服务概述和网络端口要求Windows

本文讨论 Microsoft 客户端和服务器操作系统、基于服务器的程序及其在 Microsoft Windows Server 系统中使用的必需网络端口、协议和服务。 管理员和支持专业人员可以使用本文作为路线图来确定在分段网络中建立网络连接时 Microsoft 操作系统和程序需要哪些端口和协议。

适用于:  WindowsServer 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、版本 2004、Windows 10、版本 1909、Windows 10、版本 1903、Windows 7 Service Pack 1
原始 KB 编号:   832017

重要

本文包含多个对默认动态端口范围的引用。 在 Windows Server 2008 和更高版本以及 Windows Vista 和更高版本中,默认动态端口范围更改为以下范围:

  • 启动端口:49152
  • 结束端口:65535

Windows 2000、Windows XP 和 Windows Server 2003 使用以下动态端口范围:

  • 启动端口:1025
  • 结束端口:5000

这对你意味着什么:

  • 如果计算机网络环境仅使用 Windows Server 2012 或更高版本的 Windows,则必须在 49152 到 65535 的高端口范围内启用连接。
  • 如果计算机网络环境将 Windows Server 2012 与 Windows Server 2008 及 Windows Vista 之前版本的 Windows 一起使用,则必须在下列两个端口范围内启用连接:
    高端口范围 49152 至 65535
    低端口范围 1025 至 5000
  • 如果计算机网络环境仅使用 Windows Server 2008 和 Windows Vista 之前版本的 Windows Windows,则必须在 1025 到 5000 之间的低端口范围内启用连接。

有关默认动态端口范围的信息,请参阅 TCP/IP的默认动态端口范围已更改。

请勿使用本文中的端口信息配置防火墙Windows防火墙。 若要了解如何配置防火墙Windows,请参阅Windows高级安全防火墙。

the Windows Server system includes a comprehensive and integrated infrastructure to meet the requirements of developers and information technology (IT) professionals. 此系统运行可用于快速、轻松地获取、分析和共享信息的程序和解决方案。 这些 Microsoft 客户端、服务器和服务器程序产品使用不同的网络端口和协议来通过网络与客户端系统和其他服务器系统进行通信。 专用防火墙、基于主机的防火墙和 Internet 协议安全 (IPsec) 筛选器是您必须帮助保护网络的非常重要的组件。 但是,如果将这些技术配置为阻止特定服务器使用的端口和协议,则该服务器将不再响应客户端请求。

概述

以下列表概述了本文包含的信息:

  • " 系统服务端口" 部分:

    • 包含每个服务的简要说明。
    • 显示每个服务的逻辑名称。
    • 指示每个服务正确操作所需的端口和协议。

    使用此部分可帮助确定特定服务使用的端口和协议。

  • " 端口和协议" 部分包含一个表,其中汇总了"系统服务端口"部分的信息。 该表按端口号而不是服务名称排序。 使用此部分可以快速确定哪些服务侦听特定端口。

本文以特定方式使用某些术语。 为了帮助避免混淆,请确保您了解本文如何使用以下术语:

  • 系统服务:系统服务是作为应用程序的启动过程或操作系统启动过程的一部分自动加载的程序。 系统服务支持操作系统必须执行的不同任务。 例如,在运行 Windows Server 2003 Enterprise Edition的计算机上可用的某些系统服务包括服务器服务、打印后台处理程序服务和万维网发布服务。 每个系统服务都有一个 友好的服务名称和**一个服务名称。 友好服务名称是图形管理工具(如服务 Microsoft 管理控制台和 MMC 管理单元 () 名称。 服务名称是命令行工具和许多脚本语言一同使用的名称。 每个系统服务可能提供一个或多个网络服务。
  • 应用程序协议:本文中的应用程序协议是指使用一个或多个 TCP/IP 协议和端口的高级别网络协议。 应用程序协议的示例包括 HTTP、SMB (服务器) 简单邮件传输协议 (SMTP) 。
  • 协议:TCP/IP 协议是网络上设备之间通信的标准格式。 TCP/IP 协议的运行级别低于应用程序协议。 TCP/IP 协议套件包括 TCP、用户数据报协议 (UDP) 和 Internet 控制消息协议 (ICMP) 。
  • 端口:它是系统服务侦听传入网络流量的网络端口。

本文不指定哪些服务依赖于其他服务进行网络通信。 例如,许多服务依赖 Microsoft (RPC) 或 DCOM Windows远程过程调用功能来为其分配动态 TCP 端口。 远程过程调用服务协调使用 RPC 或 DCOM 与客户端计算机通信的其他系统服务的请求。 许多其他服务依赖于网络基本输入/输出系统 (NetBIOS) 或 SMB,即服务器服务提供的协议。 其他服务依赖于 HTTP 或超文本传输协议安全 (HTTPS) 。 这些协议由 IIS Internet Information Services (提供) 。 本文不讨论Windows操作系统的体系结构。 但是,有关此主题的详细文档可在 Microsoft TechNet 和 MSDN Microsoft 开发人员网络 (上) 获取。 尽管许多服务可能依赖于特定的 TCP 或 UDP 端口,但一次只能侦听一个服务或进程。

将 RPC 与 TCP/IP 或 UDP/IP 一起用作传输时,会经常根据需要动态地将传入端口分配给系统服务。 使用高于端口 1024 的 TCP/IP 和 UDP/IP 端口。 这些端口也称为随机 RPC 端口。 在这些情况下,RPC 客户端依赖 RPC 终结点映射器来告知它们向服务器分配了哪些动态端口或端口。 对于一些基于 RPC 的服务,可以配置特定端口,而不是让 RPC 动态分配端口。 还可以将 RPC 动态分配的端口范围限制为较小的范围,无论服务如何。 有关本主题的详细信息,请参阅参考部分。

本文包含有关"适用于"部分中列出的 Microsoft 产品的系统服务角色和服务器角色的信息。 虽然此信息还适用于 Windows XP 和 Microsoft Windows 2000 Professional,但本文侧重于服务器类操作系统。 因此,本文介绍服务侦听的端口,而不是客户端程序用于连接到远程系统的端口。

系统服务端口

本节提供每个系统服务的说明,包括与系统服务对应的逻辑名称,并显示每个服务所需的端口和协议。

Active Directory (本地安全机构)

Active Directory 在Lsass.exe下运行,包括域控制器的身份验证Windows复制引擎。 域控制器、客户端计算机和应用程序服务器需要通过特定的硬编码端口与 Active Directory 建立网络连接。 此外,除非使用隧道协议将流量封装到 Active Directory,否则需要介于 1024 到 5000 和 49152 到 65535 之间的临时 TCP 端口范围。

备注

  • 如果计算机网络环境仅使用 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista,则必须在 49152 到 65535 的高端口范围内启用连接。

  • 如果计算机网络环境使用 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 以及 Windows Server 2008 和 Windows Vista 之前版本的 Windows,则必须在两个端口范围内启用连接:
    49152 到 65535 的高端口范围
    低端口范围 1025 到 5000

  • 如果计算机网络环境仅使用 Windows Server 2008 和 Windows Vista 之前版本的 Windows Windows,则必须在 1025 到 5000 之间的低端口范围内启用连接。

封装的解决方案可能包含一个 VPN 网关,该网关位于使用第 2 层隧道协议 (L2TP 与 IPsec) 筛选路由器后面。 在此封装方案中,必须允许以下项通过路由器,而不是打开本主题中列出的所有端口和协议:

  • IPsec 封装安全协议 (ESP) (IP 协议 50)
  • IPsec 网络地址翻译工具 UDP 端口 4500 (遍历 NAT-T)
  • IPsec INTERNET 安全关联和密钥管理协议 (ISAKMP) (UDP 端口 500)

最后,可以按照将 Active Directory RPC流量限制到特定端口中的步骤对用于 Active Directory 复制的端口进行硬编码。 系统服务名称 :LSASS

备注

不需要 L2TP 流量的数据包筛选器,因为 L2TP 受 IPsec ESP 保护。

应用程序协议 协议 端口
Active Directory Web 服务 (ADWS) TCP 9389
Active Directory 管理网关服务 TCP 9389
全局编录 TCP 3269
全局编录 TCP 3268
ICMP 无端口号
LDAP 服务器中的轻型 (访问) 协议 TCP 389
LDAP Server UDP 389
LDAP SSL TCP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC 随机分配的高 TCP 端口¹ TCP 1024 - 5000
49152 - 65535?
SMB TCP 445

¹ 若要详细了解如何自定义此端口,请参阅参考部分中的域控制器和 Active Directory。 本节还包括在先决条件验证期间首次Windows Server 2012域控制器升级和服务器管理器工具中使用的远程 WMI 和 DCOM 通信。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

此外,Microsoft LDAP 客户端使用 ICMP ping 来验证其具有待定请求的 LDAP 服务器是否仍存在于网络中。 以下设置是 LDAP 会话选项:

应用程序层网关服务

Internet 连接共享/Internet 连接防火墙 (ICF) 服务的这一子项提供对插件的支持,这些插件允许网络协议通过防火墙,并支持 Internet 连接共享。 应用程序层网关 (ALG) 插件可以打开端口并更改数据包中嵌入 (的端口和 IP) 等数据。 FTP 是唯一一个包含插件的网络协议,该插件包含在 Windows Server 中。 ALG FTP 插件通过网络地址转换支持活动的 FTP 会话 (这些组件) NAT) 引擎。 ALG FTP 插件通过将满足以下条件的所有流量重定向到环回适配器上范围为 3000 到 5000 的专用侦听端口,支持这些会话:

  • 通过 NAT 引擎
  • 定向到端口 21

然后,ALG FTP 插件监视和更新 FTP 控制通道流量,以便 FTP 插件可以通过 FTP 数据通道的 NAT 转发端口映射。 FTP 插件还更新 FTP 控制通道流的端口。

系统服务名称 :ALG

应用程序协议 协议 端口
FTP 控件 TCP 21

ASP.NETState Service

ASP.NETState Service 为进程 ASP.NET 状态提供支持。 ASP.NETState Service 在进程外存储会话数据。 该服务使用套接字与 web ASP.NET 运行的服务器通信。

系统服务名称 :aspnet_state

应用程序协议 协议 端口
ASP.NET会话状态 TCP 42424

证书服务

证书服务是核心操作系统的一部分。 通过使用证书服务,企业可以充当自己的证书颁发机构 (CA) 。 它允许业务颁发和管理程序和协议的数字证书,例如:

  • 安全/多用途 Internet 邮件扩展 (S/MIME)
  • 安全套接字层 (SSL)
  • 使用 EFS (加密文件系统)
  • IPsec
  • 智能卡登录

证书服务依赖 RPC 和 DCOM 通过随机 TCP 端口(高于端口 1024)与客户端通信。

系统服务名称 :CertSvc

应用程序协议 协议 端口
RPC TCP 135
SMB TCP 445, 139
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

有关详细信息,请参阅 3.2.2.6.2.1.4.5.9 msPKI-Certificate-Name-Flag

群集服务

群集服务控制服务器群集操作和管理群集数据库。 群集是充当单台计算机的独立计算机的集合。 经理、程序员和用户将群集视为单个系统。 软件在群集的节点之间分发数据。 如果节点失败,则其他节点将提供以前由缺失的节点提供的服务和数据。 添加或修复节点时,群集软件会向该节点迁移一些数据。

系统服务名称 :ClusSvc

应用程序 协议 端口
群集服务 UDP 和 DTLS¹ 3343
群集服务 TCP 3343 (节点加入操作期间需要此端口。)
RPC TCP 135
群集管理器 UDP 137
随机分配的高 UDP 端口数 UDP 1024 到 65535 之间的随机端口号
49152 和 65535 之间的随机端口号

备注

此外,为了在 2008 及以上的 Windows 故障转移群集上成功进行验证,允许 ICMP4、ICMP6 和端口 445/TCP 的入站和出站流量用于 SMB。

¹ 通过端口 3343 的群集服务 UDP 流量需要数据报传输层安全性 (DTLS) 协议版本 1.0 或版本 1.2。 默认情况下,DTLS 已启用。 有关详细信息,请参阅Schannel SSP (TLS/SSL 中的) 。

  1. 若要详细了解如何自定义这些端口,请参阅"引用"部分中的"远程过程调用 DCOM"。

Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

计算机浏览器

计算机浏览器系统服务维护网络上的计算机最新列表,并提供给请求它的程序列表。 计算机浏览器服务由基于Windows的计算机用来查看网络域和资源。 指定为浏览器的计算机维护包含网络上使用的所有共享资源的浏览列表。 早期版本的基于Windows的程序(如"我的网络位置"、net view 命令和 Windows Explorer)都需要浏览功能。 例如,在运行 Microsoft Windows 95 的计算机上打开"我的网络位置"时,将显示域和计算机列表。 为了显示此列表,计算机从指定为浏览器的计算机获取浏览列表的副本。

如果您仅在 Vista Windows更高版本的 Windows 运行,则不再需要浏览器服务。

系统服务名称: 浏览器

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139

浏览器服务使用 RPC over Named Pipes 进行编译。

DHCP 服务器 (动态) 协议

DHCP 服务器服务使用 DHCP 自动分配 IP 地址。 可以使用此服务调整 DHCP 客户端的高级网络设置。 例如,您可以配置网络设置,如域名系统 (DNS) 服务器Windows Internet 名称服务 (WINS) 服务器。 您可以建立一台或多台 DHCP 服务器来维护 TCP/IP 配置信息,并为客户端计算机提供该信息。

系统服务名称 :DHCPServer

应用程序协议 协议 端口
DHCP 服务器 UDP 67
MADCAP UDP 2535
DHCP 故障转移 TCP 647

分布式文件系统命名空间

分布式文件系统命名空间 (DFSN) 将位于局域网 (LAN) 或广域网 (WAN) 上的不同文件共享集成到单个逻辑命名空间中。 Active Directory 域控制器需要 DFSN 服务才能播发 SYSVOL 共享文件夹。

系统服务名称: Dfs

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138?
NetBIOS 会话服务 TCP 139?
LDAP Server TCP 389
LDAP Server UDP 389
SMB TCP 445
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

pdf NETBIOS 端口是可选的,当 DFSN 使用 FQDN 服务器名称时,不需要这些端口。

分布式文件系统复制

分布式文件系统复制 (DFSR) 服务是基于状态的多主文件复制引擎,它会自动将更新复制到参与通用复制组的计算机之间的文件和文件夹。 DFSR 已添加到 Windows Server 2003 R2 中。 您可以使用 Dfsrdiag.exe 命令行工具配置 DFSR 以复制特定端口上的文件,无论它们是否参与 DFSN (分布式文件系统) 。

系统服务名称 :DFSR

应用程序协议 协议 端口
RPC TCP 135
RPC TCP 5722?
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅引用部分中的分布式文件 复制 服务。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。 Windows Server 2008 域控制器或 Windows Server 2008 R2 域控制器上使用端口 5722。 它未在域控制器Windows Server 2012使用。

分布式链接跟踪服务器系统服务存储信息,以便可以在卷之间移动的文件跟踪到域中的每个卷。 分布式链接跟踪服务器服务在域中的每个域控制器上运行。 此服务使分布式链接跟踪客户端服务可以跟踪已移动到同一域中其他 NTFS 文件系统卷中的位置的链接文档。

系统服务名称 :TrkSvr

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

分布式事务处理协调器

分布式事务处理协调器 (DTC) 系统服务协调分布在多个计算机系统和资源管理器(如数据库、邮件队列、文件系统或其他受事务保护的资源管理器)中的事务。 如果事务组件通过组件对象模型加 COM+ (配置,则 DTC 系统服务是必需的) 。 对于跨多个系统的邮件队列 (也称为 MSMQ) 和 SQL Server 事务队列也是必需的。

系统服务名称 :MSDTC

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 - 5000 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅引用部分中的 分布式事务处理 协调器。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

DNS 服务器

DNS 服务器服务通过应答查询和更新 DNS 名称请求来启用 DNS 名称解析。 DNS 服务器需要查找使用 DNS 名称标识的设备和服务,以及查找 Active Directory 中的域控制器。

系统服务名称 :DNS

应用程序协议 协议 端口
DNS UDP 53
DNS TCP 53

事件日志

事件日志系统服务记录由程序和操作系统Windows消息。 事件日志报告包含可用于诊断问题的信息。 您可以在事件查看器中查看报告。 事件日志服务写入程序、服务和操作系统发送到日志文件的事件。 除了特定于源程序、服务或组件的错误之外,这些事件还包含诊断信息。 可通过事件日志 API 或 MMC 管理单元中的事件查看器以编程方式查看日志。

系统服务名称: 事件日志

应用程序协议 协议 端口
RPC/命名管道 (NP) TCP 139
RPC/NP TCP 445
RPC/NP UDP 137
RPC/NP UDP 138

备注

事件日志服务通过命名管道使用 RPC。 此服务与文件和打印机共享功能具有相同的防火墙要求。

传真服务

传真服务是一种电话 API (TAPI) 服务,它提供传真功能。 传真服务允许用户使用本地传真设备或共享网络传真设备从桌面程序发送和接收传真。

系统服务名称 :Fax

应用程序协议 协议 端口
NetBIOS 会话服务 TCP 139
SMB TCP 445
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

文件复制

FRS (文件复制服务) 一种基于文件的复制引擎,可自动将更新复制到参与通用 FRS 副本集的计算机之间。 FRS 是默认复制引擎,用于在位于公用域中的基于 Windows 2000 的域控制器和基于 Windows Server 2003 的域控制器之间复制 SYSVOL 文件夹的内容。 可以使用 DFS 管理工具配置 FRS,以在 DFS 根或链接的目标之间复制文件和文件夹。

系统服务名称 :NtFrs

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"文件复制 服务 "。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

FTP 发布服务

FTP 发布服务提供 FTP 连接。 默认情况下,FTP 控制端口为 21。 但是,可以通过 IIS Internet Information Services () 管理单元配置此系统服务。 用于活动 (FTP 端口的默认) 将自动设置为比控制端口少一个端口。 因此,如果将控制端口配置为端口 4131,则默认数据端口为端口 4130。 大多数 FTP 客户端使用被动模式 FTP。 这意味着客户端首先使用控制端口连接到 FTP 服务器。 接下来,FTP 服务器在端口 1025 和 5000 之间分配一个高 TCP 端口。 然后,客户端打开与 FTP 服务器的第二个连接以传输数据。 可以使用 IIS 元数据库配置高端口范围。

系统服务名称 :MSFTPSVC

应用程序协议 协议 端口
FTP 控件 TCP 21
FTP 默认数据 TCP 20
随机分配的高 TCP 端口 TCP 1024 到 65535 之间的随机端口号
49152 之间的随机端口号 - 65535¹

¹ 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

组策略

若要成功应用组策略,客户端计算机必须能够通过 Kerberos、LDAP、SMB 和 RPC 协议联系域控制器。 WindowsXP 和 Windows Server 2003 还需要 ICMP 协议。

如果客户端与相关域控制器之间的任一协议不可用或受阻,将不会应用或更新组策略。 对于跨域登录,其中计算机位于一个域中,用户帐户位于另一个域中,客户端、资源域和帐户域可能需要这些协议才能进行通信。 ICMP 用于慢速链接检测。

系统服务名称: 组策略

应用程序协议 协议 端口
DCOM¹ TCP + UDP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号
ICMP (ping) 2013 ICMP
LDAP TCP 389
SMB TCP 445
RPC¹ TCP 135
1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅参考部分中的域控制器和 Active Directory。

→ Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中。

Windows XP 和 Windows Server 2003 才需要此协议。

备注

当组策略 Microsoft 管理控制台 (MMC) 管理单元创建组策略结果报告和组策略建模报告时,它使用 DCOM 和 RPC 从客户端或域控制器上的策略 (RSoP) 提供程序的结果集发送和接收信息。 由组策略 Microsoft 管理控制台和 MMC 管理 (MMC 管理) 功能的各种二进制文件主要使用 COM 调用来发送或接收信息。 从远程组计算机启动远程组策略Windows Server 2012报告时,需要访问目标计算机的事件日志。 (请参阅本文 中的 事件日志部分了解端口要求。)

Windows Server 2012支持针对计算机启动远程组Windows Server 2012更新。 这需要 RPC/WMI 通过端口 135 和端口 49152-65535 入站访问要刷新策略的计算机。

HTTP SSL

HTTP SSL 系统服务使 IIS 能够执行 SSL 功能。 SSL 是一个开放标准,用于建立加密的通信通道,以帮助防止截获非常重要的信息,例如信用卡号。 尽管此服务适用于其他 Internet 服务,但它主要用于在 WWW 网页版上启用 (电子) 。 可以通过 IIS) 管理单元配置此服务Internet Information Services (端口。

系统服务名称 :HTTPFilter

应用程序协议 协议 端口
HTTPS TCP 443

Hyper-V服务

Hyper-V副本

应用程序协议 协议 端口
WMI TCP 135
随机分配的高 TCP 端口 TCP 49152 和 65535 之间的随机端口号
Kerberos 身份验证 (HTTP) TCP 80
基于证书的身份验证 (HTTPS) TCP 443

Hyper-V实时迁移

应用程序协议 协议 端口
实时迁移 TCP 6600
SMB TCP 445
群集服务流量 UDP 3343

Internet 验证服务

Internet 身份验证服务 (IAS) 对连接到网络的用户执行集中身份验证、授权、审核和记帐。 这些用户可以使用 LAN 连接或远程连接。 IAS 实现 IETF (Internet 工程任务) 标准远程身份验证拨入用户服务 (RADIUS) 协议。

系统服务名称 :IAS

应用程序协议 协议 端口
旧 RADIUS UDP 1645
旧 RADIUS UDP 1646
RADIUS Accounting UDP 1813
RADIUS 身份验证 UDP 1812

Internet 连接防火墙 (ICF) /Internet 连接共享

此系统服务为家庭网络或小型办公室网络上的所有计算机提供 NAT、寻址和名称解析服务。 启用 Internet 连接共享功能后,您的计算机将成为网络 Internet 网关。 然后,其他客户端计算机可以共享一个到 Internet 的连接,例如拨号连接或宽带连接。 此服务提供基本的 DHCP 和 DNS 服务,但会使用功能齐全的 DHCP Windows DNS 服务。 当 ICF 和 Internet 连接共享充当网络中其余计算机的网关时,它们向内部网络接口上的专用网络提供 DHCP 和 DNS 服务。 它们不在外部网络接口上提供这些服务。

系统服务名称 :SharedAccess

应用程序协议 协议 端口
DHCP 服务器 UDP 67
DNS UDP 53
DNS TCP 53

IP 地址管理 (IPAM)

客户端IPAM UI 与 IPAM 服务器通信以执行远程管理。 通过使用使用 TCP 作为传输Windows WCF (WCF) ,可以完成这一操作。 默认情况下,TCP 绑定在客户端服务器上端口 48885 IPAM执行。

BranchCache 信息

  • 端口 3702 (UDP) 用于发现客户端上缓存内容的可用性。
  • 端口 80 (TCP) 用于为请求的客户端提供内容。
  • 端口 443 (TCP) 是托管缓存用于接受传入的客户端内容优惠的默认端口。

ISA/TMG Server

应用程序协议 协议 端口
配置存储 (域) TCP 2171 (注释 1)
配置存储 (复制) TCP 2173 (注释 1)
配置存储 (工作组) TCP 2172 (注释 1)
防火墙客户端应用程序 TCP/UDP 1025-65535 (注释 2)
防火墙客户端控制通道 TCP/UDP 1745 (注释 3)
防火墙控制通道 TCP 3847 (注释 1)
RPC TCP 135 (注释 6)
随机分配的高 TCP 端口 (注释 6) TCP 1024 到 65535 之间的随机端口号
10000 - 65535 之间的随机端口 (注释 7)
Web 管理 TCP 2175 (注释 1、4)
Web 代理客户端 TCP 8080 (注释 5)

备注

  1. 此端口不与 ISA 2000 一起使用。
  2. FWC 应用程序传输和协议在 FWC 控制通道中协商。
  3. ISA 2000 FWC 控件使用 UDP。 ISA 2004 和 2006 使用 TCP。
  4. OEM 使用防火墙 Web 管理提供 ISA 服务器的非 MMC 管理。
  5. 此端口还用于阵列内流量。
  6. 此端口仅在远程服务器和服务状态监视期间由 ISA 管理 MMC 使用。
  7. 它是 TMG 中的区域。 请注意,TMG 扩展了 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的默认动态端口范围。

Kerberos 密钥发行中心

使用 Kerberos 密钥发行 (KDC) 系统服务时,用户可以使用 Kerberos 版本 5 身份验证协议登录网络。 与 Kerberos 协议的其他实现一样,KDC 是一个提供两项服务的进程:身份验证服务和 Ticket-Granting 服务。 身份验证服务将发票证授予票证,Ticket-Granting服务会为连接到其域中的计算机提供票证。

系统服务名称 :kdc

应用程序协议 协议 端口
Kerberos TCP 88
Kerberos UDP 88
Kerberos Password V5 UDP 464
Kerberos Password V5 TCP 464
DC 定位器 UDP 389

许可证日志记录

许可证日志记录系统服务是一种最初旨在帮助客户管理 Microsoft 服务器产品的许可证的工具,这些许可证在 CAL) 模型中的服务器客户端访问许可证 (许可。 Microsoft Windows NT Server 3.51 中引入了许可证日志记录。 默认情况下,在 Windows Server 2003 中禁用许可证日志记录服务。 由于旧设计约束和不断演变的许可证条款和条件,与特定服务器或整个企业中使用的 CAL 总数相比,许可证日志记录可能无法提供所购买的 CAL 总数的准确视图。 许可证日志记录报告的 CAL 可能会与 Microsoft 软件许可条款的解释和与PUR 协议 (产品使用) 。 许可证日志记录不包含在 Windows Server 2008 及更高版本的操作系统中。 我们建议只有 Microsoft Small Business Server 系列操作系统的用户才能在服务器上启用此服务。

系统服务名称 :LicenseService

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138
NetBIOS 会话服务 TCP 139
SMB TCP 445

备注

许可证日志记录服务使用 RPC over named pipes。 此服务与文件和打印机共享功能具有相同的防火墙要求。

消息队列

消息队列系统服务是一种邮件基础结构和开发工具,用于为邮件系统创建Windows。 这些程序可以跨异类网络进行通信,并且可以在暂时无法相互连接的计算机之间发送消息。 消息队列有助于提供安全性、高效的路由、对在事务内发送邮件的支持、基于优先级的消息传送和有保证的邮件传递。

系统服务名称 :MSMQ

应用程序协议 协议 端口
MSMQ TCP 1801
MSMQ UDP 1801
MSMQ-DCs TCP 2101
MSMQ-Mgmt TCP 2107
MSMQ-Ping UDP 3527
MSMQ-RPC TCP 2105
MSMQ-RPC TCP 2103
RPC TCP 135

Microsoft Exchange MTA (传输) 代理

在 Microsoft Exchange 2000 Server 和 Exchange Server 2003 中,MTA 通常用于在混合模式环境中提供基于 Exchange 2000 Server 的服务器和基于 Exchange Server 5.5 的服务器之间的向后兼容邮件传输服务。

系统服务名称 :MSExchangeMTA

应用程序协议 协议 端口
X.400 TCP 102

Microsoft POP3 服务

Microsoft POP3 服务提供电子邮件传输和检索服务。 管理员可以使用此服务在邮件服务器上存储和管理电子邮件帐户。 在邮件服务器上安装 POP3 服务时,用户可以连接到邮件服务器,并且可以使用支持 POP3 协议的电子邮件客户端(如 Microsoft Outlook)检索电子邮件。

系统服务名称 :POP3SVC

应用程序协议 协议 端口
POP3 TCP 110

Net Logon

Net 登录系统服务维护计算机和域控制器之间的安全通道,以对用户和服务进行身份验证。 它将用户的凭据传递给域控制器,并返回用户的域安全标识符和用户权限。 这通常称为传递身份验证。 网络登录配置为仅在成员计算机或域控制器加入域时自动启动。 在 Windows 2000 Server 和 Windows Server 2003 系列中,Net Logon 在 DNS 中发布服务资源定位器记录。 当此服务运行时,它依赖于 WORKSTATION 服务和本地安全机构服务来侦听传入的请求。 在域成员计算机上,Net Logon 使用 RPC over named pipes。 在域控制器上,它使用 RPC over named pipes、RPC over TCP/IP、mail slots 和轻型目录访问协议 (LDAP) 。

系统服务名称: Netlogon

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138?
NetBIOS 名称解析 UDP 137?
NetBIOS 会话服务 TCP 139?
SMB TCP 445
LDAP UDP 389
RPC¹ TCP 135, 介于 1024 和 65535 之间的随机端口号
135,49152 - 65535 之间的随机端口号

¹ 若要详细了解如何自定义此端口,请参阅参考部分中的域控制器和 Active Directory。

1 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

均可选。NETBIOS 端口是可选的。 Netlogon 仅对不支持 DNS 的信任或在尝试回退期间 DNS 出现故障时使用这些。 如果没有 WINS 基础结构且广播不起作用,则应该禁用 NetBt 或将计算机和服务器设置为 NodeType=2。

备注

Net 登录服务使用 RPC over named pipes for earlier versions of Windows clients。 此服务与文件和打印机共享功能具有相同的防火墙要求。

NetMeeting 远程桌面共享

NetMeeting 远程桌面共享系统服务允许授权用户使用 Windows NetMeeting 通过公司 Intranet 从另一台个人计算机远程访问 Windows 桌面。 必须在 NetMeeting 中显式启用此服务。 可以使用"通知"区域中显示的图标禁用或关闭Windows此功能。

系统服务名称 :mnmsrvc

应用程序协议 协议 端口
终端服务 TCP 3389

网络新闻传输协议 (NNTP)

网络新闻传输协议 (NNTP) 系统服务允许运行 Windows Server 2003 的计算机充当新闻服务器。 客户端可以使用新闻客户端(如 Microsoft Outlook Express)从服务器检索新闻组,并读取每个新闻组中文章的标题或正文。

系统服务名称 :NNTPSVC

应用程序协议 协议 端口
NNTP TCP 119
NNTP over SSL TCP 563

脱机文件、User Profile Service、文件夹重定向和主计算机

脱机文件和漫游用户配置文件将用户数据缓存到计算机以脱机使用。 这些功能存在于所有受支持的 Microsoft 操作系统中。 WindowsXP 在 Winlogon Vista、Windows Windows Server 2008 和更高版本的操作系统使用 User Profile Service 的过程中实现了漫游用户配置文件缓存作为过程的一部分。 所有这些系统都使用 SMB。

文件夹重定向使用 SMB 将用户数据从本地计算机重定向到远程文件共享。

用户的主计算机系统Windows漫游用户配置文件和脱机文件服务的一部分。 主计算机提供了一种防止数据缓存到管理员未针对特定用户授权的计算机的功能。 主计算机使用 LDAP 来确定配置,并且不会使用 SMB 执行任何数据传输;而是会更改默认的脱机文件和漫游用户配置文件行为。 此系统已添加到 Windows Server 2012。

系统服务名称 :ProfSvc 、CscService

应用程序协议 协议 端口
SMB TCP 445
全局编录 TCP 3269
全局编录 TCP 3268
LDAP Server TCP 389
LDAP Server UDP 389
LDAP SSL TCP 636

性能日志和警报

性能日志和警报系统服务根据预配置的计划参数从本地或远程计算机收集性能数据,然后将该数据写入日志或触发消息。 根据命名日志集合设置中包含的信息,性能日志和警报服务将启动和停止每个命名的性能数据收集。 此服务仅在至少计划了一个性能数据收集时运行。

系统服务名称 :SysmonLog

应用程序协议 协议 端口
NetBIOS 会话服务 TCP 139

打印后台处理程序系统服务管理所有本地和网络打印队列并控制所有打印作业。 打印后台处理程序是打印子系统Windows中心。 它管理系统上的打印队列并与打印机驱动程序和输入/输出 (I/O) 组件(如 USB 端口和 TCP/IP 协议套件)进行通信。

系统服务名称: 后台处理程序

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139
SMB TCP 445

备注

打印后台处理程序服务使用 RPC over 命名管道。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程安装

可以使用远程安装系统服务在预启动执行环境 (PXE) 远程启动的客户端计算机上安装 Windows 2000、Windows XP 和 Windows Server 2003。 启动信息协商层 (BINL) 服务是远程安装服务器 (RIS) 的主要组件,可应答 PXE 客户端请求,检查 Active Directory 的客户端验证,以及向服务器传递客户端信息以及从服务器传递客户端信息。 从添加/删除 RIS 组件中添加 RIS 组件时,会安装 BINL Windows组件,或者可以在首次安装操作系统时选择它。

系统服务名称 :BINLSVC

应用程序协议 协议 端口
BINL UDP 4011

远程过程调用 (RPC)

远程过程调用 (RPC) 系统服务是一种进程间通信 (IPC) 机制,支持数据交换和调用位于不同进程中的功能。 不同的进程可以位于同一台计算机、LAN 或远程位置,并且可以通过 WAN 连接或 VPN 连接访问。 RPC 服务充当 RPC 终结点映射器和服务控制管理器 (组件) 模型。 许多服务依赖 RPC 服务成功启动。

系统服务名称 :RpcSs

应用程序协议 协议 端口
RPC TCP 135
RPC over HTTPS TCP 593
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139
SMB TCP 445

备注

  • RPC 不只使用表中列出的硬编码端口。 Active Directory 和其他组件使用的短暂范围端口出现在临时端口范围中的 RPC 上。 临时端口范围取决于客户端操作系统连接到的服务器操作系统。
  • RPC 终结点映射器还通过使用命名管道提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程过程调用 (RPC) 定位器

远程过程调用 (RPC) 定位器系统服务管理 RPC 名称服务数据库。 启用此服务后,RPC 客户端可以找到 RPC 服务器。 默认情况下,此服务已关闭。

系统服务名称 :RpcLocator

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139
SMB TCP 445

备注

RPC 定位器服务通过使用 RPC over 命名管道提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

远程存储通知

远程存储通知系统服务在用户读取或写入仅从辅助存储媒体提供的文件时通知用户。 停止此服务可阻止此通知。

系统服务名称 :Remote_Storage_User_Link

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

1 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

远程存储

远程存储系统服务将不常使用的文件存储在辅助存储介质上。 如果停止此服务,用户将无法从辅助存储媒体移动或检索文件。

系统服务名称 :Remote_Storage_Server

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

1 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

路由和远程访问

路由和远程访问服务提供多协议 LAN 到 LAN、LAN 到 WAN、VPN 和 NAT 路由服务。 路由和远程访问服务还提供拨号和 VPN 远程访问服务。 虽然路由和远程访问服务可以使用以下所有协议,但该服务通常只使用其中一些协议。 例如,如果配置了一个位于筛选路由器后面的 VPN 网关,则可能只会使用一个协议。 如果将 L2TP 与 IPsec 一同使用,则必须允许端口 4500) 上的 IPsec ESP (IP 协议 50) 、端口 4500) 上的 NAT-T (UDP 和端口 500) 上的 IPsec ISAKMP (UDP。

备注

虽然 L2TP 需要 NAT-T 和 IPsec ISAKMP,但本地安全机构会监视这些端口。 有关此内容详细信息,请参阅引用部分。

系统服务名称 :RemoteAccess

应用程序协议 协议 端口
GRE (IP 协议 47) GRE
IPsec AH (IP 协议 51) AH
IPsec ESP (IP 协议 50) ESP
L2TP UDP 1701
PPTP TCP 1723

服务器

服务器系统服务通过网络提供 RPC 支持和文件共享、打印共享和命名管道共享。 服务器服务允许用户共享本地资源,如磁盘和打印机,以便网络上其他用户可以访问它们。 它还允许在本地计算机和其他计算机上运行的程序之间的命名管道通信。 命名管道通信是保留的内存,用于将一个进程的输出用作另一个进程的输入。 输入接受过程无需是计算机的本地进程。

备注

如果计算机名称使用 WINS 解析为多个 IP 地址,或者 WINS 失败并且使用 DNS 解析名称,则 TCP/IP (NetBT) 将尝试 ping 文件服务器的 IP 地址。 端口 139 通信依赖于 Internet 控制消息协议 (ICMP) 回显消息。 如果未安装 IP 版本 6 (IPv6) ,则端口 445 通信也将依赖 ICMP 进行名称解析。 预加载的 Lmhosts 条目将绕过 DNS 解析程序。 如果在运行 Windows Server 2003 或 Windows XP 操作系统的计算机上安装了 IPv6,则端口 445 通信不会触发 ICMP 请求。

此处列出的 NetBIOS 端口是可选的。 Windows 2000 及更高版本的客户端可以通过端口 445 工作。

系统服务名称 :lanmanserver

应用程序协议 协议 端口
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139
SMB TCP 445

SharePoint Portal Server

利用 SharePoint Portal Server 系统服务,你可以开发智能门户,以无缝连接用户、团队和知识。 它可帮助用户跨业务流程利用相关信息。 Microsoft SharePoint Portal Server 2003 提供了一个企业业务解决方案,该解决方案通过单一登录和企业应用程序集成功能将各种系统中的信息集成到一个解决方案中。

应用程序协议 协议 端口
HTTP TCP 80
HTTPS TCP 443

简单邮件传输协议 (SMTP)

简单邮件传输协议 (SMTP) 服务是电子邮件提交和中继代理。 它接受远程目标的电子邮件并排队,并定期重试。 Windows域控制器使用 SMTP 服务进行基于站点间电子邮件的复制。 Windows Server 2003 COM (的协作数据对象) CDO 服务可以使用 SMTP 服务提交传出电子邮件并排入队列。

系统服务名称 :SMTPSVC

应用程序协议 协议 端口
SMTP TCP 25

简单 TCP/IP 服务

简单 TCP/IP 服务实现对以下协议的支持:

  • 回声,端口 7,RFC 862
  • 放弃,端口 9,RFC 863
  • 字符生成器,端口 19,RFC 864
  • 西班牙,端口 13,RFC 867
  • 天引用,端口 17,RFC 865

系统服务名称 :SimpTcp

应用程序协议 协议 端口
Chargen TCP 19
Chargen UDP 19
百度 TCP 13
百度 UDP 13
放弃 TCP 9
放弃 UDP 9
回声 TCP 7
回声 UDP 7
Quotd TCP 17
Quoted UDP 17

简单网络管理协议 (SNMP) 服务

SNMP 服务允许本地计算机服务传入 SNMP 请求。 SNMP 服务包括监视网络设备中的活动的代理,并报告给网络控制台工作站。 SNMP 服务提供了一种从运行网络管理软件的集中式计算机 ((如工作站或服务器计算机、路由器、网桥和集线器) )管理网络主机的方法。 SNMP 使用分布式管理系统和代理体系结构执行管理服务。

系统服务名称 :SNMP

应用程序协议 协议 端口
SNMP UDP 161

SNMP 捕获服务

SNMP 捕获服务接收由本地或远程 SNMP 代理生成的捕获邮件。 然后,SNMP 捕获服务将那些消息转发到计算机上运行的 SNMP 管理程序。 为代理配置 SNMP 捕获服务时,如果发生任何特定事件,该服务将生成捕获消息。 这些邮件将发送到一个捕获目标。 例如,如果无法识别的管理系统发送信息请求,可以将代理配置为启动身份验证陷阱。 捕获目标包括计算机名称、IP 地址或 IpX Exchange (IPX) 地址。 捕获目标必须是运行 SNMP 管理软件的启用网络的主机。

系统服务名称 :SNMPTRAP

应用程序协议 协议 端口
SNMP 捕获传出 UDP 162

简单服务发现协议 (SSDP) 发现服务

SSDP 发现服务将 SSDP 实现为Windows服务。 SSDP 发现服务管理设备状态通知的接收、更新其缓存,并将这些通知发送给具有未完成搜索请求的客户端。 SSDP 发现服务还接受从客户端注册事件回调。 然后,将注册的事件回调转换为订阅请求。 然后,SSDP 发现服务监视事件通知,并将这些请求发送到注册的回调。 此系统服务还会向托管设备定期提供通知。 目前,SSDP 事件通知服务使用 TCP 端口 5000。

备注

从 Windows XP Service Pack 2 (SP2) 开始,SSDP 事件通知服务使用 TCP 端口 2869。

系统服务名称 :SSDPRSR

应用程序协议 协议 端口
SSDP UDP 1900
SSDP 事件通知 TCP 2869
SSDP 旧版事件通知 TCP 5000

TCP/IP 打印服务器

TCP/IP 打印服务器系统服务使用线路打印机端口监控程序或 LPD (启用基于 TCP/IP) 打印。 该服务器上 LPD 服务从运行于 UNIX 计算机上的 Line Printer Remote (LPR) 实用程序接收UNIX文档。

系统服务名称 :LPDSVC

应用程序协议 协议 端口
LPD TCP 515

Telnet

Telnet system service for Windows向 Telnet 客户端提供 ASCII 终端会话。 Telnet 服务器支持两种身份验证,并支持以下类型的终端:

  • 美国国家标准协会 (ANSI)
  • VT-100
  • VT-52
  • VTNT

系统服务名称 :TlntSvr

应用程序协议 协议 端口
Telnet TCP 23

终端服务

终端服务提供了多会话环境,使客户端设备能够访问Windows桌面会话和Windows运行的基于虚拟会话的程序。 终端服务允许多个用户以交互方式连接到计算机。

系统服务名称 :TermService

应用程序协议 协议 端口
终端服务 TCP 3389

终端服务许可

当客户端连接到启用了终端服务器的终端服务器时,终端服务许可系统服务会安装许可证服务器,并 (向注册的客户端提供) 。 终端服务许可是一种低影响服务,用于存储为终端服务器颁发的客户端许可证,并跟踪颁发给客户端计算机或终端的许可证。

系统服务名称 :TermServLicensing

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号
NetBIOS 数据报服务 UDP 138
NetBIOS 名称解析 UDP 137
NetBIOS 会话服务 TCP 139
SMB TCP 445

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

1 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

备注

终端服务许可通过使用 RPC over named pipes 提供其服务。 此服务与文件和打印机共享功能具有相同的防火墙要求。

终端服务会话目录

终端服务会话目录系统服务使负载平衡终端服务器的群集能够将用户的连接请求正确路由到用户已运行会话的服务器。 无论用户是否在服务器群集中运行另一个会话,用户都会路由到第一个可用的终端服务器。 负载平衡功能使用 TCP/IP 网络协议对多个服务器的处理资源进行池处理。 可以将此服务与终端服务器群集一同使用,以通过跨多台服务器分布会话来提升单个终端服务器的性能。 终端服务会话目录跟踪群集上断开连接的会话,并确保用户重新连接到这些会话。

系统服务名称 :Tssdis

应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口¹ TCP 1024 到 65535 之间的随机端口号
49152 - 65535 之间的 随机端口号

¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的"远程过程 调用和 DCOM"。

1 是 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的范围。

普通 FTP 守护程序

简单的 FTP 守护程序系统服务不需要用户名或密码,它是远程安装服务 (RIS) 。 简单 FTP 守护程序服务实现对 TFTP (TFTP) 简单 FTP 协议的支持,此协议由以下 RFC 定义:

  • RFC 1350 - TFTP
  • RFC 2347 - 选项扩展
  • RFC 2348 - 块大小选项
  • RFC 2349 - Time-out interval, and transfer size options

简单文件传输协议 (TFTP) 是一种支持无盘启动环境的 FTP。 TFTP 服务侦听 UDP 端口 69,但它从随机分配的高端口进行响应。 因此,当您启用此端口时,TFTP 服务将接收传入的 TFTP 请求,但它不允许所选服务器响应这些请求。 该服务可以自由地响应来自任何源端口的任何此类请求,然后远程客户端在传输期间使用该端口。 通信是双向的。 如果必须启用此协议通过防火墙,可能需要打开 UDP 端口 69 传入。 然后,你可以依赖其他防火墙功能,这些功能通过任何其他端口上的临时漏洞动态地让服务做出响应。

系统服务名称 :tftpd

应用程序协议 协议 端口
TFTP UDP 69

UPnP 设备主机

UPnP 设备主机发现系统服务实现设备注册、控制和对托管设备事件的响应所需的所有组件。 注册的与设备相关的信息(如说明、生存期和容器)可选择存储到磁盘,在注册或操作系统重新启动后,将通知网络。 该服务还包括为设备提供服务以及服务说明和演示文稿页的 Web 服务器。

系统服务名称 :UPNPHost

应用程序协议 协议 端口
UPNP TCP 2869

WindowsInternet 名称服务 (WINS)

WindowsInternet 名称服务 (WINS) 启用 NetBIOS 名称解析。 此服务可帮助你使用 NetBIOS 名称查找网络资源。 需要 WINS 服务器,除非所有域已升级到 Active Directory 目录服务,并且网络的所有计算机都运行 Windows 2000 或更高版本。 WINS 服务器使用 NetBIOS 名称解析与网络客户端通信。 WINS 复制仅在 WINS 服务器之间是必需的。

系统服务名称 :WINS

应用程序协议 协议 端口
NetBIOS 名称解析 UDP 137
WINS 复制 TCP 42
WINS 复制 UDP 42

Windows Media 服务

Windows Media 服务 Windows Server 2003 及更高版本中的版本取代了 Windows Media 服务 4.0 和 4.1 版中包含的以下服务:

  • Windows媒体监视器服务
  • Windows媒体程序服务
  • Windows媒体站服务
  • Windows媒体单播服务

Windows Media 服务现在是一个在 Windows 服务器上运行的服务。 它的核心组件是使用 COM 开发的,并且具有一个灵活的体系结构,您可以为特定程序进行自定义。 Windows Media 服务支持各种控制协议。 其中包括实时流式传输协议 (RTSP) 、Microsoft Media Server (MMS) 协议和 HTTP。

系统服务名称: WMServer

应用程序协议 协议 端口
HTTP TCP 80
MMS TCP 1755
MMS UDP 1755
MS Theater UDP 2460
RTCP UDP 5005
RTP UDP 5004
RTSP TCP 554

WindowsWinRM (远程)

系统服务名称 :WinRM

应用程序协议 协议 端口
WinRM 1.1 及更早版本 TP 默认 HTTP 端口为 TCP 80,默认 HTTPS 端口为 TCP 443。
WinRM 2.0 TP 默认 HTTP 端口为 TCP 5985,默认 HTTPS 端口为 TCP 5986。

有关详细信息,请参阅Installation and Configuration for Windows Remote Management。

Windows时间

Windows 时间系统服务在运行 Windows XP 或更高版本以及 Windows Server 2003 或更高版本的网络上的所有计算机上维护日期和时间同步。 此服务使用网络时间协议 (NTP) 同步计算机时钟,以便为网络验证和资源访问请求分配准确的时钟值或时间戳。 NTP 的实现和时间提供程序的集成可帮助Windows时间成为可靠且可扩展的时间服务。 对于未加入域的计算机,可以配置 Windows Time 以将时间与外部时间源同步。 如果关闭此服务,本地计算机的时间设置不会与 Windows 域中的时间服务或外部配置的时间服务同步。 Windows服务器 2003 使用 NTP。 NTP 在 UDP 端口 123 上运行。 此服务Windows 2000 版本使用简单网络时间协议 (SNTP) 。 SNTP 还运行在 UDP 端口 123 上。

当Windows使用Windows配置时,该服务需要域控制器位置和身份验证服务。 因此,Kerberos 和 DNS 的端口是必需的。

系统服务名称 :W32Time

应用程序协议 协议 端口
NTP UDP 123
SNTP UDP 123

World Wide Web 发布服务

World Wide Web 发布服务提供了注册、管理、监视和为在 IIS 中注册的网站和程序提供服务所必须的基础结构。 此系统服务包含进程管理器和配置管理器。 进程管理器控制自定义应用程序和网站所在的进程。 配置管理器读取万维网发布服务的已存储系统配置,并确保将 Http.sys 配置为将 HTTP 请求路由到相应的应用程序池或操作系统进程。 可以使用"Internet Information Services (IIS) 管理器"管理单元配置此服务使用的端口。 如果启用管理网站,将创建一个使用 TCP 端口 8098 上的 HTTP 流量的虚拟网站。

系统服务名称 :W3SVC

应用程序协议 协议 端口
HTTP TCP 80
HTTPS TCP 443

端口和协议

下表汇总了"系统服务端口 "部分 的信息。 此表按端口号而不是服务名称排序。

端口 协议 应用程序协议 系统服务名称
GRE GRE (IP 协议 47) 路由和远程访问
ESP IPsec ESP (IP 协议 50) 路由和远程访问
AH IPsec AH (IP 协议 51) 路由和远程访问
7 TCP 回声 简单 TCP/IP 服务
7 UDP 回声 简单 TCP/IP 服务
9 TCP 放弃 简单 TCP/IP 服务
9 UDP 放弃 简单 TCP/IP 服务
13 TCP 百度 简单 TCP/IP 服务
13 UDP 百度 简单 TCP/IP 服务
17 TCP Quotd 简单 TCP/IP 服务
17 UDP Quotd 简单 TCP/IP 服务
19 TCP Chargen 简单 TCP/IP 服务
19 UDP Chargen 简单 TCP/IP 服务
20 TCP FTP 默认数据 FTP 发布服务
21 TCP FTP 控件 FTP 发布服务
21 TCP FTP 控件 应用程序层网关服务
23 TCP Telnet Telnet
25 TCP SMTP 简单邮件传输协议
25 TCP SMTP Exchange Server
42 TCP WINS 复制 WindowsInternet 名称服务
42 UDP WINS 复制 WindowsInternet 名称服务
53 TCP DNS DNS 服务器
53 UDP DNS DNS 服务器
53 TCP DNS Internet 连接防火墙/Internet 连接共享
53 UDP DNS Internet 连接防火墙/Internet 连接共享
67 UDP DHCP 服务器 DHCP 服务器
67 UDP DHCP 服务器 Internet 连接防火墙/Internet 连接共享
69 UDP TFTP 简单的 FTP 守护程序服务
80 TCP HTTP Windows Media 服务
80 TCP HTTP WinRM 1.1 及更早版本
80 TCP HTTP World Wide Web 发布服务
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos Kerberos 密钥发行中心
88 UDP Kerberos Kerberos 密钥发行中心
102 TCP X.400 Microsoft Exchange MTA 堆栈
110 TCP POP3 Microsoft POP3 服务
110 TCP POP3 Exchange Server
119 TCP NNTP 网络新闻传输协议
123 UDP NTP Windows时间
123 UDP SNTP Windows时间
135 TCP RPC 消息队列
135 TCP RPC 远程过程调用
135 TCP RPC Exchange Server
135 TCP RPC 证书服务
135 TCP RPC 群集服务
135 TCP RPC 分布式文件系统命名空间
135 TCP RPC 分布式链接跟踪
135 TCP RPC 分布式事务处理协调器
135 TCP RPC 分布式文件复制服务
135 TCP RPC 传真服务
135 TCP RPC Microsoft Exchange Server
135 TCP RPC 文件复制服务
135 TCP RPC 组策略
135 TCP RPC 本地安全机构
135 TCP RPC 远程存储通知
135 TCP RPC 远程存储
135 TCP RPC Systems Management Server 2.0
135 TCP RPC 终端服务许可
135 TCP RPC 终端服务会话目录
137 UDP NetBIOS 名称解析 计算机浏览器
137 UDP NetBIOS 名称解析 服务器
137 UDP NetBIOS 名称解析 WindowsInternet 名称服务
137 UDP NetBIOS 名称解析 Net Logon
137 UDP NetBIOS 名称解析 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 计算机浏览器
138 UDP NetBIOS 数据报服务 服务器
138 UDP NetBIOS 数据报服务 Net Logon
138 UDP NetBIOS 数据报服务 分布式文件系统
138 UDP NetBIOS 数据报服务 Systems Management Server 2.0
138 UDP NetBIOS 数据报服务 许可证日志记录服务
139 TCP NetBIOS 会话服务 计算机浏览器
139 TCP NetBIOS 会话服务 传真服务
139 TCP NetBIOS 会话服务 性能日志和警报
139 TCP NetBIOS 会话服务 打印后台处理程序
139 TCP NetBIOS 会话服务 服务器
139 TCP NetBIOS 会话服务 Net Logon
139 TCP NetBIOS 会话服务 远程过程调用定位器
139 TCP NetBIOS 会话服务 分布式文件系统命名空间
139 TCP NetBIOS 会话服务 Systems Management Server 2.0
139 TCP NetBIOS 会话服务 许可证日志记录服务
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP 服务
162 UDP SNMP 捕获传出 SNMP 捕获服务
389 TCP LDAP Server 本地安全机构
389 UDP DC 定位器 本地安全机构
389 TCP LDAP Server 分布式文件系统命名空间
389 UDP DC 定位器 分布式文件系统命名空间
389 UDP DC 定位器 Netlogon
389 UDP DC 定位器 Kerberos 密钥发行中心
389 TCP LDAP Server 分布式文件系统复制
389 UDP DC 定位器 分布式文件系统复制
443 TCP HTTPS HTTP SSL
443 TCP HTTPS World Wide Web 发布服务
443 TCP HTTPS SharePoint Portal Server
443 TCP RPC over HTTPS Exchange Server 2003
443 TCP HTTPS WinRM 1.1 及更早版本
445 TCP SMB 传真服务
445 TCP SMB 打印后台处理程序
445 TCP SMB 服务器
445 TCP SMB 远程过程调用定位器
445 TCP SMB 分布式文件系统命名空间
445 TCP SMB 分布式文件系统复制
445 TCP SMB 许可证日志记录服务
445 TCP SMB Net Logon
464 UDP Kerberos Password V5 Kerberos 密钥发行中心
464 TCP Kerberos Password V5 Kerberos 密钥发行中心
500 UDP IPsec ISAKMP 本地安全机构
515 TCP LPD TCP/IP 打印服务器
554 TCP RTSP Windows Media 服务
563 TCP NNTP over SSL 网络新闻传输协议
593 TCP RPC over HTTPS 终结点映射器 远程过程调用
593 TCP RPC over HTTPS Exchange Server
636 TCP LDAP SSL 本地安全机构
636 UDP LDAP SSL 本地安全机构
647 TCP DHCP 故障转移 DHCP 故障转移
9389 TCP Active Directory Web 服务 (ADWS) Active Directory Web 服务 (ADWS)
9389 TCP Active Directory Web 服务 (ADWS) Active Directory 管理网关服务
993 TCP 通过 SSL 的 IMAP Exchange Server
995 TCP 使用 SSL 的 POP3 Exchange Server
1067 TCP 安装启动服务 安装启动协议服务器
1068 TCP 安装启动服务 安装启动协议客户端
1270 TCP MOM-Encrypted Microsoft Operations Manager 2000
1433 TCP SQL TCP 进行传输 Microsoft SQL Server
1433 TCP SQL TCP 进行传输 MSSQL$UDDI
1434 UDP SQL探测器 Microsoft SQL Server
1434 UDP SQL探测器 MSSQL$UDDI
1645 UDP 旧 RADIUS Internet 验证服务
1646 UDP 旧 RADIUS Internet 验证服务
1701 UDP L2TP 路由和远程访问
1723 TCP PPTP 路由和远程访问
1755 TCP MMS Windows Media 服务
1755 UDP MMS Windows Media 服务
1801 TCP MSMQ 消息队列
1801 UDP MSMQ 消息队列
1812 UDP RADIUS 身份验证 Internet 验证服务
1813 UDP RADIUS Accounting Internet 验证服务
1900 UDP SSDP SSDP 发现服务
2101 TCP MSMQ-DCs 消息队列
2103 TCP MSMQ-RPC 消息队列
2105 TCP MSMQ-RPC 消息队列
2107 TCP MSMQ-Mgmt 消息队列
2393 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2394 TCP OLAP Services 7.0 SQL Server:下层 OLAP 客户端支持
2460 UDP MS Theater Windows Media 服务
2535 UDP MADCAP DHCP 服务器
2701 TCP SMS 远程控制 (控件) SMS 远程控制代理
2701 UDP SMS 远程控制 (控件) SMS 远程控制代理
2702 TCP 短信远程控制 (数据) SMS 远程控制代理
2702 UDP 短信远程控制 (数据) SMS 远程控制代理
2703 TCP SMS 远程聊天 SMS 远程控制代理
2703 UPD SMS 远程聊天 SMS 远程控制代理
2704 TCP SMS 远程文件传输 SMS 远程控制代理
2704 UDP SMS 远程文件传输 SMS 远程控制代理
2725 TCP SQLAnalysis Services SQL Server Analysis Services
2869 TCP UPNP UPnP 设备主机
2869 TCP SSDP 事件通知 SSDP 发现服务
3268 TCP 全局编录 本地安全机构
3269 TCP 全局编录 本地安全机构
3343 UDP 群集服务 群集服务
3389 TCP 终端服务 NetMeeting 远程桌面共享
3389 TCP 终端服务 终端服务
3527 UDP MSMQ-Ping 消息队列
4011 UDP BINL 远程安装
4500 UDP NAT-T 本地安全机构
5000 TCP SSDP 旧版事件通知 SSDP 发现服务
5004 UDP RTP Windows Media 服务
5005 UDP RTCP Windows Media 服务
5722 TCP RPC 分布式文件系统复制
6001 TCP 信息存储 Exchange Server 2003
6002 TCP 目录引用 Exchange Server 2003
6004 TCP DSProxy/NSPI Exchange Server 2003
42424 TCP ASP.NET会话状态 ASP.NETState Service
51515 TCP MOM-Clear Microsoft Operations Manager 2000
5985 TCP HTTP WinRM 2.0
5986 TCP HTTPS WinRM 2.0
1024-65535 TCP RPC 随机分配的高 TCP 端口
135 TCP WMI Hyper-V服务
49152 - 65535 之间的随机端口号 TCP 随机分配的高 TCP 端口 Hyper-V服务
80 TCP Kerberos 身份验证 (HTTP) Hyper-V服务
443 TCP 基于证书的身份验证 (HTTPS) Hyper-V服务
6600 TCP 实时迁移 Hyper-V实时迁移
445 TCP SMB Hyper-V实时迁移
3343 UDP 群集服务流量 Hyper-V实时迁移

备注

端口 5722 仅在 Windows Server 2008 域控制器或 Windows Server 2008 R2 域控制器上使用;它未在域控制器Windows Server 2012使用。 只有在创建新的空复制文件夹时,DFSR 才使用端口 445。

Microsoft 在工作表中提供了此表中部分Microsoft Excel信息。 可从 Microsoft 下载中心下载此工作表。

Active Directory 端口和协议要求

位于公用林或外部林中的应用程序服务器、客户端计算机和域控制器具有服务依赖关系,以便用户启动和计算机启动的操作(如域加入、登录身份验证、远程管理和 Active Directory 复制)可以正常工作。 此类服务和操作需要通过特定端口和网络协议进行网络连接。

成员计算机和域控制器相互操作或应用程序服务器访问 Active Directory 所需的服务、端口和协议汇总列表包括但不限于以下内容。

Active Directory 所依赖的服务列表:

  • Active Directory / LSA
  • 计算机浏览器
  • 分布式文件系统命名空间
  • 如果没有为 SYSVOL 复制 (FRS,则分布式文件系统复制)
  • 如果未将 DFSR 用于 SYSVOL 复制 (,则文件复制服务)
  • Kerberos 密钥发行中心
  • Net Logon
  • 远程过程调用 (RPC)
  • 服务器
  • 简单邮件传输协议 (SMTP)
  • 如果 DNS (,则 WINS Windows Server 2003 SP1 及更高版本中用于备份 Active Directory 复制)
  • Windows时间
  • World Wide Web 发布服务

需要 Active Directory 服务的服务列表:

  • 证书 (特定配置要求)
  • DHCP 服务器
  • 如果使用基于域 (命名空间,则分布式文件系统命名空间)
  • 分布式文件系统复制
  • 分布式链接跟踪服务器
  • 分布式事务处理协调器
  • DNS 服务器
  • 传真服务
  • 文件复制服务
  • Internet 验证服务
  • 许可证日志记录
  • Net Logon
  • 打印后台处理程序
  • 远程安装
  • 远程过程调用 (RPC) 定位器
  • 远程存储通知
  • 远程存储
  • 路由和远程访问
  • 服务器
  • 简单邮件传输协议 (SMTP)
  • 终端服务
  • 终端服务许可
  • 终端服务会话目录

参考

本文中介绍的每个 Microsoft 产品的帮助文件都包含更多信息,您可能会发现这些信息有助于配置程序。

有关 Active Directory 域服务防火墙和端口的信息,请参阅如何为 Active Directory域和信任配置防火墙。

一般信息

若要详细了解如何帮助保护 Windows 服务器的安全,以及特定服务器角色的示例 IPsec 筛选器,请参阅Microsoft Security Compliance Manager。 此工具将以前的所有安全建议和安全文档聚合到一个实用工具中,用于所有支持的 Microsoft 操作系统:

有关操作系统服务、安全设置和 IPsec 筛选详细信息,请参阅以下威胁和对策指南之一:

有关详细信息,请参阅:

Internet 分配号码颁发机构协调已知端口的使用。 若要查看该组织的 TCP/IP 端口分配列表,请参阅服务名称和 传输协议端口号注册表

远程过程调用和 DCOM

有关 RPC 的详细说明,请参阅 Remote Procedure Call (RPC)

若要详细了解如何配置 RPC 以使用防火墙,请参阅如何配置 RPC 动态端口分配以使用防火墙

有关 RPC 协议以及运行 Windows 2000 的计算机如何初始化,请参阅Windows 2000 Startup and Logon Traffic Analysis。

域控制器和 Active Directory

若要详细了解如何限制 Active Directory 复制和客户端登录通信,请参阅将 Active Directory 复制通信和客户端 RPC 通信限制 到特定端口

有关目录系统代理、LDAP 和本地系统机构之间如何相关的说明,请参阅 目录系统代理

有关 LDAP 和全局编录的工作方式详细信息,请参阅全局 编录的工作原理

Exchange Server

有关应用程序使用的所有数据路径的端口、身份验证和加密Microsoft Exchange Server,请参阅 Network ports for clients and mail flow in Exchange

对于您的特定环境,可能还需要考虑其他一些操作。 你可以从以下 Microsoft 网站接收更多信息,Exchange计划实现方案:

有关详细信息,请参阅Configure Outlook Anywhere in Outlook 2013。

分布式文件复制服务

分布式文件复制服务包括Dfsrdiag.exe命令行工具。 Dfsrdiag.exe设置用于管理和复制的服务器 RPC 端口。 若要使用 Dfsrdiag.exe设置服务器 RPC 端口,请遵循此示例:

dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso.com

本示例中 ,nnnnn 表示 DFSR 将用于复制的单个静态 RPC 端口。 Branch01.sales.contoso.com 表示目标成员计算机的 DNS 或 NetBIOS 名称。 如果未指定成员,Dfsrdiag.exe使用本地计算机。

Internet Information Services

有关 IIS 6.0 中的端口的信息,请参阅 TCP/IP 端口筛选

有关 FTP 的信息,请参阅以下资源:

多播地址动态客户端分配协议 (MADCAP)

若要详细了解如何规划 MADCAP 服务器,请参阅 检查表:安装 MADCAP 服务器

消息队列

有关 Microsoft 消息队列使用的端口详细信息,请参阅 TCP 端口、UDP端口和消息队列使用的 RPC 端口。

Microsoft Operations Manager

若要了解如何计划和部署 MOM,请参阅开发人员System Center

终端服务

若要详细了解如何配置终端服务使用的端口,请参阅更改计算机上远程 桌面的侦听端口

控制通过 Internet 在 Windows

有关详细信息,请参阅在托管环境中使用Windows Server 2003 Service Pack 1:控制与 Internet 的通信

Windows Media 服务

有关用户使用的端口的信息,Windows Media 服务分配端口用于Windows Media 服务。