windows域控服务器全部端口列表和说明.docx
《windows域控服务器全部端口列表和说明.docx》由会员分享,可在线阅读,更多相关《windows域控服务器全部端口列表和说明.docx(18页珍藏版)》请在冰豆网上搜索。
windows域控服务器全部端口列表和说明
Windows2012R2企业域环境安装和配置
域控制器防火域配置说明
本文适用于企业级多域控环境中对硬件防火墙的配置
概要:
详细的域控需要开放的防火墙端口说明,如需要查阅端口清单,请下载本人XX文库中中一表格文件《域控防火墙端口清单》
本文所推荐的端口是复杂域环境下,会涉及多种服务。
客户端(PC)到域控的端口清单
应用程序协议
协议
端口
ICMP(ping)
ICMP
DNS
TCP
53
HTTP
TCP
80
Kerberos
TCP
88
RPC
TCP
135
NetBIOS名称解析
TCP
137
NetBIOS数据报服务
TCP
138
NetBIOS会话服务
TCP
139
DC定位器
TCP
389
SMB
TCP
445
Kerberos密码V5
TCP
464
LDAPSSL
TCP
636
RPC随机分配的高TCP端口
TCP
1024-65535
RPC随机分配的高TCP端口
TCP
49152-65535
RPC随机分配的高UDP端口
UDP
1024-65535
DNS
UDP
53
DHCP服务器
UDP
67
Kerberos
UDP
88
NTP
UDP
123
RPC
UDP
135
NetBIOS名称解析
UDP
137
NetBIOS数据报服务
UDP
138
NetBIOS会话服务
UDP
139
DC定位器
UDP
389
SMB
UDP
445
Kerberos密码V5
UDP
464
RPC随机分配的高UDP端口
UDP
49152-65535
域控的端口清单
应用程序协议
协议
端口
ICMP(ping)
ICMP
SMTP
TCP
25
WINS复制
TCP
42
DNS
TCP
53
HTTP
TCP
80
Kerberos
TCP
88
RPC
TCP
135
NetBIOS名称解析
TCP
137
NetBIOS数据报服务
TCP
138
NetBIOS会话服务
TCP
139
DC定位器
TCP
389
HTTPS
TCP
443
SMB
TCP
445
Kerberos密码V5
TCP
464
RPCoverHTTPS
TCP
593
LDAPSSL
TCP
636
终端服务
TCP
3389
RPC
TCP
5722
ADDSWebServices
TCP
9389
RPC随机分配的高TCP端口
TCP
1024-65535
全局编录服务器
TCP
3269
3268
RPC随机分配的高TCP端口
TCP
49152-65535
WINS复制
UDP
42
DNS
UDP
53
DHCP服务器
UDP
67
Kerberos
UDP
88
NTP
UDP
123
RPC
UDP
135
NetBIOS名称解析
UDP
137
NetBIOS数据报服务
UDP
138
NetBIOS会话服务
UDP
139
DC定位器
UDP
389
SMB
UDP
445
Kerberos密码V5
UDP
464
IPsecISAKMP
UDP
500
MADCAP
UDP
2535
NAT-T
UDP
4500
RPC随机分配的高UDP端口
UDP
49152-65535
RPC随机分配的高UDP端口
UDP
1024-65535
ActiveDirectory(本地安全机构)
ActiveDirectory在LSASS进程下运行,它包括用于Windows2000和WindowsServer2003域控制器的身份验证引擎和复制引擎。
除了1024和65535之间的某一范围的临时TCP端口外,域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与ActiveDirectory进行网络连接,除非使用隧道协议封装此通信。
封装的解决方案可能在同时使用第2层隧道协议(L2TP)和IPsec的筛选路由器后面包含一个VPN网关。
在此封装方案中,您必须允许IPsec封装式安全协议(ESP)(IP协议50)、IPsec网络地址转换器遍历NAT-T(UDP端口4500)以及IPsecInternet安全关联和密钥管理协议(ISAKMP)(UDP端口500)通过路由器,而不是打开下面列出的所有端口和协议。
最后,可以按知识库中的以下文章中所述,对用于ActiveDirectory复制的端口进行硬编码:
224196 将ActiveDirectory复制流量限制在特定端口
注意:
L2TP流量不需要数据包筛选器,因为L2TP受IPSecESP保护。
系统服务名称:
LSASS
应用程序协议
协议
端口
全局编录服务器
TCP
3269
全局编录服务器
TCP
3268
LDAP服务器
TCP
389
LDAP服务器
UDP
389
LDAPSSL
TCP
636
LDAPSSL
UDP
636
IPsecISAKMP
UDP
500
NAT-T
UDP
4500
RPC
TCP
135
RPC随机分配的高TCP端口
TCP
1024-65535
49152-65535
计算机浏览器
“计算机浏览器”系统服务维护网络上的最新计算机列表,并为需要此列表的程序提供此列表。
基于Windows的计算机使用“计算机浏览器”服务来查看网络域和资源。
被指定为浏览器的计算机维护浏览列表,这些列表中包含网络上使用的所有共享资源。
Windows程序的早期版本(如网上邻居、netview 命令以及Windows资源管理器)都需要浏览功能。
例如,当您在一台运行Windows95的计算机上打开“网上邻居”时,就会出现域和计算机的列表。
为了显示此列表,计算机从被指定为浏览器的计算机上获取浏览列表的副本。
系统服务名称:
Browser
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
DHCP服务器
“DHCP服务器”服务使用动态主机配置协议(DHCP)自动分配IP地址。
使用此服务,可以调整DHCP客户端的高级网络设置。
例如,可以配置诸如域名系统(DNS)服务器和WindowsInternet名称服务(WINS)服务器之类的网络设置。
可以建立一个或多个DHCP服务器来维护TCP/IP配置信息并向客户端计算机提供此信息。
系统服务名称:
DHCPServer
应用程序协议
协议
端口
DHCP服务器
UDP
67
MADCAP
UDP
2535
分布式文件系统
分布式文件系统(DFS)将位于局域网(LAN)或广域网(WAN)上的不同文件共享集成到一个逻辑命名空间中。
DFS服务是ActiveDirectory域控制器公布SYSVOL共享文件夹所必需的。
系统服务名称:
Dfs
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS会话服务
TCP
139
LDAP服务器
TCP
389
LDAP服务器
UDP
389
SMB
TCP
445
RPC
TCP
135
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“远程过程调用和DCOM”部分。
²这是WindowsServer2008和WindowsVista中的范围。
分布式文件系统复制
分布式文件系统复制(DFSR)服务是基于状态的多主机文件复制引擎,它可以在参与公共复制组的计算机之间将更新自动复制到文件和文件夹中。
DFSR已添加到WindowsServer2003R2中。
可以通过使用Dfsrdiag.exe命令行工具来配置DFSR,以便在特定端口上复制文件,而不考虑这些计算机是否参与分布式文件系统命名空间(DFSN)。
系统服务名称:
DFSR
应用程序协议
协议
端口
RPC
TCP
135
RPC
TCP
5722³
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“分布式文件复制服务”部分。
²这是WindowsServer2008和WindowsVista中的范围
³端口5722仅用于2008域控制器或2008R2域控制器上。
分布式链接跟踪服务器
“分布式链接跟踪服务器”系统服务存储信息,使得在卷之间移动的文件可以跟踪到域中的每个卷。
“分布式链接跟踪服务器”服务运行在一个域中的所有域控制器上。
此服务启用“分布式链接跟踪客户端”服务,以跟踪已移动到同一个域的另一个NTFS文件系统卷中的某个位置的链接文档。
系统服务名称:
TrkSvr
应用程序协议
协议
端口
RPC
TCP
135
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“远程过程调用和DCOM”部分。
²这是WindowsServer2008和WindowsVista中的范围
分布式事务处理协调器
“分布式事务处理协调器(DTC)”系统服务负责协调跨多个计算机系统和资源管理器(如数据库、消息队列、文件系统和其他事务保护资源管理器)分布的事务。
如果事务性组件是通过COM+配置的,则需要DTC系统服务。
消息队列(也称为MSMQ)中的事务性队列和SQLServer跨多个系统运行也需要DTC系统服务。
系统服务名称:
MSDTC
应用程序协议
协议
端口
RPC
TCP
135
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“分布式事务处理协调器”部分。
²这是WindowsServer2008和WindowsVista中的范围。
DNS服务器
“DNS服务器”服务通过应答有关DNS名称的查询和更新请求来启用DNS名称解析。
查找使用DNS名称标识的设备和服务以及在ActiveDirectory中查找域控制器都需要DNS服务器。
系统服务名称:
DNS
应用程序协议
协议
端口
DNS
UDP
53
DNS
TCP
53
事件日志
“事件日志”系统服务记录由程序和Windows操作系统生成的事件消息。
事件日志报告中包含对诊断问题有用的信息。
在事件查看器中查看报告。
“事件日志”服务将程序、服务以及操作系统发送的事件写入日志文件。
这些事件中不仅包含特定于源程序、服务或组件的错误,还包含诊断信息。
日志可以通过事件日志API或通过MMC管理单元中的事件查看器以编程方式查看。
系统服务名称:
Eventlog
应用程序协议
协议
端口
RPC/命名管道(NP)
TCP
139
RPC/NP
TCP
445
RPC/NP
UDP
137
RPC/NP
UDP
138
注意:
事件日志服务通过命名管道使用RPC。
此服务的防火墙要求与“文件和打印机共享”功能相同。
文件复制
“文件复制”服务(FRS)是一个基于文件的复制引擎,它可以在参与公共FRS副本集的计算机之间将更新自动复制到文件和文件夹中。
FRS是用于在位于公共域中基于Windows2000和基于WindowsServer2003的域控制器之间复制SYSVOL文件夹内容的默认复制引擎。
可将FRS配置为通过使用DFS管理工具在DFS根或链接的目标之间复制文件和文件夹。
系统服务名称:
NtFrs
应用程序协议
协议
端口
RPC
TCP
135
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“文件复制服务”部分。
²这是WindowsServer2008和WindowsVista中的范围
组策略
为成功应用组策略,客户端必须能够通过DCOM、ICMP、LDAP、SMB和RPC协议与域控制器联系。
如果上述任一协议不可用或者在客户端和相关域控制器之间被阻止,策略将不会应用或刷新。
对于跨域登录(其中计算机在一个域中,而用户帐户在另一个域中),客户端、资源域和帐户域可能需要这些协议进行通信。
ICMP用来检测慢速链接。
有关慢速链接检测的更多信息,请单击下面的文章编号,以查看知识库中相应的文章:
227260 如何检测慢速链接来处理用户配置文件和组策略
系统服务名称:
组策略
应用程序协议
协议
端口
DCOM¹
TCP+UDP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
ICMP(ping)
ICMP
LDAP
TCP
389
SMB
TCP
445
RPC
TCP
135, 1024-65535之间的随机端口号*
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“域控制器和ActiveDirectory”部分。
²这是WindowsServer2008和WindowsVista中的范围。
注意:
当组策略管理控制台(MMC)管理单元创建组策略结果报告和组策略建模报告时,将使用DCOM和RPC发送和接收客户端或域控制器中策略结果集(RSoP)提供程序的信息。
构成组策略管理控制台(MMC)管理单元功能的各种二进制文件主要使用COM调用发送或接收信息。
HTTPSSL
HTTPSSL系统服务允许IIS执行SSL功能。
SSL是一个开放式标准,用于建立加密的通信通道以帮助防止拦截重要信息(如信用卡号码)。
尽管此服务旨在处理其他Internet服务,但它主要用于启用万维网(WWW)上的加密电子金融交易。
通过InternetInformationServices(IIS)管理器管理单元可以配置用于此服务的端口。
系统服务名称:
HTTPFilter
应用程序协议
协议
端口
HTTPS
TCP
443
Kerberos密钥发行中心
当您使用Kerberos密钥发行中心(KDC)系统服务时,用户可以使用Kerberos版本5身份验证协议登录到网络。
与在Kerberos协议的其他实现中一样,KDC是一个提供两个服务的进程:
身份验证服务和票证授予服务。
身份验证服务颁发票证授予票证,票证授予服务颁发用于连接到自己的域中的计算机的票证。
系统服务名称:
kdc
应用程序协议
协议
端口
Kerberos
TCP
88
Kerberos
UDP
88
Kerberos密码V5
UDP
464
Kerberos密码V5
TCP
464
DC定位器
UDP
389
网络登录
“网络登录”系统服务维护计算机和域控制器之间的安全通道,对用户和服务进行身份验证。
它将用户的凭据传递给域控制器,然后返回用户的域安全标识符和用户权限。
这通常称为pass-through身份验证。
“网络登录”被配置为仅在成员计算机或域控制器加入域时自动启动。
在Windows2000Server系列和WindowsServer2003系列中,“网络登录”发布DNS中的服务资源定位器记录。
当此服务运行时,它依赖“工作站”服务和“本地安全机构”服务来侦听传入的请求。
在域成员计算机上,“网络登录”使用命名管道上的RPC。
在域控制器上,它使用命名管道上的RPC、RPCoverTCP/IP、邮筒以及轻型目录访问协议(LDAP)。
系统服务名称:
Netlogon
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
SMB
TCP
445
LDAP
UDP
389
RPC¹
TCP
135, 1024–65535之间的随机端口号
135, 49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“域控制器和ActiveDirectory”部分。
²这是WindowsServer2008和WindowsVista中的范围。
注意:
网络登录服务通过下级客户端的命名管道使用RPC。
此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。
NetMeeting远程桌面共享
“NetMeeting远程桌面共享”系统服务允许经过授权的用户使用WindowsNetMeeting通过公司的内部网,从其他个人计算机远程访问您的Windows桌面。
您必须在NetMeeting中显式启用此服务。
也可以在Windows通知区域中使用一个图标来禁用或关闭此功能。
系统服务名称:
mnmsrvc
应用程序协议
协议
端口
终端服务
TCP
3389
远程过程调用(RPC)
“远程过程调用(RPC)”系统服务是一种进程间通信(IPC)机制,它启用驻留在另一个进程中的数据交换和功能调用。
不同的进程可以位于同一台计算机上、LAN上或位于远程位置,并且可以通过WAN连接或VPN连接进行访问。
RPC服务充当RPC终结点映射器和组件对象模型(COM)服务控制管理程序。
许多服务的成功启动都依赖于RPC服务。
系统服务名称:
RpcSs
应用程序协议
协议
端口
RPC
TCP
135
RPCoverHTTPS
TCP
593
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
SMB
TCP
445
注意:
RPC终结点映射器也通过使用命名管道提供它的服务。
此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。
远程过程调用(RPC)定位器
“远程过程调用(RPC)定位器”系统服务管理RPC名称服务数据库。
此服务打开后,RPC客户端可以定位RPC服务器。
默认情况下此服务处于关闭状态。
系统服务名称:
RpcLocator
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
SMB
TCP
445
注意:
RPC服务定位器通过命名管道使用RPC来提供服务。
此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。
服务器
“服务器”系统服务提供RPC支持和文件、打印以及通过网络的命名管道共享。
“服务器”服务允许共享本地资源(如磁盘和打印机),以使网络上的其他用户可以访问这些资源。
它还允许本地计算机和其他计算机上运行的程序之间的命名管道通信。
命名管道通信是保留的内存,以便将一个进程的输出用作另一个进程的输入。
接受输入的进程不必在本地计算机上。
注意:
如果某个计算机名称使用WINS解析为多个IP地址或者WINS失败并使用DNS解析该名称,则NetBIOSoverTCP/IP(NetBT)将尝试ping文件服务器的IP地址。
端口139通信取决于Internet控制消息协议(ICMP)回显消息。
如果未安装Internet协议版本6(IPv6),则端口445通信也将依靠ICMP进行名称解析。
预加载的Lmhosts条目将绕过DNS解析程序。
如果IPv6安装在基于WindowsServer2003或WindowsXP的系统上,则端口445通信将不会触发任何ICMP请求。
系统服务名称:
lanmanserver
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
SMB
TCP
445
简单邮件传输协议(SMTP)
“简单邮件传输协议”(SMTP)系统服务是电子邮件提交和中继代理。
它接受发往远程目标的电子邮件并将它们排队,并按指定的时间间隔重试发送。
Windows域控制器将SMTP服务用于站点间基于电子邮件的复制。
WindowsServer2003COM组件的协作数据对象(CDO)可以使用SMTP服务提交出站电子邮件并将它们排队。
系统服务名称:
SMTPSVC
应用程序协议
协议
端口
SMTP
TCP
25
SystemsManagementServer2.0
SystemsManagementServer(SMS)2003为操作系统的更改和配置管理提供了一个全面的解决方案。
使用此解决方案,组织可以快速经济地为用户提供相关的软件和更新。
应用程序协议
协议
端口
NetBIOS数据报服务
UDP
138
NetBIOS名称解析
UDP
137
NetBIOS会话服务
TCP
139
RPC
TCP
135
SMB
TCP
445
随机分配的高TCP端口¹
TCP
1024–65535之间的随机端口号
49152-65535之间的随机端口号²
¹有关如何自定义此端口的更多信息,请参阅“参考”部分中的“远程过程调用和DCOM”部分。
²这是WindowsServer2008和WindowsVista中的范围
终端服务
“终端
升级会员 