленной системе.
Порты системных служб
В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.
Active Directory (локальная система безопасности)
Active Directory выполняется как процесс Lsass.exe и содержит модули проверки подлинности и репликации для контроллеров домена Windows. Контроллерам домена, клиентским компьютерам и серверам приложений требуется сетевое подключение к службе Active Directory через определенные жестко заданные порты. Кроме того, если для инкапсуляции трафика в Active Directory не используется туннельный протокол, необходимы диапазоны временных портов TCP от 1024 до 5000 и от 49152 до 65535.
Примечание.
Если ваша компьютерная сетевая среда использует только Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista или более поздних версий, необходимо включить подключение через большой диапазон портов от 49152 до 65535.
Если ваша сетевая среда компьютера использует Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista или более поздних версий вместе с версиями Windows, предшествующими Windows Server 2008 и Windows Vista, необходимо включить подключение через оба диапазона портов:
более высокий диапазон портов от 49152 до 65535;
более низкий диапазон портов от 1025 до 5000.Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.
Инкапсулированное решение может заключаться в применении VPN-шлюза, расположенного за фильтрующим маршрутизатором, который использует протокол L2TP (Layer 2 Tunneling Protocol) с IPSec. В этом случае необходимо вместо открытия всех портов и протоколов, перечисленных в этой статье, разрешить проходить через маршрутизатор следующим элементам:
- протоколу ESP (IPsec Encapsulating Security Protocol) (50, протокол IP);
- протоколу NAT-T (IPsec Network Address Translator Traversal) (порт 4500 UDP);
- протоколу ISAKMP (IPsec Internet Security Association and Key Management Protocol) (порт 500 UDP).
Также можно жестко задать порт, используемый для репликации Active Directory, выполнив действия, приведенные в статье Ограничение RPC-трафика Active Directory в определенный порт. Имя системной службы: LSASS.
Примечание.
Фильтры пакетов для трафика L2TP не требуются, поскольку протокол L2TP защищен протоколом IPsec ESP.
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Веб-службы Active Directory (ADWS) | TCP | 9389 |
| Служба Active Directory Management Gateway Service | TCP | 9389 |
| Глобальный каталог | TCP | 3269 |
| Глобальный каталог | TCP | 3268 |
| ICMP | Номер порта отсутствует | |
| Сервер LDAP (Lightweight Directory Access Protocol) | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| Порты ТСР с большими номерами, произвольно назначенные службой RPC¹ | TCP | 49152 - 65535 |
| SMB | TCP | 445 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки. В этом разделе также рассматриваются удаленные взаимодействия посредством WMI и DCOM, которые сначала использовались в рамках повышения роли контроллера домена Windows Server 2012 во время проверки выполнения предварительных требований и в программе Server Manager.
Кроме того, клиент Microsoft LDAP выполняет проверку связи по протоколу ICMP для подтверждения того, что LDAP-сервер, на который отправлен ожидающий запрос, все еще присутствует в сети. Ниже приведены параметры, которые представляют собой дополнительные возможности сеанса LDAP:
- PingKeepAliveTimeout = 120 секунд (время ожидания после последнего ответа от сервера перед отправкой пакетов для проверки связи)
- PingLimit = 4 (количество отправленных пакетов для проверки связи до закрытия подключения)
- PingWaitTimeout = 2000 мс (длительность ожидания ответа ICMP)
- Ссылка: класс LdapSessionOptions
Служба шлюза уровня приложения
Этот подкомпонент службы общего доступа к подключению Интернета (ICS) / брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP — это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server. Подключаемый модуль ALG FTP поддерживает активные сеансы по протоколу FTP через механизм преобразования сетевых адресов (NAT). Подключаемый модуль ALG FTP поддерживает эти сеансы путем перенаправления в частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 в адаптере замыкания на себя всего трафика, соответствующего следующим критериям:
- проходящего через механизм преобразования сетевых адресов (NAT);
- направленного в порт 21.
Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP. Модуль FTP также обновляет порты в потоке управляющего канала FTP.
Имя системной службы: ALG
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Управление FTP | TCP | 21 |
Служба состояния ASP.NET
Служба состояния ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Эта служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на веб-сервере средой ASP.NET.
Имя системной службы: aspnet_state
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Состояние сеанса ASP.NET | TCP | 42424 |
Службы сертификации
Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации, Позволяет организации выпускать цифровые сертификаты и управлять ими для программ и протоколов, таких как:
- Secure/Multipurpose Internet Mail Extensions (S/MIME)
- Secure Sockets Layer (SSL)
- Шифрованная файловая система (EFS)
- IPSec
- Вход со смарт-картой
Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные порты TCP с номерами больше 1024.
Имя системной службы: CertSvc
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| SMB | TCP | 445, 139 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Дополнительные сведения см. в разделе 3.2.2.6.2.1.4.5.9 msPKI-Certificate-Name-Flag.
Служба кластеров
Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.
Имя системной службы: ClusSvc
| Для приложений | Протокол | Порты |
|---|---|---|
| Служба кластеров | UDP и DTLS¹ | 3343 |
| Служба кластеров | TCP | 3343 (этот порт не требуется во время операции объединения узлов) |
| Служба кластеров | ICMP | Порт Echo (этот порт требуется во время операции присоединения к узлам из мастера добавления узла.) |
| Служба кластеров | TCP | 445 (Этот порт требуется во время операции присоединения к узлам из мастера добавления узлов.) |
| RPC | TCP | 135 |
| Администратор кластера | UDP | 137 |
| Случайно выделенные высокие порты 2 | TCP | Произвольный номер порта в диапазоне от 49152 до 65535 |
Примечание.
Кроме того, для успешной проверки на отказоустойчивых кластерах Windows 2008 года и более поздних версий следует разрешить входящий и исходящий трафик для протоколов ICMP4, ICMP6 и порт 445/TCP для SMB.
¹ Трафик UDP для службы кластеров через порт 3343 требует использования протокола датаграмм безопасности транспортного уровня (DTLS) версии 1.0 или 1.2. По умолчанию протокол DTLS включен. Дополнительные сведения см. в разделе Протоколы в TLS/SSL (Schannel SSP).
² Дополнительные сведения о настройке этих портов см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Браузер компьютеров
Системная служба браузера компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Браузер компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли браузеров, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра требуются таким Windows-программам более ранних версий, как «Сетевое окружение», команда net view и проводник Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль браузера.
Если используется только Windows Vista и последующие версии Windows, то служба браузера больше не требуется.
Имя системной службы: браузер
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
Служба браузера использует RPC по именованным каналам для компиляции.
DHCP-сервер
Служба DHCP-сервера использует DHCP для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.
Имя системной службы: DHCPServer
| Протокол приложений | Протокол | Порты |
|---|---|---|
| DHCP-сервер | UDP | 67 |
| MADCAP | UDP | 2535 |
| Отработка отказа DHCP | TCP | 647 |
Пространства имен распределенной файловой системы
Пространства имен распределенной файловой системы (DFSN) объединяют разные файловые ресурсы, которые расположены в локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба DFSN необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.
Имя системной службы: Dfs
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 1382 |
| Служба сеансов NetBIOS | TCP | 1392 |
| Сервер LDAP | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
2 Порты NETBIOS являются необязательными и не требуются, если DFSN использует полные имена серверов.
Репликация распределенной файловой системы
Служба репликации распределенной файловой системы (DFSR) является средством репликации, выполняющим репликацию с несколькими хозяевами, которое автоматически копирует обновления файлов и папок между компьютерами, входящими в общую группу репликации. Служба DFSR была добавлена в систему Windows Server 2003 R2. С помощью средства командной строки Dfsrdiag.exe эту службу можно настроить для репликации файлов на определенных портах независимо от того, входят ли они в пространства имен распределенной файловой системы.
Имя системной службы: DFSR
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| RPC | TCP | 57222 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации распределенных файлов» раздела Ссылки.
2 Порт 5722 используется только на контроллере домена Windows Server 2008 или на контроллере домена Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012.
Сервер отслеживания изменившихся связей
Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Эта служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.
Имя системной службы: TrkSvr
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Координатор распределенных транзакций
Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Системная служба DTC используется в том случае, если транзакционные компоненты настраиваются через СОМ+. Она также требуется для транзактных очередей в очередях сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.
Имя системной службы: MSDTC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в разделе «Координатор распределенных транзакций» раздела Ссылки.
DNS-сервер
Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. DNS-серверы необходимы для обнаружения устройств и служб, идентификация которых происходит по доменным именам, а также контроллеров домена в Active Directory.
Имя системной службы: DNS
| Протокол приложений | Протокол | Порты |
|---|---|---|
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Журнал событий
Системная служба «Журнал событий» регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты журнала событий содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит компонент «Просмотр событий». Сообщения, полученные журналами от программ, других служб и операционной системы, регистрируются службой журнала событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью компонента «Просмотр событий» из оснастки консоли управления ММС.
Имя системной службы: журнал событий
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC/NP (именованные каналы) | TCP | 139 |
| RPC/NP | TCP | 445 |
| RPC/NP | UDP | 137 |
| RPC/NP | UDP | 138 |
Примечание.
Служба журнала событий использует RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Служба факсов
Служба факсов (системная служба, совместимая с интерфейсом Telephony API (TAPI)) предназначена для поддержки функций приема факсов. Служба факсов предоставляет пользователям возможность отправлять и принимать факсы из прикладных программ с помощью локальных или общих сетевых устройств.
Имя системной службы: факс
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Репликация файлов
Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это механизм репликации по умолчанию, задачей которого является репликация содержимого папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Для настройки репликации файлов и папок между целевыми объектами корня или ссылки DFS можно использовать средство администрирования DFS.
Имя системной службы: NtFrs
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации файлов» раздела Ссылки.
Служба публикации FTP
Служба публикации FTP используется для установки подключений к серверам FTP. По умолчанию, порт управления FTP — 21. Тем не менее, системную службу можно настроить с помощью оснастки диспетчера служб IIS. Порту данных по умолчанию (используемому для FTP-сервера в активном режиме) автоматически назначается на один порт меньше, чем порту управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство FTP-клиентов используют пассивный режим FTP. Это означает, что клиент сначала подключается к серверу FTP через порт управления, после этого FTP-сервер назначает TCP-порт с большим номером между портами 1025 и 5000. Затем клиент открывает второе соединение к FTP-серверу для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.
Имя системной службы: MSFTPSVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Управление FTP | TCP | 21 |
| FTP-данные по умолчанию | TCP | 20 |
| Произвольно назначенные порты TCP с большими номерами | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
Групповая политика
Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам Kerberos, LDAP, SMB и RPC. Для Windows XP и Windows Server 2003 дополнительно требуется протокол ICMP.
Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то групповая политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал.
Имя системной службы: групповая политика
| Протокол приложений | Протокол | Порты |
|---|---|---|
| DCOM¹ | TCP + UDP | произвольный номер порта в диапазоне от 49152 до 65535 |
| ICMP (ping)2 | ICMP | |
| LDAP | TCP | 389 |
| SMB | TCP | 445 |
| RPC¹ | TCP | 135 случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки.
2 Этот протокол требуется только для Windows XP и Windows Server 2003, выступающих в качестве клиентов.
Примечание.
С помощью оснастки консоли управления групповой политикой создаются отчеты о результатах групповой политики и отчеты о моделировании групповой политики. При этом используются DCOM и RPC для отправки и получения сведений о клиенте или контроллере домена от поставщика результирующей политики (RSoP). Различные двоичные файлы компонентов оснастки групповой политики консоли управления (MMC) используют вызовы COM для отправки и получения сведений. При инициации удаленных отчетов результатов групповой политики с компьютера под управлением Windows Server 2012 требуется доступ к журналу событий конечного компьютера. (Требования к портам см. в разделе Журнал событий данной статьи).
Windows Server 2012 поддерживает инициирование удаленного обновления групповой политики компьютеров под управлением Windows Server 2012. Для этого требуется доступ RPC/WMI через порт 135 и входящие порты в диапазоне 49152–65535 на компьютере, на котором обновляется политика.
HTTP SSL
Системная служба HTTP SSL позволяет службам IIS выполнять функции SSL. SSL — это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата исключительно важной информации, например номеров кредитных карточек. Несмотря на то что служба работает с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Прослушиваемые порты для службы можно настроить с помощью диспетчера служб IIS.
Имя системной службы: HTTPFilter
| Протокол приложений | Протокол | Порты |
|---|---|---|
| HTTPS | TCP | 443 |
Служба Hyper-V
Реплика Hyper-V
| Протокол приложений | Протокол | Порт |
|---|---|---|
| WMI | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами | TCP | Произвольный номер порта в диапазоне от 49152 до 65535 |
| Проверка подлинности Kerberos (HTTP) | TCP | 80 |
| Проверка подлинности на основе сертификата (HTTPS) | TCP | 443 |
Динамическая миграция Hyper-V
| Протокол приложений | Протокол | Порт |
|---|---|---|
| Динамическая миграция | TCP | 6600 |
| SMB | TCP | 445 |
| Трафик службы кластеров | UDP | 3343 |
Служба проверки подлинности в Интернете
Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.
Имя системной службы: IAS
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Традиционный RADIUS | UDP | 1645 |
| Традиционный RADIUS | UDP | 1646 |
| Учетные данные RADIUS | UDP | 1813 |
| Проверка подлинности RADIUS | UDP | 1812 |
Общий доступ к подключению Интернета / брандмауэр подключения к Интернету (ICF)
Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда включена функция общего доступа к подключению к Интернету, компьютер становится шлюзом Интернета в сети. а другие клиентские компьютеры могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное подключение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем сетевом интерфейсе).
Имя системной службы: общий доступ
| Протокол приложений | Протокол | Порты |
|---|---|---|
| DHCP-сервер | UDP | 67 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Сервер управления IP-адресами (IPAM)
Интерфейс IPAM-клиента связывается с IPAM-сервером для выполнения удаленного управления. Это осуществляется с помощью платформы Windows Communications Framework (WCF), в которой используется TCP в качестве транспортного протокола. По умолчанию, привязка TCP осуществляется через порт 48885 на сервере IPAM.
Сведения о BranchCache
- Порт 3702 (UDP) используется для обнаружения доступности кэшированного контента на клиенте.
- Порт 80 (TCP) используется для передачи контента клиентам по запросу.
- Порт 443 (TCP) — это порт по умолчанию, используемый размещаемым кэшем для приема входящих предложений контента от клиентов.
Сервер ISA/TMG
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Хранилище настроек (домен) | TCP | 2171 (примечание 1) |
| Хранилище настроек (репликация) | TCP | 2173 (примечание 1) |
| Хранилище настроек (рабочая группа) | TCP | 2172 (примечание 1) |
| Клиентское приложение брандмауэра | TCP/UDP | 1025-65535 (примечание 2) |
| Управляющий канал клиента брандмауэра | TCP/UDP | 1745 (примечание 3) |
| Управляющий канал брандмауэра | TCP | 3847 (примечание 1) |
| RPC | TCP | 135 (примечание 6) |
| Произвольно назначенные порты TCP с большими номерами (примечание 6) | TCP | произвольный номер порта в диапазоне от 1024 до 65535 произвольный номер порта в диапазоне от 10000 до 65535 (примечание 7) |
| Веб-управление | TCP | 2175 (примечание 1, 4) |
| Клиент веб-прокси | TCP | 8080 (примечание 5) |
Примечание.
- Этот порт не используется ISA 2000.
- Транспорт и протоколы приложения клиента межсетевого экрана согласуются в рамках управляющего канала клиента межсетевого экрана.
- Элемент управления клиента межсетевого экрана 2000 использует UDP. ISA 2004 и 2006 использует TCP.
- Веб-управление брандмауэром используется изготовителями оборудования в качестве механизма управления сервером ISA, альтернативного консоли управления (MMC).
- Этот порт используется также для трафика внутри массива.
- Этот порт используется только оснасткой ISA консоли управления (MMC) при мониторинге удаленного сервера и статуса службы.
- Это диапазон в TMG. Обратите внимание, что TMG расширяет динамические диапазоны портов по умолчанию в Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.
Центр распространения ключей Kerberos
Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут выполнить вход в сеть с помощью протокола проверки подлинности Kerberos версии 5. Как и в других версиях протокола Kerberos, KDC — это один процесс, обеспечивающий две службы: службу проверки подлинности и службу предоставления билетов. Служба проверки подлинности выпускает билеты на предоставление билета, а служба предоставления билетов — билеты для подключения к компьютерам в своем домене.
Имя системной службы: kdc
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Kerberos; | TCP | 88 |
| Kerberos; | UDP | 88 |
| Пароль Kerberos версии 5 | UDP | 464 |
| Пароль Kerberos версии 5 | TCP | 464 |
| Локатор контроллеров домена | UDP | 389 |
Учет лицензий
Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. В Windows Server 2003 служба учета лицензий отключена по умолчанию. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных клиентских лицензий в сравнении с общим числом клиентских лицензий, которые используются на определенном сервере или предприятии. Лицензии CAL, сообщенные службой учета лицензий, могут противоречить условиям лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и правам на использование продукта. Учет лицензий не включается в Windows Server 2008 и последующие операционные системы. Корпорация Майкрософт рекомендует включать эту службу на своих серверах только пользователям операционных систем семейства Microsoft Small Business Server.
Имя системной службы: LicenseService
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 138 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Примечание.
В службе учета лицензий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Очереди сообщений
Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.
Имя системной службы: MSMQ
| Протокол приложений | Протокол | Порты |
|---|---|---|
| MSMQ | TCP | 1801 |
| MSMQ | UDP | 1801 |
| MSMQ-DCs | TCP | 2101 |
| MSMQ-Mgmt | TCP | 2107 |
| MSMQ-Ping | UDP | 3527 |
| MSMQ-RPC | TCP | 2105 |
| MSMQ-RPC | TCP | 2103 |
| RPC | TCP | 135 |
Стеки агента передачи сообщений Microsoft Exchange
В Microsoft Exchange 2000 Server и Microsoft Exchange Server 2003 агент MTA часто используется для обеспечения обратно совместимых служб передачи сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.
Имя системной службы: MSExchangeMTA
| Протокол приложений | Протокол | Порты |
|---|---|---|
| X.400 | TCP | 102 |
Служба POP3 (Microsoft)
Служба POP3 Microsoft предназначена для передачи и извлечения сообщений электронной почты. Администраторы могут использовать эту службу для хранения учетных записей электронной почты на почтовом сервере и управления ими. Если на почтовом сервере установлена служба POP3 (Microsoft), пользователи могут подключаться к этому почтовому серверу и загружать сообщения электронной почты с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.
Имя системной службы: POP3SVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| POP3 | TCP | 110 |
Сетевой вход в систему
Системная служба сетевого входа в систему поддерживает безопасный канал между компьютером и контроллером домена для проверки подлинности пользователей и служб. Посредством этой службы учетные данные пользователя передаются на контроллер домена, а возвращаются доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба сетевого входа в систему автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба сетевого входа в систему публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб рабочей станции и локального администратора безопасности. На компьютерах в составе домена служба сетевого входа в систему использует удаленный вызов процедур по именованным каналам. В контроллерах домена она использует RPC по именованным каналам, RPC по протоколу TCP/IP, почтовые ячейки и протокол LDAP.
Имя системной службы: Netlogon
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 1382 |
| Разрешение имен NetBIOS | UDP | 1372 |
| Служба сеансов NetBIOS | TCP | 1392 |
| SMB | TCP | 445 |
| LDAP | UDP | 389 |
| RPC¹ | TCP | 135 случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки.
2 Порты NETBIOS являются необязательными. Netlogon использует их только для отношений доверия, в которых не поддерживается DNS, или в тех случаях, когда во время предпринятого отката происходит сбой DNS. Если отсутствует инфраструктура WINS, и широковещательный показ не может работать, необходимо либо отключить NetBt, либо установить для компьютеров и серверов NodeType=2.
Примечание.
В службе сетевого входа в систему используется RPC по именованным каналам для клиентов Windows более ранних версий. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Протокол NNTP
Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.
Имя системной службы: NNTPSVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| NNTP | TCP | 119 |
| NNTP по SSL | TCP | 563 |
Автономные файлы, служба профилей пользователей, перенаправление папок и основной компьютер
Службы автономных файлов и перемещаемых профилей пользователей кэшируют пользовательские данные на компьютерах для автономного использования. Такие возможности существуют во всех поддерживаемых операционных системах корпорации Майкрософт. В Windows XP кэширование перемещаемых профилей пользователей реализовано как часть процесса Winlogon, а в Windows Vista, Windows Server 2008 и операционных системах более поздних версий используется служба профилей пользователей. Все эти системы используют SMB.
Служба перенаправления папок перенаправляет пользовательские данные с локального компьютера в удаленный файловый ресурс с использованием SMB.
Система основного компьютера для Windows является частью служб перемещаемых профилей пользователей и автономных файлов. Система основного компьютера предоставляет возможность запретить кэширование данных на компьютерах, не авторизованных администраторами для определенных пользователей. Система основного компьютера определяет конфигурацию с помощью LDAP и не выполняет передачу данных с использованием SMB; она меняет поведение служб автономных файлов и перемещаемых профилей пользователей, установленное по умолчанию. Эта система была добавлена в Windows Server 2012.
Имена системных служб: ProfSvc, CscService
| Протокол приложений | Протокол | Порты |
|---|---|---|
| SMB | TCP | 445 |
| Глобальный каталог | TCP | 3269 |
| Глобальный каталог | TCP | 3268 |
| Сервер LDAP | TCP | 389 |
| Сервер LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
Журналы и оповещения производительности
Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба журналов и оповещений производительности запускает или останавливает каждый сбор именованных данных о производительности. Эта служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.
Имя системной службы: SysmonLog
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба сеансов NetBIOS | TCP | 139 |
Очередь печати принтера
Системная служба очереди печати принтера управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Очередь печати принтера является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например портами USB и протоколами семейства TCP/IP.
Имя системной службы: очередь печати
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Примечание.
Примечание. В службе очереди печати принтера используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Удаленная установка
Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot Execution Environment), которые поддерживают удаленную загрузку. Основной компонент сервера удаленной установки (RIS) — служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) — отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства «Установка компонентов Windows» добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.
Имя системной службы: BINLSVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| BINL | UDP | 4011 |
Удаленный вызов процедур (RPC)
Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли сопоставителя конечных точек RPC и диспетчера служб модели СОМ. Служба удаленного вызова процедур необходима для запуска многих других служб.
Имя системной службы: RpcSs
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| RPC по HTTPS | TCP | 593 |
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Примечание.
- RPC использует не только жестко закодированные порты, приведенные в таблице. Порты временного диапазона, используемые Active Directory и другими компонентами, возникают через RPC во временном диапазоне портов. Этот временный диапазон портов зависит от операционной системы сервера, к которому подключается операционная система клиента.
- В службах сопоставителя конечных точек RPC также используются именованные каналы. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Локатор удаленного вызова процедур (RPC)
Системная служба локатора удаленного вызова процедур (RPC) управляет базой данных службы RPC-имен. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию эта служба отключена.
Имя системной службы: RpcLocator
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Примечание.
В службе локатора RPC используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Уведомления удаленного хранилища
Системная служба уведомлений удаленного хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе. Если служба остановлена, отправка уведомлений прекращается.
Имя системной службы: Remote_Storage_User_Link
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Удаленное хранилище
С помощью системной службы удаленного хранилища редко используемые файлы сохраняются на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.
Имя системной службы: Remote_Storage_Server
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Маршрутизация и удаленный доступ
Служба маршрутизации и удаленного доступа обеспечивает многопротокольные функции маршрутизации типа «локальная сеть – локальная сеть», «локальная сеть – глобальная сеть», VPN и NAT, а также функции подключения удаленного доступа и удаленного доступа по сети VPN. Эта служба может использовать все перечисленные ниже протоколы, однако часто ограничивается только некоторыми из них. Например, если под защитой осуществляющего фильтрацию маршрутизатора настроен шлюз виртуальной частной сети, то, как правило, применяется только один протокол. Если используется протокол L2TP с безопасностью IPSec, необходимо разрешить протоколам IPSec ESP (50, протокол IP), NAT-T (UDP на порте 4500) и IPSec ISAKMP (UDP на порте 500) проходить через маршрутизатор.
Примечание.
Несмотря на то, что протоколы NAT-T и IPSec ISAKMP требуются для L2TP, эти порты контролируются локальной системой безопасности. Дополнительные сведения по этой теме см. в разделе Ссылки.
Имя системной службы: удаленный доступ
| Протокол приложений | Протокол | Порты |
|---|---|---|
| GRE (47, протокол IP) | GRE | н/д |
| IPSec AH (51, протокол IP) | AH | н/д |
| IPSec ESP (50, протокол IP) | ESP | н/д |
| L2TP | UDP | 1701 |
| PPTP | TCP | 1723 |
Сервер
Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.
Примечание.
Если имя компьютера разрешается в несколько IP-адресов с помощью службы WINS или в случае ее сбоя с помощью DNS, то служба NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 139 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.
Порты NetBIOS, которые перечислены здесь, являются необязательными. Windows 2000 и более новые клиенты могут работать через порт 445.
Имя системной службы: lanmanserver
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
SharePoint Portal Server
Системная служба SharePoint Portal Server позволяет разработать портал со встроенной логикой для объединения пользователей, групп и знаний, Это позволяет обмениваться релевантной информацией между различными бизнес-процессами. Microsoft SharePoint Portal Server 2003 представляет собой приложение, которое объединяет данные из разных систем в одном решении путем применения функций единого входа в систему и интеграции приложений предприятия.
| Протокол приложений | Протокол | Порты |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
Протокол SMTP
Системная служба протокола SMTP — это агент отправки и пересылки электронной почты. Она принимает и ставит в очередь почтовые сообщения для удаленных получателей, а также через определенные интервалы времени повторяет попытки отправки. Контроллеры домена Windows используют службу SMTP для межузловой репликации с помощью электронной почты. Объекты совместной работы (Collaboration Data Object, CDO) для компонента СОМ из состава Windows Server 2003 с помощью службы SMTP передают и ставят в очередь исходящие почтовые сообщения.
Имя системной службы: SMTPSVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| SMTP | TCP | 25 |
Простые службы TCP/IP
Простые службы TCP/IP реализуют поддержку для следующих протоколов:
- Echo, порт 7, спецификация RFC 862
- Discard, порт 9, спецификация RFC 863
- Character Generator, порт 19, спецификация RFC 864
- Daytime, порт 13, спецификация RFC 867
- Quote of the Day, порт 17, спецификация RFC 865
Имя системной службы: SimpTcp
| Протокол приложений | Протокол | Порты |
|---|---|---|
Chargen |
TCP | 19 |
Chargen |
UDP | 19 |
| Daytime | TCP | 13 |
| Daytime | UDP | 13 |
| Discard | TCP | 9 |
| Discard | UDP | 9 |
| Эхо | TCP | 7 |
| Эхо | UDP | 7 |
Quotd |
TCP | 17 |
| Quoted | UDP | 17 |
Служба SNMP
Служба SNMP позволяет службе локального компьютера обслуживать входящие запросы протокола SNMP. Она включает в себя агенты, осуществляющие мониторинг работы сетевых устройств и сообщающих результаты на рабочую станцию сетевой консоли. Служба SNMP предоставляет метод управления узлами сети (например, рабочими станциями, компьютерами-серверами, маршрутизаторами, мостами и концентраторами) с центрального компьютера, на котором запущено соответствующее программное обеспечение для управления сетями. Для выполнения своих функций служба SNMP использует распределенную модель агентов и систем управления.
Имя системной службы: SNMP
| Протокол приложений | Протокол | Порты |
|---|---|---|
| SNMP | UDP | 161 |
Служба ловушек SNMP
Служба ловушек SNMP принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP, и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба настроена для агента, она создает сообщения перехвата, когда происходят определенные события. Такие сообщения отправляются по адресу назначения ловушки. Например, агент может инициировать ловушку проверки подлинности, если нераспознанная система управления отправляет запрос на получение данных. Адресом назначения ловушки может быть имя компьютера, IP-адрес или адрес IPX (Internetwork Packet Exchange) системы управления; на таком узле должна быть запущена программа управления SNMP и обеспечена поддержка работы в сети.
Имя системной службы: SNMPTRAP
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Исходящие ловушки SNMP | UDP | 162 |
Служба обнаружения SSDP
Служба обнаружения SSDP реализует протокол SSDP в качестве службы Windows. Эта служба управляет приемом извещений о присутствии устройств, обновляет свой кэш и передает эти извещения клиентам с невыполненными запросами поиска. Кроме того, она регистрирует обратные вызовы событий от клиентов. Затем зарегистрированные обратные вызовы событий преобразуются в запросы подписки. Далее служба обнаружения SSDP наблюдает за уведомлениями о событиях и отправляет эти запросы в зарегистрированные обратные вызовы. Эта системная служба также обеспечивает устройства периодическими объявлениями. В настоящее время служба уведомления о событиях SSDP использует TCP-порт 5000.
Примечание.
Начиная с Windows XP с пакетом обновления 2 (SP2), служба уведомления о событиях SSDP использует TCP-порт 2869.
Имя системной службы: SSDPRSR
| Протокол приложений | Протокол | Порты |
|---|---|---|
| SSDP | UDP | 1900 |
| Уведомление о событиях SSDP | TCP | 2869 |
| Уведомление о событиях SSDP (традиционный) | TCP | 5000 |
Сервер печати TCP/IP
Системная служба сервера печати TCP/IP позволяет производить печать TCP/IP путем использования протокола LPD (Line Printer Daemon). Служба LPD на сервере получает документы от программ LPR (Line Printer Remote), запущенных на компьютерах под управлением операционных систем UNIX.
Имя системной службы: LPDSVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| LPD | TCP | 515 |
Telnet
Системная служба Telnet для Windows используется клиентами Telnet для проведения сеансов терминального доступа в формате ASCII. Сервер Telnet поддерживает два вида проверки подлинности, а также следующие типы терминалов:
- American National Standards Institute (ANSI)
- VT-100
- VT-52
- VTNT
Имя системной службы: TlntSvr
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Telnet | TCP | 23 |
Службы удаленных рабочих столов (RDS)
RDS предоставляет многосеансовую среду, которая позволяет клиентским устройствам получать доступ к сеансу виртуального рабочего стола Windows и программам под управлением Windows, работающим на сервере. RDS позволяет нескольким пользователям подключаться к компьютеру в интерактивном режиме.
Имя системной службы: службы терминалов
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RDS | TCP | 3389 |
| RDS | UDP | 3389 |
Лицензирование RDS (RDSL)
Системная служба RDSL устанавливает сервер лицензирования и предоставляет лицензии зарегистрированным клиентам, когда клиенты подключаются к серверу RDS (серверу с включенным RDS). RDSL — это служба с низким уровнем влияния, которая хранит клиентские лицензии, выданные для сервера RDS, и отслеживает лицензии, выданные клиентским компьютерам или серверам.
Имя системной службы: TermServLicensing
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
| Служба датаграмм NetBIOS | UDP | 138 |
| Разрешение имен NetBIOS | UDP | 137 |
| Служба сеансов NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Примечание.
RDSL предлагает свои службы с помощью RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».
Брокер подключений к удаленному рабочему столу
Системная служба посредника подключений к удаленному рабочему столу позволяет кластерам серверов RDS с балансировкой нагрузки правильно направлять запрос на подключение пользователя к серверу, где у пользователя уже запущен сеанс. Пользователи направляются на первый доступный сервер RDS независимо от того, выполняется ли еще один сеанс в кластере серверов. С помощью сетевого протокола TCP/IP балансировка сетевой нагрузки производит объединение в общем пуле вычислительных мощностей нескольких серверов. Эту службу можно использовать вместе с кластером серверов RDS для повышения производительности одного сервера RDS путем распределения сеансов между несколькими серверами. Брокер подключений к удаленному рабочему столу отслеживает отключенные сеансы в кластере и обеспечивает повторное подключение пользователей к этим сеансам.
Имя системной службы: Tssdis
| Протокол приложений | Протокол | Порты |
|---|---|---|
| RPC | TCP | 135 |
| Произвольно назначенные порты TCP с большими номерами¹ | TCP | случайный номер порта в диапазоне от 49152 до 65535 |
¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.
Управляющая программа элементарного протокола FTP
Системная служба управляющей программы элементарного протокола FTP не требует имени пользователя и пароля и является неотъемлемой частью служб удаленной установки (RIS). Служба обеспечивает поддержку протокола TFTP (Trivial FTP Protocol), который определен в следующих спецификациях RFC:
- RFC 1350 – TFTP
- RFC 2347 – Option extension
- RFC 2348 – Block size option
- RFC 2349 – интервал времени ожидания и варианты размеров передачи
Элементарный протокол передачи файлов (Trivial File Transfer Protocol, TFTP) — это FTP-протокол, который поддерживает среды бездискового запуска. Служба TFTP прослушивает порт 69 UDP, но отвечает с произвольно назначенного порта с большим номером. Таким образом, когда порт включен, служба TFTP принимает входящие TFTP-запросы, но не позволяет выбранному серверу отвечать на них. Эта служба может ответить на любой из таких запросов с произвольного порта источника, а удаленный клиент затем использует этот порт на протяжении сеанса передачи данных. Обмен данными носит двунаправленный характер. Чтобы протокол мог функционировать через брандмауэр, необходимо открыть UDP-порт 69 для приема входящего трафика. После этого настройте брандмауэр таким образом, чтобы он динамически разрешал службе отвечать на запросы, временно открывая любой другой порт.
Имя системной службы: tftpd
| Протокол приложений | Протокол | Порты |
|---|---|---|
| TFTP | UDP | 69 |
Узел универсальных PNP-устройств
Системная служба обнаружения узла универсальных PNP-устройств содержит все компоненты, необходимые для регистрации и управления устройствами, а также ответа на события, связанные с обслуживаемыми устройствами. Зарегистрированные сведения об устройстве (такие как описание, время жизни, контейнеры) могут быть сохранены на диске и объявляются в сети после регистрации или перезагрузки операционной системы. В дополнение к описаниям служб и странице представления служба содержит веб-сервер, который обслуживает устройство.
Имя системной службы: UPNPHost
| Протокол приложений | Протокол | Порты |
|---|---|---|
| UPNP | TCP | 2869 |
Служба WINS
Служба WINS (Windows Internet Name Service) обеспечивает разрешение имен NetBIOS. Она позволяет обнаруживать сетевые ресурсы по именам NetBIOS. Использование серверов WINS обязательно, кроме случаев, когда во всех доменах установлена служба каталогов Active Directory, и все компьютеры сети находятся под управлением Windows 2000 или более поздней версии. Серверы WINS обмениваются данными с клиентами сети с помощью разрешения имен NetBIOS. Репликация WINS требуется только между серверами WINS.
Имя системной службы: WINS
| Протокол приложений | Протокол | Порты |
|---|---|---|
| Разрешение имен NetBIOS | UDP | 137 |
| Репликация WINS | TCP | 42 |
| Репликация WINS | UDP | 42 |
Службы Windows Media
В Windows Server 2003 и в более поздних версиях службы Windows Media заменяют следующие компоненты служб Windows Media версий 4.0 и 4.1:
- Windows Media Monitor Service
- Windows Media Program Service
- Windows Media Station Service
- Служба Windows Media Unicast
На данный момент службы Windows Media являются единой службой, работающей на Windows Server. Основные компоненты этой службы были разработаны с помощью модели СОМ. Гибкая архитектура службы позволяет настраивать ее для отдельных программ. Службы Windows Media поддерживают большое количество управляющих протоколов, включая RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) и НТТР.
Имя системной службы: WMServer
| Протокол приложений | Протокол | Порты |
|---|---|---|
| HTTP | TCP | 80 |
| MMS | TCP | 1755 |
| MMS | UDP | 1755 |
| MS Theater | UDP | 2460 |
| RTCP | UDP | 5005 |
| RTP | UDP | 5004 |
| RTSP | TCP | 554 |
Удаленное управление Windows (WinRM)
Имя системной службы: WinRM
| Протокол приложений | Протокол | Порты |
|---|---|---|
| WinRM 1.1 и более ранние версии | TP | Порт HTTP по умолчанию — TCP 80, а порт HTTPS по умолчанию — TCP 443. |
| WinRM 2.0 | TP | Порт HTTP по умолчанию — TCP 5985, а порт HTTPS по умолчанию — TCP 5986. |
Дополнительные сведения см. в разделе Установка и настройка удаленного управления Windows.
Служба времени Windows
Системная служба времени Windows поддерживает синхронизацию даты и времени на всех компьютерах в сети, работающих под управлением Windows XP или последующих версий и Windows Server 2003 или последующих версий. Эта служба использует протокол NTP (Network Time Protocol) для синхронизации часов компьютера, что позволяет назначать запросам на проверку подлинности в сети и на получение доступа к ресурсам точное значение (метку) времени. Реализация протокола NTP и интеграция поставщиков времени делают службу времени Windows надежной и масштабируемой. На компьютере, который не входит в состав домена, службу времени можно настроить на проведение синхронизации с внешним источником времени. Если служба отключена, время на локальном компьютере не синхронизируется со службой времени в домене Windows или внешней службой времени. В Windows Server 2003 используется протокол NTP (работает на порте 123 UDP), а в Windows 2000 — протокол SNTP (Simple Network Time Protocol) (также работает на порте 123 UDP).
Если в службе времени Windows используется конфигурация домена Windows, для работы службы требуются локатор контроллера домена и службы проверки подлинности. Таким образом, требуются порты для протоколов Kerberos и DNS.
Имя системной службы: W32Time
| Протокол приложений | Протокол | Порты |
|---|---|---|
| NTP | UDP | 123 |
| SNTP | UDP | 123 |
служба веб-публикации;
Служба веб-публикаций обеспечивает инфраструктуру, которая необходима для регистрации, управления, мониторинга и обслуживания веб-сайтов и программ, зарегистрированных на сервере IIS. В состав службы входит диспетчер процессов и диспетчер конфигурации. Диспетчер процессов управляет процессами пользовательских приложений и веб-сайтов. Диспетчер конфигурации считывает сохраненную системную конфигурацию службы веб-публикации и обеспечивает маршрутизацию НТТР-запросов соответствующему пулу приложений или процессу операционной системы с помощью параметров файла Http.sys. Порты, которые используются службой, можно настраивать с помощью оснастки диспетчера IIS. Если включен административный веб-сайт, то создается виртуальный веб-сайт, который использует трафик HTTP в TCP-порте 8098.
Имя системной службы: W3SVC
| Протокол приложений | Протокол | Порты |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
Порты и протоколы
В приведенной ниже таблице обобщаются сведения раздела Порты системных служб. Таблица отсортирована по номерам портов, а не по названиям служб.
| Порт | Протокол | Протокол приложений | Имя системной службы |
|---|---|---|---|
| н/д | GRE | GRE (47, протокол IP) | Маршрутизация и удаленный доступ |
| н/д | ESP | IPSec ESP (50, протокол IP) | Маршрутизация и удаленный доступ |
| н/д | AH | IPSec AH (51, протокол IP) | Маршрутизация и удаленный доступ |
| 7 | TCP | Эхо | Простые службы TCP/IP |
| 7 | UDP | Эхо | Простые службы TCP/IP |
| 9 | TCP | Discard | Простые службы TCP/IP |
| 9 | UDP | Discard | Простые службы TCP/IP |
| 13 | TCP | Daytime | Простые службы TCP/IP |
| 13 | UDP | Daytime | Простые службы TCP/IP |
| 17 | TCP | Quotd |
Простые службы TCP/IP |
| 17 | UDP | Quotd |
Простые службы TCP/IP |
| 19 | TCP | Chargen |
Простые службы TCP/IP |
| 19 | UDP | Chargen |
Простые службы TCP/IP |
| 20 | TCP | FTP-данные по умолчанию | Служба публикации FTP |
| 21 | TCP | Управление FTP | Служба публикации FTP |
| 21 | TCP | Управление FTP | Служба шлюза уровня приложения |
| 23 | TCP | Telnet | Telnet |
| 25 | TCP | SMTP | Протокол SMTP |
| 25 | TCP | SMTP | Exchange Server |
| 42 | TCP | Репликация WINS | Служба WINS |
| 42 | UDP | Репликация WINS | Служба WINS |
| 53 | TCP | DNS | DNS-сервер |
| 53 | UDP | DNS | DNS-сервер |
| 53 | TCP | DNS | Общий доступ к подключению Интернета / брандмауэр подключения к Интернету |
| 53 | UDP | DNS | Общий доступ к подключению Интернета / брандмауэр подключения к Интернету |
| 67 | UDP | DHCP-сервер | DHCP-сервер |
| 67 | UDP | DHCP-сервер | Общий доступ к подключению Интернета / брандмауэр подключения к Интернету |
| 69 | UDP | TFTP | Служба управляющей программы элементарного протокола FTP |
| 80 | TCP | HTTP | Службы Windows Media |
| 80 | TCP | HTTP | WinRM 1.1 и более ранние версии |
| 80 | TCP | HTTP | служба веб-публикации; |
| 80 | TCP | HTTP | SharePoint Portal Server |
| 88 | TCP | Kerberos; | Центр распространения ключей Kerberos |
| 88 | UDP | Kerberos; | Центр распространения ключей Kerberos |
| 102 | TCP | X.400 | Стеки агента передачи сообщений Microsoft Exchange |
| 110 | TCP | POP3 | Служба Microsoft POP3 |
| 110 | TCP | POP3 | Exchange Server |
| 119 | TCP | NNTP | Протокол NNTP |
| 123 | UDP | NTP | Служба времени Windows |
| 123 | UDP | SNTP | Служба времени Windows |
| 135 | TCP | RPC | Очереди сообщений |
| 135 | TCP | RPC | Удаленный вызов процедур |
| 135 | TCP | RPC | Exchange Server |
| 135 | TCP | RPC | Службы сертификации |
| 135 | TCP | RPC | Служба кластеров |
| 135 | TCP | RPC | Пространства имен распределенной файловой системы |
| 135 | TCP | RPC | Отслеживание изменившихся связей |
| 135 | TCP | RPC | Координатор распределенных транзакций |
| 135 | TCP | RPC | Служба репликации распределенной файловой системы |
| 135 | TCP | RPC | Служба факсов |
| 135 | TCP | RPC | Microsoft Exchange Server |
| 135 | TCP | RPC | Служба репликации файлов |
| 135 | TCP | RPC | Групповая политика |
| 135 | TCP | RPC | Локальная система безопасности |
| 135 | TCP | RPC | Уведомления удаленного хранилища |
| 135 | TCP | RPC | Удаленное хранилище |
| 135 | TCP | RPC | Systems Management Server 2.0 |
| 135 | TCP | RPC | RDSL |
| 135 | TCP | RPC | Брокер подключений к удаленному рабочему столу |
| 137 | UDP | Разрешение имен NetBIOS | Браузер компьютеров |
| 137 | UDP | Разрешение имен NetBIOS | Сервер |
| 137 | UDP | Разрешение имен NetBIOS | Служба WINS |
| 137 | UDP | Разрешение имен NetBIOS | Сетевой вход в систему |
| 137 | UDP | Разрешение имен NetBIOS | Systems Management Server 2.0 |
| 138 | UDP | Служба датаграмм NetBIOS | Браузер компьютеров |
| 138 | UDP | Служба датаграмм NetBIOS | Сервер |
| 138 | UDP | Служба датаграмм NetBIOS | Сетевой вход в систему |
| 138 | UDP | Служба датаграмм NetBIOS | Распределенная файловая система |
| 138 | UDP | Служба датаграмм NetBIOS | Systems Management Server 2.0 |
| 138 | UDP | Служба датаграмм NetBIOS | Служба учета лицензий |
| 139 | TCP | Служба сеансов NetBIOS | Браузер компьютеров |
| 139 | TCP | Служба сеансов NetBIOS | Служба факсов |
| 139 | TCP | Служба сеансов NetBIOS | Журналы и оповещения производительности |
| 139 | TCP | Служба сеансов NetBIOS | Очередь печати принтера |
| 139 | TCP | Служба сеансов NetBIOS | Сервер |
| 139 | TCP | Служба сеансов NetBIOS | Сетевой вход в систему |
| 139 | TCP | Служба сеансов NetBIOS | Локатор удаленного вызова процедур |
| 139 | TCP | Служба сеансов NetBIOS | Пространства имен распределенной файловой системы |
| 139 | TCP | Служба сеансов NetBIOS | Systems Management Server 2.0 |
| 139 | TCP | Служба сеансов NetBIOS | Служба учета лицензий |
| 143 | TCP | IMAP | Exchange Server |
| 161 | UDP | SNMP | Служба SNMP |
| 162 | UDP | Исходящие ловушки SNMP | Служба ловушек SNMP |
| 389 | TCP | Сервер LDAP | Локальная система безопасности |
| 389 | UDP | Локатор контроллеров домена | Локальная система безопасности |
| 389 | TCP | Сервер LDAP | Пространства имен распределенной файловой системы |
| 389 | UDP | Локатор контроллеров домена | Пространства имен распределенной файловой системы |
| 389 | UDP | Локатор контроллеров домена | Netlogon |
| 389 | UDP | Локатор контроллеров домена | Центр распространения ключей Kerberos |
| 389 | TCP | Сервер LDAP | Репликация распределенной файловой системы |
| 389 | UDP | Локатор контроллеров домена | Репликация распределенной файловой системы |
| 443 | TCP | HTTPS | HTTP SSL |
| 443 | TCP | HTTPS | служба веб-публикации; |
| 443 | TCP | HTTPS | SharePoint Portal Server |
| 443 | TCP | RPC по HTTPS | Exchange Server 2003 |
| 443 | TCP | HTTPS | WinRM 1.1 и более ранние версии |
| 445 | TCP | SMB | Служба факсов |
| 445 | TCP | SMB | Очередь печати принтера |
| 445 | TCP | SMB | Сервер |
| 445 | TCP | SMB | Локатор удаленного вызова процедур |
| 445 | TCP | SMB | Пространства имен распределенной файловой системы |
| 445 | TCP | SMB | Репликация распределенной файловой системы |
| 445 | TCP | SMB | Служба учета лицензий |
| 445 | TCP | SMB | Сетевой вход в систему |
| 464 | UDP | Пароль Kerberos версии 5 | Центр распространения ключей Kerberos |
| 464 | TCP | Пароль Kerberos версии 5 | Центр распространения ключей Kerberos |
| 500 | UDP | IPsec ISAKMP | Локальная система безопасности |
| 515 | TCP | LPD | Сервер печати TCP/IP |
| 554 | TCP | RTSP | Службы Windows Media |
| 563 | TCP | NNTP по SSL | Протокол NNTP |
| 593 | TCP | Сопоставитель конечных точек RPC по HTTPS | Удаленный вызов процедур |
| 593 | TCP | RPC по HTTPS | Exchange Server |
| 636 | TCP | LDAP SSL | Локальная система безопасности |
| 636 | UDP | LDAP SSL | Локальная система безопасности |
| 647 | TCP | Отработка отказа DHCP | Отработка отказа DHCP |
| 9389 | TCP | Веб-службы Active Directory (ADWS) | Веб-службы Active Directory (ADWS) |
| 9389 | TCP | Веб-службы Active Directory (ADWS) | Служба Active Directory Management Gateway Service |
| 993 | TCP | IMAP по SSL | Exchange Server |
| 995 | TCP | POP3 по SSL | Exchange Server |
| 1067 | TCP | Служба Installation Bootstrap Service | Сервер протокола Installation Bootstrap |
| 1068 | TCP | Служба Installation Bootstrap Service | Клиент протокола Installation Bootstrap |
| 1270 | TCP | MOM-Encrypted | Microsoft Operations Manager 2000 |
| 1433 | TCP | SQL по TCP | Microsoft SQL Server |
| 1433 | TCP | SQL по TCP | MSSQL$UDDI |
| 1434 | UDP | SQL Probe | Microsoft SQL Server |
| 1434 | UDP | SQL Probe | MSSQL$UDDI |
| 1645 | UDP | Традиционный RADIUS | Служба проверки подлинности в Интернете |
| 1646 | UDP | Традиционный RADIUS | Служба проверки подлинности в Интернете |
| 1701 | UDP | L2TP | Маршрутизация и удаленный доступ |
| 1723 | TCP | PPTP | Маршрутизация и удаленный доступ |
| 1755 | TCP | MMS | Службы Windows Media |
| 1755 | UDP | MMS | Службы Windows Media |
| 1801 | TCP | MSMQ | Очереди сообщений |
| 1801 | UDP | MSMQ | Очереди сообщений |
| 1812 | UDP | Проверка подлинности RADIUS | Служба проверки подлинности в Интернете |
| 1813 | UDP | Учетные данные RADIUS | Служба проверки подлинности в Интернете |
| 1900 | UDP | SSDP | Служба обнаружения SSDP |
| 2101 | TCP | MSMQ-DCs | Очереди сообщений |
| 2103 | TCP | MSMQ-RPC | Очереди сообщений |
| 2105 | TCP | MSMQ-RPC | Очереди сообщений |
| 2107 | TCP | MSMQ-Mgmt | Очереди сообщений |
| 2393 | TCP | OLAP Services 7.0 | SQL Server: поддержка клиентов OLAP нижнего уровня |
| 2394 | TCP | OLAP Services 7.0 | SQL Server: поддержка клиентов OLAP нижнего уровня |
| 2460 | UDP | MS Theater | Службы Windows Media |
| 2535 | UDP | MADCAP | DHCP-сервер |
| 2701 | TCP | SMS Remote Control (управление) | Агент удаленного управления SMS |
| 2701 | UDP | SMS Remote Control (управление) | Агент удаленного управления SMS |
| 2702 | TCP | SMS Remote Control (данные) | Агент удаленного управления SMS |
| 2702 | UDP | SMS Remote Control (данные) | Агент удаленного управления SMS |
| 2703 | TCP | SMS Remote Chat | Агент удаленного управления SMS |
| 2703 | UPD | SMS Remote Chat | Агент удаленного управления SMS |
| 2704 | TCP | SMS Remote File Transfer | Агент удаленного управления SMS |
| 2704 | UDP | SMS Remote File Transfer | Агент удаленного управления SMS |
| 2725 | TCP | Службы SQL Analysis Services | Службы SQL Server Analysis Services |
| 2869 | TCP | UPNP | Узел универсальных PNP-устройств |
| 2869 | TCP | Уведомление о событиях SSDP | Служба обнаружения SSDP |
| 3268 | TCP | Глобальный каталог | Локальная система безопасности |
| 3269 | TCP | Глобальный каталог | Локальная система безопасности |
| 3343 | UDP | Службы кластеров | Служба кластеров |
| 3389 | TCP | RDS | RDS |
| 3389 | UDP | RDS | RDS |
| 3527 | UDP | MSMQ-Ping | Очереди сообщений |
| 4011 | UDP | BINL | Удаленная установка |
| 4500 | UDP | NAT-T | Локальная система безопасности |
| 5000 | TCP | Уведомление о событиях SSDP (традиционный) | Служба обнаружения SSDP |
| 5004 | UDP | RTP | Службы Windows Media |
| 5005 | UDP | RTCP | Службы Windows Media |
| 5722 | TCP | RPC | Репликация распределенной файловой системы |
| 6001 | TCP | Банк данных | Exchange Server 2003 |
| 6002 | TCP | Directory Referral | Exchange Server 2003 |
| 6004 | TCP | DSProxy/NSPI | Exchange Server 2003 |
| 42424 | TCP | Состояние сеанса ASP.NET | Служба состояния ASP.NET |
| 51515 | TCP | MOM-Clear | Microsoft Operations Manager 2000 |
| 5985 | TCP | HTTP | WinRM 2.0 |
| 5986 | TCP | HTTPS | WinRM 2.0 |
| 1024–65535 | TCP | RPC | Произвольно назначенные порты TCP с большими номерами |
| 135 | TCP | WMI | Служба Hyper-V |
| произвольный номер порта в диапазоне от 49152 до 65535 | TCP | Произвольно назначенные порты TCP с большими номерами | Служба Hyper-V |
| 80 | TCP | Проверка подлинности Kerberos (HTTP) | Служба Hyper-V |
| 443 | TCP | Проверка подлинности на основе сертификата (HTTPS) | Служба Hyper-V |
| 6600 | TCP | Динамическая миграция | Динамическая миграция Hyper-V |
| 445 | TCP | SMB | Динамическая миграция Hyper-V |
| 3343 | UDP | Трафик службы кластеров | Динамическая миграция Hyper-V |
Примечание.
Порт 5722 использовался только в контроллерах доменов Windows Server 2008 или Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012. Порт 445 используется DFSR только при создании новой пустой реплицированной папки.
Часть этих сведений в формате книги Microsoft Excel можно загрузить с веб-сайта Центра загрузки Майкрософт.
Требования к портам и протоколам Active Directory
Серверам приложений, клиентским компьютерам и контроллерам домена, которые расположены в одном лесу или во внешних лесах, для правильного выполнения инициированных пользователями или компьютерами операций, таких как присоединение к домену, проверка подлинности входа в систему, удаленное администрирование и репликация Active Directory, необходимы соответствующие зависимости служб. Эти службы и операции используют сетевые подключения по определенным портам и сетевым протоколам.
Ниже представлен обобщенный список служб, портов и протоколов, необходимых рядовым компьютерам и контроллерам домена для взаимодействия друг с другом, а серверам приложений — для получения доступа к Active Directory.
Список служб, от которых зависит Active Directory:
- Active Directory/LSA
- Браузер компьютеров
- Пространства имен распределенной файловой системы
- Репликация распределенной файловой системы (если не используется FRS для репликации SYSVOL)
- Служба репликации файлов (если не используется DFSR для репликации SYSVOL)
- Центр распространения ключей Kerberos
- Сетевой вход в систему
- Удаленный вызов процедур (RPC)
- Сервер
- Протокол SMTP
- WINS (в Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версиях для резервных репликаций Active Directory, если служба DNS не работает)
- Служба времени Windows
- служба веб-публикации;
Список служб, для которых требуются службы Active Directory:
- Службы сертификации (нужны в системах с определенной конфигурацией)
- DHCP-сервер
- Пространства имен распределенной файловой системы (при использовании доменных пространств имен)
- Репликация распределенной файловой системы
- Сервер отслеживания изменившихся связей
- Координатор распределенных транзакций
- DNS-сервер
- Служба факсов
- Служба репликации файлов
- Служба проверки подлинности в Интернете
- Учет лицензий
- Сетевой вход в систему
- Очередь печати принтера
- Удаленная установка
- Локатор удаленного вызова процедур (RPC)
- Уведомления удаленного хранилища
- Удаленное хранилище
- Маршрутизация и удаленный доступ
- Сервер
- Протокол SMTP
- RDS
- RDSL
- Брокер подключений к удаленному рабочему столу
Ссылки
Файлы справки для описанных в этой статье продуктов Майкрософт содержат дополнительные сведения по настройке программ.
Сведения о брандмауэрах и портах доменных служб Active Directory см. в разделе Настройка брандмауэра для доменов Active Directory и отношений доверия.
Общие сведения
Дополнительные сведения об обеспечении безопасности Windows Server и примеры фильтров IPSec для отдельных ролей сервера см. в разделе Microsoft Security Compliance Manager. Это средство объединяет все предыдущие рекомендации по обеспечению безопасности и документацию по безопасности в единую служебную программу для всех поддерживаемых операционных систем Майкрософт.
- Базовые настройки безопасности Windows
- Базовый план безопасности Windows Server 2008 R2
- Базовый план безопасности Windows Server 2008
- Базовый план безопасности Windows Server 2003
- Базовый план безопасности Windows 7
- Базовый план безопасности Windows Vista
- Базовый план безопасности Windows XP
Дополнительные сведения о службах, параметрах безопасности и фильтрах IPsec операционной системы см. в одном из следующих руководств по угрозам и мерам противодействия.
- Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2008 R2 и Windows 7
- Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2008 и Windows Vista
- Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2003 и Windows XP
Дополнительные сведения см. в указанных ниже статьях.
- Сетевые порты, используемые ключевыми продуктами Microsoft Server
- Active Directory и требования к порту доменных служб Active Directory.
Использование стандартных портов координируется агентством IANA (Internet Assigned Numbers Authority). Список назначений портов TCP/IP этой организации представлен в реестре наименований служб и портов транспортных протоколов.
Удаленный вызов процедур и модель DCOM
Подробное описание RPC см. в разделе Удаленный вызов процедур (RPC).
Дополнительные сведения о настройке RPC для работы с брандмауэром см. в разделе Настройка динамического выделения портов RPC для работы с брандмауэрами.
Дополнительные сведения о протоколе RPC и инициализации компьютеров под управлением Windows 2000 см. в разделе Анализ трафика во время загрузки и входа в систему Windows 2000.
Контроллеры домена и служба Active Directory
Дополнительные сведения о том, как ограничить репликацию Active Directory и трафик для входа клиента, см. в разделе Ограничение трафика репликации Active Directory и клиентского трафика RPC в определенный порт.
Описание того, как связаны системный агент каталога, LDAP и администратор локальной системы см. в разделе Системный агент каталога.
Дополнительные сведения о работе LDAP и глобального каталога см. в разделе Как работает глобальный каталог.
Exchange Server
Сведения о портах, проверке подлинности и шифровании для всех путей к данным, используемых Microsoft Exchange Server, см. в разделе Сетевые порты для клиентов и поток обработки почты в Exchange.
В зависимости от среды может потребоваться принять во внимание дополнительные компоненты. Более подробные сведения и справку о планировании реализации сервера Exchange см. на следующих веб-сайтах корпорации Майкрософт.
Дополнительную информацию см. в разделе Настройка мобильного Outlook в Outlook 2013.
Служба репликации распределенной файловой системы
Служба репликации распределенной файловой системы включает запускаемое из командной строки средство Dfsrdiag.exe. С помощью Dfsrdiag.exe можно устанавливать порт сервера RPC, используемый для администрирования и репликации. Процедура использования Dfsrdiag.exe для настройки RPC порта сервера приведена в следующем примере:
dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso.com
В этом примере nnnnn представляет один статический RPC-порт, который будет использоваться DFSR для репликации. Branch01.sales.contoso.com — DNS- или NetBIOS-имя конечного компьютера члена. Если компьютер не указан, Dfsrdiag.exe использует локальный компьютер.
Службы IIS
Дополнительные сведения о портах в IIS 6.0 см. в разделе Фильтрация портов TCP/IP.
Дополнительные сведения о протоколе FTP см. в следующих источниках:
Протокол MADCAP (Multicast Address Dynamic Client Allocation Protocol)
Дополнительные сведения о планировании серверов MADCAP см. в разделе Контрольный список: установка сервера MADCAP.
Очереди сообщений
Дополнительные сведения о портах, используемых в очереди сообщений (Майкрософт), см. в разделе Порты TCP, порты UDP и порты RPC, используемые в очереди сообщений.
Запускается из Microsoft Operations Manager
Дополнительные сведения о планировании и развертывании MOM см. в разделе Библиотека документации разработчика System Center.
RDS
Дополнительные сведения о настройке порта, используемого службой удаленных рабочих столов, см. в статье Изменение порта прослушивания для удаленного рабочего стола на компьютере.
Управление обменом данными через Интернет в Windows
Дополнительные сведения см. в разделе Использование Windows Server 2003 с пакетом обновления 1 (SP1) в управляемой среде: управление связью с Интернетом.
Службы Windows Media
Сведения о портах, используемых службами Windows Media, см. в разделе Выделение портов для служб Windows Media.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по