本文討論 Microsoft 客戶端和服務(wù)器操作系統(tǒng)、基于服務(wù)器的程序及其在 Microsoft Windows Server 系統(tǒng)中使用的子項所需的網(wǎng)絡(luò)端口、協(xié)議和服務(wù)。 管理員和支持專業(yè)人員可以使用本文作為路線圖，以確定 Microsoft 操作系統(tǒng)和程序在分段網(wǎng)絡(luò)中建立網(wǎng)絡(luò)連接需要哪些端口和協(xié)議。

原始產(chǎn)品版本： Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、版本 2004、Windows 10、版本 1909、Windows 10、版本 1903、Windows 7 Service Pack 1
原始 KB 編號： 832017

請勿使用本文中的端口信息配置 Windows 防火墻。 若要了解如何配置 Windows 防火墻，請參閱 高級安全 Windows 防火墻。

Windows Server 系統(tǒng)包括一個全面且集成的基礎(chǔ)結(jié)構(gòu)，以滿足 IT 專業(yè)人員和 IT 專業(yè)人員 (信息技術(shù)) 要求。 此系統(tǒng)運行的程序和解決方案可用于快速輕松地獲取、分析和共享信息。 這些 Microsoft 客戶端、服務(wù)器和服務(wù)器程序產(chǎn)品使用不同的網(wǎng)絡(luò)端口和協(xié)議來通過網(wǎng)絡(luò)與客戶端系統(tǒng)和其他服務(wù)器系統(tǒng)進行通信。 專用防火墻、基于主機的防火墻和 Internet 協(xié)議安全 (IPsec) 篩選器是您必須幫助保護網(wǎng)絡(luò)安全的重要信息組件。 但是，如果這些技術(shù)配置為阻止特定服務(wù)器使用的端口和協(xié)議，該服務(wù)器將不再響應(yīng)客戶端請求。

概述

以下列表概述了本文包含的信息：

• " 部分：

  • 包含每個服務(wù)的簡要說明。
  • 顯示每個服務(wù)的邏輯名稱。
  • 指示每個服務(wù)正確操作所需的端口和協(xié)議。

  使用此部分可幫助標(biāo)識特定服務(wù)使用的端口和協(xié)議。

• " 部分包含一個表，其中匯總了"系統(tǒng)服務(wù)端口"部分的信息。 表按端口號而不是服務(wù)名稱排序。 使用此部分可以快速確定哪些服務(wù)偵聽特定端口。

將 RPC 與 TCP/IP 或 UDP/IP 一起用作傳輸時，會經(jīng)常根據(jù)需要動態(tài)地將傳入端口分配給系統(tǒng)服務(wù)。 使用高于端口 1024 的 TCP/IP 和 UDP/IP 端口。 這些端口也非正式稱為 隨機 RPC 端口。 在這些情況下，RPC 客戶端依賴 RPC 終結(jié)點映射器來告知它們向服務(wù)器分配了哪些動態(tài)端口或端口。 對于某些基于 RPC 的服務(wù)，可以配置特定端口，而不是讓 RPC 動態(tài)分配端口。 還可以限制 RPC 動態(tài)分配給較小范圍的端口范圍，而不考慮服務(wù)。 有關(guān)本主題的詳細(xì)信息，請參閱"引用 部分。

系統(tǒng)服務(wù)端口

本節(jié)提供每個系統(tǒng)服務(wù)的說明，包括與系統(tǒng)服務(wù)對應(yīng)的邏輯名稱，并顯示每個服務(wù)所需的端口和協(xié)議。

Active Directory (本地安全機構(gòu))

Active Directory 在 Lsass.exe 進程下運行，包括 Windows 域控制器的身份驗證和復(fù)制引擎。 域控制器、客戶端計算機和應(yīng)用程序服務(wù)器需要通過特定硬編碼端口與 Active Directory 建立網(wǎng)絡(luò)連接。 此外，除非使用隧道協(xié)議將流量封裝到 Active Directory，否則需要介于 1024 到 5000 和 49152 到 65535 之間的臨時 TCP 端口范圍。

封裝的解決方案可能包含一個 VPN 網(wǎng)關(guān)，該網(wǎng)關(guān)位于使用第 2 層隧道協(xié)議 (L2TP) IPsec 的篩選路由器后面。 在此封裝方案中，必須允許以下項通過路由器，而不是打開本主題中列出的所有端口和協(xié)議：

• IPsec 封裝安全協(xié)議 (ESP) (IP 協(xié)議 50)
• IPsec 網(wǎng)絡(luò)地址轉(zhuǎn)換器遍歷 UDP 端口 4500 (NAT-T)
• IPsec Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議 (ISAKMP) (UDP 端口 500)

最后，可以按照將 Active Directory RPC流量限制到特定端口中的步驟對用于 Active Directory 復(fù)制的端口進行硬編碼。 系統(tǒng)服務(wù)名稱 ：LSASS。

1 若要詳細(xì)了解如何自定義此端口，請參閱"引用"部分中的域控制器和 Active Directory。 本節(jié)還包括在先決條件驗證期間Windows Server 2012域控制器升級中首先使用的遠(yuǎn)程 WMI 和 DCOM 通信以及服務(wù)器管理器工具。

Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 中的區(qū)域。

此外，Microsoft LDAP 客戶端使用 ICMP ping 來驗證其具有待定請求的 LDAP 服務(wù)器是否仍存在于網(wǎng)絡(luò)中。 以下設(shè)置是 LDAP 會話選項：

• PingKeepAliveTimeout = 120 秒 (在服務(wù)器最后一次響應(yīng)后等待的時間，然后它開始發(fā)送 ping PingLimit) = 4 (關(guān)閉連接之前發(fā)送的 ping)
• PingWaitTimeout = 2000 毫秒 (等待 ICMP 響應(yīng)的時間)
• 參考 ：LdapSessionOptions 類

應(yīng)用程序?qū)泳W(wǎng)關(guān)服務(wù)

Internet 連接共享/Internet 連接防火墻 (ICF) 服務(wù)的這一子項提供對插件的支持，這些插件允許網(wǎng)絡(luò)協(xié)議通過防火墻，并支持 Internet 連接共享。 應(yīng)用程序?qū)泳W(wǎng)關(guān) (ALG) 插件可以打開端口并更改數(shù)據(jù)包 (的端口和 IP) 等數(shù)據(jù)。 FTP 是唯一具有 Windows Server 中包含的插件的網(wǎng)絡(luò)協(xié)議。 ALG FTP 插件通過這些組件使用的 NAT) 引擎的網(wǎng)絡(luò)地址轉(zhuǎn)換支持活動的 FTP 會話 (NAT 轉(zhuǎn)換。 ALG FTP 插件支持這些會話，將滿足以下條件的所有流量重定向到環(huán)回適配器上范圍為 3000 到 5000 的專用偵聽端口：

• 通過 NAT 引擎
• 定向到端口 21

然后，ALG FTP 插件監(jiān)視和更新 FTP 控制通道流量，以便 FTP 插件可以通過 FTP 數(shù)據(jù)通道的 NAT 轉(zhuǎn)發(fā)端口映射。 FTP 插件還會更新 FTP 控制通道流中的端口。

系統(tǒng)服務(wù)名稱 ：ALG

ASP.NET State Service

ASP.NET狀態(tài)服務(wù)ASP.NET進程外會話狀態(tài)的支持。 ASP.NET State Service 在進程外存儲會話數(shù)據(jù)。 該服務(wù)使用套接字與在 web ASP.NET運行的服務(wù)器通信。

系統(tǒng)服務(wù)名稱 ：aspnet_state

如果您有其他問題，可以聯(lián)系北京優(yōu)勝智連阿里云代理商，為您提供一對一專業(yè)全面的技術(shù)服務(wù)，同時新老阿里云會員，均可享受我公司代理商價格，歡迎咨詢！