Dienstübersicht und Netzwerkportanforderungen für Windows

Gilt für: Windows Server, version 1903Windows 10, version 1903Windows Server 2019, all versions

Warnsymbol
Wichtig
Dieser Artikel enthält mehrere Verweise auf den Standardbereich der dynamischen Ports. Der Standardbereich der dynamischen Ports hat sich unter Windows Server 2008 und höheren Versionen sowie Windows Vista und höheren Versionen wie folgt geändert:
  • Startport: 49152
  • Endport: 65535
In Windows 2000, Windows XP und Windows Server 2003 wird der folgende dynamische Portbereich verwendet:
 
  • Startport: 1025
  • Endport: 5000

Für Sie bedeutet das:
  • Wenn in der Computernetzwerk-Umgebung nur Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 oder Windows Vista verwendet wird, müssen Sie die Konnektivität über den hohen Portbereich von 49152 bis 65535 aktivieren.
  • Wird in der Computernetzwerk-Umgebung Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 oder Windows Vista in Kombination mit älteren Windows-Versionen als Windows Server 2008 und Windows Vista verwendet, dann müssen Sie die Konnektivität über die beiden folgenden Portbereiche aktivieren:
    • Oberer Portbereich 49152 bis 65535
    • Unterer Portbereich 1025 bis 5000
  • Wenn in Ihrer Computernetzwerk-Umgebung nur ältere Windows-Versionen als Windows Server 2008 und Windows Vista verwendet werden, müssen Sie die Konnektivität über den unteren Portbereich 1025 bis 5000 aktivieren.
Weitere Informationen zum Standardbereich der dynamischen Ports in Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista finden Sie im folgenden Microsoft Knowledge Base:
929851 Der Standardbereich der dynamischen Ports für TCP/IP hat sich in Windows Vista und Windows Server 2008 geändert

Zusammenfassung


In diesem Artikel werden die wichtigsten Netzwerkports, -protokolle und -dienste beschrieben, die von Microsoft-Client- und Serverbetriebssystemen, serverbasierten Programmen und deren Unterkomponenten im Microsoft Windows-Serversystem verwendet werden. Administratoren und Supportmitarbeiter können sich in diesem Microsoft Knowledge Base-Artikel einen Überblick darüber verschaffen, welche Ports und Protokolle Microsoft-Betriebssysteme und Programme für die Netzwerkkonnektivität in einem segmentierten Netzwerk benötigen.

Die Portinformationen in diesem Artikel sollten nicht zur Konfiguration von Windows Firewall verwendet werden. Weitere Informationen zum Konfigurieren von Windows-Firewall finden Sie auf der folgenden Microsoft-Website:
 Das Windows-Serversystem bietet eine umfassende und integrierte Infrastruktur, die dazu dient, die Anforderungen von Entwicklern und IT (Information Technology)-Experten zu erfüllen. Dieses System führt Programme und Lösungen aus, mit denen Sie Informationen schnell und einfach abrufen, analysieren und weitergeben können. Diese Microsoft-Client-, Server- und Serverprogrammprodukte verwenden verschiedene Netzwerkports und -protokolle, um mit Clientsystemen und anderen Serversystemen über das Netzwerk zu kommunizieren. Dedizierte Firewalls, hostbasierte Firewalls und IPsec-Filter (Internet Protocol Security) sind weitere wichtige Komponenten, die für die Netzwerksicherheit erforderlich sind. Wenn diese Technologien jedoch so konfiguriert sind, dass sie Ports und Protokolle blockieren, die von einem bestimmten Server verwendet werden, antwortet dieser Server nicht mehr auf Clientanforderungen.

Übersicht

Die folgende Liste bietet einen Überblick über die in diesem Artikel enthaltenen Informationen:
 
  • Der Abschnitt „Systemdienstports“ enthält eine kurze Beschreibung der einzelnen Dienste, den logischen Namen der jeweiligen Dienste und die Ports und Protokolle, die für ein fehlerfreies Funktionieren der Dienste erforderlich sind. Nutzen Sie diesen Abschnitt, um die Ports und Protokolle zu ermitteln, die ein bestimmter Dienst verwendet.
  • Der Abschnitt „Ports und Protokolle“ enthält eine Tabelle, in der die Informationen aus dem Abschnitt „Systemdienstports“ zusammengefasst sind. Diese Tabelle ist nach der Portnummer sortiert, nicht nach dem Dienstnamen. Nutzen Sie diesen Abschnitt, um schnell festzustellen, welche Dienste einen bestimmten Port überwachen.

In diesem Artikel werden bestimmte Begriffe auf eine spezifische Art und Weise gebraucht. Um Missverständnisse zu vermeiden, stellen Sie sicher, dass Sie die Bedeutung der Begriffe, so wie Sie im vorliegenden Dokument verwendet werden, verstehen:
  • Systemdienste: Systemdienste sind Programme, die automatisch im Rahmen des Startvorgangs einer Anwendung oder im Rahmen des Startvorgangs des Betriebssystems geladen werden. Systemdienste unterstützen die unterschiedlichen Aufgaben, die das Betriebssystem ausführen muss. Einige Systemdienste auf Computern, auf denen Windows Server 2003, Enterprise Edition, ausgeführt wird, sind z. B. der Serverdienst, der Druckerwarteschlangendienst und der WWW-Publishingdienst. Jeder Systemdienst hat einen Dienstanzeigenamen und einen Dienstnamen. Der Dienstanzeigename ist der Name, der in Verwaltungsprogrammen mit grafischer Benutzeroberfläche, wie z. B. dem Snap-In „Dienste“ in der Microsoft Management Console (MMC) erscheint. Der Dienstname ist der Name, der mit Befehlszeilenprogrammen und zahlreichen Skriptsprachen verwendet wird. Jeder Systemdienst kann einen oder mehrere Netzwerkdienste zur Verfügung stellen.
  • Anwendungsprotokoll: In diesem Artikel ist mit Anwendungsprotokoll ein Netzwerkprotokoll auf hoher Ebene gemeint, das ein oder mehrere TCP/IP-Protokolle und Ports verwendet. Beispiele für Anwendungsprotokolle sind HTTP, Server Message Blocks (SMBs) und das Simple Mail Transfer-Protokoll (SMTP).
  • Protokoll: Die TCP/IP-Protokolle sind Standardformate zum Datenaustausch zwischen Geräten in einem Netzwerk. TCP/IP-Protokolle arbeiten auf einer niedrigeren Ebene als die Anwendungsprotokolle. Die TCP/IP-Protokollsuite umfasst TCP, das User Datagram-Protokoll (UDP) und das Internet Control Message-Protokoll (ICMP).
  • Port: Dieser Begriff bezeichnet den Netzwerkport, den der Systemdienst auf eingehenden Netzwerkverkehr überwacht.
Dieser Artikel erläutert nicht, welche Dienste zur Netzwerkkommunikation auf andere Dienste angewiesen sind. Zum Beispiel stützen sich viele Dienste auf den Remoteprozeduraufruf (Remote Procedure Call, RPC) oder DCOM-Funktionen in Microsoft Windows, die ihnen dynamische TCP-Ports zuweisen. Der RPC-Dienst koordiniert Anfragen von anderen Systemdiensten, die RPC oder DCOM verwenden, um mit Clientcomputern zu kommunizieren. Viele andere Dienste stützen sich auf NetBIOS (Network Basic Input/Output System) oder SMBs, Protokolle, die vom Serverdienst zur Verfügung gestellt werden. Andere Dienste stützen sich auf HTTP oder HTTPS (Hypertext Transfer-Protokoll Secure). Diese Protokolle werden von Internetinformationsdienste (Internet Information Services, IIS) zur Verfügung gestellt. Eine umfassende Erörterung der Struktur der Windows-Betriebssysteme würde den Rahmen dieses Artikels sprengen. Eine detaillierte Dokumentation dieses Themas ist jedoch auf den Websites Microsoft TechNet und Microsoft Developer Network (MSDN) verfügbar. Obwohl sich viele Dienste möglicherweise auf einen bestimmten TCP- oder UDP-Port stützen, kann zu einem gegebenen Zeitpunkt jeweils nur ein Dienst oder Prozess diesen Port aktiv überwachen.

Bei Verwendung von RPC mit TCP/IP oder UDP/IP als Transportprotokoll werden Eingangsports den Systemdiensten häufig dynamisch nach Bedarf zugeordnet. Dabei werden TCP/IP- und UDP/IP-Ports mit einer höheren Portnummer als Port 1024 verwendet. Diese werden informell auch als zufällig ausgewählte RPC-Ports bezeichnet. In diesen Fällen sind RPC-Clients darauf angewiesen, dass die RPC-Endpunktzuordnung ihnen mitteilt, welche(r) dynamische(n) Port(s) dem Server zugeordnet wurde(n). Bei manchen RPC-basierten Diensten können Sie einen bestimmten Port konfigurieren, statt RPC dynamisch einen Port zuweisen zu lassen. Sie können auch, unabhängig vom Dienst, die Bandbreite an Ports, die RPC dynamisch zuordnet, auf einen kleinen Bereich begrenzen. Weitere Informationen zu diesem Thema finden Sie im Abschnitt „Informationsquellen“.

Dieser Artikel enthält Informationen über die Rollen der Systemdienste und der Server bei den Microsoft-Produkten, die im Abschnitt „Die Informationen in diesem Artikel beziehen sich auf“ aufgelistet sind. Die Informationen in diesem Artikel treffen teilweise auch auf Microsoft Windows XP und Microsoft Windows 2000 Professional zu; der Schwerpunkt des Artikels liegt jedoch auf serverspezifischen Betriebssystemen. Deshalb behandelt der Artikel die Ports, die ein Dienst überwacht, und nicht die Ports, mit deren Hilfe Clientprogramme Verbindungen zu einem Remotesystem herstellen.

Systemdienstports

Dieser Abschnitt bietet eine Beschreibung der einzelnen Systemdienste und gibt den logischen Namen der jeweiligen Dienste sowie die Ports und Protokolle an, die die Dienste benötigen.

Klicken Sie in der folgenden Liste auf den Namen eines Systemdiensts, um die Beschreibung anzuzeigen:

1. Active Directory (Lokale Sicherheitsautorität, LSA)

Active Directory wird unter dem Lsass.exe-Prozess ausgeführt und umfasst Module zur Authentifizierung und Replikation für Windows-Domänencontroller Domänencontroller, Clientcomputer und Anwendungsserver benötigen Netzwerkkonnektivität zu Active Directory über spezielle hartcodierte Ports. Sofern kein Tunnelingprotokoll verwendet wird, um Verkehr zu Active Directory zu kapseln, sind zusätzlich eine Reihe temporärer TCP-Ports zwischen 1024 und 5000 und 49152 und 65535 erforderlich.

Informationssymbol
Hinweis
  • Wenn in der Computernetzwerk-Umgebung nur Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista verwendet wird, müssen Sie die Konnektivität über den oberen Portbereich 49152 bis 65535 aktivieren.
  • Wird in der Computernetzwerk-Umgebung Windows Server 2008 R2, Windows Server 2008, Windows 7 oder Windows Vista in Kombination mit älteren Windows-Versionen als Windows Server 2008 und Windows Vista verwendet, dann müssen Sie die Konnektivität über beide Portbereiche aktivieren:
    • Oberer Portbereich 49152 bis 65535
    • Unterer Portbereich 1025 bis 5000
  • Wenn in Ihrer Computernetzwerk-Umgebung nur ältere Windows-Versionen als Windows Server 2008 und Windows Vista verwendet werden, müssen Sie die Konnektivität über den unteren Portbereich 1025 bis 5000 aktivieren.


Eine solche Lösung, bei der Daten gekapselt werden, könnte aus einem VPN-Gateway bestehen, das hinter einem Filterungsrouter liegt, der das Layer 2 Tunneling-Protokoll (L2TP) in Verbindung mit IPsec verwendet. In einem solchen Szenario müssen Sie den folgenden Datenverkehr durch den Router ermöglichen, statt alle in diesem Thema aufgelisteten Ports und Protokolle zu öffnen:
  • IPsec Encapsulating Security Protocol (ESP) (IP-Protokoll 50)
  • IPsec Network Address Translator Traversal (NAT-T, UDP-Port 4500)
  • IPsec Internet Security Association and Key Management-Protokoll (ISAKMP, UDP-Port 500)

Schließlich können Sie den Port, der für die Active Directory-Replikation verwendet wird, hartcodieren, wie im folgenden Artikel der Microsoft Knowledge Base beschrieben: 224196: Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr an einem bestimmten Anschluss Name des Systemdiensts: LSASS

Informationssymbol
Hinweis
Paketfilter für L2TP-Verkehr sind nicht erforderlich, da L2TP durch IPsec ESP geschützt wird.
Anwendungsprotokoll Protokoll Ports
Active Directory Web Services (ADWS) TCP 9389
Active Directory Management Gateway Service TCP 9389
Globaler Katalog TCP 3269
Globaler Katalog TCP 3268
ICMP   Keine Portnummer
LDAP-Server TCP 389
LDAP-Server UDP 389
LDAP SSL TCP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP 1024 – 5000
49152 – 65535²
SMB TCP 445

¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Domänencontroller und Active Directory“ im Abschnitt „Informationsquellen“. Hierzu gehören auch die WMI- und DCOM-Remoteverbindungen, die zuerst bei der Heraufstufung des Domänencontrollers in Windows Server 2012 und vom Tool Server-Manager verwendet wurden.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
³ Der Microsoft LDAP-Client stellt mithilfe von ICMP-Pings sicher, dass ein LDAP-Server, mit dem eine ausstehende Anforderung vorhanden ist, noch im Netzwerk vorhanden ist. Bei den folgenden Einstellungen handelt es sich um LDAP-Sitzungsoptionen:
PingKeepAliveTimeout = 120 Sekunden (wie lange nach der letzten Antwort vom Server ein Ping gesendet wird PingLimit = 4 (nach wie vielen gesendeten Pings die Verbindung getrennt wird)

PingWaitTimeout = 2000 ms (wie lange auf die ICMP-Antwort gewartet wird)

Referenz: LdapSessionOptions-Klasse

2. Gatewaydienst auf Anwendungsebene

Diese Unterkomponente des Diensts Internet Connection Sharing (ICS) / Internet Connection Firewall (ICF) bietet Unterstützung für Plug-Ins, die es Netzwerkprotokollen ermöglichen, die Firewall zu passieren und hinter Internet Connection Sharing ausgeführt zu werden. ALG-Plug-Ins (Application Layer Gateway) können Ports öffnen und Daten ändern, die in Pakete eingebettet sind, z. B. Ports und IP-Adressen. FTP ist das einzige Netzwerkprotokoll mit einem Plug-In, das in Windows Server enthalten ist. Das ALG-FTP-Plug-In unterstützt aktive FTP-Sitzungen mithilfe des Netzwerkadressübersetzungsmoduls (Network Address Translation, NAT), das von diesen Komponenten verwendet wird. Das ALG-FTP-Plug-In unterstützt diese Sitzungen, indem es den gesamten Netzwerkverkehr, der die folgenden Kriterien erfüllt, an einen privaten Überwachungsport umleitet, der im Bereich 3000 bis 5000 im Loopbackadapter liegt:
  • Der Datenverkehr passiert das NAT-Modul.
  • Der Datenverkehr ist an Port 21 gerichtet.

Das ALG-FTP-Plug-In überwacht und aktualisiert dann den FTP-Steuerungskanalverkehr, sodass das FTP-Plug-In Portzuordnungen über das NAT-Modul für die FTP-Datenkanäle weiterleiten kann. Das FTP-Plug-In aktualisiert außerdem Ports im FTP-Steuerungskanalstrom.

Name des Systemdiensts: ALG
Anwendungsprotokoll Protokoll Ports
FTP-Steuerung TCP 21

3. ASP.NET-Zustandsdienst

Der ASP.NET-Zustandsdienst (ASP.NET State Service) unterstützt einen nicht aktiven ASP.NET-Sitzungsstatus. Der ASP.NET-Zustandsdienst speichert Out-of-Process-Sitzungsdaten. Der Dienst verwendet Sockets in der Kommunikation mit ASP.NET, das auf einem Webserver ausgeführt wird.

Name des Systemdiensts: aspnet_state
Anwendungsprotokoll Protokoll Ports
ASP.NET-Sitzungszustand TCP 42424

4. Zertifikatdienste

Zertifikatdienste sind Teil des Kernbetriebssystems. Durch die Verwendung von Zertifikatsdiensten kann ein Unternehmen als seine eigene Zertifizierungsstelle agieren. Auf diese Art kann das Unternehmen digitale Zertifikate für Programme und Protokolle ausstellen und verwalten, wie z. B.:
 
  • Secure/Multipurpose Internet Mail Extensions (S/MIME)
  • SSL (Secure Sockets Layer)
  • EFS (Encrypting File System)
  • IPsec
  • Smartcard-Anmeldung

Zertifikatdienste stützen sich auf RPC und DCOM, um mit Clients kommunizieren zu können. Dabei werden zufällig ausgewählte TCP-Ports verwendet, die höher als Port 1024 sind.

Name des Systemdiensts: CertSvc
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

5. Clusterdienst


Der Clusterdienst steuert Serverclusterfunktionen und verwaltet die Clusterdatenbank. Ein Cluster ist eine Gruppe unabhängiger Computer, die wie ein einzelner Computer agieren. Manager, Programmierer und Benutzer sehen den Cluster als ein einzelnes System. Die Software verteilt Daten zwischen den Knoten des Clusters. Wenn ein Knoten ausfällt, liefern andere Knoten die Dienste und Daten, die zuvor von dem ausgefallenen Knoten bereitgestellt wurden. Wenn ein Knoten hinzugefügt oder repariert wurde, migriert die Clustersoftware einige Daten auf diesen Knoten.

Name des Systemdiensts: ClusSvc
Anwendung Protokoll Ports
Clusterdienst UDP 3343
Clusterdienst TCP 3343 (dieser Port ist während eines Knotenverknüpfungsvorgangs erforderlich.)
RPC TCP 135
Clusterverwaltung UDP 137
Nach dem Zufallsprinzip zugewiesene hohe UDP-Ports¹ UDP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
Hinweis:
Erlauben Sie darüber hinaus für die erfolgreiche Überprüfung von Windows-Failoverclustern in Version 2008 und höher ein- und ausgehenden Datenverkehr für ICMP4, ICMP6 und Port 445/TCP für SMB.

¹ Weitere Informationen zum Anpassen dieser Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

6. Computerbrowser


Der Computerbrowser verwaltet eine aktuelle Liste mit Computern in Ihrem Netzwerk und liefert diese Liste an Programme, die sie anfordern. Der Computerbrowser wird von Windows-Computern zum Einsehen von Netzwerkdomänen und -ressourcen verwendet. Computer, die als Browser gekennzeichnet sind, verwalten Suchlisten, die alle im Netzwerk gemeinsam genutzten Ressourcen enthalten. Ältere Versionen von Windows-Programmen, wie z. B. „Netzwerkumgebung“, der Befehl net view und Windows-Explorer benötigen diese Browserfunktion. Wenn Sie z. B. „Netzwerkumgebung“ auf einem Computer öffnen, auf dem Microsoft Windows 95 ausgeführt wird, erscheint eine Liste von Domänen und Computern. Um diese Liste anzuzeigen, übernimmt der Computer eine Kopie der Suchliste von einem Computer, der als Browser gekennzeichnet ist.

Wenn Sie nur Windows Vista und höhere Versionen von Windows ausführen, ist der Browserdienst nicht mehr erforderlich.

Name des Systemdiensts: Browser
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
Der Browserdienst verwendet RPC über Named Pipes zum Kompilieren

7. DHCP-Server

Der DHCP-Serverdienst verwendet das Dynamic Host Configuration Protocol (DHCP), um IP-Adressen automatisch zuzuordnen. Mit diesem Dienst können Sie die erweiterten Netzwerkeinstellungen von DHCP-Clients anpassen. Sie können z. B. Netzwerkeinstellungen wie DNS-Server (Domain Name System) und WINS-Server (Windows Internet Name Service) konfigurieren. Sie können einen oder mehrere DHCP-Server einrichten, um TCP/IP-Konfigurationsinformationen zu verwalten und diese Informationen an Clientcomputer weiterzugeben.

Name des Systemdiensts: DHCPServer
Anwendungsprotokoll Protokoll Ports
DHCP-Server UDP 67
MADCAP UDP 2535
DHCP-Failover TCP 647

8. DFS-Namespaces (DFSN)

Der DFS-Dienst (Distributed File System, Verteiltes Dateisystem) fasst verschiedene Dateifreigaben, die sich in einem LAN (Logical Area Network) oder WAN (Wide Area Network) befinden, in einem gemeinsamen logischen Namespace zusammen. Active Directory-Domänencontroller benötigen den DFSN-Dienst, um den freigegebenen SYSVOL-Ordner anzukündigen.

Name des Systemdiensts: Dfs
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138³
NetBIOS-Sitzungsdienst TCP 139³
LDAP-Server TCP 389
LDAP-Server UDP 389
SMB TCP 445
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
³ Die NetBIOS-Ports sind optional und nicht erforderlich, wenn DFSN Server FQDN-Namen verwendet.
 

9. DFS-Replikation

Der DFS-Replikationsdienst ist ein zustandsbasiertes, Multi-Master-Replikationsmodul, das automatisch Aktualisierungen für Dateien und Ordnern zwischen Computern kopiert, die Mitglied einer gemeinsamen Replikationsgruppe sind. Der DFS-Replikationsdienst wurde in Windows Server 2003 R2 hinzugefügt. DFSR kann mithilfe des Befehlszeilenprogramms „Dfsrdiag.exe“ zur Replikation von Dateien an bestimmten Ports unabhängig davon konfiguriert werden, ob die Dateien an DFS-Namespaces (DFSN) teilnehmen oder nicht.

Name des Systemdiensts: DFSR
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
RPC TCP 5722³
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie im Abschnitt „Verteilter Replikationsdienst“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
³ Port 5722 wird nur auf Domänencontrollern mit Windows Server 2008 oder Windows Server 2008 R2 verwendet. Auf einem Domänencontroller mit Windows Server 2012 wird dieser Port nicht verwendet.

10. Server für die Überwachung verteilter Verknüpfungen

Der Systemdienst „Server für die Überwachung verteilter Verknüpfungen“ speichert Informationen, sodass Dateien, die zwischen Datenträgern ausgetauscht werden, auf jeden Datenträger in der Domäne zurückverfolgt werden können. Der Dienst zur Überwachung verteilter Verknüpfungen (Server) wird auf den einzelnen Domänencontrollern in einer Domäne ausgeführt. Dieser Dienst ermöglicht es dem Dienst zur Überwachung verteilter Verknüpfungen (Client), verknüpfte Dokumente nachzuverfolgen, die an einen Speicherort auf einem anderen NTFS-Dateisystemdatenträger in derselben Domäne verschoben wurden.

Name des Systemdiensts: TrkSvr
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

11. Distributed Transaction Coordinator

Der Systemdienst „Distributed Transaction Coordinator“ (DTC) dient der Koordination von Transaktionen, die über mehrere Computersysteme und Ressourcen-Manager verteilt sind, wie z. B. Datenbanken, Nachrichtenwarteschlangen, Dateisysteme oder andere transaktionsgeschützte Ressourcen-Manager. Der DTC-Systemdienst ist erforderlich, wenn Transaktionskomponenten durch COM+ konfiguriert werden. Er wird auch für Transaktionswarteschlangen im Message Queuing (auch als MSMQ bezeichnet) und bei systemübergreifenden SQL Server-Operationen benötigt.

Name des Systemdiensts: MSDTC
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Distributed Transaction Coordinator“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

12. DNS-Server

Der DNS Server-Dienst ermöglicht die DNS-Namensauflösung, indem er Abfragen und Aktualisierungsanfragen für DNS-Namen beantwortet. DNS-Server sind erforderlich, um Geräte und Dienste zu finden, die durch DNS-Namen gekennzeichnet sind, und um Domänencontroller in Active Directory zu finden.

Name des Systemdiensts:
DNS
Anwendungsprotokoll Protokoll Ports
DNS UDP 53
DNS TCP 53

13. Ereignisprotokoll

Der Ereignisprotokoll-Systemdienst protokolliert Ereignismeldungen, die von Programmen und vom Windows-Betriebssystem generiert werden. Ereignisprotokollberichte enthalten Informationen, die Sie zur Problemdiagnose verwenden können. Berichte werden in der Ereignisanzeige angezeigt. Der Ereignisprotokolldienst schreibt Ereignisse, die von Programmen, Diensten und vom Betriebssystem gesendet werden, in Protokolldateien. Die Ereignisse enthalten neben Fehlermeldungen, die für das Quellprogramm, den Dienst oder die Komponente spezifisch sind, auch Diagnoseinformationen. Die Protokolle können durch die Ereignisprotokoll-APIs oder durch die Ereignisanzeige in einem MMC-Snap-In programmgesteuert eingesehen werden.

Name des Systemdiensts: Eventlog
Anwendungsprotokoll Protokoll Ports
RPC/Named Pipes (NP) TCP 139
RPC/NP TCP 445
RPC/NP UDP 137
RPC/NP UDP 138
Informationssymbol
Hinweis
Der Ereignisprotokolldienst verwendet RPC über Named Pipes. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

14. Faxdienst

Der Faxdienst ist ein TAPI-kompatibler Systemdienst (TAPI = Telephony API), der verschiedene Faxfunktionen bietet. Mithilfe des Faxdiensts können Benutzer Faxe von ihren Desktopprogrammen aus versenden und empfangen, indem sie entweder ein lokales Faxgerät oder ein freigegebenes Netzwerkfaxgerät verwenden.

Name des Systemdiensts: Fax
Anwendungsprotokoll Protokoll Ports
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

15. Dateireplikation

Der Dateireplikationsdienst (File Replication Service, FRS) ist ein dateibasiertes Replikationsmodul, das automatisch Aktualisierungen für Dateien und Ordnern zwischen Computern, die an einem gemeinsamen FRS-Replikatsatz teilnehmen, kopiert. FRS ist das Standardreplikationsmodul, das verwendet wird, um Inhalte der SYSVOL-Ordner zwischen Windows 2000-basierten und Windows Server 2003-basierten Domänencontrollern zu replizieren, die sich in einer gemeinsamen Domäne befinden. Mit dem DFS-Verwaltungsprogramm kann FRS so konfiguriert werden, dass Dateien und Ordner zwischen den Zielen eines DFS-Stamms oder einer DFS-Verknüpfung repliziert werden.

Name des Systemdiensts: NtFrs
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Dateireplikationsdienst“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

16. FTP-Publishingdienst


Der FTP-Publishingdienst ermöglicht die FTP-Konnektivität. Standardmäßig ist Port 21 der FTP-Steuerungsport. Sie können jedoch diesen Systemdienst mithilfe des IIS-Manager-Snap-Ins konfigurieren. Der Standarddatenport (der für aktives FTP verwendet wird) wird automatisch auf einen Port niedriger als der Steuerungsport gesetzt. Wenn Sie also den Steuerungsport als Port 4131 konfigurieren, ist der Standarddatenport der Port 4130. Die meisten FTP-Clients nutzen passives FTP. Das bedeutet, dass der Client zunächst über den Steuerungsport eine Verbindung zum FTP-Server herstellt. Als Nächstes weist der FTP-Server einen hohen TCP-Port zwischen 1025 und 5000 zu. Dann öffnet der Client eine zweite Verbindung zum FTP-Server für die Datenübertragung. Sie können den Bereich hoher Ports mithilfe der IIS-Metabasis konfigurieren.

Name des Systemdiensts: MSFTPSVC
Anwendungsprotokoll Protokoll Ports
FTP-Steuerung TCP 21
FTP-Standarddaten TCP 20
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535¹
¹ Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

17. Gruppenrichtlinie


Für die erfolgreiche Anwendung einer Gruppenrichtlinie muss ein Client über die Protokolle DCOM, ICMP, LDAP, SMB und RPC eine Verbindung zu einem Domänencontroller herstellen können. Windows XP und Windows Server 2003 erfordern darüber hinaus das ICMP-Protokoll.

Wenn eines dieser Protokolle nicht verfügbar ist oder zwischen dem Client und dem entsprechenden Domänencontroller blockiert ist, wird die Richtlinie nicht angewendet oder aktualisiert. Für eine domänenübergreifende Anmeldung, bei der sich Computer und Benutzerkonto in unterschiedlichen Domänen befinden, sind diese Protokolle möglicherweise nötig, damit der Client, die Ressourcendomäne und die Kontendomäne kommunizieren können. ICMP wird für die Erkennung langsamer Verbindungen verwendet. Weitere Informationen über die Erkennung langsamer Verbindungen finden Sie im folgenden Artikel der Microsoft Knowledge Base: 227260: Langsame Verbindungen bei der Verarbeitung von Benutzerprofilen und Gruppenrichtlinien erkennen 2008977: Gruppenrichtlinien zur Erkennung von langsamen Verknüpfungen mit Windows Vista und Server 2008

Name des Systemdiensts: Gruppenrichtlinie
Anwendungsprotokoll Protokoll Ports
DCOM¹ TCP + UDP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
ICMP (ping)³ ICMP
LDAP TCP 389
SMB TCP 445
RPC¹ TCP 135
beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535
²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Domänencontroller und Active Directory“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
³ Dieses Protokoll ist nur erforderlich, wenn Windows XP und Windows Server 2003 als Clients fungieren.


Informationssymbol
Hinweis
Wenn das MMC-Gruppenrichtlinien-Snap-In (Microsoft Management Console) die Berichte „Gruppenrichtlinienergebnisse“ und „Gruppenrichtlinienmodellierung“ erstellt, werden DCOM und RPC zum Senden und Empfangen der Informationen vom Anbieter des Richtlinienergebnissatzes (RSoP) auf dem Client- oder Domänencontroller verwendet. Die verschiedenen Binärdateien, aus denen die Features des MMC-Snap-Ins „Gruppenrichtlinien“ bestehen, verwenden zum Senden und Empfangen von Informationen primär COM-Aufrufe. Wenn die Remoteberichterstellung von Gruppenrichtlinienergebnissen von einem Computer mit Windows 8 und Windows Server 2012 initiiert wird, muss auf das Ereignisprotokoll des Zielcomputers zugegriffen werden. (Informationen zu Portanforderungen finden Sie im Abschnitt „Ereignisprotokoll“ in diesem Artikel.)

In Windows 8 und Windows Server 2012 wird die Remoteinitialisierung der Aktualisierung von Gruppenrichtlinien für Computer mit Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista unterstützt. Dies erfordert RPC/WMI-Zugriff über den Port 135 und die Eingangsports 49152 bis 65535 auf den Computer, auf dem die Richtlinie aktualisiert wird.

18. HTTP SSL


Durch den HTTP SSL-Systemdienst hat IIS die Möglichkeit, SSL-Funktionen durchzuführen. SSL ist ein offener Standard zur Erstellung eines Kanals für verschlüsselte Kommunikation, der das Abhören vertraulicher Informationen wie z. B. Kreditkartennummern verhindert. Obwohl dieser Dienst auch bei anderen Internetdiensten funktioniert, wird er in erster Linie eingesetzt, um verschlüsselte elektronische Finanztransaktionen im World Wide Web (WWW) durchzuführen. Sie können die Ports für diesen Dienst über das Snap-In IIS-Manager konfigurieren.

Name des Systemdiensts: HTTPFilter
Anwendungsprotokoll Protokoll Ports
HTTPS TCP 443

19. Hyper-V-Dienst


Hyper-V-Replikat
Anwendungsprotokoll Protokoll Port
WMI TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports TCP beliebige Portnummer zwischen 49152 und 65535
Kerberos-Authentifizierung (HTTP) TCP 80
Zertifikatbasierte Authentifizierung (HTTPS) TCP 443


Hyper-V-Livemigration
Anwendungsprotokoll Protokoll Port
Livemigration TCP 6600
SMB TCP 445
Clusterdienstverkehr UDP 3343

20. Internetauthentifizierungsdienst


Der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) führt eine zentrale Authentifizierung, Autorisierung, Überwachung und Kontoverwaltung für Benutzer durch, die eine Verbindung zu einem Netzwerk herstellen. Diese Benutzer können eine LAN-Verbindung oder eine Remoteverbindung nutzen. IAS implementiert das Standardprotokoll „Remote Authentication Dial-In User Service“ (RADIUS) der Internet Engineering Task Force (IETF).

Name des Systemdiensts: IAS
Anwendungsprotokoll Protokoll Ports
Legacy-RADIUS UDP 1645
Legacy-RADIUS UDP 1646
RADIUS-Kontoführung UDP 1813
RADIUS-Authentifizierung UDP 1812

21. Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS)


Dieser Systemdienst bietet NAT-, Adressierungs- und Namensauflösungsdienste für alle Computer in Ihrem Heimnetzwerk oder im Netzwerk eines kleinen Betriebs. Wenn die ICS-Funktion aktiviert ist, wird Ihr Computer zu einem „Internetgateway“ im Netzwerk. Andere Clientcomputer können dann eine Verbindung zum Internet, wie z. B. eine DFÜ-Verbindung oder eine Breitbandverbindung, gemeinsam nutzen. Dieser Dienst bietet grundlegende DHCP- und DNS-Dienste, funktioniert aber auch mit den Windows-DHCP- oder -DNS-Vollfunktionsdiensten. Wenn ICF und ICS als Gateway für die anderen Computer in Ihrem Netzwerk agieren, ermöglichen sie DHCP- und DNS-Dienste für das private Netzwerk an der internen Netzwerkschnittstelle. Sie bieten diese Dienste nicht an der externen Schnittstelle an.

Name des Systemdiensts:
SharedAccess
Anwendungsprotokoll Protokoll Ports
DHCP-Server UDP 67
DNS UDP 53
DNS TCP 53

22. IPAM


Die Benutzeroberfläche des IPAM-Clients (IP Address Management) kommuniziert mit dem IPAM-Server zur Durchführung der Remoteverwaltung. Dies geschieht mithilfe der Windows Communications Framework (WCF), das TCP als Transportprotokoll verwendet. Standardmäßig wird die TCP-Bindung auf dem IPAM-Server an Port 48885 durchgeführt.
BranchCache-Informationen
  • Port 3702 (UDP) wird verwendet, um die Verfügbarkeit von zwischengespeicherten Inhalten auf einem Client zu ermitteln.
  • Über Port 80 (TCP) werden Inhalte den anfordernden Clients zur Verfügung gestellt.
  • Port 443 (TCP) ist der Standardport, über den der gehostete Cache die von Clients eingehenden Inhaltsangebote akzeptiert.

23. ISA/TMG-Server

Anwendungsprotokoll Protokoll Ports
Konfigurationsspeicher (Domäne) TCP 2171 (Hinweis 1)
Konfigurationsspeicher (Replikation) TCP 2173 (Hinweis 1)
Konfigurationsspeicher (Arbeitsgruppe) TCP 2172 (Hinweis 1)
Firewallclientanwendung TCP/UDP 1025-65535 (Hinweis 2)
Firewallclient-Steuerungskanal TCP/UDP 1745 (Hinweis 3)
Firewallsteuerungskanal TCP 3847 (Hinweis 1)
RPC TCP 135 (Hinweis 6)
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports (Hinweis 6) TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 10000 und 65535 (Hinweis 7)
Webverwaltung TCP 2175 (Hinweis 1, 4)
Webproxyclient TCP 8080 (Hinweis 5)
Informationssymbol
Hinweise
  1. Dieser Port wird bei ISA 2000 nicht verwendet.
  2. Der Firewallclient-Anwendungstransport wird samt Protokollen im FWC-Steuerungskanal ausgehandelt.
  3. Die FWC-Steuerung für ISA 2000 verwendet UDP. ISA 2004 und 2006 verwenden TCP.
  4. Die Firewallwebverwaltung wird von OEMs verwendet, um eine nicht auf der MMC basierende Verwaltung von ISA Server zu ermöglichen.
  5. Dieser Port wird auch für Datenverkehr zwischen Arrays verwendet.
  6. Dieser Port wird nur von der ISA Server-Verwaltungs-MMC während der Überwachung von Remoteservern und des Dienststatus verwendet.
  7. Dies ist der Bereich in TMG. Beachten Sie, dass TMG den dynamischen Portbereich in Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista erweitert.

24. Kerberos-Schlüsselverteilungscenter


Wenn Sie den KDC-Systemdienst (KDC = Kerberos Key Distribution Center) benutzen, können sich Benutzer im Netzwerk mithilfe der Version 5 des Kerberos-Authentifizierungsprotokolls anmelden. Wie bei anderen Implementierungen des Kerberos-Protokolls ist der KDC ein einzelner Prozess, der zwei Dienste bietet: den Authentifizierungsdienst und den Ticketdienst. Der Authentifizierungsdienst stellt Tickets aus, die ihrerseits wiederum Tickets ausstellen, während der Ticketdienst Tickets zur Verbindung mit Computern in seiner eigenen Domäne ausstellt.

Name des Systemdiensts:
kdc
Anwendungsprotokoll Protokoll Ports
Kerberos TCP 88
Kerberos UDP 88
Kerberos Password V5 UDP 464
Kerberos Password V5 TCP 464
Domänencontrollerlocator UDP 389

25. Lizenzprotokollierung


Der Systemdienst „Lizenzprotokollierung“ ist ein Tool, das ursprünglich dazu diente, Kunden beim Verwalten der Lizenzen für Microsoft Server-Produkte zu unterstützen, die im Server-CAL-Modell (Client Access License) lizenziert sind. Die Lizenzprotokollierung wurde mit Microsoft Windows NT Server 3.51 eingeführt. Standardmäßig ist der Dienst „Lizenzprotokollierung“ in Windows Server 2003 deaktiviert. Aufgrund ursprünglicher Design-Erfordernisse und sich ändernder Lizenzbedingungen bietet die Lizenzprotokollierung möglicherweise keinen genauen Überblick über die Gesamtzahl erworbener CALs im Vergleich zur Gesamtzahl von CALs, die auf einem bestimmten Server oder im Unternehmen verwendet werden. Die CALs, die von der Lizenzprotokollierung angezeigt werden, können mit der Interpretation des Endbenutzer-Lizenzvertrags (EULA) und mit Produktbenutzungsrechten in Konflikt stehen. Die Lizenzprotokollierung ist in Windows Server 2008 und späteren Betriebssystemen nicht enthalten. Microsoft empfiehlt nur Benutzern der Microsoft Small Business Server-Familie von Betriebssystemen, diesen Dienst auf ihren Servern zu aktivieren.

Name des Systemdiensts:
LicenseService
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
Informationssymbol
Hinweis
Der Lizenzprotokollierungsdienst verwendet RPC über Named Pipes. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

26. Message Queuing


Der Systemdienst „Message Queuing“ (Nachrichtenwarteschlange) ist ein Nachrichteninfrastruktur- und Entwicklungstool für die Erstellung verteilter Nachrichtenprogramme für Windows. Diese Programme können über heterogene Netzwerke hinweg kommunizieren und Nachrichten zwischen Computern versenden, die vorübergehend keine Verbindung zueinander herstellen können. Message Queuing bietet Sicherheit, effizientes Routing, Unterstützung beim Versenden von Nachrichten innerhalb von Transaktionen, Nachrichtendienst nach Priorität und garantierte Nachrichtenübermittlung.

Name des Systemdiensts: MSMQ
Anwendungsprotokoll Protokoll Ports
MSMQ TCP 1801
MSMQ UDP 1801
MSMQ-DCs TCP 2101
MSMQ-Mgmt TCP 2107
MSMQ-Ping UDP 3527
MSMQ-RPC TCP 2105
MSMQ-RPC TCP 2103
RPC TCP 135

27. Microsoft Exchange MTA-Stacks


In Microsoft Exchange 2000 Server und Microsoft Exchange Server 2003 wird der Message Transfer Agent (MTA) häufig genutzt, um abwärtskompatible Nachrichtenübermittlungsdienste zwischen Exchange 2000 serverbasierten Servern und Exchange Server 5.5-basierten Servern in einer gemischten Umgebung bereitzustellen.

Name des Systemdiensts: MSExchangeMTA
Anwendungsprotokoll Protokoll Ports
X.400 TCP 102

28. Microsoft POP3-Dienst


Der Microsoft POP3-Dienst stellt Dienste zum Übertragen und Abrufen von E-Mail-Nachrichten bereit. Administratoren können diesen Dienst nutzen, um E-Mail-Konten auf dem E-Mail-Server zu speichern und zu verwalten. Wenn Sie den Microsoft POP3-Dienst auf dem E-Mail-Server installiert haben, können Benutzer eine Verbindung zum E-Mail-Server herstellen und E-Mail-Nachrichten mit einem E-Mail-Client abrufen, der das POP3-Protokoll unterstützt, wie z. B. Microsoft Outlook.

Name des Systemdiensts: POP3SVC
Anwendungsprotokoll Protokoll Ports
POP3 TCP 110

29. Netzwerkanmeldung


Der Net Logon-Systemdienst verwaltet einen Sicherheitskanal zwischen Ihrem Computer und dem Domänencontroller, um Benutzer und Dienste zu authentifizieren. Er gibt die Anmeldeinformationen des Benutzers an einen Domänencontroller weiter und gibt die Domänensicherheits-IDs und Benutzerrechte für den Benutzer zurück. Dieser Vorgang wird üblicherweise als Pass-Through-Authentifizierung bezeichnet. Net Logon ist so konfiguriert, dass es nur dann automatisch gestartet wird, wenn ein Computer oder Domänencontroller Mitglied einer Domäne ist. In der Windows 2000 Server- und der Windows Server 2003-Produktfamilie veröffentlicht Net Logon SRL-Einträge (Service Resource Locator) im DNS. Wenn dieser Dienst ausgeführt wird, stützt er sich auf den Arbeitsstationsdienst und auf den Dienst „Lokale Sicherheitsautorität“ (Local Security Authority, LSA), die eingehende Anfragen überwachen. Auf Computern innerhalb der Domäne verwendet Net Logon RPC über Named Pipes. Auf Domänencontrollern wird RPC über Named Pipes, RPC über TCP/IP, Mailslots und das Lightweight Directory Access-Protokoll (LDAP) verwendet.

Name des Systemdiensts: Netlogon
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138³
NetBIOS-Namensauflösung UDP 137³
NetBIOS-Sitzungsdienst TCP 139³
SMB TCP 445
LDAP UDP 389
RPC¹ TCP 135, beliebige Portnummer zwischen 1024 und 65535
135, beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Domänencontroller und Active Directory“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.
³ Die NETBIOS-Ports sind optional. Netlogon verwendet diese nur für Vertrauensstellungen, die DNS nicht unterstützen, oder wenn DNS bei einem versuchten Fallback fehlschlägt. Wenn keine WINS-Infrastruktur vorhanden ist und Broadcasts nicht möglich sind, sollten Sie entweder NetBt deaktivieren oder die Computer und Server auf Knotentyp 2 (NodeType=2) festlegen.

Informationssymbol
Hinweis
Der Netzwerkanmeldungsdienst verwendet für ältere Versionen von Windows-Clients RPC über Named Pipes. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

30. NetMeeting-Remotedesktopfreigabe


Der NetMeeting-Remotedesktopfreigabe-Systemdienst ermöglicht autorisierten Benutzern, von einem PC aus über ein Firmenintranet mithilfe von Windows NetMeeting auf einen entfernten Windows-Desktop zuzugreifen. Sie müssen diesen Dienst in NetMeeting explizit aktivieren. Sie können diese Funktion über ein entsprechendes Symbol im Windows-Infobereich deaktivieren oder ausschalten.

Name des Systemdiensts: mnmsrvc
Anwendungsprotokoll Protokoll Ports
Terminaldienste TCP 3389

31. Network News Transfer-Protokoll (NNTP)


Der NNTP-Systemdienst (Network News Transfer-Protokoll) ermöglicht es Computern, auf denen Windows Server 2003 ausgeführt wird, als News-Server zu agieren. Clients können einen Newsclient verwenden, z. B. Microsoft Outlook Express, um Newsgroups von dem Server abzurufen und die Kopfzeilen oder Textkörper der Artikel in den einzelnen Newsgroups zu lesen.

Name des Systemdiensts:
NNTPSVC
Anwendungsprotokoll Protokoll Ports
NNTP TCP 119
NNTP über SSL TCP 563

32. Offlinedateien, Benutzerprofildienst, Ordnerumleitung und primärer Computer


In Offlinedateien und servergespeicherten Benutzerprofilen werden Benutzerdaten zu Computern für die Offlineverwendung zwischengespeichert. Diese Funktionen sind in allen unterstützten Microsoft-Betriebssystemen vorhanden. In Windows XP wurden das Zwischenspeichern servergespeicherter Benutzerprofile als Bestandteil des Winlogon-Prozesses implementiert, in Windows Vista, Windows Server 2008 und späteren Betriebssystemen wird dagegen der Benutzerprofildienst verwendet. Alle diese Systeme verwenden SMB.

Die Ordnerumleitung leitet Benutzerdaten unter Verwendung von SMB vom lokalen Computer auf eine Remotedateifreigabe um.

Das primäre Computersystem für Windows ist Bestandteil der servergespeicherten Benutzerprofil- und Offlinedateidienste. Die Funktion „Primärer Computer“ ermöglicht es, das Zwischenspeichern von Daten auf Computern zu verhindern, die nicht von einem Administrator für bestimmte Computer autorisiert wurden. Die Funktion „Primärer Computer“ ermittelt mithilfe von LDAP die Konfiguration und führt keine Datenübertragungen mit SMB durch. Stattdessen wird das Standardverhalten der Offlinedateien und servergespeicherten Benutzerprofile geändert. Dieses System wurde in Windows 8 und Windows Server 2012 hinzugefügt.

Systemdienstnamen: ProfSvc, CscService
 
Anwendungsprotokoll Protokoll Ports
SMB TCP 445
Globaler Katalog TCP 3269
Globaler Katalog TCP 3268
LDAP-Server TCP 389
LDAP-Server UDP 389
LDAP SSL TCP 636

33. Leistungsdatenprotokolle und Warnungen


Der Systemdienst „Leistungsprotokolle und Warnungen“ sammelt auf der Grundlage vorkonfigurierter Planparameter Leistungsdaten von lokalen oder Remotecomputern und schreibt diese Daten dann in ein Protokoll oder löst eine Meldung aus. Auf der Grundlage der Informationen in der benannten Protokollsammlungseinstellung startet und stoppt der Systemdienst „Leistungsprotokolle und Warnungen“ jede benannte Sammlung von Leistungsdaten. Dieser Dienst wird nur dann ausgeführt, wenn mindestens eine Sammlung von Leistungsdaten eingeplant wurde.

Name des Systemdiensts:
SysmonLog
Anwendungsprotokoll Protokoll Ports
NetBIOS-Sitzungsdienst TCP 139

34. Druckerspooler


Der Druckspooler-Systemdienst verwaltet alle Druckerwarteschlangen auf dem lokalen Computer und im Netzwerk und steuert zudem alle Druckaufträge. Der Druckspoolerdienst ist die zentrale Komponente des Windows-Druckersubsystems. Er verwaltet die Druckerwarteschlangen im System und kommuniziert mit Druckertreibern und E/A-Komponenten (Eingabe/Ausgabe) wie dem USB-Port und dem TCP/IP-Protokollstapel.

Name des Systemdiensts:
Spooler
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
Informationssymbol
Hinweis
Der Druckspoolerdienst verwendet RPC über Named Pipes. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

35. Remoteinstallation


Mithilfe des Systemdiensts „Remoteinstallation“ können Sie Windows 2000, Windows XP und Windows Server 2003 auf remotebootfähigen Clientcomputern im PXE (Pre-Boot eXecution Environment) installieren. Der Boot Information Negotiation Layer-Dienst (BINL), die Hauptkomponente des Remoteinstallationsservers (RIS), beantwortet PXE-Clientanfragen, überprüft Active Directory auf Clientüberprüfung und gibt Clientinformationen an den Server und vom Server weiter. Der BINL-Dienst wird installiert, wenn Sie die RIS-Komponente über „Windows-Komponenten hinzufügen/entfernen“ hinzufügen oder diese bei der Erstinstallation des Betriebssystems auswählen.

Name des Systemdiensts: BINLSVC
Anwendungsprotokoll Protokoll Ports
BINL UDP 4011

36. Remoteprozeduraufruf (RPC)


Der RPC-Systemdienst (Remote Procedure Call, Remoteprozeduraufruf) bietet einen prozessübergreifenden Kommunikationsmechanismus, der den Datenaustausch und den Aufruf von Funktionen ermöglicht, die sich in einem anderen Prozess befinden. Dieser andere Prozess kann auf demselben Computer, im LAN oder an einem Remotestandort aufgeführt werden. Auf ihn kann über eine WAN-Verbindung oder eine VPN-Verbindung zugegriffen werden. Der RPC-Dienst dient als RPC-Endpunktzuordnung und Dienststeuerungs-Manager für das Component Object Model (COM). Zahlreiche Dienste sind vom RPC-Dienst abhängig, um erfolgreich gestartet werden zu können.

Name des Systemdiensts: RpcSs
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
RPC über HTTPS TCP 593
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
Informationssymbol
Hinweise

 
  • RPC verwendet nicht nur die hartcodierten Ports, die in der Tabelle aufgeführt sind. Ports im temporären Portbereich, die von Active Directory und anderen Komponenten verwendet werden, werden über RPC im temporären Portbereich verwendet. Der temporäre Portbereich hängt vom Serverbetriebssystem, ab, mit dem das Betriebssystem des Clients verbunden ist.
  • Die RPC-Endpunktzuordnung stellt ihre Dienste auch über Named Pipes zur Verfügung. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.
 

37. RPC-Locator


Der Remote Procedure Call (RPC) Locator-Systemdienst verwaltet die RPC-Namensdienstdatenbank. Wenn dieser Dienst aktiviert ist, können RPC-Clients RPC-Server finden. Dieser Dienst ist standardmäßig deaktiviert.

Name des Systemdiensts: RpcLocator
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
Informationssymbol
Hinweis
Der RPC-Locatordienst stellt seine Dienste mithilfe von RPC über Named Pipes zur Verfügung. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

38. Remotespeicherbenachrichtigung


Der Systemdienst „Remotespeicherbenachrichtigung“ benachrichtigt Benutzer, wenn sie von Dateien lesen oder in Dateien schreiben, die nur von einem sekundären Speichermedium aus verfügbar sind. Das Beenden dieses Diensts verhindert, dass die Benachrichtigung gesendet wird.

Name des Systemdiensts: Remote_Storage_User_Link
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

39. Remotespeicher


Der Systemdienst „Remotespeicher“ speichert selten verwendete Dateien auf einem sekundären Speichermedium. Wenn Sie diesen Dienst stoppen, können Benutzer keine Dateien vom sekundären Speichermedium verschieben oder abrufen.

Name des Systemdiensts: Remote_Storage_Server
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

40. Routing und RAS


Der Routing und RAS-Systemdienst bietet LAN-to-LAN-, LAN-to-WAN-, VPN- und NAT-Routingdienste für zahlreiche Protokolle. Der Systemdienst „Routing und RAS“ stellt zudem DFÜ- und VPN-Remotezugriffsdienste bereit. Obwohl Routing und RAS alle unten aufgeführten Protokolle verwenden kann, nutzt dieser Dienst normalerweise nur einen Teil dieser Protokolle. Wenn Sie z. B. ein VPN-Gateway konfigurieren, das hinter einem Filterungsrouter liegt, nutzen Sie wahrscheinlich nur ein Protokoll. Wenn Sie L2TP (Layer 2 Tunneling-Protokoll) mit IPSec verwenden, müssen Sie IPSec-ESP (Enhanced Serial Port, IP-Protokoll 50), NAT-T (UDP an Port 4500) und IPSec ISAKMP (UDP an Port 500) durch den Router ermöglichen.

Informationssymbol
Hinweis
Obwohl NAT-T und IPsec ISAKMP für L2TP erforderlich sind, werden die betreffenden Ports durch die lokale Sicherheitsautorität überwacht. Weitere Informationen zu diesem Thema finden Sie im Abschnitt „Informationsquellen“.

Name des Systemdiensts: RemoteAccess
Anwendungsprotokoll Protokoll Ports
GRE (IP-Protokoll 47) GRE nicht zutreffend
IPsec AH (IP-Protokoll 51) AH nicht zutreffend
IPsec ESP (IP-Protokoll 50) ESP nicht zutreffend
L2TP UDP 1701
PPTP TCP 1723

41. Server


Der Systemdienst „Server“ bietet RPC-Unterstützung und ermöglicht die gemeinsame Nutzung von Dateien, Druckern und Named Pipes im Netzwerk. Der Serverdienst ermöglicht es Benutzern, lokale Ressourcen, wie z. B. Datenträger und Drucker, freizugeben, sodass andere Benutzer im Netzwerk darauf Zugriff haben. Er ermöglicht außerdem die Named Pipe-Kommunikation zwischen Programmen, die auf dem lokalen Computer und auf anderen Computern ausgeführt werden. Named Pipe-Kommunikation bedeutet, dass Speicher für die Ausgabe eines Prozesses reserviert und als Eingabe für einen anderen Prozess verwendet wird. Der Vorgang des Eingangsempfangs muss nicht lokal auf dem Computer stattfinden.

Informationssymbol
Hinweis
Wenn der Computername mithilfe von WINS in mehrere IP-Adressen aufgelöst wird, oder wenn WINS fehlschlägt und der Name mithilfe von DNS aufgelöst wird, versucht NetBIOS über TCP/IP (NetBT), der IP-Adresse bzw. den IP-Adressen des Dateiservers ein Pingsignal zu senden. Die Kommunikation über Port 139 ist abhängig von den Echomeldungen im Internet Control Message-Protokoll (ICMP). Wenn IP-Version 6 (IPv6) nicht installiert ist, stützt sich auch die Kommunikation über Port 445 bei der Namensauflösung auf ICMP. Vorab geladene LMHOSTS-Einträge umgehen die DNS-Auflösung. Ist IPv6 auf einem Computer mit dem Betriebssystem Windows Server 2003 oder Windows XP installiert, dann löst die Kommunikation über Port 445 keine ICMP-Anfragen aus.

Die hier aufgeführten NetBIOS-Ports sind optional. Windows 2000 und neuere Clients können Port 445 verwenden.

Name des Systemdiensts:
lanmanserver
Anwendungsprotokoll Protokoll Ports
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445

42. SharePoint Portal Server


Mit dem Systemdienst „SharePoint Portal Server“ können Sie ein intelligentes Portal entwickeln, das Benutzer, Teams und Wissen nahtlos miteinander verbindet. Dadurch können relevante Informationen über Geschäftsprozesse hinweg genutzt werden. Microsoft SharePoint Portal Server 2003 bietet eine Unternehmenslösung, die Informationen aus verschiedenen Systemen durch Einzelanmeldung und die Fähigkeit zur Integration in Unternehmensanwendungen in eine einzige Lösung integriert.
Anwendungsprotokoll Protokoll Ports
HTTP TCP 80
HTTPS TCP 443

45. Simple Mail Transfer Protocol (SMTP)


Der Systemdienst „Simple Mail Transfer Protocol (SMTP)“ ist ein Agent für E-Mail-Versand und Weiterleitung. Er empfängt E-Mail-Nachrichten für Remotezielcomputer, fügt sie in die Warteschlange ein und führt in festgelegten Abständen Wiederholungsversuche durch. Windows-Domänencontroller verwenden den SMTP-Dienst für die standortübergreifende Replikation auf E-Mail-Basis. Die Collaboration Data Objects (CDO) für die Windows Server 2003 COM-Komponente können den SMTP-Dienst nutzen, um ausgehende E-Mail-Nachrichten zu versenden und in die Warteschlange einzufügen.

Name des Systemdiensts:
SMTPSVC
Anwendungsprotokoll Protokoll Ports
SMTP TCP 25

44. Einfache TCP/IP-Dienste


Einfache TCP/IP-Dienste implementieren die Unterstützung für folgende Protokolle:
  • Echo, Port 7, RFC 862
  • Discard, Port 9, RFC 863
  • Character Generator, Port 19, RFC 864
  • Daytime, Port 13, RFC 867
  • Quote of the Day, Port 17, RFC 865
Name des Systemdiensts: SimpTcp
Anwendungsprotokoll Protokoll Ports
Chargen TCP 19
Chargen UDP 19
Daytime TCP 13
Daytime UDP 13
Discard TCP 9
Discard UDP 9
Echo TCP 7
Echo UDP 7
Quotd TCP 17
Quoted UDP 17

45. SNMP-Dienst


Der SNMP-Dienst ermöglicht es dem lokalen Computer, eingehende SNMP-Anfragen (Simple Network Management-Protokoll) zu bearbeiten. Der SNMP-Dienst beinhaltet Agents, die die Aktivität in Netzwerkgeräten überwachen und dem Netzwerkkonsolencomputer Bericht erstatten. Der SNMP-Dienst bietet eine Methode zur Verwaltung von Netzwerkhosts (z. B. Arbeitsstations- oder Servercomputern, Routern, Brücken und Hubs) von einem zentralen Computer aus, auf dem Netzwerkverwaltungssoftware ausgeführt wird. SNMP führt mithilfe einer verteilten Architektur von Verwaltungssystemen und -Agents Verwaltungsdienste aus.

Name des Systemdiensts: SNMP
Anwendungsprotokoll Protokoll Ports
SNMP UDP 161

46. SNMP-Trap-Dienst


Der SNMP-Trap-Dienst empfängt Fehlermeldungen, die von lokalen oder Remote-SNMP-Agents generiert werden. Dann leitet der SNMP-Trap-Dienst diese Meldungen an SNMP-Verwaltungsprogramme weiter, die auf dem Computer ausgeführt werden. Wenn der SNMP-Trap-Dienst für einen Agent konfiguriert wird, generiert er Fehlermeldungen, sobald bestimmte Ereignisse eintreten. Diese Nachrichten werden an ein Trapziel gesendet. Ein Agent kann z. B. so konfiguriert sein, dass er ein Authentifizierungstrap auslöst, wenn ein unbekanntes Verwaltungssystem Informationen anfordert. Trapziele umfassen den Computernamen, die IP-Adresse oder die IPX-Adresse (Internetwork Packet Exchange) des Verwaltungssystems. Das Trapziel muss ein netzwerkfähiger Host sein, auf dem SNMP-Verwaltungssoftware ausgeführt wird.

Name des Systemdiensts:
SNMPTRAP
Anwendungsprotokoll Protokoll Ports
Ausgehende SNMP-Traps UDP 162

49. SSDP-Suchdienst


Der SSDP-Suchdienst implementiert das Simple Service Discovery Protocol (SSDP) als Windows-Dienst. Der SSDP-Suchdienst verwaltet den Empfang von Anwesenheitsmeldungen der Geräte, aktualisiert seinen Cache und gibt diese Benachrichtigungen an Clients mit anstehenden Suchanfragen weiter. Der SSDP-Suchdienst empfängt außerdem die Registrierung von Ereignisrückrufen von Clients. Die registrierten Ereignisrückrufe werden dann in Abonnementanfragen umgewandelt. Der SSDP-Suchdienst überwacht das System dann auf Ereignisbenachrichtigungen und sendet die Anforderungen an die registrierten Rückrufe. Dieser Systemdienst ermöglicht auch regelmäßige Ankündigungen für gehostete Geräte. Zurzeit verwendet der SSDP-Ereignisbenachrichtigungsdienst den TCP-Port 5000.
Informationssymbol
Hinweis
Ab Windows XP Service Pack 2 (SP2) verwendet der SSDP-Ereignisbenachrichtigungsdienst den TCP-Port 2869.


Name des Systemdiensts:
SSDPRSR
Anwendungsprotokoll Protokoll Ports
SSDP UDP 1900
SSDP-Ereignisbenachrichtigung TCP 2869
SSDP-Legacyereignisbenachrichtigung TCP 5000

48. TCP/IP-Druckserver


Der TCP/IP-Druckserver-Systemdienst ermöglicht das Drucken auf TCP/IP-Grundlage mithilfe des LPD-Protokolls (LDP = Line Printer Daemon). Der LPD-Dienst auf dem Server erhält Dokumente von LPR-Hilfsprogrammen (Line Printer Remote), die auf UNIX-Computern ausgeführt werden.

Name des Systemdiensts:
LPDSVC
Anwendungsprotokoll Protokoll Ports
LPD TCP 515

49. Telnet


Der Telnet-Systemdienst für Windows ermöglicht ASCII-Terminalsitzungen für Telnet-Clients. Telnetserver unterstützen zwei Arten von Authentifizierung sowie folgende vier Arten von Terminals:
American National Standards Institute (ANSI)
VT-100
VT-52
VTNT
Name des Systemdiensts: TlntSvr
Anwendungsprotokoll Protokoll Ports
Telnet TCP 23

50. Terminaldienste


Terminaldienste stellen eine Multisessionumgebung bereit, die es Clientgeräten ermöglicht, auf eine virtuelle Windows-Desktopsitzung sowie auf Windows-basierte Programme zuzugreifen, die auf dem Server ausgeführt werden. Über Terminaldienste können mehrere Benutzer interaktiv mit einem Computer verbunden sein.

Name des Systemdiensts: TermService
Anwendungsprotokoll Protokoll Ports
Terminaldienste TCP 3389

51. Terminaldienstelizenzierung


Der Systemdienst „Terminaldienstelizenzierung“ installiert einen Lizenzserver und vergibt Lizenzen an registrierte Clients, wenn diese eine Verbindung zu einem Terminal-Server (einem Server, auf dem Terminal Server aktiviert ist) herstellen. „Terminaldienstelizenzierung“ ist ein Dienst mit geringem Ressourcenbedarf, der die Clientlizenzen speichert, die für einen Terminalserver erteilt wurden, und die Lizenzen verfolgt, die an Clientcomputer oder Terminals erteilt wurden.

Name des Systemdiensts:
TermServLicensing
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
NetBIOS-Datagrammdienst UDP 138
NetBIOS-Namensauflösung UDP 137
NetBIOS-Sitzungsdienst TCP 139
SMB TCP 445
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

Informationssymbol
Hinweis
Die Terminaldienstelizenzierung stellt ihre Dienste mithilfe von RPC über Named Pipes zur Verfügung. Für diesen Dienst gelten dieselben Firewallanforderungen wie für die Funktion „Datei- und Druckerfreigabe“.

52. Terminaldienste-Sitzungsverzeichnis


Der Systemdienst „Terminaldienste-Sitzungsverzeichnis“ ermöglicht es Clustern von Terminalservern mit Lastausgleich, die Verbindungsanforderung eines Benutzers ordnungsgemäß an den Server weiterzuleiten, auf dem bereits eine Sitzung des Benutzers ausgeführt wird. Benutzer werden an den zuerst verfügbaren Terminalserver weitergeleitet, unabhängig davon, ob sie eine andere Sitzung im Servercluster ausführen. Diese Lastausgleichsfunktion fasst die Prozessorressourcen mehrerer Server mithilfe des TCP/IP-Netzwerkprotokolls in einem Pool zusammen. Mithilfe dieses Diensts können Sie in einem Cluster von Terminalservern die Leistung eines einzelnen Terminalservers verbessern, indem Sie Sitzungen über mehrere Server verteilen. „Terminaldienste-Sitzungsverzeichnis“ überwacht Sitzungen mit abgebrochener Verbindung im Cluster und stellt sicher, dass Benutzer die Verbindung zu diesen Sitzungen wiederherstellen können.

Name des Systemdiensts:
Tssdis
Anwendungsprotokoll Protokoll Ports
RPC TCP 135
Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports¹ TCP beliebige Portnummer zwischen 1024 und 65535
beliebige Portnummer zwischen 49152 und 65535²
¹ Weitere Informationen zum Anpassen dieses Ports finden Sie unter „Remoteprozeduraufrufe (RPC) und DCOM“ im Abschnitt „Informationsquellen“.
² Dies ist der Bereich unter Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 und Windows Vista.

53. Daemon für „Trivial FTP“


Der Systemdienst „Daemon für 'Trivial FTP'“ fragt keinen Benutzernamen und kein Kennwort ab und ist ein integrierter Bestandteil von RIS (Remote Installation Services, Remoteinstallationsdienste). Der Dienst „Daemon für 'Trivial FTP'“ implementiert die Unterstützung für das Trivial FTP-Protokoll (TFTP), das durch folgende RFCs definiert wird:
RFC 1350 - TFTP
RFC 2347 - Option Erweiterung
RFC 2348 - Option Blockgröße
RFC 2349 – Optionen für Zeitüberschreitungsintervall und Übertragungsgröße
Das Trivial File Transfer-Protokoll (TFTP) ist ein Dateiübertragungsprotokoll, das Bootumgebungen ohne Festplatte unterstützt. Der TFTP-Dienst überwacht den UDP-Port 69, antwortet jedoch von einem nach dem Zufallsprinzip zugewiesenen hohen Port. Wenn Sie diesen Port aktivieren, kann der TFTP-Dienst eingehende TFTP-Anforderungen zwar empfangen, die Aktivierung ermöglicht es dem ausgewählten Server jedoch nicht, auf diese Anforderungen zu antworten. Der Dienst kann auf solche Anforderungen von jedem Quellport aus reagieren, und der Remoteclient verwendet dann diesen Port während der Datenübertragung. Die Kommunikation erfolgt bidirektional. Wenn Sie dieses Protokoll über eine Firewall aktivieren müssen, sollten Sie UDP-Port 69 für eingehende Anforderungen öffnen. Sie können sich dann darauf verlassen, dass andere Firewallfeatures dem Dienst dynamisch ermöglichen, durch temporäre Lücken auf einem der anderen Ports zu reagieren.

Name des Systemdiensts:
tftpd
Anwendungsprotokoll Protokoll Ports
TFTP UDP 69

54. UPnP-Gerätehost


Der UPnP-Gerätehost-Suchsystemdienst implementiert alle Komponenten, die für die Geräteregistrierung, -steuerung und Reaktion auf Ereignisse bei gehosteten Geräten erforderlich sind. Die Informationen, die registriert werden und sich auf ein Gerät beziehen (die Beschreibung, die Lebensdauer und die Container) werden optional auf der Festplatte gespeichert und nach der Registrierung oder beim Neustart des Betriebssystems im Netzwerk angekündigt. Dieser Dienst umfasst auch den Webserver, der für das Gerät zuständig ist, sowie Dienstbeschreibungen und eine Präsentationsseite.

Name des Systemdiensts:
UPNPHost
Anwendungsprotokoll Protokoll Ports
UPnP TCP 2869

55. Windows Internet Name Service (WINS)


Der Windows Internet Name Service (WINS) aktiviert die NetBIOS-Namensauflösung. Dieser Dienst hilft Ihnen, Netzwerkressourcen mithilfe von NetBIOS-Namen zu finden. WINS-Server sind erforderlich, sofern nicht alle Domänen auf den Active Directory-Verzeichnisdienst aktualisiert wurden und nicht auf allen Computern im Netzwerk Windows 2000 oder höher ausgeführt wird. WINS-Server kommunizieren mit Netzwerkclients unter Verwendung der NetBIOS-Namensauflösung. Die WINS-Replikation ist nur zwischen WINS-Servern erforderlich.

Name des Systemdiensts: WINS
Anwendungsprotokoll Protokoll Ports
NetBIOS-Namensauflösung UDP 137
WINS-Replikation TCP 42
WINS-Replikation UDP 42

56. Windows Media-Dienste


Windows Media-Dienste in Windows Server 2003 ersetzt die folgenden vier Dienste, die in den Versionen 4.0 und 4.1 von Windows Media-Dienste enthalten sind:
Windows Media Monitor-Dienst
Windows Media Program-Dienst
Windows Media Station-Dienst
Windows Media Unicast-Dienst
Windows Media-Dienste ist jetzt ein einzelner Dienst, der unter Windows Server ausgeführt wird. Seine zentralen Komponenten wurden mithilfe von COM entwickelt. Der Dienst hat eine flexible Struktur, die Sie für bestimmte Programme anpassen können. Windows Media-Dienst unterstützt eine Vielzahl unterschiedlicher Steuerungsprotokolle. Hierzu gehören das Real Time Streaming-Protokoll (RTSP), das Microsoft Media Server-Protokoll (MMS) und HTTP.

Name des Systemdiensts: WMServer
Anwendungsprotokoll Protokoll Ports
HTTP TCP 80
MMS TCP 1755
MMS UDP 1755
MS Theater UDP 2460
RTCP UDP 5005
RTP UDP 5004
RTSP TCP 554

57. Windows-Remoteverwaltung (Windows Remote Management, WinRM)

Name des Systemdiensts:
WinRM
Anwendungsprotokoll Protokoll Ports
WinRM 1.1 und frühere Versionen TP Der standardmäßige HTTP-Port ist TCP 80, und der standardmäßige HTTPS-Port ist TCP 443.
WinRM 2.0 TP Der standardmäßige HTTP-Port ist TCP 5985, und der standardmäßige HTTPS-Port ist TCP 5986.
Weitere Informationen finden Sie auf der folgenden MSDN-Website:
 

58. Windows-Zeitdienst


Der Systemdienst „Windows-Zeitgeber“ ist zuständig für die Synchronisierung von Datum und Zeit auf allen Computern mit Windows XP oder höher und Windows Server 2003 oder höher im Netzwerk. Dieser Dienst nutzt das Network Time-Protokoll (NTP), um die Computersystemuhren zu synchronisieren, sodass die korrekte Uhrzeit oder der korrekte Zeitstempel für die Netzwerküberprüfung und Anforderungen nach Ressourcenzugriff zugewiesen werden. Durch die Implementierung von NTP und die Integration von Zeitanbietern ist der Windows-Zeitdienst ein zuverlässiger und skalierbarer Zeitdienst für Ihr Unternehmen. Bei Computern, die nicht an eine Domäne angeschlossen sind, können Sie den Windows-Zeitdienst so konfigurieren, dass die Uhrzeit mit einer externen Zeitquelle synchronisiert wird. Wenn dieser Dienst deaktiviert ist, wird die Zeiteinstellung für lokale Computer nicht mit einem Zeitdienst in der Windows-Domäne bzw. mit einem extern konfigurierten Zeitdienst synchronisiert. Windows Server 2003 verwendet NTP. NTP wird auf dem UDP-Port 123 ausgeführt. Die Windows 2000-Version dieses Dienstes verwendet das Simple Network Time Protocol (SNTP). SNTP wird ebenfalls auf dem UDP-Port 123 ausgeführt.

Wenn der Windows-Zeitdienst eine Windows-Domänenkonfiguration verwendet, benötigt der Dienst Dienste zum Auffinden von Domänencontrollern und Authentifizierungsdienste. Deshalb sind die Ports für Kerberos und DNS erforderlich.

Name des Systemdiensts:
W32Time
Anwendungsprotokoll Protokoll Ports
NTP UDP 123
SNTP UDP 123

59. WWW-Publishingdienst


Der WWW-Publishingdienst bietet die Infrastruktur, die erforderlich ist, um Websites und Programme, die bei IIS eingetragen sind, zu registrieren, zu verwalten, zu überwachen und zu bedienen. Dieser Systemdienst enthält einen Prozess-Manager und einen Konfigurations-Manager. Der Prozess-Manager steuert die Prozesse für benutzerdefinierte Anwendungen und Websites. Der Konfigurations-Manager liest die gespeicherte Systemkonfiguration für den WWW-Publishingdienst und stellt sicher, dass „Http.sys“ so konfiguriert ist, dass HTTP-Anforderungen an die entsprechenden Anwendungspools oder Betriebssystemprozesse weitergeleitet werden. Sie können die Ports, die von diesem Dienst verwendet werden, mithilfe des Snap-Ins Internetinformationsdienste-Manager (Internet Information Services, IIS), konfigurieren. Wenn die Verwaltungswebsite aktiviert ist, wird eine virtuelle Website erstellt, die HTTP-Verkehr am TCP-Port 8098 nutzt.

Name des Systemdiensts: W3SVC
Anwendungsprotokoll Protokoll Ports
HTTP TCP 80
HTTPS TCP 443

Ports und Protokolle

In der folgenden Tabelle sind die Informationen aus dem Abschnitt „Systemdienstports“ zusammengefasst. Diese Tabelle ist nach der Portnummer sortiert, nicht nach dem Dienstnamen. Klicken Sie hier, um die Tabelle anzuzeigen
Port Protokoll Anwendungsprotokoll Name des Systemdiensts
nicht zutreffend GRE GRE (IP-Protokoll 47) Routing und RAS
nicht zutreffend ESP IPsec ESP (IP-Protokoll 50) Routing und RAS
nicht zutreffend AH IPsec AH (IP-Protokoll 51) Routing und RAS
7 TCP Echo Einfache TCP/IP-Dienste
7 UDP Echo Einfache TCP/IP-Dienste
9 TCP Discard Einfache TCP/IP-Dienste
9 UDP Discard Einfache TCP/IP-Dienste
13 TCP Daytime Einfache TCP/IP-Dienste
13 UDP Daytime Einfache TCP/IP-Dienste
17 TCP Quotd Einfache TCP/IP-Dienste
17 UDP Quotd Einfache TCP/IP-Dienste
19 TCP Chargen Einfache TCP/IP-Dienste
19 UDP Chargen Einfache TCP/IP-Dienste
20 TCP FTP-Standarddaten FTP-Publishingdienst
21 TCP FTP-Steuerung FTP-Publishingdienst
21 TCP FTP-Steuerung Gatewaydienst auf Anwendungsebene
23 TCP Telnet Telnet
25 TCP SMTP SMTP (Simple Mail Transfer-Protokoll)
25 TCP SMTP Exchange Server
42 TCP WINS-Replikation WINS (Windows Internet Name Service)
42 UDP WINS-Replikation WINS (Windows Internet Name Service)
53 TCP DNS DNS-Server
53 UDP DNS DNS-Server
53 TCP DNS Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
53 UDP DNS Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
67 UDP DHCP-Server DHCP-Server
67 UDP DHCP-Server Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung
69 UDP TFTP Daemon für Trivial FTP-Dienst
80 TCP HTTP Windows Media-Dienste
80 TCP HTTP WinRM 1.1 und frühere Versionen
80 TCP HTTP WWW-Publishingdienst
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos Kerberos-Schlüsselverteilungscenter
88 UDP Kerberos Kerberos-Schlüsselverteilungscenter
102 TCP X.400 Microsoft Exchange MTA-Stacks
110 TCP POP3 Microsoft POP3-Dienst
110 TCP POP3 Exchange Server
119 TCP NNTP Network News Transfer-Protokoll
123 UDP NTP Windows-Zeitdienst
123 UDP SNTP Windows-Zeitdienst
135 TCP RPC Message Queuing
135 TCP RPC Remoteprozeduraufruf
135 TCP RPC Exchange Server
135 TCP RPC Zertifikatdienste
135 TCP RPC Clusterdienst
135 TCP RPC DFS-Namespaces (DFSN)
135 TCP RPC Überwachung verteilter Verknüpfungen
135 TCP RPC Distributed Transaction Coordinator
135 TCP RPC Verteilter Dateireplikationsdienst
135 TCP RPC Faxdienst
135 TCP RPC Microsoft Exchange Server
135 TCP RPC Dateireplikationsdienst
135 TCP RPC Gruppenrichtlinie
135 TCP RPC LSA (Lokale Sicherheitsautorität)
135 TCP RPC Remotespeicherbenachrichtigung
135 TCP RPC Remotespeicher
135 TCP RPC Systems Management Server 2.0
135 TCP RPC Terminaldienstelizenzierung
135 TCP RPC Terminaldienste-Sitzungsverzeichnis
137 UDP NetBIOS-Namensauflösung Computerbrowser
137 UDP NetBIOS-Namensauflösung Server
137 UDP NetBIOS-Namensauflösung WINS (Windows Internet Name Service)
137 UDP NetBIOS-Namensauflösung Netzwerkanmeldung
137 UDP NetBIOS-Namensauflösung Systems Management Server 2.0
138 UDP NetBIOS-Datagrammdienst Computerbrowser
138 UDP NetBIOS-Datagrammdienst Server
138 UDP NetBIOS-Datagrammdienst Netzwerkanmeldung
138 UDP NetBIOS-Datagrammdienst Verteiltes Dateisystem
138 UDP NetBIOS-Datagrammdienst Systems Management Server 2.0
138 UDP NetBIOS-Datagrammdienst Lizenzprotokollierungsdienst
139 TCP NetBIOS-Sitzungsdienst Computerbrowser
139 TCP NetBIOS-Sitzungsdienst Faxdienst
139 TCP NetBIOS-Sitzungsdienst Leistungsdatenprotokolle und Warnungen
139 TCP NetBIOS-Sitzungsdienst Druckerspooler
139 TCP NetBIOS-Sitzungsdienst Server
139 TCP NetBIOS-Sitzungsdienst Netzwerkanmeldung
139 TCP NetBIOS-Sitzungsdienst RPC-Locator
139 TCP NetBIOS-Sitzungsdienst DFS-Namespaces (DFSN)
139 TCP NetBIOS-Sitzungsdienst Systems Management Server 2.0
139 TCP NetBIOS-Sitzungsdienst Lizenzprotokollierungsdienst
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP-Dienst
162 UDP Ausgehende SNMP-Traps SNMP-Trap-Dienst
389 TCP LDAP-Server LSA (Lokale Sicherheitsautorität)
389 UDP Domänencontrollerlocator LSA (Lokale Sicherheitsautorität)
389 TCP LDAP-Server DFS-Namespaces (DFSN)
389 UDP Domänencontrollerlocator DFS-Namespaces (DFSN)
389 UDP Domänencontrollerlocator Netlogon
389 UDP Domänencontrollerlocator Kerberos-Schlüsselverteilungscenter
389 TCP LDAP-Server DFS-Replikation
389 UDP Domänencontrollerlocator DFS-Replikation
443 TCP HTTPS HTTP SSL
443 TCP HTTPS WWW-Publishingdienst
443 TCP HTTPS SharePoint Portal Server
443 TCP RPC über HTTPS Exchange Server 2003
443 TCP HTTPS WinRM 1.1 und frühere Versionen
445 TCP SMB Faxdienst
445 TCP SMB Druckerspooler
445 TCP SMB Server
445 TCP SMB RPC-Locator
445 TCP SMB DFS-Namespaces (DFSN)
445 TCP SMB DFS-Replikation
445 TCP SMB Lizenzprotokollierungsdienst
445 TCP SMB Netzwerkanmeldung
464 UDP Kerberos Password V5 Kerberos-Schlüsselverteilungscenter
464 TCP Kerberos Password V5 Kerberos-Schlüsselverteilungscenter
500 UDP IPsec ISAKMP LSA (Lokale Sicherheitsautorität)
515 TCP LPD TCP/IP-Druckserver
554 TCP RTSP Windows Media-Dienste
563 TCP NNTP über SSL Network News Transfer-Protokoll
593 TCP RPC-über-HTTPS-Endpunktzuordnung Remoteprozeduraufruf
593 TCP RPC über HTTPS Exchange Server
636 TCP LDAP SSL LSA (Lokale Sicherheitsautorität)
636 UDP LDAP SSL LSA (Lokale Sicherheitsautorität)
647 TCP DHCP-Failover DHCP-Failover
9389 TCP Active Directory Web Services (ADWS) Active Directory Web Services (ADWS)
9389 TCP Active Directory Web Services (ADWS) Active Directory Management Gateway Service
993 TCP IMAP über SSL Exchange Server
995 TCP POP3 über SSL Exchange Server
1067 TCP Installation Bootstrap Service Protokollserver für den Installationsbootstrap
1068 TCP Installation Bootstrap Service Protokollclient für den Installationsbootstrap
1270 TCP MOM verschlüsselt Microsoft Operations Manager 2000
1433 TCP SQL über TCP Microsoft SQL Server
1433 TCP SQL über TCP MSSQL$UDDI
1434 UDP SQL Probe Microsoft SQL Server
1434 UDP SQL Probe MSSQL$UDDI
1645 UDP Legacy-RADIUS Internetauthentifizierungsdienst
1646 UDP Legacy-RADIUS Internetauthentifizierungsdienst
1701 UDP L2TP Routing und RAS
1723 TCP PPTP Routing und RAS
1755 TCP MMS Windows Media-Dienste
1755 UDP MMS Windows Media-Dienste
1801 TCP MSMQ Message Queuing
1801 UDP MSMQ Message Queuing
1812 UDP RADIUS-Authentifizierung Internetauthentifizierungsdienst
1813 UDP RADIUS-Kontoführung Internetauthentifizierungsdienst
1900 UDP SSDP SSDP-Suchdienst
2101 TCP MSMQ-DCs Message Queuing
2103 TCP MSMQ-RPC Message Queuing
2105 TCP MSMQ-RPC Message Queuing
2107 TCP MSMQ-Mgmt Message Queuing
2393 TCP OLAP Services 7.0 SQL Server: Unterstützung für kompatible OLAP-Clients
2394 TCP OLAP Services 7.0 SQL Server: Unterstützung für kompatible OLAP-Clients
2460 UDP MS Theater Windows Media-Dienste
2535 UDP MADCAP DHCP-Server
2701 TCP SMS-Remotesteuerung (Steuerung) SMS-Remotesteuerungs-Agent
2701 UDP SMS-Remotesteuerung (Steuerung) SMS-Remotesteuerungs-Agent
2702 TCP SMS-Remotesteuerung (Daten) SMS-Remotesteuerungs-Agent
2702 UDP SMS-Remotesteuerung (Daten) SMS-Remotesteuerungs-Agent
2703 TCP SMS-Remotechat SMS-Remotesteuerungs-Agent
2703 UPD SMS-Remotechat SMS-Remotesteuerungs-Agent
2704 TCP SMS-Remotedateiübertragung SMS-Remotesteuerungs-Agent
2704 UDP SMS-Remotedateiübertragung SMS-Remotesteuerungs-Agent
2725 TCP SQL Analysis Services SQL Server Analysis Services
2869 TCP UPnP UPnP-Gerätehost
2869 TCP SSDP-Ereignisbenachrichtigung SSDP-Suchdienst
3268 TCP Globaler Katalog LSA (Lokale Sicherheitsautorität)
3269 TCP Globaler Katalog LSA (Lokale Sicherheitsautorität)
3343 UDP Clusterdienste Clusterdienst
3389 TCP Terminaldienste NetMeeting-Remotedesktopfreigabe
3389 TCP Terminaldienste Terminaldienste
3527 UDP MSMQ-Ping Message Queuing
4011 UDP BINL Remoteinstallation
4500 UDP NAT-T LSA (Lokale Sicherheitsautorität)
5000 TCP SSDP-Legacyereignisbenachrichtigung SSDP-Suchdienst
5004 UDP RTP Windows Media-Dienste
5005 UDP RTCP Windows Media-Dienste
5722 TCP RPC DFS-Replikation
6001 TCP Informationsspeicher Exchange Server 2003
6002 TCP Directory Referral Exchange Server 2003
6004 TCP DSProxy/NSPI Exchange Server 2003
42424 TCP ASP.NET-Sitzungszustand ASP.NET-Zustandsdienst
51515 TCP MOM-Klartext Microsoft Operations Manager 2000
5985 TCP HTTP WinRM 2.0
5986 TCP HTTPS WinRM 2.0
1024 – 65535 TCP RPC Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports
135 TCP WMI Hyper-V-Dienst
beliebige Portnummer zwischen 49152 und 65535 TCP Nach dem Zufallsprinzip zugewiesene hohe TCP-Ports Hyper-V-Dienst
80 TCP Kerberos-Authentifizierung (HTTP) Hyper-V-Dienst
443 TCP Zertifikatbasierte Authentifizierung (HTTPS) Hyper-V-Dienst
6600 TCP Livemigration Hyper-V-Livemigration
445 TCP SMB Hyper-V-Livemigration
3343 UDP Clusterdienstverkehr Hyper-V-Livemigration

Informationssymbol
Hinweis
Port 5722 wird nur auf Domänencontrollern mit Windows Server 2008 oder Windows Server 2008 R2 verwendet; auf einem Domänencontroller mit Windows Server 2012 wird er nicht verwendet. Port 445 wird von DFSR nur beim Erstellen eines neuen leeren replizierten Ordners verwendet.

Microsoft stellt einen Teil der in dieser Tabelle enthaltenen Informationen in einer Microsoft Excel-Tabelle bereit. Diese Tabelle steht im Microsoft Download Center zum Download zur Verfügung.

Active Directory-Anforderungen an Ports und Protokolle

Anwendungsserver, Clientcomputer und Domänencontroller, die sich in einer gemeinsamen oder externen Gesamtstruktur befinden, sind dienstabhängig, damit von Benutzern und Computern gestartete Vorgänge, wie Domänenbeitritt, Anmeldeauthentifizierung, Remoteverwaltung und Active Directory-Replikation ordnungsgemäß funktionieren. Für solche Dienste und Vorgänge ist Netzwerkkonnektivität über bestimmte Netzwerkprotokolle und Ports erforderlich.

Die folgende Liste umfasst Dienste, Ports und Protokolle, die für Mitgliedscomputer und Domänencontroller erforderlich sind, damit sie zusammenarbeiten können oder damit Anwendungsserver Zugriff auf Active Directory haben.
Klicken Sie hier, um eine Liste der Dienste anzuzeigen, von denen Active Directory abhängig ist
  • Active Directory / LSA
  • Computerbrowser
  • DFS-Namespaces (DFSN)
  • DFS-Replikation (nicht beim Einsatz von FRS für die SYSVOL-Replikation)
  • Dateireplikationsdienst (nicht beim Einsatz von DFSR für die SYSVOL-Replikation)
  • Kerberos-Schlüsselverteilungscenter
  • Netzwerkanmeldung
  • Remoteprozeduraufruf (RPC)
  • Server
  • Simple Mail Transfer Protocol (SMTP)
  • WINS (in Windows Server 2003 SP1 und späteren Versionen für Active Directory-Replikationsvorgänge zu Sicherungszwecken, wenn DNS nicht funktioniert)
  • Windows-Zeitdienst
  • WWW-Publishingdienst
Klicken Sie hier, um eine Liste der Dienste anzuzeigen, die Active Directory-Dienste benötigen
  • Zertifikatdienste (für bestimmte Konfigurationen erforderlich)
  • DHCP-Server
  • DFS-Namespaces (nicht bei Verwendung domänenbasierter Namespaces)
  • DFS-Replikation
  • Server für die Überwachung verteilter Verknüpfungen
  • Distributed Transaction Coordinator
  • DNS-Server
  • Faxdienst
  • Dateireplikationsdienst
  • Internetauthentifizierungsdienst
  • Lizenzprotokollierung
  • Netzwerkanmeldung
  • Druckerspooler
  • Remoteinstallation
  • RPC-Locator
  • Remotespeicherbenachrichtigung
  • Remotespeicher
  • Routing und RAS
  • Server
  • Simple Mail Transfer Protocol (SMTP)
  • Terminaldienste
  • Terminaldienstelizenzierung
  • Terminaldienste-Sitzungsverzeichnis

Informationsquellen


Klicken Sie hier, um eine Liste der Verweise auf Informationsquellen anzuzeigen

Die Hilfedateien für die in diesem Artikel beschriebenen Microsoft-Produkte enthalten zusätzliche Informationen, die bei der Konfiguration Ihrer Programme hilfreich sein können.

Informationen zu Firewalls und Ports für Active Directory-Domänendienste finden Sie im Microsoft Knowledge Base-Artikel 179442: Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

Allgemeine Informationen

Weitere Informationen darüber, wie Sie Windows Server absichern können, sowie IPSec-Beispielfilter für bestimmte Serverrollen finden Sie unter Microsoft Security Compliance Manager. Dieses Tool fasst alle früheren Sicherheitsempfehlungen und -dokumentationen in einem Hilfsprogramm für alle unterstützten Microsoft-Betriebssysteme zusammen:Weitere Informationen zu Betriebssystemdiensten, Sicherheitseinstellungen und IPsec-Filterung finden Sie in einem der folgenden Dokumentationen mit dem Titel „Threats and Countermeasures Guide“:Weitere Informationen zu Portzuweisungen für bekannte Ports finden Sie im Microsoft Knowledge Base-Artikel
174904: Informationen zur Zuweisung von TCP/IP-Ports
Lesen Sie zusätzlich den Artikel Von wichtigen Microsoft Server-Produkten verwendete Netzwerkports und Anhang B – Portreferenz für MS TCP/IP auf der Microsoft TechNet-Website.

Lesen Sie zusätzlich den Artikel Portanforderungen für Active Directory und Active Directory Domain Services auf der Microsoft TechNet-Website.

Die IANA (Internet Assigned Numbers Authority) koordiniert die Verwendung bekannter Ports. Besuchen Sie die folgende Website, um die Liste von TCP/IP-Portzuweisungen dieser Organisation einzusehen: Service Name and Transport Protocol Port Number Registry.


 

Remoteprozeduraufrufe (RPCs) und DCOM

Eine ausführliche Beschreibung von DCOM finden Sie im Whitepaper Verwenden von DCOM mit Firewalls.


Eine ausführliche Beschreibung von RPC finden Sie auf der Website Remoteprozeduraufruf (RPC).

Weitere Informationen zur Konfiguration von RPC für die Verwendung einer Firewall finden Sie im Microsoft Knowledge Base-Artikel 154596: Konfigurieren der dynamischen RPC-Portzuweisung für den Firewalleinsatz.
Weitere Informationen zum RPC-Protokoll und zur Initialisierung von Computern, auf denen Windows 2000 ausgeführt wird, finden Sie im Whitepaper Analyse des Datenverkehrs von Windows 2000-Start und -Anmeldung.

Domänencontroller und Active Directory

Weitere Informationen zum Einschränken der Active Directory-Replikation und des Datenverkehrs durch Clientanmeldungen finden Sie im Microsoft Knowledge Base-Artikel 224196: Einschränken von Active Directory-Replikationsverkehr und Client-RPC-Verkehr an einem bestimmten Anschluss. Eine Erläuterung der Beziehung zwischen dem Verzeichnissystem-Agent, LDAP und der lokalen Sicherheitsautorität (Local System Authority, LSA) finden Sie auf der Webseite Verzeichnissystem-Agent.

Weitere Informationen zur Funktionsweise von LDAP und dem globalen Katalog finden Sie unter Funktionsweise des globalen Katalogs.

Exchange Server
 

Informationen zu den Ports, der Authentifizierung und Verschlüsselung aller Datenpfade, die von Microsoft Exchange Server 2010 verwendet werden, finden Sie unter Exchange-Netzwerkportreferenz.

Weitere Informationen dazu, wie der MAPI-Datenverkehr unter Exchange 2000 Server und Exchange Server 2003 beschränkt wird, finden Sie im Microsoft Knowledge Base-Artikel 270836: Statische Anschlusszuordnungen in Exchange 2000 und Exchange 2003.

Weitere Informationen zu den Netzwerkports und -protokollen, die von Exchange 2000 Server unterstützt werden, finden Sie im Microsoft Knowledge Base-Artikel 278339: Von Exchange 2000 Server verwendete TCP- und UDP-Ports.


Weitere Informationen zu den Ports, die von Exchange Server 5.5 und älteren Versionen von Exchange Server verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 176466: Ausführliche Hinweise zu TCP-Ports und Microsoft Exchange.

Für Ihre spezielle Umgebung sind eventuell zusätzliche Aspekte zu berücksichtigen. Weitere Informationen, die Ihnen bei der Planung einer Exchange-Implementierung helfen, finden Sie auf den folgenden Microsoft Websites:
 Weitere Informationen finden Sie in folgenden Artikeln der Microsoft Knowledge Base:Lesen Sie zusätzlich das folgende Microsoft TechNet-Thema Konfigurieren von Outlook Anywhere in Outlook 2010.

Dateireplikationsdienst

Weitere Informationen zur Konfiguration von FRS für die Verwendung einer Firewall finden Sie im Microsoft Knowledge Base-Artikel 319553: Beschränken von FRS-Replikationsverkehr auf einem bestimmten statischen Port.

Verteilter Dateireplikationsdienst

Der verteilte Dateireplikationsdienst (Distributed File Replication Service, DFRS) enthält das Befehlszeilenprogramm „Dfsrdiag.exe“. Mit „Dfsrdiag.exe“ können Sie den RPC-Port des Servers festlegen, der für Verwaltung und Replikation verwendet wird. Gehen Sie folgendermaßen vor, um mit „Dfsrdiag.exe“ den RPC-Port des Servers festzulegen:
dfsrdiag StaticRPC /port:nnnnn /Member:Branch01.sales.contoso.com
In diesem Beispiel steht nnnnn für einen einzelnen, statischen RPC-Port, den DFSR für die Replikation verwendet. Branch01.sales.contoso.com steht für den DNS- oder NetBIOS-Namen des Zielmitgliedscomputers. Wird kein Mitgliedscomputer angegeben, verwendet „Dfsrdiag.exe“ den lokalen Computer.

Internetinformationsdienste

Informationen zu den von IIS 4.0, IIS 5.0 und IIS 5.1 verwendeten Ports finden Sie im Microsoft Knowledge Base-Artikel 327859:: Inetinfo-Dienste verwenden zusätzliche Ports jenseits bekannter Ports. Informationen zu den Ports in IIS 6.0 finden Sie unter TCP/IP-Portfilterung.

Informationen zu FTP finden Sie in den folgenden Informationsquellen:

IPSec und VPNs

Weitere Informationen zum Konfigurieren von IPSec-Standardausnahmen unter Windows finden Sie im Microsoft Knowledge Base-Artikel 811832: IPSec-Standardausnahmen können zum Umgehen von IPSec-Schutz in einigen Szenarios verwendet werden
Weitere Informationen zu den Ports und Protokollen, die von IPSec verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 233256: Aktivieren von IPSec-Verkehr über eine Firewall.
Weitere Informationen zu den neuen und aktualisierten Funktionen in L2TP und IPSec finden Sie im Microsoft Knowledge Base-Artikel 818043: L2TP/IPSec-NAT-T-Update für Windows XP und Windows 2000.

MADCAP (Multicast Address Dynamic Client Allocation Protocol)

Weitere Informationen zur Planung von MADCAP-Servern finden Sie unter Prüfliste: Installieren eines MADCAP-Servers.

Message Queuing

Weitere Informationen zu den von Microsoft Message Queuing verwendeten Ports finden Sie im Microsoft Knowledge Base-Artikel 178517: TCP-Ports, UDP-Ports und RPC-Ports, die von Message Queuing verwendet werden.

Mobile Information Server

Weitere Informationen zu den Ports, die von Microsoft Mobile Information Server 2001 verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 294297: TCP/IP Ports, die von Microsoft Mobile Information Server verwendet werden.

Microsoft Operations Manager

Informationen zur Planung und Bereitstellung von MOM finden Sie auf der Website System Center –Technische Dokumentationsbibliothek.

Systems Management Server

Weitere Information zu den von SMS 2003 verwendeten Ports finden Sie im Microsoft Knowledge Base-Artikel 826852: Ports, die von Systems Management Server 2003 für die Kommunikation über eine Firewall oder einen Proxyserver verwendet werden.

Weitere Information zu den von SMS 2.0 verwendeten Ports finden Sie im Microsoft Knowledge Base-Artikel 167128: Netzwerkports, die von Remotehelpdesk-Funktionen verwendet werden.
Weitere Informationen zur Konfiguration von SMS über eine Firewall finden Sie im Microsoft Knowledge Base-Artikel 200898: Verwenden von Systems Management Server 2.0 über eine Firewall.
Weitere Informationen zu den Ports, die von den SMS 2.0-Remotetools verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 256884: Von Remotesteuerung verwendete TCP- und UDP-Ports wurden in SMS 2.0 Service Pack 2 geändert

SQL Server

Weitere Informationen dazu, wie SQL Server 2000 dynamisch Ports für sekundäre Instanzen bestimmt, finden Sie im Microsoft Knowledge Base-Artikel 286303: Verhalten der Netzwerkbibliothek von SQL Server 2000 während dynamischer Portermittlung. Weitere Informationen zu den Ports, die von SQL Server 7.0 und SQL Server 2000 für OLAP verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 301901: TCP-Ports, die von OLAP Services beim Herstellen einer Verbindung über eine Firewall verwendet werden.

Terminaldienste

Weitere Informationen zur Konfiguration des Ports, der von den Terminaldiensten verwendet wird, finden Sie im Microsoft Knowledge Base-Artikel 187623: Ändern des Abhörports des Terminal Servers.

Steuerung der Internetkommunikation in Windows

Weitere Informationen zur Internetkommunikation von Windows XP Service Pack 1 (SP1) finden Sie im Whitepaper Verwenden von Windows XP Professional Service Pack 1 in einer verwalteten Umgebung.

Weitere Informationen zur Internetkommunikation von Windows 2000 Service Pack 4 (SP4) finden Sie im Whitepaper Verwenden von Windows 2000 SP4 in einer verwalteten Umgebung.


Weitere Informationen zur Internetkommunikation von Windows Server 2003 finden Sie im Whitepaper Verwenden von Windows Server 2003 in einer verwalteten Umgebung.

Weitere Informationen zur Internetkommunikation von Windows Server 2008 finden Sie im Whitepaper Verwenden von Windows Server 2008: Steuern der Internetkommunikation.

Windows Media-Dienste

Weitere Informationen zu den von Windows Media-Diensten verwendeten Ports finden Sie unter Zuordnen von Ports für Windows Media-Dienste.