本文討論 Microsoft 客戶端和服務器操作系統(tǒng)、基于服務器的程序及其在 Microsoft Windows Server 系統(tǒng)中使用的子項所需的網(wǎng)絡端口、協(xié)議和服務。 管理員和支持專業(yè)人員可以使用本文作為路線圖，以確定 Microsoft 操作系統(tǒng)和程序在分段網(wǎng)絡中建立網(wǎng)絡連接需要哪些端口和協(xié)議。

原始產(chǎn)品版本： Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、版本 2004、Windows 10、版本 1909、Windows 10、版本 1903、Windows 7 Service Pack 1
原始 KB 編號： 832017

請勿使用本文中的端口信息配置 Windows 防火墻。 若要了解如何配置 Windows 防火墻，請參閱 高級安全 Windows 防火墻。

Windows Server 系統(tǒng)包括一個全面且集成的基礎結(jié)構(gòu)，以滿足 IT 專業(yè)人員和 IT 專業(yè)人員 (信息技術) 要求。 此系統(tǒng)運行的程序和解決方案可用于快速輕松地獲取、分析和共享信息。 這些 Microsoft 客戶端、服務器和服務器程序產(chǎn)品使用不同的網(wǎng)絡端口和協(xié)議來通過網(wǎng)絡與客戶端系統(tǒng)和其他服務器系統(tǒng)進行通信。 專用防火墻、基于主機的防火墻和 Internet 協(xié)議安全 (IPsec) 篩選器是您必須幫助保護網(wǎng)絡安全的重要信息組件。 但是，如果這些技術配置為阻止特定服務器使用的端口和協(xié)議，該服務器將不再響應客戶端請求。

概述

以下列表概述了本文包含的信息：

• " 部分：

  • 包含每個服務的簡要說明。
  • 顯示每個服務的邏輯名稱。
  • 指示每個服務正確操作所需的端口和協(xié)議。

  使用此部分可幫助標識特定服務使用的端口和協(xié)議。

• " 部分包含一個表，其中匯總了"系統(tǒng)服務端口"部分的信息。 表按端口號而不是服務名稱排序。 使用此部分可以快速確定哪些服務偵聽特定端口。

本文以特定方式使用特定術語。 為了幫助避免混淆，請確保您了解文章如何使用以下術語：

• 系統(tǒng)服務：系統(tǒng)服務是作為應用程序的啟動過程的一部分或作為操作系統(tǒng)啟動過程的一部分自動加載的程序。 系統(tǒng)服務支持操作系統(tǒng)必須執(zhí)行的不同任務。 例如，運行 Windows Server 2003 Enterprise Edition 的計算機上可用的某些系統(tǒng)服務包括服務器服務、打印后臺處理程序服務和萬維網(wǎng)發(fā)布服務。 每個系統(tǒng)服務都有 一個友好的服務名稱和 一 個服務名稱。 友好服務名稱是顯示在圖形管理工具（如服務 Microsoft 管理控制臺和 MMC (MMC) 中）中的名稱。 服務名稱是命令行工具和許多腳本語言使用的名稱。 每個系統(tǒng)服務可能提供一個或多個網(wǎng)絡服務。
• 應用程序協(xié)議：本文中，應用程序協(xié)議是指使用一個或多個 TCP/IP 協(xié)議和端口的高級別網(wǎng)絡協(xié)議。 應用程序協(xié)議的示例包括 HTTP、服務器郵件阻止 (SMB) 以及簡單郵件傳輸協(xié)議 (SMTP) 。
• 協(xié)議：TCP/IP 協(xié)議是網(wǎng)絡上設備之間通信的標準格式。 TCP/IP 協(xié)議在比應用程序協(xié)議更低的級別運行。 TCP/IP 協(xié)議套件包括 TCP、用戶數(shù)據(jù)報協(xié)議 (UDP) 以及 INTERNET 控制消息協(xié)議 (ICMP) 。
• 端口：它是系統(tǒng)服務偵聽傳入網(wǎng)絡流量的網(wǎng)絡端口。

本文不指定哪些服務依賴于其他服務進行網(wǎng)絡通信。 例如，許多服務依賴 Microsoft Windows (RPC) 或 DCOM 功能來為其分配動態(tài) TCP 端口。 遠程過程調(diào)用服務協(xié)調(diào)使用 RPC 或 DCOM 與客戶端計算機通信的其他系統(tǒng)服務的請求。 許多其他服務依賴于網(wǎng)絡基本輸入/輸出系統(tǒng) (NetBIOS) 或 SMB，即服務器服務提供的協(xié)議。 其他服務依賴于 HTTP 或超文本傳輸協(xié)議安全 (HTTPS) 。 這些協(xié)議由 IIS Internet Information Services (提供) 。 本文不討論 Windows 操作系統(tǒng)的體系結(jié)構(gòu)。 但是，有關此主題的詳細文檔可在 Microsoft TechNet 和 MSDN Microsoft 開發(fā)人員網(wǎng)絡 (上) 獲取。 盡管許多服務可能依賴于特定的 TCP 或 UDP 端口，但一次只能偵聽一個服務或進程。

將 RPC 與 TCP/IP 或 UDP/IP 一起用作傳輸時，會經(jīng)常根據(jù)需要動態(tài)地將傳入端口分配給系統(tǒng)服務。 使用高于端口 1024 的 TCP/IP 和 UDP/IP 端口。 這些端口也非正式稱為 隨機 RPC 端口。 在這些情況下，RPC 客戶端依賴 RPC 終結(jié)點映射器來告知它們向服務器分配了哪些動態(tài)端口或端口。 對于某些基于 RPC 的服務，可以配置特定端口，而不是讓 RPC 動態(tài)分配端口。 還可以限制 RPC 動態(tài)分配給較小范圍的端口范圍，而不考慮服務。 有關本主題的詳細信息，請參閱"引用 部分。

本文包含有關"適用于"部分中列出的 Microsoft 產(chǎn)品的系統(tǒng)服務角色和服務器角色的信息。 雖然此信息也可能適用于 Windows XP 和 Microsoft Windows 2000 Professional，但本文側(cè)重于服務器類操作系統(tǒng)。 因此，本文介紹服務偵聽的端口，而不是客戶端程序用于連接到遠程系統(tǒng)的端口。

系統(tǒng)服務端口

本節(jié)提供每個系統(tǒng)服務的說明，包括與系統(tǒng)服務對應的邏輯名稱，并顯示每個服務所需的端口和協(xié)議。

Active Directory (本地安全機構(gòu))

Active Directory 在 Lsass.exe 進程下運行，包括 Windows 域控制器的身份驗證和復制引擎。 域控制器、客戶端計算機和應用程序服務器需要通過特定硬編碼端口與 Active Directory 建立網(wǎng)絡連接。 此外，除非使用隧道協(xié)議將流量封裝到 Active Directory，否則需要介于 1024 到 5000 和 49152 到 65535 之間的臨時 TCP 端口范圍。

封裝的解決方案可能包含一個 VPN 網(wǎng)關，該網(wǎng)關位于使用第 2 層隧道協(xié)議 (L2TP) IPsec 的篩選路由器后面。 在此封裝方案中，必須允許以下項通過路由器，而不是打開本主題中列出的所有端口和協(xié)議：

• IPsec 封裝安全協(xié)議 (ESP) (IP 協(xié)議 50)
• IPsec 網(wǎng)絡地址轉(zhuǎn)換器遍歷 UDP 端口 4500 (NAT-T)
• IPsec Internet 安全關聯(lián)和密鑰管理協(xié)議 (ISAKMP) (UDP 端口 500)

最后，可以按照將 Active Directory RPC流量限制到特定端口中的步驟對用于 Active Directory 復制的端口進行硬編碼。 系統(tǒng)服務名稱 ：LSASS。

1 若要詳細了解如何自定義此端口，請參閱"引用"部分中的域控制器和 Active Directory。 本節(jié)還包括在先決條件驗證期間Windows Server 2012域控制器升級中首先使用的遠程 WMI 和 DCOM 通信以及服務器管理器工具。

Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的區(qū)域。

此外，Microsoft LDAP 客戶端使用 ICMP ping 來驗證其具有待定請求的 LDAP 服務器是否仍存在于網(wǎng)絡中。 以下設置是 LDAP 會話選項：

• PingKeepAliveTimeout = 120 秒 (在服務器最后一次響應后等待的時間，然后它開始發(fā)送 ping PingLimit) = 4 (關閉連接之前發(fā)送的 ping)
• PingWaitTimeout = 2000 毫秒 (等待 ICMP 響應的時間)
• 參考 ：LdapSessionOptions 類

應用程序?qū)泳W(wǎng)關服務

Internet 連接共享/Internet 連接防火墻 (ICF) 服務的這一子項提供對插件的支持，這些插件允許網(wǎng)絡協(xié)議通過防火墻，并支持 Internet 連接共享。 應用程序?qū)泳W(wǎng)關 (ALG) 插件可以打開端口并更改數(shù)據(jù)包 (的端口和 IP) 等數(shù)據(jù)。 FTP 是唯一具有 Windows Server 中包含的插件的網(wǎng)絡協(xié)議。 ALG FTP 插件通過這些組件使用的 NAT) 引擎的網(wǎng)絡地址轉(zhuǎn)換支持活動的 FTP 會話 (NAT 轉(zhuǎn)換。 ALG FTP 插件支持這些會話，將滿足以下條件的所有流量重定向到環(huán)回適配器上范圍為 3000 到 5000 的專用偵聽端口：

• 通過 NAT 引擎
• 定向到端口 21

然后，ALG FTP 插件監(jiān)視和更新 FTP 控制通道流量，以便 FTP 插件可以通過 FTP 數(shù)據(jù)通道的 NAT 轉(zhuǎn)發(fā)端口映射。 FTP 插件還會更新 FTP 控制通道流中的端口。

系統(tǒng)服務名稱 ：ALG

ASP.NET State Service

ASP.NET狀態(tài)服務ASP.NET進程外會話狀態(tài)的支持。 ASP.NET State Service 在進程外存儲會話數(shù)據(jù)。 該服務使用套接字與在 web ASP.NET運行的服務器通信。

系統(tǒng)服務名稱 ：aspnet_state

如果您有其他問題，可以聯(lián)系北京優(yōu)勝智連阿里云代理商，為您提供一對一專業(yè)全面的技術服務，同時新老阿里云會員，均可享受我公司代理商價格，歡迎咨詢！