Windows服務器系統的端口要求

Windows 服務器系統包括一個全面、集成的基礎結構，旨在知足開發人員和信息技術 (IT) 專業人員的要求。此係統設計用於運行特定的程序和解決方案，藉助這些程序和解決方案，信息工做人員能夠快速便捷地獲取、分析和共享信息。這些 Microsoft 服務器產品使用不一樣的網絡端口和協議，經過網絡與客戶端系統和其餘服務器系統進行通訊。專用防火牆、基於主機的防火牆以及 Internet 協議安全性 (IPSec) 篩選器都是有助於保證網絡安全所需的其餘重要組件。可是，若是將這些技術配置爲阻止某個特定的服務器所使用的端口和協議，則該服務器將再也不響應客戶端請求。　　概述　　下表列出了本文所包含的信息的概述： ? 本文的「系統服務端口」部分包含對每一個服務的簡短說明，顯示該服務的邏輯名稱，並指出每一個服務進行正確*做所需的端口和協議。使用此部分可幫助識別特定的服務所使用的端口和協議。 　　本文的「端口與協議」部分中包括一個表(待續....)，其中總結了「系統服務端口」部分中的信息。這個表是按端口號排序的，而不是按服務名稱排序的。使用此部分能夠迅速肯定哪些服務偵聽特定的端口。 　　本文在某些術語的使用上採用了特定的方式。爲了不混淆，請確保對本文使用這些術語的方式有所瞭解。下表對這些術語進行了說明： ? 系統服務：Windows 服務器系統包括許多產品，如 Microsoft Windows Server 2003 系列、Microsoft Exchange 2000 Server 和 Microsoft SQL Server 2000。全部這些產品都包括許多組件，系統服務就是這些組件之一。特定計算機所需的系統服務或者由*做系統在啓動期間自動啓動，或者根據須要在典型*做期間啓動。例如，在運行 Windows Server 2003 企業版的計算機上，一些可用的系統服務包括服務器服務、後臺打印程序服務以及萬維網發佈服務。每一個系統服務都有一個好記的服務名稱和一個服務名稱。好記的服務名稱是圖形管理工具（如「服務」Microsoft 管理控制檯 (MMC) 管理單元）中出現的名稱。服務名稱是用於命令行工具以及許多腳本語言的名稱。每一個系統服務能夠提供一項或多項網絡服務。 　　應用程序協議：在本文中，應用程序協議是指使用一個或多個 TCP/IP 協議和端口的高級網絡協議。應用程序協議的實例包括超文本傳輸協議 (HTTP)、服務器消息塊 (SMB) 和簡單郵件傳輸協議 (SMTP)。 　　 協議：TCP/IP 協議在低於應用程序協議的級別上運行，它是網絡上的設備之間進行通訊的標準格式。TCP/IP 協議套件包括 TCP、用戶數據報協議 (UDP) 以及 Internet 控制消息協議 (ICMP)。 　　 端口：這是系統服務偵聽傳入的網絡通訊的網絡端口。 　　本文沒有指定哪些服務依賴於其餘服務進行網絡通訊。例如，許多服務依賴 Microsoft Windows 中的遠程過程調用 (RPC) 功能或 DCOM 功能爲它們分配動態 TCP 端口。遠程過程調用服務經過其餘使用 RPC 或 DCOM 與客戶計算機通訊的系統服務來協調請求。許多其餘服務依賴於網絡基本輸入/輸出系統 (NetBIOS)、SMB、協議（其實是由服務器服務提供的）。其餘服務依賴於 HTTP 或安全超文本傳輸協議 (HTTPS)。這些協議是由 Internet 信息服務 (IIS) 提供的。有關 Windows *做系統基礎結構的完整討論已超出本文討論的範圍。不過，在 Microsoft TechNet 和 Microsoft Developer Network (MSDN) 上能夠得到有關此主題的詳細文檔。雖然許多服務可能都依賴於某個特定的 TCP 端口或 UDP 端口，但僅有一個服務或進程能夠隨時主動偵聽此端口。　　將 RPC 與 TCP/IP 或 UDP/IP 一塊兒用於傳輸時，入站端口經常按照須要動態分配給系統服務；使用高於端口 1024 的 TCP/IP 端口和 UDP/IP 端口。這些端口經常被非正式地稱爲「隨機 RPC 端口」。在這些狀況下，RPC 客戶端依賴 RPC 終結點映射器通知它們哪一個（些）動態端口分配給了服務器。對於某些基於 RPC 的服務，您能夠配置一個特定的端口而不是讓 RPC 動態分配端口。另外，不管對於什麼服務，均可以將 RPC 動態分配的端口範圍限制爲一個小範圍。有關此主題的更多信息，請參見本文的「參考」部分。　　本文包含有關本文結尾的「適用於」部分中所列出的 Microsoft 產品的系統服務角色和服務器角色的信息。雖然此信息可能一樣適用於 Microsoft Windows XP 和 Microsoft Windows 2000 Professional，但本文主要集中討論服務器類*做系統。所以，本文介紹了服務偵聽的端口，而沒有介紹客戶端程序用來鏈接到遠程系統的端口。　　系統服務端口　　本部分提供對每一個系統服務的說明，包括與系統服務相對應的邏輯名稱，還顯示了每一個服務所需的端口和協議。 　　應用程序層網關服務　　Internet 鏈接共享 (ICS)/Windows 防火牆服務的這個子組件對容許網絡協議經過防火牆並在 Internet 鏈接共享後面工做的插件提供支持。應用程序層網關 (ALG) 插件能夠打開端口和更改嵌入在數據包內的數據（如端口和 IP 地址）。文件傳輸協議 (FTP) 是惟一具備 Windows Server 2003 標準版和 Windows Server 2003 企業版附帶的一個插件的網絡協議。ALG FTP 插件旨在經過這些組件使用的網絡地址轉換 (NAT) 引擎來支持活動的 FTP 會話。ALG FTP 插件經過重定向全部經過 NAT 的流量和發送到通向環回適配器上 3000 到 5000 範圍內的專用偵聽端口的端口 21 的流量來支持這些會話。ALG FTP 插件隨後監視並更新 FTP 控制通道流量，以便 FTP 插件可以經過 FTP 數據通道的 NAT 轉發端口映射。FTP 插件還更新 FTP 控制通道流中的端口。 　　系統服務名稱：ALG 應用程序協議 協議 端口 　　FTP 控制 TCP 21 　　ASP.NET 狀態服務　　ASP.NET 狀態服務支持 ASP.NET 進程外會話狀態。ASP.NET 狀態服務在進程外存儲會話數據。此服務使用套接字與 Web 服務器上運行的 ASP.NET 通訊。　　系統服務名稱：aspnet_state 應用程序協議 協議 端口 　　ASP.NET 會話狀態 TCP 42424 　　證書服務　　證書服務是核心*做系統的一部分。使用證書服務，企業能夠充當它本身的證書頒發機構 (CA)。經過這種方法，企業能夠頒發和管理程序和協議（如安全/多用途 Internet 郵件擴展 (S/MIME)、安全套接字層 (SSL)、加密文件系統 (EFS)、IPSec 以及智能卡登陸）的數字證書。證書服務使用高於端口 1024 的隨機 TCP 端口，依賴 RPC 和 DCOM 與客戶機通訊。 　　系統服務名稱：CertSvc 應用程序協議 協議 端口 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　羣集服務　　「羣集」服務控制服務器羣集*做並管理羣集數據庫。羣集是充當單個計算機的獨立計算機的集合。管理員、程序員和用戶將羣集看做一個系統。此軟件在羣集節點之間分發數據。若是一個節點失敗了，其餘節點將提供原來由丟失的節點提供的服務和數據。當添加或修復了某個節點後，羣集軟件將一些數據遷移到此節點。　　系統服務名稱：ClusSvc 應用程序協議 協議 端口 　　羣集服務 UDP 3343 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　計算機瀏覽器　　「計算機瀏覽器」系統服務維護網絡上的最新計算機列表，並應程序的請求提供此列表。基於 Windows 的計算機使用「計算機瀏覽器」服務來查看網絡域和資源。被指定爲瀏覽器的計算機維護瀏覽列表，這些列表中包含網絡上使用的全部共享資源。Windows 程序的早期版本（如「網上鄰居」、net view 命令以及 Windows 資源管理器）都須要瀏覽功能。例如，當您在一臺運行 Microsoft Windows 95 的計算機上打開「網上鄰居」時，就會出現域和計算機的列表。爲了顯示此列表，計算機從被指定爲瀏覽器的計算機上獲取瀏覽列表的副本。　　系統服務名稱：Browser 應用程序協議 協議 端口 　　NetBIOS 數據報服務 UDP 138 　　NetBIOS 名稱解析 UDP 137 　　NetBIOS 會話服務 TCP 139  　　DHCP 服務器　　「DHCP 服務器」服務使用動態主機配置協議 (DHCP) 自動分配 IP 地址。使用此服務，能夠調整 DHCP 客戶機的高級網絡設置。例如，能夠配置諸如域名系統 (DNS) 服務器和 Windows Internet 名稱服務 (WINS) 服務器之類的網絡設置。能夠創建一個或更多的 DHCP 服務器來維護 TCP/IP 配置信息並向客戶計算機提供此信息。　　系統服務名稱：DHCPServer 應用程序協議 協議 端口 　　DHCP 服務器 UDP 67 　　MADCAP UDP 2535 　　分佈式文件系統　　「分佈式文件系統 (DFS)」服務管理分佈在局域網 (LAN) 或廣域網 (WAN) 上的邏輯卷，它對 Microsoft Active Directory 目錄服務 SYSVOL 共享是必需的。DFS 是將不一樣的文件共享集成爲一個邏輯命名空間的分佈式服務。 　　系統服務名稱：Dfs 應用程序協議 協議 端口 　　NetBIOS 數據報服務 UDP 138 　　NetBIOS 會話服務 TCP 139 　　LDAP 服務器 TCP 389 　　LDAP 服務器 UDP 389 　　SMB TCP 445 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　分佈式連接跟蹤服務器　　「分佈式連接跟蹤服務器」系統服務存儲信息，使得在卷之間移動的文件能夠跟蹤到域中的每一個卷。「分佈式連接跟蹤服務器」服務運行在一個域中的全部域控制器上。此服務啓用「分佈式連接跟蹤服務器客戶機」服務以跟蹤已移動到同一個域中另外一個 NTFS 文件系統中某個位置的連接文檔。 　　系統服務名稱：TrkSvr 應用程序協議 協議 端口 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　分佈式事務處理協調器　　「分佈式事務處理協調器 (DTC)」系統服務負責協調跨計算機系統和資源管理器分佈的事務，如數據庫、消息隊列、文件系統和其餘事務保護資源管理器。若是事務性組件是經過 COM+ 配置的，就須要 DTC 系統服務。消息隊列（也稱做 MSMQ）中的事務性隊列和 SQL Server 跨多系統運行也須要 DTC 系統服務。 　　系統服務名稱：MSDTC 應用程序協議 協議 端口 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　DNS Server　　「DNS 服務器」服務經過應答有關 DNS 名稱的查詢和更新請求來啓用 DNS 名稱解析。查找使用 DNS 標識的設備和服務以及在 Active Directory 中查找域控制器都須要 DNS 服務器。　　系統服務名稱：DNS 應用程序協議 協議 端口 　　DNS UDP 53 　　DNS TCP 53 　　事件日誌　　「事件日誌」系統服務記錄由程序和 Windows *做系統生成的事件消息。事件日誌報告中包含對診斷問題有用的信息。在事件查看器中查看報告。事件日誌服務將程序、服務以及*做系統發送的事件寫入日誌文件。這些事件中不只包含特定於源程序、服務或組件的錯誤，還包含診斷信息。日誌能夠經過事件日誌 API 或經過 MMC 的管理單元中的事件查看器以編程方式查看。　　系統服務名稱：Eventlog 應用程序協議 協議 端口 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　Exchange Server　　Microsoft Exchange Server 包括幾個系統服務。當 MAPI 客戶機（如 Microsoft Outlook）鏈接到 Exchange Server 時，客戶機先鏈接到 TCP 端口 135 上的 RPC 終結點映射器（RPC 定位器服務）。RPC 終結點映射器告訴客戶機使用哪些端口鏈接到 Exchange Server 服務。這些端口是動態分配的。Microsoft Exchange Server 5.5 使用兩個端口：一個用於信息存儲，一個用於目錄。Microsoft Exchange 2000 Server 和 Microsoft Exchange Server 2003 使用三個端口：一個用於信息存儲，兩個用於系統助理。經過使用 HTTP 上的 RPC，還可使用 Microsoft Office Outlook 2003 鏈接到運行 Exchange Server 2003 的服務器。Exchange 服務器還支持其餘協議，如 SMTP、郵局協議 3 (POP3) 以及 IMAP。　　應用程序協議 協議 端口 　　IMAP TCP 143 　　SSL 上的 IMAP TCP 993 　　POP3 TCP 110 　　SSL 上的 POP3 TCP 995 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　RPC TCP 135 　　HTTP 上的 RPC TCP 593 　　SMTP TCP 25 　　SMTP UDP 25 　　傳真服務　　傳真服務、符合 Telephony API (TAPI) 的系統服務，提供傳真功能。使用傳真服務，用戶可使用本地傳真設備或共享的網絡傳真設備，從他們的桌面程序發送和接收傳真。　　系統服務名稱：Fax 應用程序協議 協議 端口 　　NetBIOS 會話服務 TCP 139 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　SMB TCP 445 　　文件複製　　文件複製服務 (FRS) 容許同時在許多服務器上自動複製和維護文件。FRS 是 Windows 2000 和 Windows Server 2003 中的自動文件複製服務，其功能是將 SYSVOL 共享複製到全部的域控制器。此外，還能夠將 FRS 配置爲在與容錯 DFS 關聯的備用目標之間複製文件。 　　系統服務名稱：NtFrs 應用程序協議 協議 端口 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　Macintosh 文件服務器　　使用「Macintosh 文件服務器」系統服務，Macintosh 計算機用戶能夠在運行 Windows Server 2003 的計算機上存儲和訪問文件。若是此服務被關閉或被禁止，Macintosh 客戶機將沒法在此計算機上訪問或存儲文件。 　　系統服務名稱：MacFile 應用程序協議 協議 端口 　　Macintosh 文件服務器 TCP 548 　　FTP 發佈服務　　FTP 發佈服務提供 FTP 鏈接。默認狀況下，FTP 控制端口爲 21。不過，經過「Internet 信息服務 (IIS) 管理器」管理單元能夠配置此係統服務。默認數據端口（即主動模式 FTP 使用的端口）自動設置爲比控制端口低一個端口。所以，若是將控制端口配置爲端口 4131，則默認數據端口爲端口 4130。大多數 FTP 客戶機都使用被動模式 FTP。這表示客戶機最初使用控制端口鏈接到 FTP 服務器，FTP 服務器分配一個介於 1025 和 5000 之間的高 TCP 端口，而後客戶機打開另外一個 FTP 服務器鏈接以傳遞數據。可使用 IIS 元數據庫配置高端口的範圍。 　　系統服務名稱：MSFTPSVC 應用程序協議 協議 端口 　　FTP 控制 TCP 21 　　FTP 默認數據 TCP 20 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　HTTP SSL　　HTTP SSL 系統服務使 IIS 可以執行 SSL 功能。SSL 是一個開放式標準，用於創建加密的通訊通道以幫助防止攔截重要信息（如信用卡號碼）。儘管此服務旨在處理其餘 Internet 服務，但它主要用於啓用萬維網 (WWW) 上的加密電子金融交易。經過「Internet 信息服務 (IIS) 管理器」管理單元能夠配置用於此服務的端口。 　　系統服務名稱：HTTPFilter 應用程序協議 協議 端口 　　HTTPS TCP 443 　　Internet 身份驗證服務　　Internet 驗證服務 (IAS) 對正在鏈接到網絡的用戶執行集中式身份驗證、受權、審覈以及計賬。這些用戶能夠在 LAN 鏈接上，也能夠在遠程鏈接上。IAS 實現 Internet 工程任務組 (IETF) 標準遠程身份驗證撥入用戶服務 (RADIUS) 協議。 　　系統服務名稱：IAS 應用程序協議 協議 端口 　　舊式 RADIUS UDP 1645 　　舊式 RADIUS UDP 1646 　　RADIUS 計賬 UDP 1813 　　RADIUS 身份驗證 UDP 1812 　　Windows 防火牆/Internet 鏈接共享 (ICS)　　此係統服務爲家庭網絡或小型辦公室網絡上的全部計算機提供 NAT、尋址以及名稱解析服務。當啓用 Internet 鏈接共享功能時，您的計算機就變成網絡上的「Internet 網關」，而後其餘客戶計算機能夠共享一個 Internet 鏈接，如撥號鏈接或寬帶鏈接。此服務提供基本的 DHCP 服務和 DNS 服務，但它也適用於功能完備的 Windows DHCP 服務或 DNS 服務。當 ICF 和 Internet 鏈接共享充當網絡上其餘計算機的網關時，它們在內部網絡接口上爲專用網絡提供 DHCP 服務和 DNS 服務。它們不在面向外部的接口上提供這些服務。 　　系統服務名稱：SharedAccess 應用程序協議 協議 端口 　　DHCP 服務器 UDP 67 　　DNS UDP 53 　　DNS TCP 53 　　Kerberos 密鑰分發中心　　當您使用 Kerberos 密鑰分發中心 (KDC) 系統服務時，用戶可使用 Kerberos 版本 5 身份驗證協議登陸到網絡。與在 Kerberos 協議的其餘實現中同樣，KDC 是一個提供兩個服務的進程：身份驗證服務和票證授予服務。身份驗證服務頒發票證授予票證，票證授予服務頒發用於鏈接到本身的域中的計算機的票證。　　系統服務名稱：kdc 應用程序協議 協議 端口 　　Kerberos TCP 88 　　Kerberos UDP 88 　　許可證記錄　　「許可證記錄」系統服務是一個工具，當初設計它是爲了幫助用戶管理服務器客戶機訪問許可證 (CAL) 模型中受權的 Microsoft 服務器產品的許可證。許可證記錄是隨 Microsoft Windows NT Server 3.51 引入的。默認狀況下，在 Windows Server 2003 中「許可證記錄」服務是禁用的。因爲原始設計的限制和許可協議條款和條件發展的緣由，「許可證記錄」可能不會提供一個購買的 CAL 總數與在一個特定服務器上或在企業範圍內使用的 CAL 總數相比較的精確視圖。「許可證記錄」報告的 CAL 可能會與「最終用戶許可協議 (EULA)」的解釋和「產品使用權 (PUR)」相沖突。Windows *做系統的未來版本中將不包括許可證記錄。Microsoft 僅建議 Microsoft Small Business Server 系列*做系統的用戶在服務器上啓用此服務。　　系統服務名稱：LicenseService 應用程序協議 協議 端口 　　NetBIOS 數據報服務 UDP 138 　　NetBIOS 會話服務 TCP 139 　　SMB TCP 445 　　本地安全機構　　「本地安全機構」(LSASS) 服務提供核心*做系統安全機制。它使用經過 RPC 服務分配的隨機 TCP 端口進行域控制器複製。雖然 LSASS 可使用全部如下協議，可是它可能只使用其中的一個子集。例如，配置位於篩選路由器後面的 ××× 網關時，您可能要將 IPSec 與「第 2 層隧道協議 (L2TP)」一塊兒使用。在這種狀況下，您必須容許 IPSec 封裝式安全協議 (ESP)（IP 協議 50）、IPSec 網絡地址轉換器遍歷 NAT-T（UDP 端口 4500）和 IPSec Internet 安全關聯和密鑰管理協議 (ISAKMP)（UDP 端口 500）經過路由器。　　注意：L2TP 流量不須要數據包篩選器，由於 L2TP 受 IPSec ESP 保護。 　　系統服務名稱：LSASS 應用程序協議 協議 端口 　　全局編錄服務器 TCP 3269 　　全局編錄服務器 TCP 3268 　　LDAP 服務器 TCP 389 　　LDAP 服務器 UDP 389 　　LDAP SSL TCP 636 　　LDAP SSL UDP 636 　　IPSec ISAKMP UDP 500 　　NAT-T UDP 4500 　　RPC TCP 135 　　隨機分配的高 TCP 端口 TCP 隨機端口號 　　消息隊列　　「消息隊列」系統服務是一個消息處理結構和開發工具，用於建立 Windows 分佈式消息處理程序。這些程序能夠跨異構網絡通訊，而且能夠在可能暫時沒法彼此鏈接的計算機之間發送消息。消息隊列對提供安全性、提升路由效率、支持在事務內發送消息、基於優先級的消息處理以及有保障的郵件傳遞都有幫助。 　　系統服務名稱：MSMQ 應用程序協議 協議 端口 　　MSMQ TCP 1801 　　MSMQ UDP 1801 　　MSMQ-DCs TCP 2101 　　MSMQ-Mgmt TCP 2107 　　MSMQ-Ping UDP 3527 　　MSMQ-RPC TCP 2105 　　MSMQ-RPC TCP 2103 　　RPC TCP 135 　　Messenger　　「信使」系統服務向用戶和計算機、管理員以及 Alerter 服務發送消息或接收來自它們的消息。此服務與 Windows Messenger 無關。若是禁用信使服務，發送給當前登陸到網絡上的計算機或用戶的通知就沒法收到。另外，net send 命令和 net name 命令再也不起做用。 　　系統服務名稱：Messenger 應用程序協議 協議 端口 　　NetBIOS 數據報服務 UDP 138 　　Microsoft Exchange MTA 堆棧　　在 Microsoft Exchange 2000 Server 和 Microsoft Exchange Server 2003 中，郵件傳輸代理 (MTA) 常常用於在混合模式環境中的基於 Exchange 2000 Server 的服務器和基於 Exchange Server 5.5 的服務器之間提供向下兼容的郵件傳輸服務。 　　系統服務名稱：MSExchangeMTA 應用程序協議 協議 端口 　　X.400 TCP 102 　　Microsoft Operations Manager 2000　　Microsoft Operations Manager (MOM) 2000 經過提供全面的事件管理、主動的監視和警告、報告以及趨勢分析來提供企業級*做管理。安裝了 MOM 2000 Service Pack 1 (SP1) 以後，MOM 2000 再也不使用明文通訊通道，MOM 代理和 MOM 服務器之間的全部通訊都在 TCP 端口 1270 上加密。MOM 管理員控制檯使用 DCOM 鏈接到服務器。這意味着管理網絡上的 MOM 服務器的管理員必須可以訪問隨機高 TCP 端口。　　系統服務名稱：one point 應用程序協議 協議 端口 　　MOM-Clear TCP 51515 　　MOM-Encrypted TCP 1270 　　Microsoft POP3 服務　　Microsoft POP3 服務提供電子郵件傳輸服務和檢索服務。管理員可使用此服務在郵件服務器上存儲和管理電子郵件賬戶。在郵件服務器上安裝了 Microsoft POP3 服務後，用戶就可使用支持 POP3 協議的電子郵件客戶程序（如 Microsoft Outlook）鏈接到郵件服務器而且能夠檢索電子郵件。 　　系統服務名稱：POP3SVC 應用程序協議 協議 端口 　　POP3 TCP 110 　　MSSQLSERVER　　MSSQLSERVER 是 Microsoft SQL Server 2000 中的一個系統服務。SQL Server 提供了一個強大而全面的數據管理平臺。使用服務器網絡實用工具能夠配置每一個 SQL Server 實例所使用的端口。 　　系統服務名稱：MSSQLSERVER 應用程序協議 協議 端口 　　TCP 上的 SQL TCP 1433 　　SQL Probe UDP 1434 　　MSSQL$UDDI　　MSSQL$UDDI 系統服務是在安裝 Windows Server 2003 系列*做系統的「通用說明、發現和集成 (UDDI)」功能期間安裝的。MSSQL$UDDI 在企業中提供 UDDI 功能。SQL Server 數據庫引擎是 MSSQL$UDDI 的核心組件。