本文討論 Microsoft 客戶端和服務(wù)器操作系統(tǒng)、基于服務(wù)器的程序及其在 Microsoft Windows Server 系統(tǒng)中使用的子項(xiàng)所需的網(wǎng)絡(luò)端口、協(xié)議和服務(wù)。 管理員和支持專業(yè)人員可以使用本文作為路線圖，以確定 Microsoft 操作系統(tǒng)和程序在分段網(wǎng)絡(luò)中建立網(wǎng)絡(luò)連接需要哪些端口和協(xié)議。

原始產(chǎn)品版本： Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、版本 2004、Windows 10、版本 1909、Windows 10、版本 1903、Windows 7 Service Pack 1
原始 KB 編號： 832017

請勿使用本文中的端口信息配置 Windows 防火墻。 若要了解如何配置 Windows 防火墻，請參閱 高級安全 Windows 防火墻。

Windows Server 系統(tǒng)包括一個(gè)全面且集成的基礎(chǔ)結(jié)構(gòu)，以滿足 IT 專業(yè)人員和 IT 專業(yè)人員 (信息技術(shù)) 要求。 此系統(tǒng)運(yùn)行的程序和解決方案可用于快速輕松地獲取、分析和共享信息。 這些 Microsoft 客戶端、服務(wù)器和服務(wù)器程序產(chǎn)品使用不同的網(wǎng)絡(luò)端口和協(xié)議來通過網(wǎng)絡(luò)與客戶端系統(tǒng)和其他服務(wù)器系統(tǒng)進(jìn)行通信。 專用防火墻、基于主機(jī)的防火墻和 Internet 協(xié)議安全 (IPsec) 篩選器是您必須幫助保護(hù)網(wǎng)絡(luò)安全的重要信息組件。 但是，如果這些技術(shù)配置為阻止特定服務(wù)器使用的端口和協(xié)議，該服務(wù)器將不再響應(yīng)客戶端請求。

概述

以下列表概述了本文包含的信息：

• " 部分：

  • 包含每個(gè)服務(wù)的簡要說明。
  • 顯示每個(gè)服務(wù)的邏輯名稱。
  • 指示每個(gè)服務(wù)正確操作所需的端口和協(xié)議。

  使用此部分可幫助標(biāo)識(shí)特定服務(wù)使用的端口和協(xié)議。

• " 部分包含一個(gè)表，其中匯總了"系統(tǒng)服務(wù)端口"部分的信息。 表按端口號而不是服務(wù)名稱排序。 使用此部分可以快速確定哪些服務(wù)偵聽特定端口。

將 RPC 與 TCP/IP 或 UDP/IP 一起用作傳輸時(shí)，會(huì)經(jīng)常根據(jù)需要?jiǎng)討B(tài)地將傳入端口分配給系統(tǒng)服務(wù)。 使用高于端口 1024 的 TCP/IP 和 UDP/IP 端口。 這些端口也非正式稱為 隨機(jī) RPC 端口。 在這些情況下，RPC 客戶端依賴 RPC 終結(jié)點(diǎn)映射器來告知它們向服務(wù)器分配了哪些動(dòng)態(tài)端口或端口。 對于某些基于 RPC 的服務(wù)，可以配置特定端口，而不是讓 RPC 動(dòng)態(tài)分配端口。 還可以限制 RPC 動(dòng)態(tài)分配給較小范圍的端口范圍，而不考慮服務(wù)。 有關(guān)本主題的詳細(xì)信息，請參閱"引用 部分。

系統(tǒng)服務(wù)端口

本節(jié)提供每個(gè)系統(tǒng)服務(wù)的說明，包括與系統(tǒng)服務(wù)對應(yīng)的邏輯名稱，并顯示每個(gè)服務(wù)所需的端口和協(xié)議。

Active Directory (本地安全機(jī)構(gòu))

Active Directory 在 Lsass.exe 進(jìn)程下運(yùn)行，包括 Windows 域控制器的身份驗(yàn)證和復(fù)制引擎。 域控制器、客戶端計(jì)算機(jī)和應(yīng)用程序服務(wù)器需要通過特定硬編碼端口與 Active Directory 建立網(wǎng)絡(luò)連接。 此外，除非使用隧道協(xié)議將流量封裝到 Active Directory，否則需要介于 1024 到 5000 和 49152 到 65535 之間的臨時(shí) TCP 端口范圍。

封裝的解決方案可能包含一個(gè) VPN 網(wǎng)關(guān)，該網(wǎng)關(guān)位于使用第 2 層隧道協(xié)議 (L2TP) IPsec 的篩選路由器后面。 在此封裝方案中，必須允許以下項(xiàng)通過路由器，而不是打開本主題中列出的所有端口和協(xié)議：

• IPsec 封裝安全協(xié)議 (ESP) (IP 協(xié)議 50)
• IPsec 網(wǎng)絡(luò)地址轉(zhuǎn)換器遍歷 UDP 端口 4500 (NAT-T)
• IPsec Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議 (ISAKMP) (UDP 端口 500)

最后，可以按照將 Active Directory RPC流量限制到特定端口中的步驟對用于 Active Directory 復(fù)制的端口進(jìn)行硬編碼。 系統(tǒng)服務(wù)名稱 ：LSASS。

1 若要詳細(xì)了解如何自定義此端口，請參閱"引用"部分中的域控制器和 Active Directory。 本節(jié)還包括在先決條件驗(yàn)證期間Windows Server 2012域控制器升級中首先使用的遠(yuǎn)程 WMI 和 DCOM 通信以及服務(wù)器管理器工具。

Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的區(qū)域。

此外，Microsoft LDAP 客戶端使用 ICMP ping 來驗(yàn)證其具有待定請求的 LDAP 服務(wù)器是否仍存在于網(wǎng)絡(luò)中。 以下設(shè)置是 LDAP 會(huì)話選項(xiàng)：

• PingKeepAliveTimeout = 120 秒 (在服務(wù)器最后一次響應(yīng)后等待的時(shí)間，然后它開始發(fā)送 ping PingLimit) = 4 (關(guān)閉連接之前發(fā)送的 ping)
• PingWaitTimeout = 2000 毫秒 (等待 ICMP 響應(yīng)的時(shí)間)
• 參考 ：LdapSessionOptions 類

應(yīng)用程序?qū)泳W(wǎng)關(guān)服務(wù)

Internet 連接共享/Internet 連接防火墻 (ICF) 服務(wù)的這一子項(xiàng)提供對插件的支持，這些插件允許網(wǎng)絡(luò)協(xié)議通過防火墻，并支持 Internet 連接共享。 應(yīng)用程序?qū)泳W(wǎng)關(guān) (ALG) 插件可以打開端口并更改數(shù)據(jù)包 (的端口和 IP) 等數(shù)據(jù)。 FTP 是唯一具有 Windows Server 中包含的插件的網(wǎng)絡(luò)協(xié)議。 ALG FTP 插件通過這些組件使用的 NAT) 引擎的網(wǎng)絡(luò)地址轉(zhuǎn)換支持活動(dòng)的 FTP 會(huì)話 (NAT 轉(zhuǎn)換。 ALG FTP 插件支持這些會(huì)話，將滿足以下條件的所有流量重定向到環(huán)回適配器上范圍為 3000 到 5000 的專用偵聽端口：

• 通過 NAT 引擎
• 定向到端口 21

然后，ALG FTP 插件監(jiān)視和更新 FTP 控制通道流量，以便 FTP 插件可以通過 FTP 數(shù)據(jù)通道的 NAT 轉(zhuǎn)發(fā)端口映射。 FTP 插件還會(huì)更新 FTP 控制通道流中的端口。

系統(tǒng)服務(wù)名稱 ：ALG

ASP.NET State Service

ASP.NET狀態(tài)服務(wù)ASP.NET進(jìn)程外會(huì)話狀態(tài)的支持。 ASP.NET State Service 在進(jìn)程外存儲(chǔ)會(huì)話數(shù)據(jù)。 該服務(wù)使用套接字與在 web ASP.NET運(yùn)行的服務(wù)器通信。

系統(tǒng)服務(wù)名稱 ：aspnet_state

如果您有其他問題，可以聯(lián)系北京優(yōu)勝智連阿里云代理商，為您提供一對一專業(yè)全面的技術(shù)服務(wù)，同時(shí)新老阿里云會(huì)員，均可享受我公司代理商價(jià)格，歡迎咨詢！