Поделиться через

Порты, используемые службами удаленных рабочих столов

В этой статье представлены порты, которые должны быть открыты на брандмауэрах, чтобы настроить службы удаленных рабочих столов (RDS) правильно.

Сведения и таксономия разбиваются по ролям, службам и компонентам, а также используются все входящие и исходящие порты.

От клиента к ресурсу RD

  • TCP 443 (HTTPS): требуется, если развернут RDWeb.
  • TCP и UDP 3389: стандартный порт протокола удаленного рабочего стола (RDP). Его можно настроить на другой номер порта на узле и клиенте.

Брокер подключений к удаленному рабочему столу (RDCB)

  • TCP 5504: используется для подключений к веб-доступу к удаленным рабочим столам.
  • TCP 3389: используется для подключений к узлу сеансов удаленных рабочих столах.
  • TCP 3389: используется для подключений к неуправляемых пулам виртуальных машин. Управляемые компьютеры используют шину виртуальной машины (VMBus) для открытия портов.
  • TCP 3389: порт клиента для клиентов, не использующих шлюз удаленных рабочих столов.
  • TCP 445 и RPC: используется для подключений к узлу виртуализации удаленных рабочих машин.
  • TCP 445 и RPC: используется для подключений к узлу сеансов удаленных рабочих столах.
  • TCP 5985: используется инструментарием управления Windows (WMI) и удаленное взаимодействие PowerShell для администрирования.

Шлюз удаленных рабочих столов

Входящий внешний интернет-трафик от клиентов удаленных рабочих столов к шлюзу

  • TCP 443: используется для HTTP (включая RPC по протоколу HTTP) по протоколу SSL. Этот порт можно настроить с помощью консоли управления шлюзом удаленных рабочих столов.

  • UDP 3391: используется для RDP по UDP. Этот порт можно настроить с помощью консоли управления шлюзом удаленных рабочих столов.

    Примечание.

    Брандмауэры с анализом UDP направления, например TMG, требуют настройки UDP "Отправить получение".

Внутренний трафик между шлюзом и необходимым пользователем AD, ресурсом AD, DNS, NPS и т. д.

  • TCP 88. Используется Kerberos для проверки подлинности пользователей.
  • TCP 135: используется с помощью средства сопоставления конечных точек RPC.
  • TCP 135: порт, который службы RPC NTDS прослушивают ad.
  • TCP и UDP 389: используется протоколом LDAP для проверки подлинности пользователей. Это необходимо при использовании LDAP для списков отзыва сертификатов (CRLS).
  • TCP и UDP 53: используется системой доменных имен (DNS) для разрешения внутренних имен ресурсов.
  • TCP 80: требуется при использовании HTTP для crLs.
  • TCP 21: требуется при использовании FTP для списков отзыва данных.
  • UDP 1812 и 1813: требуется, если используется сервер политики сети (NPS).
  • TCP 5985: используется WMI и удаленное взаимодействие PowerShell для администрирования.

Внутренний трафик из шлюза и внутренних ресурсов удаленных рабочих столов

  • TCP и UDP 3389: используется RDP.

    Примечание.

    Брандмауэры с анализом UDP направления, например TMG, требуют настройки UDP "Send Receive" в протоколе UDP.

Веб-доступ к удаленным рабочим столам

Если веб-доступ к удаленным рабочим столам находится в сети периметра, настройте следующие порты:

  • TCP: <фиксированный порт WMI>
  • TCP 5504: используется для подключений к RDCB для централизованной публикации.
  • TCP 5985: используется WMI и удаленное взаимодействие PowerShell для администрирования.

Узел сеансов удаленных рабочих столов

  • Сервер лицензий RD: порты RPC.
  • TCP 389 и 636: используется для связи AD.
  • TCP 5985: используется WMI и удаленное взаимодействие PowerShell для администрирования.

Узел виртуализации удаленных рабочих столов

  • Сервер лицензий RD: порты RPC.
  • TCP 389 и 636: используется для связи AD.
  • TCP 5985: используется WMI и удаленное взаимодействие PowerShell для администрирования.

Сервер лицензирования удаленных рабочих столов

Дополнительные сведения см. в разделе лицензирования RDS (RDSL).

TCP

  • TCP 135: используется для RPC для связи с сервером лицензий и узла сеансов удаленного рабочего стола.
  • TCP 1024-65535 (случайным образом выделяется): используется для RPC в версиях Windows Server, предшествующих Windows Server 2008.
  • TCP 49152-65535 (случайным образом выделяется): используется для RPC в Windows Server 2008 и более поздних версиях.
  • TCP 445: используется протоколом блока сообщений сервера (SMB).
  • TCP 443: используется для обмена данными через Интернет в Microsoft Clearing House.
  • TCP 5985: используется WMI и удаленное взаимодействие PowerShell для администрирования.
  • TCP 139: используется службой сеансов NetBIOS.

Дополнительные сведения см. в статье "Настройка динамического распределения портов RPC для работы с брандмауэрами".

NetBIOS

  • UDP 137: используется для разрешения имен NetBIOS.
  • UDP 138: используется службой datagram NetBIOS.
  • UDP и TCP 389: используется LDAP с лицензиями на клиентский доступ для каждого пользователя (ЦС) в AD.

С точки зрения прокси-сервера раздел HKLM\Software\Microsoft\TermServLicensing\lrwiz\Params реестра показывает службу Майкрософт, с которым взаимодействует сервер лицензий удаленных рабочих рабочих стола.