Windows 的服务概述和网络端口要求
本文讨论 Microsoft 客户端和服务器操作系统、基于服务器的程序及其在 Microsoft Windows Server 系统中使用的子项所需的网络端口、协议和服务。 管理员和支持专业人员可以使用本文作为路线图,以确定 Microsoft 操作系统和程序在分段网络中建立网络连接需要哪些端口和协议。
原始产品版本: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows
10、版本 2004、Windows 10、版本 1909、Windows 10、版本 1903、Windows 7 Service Pack
1
原始 KB 编号: 832017
重要
本文包含几个对默认动态端口范围的引用。 在 Windows Server 2008 和更高版本以及 Windows Vista 和更高版本中,默认动态端口范围更改为以下范围:
- 启动端口:49152
- 结束端口:65535
Windows 2000、Windows XP 和 Windows Server 2003 使用以下动态端口范围:
- 启动端口:1025
- 结束端口:5000
这对你意味着什么:
- 如果您的计算机网络环境仅使用 Windows Server 2012,则必须在高端口范围 49152 到 65535 之间启用连接。
-
如果你的计算机系统环境Windows Server 2012 Windows Server 2008 和 Windows Vista 之前版本的
Windows 一起使用,则必须通过以下两个端口范围启用连接:
高端口范围 49152 至 65535
低端口范围 1025 至 5000 - 如果计算机网络环境仅使用早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在 1025 到 5000 之间的低端口范围内启用连接。
有关默认动态端口范围的信息,请参阅 TCP/IP 的默认动态端口范围已更改。
请勿使用本文中的端口信息配置 Windows 防火墙。 若要了解如何配置 Windows 防火墙,请参阅 高级安全 Windows 防火墙。
Windows Server 系统包括一个全面且集成的基础结构,以满足 IT 专业人员和 IT 专业人员 (信息技术) 要求。 此系统运行的程序和解决方案可用于快速轻松地获取、分析和共享信息。 这些 Microsoft 客户端、服务器和服务器程序产品使用不同的网络端口和协议来通过网络与客户端系统和其他服务器系统进行通信。 专用防火墙、基于主机的防火墙和 Internet 协议安全 (IPsec) 筛选器是您必须帮助保护网络安全的重要信息组件。 但是,如果这些技术配置为阻止特定服务器使用的端口和协议,该服务器将不再响应客户端请求。
概述
以下列表概述了本文包含的信息:
-
" 系统服务端口" 部分:
- 包含每个服务的简要说明。
- 显示每个服务的逻辑名称。
- 指示每个服务正确操作所需的端口和协议。
使用此部分可帮助标识特定服务使用的端口和协议。
-
" 端口和协议" 部分包含一个表,其中汇总了"系统服务端口"部分的信息。 表按端口号而不是服务名称排序。 使用此部分可以快速确定哪些服务侦听特定端口。
本文以特定方式使用特定术语。 为了帮助避免混淆,请确保您了解文章如何使用以下术语:
- 系统服务:系统服务是作为应用程序的启动过程的一部分或作为操作系统启动过程的一部分自动加载的程序。 系统服务支持操作系统必须执行的不同任务。 例如,运行 Windows Server 2003 Enterprise Edition 的计算机上可用的某些系统服务包括服务器服务、打印后台处理程序服务和万维网发布服务。 每个系统服务都有 一个友好的服务名称和 一 个服务名称。 友好服务名称是显示在图形管理工具(如服务 Microsoft 管理控制台和 MMC (MMC) 中)中的名称。 服务名称是命令行工具和许多脚本语言使用的名称。 每个系统服务可能提供一个或多个网络服务。
- 应用程序协议:本文中,应用程序协议是指使用一个或多个 TCP/IP 协议和端口的高级别网络协议。 应用程序协议的示例包括 HTTP、服务器邮件阻止 (SMB) 以及简单邮件传输协议 (SMTP) 。
- 协议:TCP/IP 协议是网络上设备之间通信的标准格式。 TCP/IP 协议在比应用程序协议更低的级别运行。 TCP/IP 协议套件包括 TCP、用户数据报协议 (UDP) 以及 INTERNET 控制消息协议 (ICMP) 。
- 端口:它是系统服务侦听传入网络流量的网络端口。
本文不指定哪些服务依赖于其他服务进行网络通信。 例如,许多服务依赖 Microsoft Windows (RPC) 或 DCOM 功能来为其分配动态 TCP 端口。 远程过程调用服务协调使用 RPC 或 DCOM 与客户端计算机通信的其他系统服务的请求。 许多其他服务依赖于网络基本输入/输出系统 (NetBIOS) 或 SMB,即服务器服务提供的协议。 其他服务依赖于 HTTP 或超文本传输协议安全 (HTTPS) 。 这些协议由 IIS Internet Information Services (提供) 。 本文不讨论 Windows 操作系统的体系结构。 但是,有关此主题的详细文档可在 Microsoft TechNet 和 MSDN Microsoft 开发人员网络 (上) 获取。 尽管许多服务可能依赖于特定的 TCP 或 UDP 端口,但一次只能侦听一个服务或进程。
将 RPC 与 TCP/IP 或 UDP/IP 一起用作传输时,会经常根据需要动态地将传入端口分配给系统服务。 使用高于端口 1024 的 TCP/IP 和 UDP/IP 端口。 这些端口也非正式称为 随机 RPC 端口。 在这些情况下,RPC 客户端依赖 RPC 终结点映射器来告知它们向服务器分配了哪些动态端口或端口。 对于某些基于 RPC 的服务,可以配置特定端口,而不是让 RPC 动态分配端口。 还可以限制 RPC 动态分配给较小范围的端口范围,而不考虑服务。 有关本主题的详细信息,请参阅"引用 " 部分。
本文包含有关"适用于"部分中列出的 Microsoft 产品的系统服务角色和服务器角色的信息。 虽然此信息也可能适用于 Windows XP 和 Microsoft Windows 2000 Professional,但本文侧重于服务器类操作系统。 因此,本文介绍服务侦听的端口,而不是客户端程序用于连接到远程系统的端口。
系统服务端口
本节提供每个系统服务的说明,包括与系统服务对应的逻辑名称,并显示每个服务所需的端口和协议。
Active Directory (本地安全机构)
Active Directory 在 Lsass.exe 进程下运行,包括 Windows 域控制器的身份验证和复制引擎。 域控制器、客户端计算机和应用程序服务器需要通过特定硬编码端口与 Active Directory 建立网络连接。 此外,除非使用隧道协议将流量封装到 Active Directory,否则需要介于 1024 到 5000 和 49152 到 65535 之间的临时 TCP 端口范围。
备注
-
如果你的计算机系统环境仅使用 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista,则必须在 49152 到 65535 的高端口范围内启用连接。
-
如果你的计算机系统环境使用 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 以及早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在两个端口范围内启用连接:
49152 到 65535 的高端口范围
低端口范围 1025 到 5000 -
如果计算机网络环境仅使用早于 Windows Server 2008 和 Windows Vista 的 Windows 版本,则必须在 1025 到 5000 之间的低端口范围内启用连接。
封装的解决方案可能包含一个 VPN 网关,该网关位于使用第 2 层隧道协议 (L2TP) IPsec 的筛选路由器后面。 在此封装方案中,必须允许以下项通过路由器,而不是打开本主题中列出的所有端口和协议:
- IPsec 封装安全协议 (ESP) (IP 协议 50)
- IPsec 网络地址转换器遍历 UDP 端口 4500 (NAT-T)
- IPsec Internet 安全关联和密钥管理协议 (ISAKMP) (UDP 端口 500)
最后,可以按照将 Active Directory RPC流量限制到特定端口中的步骤对用于 Active Directory 复制的端口进行硬编码。 系统服务名称 :LSASS。
备注
不需要 L2TP 流量的数据包筛选器,因为 L2TP 受 IPsec ESP 保护。
应用程序协议 | 协议 | 端口 |
---|---|---|
Active Directory Web Services (ADWS) | TCP | 9389 |
Active Directory 管理网关服务 | TCP | 9389 |
全局编录 | TCP | 3269 |
全局编录 | TCP | 3268 |
ICMP | 无端口号 | |
LDAP 服务器中的轻型 (访问) 协议 | TCP | 389 |
LDAP Server | UDP | 389 |
LDAP SSL | TCP | 636 |
IPsec ISAKMP | UDP | 500 |
NAT-T | UDP | 4500 |
RPC | TCP | 135 |
RPC 随机分配的高 TCP 端口¹ | TCP |
1024 - 5000 49152 - 65535? |
SMB | TCP | 445 |
¹ 若要详细了解如何自定义此端口,请参阅"引用"部分中的域控制器和 Active Directory。 本节还包括在先决条件验证期间Windows Server 2012域控制器升级中首先使用的远程 WMI 和 DCOM 通信以及服务器管理器工具。
Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的区域。
此外,Microsoft LDAP 客户端使用 ICMP ping 来验证其具有待定请求的 LDAP 服务器是否仍存在于网络中。 以下设置是 LDAP 会话选项:
- PingKeepAliveTimeout = 120 秒 (在服务器最后一次响应后等待的时间,然后它开始发送 ping PingLimit) = 4 (关闭连接之前发送的 ping)
- PingWaitTimeout = 2000 毫秒 (等待 ICMP 响应的时间)
- 参考 :LdapSessionOptions 类
应用程序层网关服务
Internet 连接共享/Internet 连接防火墙 (ICF) 服务的这一子项提供对插件的支持,这些插件允许网络协议通过防火墙,并支持 Internet 连接共享。 应用程序层网关 (ALG) 插件可以打开端口并更改数据包 (的端口和 IP) 等数据。 FTP 是唯一具有 Windows Server 中包含的插件的网络协议。 ALG FTP 插件通过这些组件使用的 NAT) 引擎的网络地址转换支持活动的 FTP 会话 (NAT 转换。 ALG FTP 插件支持这些会话,将满足以下条件的所有流量重定向到环回适配器上范围为 3000 到 5000 的专用侦听端口:
- 通过 NAT 引擎
- 定向到端口 21
然后,ALG FTP 插件监视和更新 FTP 控制通道流量,以便 FTP 插件可以通过 FTP 数据通道的 NAT 转发端口映射。 FTP 插件还会更新 FTP 控制通道流中的端口。
系统服务名称 :ALG
应用程序协议 | 协议 | 端口 |
---|---|---|
FTP 控件 | TCP | 21 |
ASP.NET State Service
ASP.NET状态服务ASP.NET进程外会话状态的支持。 ASP.NET State Service 在进程外存储会话数据。 该服务使用套接字与在 web ASP.NET运行的服务器通信。
系统服务名称 :aspnet_state
应用程序协议 | 协议 | 端口 |
---|---|---|
ASP.NET会话状态 | TCP | 42424 |