В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Обзор служб и требования к сетевым портам в Windows

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Внимание
Важно! Эта статья содержит несколько ссылок на динамический диапазон портов по умолчанию. В Windows Server 2008 и последующих версиях, а также в Windows Vista и последующих версиях рамки динамического диапазона портов по умолчанию изменяются в указанных ниже пределах.
  • Начальный порт: 49152
  • Конечный порт: 65535
В Windows 2000, Windows XP и Windows Server 2003 используется следующий динамический диапазон портов.

  • Начальный порт: 1025
  • Конечный порт: 5000

Что это означает
  • Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 и Windows Vista, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.
  • Если в сетевом окружении вашего компьютера помимо Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 и Windows Vista используются версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба диапазона портов:
    • более высокий диапазон портов от 49152 до 65535;
    • более низкий диапазон портов от 1025 до 5000.
  • Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.
Дополнительные сведения о динамическом диапазоне портов по умолчанию в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista см. в следующей статье базы знаний Майкрософт:
929851 Был изменен диапазон динамических портов по умолчанию для протокола TCP/IP в Windows Vista и Windows Server 2008
Аннотация
В этой статье рассмотрены необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в системах Microsoft Windows Server. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети.

Сведения о портах, которые приводятся в данной статье, не следует использовать для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. на следующем веб-сайте Майкрософт:

Система Windows Server располагает всесторонней и интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют разные сетевые порты и протоколы для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) являются другими важными компонентами, которые необходимо использовать для обеспечения безопасности сети. Однако если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Обзор

Ниже представлен краткий обзор содержания этой статьи.
  • Раздел "Порты системных служб" содержит краткое описание каждой службы с указанием логического имени, а также портов и протоколов, которые необходимы ей для правильного функционирования. Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.
  • В разделе "Порты и протоколы" сведения предыдущего раздела обобщены в форме таблицы (таблица отсортирована по номерам портов, а не названиям служб). Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте.

Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых терминов.
  • Системные службы. Системные службы — это программы, которые загружаются автоматически в рамках процесса запуска приложения или процесса загрузки операционной системы. Системные службы поддерживают разные задачи, которые должна выполнять операционная система. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition относятся служба сервера, служба очереди печати и служба веб-публикаций. Каждая системная служба имеет понятное имя службы и обычное имя службы. Понятное имя службы отображается в средствах управления с графическим интерфейсом, например в оснастке "Службы" консоли управления (ММС). Обычное имя службы используется в программах командной строки, а также в разных языках написания скриптов. Системная служба может включать в себя одну или несколько сетевых служб.
  • Прикладной протокол. В контексте этой статьи прикладной протокол — это сетевой протокол верхнего уровня, который использует протоколы и порты TCP/IP, например, HTTP (Hypertext Transfer Protocol), SMB (Server Message Block) и SMTP (Simple Mail Transfer Protocol).
  • Протокол. Протоколы TCP/IP — это стандартные форматы взаимодействия между устройствами в сети. Протоколы TCP/IP функционируют на более низком уровне, чем прикладные протоколы. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
  • Порт. Сетевой порт, на котором системная служба ожидает входящий сетевой трафик.
Данная статья не содержит сведений о том, какие службы зависят от других служб при осуществлении обмена данными в сети. Например, для назначения динамических портов TCP многие службы Windows используют удаленный вызов процедур (RPC) или модель DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure) (предоставляются службами IIS). Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Подробную документацию по этой теме можно найти на веб-сайтах Microsoft TechNet и MSDN (Microsoft Developer Network). Хотя один и тот же порт TCP или UDP часто используется многими службами, прослушивать этот порт в каждый момент времени может только одна служба или процесс.

Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости (порты TCP/IP и UDP/IP с номерами выше 1024). Неофициально они также называются произвольными портами RPC. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют службу отображения конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, можно настроить определенный порт, чтобы не полагаться на динамическое назначение. Кроме того, для любой службы можно ограничить диапазон портов, динамически назначаемых службой RPC. Дополнительные сведения по этой теме см. в разделе "Ссылки".

Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе "Информация в данной статье относится к следующим продуктам". Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. Таким образом, в данной статье описываются порты, которые прослушиваются службами, а не порты, используемые клиентскими программами для подключения к удаленной системе.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.

Чтобы просмотреть описание, щелкните имя системной службы в следующем списке.

Active Directory (локальная система безопасности)

Active Directory выполняется как процесс Lsass.exe и содержит модули проверки подлинности и репликации для контроллеров домена Windows. Контроллерам домена, клиентским компьютерам и серверам приложений требуется сетевое подключение к службе Active Directory через определенные, жестко заданные порты. Кроме того, если для инкапсуляции трафика в Active Directory не используется туннельный протокол, необходимы диапазоны временных портов TCP от 1024 до 5000 и от 49152 до 65535.

Примечание.
  • Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2008 R2, Windows Server 2008, Windows 7 и Windows Vista, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.
  • Если в сетевом окружении вашего компьютера помимо Windows Server 2008 R2, Windows Server 2008, Windows 7 и Windows Vista используются версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба диапазона портов:
    • более высокий диапазон портов от 49152 до 65535;
    • более низкий диапазон портов от 1025 до 5000.
  • Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.


Инкапсулированное решение может заключаться в применении VPN-шлюза, расположенного за фильтрующим маршрутизатором, который использует протокол L2TP (Layer 2 Tunneling Protocol) с IPSec. В этом случае необходимо вместо открытия всех портов и протоколов, перечисленных в этой статье, разрешить проходить через маршрутизатор следующим элементам:
  • протоколу ESP (IPsec Encapsulating Security Protocol) (50, протокол IP);
  • протоколу NAT-T (IPsec Network Address Translator Traversal) (порт 4500 UDP);
  • протоколу ISAKMP (IPsec Internet Security Association and Key Management Protocol) (порт 500 UDP).

Наконец, можно жестко закодировать порт, используемый для репликации Active Directory, выполнив действия, приведенные в статье базы знаний Майкрософт 224196: Ограничение трафика репликации Active Directory и клиентского трафика RPC определенным портом Имя системной службы: LSASS

Примечание. Фильтрация пакетов трафика L2TP не нужна, поскольку протокол L2TP защищен протоколом IPsec ESP.
Прикладной протоколПротоколПорты
Веб-службы Active Directory (ADWS) TCP9389
Active Directory Management Gateway ServiceTCP9389
Глобальный каталогTCP3269
Глобальный каталогTCP3268
Сервер LDAPTCP389
Сервер LDAPUDP389
LDAP SSLTCP636
IPsec ISAKMPUDP500
NAT-TUDP4500
RPCTCP135
Порты ТСР с большими номерами, произвольно назначенные службой RPC¹TCP1024 - 5000
49152 - 65535²
SMBTCP445

¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки". В этом разделе также рассматриваются удаленные взаимодействия посредством WMI и DCOM, которые сначала использовались в рамках продвижения контроллера домена Windows Server 2012 во время предварительной проверки и в программе "Диспетчер серверов".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Служба шлюза уровня приложения

Этот подкомпонент службы общего доступа к подключению Интернета (ICS)/брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP — это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server. Подключаемый модуль ALG FTP поддерживает активные сеансы по протоколу FTP через механизм преобразования сетевых адресов (NAT). Подключаемый модуль ALG FTP поддерживает эти сеансы путем перенаправления в частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 в адаптере замыкания на себя всего трафика, соответствующего следующим критериям:
  • проходящего через механизм преобразования сетевых адресов (NAT);
  • направленного в порт 21.

Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP.

Имя системной службы: ALG
Прикладной протоколПротоколПорты
Управление FTPTCP21

Служба состояния сеанса ASP.NET

Служба состояния сеанса ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Эта служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на веб-сервере средой ASP.NET.

Имя системной службы: aspnet_state
Прикладной протоколПротоколПорты
Состояние сеанса ASP.NETTCP42424

Службы сертификации

Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации, что дает ему возможность выпуска и управления цифровыми сертификатами для программ и протоколов, таких как приведенные далее.

  • S/MIME (Secure/Multipurpose Internet Mail Extensions)
  • SSL (Secure Sockets Layer)
  • Шифрованная файловая система (EFS)
  • IPSec
  • Вход по смарт-карте

Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные порты TCP с номерами больше 1024.

Имя системной службы: CertSvc
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Служба кластеров

Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

Имя системной службы: ClusSvc
Приложение ПротоколПорты
Служба кластеровUDP3343
Служба кластеровTCP3343 (этот порт не требуется во время операции объединения узлов)
RPCTCP135
Администратор кластеровUDP137
Произвольно назначенные порты UDP с большими номерами¹UDPПроизвольный номер порта в диапазоне 1024 – 65535
Произвольный номер порта в диапазоне 49152 – 65535²
Примечание.
Кроме того, для успешной проверки на отказоустойчивых кластерах Windows 2008 и более поздних версий следует разрешить входящий и исходящий трафик для протоколов ICMP4, ICMP6 и порт 445/TCP для SMB.

¹ Дополнительные сведения о настройке этих портов см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Обозреватель компьютеров

Системная служба обозревателя компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Обозреватель компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким программам ОС Windows более ранних версий, как "Сетевое окружение", команда net view и проводник Windows. Так, если открыть "Сетевое окружение" на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя.

Если используется только Windows Vista и последующие версии Windows, то служба обозревателя больше не требуется.

Имя системной службы: Обозреватель
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
Служба обозревателя использует RPC по именованным каналам для компиляции

DHCP-сервер

Служба DHCP-сервера использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.

Имя системной службы: DHCPServer
Прикладной протоколПротоколПорты
DHCP-серверUDP67
MADCAPUDP2535
Отработка отказа DHCPTCP647

Пространства имен распределенной файловой системы

Пространства имен распределенной файловой системы (DFSN) объединяют разные файловые ресурсы, которые расположены в локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба DFSN необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.

Имя системной службы: Dfs
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138³
Служба сеансов NetBIOSTCP139³
Сервер LDAPTCP389
Сервер LDAPUDP389
SMBTCP445
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.
³ Порты NETBIOS являются дополнительными и не требуются, когда DFSN используют полные доменные серверные имена.

Репликация распределенной файловой системы

Служба репликации распределенной файловой системы (DFRS) является средством репликации, выполняющим репликацию с несколькими хозяевами, которое автоматически копирует обновления файлов и папок между компьютерами, входящими в общую группу репликации. Служба DFSR была добавлена в систему Windows Server 2003 R2. С помощью средства командной строки Dfsrdiag.exe эту службу можно настроить для репликации файлов на определенных портах независимо от того, входят ли они в пространства имен распределенной файловой системы.

Имя системной службы: DFSR
Прикладной протоколПротоколПорты
RPCTCP135
RPCTCP5722³
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Репликация распределенной файловой системы" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.
³ Порт 5722 используется только в контроллере домена Windows Server 2008 или в контроллере домена Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012.

Сервер отслеживания изменившихся связей

Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Эта служба запускается на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.

Имя системной службы: TrkSvr
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Координатор распределенных транзакций

Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.

Имя системной службы: MSDTC
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Координатор распределенных транзакций" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

DNS-сервер

Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. DNS-серверы необходимы для обнаружения устройств и служб, идентификация которых происходит по доменным именам, а также контроллеров домена в Active Directory.

Имя системной службы: DNS
Прикладной протоколПротоколПорты
DNSUDP53
DNSTCP53

Журнал событий

Системная служба журнала событий регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты журнала событий содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа "Просмотр событий". Сообщения, полученные журналами от программ, других служб и операционной системы, регистрируются службой журнала событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью программы "Просмотр событий" из состава консоли управления ММС.

Имя системной службы: Eventlog
Прикладной протоколПротоколПорты
RPC/NP (именованные каналы)TCP139
RPC/NPTCP445
RPC/NPUDP137
RPC/NPUDP138
Примечание. В службе журнала событий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Служба факсов

Служба факсов (совместимая с интерфейсом TAPI системная служба) предназначена для поддержки функций факсов. Служба факсов предоставляет пользователям возможность отправлять и принимать факсы из прикладных программ с помощью локальных или общих сетевых устройств.

Имя системной службы: Fax
Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139
SMBTCP445
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Репликация файлов

Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это механизм репликации по умолчанию, задачей которого является репликация содержимого папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Для настройки репликации файлов и папок между целевыми объектами корня или ссылки DFS можно использовать средство администрирования DFS.

Имя системной службы: NtFrs
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Служба репликации файлов" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Файловый сервер для Macintosh

Пользователи компьютеров Macintosh могут использовать системную службу файлового сервера для хранения файлов на компьютерах под управлением Windows Server 2003 и доступа к этим файлам. Если служба выключена или заблокирована, клиенты Macintosh не могут хранить файлы на таком компьютере и получать к ним доступ. Файловый сервер для Macintosh не включен в Windows Server 2008 и в последующие версии Windows Server.

Имя системной службы: MacFile
Прикладной протоколПротоколПорты
Файловый сервер для MacintoshTCP548

Служба публикации FTP

Служба публикации FTP используется для установки подключений к серверам FTP. Порт управления FTP по умолчанию – 21, однако эту службу можно настроить с помощью оснастки диспетчера служб IIS. Порт данных по умолчанию (используется для FTP активного режима) автоматически устанавливается на единицу меньшим, чем порт управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство клиентов FTP используют FTP пассивного режима. Это означает, что клиент сначала подключается к серверу FTP через порт управления, далее сервер FTP назначает TCP-порт с большим номером в диапазоне от 1025 до 5000, а затем клиент открывает второе подключение к серверу FTP для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

Имя системной службы: MSFTPSVC
Прикладной протоколПротоколПорты
Управление FTPTCP21
Данные по умолчанию FTPTCP20
Произвольно назначенные порты TCP с большими номерамиTCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 — 65535¹
¹ Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Групповая политика

Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам Kerberos, LDAP, SMB и RPC. Для Windows XP и Windows Server 2003 дополнительно требуется протокол ICMP.

Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то групповая политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал. Дополнительные сведения об определении медленного канала см. в следующих статьях базы знаний Майкрософт. 227260: Обнаружение медленного подключения для обработки профилей пользователей и групповой политики2008977: Обнаружение медленного канала групповой политики с помощью Windows Vista и Server 2008

Имя системной службы: Групповая политика
Прикладной протоколПротоколПорты
DCOM ¹TCP + UDPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
ICMP (ping) ³ICMP
LDAPTCP389
SMBTCP445
RPC ¹TCP135
произвольный номер порта в диапазоне от 1024 до 65535
произвольный номер порта в диапазоне от 49152 до 65535
²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.
³ Этот протокол необходим только Windows XP и Windows Server 2003, функционирующим в качестве клиентов.


Примечание. С помощью оснастки групповой политики консоли управления (MMC) создаются отчеты о результатах групповой политики и отчеты о моделировании групповой политики. При этом используется DCOM и RPC для отправки и получения сведений о клиенте или контроллере домена от поставщика результирующей политики (RSoP). Различные двоичные файлы компонентов оснастки групповой политики консоли управления (MMC) используют вызовы COM для отправки и получения сведений. При запуске удаленных отчетов результатов групповой политики с компьютера Windows 8 или Windows Server 2012 требуется доступ к журналу событий целевого компьютера. (Требования к портам см. в разделе "Журнал событий" данной статьи базы знаний.)

Windows 8 и Windows Server 2012 поддерживают запуск удаленного обновления групповой политики на компьютерах Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista. Для этого требуется доступ RPC/WMI через порт 135 и входящие порты в диапазоне 49152–65535 на компьютере, на котором обновляется политика.

HTTP SSL

Системная служба HTTP SSL позволяет службам IIS выполнять функции SSL. SSL — это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата исключительно важной информации, например номеров кредитных карточек. Несмотря на то что служба работает с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Прослушиваемые порты для службы можно настроить с помощью диспетчера служб IIS.

Имя системной службы: HTTPFilter
Прикладной протоколПротоколПорты
HTTPSTCP443

Служба проверки подлинности в Интернете

Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети. (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.

Имя системной службы: IAS
Прикладной протоколПротоколПорты
Традиционный RADIUSUDP1645
Традиционный RADIUSUDP1646
Учет RADIUSUDP1813
Проверка подлинности RADIUSUDP1812

Общий доступ к подключению Интернета/брандмауэр подключения к Интернету (ICF)

Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда разрешен общий доступ к подключению Интернета, ваш компьютер становится "шлюзом Интернета" в сети, а другие клиентские компьютеры могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное подключение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем сетевом интерфейсе).

Имя системной службы: SharedAccess
Прикладной протоколПротоколПорты
Сервер DHCPUDP67
DNSUDP53
DNSTCP53

IPAM

Интерфейс клиента IPAM связывается с сервером IPAM для ведения удаленного управления. Это делается с помощью Windows Communications Framework (WCF), где транспортным протоколом является TCP. По умолчанию привязка TCP осуществляется через порт 48885 на сервере IPAM.
Сведения о BranchCache
  • Порт 3702 (UDP) используется для обнаружения доступности кэшированного контента на клиенте.
  • Порт 80 (TCP) используется для передачи контента клиентам по запросу.
  • Порт 443 (TCP) — это порт по умолчанию, используемый размещаемым кэшем для приема входящих предложений контента от клиентов.

Сервер ISA/TMG

Прикладной протоколПротоколПорты
Хранилище настроек (домен) TCP2171 (примечание 1)
Хранилище настроек (репликация)TCP2173 (примечание 1)
Хранилище настроек (рабочая группа)TCP2172 (примечание 1)
Клиентское приложение брандмауэраTCP/UDP1025-65535 (примечание 2)
Управляющий канал клиента брандмауэраTCP/UDP1745 (примечание 3)
Управляющий канал брандмауэраTCP3847 (примечание 1)
RPCTCP135 (примечание 6)
Произвольно назначенные порты TCP с большими номерами (примечание 6)TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 10000 – 65535 (примечание 7)
Веб-управлениеTCP2175 (примечание 1, 4)
Клиент веб-проксиTCP8080 (примечание 5)
Примечания.
  1. Этот порт не используется ISA 2000.
  2. Транспорт и протоколы приложения клиента межсетевого экрана согласуются в рамках управляющего канала клиента межсетевого экрана.
  3. Элемент управления клиента межсетевого экрана 2000 использует UDP. ISA 2004 и 2006 использует TCP.
  4. Веб-управление брандмауэром используется изготовителями оборудования в качестве механизма управления сервером ISA, альтернативного консоли управления (MMC).
  5. Этот порт используется также для трафика внутри массива.
  6. Этот порт используется только оснасткой ISA консоли управления (MMC) при мониторинге удаленного сервера и статуса службы.
  7. Это диапазон в TMG. Обратите внимание, что TMG расширяет динамические диапазоны портов по умолчанию в Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Центр распространения ключей Kerberos

Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут входить в сеть с помощью протокола проверки подлинности Kerberos 5. Как и в других версиях протокола Kerberos, KDC — это один процесс, обеспечивающий службы проверки подлинности и выдачи билетов. Служба проверки подлинности выпускает билеты на выдачу билета, а служба выдачи билетов — билеты для подключения к компьютерам в своем домене.

Имя системной службы: kdc
Прикладной протоколПротоколПорты
KerberosTCP88
KerberosUDP88
Пароль Kerberos версии 5UDP464
Пароль Kerberos версии 5TCP464
Локатор контроллеров доменаUDP389

Учет лицензий

Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. По умолчанию служба учета лицензий в Windows Server 2003 отключена. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных клиентских лицензий в сравнении с общим числом клиентских лицензий, которые используются на определенном сервере или предприятии. Лицензии CAL, сообщенные службой учета лицензий, могут противоречить условиям лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и правам на использование продукта. Учет лицензий не включается в Windows Server 2008 и последующие операционные системы. Корпорация Майкрософт рекомендует включать эту службу на своих серверах только пользователям операционных систем семейства Microsoft Small Business Server.

Имя системной службы: LicenseService
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Служба сеансов NetBIOSTCP139
SMBTCP445
Примечание. В службе учета лицензий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Очередь сообщений

Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.

Имя системной службы: MSMQ
Прикладной протоколПротоколПорты
MSMQTCP1801
MSMQUDP1801
MSMQ-DCsTCP2101
MSMQ-MgmtTCP2107
MSMQ-PingUDP3527
MSMQ-RPCTCP2105
MSMQ-RPCTCP2103
RPCTCP135

Messenger

Системная служба Messenger принимает и отправляет сообщения пользователей, компьютеров, администраторов и службы оповещений. Эта служба не имеет отношения к программе Windows Messenger. Если отключить службу Messenger, зарегистрировавшиеся на данный момент времени в сети компьютеры и пользователи не будут получать отправленных им уведомлений. Кроме того, перестают функционировать команды net send и net name.

Во многих средах клиента эта служба отключена. Таким образом, не нужно включать NETBIOS для этой службы.

Имя системной службы: Messenger
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138

Стеки агента передачи сообщений Microsoft Exchange

В Microsoft Exchange 2000 Server и Microsoft Exchange Server 2003 агент передачи сообщений (MTA) часто используется для обеспечения обратно-совместимых служб передачи сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.

Имя системной службы: MSExchangeMTA
Прикладной протоколПротоколПорты
X.400TCP102

Служба Microsoft POP3

Служба POP3 Microsoft предназначена для передачи и извлечения сообщений электронной почты. Администраторы могут использовать эту службу для хранения учетных записей электронной почты на почтовом сервере и управления ими. Когда на почтовом сервере установлена служба POP3 Microsoft, пользователи могут подключаться к этому почтовому серверу и извлекать сообщения электронной почты с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.

Имя системной службы: POP3SVC
Прикладной протоколПротоколПорты
POP3TCP110

Сетевой вход в систему

Системная служба сетевого входа в систему поддерживает безопасный канал между компьютером и контроллером домена для проверки подлинности пользователей и служб. Посредством этой службы учетные данные пользователя передаются на контроллер домена, а возвращаются доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба сетевого входа в систему автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба сетевого входа в систему публикует записи ресурсов в DNS. В процессе ожидания входящих запросов служба зависит от служб рабочей станции и локального администратора безопасности. На компьютерах в составе домена служба сетевого входа в систему использует удаленный вызов процедур по именованным каналам. В контроллерах домена она использует RPC по именованным каналам, RPC по протоколу TCP/IP, почтовые ячейки и протокол LDAP.

Имя системной службы: Netlogon
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138 ³
Разрешение имен NetBIOSUDP137 ³
Служба сеансов NetBIOSTCP139 ³
SMBTCP445
LDAPUDP389
RPC¹TCP135, произвольный номер порта в диапазоне 1024 – 65535
135, произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.
³ Порты NETBIOS являются необязательными. Служба Netlogon использует их только для отношений доверия, в которых не поддерживается DNS, или в тех случаях, когда во время предпринятого отката происходит сбой DNS. Если отсутствует инфраструктура WINS, и широковещательный показ не может работать, необходимо либо отключить NetBt, либо установить для компьютеров и серверов NodeType=2.

Примечание. В службе сетевого входа в систему используется RPC по именованным каналам для клиентов предыдущей версии Windows. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Общий доступ к рабочему столу через NetMeeting

Системная служба общего доступа к рабочему столу через NetMeeting позволяет полномочным пользователям получать с другого компьютера удаленный доступ к рабочему столу Windows по корпоративной интрасети, используя программу Windows NetMeeting. Службу необходимо явно включить в NetMeeting, а для отключения или закрытия предназначен значок в области уведомлений Windows.

Имя системной службы: mnmsrvc
Прикладной протоколПротоколПорты
Службы терминаловTCP3389

Протокол NNTP

Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.

Имя системной службы: NNTPSVC
Прикладной протоколПротоколПорты
NNTPTCP119
NNTP по SSLTCP563

Автономные файлы, служба профилей пользователей, перенаправление папок и основной компьютер

Службы автономных файлов и перемещаемых профилей пользователей кэшируют пользовательские данные на компьютерах для автономного использования. Такие возможности существуют во всех поддерживаемых операционных системах корпорации Майкрософт. В Windows XP кэширование перемещаемых профилей пользователей реализовано как часть процесса Winlogon, а в Windows Vista, Windows Server 2008 и последующих операционных системах используется служба профилей пользователей. Все эти системы используют SMB.

Служба перенаправления папок перенаправляет пользовательские данные с локального компьютера в удаленный файловый ресурс с использованием SMB.

Система основного компьютера для Windows является частью служб перемещаемых профилей пользователей и автономных файлов. Система основного компьютера предоставляет возможность запретить кэширование данных на компьютерах, не авторизованных администраторами для определенных пользователей. Система основного компьютера определяет конфигурацию с помощью LDAP и не выполняет передачу данных с использованием SMB; она меняет поведение служб автономных файлов и перемещаемых профилей пользователей, установленное по умолчанию. Эта система была добавлена в Windows 8 и Windows Server 2012.

Имена системных служб: ProfSvc, CscService

Прикладной протоколПротоколПорты
SMBTCP445
Глобальный каталогTCP3269
Глобальный каталогTCP3268
Сервер LDAPTCP389
Сервер LDAPUDP389
LDAP SSLTCP636

Журналы и оповещения производительности

Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба запускает или останавливает каждый именованный сбор данных о производительности. Эта служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.

Имя системной службы: SysmonLog
Прикладной протоколПротоколПорты
Служба сеансов NetBIOSTCP139

Очередь печати принтера

Системная служба очереди печати принтера управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Очередь печати принтера является ключевым компонентом подсистемы печати в Windows. Она управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например портами USB и протоколами семейства TCP/IP.

Имя системной службы: Spooler
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445
Примечание. В службе очереди печати принтера используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Удаленная установка

Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot Execution Environment), которые поддерживают удаленную загрузку. Основной компонент сервера удаленной установки (RIS) — служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) — отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства "Установка компонентов Windows" добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.

Имя системной службы: BINLSVC
Прикладной протоколПротоколПорты
BINLUDP4011

Удаленный вызов процедур (RPC)

Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли сопоставителя конечных точек RPC и диспетчера служб модели СОМ. Служба удаленного вызова процедур необходима для запуска многих других служб.

Имя системной службы: RpcSs
Прикладной протоколПротоколПорты
RPCTCP135
RPC по HTTPSTCP593
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445
Примечания.

  • RPC использует не только жестко закодированные порты, приведенные в таблице. Порты временного диапазона, используемые Active Directory и другими компонентами, возникают через RPC во временном диапазоне портов. Этот временный диапазон портов зависит от операционной системы сервера, к которому подключается операционная система клиента.
  • В службах сопоставителя конечных точек RPC также используются именованные каналы. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".


Локатор удаленного вызова процедур (RPC)

Системная служба локатора удаленного вызова процедур (RPC) управляет базой данных службы RPC-имен. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию эта служба отключена.

Имя системной службы: RpcLocator
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445
Примечание. В службах локатора удаленного вызова процедур (RPC) используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Уведомления внешнего хранилища

Системная служба уведомлений внешнего хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе. Если служба остановлена, отправка уведомлений прекращается.

Имя системной службы: Remote_Storage_User_Link
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Удаленное хранилище

С помощью системной службы удаленного хранилища редко используемые файлы сохраняются на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.

Имя системной службы: Remote_Storage_Server
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Маршрутизация и удаленный доступ

Служба маршрутизации и удаленного доступа обеспечивает многопротокольные функции маршрутизации типа "локальная сеть — локальная сеть", "локальная сеть — глобальная сеть", VPN и преобразование сетевых адресов (NAT), а также функции подключения удаленного доступа и удаленного доступа по сети VPN. Эта служба может использовать все перечисленные ниже протоколы, однако часто ограничивается только некоторыми из них. Например, если под защитой осуществляющего фильтрацию маршрутизатора настроен шлюз виртуальной частной сети, то, как правило, применяется только один протокол. Если используется протокол L2TP с безопасностью IPSec, необходимо разрешить протоколам IPSec ESP (50, протокол IP), NAT-T (UDP на порте 4500) и IPSec ISAKMP (UDP на порте 500) проходить через маршрутизатор.

Примечание. Протоколы NAT-T и IPSec ISAKMP необходимы L2TP, но, как правило, контролируются локальной системой безопасности. Дополнительные сведения по этой теме см. в разделе "Ссылки".

Имя системной службы: RemoteAccess
Прикладной протоколПротоколПорты
GRE (47, протокол IP)GREН/Д
IPSec AH (51, протокол IP)AHН/Д
IPSec ESP (50, протокол IP)ESPН/Д
L2TPUDP1701
PPTPTCP1723

Сервер

Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.

Примечание. Если имя компьютера разрешается в несколько IP-адресов с помощью службы WINS или в случае ее сбоя с помощью DNS, то NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 130 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.

Порты NetBIOS, которые перечислены здесь, являются необязательными. Windows 2000 и более новые клиенты могут работать через порт 445.

Имя системной службы: lanmanserver
Прикладной протоколПротоколПорты
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445

SharePoint Portal Server

Системная служба SharePoint Portal Server позволяет разработать портал со встроенной логикой для объединения пользователей, групп и знаний, благодаря которому люди смогут использовать важные данные бизнес-процессов. Microsoft SharePoint Portal Server 2003 представляет собой приложение, которое объединяет данные из разных систем в одном решении путем применения функций единого входа в систему и интеграции приложений предприятия.
Прикладной протоколПротоколПорты
HTTPTCP80
HTTPSTCP443

Протокол SMTP (Simple Mail Transfer Protocol)

Системная служба протокола SMTP — это агент отправки и пересылки электронной почты. Она принимает и ставит в очередь почтовые сообщения для удаленных получателей, а также через определенные интервалы времени повторяет попытки отправки. Контроллеры домена Windows используют службу SMTP для межузловой репликации с помощью электронной почты. Объекты совместной работы (Collaboration Data Object, CDO) для компонента СОМ из состава Windows Server 2003 с помощью службы SMTP передают и ставят в очередь исходящие почтовые сообщения.

Имя системной службы: SMTPSVC
Прикладной протоколПротоколПорты
SMTPTCP25

Простые службы TCP/IP

Простые службы TCP/IP реализуют поддержку для следующих протоколов:
  • Echo, порт 7, спецификация RFC 862
  • Discard, порт 9, спецификация RFC 863
  • Character Generator, порт 19, спецификация RFC 864
  • Daytime, порт 13, спецификация RFC 867
  • Quote of the Day, порт 17, спецификация RFC 865
Имя системной службы: SimpTcp
Прикладной протоколПротоколПорты
ChargenTCP19
ChargenUDP19
DaytimeTCP13
DaytimeUDP13
DiscardTCP9
DiscardUDP9
EchoTCP7
EchoUDP7
QuotdTCP17
QuotedUDP17

Служба SNMP

Служба SNMP позволяет локальному компьютеру обслуживать входящие запросы протокола SNMP. Эта служба включает в себя агенты, осуществляющие мониторинг работы сетевых устройств и сообщающих результаты на рабочую станцию сетевой консоли. Служба SNMP предназначена для управления узлами сети (например, рабочими станциями, серверами, маршрутизаторами, мостами и концентраторами) с компьютера, на котором запущено соответствующее программное обеспечение. Для выполнения своих функций служба SNMP использует распределенную модель агентов и систем управления.

Имя системной службы: SNMP
Прикладной протоколПротоколПорты
SNMPUDP161

Служба ловушек SNMP

Служба ловушек SNMP принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP, и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба настроена для агента, она создает сообщения перехвата, когда происходят определенные события. Такие сообщения отправляются по адресу назначения ловушки. Например, агент может инициировать ловушку проверки подлинности, если нераспознанная система управления отправляет запрос на получение данных. Адресом назначения ловушки может быть имя компьютера, IP-адрес или адрес IPX (Internetwork Packet Exchange) системы управления; на таком узле должна быть запущена программа управления SNMP и обеспечена поддержка работы в сети.

Имя системной службы: SNMPTRAP
Прикладной протоколПротоколПорты
Исходящие ловушек SNMPUDP162

Служба обнаружения SSDP

Служба обнаружения SSDP реализует протокол SSDP (Simple Service Discovery Protocol) в качестве службы Windows. Эта служба управляет приемом извещений о присутствии устройств, обновляет свой кэш и передает эти извещения клиентам с невыполненными запросами поиска. Кроме того, она регистрирует обратные вызовы событий от клиентов. Затем зарегистрированные обратные вызовы событий преобразуются в запросы подписки. Далее служба обнаружения SSDP наблюдает за уведомлениями о событиях и отправляет эти запросы в зарегистрированные обратные вызовы. Эта системная служба также обеспечивает устройства периодическими объявлениями. В настоящее время служба уведомления о событиях SSDP использует TCP-порт 5000.
Примечание. Начиная с Windows XP с пакетом обновления 2 (SP2), служба уведомления о событиях SSDP использует TCP-порт 2869.


Имя системной службы: SSDPRSR
Прикладной протоколПротоколПорты
SSDPUDP1900
Уведомление о событиях SSDPTCP2869
Уведомление о событиях SSDP (традиционный)TCP5000

Сервер печати TCP/IP

Системная служба сервера печати TCP/IP позволяет производить печать TCP/IP путем использования протокола LPD (Line Printer Daemon). Служба LPD на сервере получает документы от программ LPR (Line Printer Remote), запущенных на компьютерах под управлением операционных систем UNIX.

Имя системной службы: LPDSVC
Прикладной протоколПротоколПорты
LPDTCP515

Telnet

Системная служба Telnet для Windows используется клиентами Telnet для проведения сеансов терминального доступа в формате ASCII. Сервер Telnet поддерживает два вида проверки подлинности, а также следующие типы терминалов:
American National Standards Institute (ANSI)
VT-100
VT-52
VTNT
Имя системной службы: TlntSvr
Прикладной протоколПротоколПорты
TelnetTCP23

Службы терминалов

Службы терминалов обеспечивают многосеансовую среду для доступа клиентов к сеансам виртуального рабочего стола Windows и программам Windows, запущенным на сервере. Службы терминалов позволяют интерактивно подключиться к компьютеру нескольким пользователям.

Имя системной службы: TermService
Прикладной протоколПротоколПорты
Службы терминаловTCP3389

Лицензирование служб терминалов

Системная служба лицензирования служб терминалов производит установку сервера лицензий и предоставляет лицензии зарегистрированным пользователям, которые подключаются к серверу терминалов. Лицензирование служб терминалов — это не требующая больших затрат ресурсов служба, которая хранит выпущенные для сервера терминалов клиентские лицензии и отслеживает лицензии, выданные клиентским компьютерам или терминалам.

Имя системной службы: TermServLicensing
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
Служба датаграмм NetBIOSUDP138
Разрешение имен NetBIOSUDP137
Служба сеансов NetBIOSTCP139
SMBTCP445
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Примечание. В службах лицензирования служб терминалов используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Каталог сеанса служб терминалов

Системная служба каталога сеанса служб терминалов позволяет кластерам серверов терминалов с балансировкой нагрузки правильно направлять пользовательский запрос на подключение к серверу, на котором уже запущен сеанс пользователя. Пользователь направляется на первый доступный сервер терминалов независимо от того, запустил ли он уже другой сеанс в кластере серверов. С помощью сетевого протокола TCP/IP балансировка сетевой нагрузки производит объединение в общем пуле вычислительных мощностей нескольких серверов. Служба может использоваться вместе с кластером серверов терминалов для повышения производительности отдельного сервера путем распределения сеанса между несколькими серверами. Служба каталога сеанса служб терминалов отслеживает отключенные сеансы в кластере и обеспечивает повторное подключение пользователей к этим сеансам.

Имя системной службы: Tssdis
Прикладной протоколПротоколПорты
RPCTCP135
Произвольно назначенные порты TCP с большими номерами¹TCPпроизвольный номер порта в диапазоне 1024 – 65535
произвольный номер порта в диапазоне 49152 – 65535²
¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Упрощенный FTP-демон

Системная служба упрощенного FTP-демона не требует имени пользователя и пароля и является неотъемлемой частью служб удаленной установки (RIS). Служба обеспечивает поддержку протокола TFTP (Trivial FTP Protocol), который определен в следующих спецификациях RFC:
RFC 1350 — TFTP
RFC 2347 – Option extension
RFC 2348 – Block size option
RFC 2349 - Time-out interval, and transfer size options
TFTP представляет собой протокол передачи файлов, предназначенный для поддержки бездисковой среды загрузки. Служба TFTP прослушивает порт 69 UDP, но отвечает с произвольно назначенного порта с большим номером. Таким образом, когда порт включен, служба TFTP принимает входящие TFTP-запросы, но не позволяет выбранному серверу отвечать на них. Эта служба может ответить на любой из таких запросов с произвольного порта источника, а удаленный клиент затем использует этот порт на протяжении сеанса передачи данных. Обмен данными носит двунаправленный характер. Чтобы протокол мог функционировать через брандмауэр, необходимо открыть UDP-порт 69 для приема входящего трафика. После этого настройте брандмауэр таким образом, чтобы он динамически разрешал службе отвечать на запросы, временно открывая любой другой порт.

Имя системной службы: tftpd
Прикладной протоколПротоколПорты
TFTPUDP69

Узел универсальных PNP-устройств

Системная служба обнаружения узла универсальных PNP-устройств содержит все компоненты, необходимые для регистрации и управления устройствами, а также ответа на события, связанные с обслуживаемыми устройствами. Зарегистрированные сведения об устройстве (такие как описание, время жизни, контейнеры) могут быть сохранены на диске и объявляются в сети после регистрации или перезагрузки операционной системы. В дополнение к описаниям служб и странице представления служба содержит веб-сервер, который обслуживает устройство.

Имя системной службы: UPNPHost
Прикладной протоколПротоколПорты
UPNPTCP2869

Служба WINS

Служба WINS (Windows Internet Name Service) обеспечивает разрешение имен NetBIOS. Она позволяет обнаруживать сетевые ресурсы по именам NetBIOS. Использование серверов WINS обязательно, кроме случаев, когда во всех доменах установлена служба каталогов Active Directory, и все компьютеры сети находятся под управлением Windows 2000 или более поздней версии. Серверы WINS обмениваются данными с клиентами сети с помощью разрешения имен NetBIOS. Репликация WINS требуется только между серверами WINS.

Имя системной службы: Служба WINS
Прикладной протоколПротоколПорты
Разрешение имен NetBIOSUDP137
Репликация WINSTCP42
Репликация WINSUDP42

Службы Windows Media

В Windows Server 2003 и в более поздних версиях службы Windows Media заменяют следующие компоненты служб Windows Media версий 4.0 и 4.1:
Windows Media Monitor Service
Windows Media Program Service
Windows Media Station Service
Windows Media Unicast Service
На данный момент службы Windows Media Services являются единой службой, работающей в Windows Server. Основные компоненты этой службы были разработаны с помощью модели СОМ. Гибкая архитектура службы позволяет настраивать ее для отдельных программ. Службы Windows Media поддерживают большое количество управляющих протоколов, включая RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) и НТТР.

Имя системной службы: WMServer
Прикладной протоколПротоколПорты
HTTPTCP80
MMSTCP1755
MMSUDP1755
MS TheaterUDP2460
RTCPUDP5005
RTPUDP5004
RTSPTCP554

Удаленное управление Windows (WinRM)

Имя системной службы: WinRM
Прикладной протоколПротоколПорты
WinRM 1.1 и более ранние версии TPПорт HTTP по умолчанию — TCP 80, а порт HTTPS по умолчанию — TCP 443.
WinRM 2.0TPПорт HTTP по умолчанию — TCP 5985, а порт HTTPS по умолчанию — TCP 5986.
Дополнительные сведения см. на следующем веб-сайте MSDN:

Служба времени Windows

Системная служба времени Windows поддерживает синхронизацию даты и времени на всех компьютерах в сети, работающих под управлением Windows XP или последующих версий и Windows Server 2003 или последующих версий. Эта служба использует протокол NTP (Network Time Protocol) для синхронизации часов компьютера, что позволяет назначать запросам на проверку подлинности в сети и на получение доступа к ресурсам точное значение (метку) времени. Реализация протокола NTP и интеграция поставщиков времени делают службу времени Windows надежной и масштабируемой. На компьютере, который не входит в состав домена, службу времени можно настроить на проведение синхронизации с внешним источником времени. Если служба отключена, время на локальном компьютере не синхронизируется со службой времени в домене Windows или внешней службой времени. В Windows Server 2003 используется протокол NTP (порт 123 UDP), а в Windows 2000 — протокол SNTP (Simple Network Time Protocol) (также на порте 123 UDP).

Если в службе времени Windows используется конфигурация домена Windows, для работы службы требуются локатор контроллера домена и службы проверки подлинности. Таким образом, требуются порты для протоколов Kerberos и DNS.

Имя системной службы: W32Time
Прикладной протоколПротоколПорты
NTPUDP123
SNTPUDP123

Служба веб-публикации

Служба веб-публикации обеспечивает инфраструктуру, которая необходима для регистрации, управления, мониторинга и обслуживания веб-сайтов и программ, зарегистрированных на сервере IIS. В состав службы входит диспетчер процессов и диспетчер конфигурации. Диспетчер процессов управляет процессами пользовательских приложений и веб-сайтов. Диспетчер конфигурации считывает сохраненную системную конфигурацию службы веб-публикации и обеспечивает маршрутизацию НТТР-запросов соответствующему пулу приложений или процессу операционной системы с помощью параметров файла Http.sys. Порты, которые используются службой, можно настраивать с помощью оснастки диспетчера IIS. Если включен административный веб-сайт, то создается виртуальный веб-сайт, который использует трафик HTTP в TCP-порте 8098.

Имя системной службы: W3SVC
Прикладной протоколПротоколПорты
HTTPTCP80
HTTPSTCP443

Порты и протоколы

В приведенной ниже таблице обобщаются сведения раздела Порты системных служб. Таблица отсортирована по номерам портов, а не по названиям служб. Для просмотра таблицы щелкните здесь
ПортПротоколПрикладной протоколИмя системной службы
Н/ДGREGRE (47, протокол IP)Маршрутизация и удаленный доступ
Н/ДESPIPSec ESP (50, протокол IP)Маршрутизация и удаленный доступ
Н/ДAHIPSec AH (51, протокол IP)Маршрутизация и удаленный доступ
7TCPEchoПростые службы TCP/IP
7UDPEchoПростые службы TCP/IP
9TCPDiscardПростые службы TCP/IP
9UDPDiscardПростые службы TCP/IP
13TCPDaytimeПростые службы TCP/IP
13UDPDaytimeПростые службы TCP/IP
17TCPQuotdПростые службы TCP/IP
17UDPQuotdПростые службы TCP/IP
19TCPChargenПростые службы TCP/IP
19UDPChargenПростые службы TCP/IP
20TCPДанные по умолчанию FTPСлужба публикации FTP
21TCPУправление FTPСлужба публикации FTP
21TCPУправление FTPСлужба шлюза уровня приложения
23TCPTelnetTelnet
25TCPSMTPПротокол Simple Mail Transfer Protocol
25TCPSMTPExchange Server
42TCPРепликация WINSСлужба Windows Internet Name Service
42UDPРепликация WINSСлужба Windows Internet Name Service
53TCPDNSDNS-сервер
53UDPDNSDNS-сервер
53TCPDNSОбщий доступ к подключению Интернета/брандмауэр подключения к Интернету
53UDPDNSОбщий доступ к подключению Интернета/брандмауэр подключения к Интернету
67UDPDHCP-серверDHCP-сервер
67UDPDHCP-серверОбщий доступ к подключению Интернета/брандмауэр подключения к Интернету
69UDPTFTPСлужба упрощенного FTP-демона
80TCPHTTPСлужбы Windows Media
80TCPHTTPWinRM 1.1 и более ранние версии
80TCPHTTPСлужба веб-публикации
80TCPHTTPSharePoint Portal Server
88TCPKerberosЦентр распространения ключей Kerberos
88UDPKerberosЦентр распространения ключей Kerberos
102TCPX.400Стеки агента передачи сообщений Microsoft Exchange
110TCPPOP3Служба Microsoft POP3
110TCPPOP3Exchange Server
119TCPNNTPПротокол Network News Transfer Protocol
123UDPNTPСлужба времени Windows
123UDPSNTPСлужба времени Windows
135TCPRPCОчередь сообщений
135TCPRPCУдаленный вызов процедур
135TCPRPCExchange Server
135TCPRPCСлужбы сертификации
135TCPRPCСлужба кластеров
135TCPRPCПространства имен распределенной файловой системы
135TCPRPCОтслеживание изменившихся связей
135TCPRPCКоординатор распределенных транзакций
135TCPRPCСлужба репликации распределенных файлов
135TCPRPCСлужба факсов
135TCPRPCMicrosoft Exchange Server
135TCPRPCСлужба репликации файлов
135TCPRPCГрупповая политика
135TCPRPCЛокальный администратор безопасности
135TCPRPCУведомления внешнего хранилища
135TCPRPCУдаленное хранилище
135TCPRPCSystems Management Server 2.0
135TCPRPCЛицензирование служб терминалов
135TCPRPCКаталог сеанса служб терминалов
137UDPРазрешение имен NetBIOSОбозреватель компьютеров
137UDPРазрешение имен NetBIOSСервер
137UDPРазрешение имен NetBIOSСлужба Windows Internet Name Service
137UDPРазрешение имен NetBIOSСетевой вход в систему
137UDPРазрешение имен NetBIOSSystems Management Server 2.0
138UDPСлужба датаграмм NetBIOSОбозреватель компьютеров
138UDPСлужба датаграмм NetBIOSMessenger
138UDPСлужба датаграмм NetBIOSСервер
138UDPСлужба датаграмм NetBIOSСетевой вход в систему
138UDPСлужба датаграмм NetBIOSРаспределенная файловая система
138UDPСлужба датаграмм NetBIOSSystems Management Server 2.0
138UDPСлужба датаграмм NetBIOSСлужба учета лицензий
139TCPСлужба сеансов NetBIOSОбозреватель компьютеров
139TCPСлужба сеансов NetBIOSСлужба факсов
139TCPСлужба сеансов NetBIOSЖурналы и оповещения производительности
139TCPСлужба сеансов NetBIOSОчередь печати принтера
139TCPСлужба сеансов NetBIOSСервер
139TCPСлужба сеансов NetBIOSСетевой вход в систему
139TCPСлужба сеансов NetBIOSЛокатор удаленного вызова процедур
139TCPСлужба сеансов NetBIOSПространства имен распределенной файловой системы
139TCPСлужба сеансов NetBIOSSystems Management Server 2.0
139TCPСлужба сеансов NetBIOSСлужба учета лицензий
143TCPIMAPExchange Server
161UDPSNMPСлужба SNMP
162UDPИсходящие ловушек SNMPСлужба ловушек SNMP
389TCPСервер LDAPЛокальный администратор безопасности
389UDPЛокатор контроллеров доменаЛокальный администратор безопасности
389TCPСервер LDAPПространства имен распределенной файловой системы
389UDPЛокатор контроллеров доменаПространства имен распределенной файловой системы
389UDPЛокатор контроллеров доменаNetlogon
389UDPЛокатор контроллеров доменаЦентр распространения ключей Kerberos
389TCPСервер LDAPРепликация распределенной файловой системы
389UDPЛокатор контроллеров доменаРепликация распределенной файловой системы
443TCPHTTPSHTTP SSL
443TCPHTTPSСлужба веб-публикации
443TCPHTTPSSharePoint Portal Server
443TCPRPC по HTTPSExchange Server 2003
443TCPHTTPSWinRM 1.1 и более ранние версии
445TCPSMBСлужба факсов
445TCPSMBОчередь печати принтера
445TCPSMBСервер
445TCPSMBЛокатор удаленного вызова процедур
445TCPSMBПространства имен распределенной файловой системы
445TCPSMBРепликация распределенной файловой системы
445TCPSMBСлужба учета лицензий
445TCPSMBСетевой вход в систему
464UDPПароль Kerberos версии 5Центр распространения ключей Kerberos
464TCPПароль Kerberos версии 5Центр распространения ключей Kerberos
500UDPIPsec ISAKMPЛокальный администратор безопасности
515TCPLPDСервер печати TCP/IP
548TCPФайловый сервер для MacintoshФайловый сервер для Macintosh
554TCPRTSPСлужбы Windows Media
563TCPNNTP по SSLПротокол Network News Transfer Protocol
593TCPСлужба отображения конечных точек RPC по HTTPSУдаленный вызов процедур
593TCPRPC по HTTPSExchange Server
636TCPLDAP SSLЛокальный администратор безопасности
636UDPLDAP SSLЛокальный администратор безопасности
647TCPОтработка отказа DHCPОтработка отказа DHCP
9389TCPВеб-службы Active Directory (ADWS)Веб-службы Active Directory (ADWS)
9389TCPВеб-службы Active Directory (ADWS)Служба Active Directory Management Gateway Service
993TCPIMAP по SSLExchange Server
995TCPPOP3 по SSLExchange Server
1067TCPСлужба Installation Bootstrap ServiceСервер протокола Installation Bootstrap
1068TCPСлужба Installation Bootstrap ServiceКлиент протокола Installation Bootstrap
1270TCPMOM-EncryptedMicrosoft Operations Manager 2000
1433TCPSQL по TCPMicrosoft SQL Server
1433TCPSQL по TCPMSSQL$UDDI
1434UDPSQL ProbeMicrosoft SQL Server
1434UDPSQL ProbeMSSQL$UDDI
1645UDPТрадиционный RADIUSСлужба проверки подлинности в Интернете
1646UDPТрадиционный RADIUSСлужба проверки подлинности в Интернете
1701UDPL2TPМаршрутизация и удаленный доступ
1723TCPPPTPМаршрутизация и удаленный доступ
1755TCPMMSСлужбы Windows Media
1755UDPMMSСлужбы Windows Media
1801TCPMSMQОчередь сообщений
1801UDPMSMQОчередь сообщений
1812UDPПроверка подлинности RADIUSСлужба проверки подлинности в Интернете
1813UDPУчет RADIUSСлужба проверки подлинности в Интернете
1900UDPSSDPСлужба обнаружения SSDP
2101TCPMSMQ-DCsОчередь сообщений
2103TCPMSMQ-RPCОчередь сообщений
2105TCPMSMQ-RPCОчередь сообщений
2107TCPMSMQ-MgmtОчередь сообщений
2393TCPOLAP Services 7.0SQL Server: поддержка клиентов OLAP нижнего уровня
2394TCPOLAP Services 7.0SQL Server: поддержка клиентов OLAP нижнего уровня
2460UDPMS TheaterСлужбы Windows Media
2535UDPMADCAPDHCP-сервер
2701TCPSMS Remote Control (управление)Агент удаленного управления SMS
2701UDPSMS Remote Control (управление)Агент удаленного управления SMS
2702TCPSMS Remote Control (данные)Агент удаленного управления SMS
2702UDPSMS Remote Control (данные)Агент удаленного управления SMS
2703TCPSMS Remote ChatАгент удаленного управления SMS
2703UPDSMS Remote ChatАгент удаленного управления SMS
2704TCPSMS Remote File TransferАгент удаленного управления SMS
2704UDPУдаленная передача файлов SMSАгент удаленного управления SMS
2725TCPСлужбы аналитики SQLСлужбы SQL Server Analysis Services
2869TCPUPNPУзел универсальных PNP-устройств
2869TCPУведомление о событиях SSDPСлужба обнаружения SSDP
3268TCPГлобальный каталог Локальный администратор безопасности
3269TCPГлобальный каталог Локальный администратор безопасности
3343UDPСлужбы кластеровСлужба кластеров
3389TCPСлужбы терминаловОбщий доступ к рабочему столу через NetMeeting
3389TCPСлужбы терминаловСлужбы терминалов
3527UDPMSMQ-PingОчередь сообщений
4011UDPBINLУдаленная установка
4500UDPNAT-TЛокальный администратор безопасности
5000TCPУведомление о событиях SSDP (традиционный)Служба обнаружения SSDP
5004UDPRTPСлужбы Windows Media
5005UDPRTCPСлужбы Windows Media
5722TCPRPCРепликация распределенной файловой системы
6001TCPБанк данныхExchange Server 2003
6002TCPDirectory ReferralExchange Server 2003
6004TCPDSProxy/NSPIExchange Server 2003
42424TCPСостояние сеанса ASP.NETСлужба состояния сеанса ASP.NET
51515TCPMOM-ClearMicrosoft Operations Manager 2000
5985TCPHTTPWinRM 2.0
5986TCPHTTPSWinRM 2.0
1024-65535TCPRPCПроизвольно назначенные порты TCP с большими номерами

Примечание. Порт 5722 использовался только в контроллерах доменов Windows Server 2008 или Windows Server 2008 R2; он не используется в контроллере домена Windows Server 2012. Порт 445 используется DFSR только при создании новой пустой реплицированной папки.Часть этих сведений в формате книги Microsoft Excel можно загрузить с веб-сайта Центра загрузки Майкрософт:

Требования к портам и протоколам Active Directory

Серверам приложений, клиентским компьютерам и контроллерам домена, которые расположены в одном лесу или во внешних лесах, для правильного выполнения инициированных пользователями или компьютерами операций, таких как подключение к домену, проверка подлинности входа в систему, удаленное администрирование и репликация Active Directory, необходимы соответствующие службы. Эти службы и операции используют сетевые подключения по определенным портам и сетевым протоколам.

Ниже представлен неполный перечень служб, портов и протоколов, необходимых рядовым компьютерам и контроллерам домена для взаимодействия друг с другом, а серверам приложений — для получения доступа к Active Directory.
Щелкните здесь, чтобы увидеть список служб, необходимых Active Directory
  • Active Directory/LSA
  • Обозреватель компьютеров
  • Пространства имен распределенной файловой системы
  • Репликация распределенной файловой системы (если не используется FRS для репликации SYSVOL)
  • Служба репликации файлов (если не используется DFSR для репликации SYSVOL)
  • Центр распространения ключей Kerberos
  • Сетевой вход в систему
  • Удаленный вызов процедур (RPC)
  • Сервер
  • Протокол SMTP (Simple Mail Transfer Protocol)
  • WINS (в Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версиях для резервных репликаций Active Directory, если служба DNS не работает)
  • Служба времени Windows
  • Служба веб-публикации
Щелкните здесь, чтобы увидеть список служб, которым необходимы службы Active Directory
  • Службы сертификации (нужны в системах с определенной конфигурацией)
  • DHCP-сервер
  • Пространства имен распределенной файловой системы (при использовании доменных пространств имен)
  • Репликация распределенной файловой системы
  • Сервер отслеживания изменившихся связей
  • Координатор распределенных транзакций
  • DNS-сервер
  • Служба факсов
  • Служба репликации файлов
  • Файловый сервер для Macintosh
  • Служба проверки подлинности в Интернете
  • Учет лицензий
  • Сетевой вход в систему
  • Очередь печати принтера
  • Удаленная установка
  • Локатор удаленного вызова процедур (RPC)
  • Уведомления внешнего хранилища
  • Удаленное хранилище
  • Маршрутизация и удаленный доступ
  • Сервер
  • Протокол SMTP (Simple Mail Transfer Protocol)
  • Службы терминалов
  • Лицензирование служб терминалов
  • Каталог сеанса служб терминалов
Ссылки
Щелкните здесь, чтобы просмотреть список ссылок на ресурсы
Файлы справки для описанных в этой статье продуктов Майкрософт содержат дополнительные сведения по настройке программ.

Сведения о брандмауэрах и портах доменных служб Active Directory см. в следующей статье базы знаний Майкрософт 179442: Настройка брандмауэра для установления доверительных отношений между доменами

Общие сведения

Дополнительные сведения об обеспечении безопасности Windows Server и примеры фильтров IPSec для отдельных ролей сервера см. в описании средства Security Compliance Manager. Это средство объединяет все предыдущие рекомендации по обеспечению безопасности и документацию по безопасности в единую служебную программу для всех поддерживаемых операционных систем Майкрософт. Дополнительные сведения о службах, параметрах безопасности и фильтрах IPsec операционной системы см. в одном из следующих руководств по угрозам и мерам противодействия.Дополнительные сведения о назначениях стандартных портов см. в статье базы знаний Майкрософт
174904: Сведения о назначении портов TCP/IP
Дополнительно см. статью Сетевые порты, используемые основными серверными продуктами Майкрософт и раздел "Приложение Б — справочник портов для протокола TCP/IP MS" на веб-сайте Microsoft TechNet.

Дополнительно см. статью Требования службы каталогов Active Directory и доменных служб Active Directory к портам на веб-сайте Microsoft TechNet.

Использование стандартных портов координируется агентством IANA (Internet Assigned Numbers Authority). Список назначений портов TCP/IP этой организации см. в реестре имен служб и номеров портов для транспортного протокола.



Удаленный вызов процедур и модель DCOM

Подробное описание модели DCOM см. в техническом документе "Использование распределенной модели COM с брандмауэрами" .


Подробное описание удаленного вызова процедур см. в статье Удаленный вызов процедур (RPC) на веб-сайте MSDN.

Дополнительные сведения о настройке удаленного вызова процедур для взаимодействия с брандмауэром см. в статье базы знаний Майкрософт 154596: Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром
Дополнительные сведения о протоколе RPC и об инициализации компьютеров, работающих под управлением Windows 2000, см. в техническом документе"Запуск Windows 2000 и анализ трафика входа в систему" на веб-сайте TechNet.

Контроллеры домена и Active Directory

Дополнительные сведения об ограничении репликации Active Directory и клиентского трафика входа в систему см. в статье базы знаний Майкрософт 224196: Ограничение трафика репликации Active Directory и клиентского трафика RPC определенным портом. Описание взаимосвязи между агентом системного каталога LDAP и локальной системой см. в статье Агент системного каталога на веб-сайте MSDN.

Дополнительные сведения о работе LDAP и глобального каталога см. в статье Принципы работы глобального каталога.

Exchange Server

Сведения о портах, проверке подлинности и шифровании для всех путей данных, используемых Microsoft Exchange Server 2010, см. в справочнике по сетевым портам Exchange.

Дополнительные сведения об ограничении трафика MAPI в Exchange 2000 Server и Exchange Server 2003 см. в статье базы знаний Майкрософт 270836: Статическое сопоставление портов для Exchange Server

Дополнительные сведения о сетевых портах и протоколах, поддерживаемых в Exchange 2000 Server, см. в статье базы знаний Майкрософт 278339: Порты TCP/UDP, которые используются сервером Exchange 2000 Server


Дополнительные сведения о портах, которые используются в Exchange Server 5.5 и в предыдущих версиях Exchange Server, см. в статье базы знаний Майкрософт 176466: TCP-порты и Microsoft Exchange: всестороннее обсуждение

В зависимости от среды может потребоваться принять во внимание дополнительные компоненты. Более подробные сведения и справку о планировании реализации сервера Exchange см. на следующих веб-сайтах корпорации Майкрософт.

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт: Кроме того, см. на веб-сайте Microsoft TechNet статью Настройка мобильного Outlook в Outlook 2010.

Служба репликации файлов

Дополнительные сведения о настройке службы репликации файлов для взаимодействия с брандмауэром см. в статье базы знаний Майкрософт 319553: Назначение статического порта для передачи трафика FRS

Служба репликации распределенных файлов

Служба репликации распределенных файлов включает запускаемое из командной строки средство Dfsrdiag.exe. С помощью Dfsrdiag.exe можно устанавливать порт сервера RPC, используемый для администрирования и репликации. Пример использования Dfsrdiag.exe для установки порта сервера RPC:
dfsrdiag StaticRPC /port:nnnnn /Member:Branch01.sales.contoso.com
В этом примере nnnnn — один статический порт RPC, используемый DFSR для репликации.Branch01.sales.contoso.com — DNS-имя или NetBIOS-имя компьютера назначения. Если компьютер не указан, Dfsrdiag.exe использует локальный компьютер.

Службы IIS

Дополнительные сведения о портах, которые используются службами IIS 4.0, IIS 5.0 и IIS 5.1, см. в статье базы знаний Майкрософт 327859: Службы Inetinfo помимо стандартных портов используют дополнительные порты. Сведения о портах в IIS 6.0 см. в статье Фильтрация портов TCP/IP.

Дополнительные сведения о FTP см. в следующих источниках:

IPsec и VPN

Дополнительные сведения о настройке исключений IPsec по умолчанию в Windows см. в статье базы знаний Майкрософт 811832: Исключения IPSec по умолчанию в некоторых сценариях можно использовать для обхода защиты IPSec
Дополнительные сведения о портах и протоколах, используемых IPsec, см. в статье базы знаний Майкрософт 233256: Включение трафика IPSec через брандмауэр.
Дополнительные сведения о новых и обновленных функциях в L2TP и IPsec см. в статье базы знаний Майкрософт 818043: Обновление для функции NAT-T протоколов L2TP и IPSec в Windows XP и Windows 2000.

Протокол динамического назначения группового адреса клиента (MADCAP)

Дополнительные сведения о планировании серверов MADCAP см. в статье Контрольный список: установка сервера MADCAP.

Очередь сообщений

Дополнительные сведения о портах, которые используются очередью сообщений (Майкрософт), см. в статье базы знаний Майкрософт 178517: Порты TCP, UDP и RPC, которые используются очередью сообщений.

Сервер мобильной связи

Дополнительные сведения о портах, которые используются сервером мобильной связи, см. в статье базы знаний Майкрософт 294297: Порты TCP/IP, которые используются сервером мобильной связи

Microsoft Operations Manager

Дополнительные сведения о планировании и развертывании Microsoft Operations Manager см. на веб-сайте Технические ресурсы по System Center.

Systems Management Server

Дополнительные сведения о портах, которые используются Systems Management Server 2003, см. в статье базы знаний Майкрософт 826852: Порты, используемые Systems Management Server 2003 для обмена данными через брандмауэр или прокси-сервер

Дополнительные сведения о портах и протоколах, используемых Systems Management Server 2.0, см. в статье базы знаний Майкрософт 167128: Сетевые порты, которые используются службой удаленной справки
Дополнительные сведения о настройке Systems Management Server через брандмауэр см. в статье базы знаний Майкрософт 200898: Использование сервера Systems Management Server 2.0 через брандмауэр
Дополнительные сведения о портах и протоколах, используемых удаленными средствами Systems Management Server 2.0, см. в статье базы знаний Майкрософт 256884: Порты TCP и UDP, используемые для удаленного управления, изменены в SMS 2.0 с пакетом обновления 2

SQL Server

Дополнительные сведения о динамическом определении портов SQL Server 2000 для дополнительных экземпляров см. в статье базы знаний Майкрософт 286303: Поведение сетевых библиотек SQL Server 2000 во время динамического обнаружения портов. Дополнительные сведения о портах, которые используются SQL Server 7.0 и SQL Server 2000 для OLAP, см. в статье базы знаний Майкрософт 301901: Порты TCP, которые используются службами OLAP при подключении через брандмауэр.

Службы терминалов

Дополнительные сведения о настройке порта для служб терминалов см. в статье базы знаний Майкрософт 187623: Как переназначить ожидающий порт сервера терминалов

Контроль обмена данными через Интернет в Windows

Дополнительные сведения об обмене данными через Интернет в Windows XP с пакетом обновления 1 (SP1) см. в техническом документе "Использование Windows XP Professional с пакетом обновления 1 в управляемой среде"на веб-сайте TechNet.

Дополнительные сведения об обмене данными через Интернет в Windows 2000 с пакетом обновления 4 (SP4) см. в техническом документе "Использование Windows 2000 с пакетом обновления 4 в управляемой среде" на веб-сайте TechNet.


Дополнительные сведения об обмене данными через Интернет в Windows Server 2003 см. в техническом документе "Использование Windows Server 2003 в управляемой среде" на веб-сайте TechNet.

Дополнительные сведения об обмене данными через Интернет в Windows Server 2008 см. в техническом документе the"Использование Windows Server 2008: управление связью через Интернет" на веб-сайте TechNet.

Службы Windows Media

Сведения о портах, которые используются службами Windows Media, см. в статье Выделение портов для служб Windows Media.



Свойства

Номер статьи: 832017 — последний просмотр: 09/19/2013 12:59:00 — редакция: 49.0

Windows Web Server 2008 R2, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Systems Management Server 2003 Enterprise Edition, Microsoft SharePoint Portal Server 2001, Microsoft Windows 2000 Professional Edition, операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 2000 Enterprise Edition, Microsoft Exchange 2000 Server Standard Edition, Microsoft Exchange 2000 Enterprise Server, Microsoft Operations Manager 2000 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2000 Standard Edition, Microsoft Application Center 2000 Standard Edition, Windows 7 Корпоративная, Windows 7 Домашняя базовая, Windows 7 Домашняя расширенная, Windows 7 Профессиональная, Windows 7 Начальная, Windows 7 Максимальная, Service Pack 2 для Windows Vista, Microsoft Windows XP Service Pack 3, Windows 8, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbfirewall kbhowtomaster KB832017
Отзывы и предложения