Microsoft Windows服务器系统的端口要求.docx
《Microsoft Windows服务器系统的端口要求.docx》由会员分享,可在线阅读,更多相关《Microsoft Windows服务器系统的端口要求.docx(24页珍藏版)》请在冰豆网上搜索。
MicrosoftWindows服务器系统的端口要求
MicrosoftWindows服务器系统的端口要求
∙Windows服务器系统包括一个全面、集成的基础结构,旨在满足开发人员和信息技术(IT)专业人员的要求。
此系统设计用于运行特定的程序和解决方案,借助这些程序和解决方案,信息工作人员可以快速便捷地获取、分析和共享信息。
这些Microsoft服务器产品使用不同的网络端口和协议,通过网络与客户端系统和其他服务器系统进行通信。
专用防火墙、基于主机的防火墙以及Internet协议安全性(IPSec)筛选器都是有助于保证网络安全所需的其他重要组件。
但是,如果将这些技术配置为阻止某个特定的服务器所使用的端口和协议,则该服务器将不再响应客户端请求。
∙ 概述
∙ 下表列出了本文所包含的信息的概述:
?
本文的“系统服务端口”部分包含对每个服务的简短说明,显示该服务的逻辑名称,并指出每个服务进行正确*作所需的端口和协议。
使用此部分可帮助识别特定的服务所使用的端口和协议。
∙ 本文的“端口与协议”部分中包括一个表(待续....),其中总结了“系统服务端口”部分中的信息。
这个表是按端口号排序的,而不是按服务名称排序的。
使用此部分可以迅速确定哪些服务侦听特定的端口。
∙ 本文在某些术语的使用上采用了特定的方式。
为了避免混淆,请确保对本文使用这些术语的方式有所了解。
下表对这些术语进行了说明:
?
系统服务:
Windows服务器系统包括许多产品,如MicrosoftWindowsServer2003系列、MicrosoftExchange2000Server和MicrosoftSQLServer2000。
所有这些产品都包括许多组件,系统服务就是这些组件之一。
特定计算机所需的系统服务或者由*作系统在启动期间自动启动,或者根据需要在典型*作期间启动。
例如,在运行WindowsServer2003企业版的计算机上,一些可用的系统服务包括服务器服务、后台打印程序服务以及万维网发布服务。
每个系统服务都有一个好记的服务名称和一个服务名称。
好记的服务名称是图形管理工具(如“服务”Microsoft管理控制台(MMC)管理单元)中出现的名称。
服务名称是用于命令行工具以及许多脚本语言的名称。
每个系统服务可以提供一项或多项网络服务。
∙ 应用程序协议:
在本文中,应用程序协议是指使用一个或多个TCP/IP协议和端口的高级网络协议。
应用程序协议的实例包括超文本传输协议(HTTP)、服务器消息块(SMB)和简单邮件传输协议(SMTP)。
∙ 协议:
TCP/IP协议在低于应用程序协议的级别上运行,它是网络上的设备之间进行通信的标准格式。
TCP/IP协议套件包括TCP、用户数据报协议(UDP)以及Internet控制消息协议(ICMP)。
∙ 端口:
这是系统服务侦听传入的网络通信的网络端口。
∙ 本文没有指定哪些服务依赖于其他服务进行网络通信。
例如,许多服务依赖MicrosoftWindows中的远程过程调用(RPC)功能或DCOM功能为它们分配动态TCP端口。
远程过程调用服务通过其他使用RPC或DCOM与客户计算机通信的系统服务来协调请求。
许多其他服务依赖于网络基本输入/输出系统(NetBIOS)、SMB、协议(实际上是由服务器服务提供的)。
其他服务依赖于HTTP或安全超文本传输协议(HTTPS)。
这些协议是由Internet信息服务(IIS)提供的。
有关Windows*作系统基础结构的完整讨论已超出本文讨论的范围。
不过,在MicrosoftTechNet和MicrosoftDeveloperNetwork(MSDN)上可以获得有关此主题的详细文档。
虽然许多服务可能都依赖于某个特定的TCP端口或UDP端口,但仅有一个服务或进程可以随时主动侦听此端口。
∙ 将RPC与TCP/IP或UDP/IP一起用于传输时,入站端口常常按照需要动态分配给系统服务;使用高于端口1024的TCP/IP端口和UDP/IP端口。
这些端口常常被非正式地称为“随机RPC端口”。
在这些情况下,RPC客户端依赖RPC终结点映射器通知它们哪个(些)动态端口分配给了服务器。
对于某些基于RPC的服务,您可以配置一个特定的端口而不是让RPC动态分配端口。
另外,无论对于什么服务,都可以将RPC动态分配的端口范围限制为一个小范围。
有关此主题的更多信息,请参见本文的“参考”部分。
∙ 本文包含有关本文结尾的“适用于”部分中所列出的Microsoft产品的系统服务角色和服务器角色的信息。
虽然此信息可能同样适用于MicrosoftWindowsXP和MicrosoftWindows2000Professional,但本文主要集中讨论服务器类*作系统。
因此,本文介绍了服务侦听的端口,而没有介绍客户端程序用来连接到远程系统的端口。
∙ 系统服务端口
∙ 本部分提供对每个系统服务的说明,包括与系统服务相对应的逻辑名称,还显示了每个服务所需的端口和协议。
∙ 应用程序层网关服务
∙ Internet连接共享(ICS)/Windows防火墙服务的这个子组件对允许网络协议通过防火墙并在Internet连接共享后面工作的插件提供支持。
应用程序层网关(ALG)插件可以打开端口和更改嵌入在数据包内的数据(如端口和IP地址)。
文件传输协议(FTP)是唯一具有WindowsServer2003标准版和WindowsServer2003企业版附带的一个插件的网络协议。
ALGFTP插件旨在通过这些组件使用的网络地址转换(NAT)引擎来支持活动的FTP会话。
ALGFTP插件通过重定向所有通过NAT的流量和发送到通向环回适配器上3000到5000范围内的专用侦听端口的端口21的流量来支持这些会话。
ALGFTP插件随后监视并更新FTP控制通道流量,以便FTP插件能够通过FTP数据通道的NAT转发端口映射。
FTP插件还更新FTP控制通道流中的端口。
∙ 系统服务名称:
ALG应用程序协议协议端口
FTP控制TCP21
∙ ASP.NET状态服务
ASP.NET状态服务支持ASP.NET进程外会话状态。
ASP.NET状态服务在进程外存储会话数据。
此服务使用套接字与Web服务器上运行的ASP.NET通信。
∙ 系统服务名称:
aspnet_state应用程序协议协议端口
ASP.NET会话状态TCP42424
证书服务
∙ 证书服务是核心*作系统的一部分。
使用证书服务,企业可以充当它自己的证书颁发机构(CA)。
通过这种方法,企业可以颁发和管理程序和协议(如安全/多用途Internet邮件扩展(S/MIME)、安全套接字层(SSL)、加密文件系统(EFS)、IPSec以及智能卡登录)的数字证书。
证书服务使用高于端口1024的随机TCP端口,依赖RPC和DCOM与客户机通信。
∙ 系统服务名称:
CertSvc应用程序协议协议端口
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ 群集服务
∙ “群集”服务控制服务器群集*作并管理群集数据库。
群集是充当单个计算机的独立计算机的集合。
管理员、程序员和用户将群集看作一个系统。
此软件在群集节点之间分发数据。
如果一个节点失败了,其他节点将提供原来由丢失的节点提供的服务和数据。
当添加或修复了某个节点后,群集软件将一些数据迁移到此节点。
∙ 系统服务名称:
ClusSvc应用程序协议协议端口
群集服务UDP3343
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ 计算机浏览器
∙ “计算机浏览器”系统服务维护网络上的最新计算机列表,并应程序的请求提供此列表。
基于Windows的计算机使用“计算机浏览器”服务来查看网络域和资源。
被指定为浏览器的计算机维护浏览列表,这些列表中包含网络上使用的所有共享资源。
Windows程序的早期版本(如“网上邻居”、netview命令以及Windows资源管理器)都需要浏览功能。
例如,当您在一台运行MicrosoftWindows95的计算机上打开“网上邻居”时,就会出现域和计算机的列表。
为了显示此列表,计算机从被指定为浏览器的计算机上获取浏览列表的副本。
∙ 系统服务名称:
Browser应用程序协议协议端口
NetBIOS数据报服务UDP138
NetBIOS名称解析UDP137
NetBIOS会话服务TCP139
∙DHCP服务器
∙ “DHCP服务器”服务使用动态主机配置协议(DHCP)自动分配IP地址。
使用此服务,可以调整DHCP客户机的高级网络设置。
例如,可以配置诸如域名系统(DNS)服务器和WindowsInternet名称服务(WINS)服务器之类的网络设置。
可以建立一个或更多的DHCP服务器来维护TCP/IP配置信息并向客户计算机提供此信息。
∙ 系统服务名称:
DHCPServer应用程序协议协议端口
DHCP服务器UDP67
MADCAPUDP2535
∙ 分布式文件系统
∙ “分布式文件系统(DFS)”服务管理分布在局域网(LAN)或广域网(WAN)上的逻辑卷,它对MicrosoftActiveDirectory目录服务SYSVOL共享是必需的。
DFS是将不同的文件共享集成为一个逻辑命名空间的分布式服务。
∙ 系统服务名称:
Dfs应用程序协议协议端口
NetBIOS数据报服务UDP138
NetBIOS会话服务TCP139
LDAP服务器TCP389
LDAP服务器UDP389
SMBTCP445
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ 分布式链接跟踪服务器
∙ “分布式链接跟踪服务器”系统服务存储信息,使得在卷之间移动的文件可以跟踪到域中的每个卷。
“分布式链接跟踪服务器”服务运行在一个域中的所有域控制器上。
此服务启用“分布式链接跟踪服务器客户机”服务以跟踪已移动到同一个域中另一个NTFS文件系统中某个位置的链接文档。
∙ 系统服务名称:
TrkSvr应用程序协议协议端口
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ 分布式事务处理协调器
∙ “分布式事务处理协调器(DTC)”系统服务负责协调跨计算机系统和资源管理器分布的事务,如数据库、消息队列、文件系统和其他事务保护资源管理器。
如果事务性组件是通过COM+配置的,就需要DTC系统服务。
消息队列(也称作MSMQ)中的事务性队列和SQLServer跨多系统运行也需要DTC系统服务。
∙ 系统服务名称:
MSDTC应用程序协议协议端口
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ DNSServer
∙ “DNS服务器”服务通过应答有关DNS名称的查询和更新请求来启用DNS名称解析。
查找使用DNS标识的设备和服务以及在ActiveDirectory中查找域控制器都需要DNS服务器。
∙ 系统服务名称:
DNS应用程序协议协议端口
DNSUDP53
DNSTCP53
∙ 事件日志
∙ “事件日志”系统服务记录由程序和Windows*作系统生成的事件消息。
事件日志报告中包含对诊断问题有用的信息。
在事件查看器中查看报告。
事件日志服务将程序、服务以及*作系统发送的事件写入日志文件。
这些事件中不仅包含特定于源程序、服务或组件的错误,还包含诊断信息。
日志可以通过事件日志API或通过MMC的管理单元中的事件查看器以编程方式查看。
∙ 系统服务名称:
Eventlog应用程序协议协议端口
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ ExchangeServer
∙ MicrosoftExchangeServer包括几个系统服务。
当MAPI客户机(如MicrosoftOutlook)连接到ExchangeServer时,客户机先连接到TCP端口135上的RPC终结点映射器(RPC定位器服务)。
RPC终结点映射器告诉客户机使用哪些端口连接到ExchangeServer服务。
这些端口是动态分配的。
MicrosoftExchangeServer5.5使用两个端口:
一个用于信息存储,一个用于目录。
MicrosoftExchange2000Server和MicrosoftExchangeServer2003使用三个端口:
一个用于信息存储,两个用于系统助理。
通过使用HTTP上的RPC,还可以使用MicrosoftOfficeOutlook2003连接到运行ExchangeServer2003的服务器。
Exchange服务器还支持其他协议,如SMTP、邮局协议3(POP3)以及IMAP。
∙ 应用程序协议协议端口
IMAPTCP143
SSL上的IMAPTCP993
POP3TCP110
SSL上的POP3TCP995
随机分配的高TCP端口TCP随机端口号
RPCTCP135
HTTP上的RPCTCP593
SMTPTCP25
SMTPUDP25
∙ 传真服务
∙ 传真服务、符合TelephonyAPI(TAPI)的系统服务,提供传真功能。
使用传真服务,用户可以使用本地传真设备或共享的网络传真设备,从他们的桌面程序发送和接收传真。
∙ 系统服务名称:
Fax应用程序协议协议端口
NetBIOS会话服务TCP139
RPCTCP135
随机分配的高TCP端口TCP随机端口号
SMBTCP445
∙ 文件复制
∙ 文件复制服务(FRS)允许同时在许多服务器上自动复制和维护文件。
FRS是Windows2000和WindowsServer2003中的自动文件复制服务,其功能是将SYSVOL共享复制到所有的域控制器。
此外,还可以将FRS配置为在与容错DFS关联的备用目标之间复制文件。
∙ 系统服务名称:
NtFrs应用程序协议协议端口
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ Macintosh文件服务器
∙ 使用“Macintosh文件服务器”系统服务,Macintosh计算机用户可以在运行WindowsServer2003的计算机上存储和访问文件。
如果此服务被关闭或被禁止,Macintosh客户机将无法在此计算机上访问或存储文件。
∙ 系统服务名称:
MacFile应用程序协议协议端口
Macintosh文件服务器TCP548
∙ FTP发布服务
∙ FTP发布服务提供FTP连接。
默认情况下,FTP控制端口为21。
不过,通过“Internet信息服务(IIS)管理器”管理单元可以配置此系统服务。
默认数据端口(即主动模式FTP使用的端口)自动设置为比控制端口低一个端口。
因此,如果将控制端口配置为端口4131,则默认数据端口为端口4130。
大多数FTP客户机都使用被动模式FTP。
这表示客户机最初使用控制端口连接到FTP服务器,FTP服务器分配一个介于1025和5000之间的高TCP端口,然后客户机打开另一个FTP服务器连接以传递数据。
可以使用IIS元数据库配置高端口的范围。
∙ 系统服务名称:
MSFTPSVC应用程序协议协议端口
FTP控制TCP21
FTP默认数据TCP20
随机分配的高TCP端口TCP随机端口号
∙ HTTPSSL
∙ HTTPSSL系统服务使IIS能够执行SSL功能。
SSL是一个开放式标准,用于建立加密的通信通道以帮助防止拦截重要信息(如信用卡号码)。
尽管此服务旨在处理其他Internet服务,但它主要用于启用万维网(WWW)上的加密电子金融交易。
通过“Internet信息服务(IIS)管理器”管理单元可以配置用于此服务的端口。
∙ 系统服务名称:
HTTPFilter应用程序协议协议端口
HTTPSTCP443
∙ Internet身份验证服务
∙ Internet验证服务(IAS)对正在连接到网络的用户执行集中式身份验证、授权、审核以及计帐。
这些用户可以在LAN连接上,也可以在远程连接上。
IAS实现Internet工程任务组(IETF)标准远程身份验证拨入用户服务(RADIUS)协议。
∙ 系统服务名称:
IAS应用程序协议协议端口
旧式RADIUSUDP1645
旧式RADIUSUDP1646
RADIUS计帐UDP1813
RADIUS身份验证UDP1812
∙ Windows防火墙/Internet连接共享(ICS)
∙ 此系统服务为家庭网络或小型办公室网络上的所有计算机提供NAT、寻址以及名称解析服务。
当启用Internet连接共享功能时,您的计算机就变成网络上的“Internet网关”,然后其他客户计算机可以共享一个Internet连接,如拨号连接或宽带连接。
此服务提供基本的DHCP服务和DNS服务,但它也适用于功能完备的WindowsDHCP服务或DNS服务。
当ICF和Internet连接共享充当网络上其他计算机的网关时,它们在内部网络接口上为专用网络提供DHCP服务和DNS服务。
它们不在面向外部的接口上提供这些服务。
∙ 系统服务名称:
SharedAccess应用程序协议协议端口
DHCP服务器UDP67
DNSUDP53
DNSTCP53
∙ Kerberos密钥分发中心
∙ 当您使用Kerberos密钥分发中心(KDC)系统服务时,用户可以使用Kerberos版本5身份验证协议登录到网络。
与在Kerberos协议的其他实现中一样,KDC是一个提供两个服务的进程:
身份验证服务和票证授予服务。
身份验证服务颁发票证授予票证,票证授予服务颁发用于连接到自己的域中的计算机的票证。
∙ 系统服务名称:
kdc应用程序协议协议端口
KerberosTCP88
KerberosUDP88
∙ 许可证记录
∙ “许可证记录”系统服务是一个工具,当初设计它是为了帮助用户管理服务器客户机访问许可证(CAL)模型中授权的Microsoft服务器产品的许可证。
许可证记录是随MicrosoftWindowsNTServer3.51引入的。
默认情况下,在WindowsServer2003中“许可证记录”服务是禁用的。
由于原始设计的限制和许可协议条款和条件发展的原因,“许可证记录”可能不会提供一个购买的CAL总数与在一个特定服务器上或在企业范围内使用的CAL总数相比较的精确视图。
“许可证记录”报告的CAL可能会与“最终用户许可协议(EULA)”的解释和“产品使用权(PUR)”相冲突。
Windows*作系统的将来版本中将不包括许可证记录。
Microsoft仅建议MicrosoftSmallBusinessServer系列*作系统的用户在服务器上启用此服务。
∙ 系统服务名称:
LicenseService应用程序协议协议端口
NetBIOS数据报服务UDP138
NetBIOS会话服务TCP139
SMBTCP445
∙ 本地安全机构
∙ “本地安全机构”(LSASS)服务提供核心*作系统安全机制。
它使用通过RPC服务分配的随机TCP端口进行域控制器复制。
虽然LSASS可以使用所有以下协议,但是它可能只使用其中的一个子集。
例如,配置位于筛选路由器后面的VPN网关时,您可能要将IPSec与“第2层隧道协议(L2TP)”一起使用。
在这种情况下,您必须允许IPSec封装式安全协议(ESP)(IP协议50)、IPSec网络地址转换器遍历NAT-T(UDP端口4500)和IPSecInternet安全关联和密钥管理协议(ISAKMP)(UDP端口500)通过路由器。
∙ 注意:
L2TP流量不需要数据包筛选器,因为L2TP受IPSecESP保护。
∙ 系统服务名称:
LSASS应用程序协议协议端口
全局编录服务器TCP3269
全局编录服务器TCP3268
LDAP服务器TCP389
LDAP服务器UDP389
LDAPSSLTCP636
LDAPSSLUDP636
IPSecISAKMPUDP500
NAT-TUDP4500
RPCTCP135
随机分配的高TCP端口TCP随机端口号
∙ 消息队列
∙ “消息队列”系统服务是一个消息处理结构和开发工具,用于创建Windows分布式消息处理程序。
这些程序可以跨异构网络通信,并且可以在可能暂时无法彼此连接的计算机之间发送消息。
消息队列对提供安全性、提高路由效率、支持在事务内发送消息、基于优先级的消息处理以及有保障的邮件传递都有帮助。
∙ 系统服务名称:
MSMQ应用程序协议协议端口
MSMQTCP1801
MSMQUDP1801
MSMQ-DCsTCP2101
MSMQ-MgmtTCP2107
MSMQ-PingUDP3527
MSMQ-RPCTCP2105
MSMQ-RPCTCP2103
RPCTCP135
∙ Messenger
∙ “信使”系统服务向用户和计算机、管理员
升级会员 