本文讨论 Microsoft Windows 服务器系统中的 Microsoft 客户端和服务器操作系统、基于服务器的程序及其子组件所使用的基本网络端口、协议和服务。管理员和支持专业人员可以使用这篇 Microsoft 知识库文章作为指导，以确定 Microsoft 操作系统和程序在分段网络中进行网络连接所需的端口和协议。

不应使用本文中的端口信息来配置 Windows 防火墙。有关配置 Windows 防火墙的信息，请参阅“Windows 防火墙设置技术参考”。

Windows 服务器系统包括一个全面、集成的基础结构，旨在满足开发人员和信息技术 (IT) 专业人员的要求。此系统设计用于运行特定的程序和解决方案，借助这些程序和解决方案，信息工作人员可以快速便捷地获取、分析和共享信息。这些 Microsoft 客户端、服务器和服务器程序产品使用不同的网络端口和协议，通过网络与客户端系统和其他服务器系统进行通信。专用防火墙、基于主机的防火墙以及 Internet 协议安全性 (IPSec) 筛选器都是帮助保证网络安全所需的其他重要组件。但是，如果将这些技术配置为阻止某个特定的服务器所使用的端口和协议，则该服务器将不再响应客户端请求。


概述
下面的列表提供了本文所包含的信息的概述： 本文的“系统服务端口”一节包含每个服务的简短说明，显示该服务的逻辑名称，并指出每个服务进行正确操作所需的端口和协议。使用此部分可帮助识别特定的服务所使用的端口和协议。
本文的“端口和协议”一节包括一个表，其中总结了“系统服务端口”一节中的信息。这个表是按端口号排序的，而不是按服务名称排序的。使用此部分可以迅速确定哪些服务侦听特定的端口。
本文在某些术语的使用上采用了特定的方式。为了避免混淆，请确保对本文使用这些术语的方式有所了解。下面的列表对这些术语进行了说明： 系统服务：Windows 服务器系统包括许多产品，如 Microsoft Windows 2000 Server 系列、Microsoft Windows Server 2003 系列、Microsoft Exchange 2000 Server 和 Microsoft SQL Server 2000。所有这些产品都包括许多组件，系统服务就是这些组件之一。特定计算机所需的系统服务或者由操作系统在启动期间自动启动，或者根据需要在典型操作期间启动。例如，在运行 Windows Server 2003 企业版的计算机上，一些可用的系统服务包括服务器服务、后台打印程序服务以及万维网发布服务。每个系统服务都有一个友好的服务名称和一个服务名称。友好的服务名称是图形管理工具（如“服务”Microsoft 管理控制台 (MMC) 管理单元）中显示的名称。服务名称是用于命令行工具以及许多脚本语言的名称。每个系统服务可以提供一项或多项网络服务。
应用程序协议：在本文中，应用程序协议是指使用一个或多个 TCP/IP 协议和端口的高级网络协议。应用程序协议的示例包括超文本传输协议 (HTTP)、服务器消息块 (SMB) 和简单邮件传输协议 (SMTP)。
协议：TCP/IP 协议在低于应用程序协议的级别上运行，它是网络上的设备之间进行通信的标准格式。TCP/IP 协议套件包括 TCP、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP)。
端口：这是系统服务侦听传入的网络流量的网络端口。
本文没有指定哪些服务依赖于其他服务进行网络通信。例如，许多服务依赖 Microsoft Windows 中的远程过程调用 (RPC) 功能或 DCOM 功能为它们分配动态 TCP 端口。远程过程调用服务协调由其他使用 RPC 或 DCOM 与客户机通信的系统服务发出的请求。许多其他服务依赖于网络基本输入/输出系统 (NetBIOS) 或 SMB，而 NetBIOS 和 SMB 实际上是由服务器服务提供的两种协议。还有一些服务依赖于 HTTP 或安全超文本传输协议 (HTTPS)。这些协议是由 Internet 信息服务 (IIS) 提供的。有关 Windows 操作系统基础结构的完整讨论已超出本文讨论的范围。不过，在 Microsoft TechNet 和 Microsoft Developer Network (MSDN) 上可以获得有关此主题的详细文档。虽然可能有许多服务依赖于某一特定的 TCP 端口或 UDP 端口，但在任一时间都只能有一个服务或进程侦听该端口。

将 RPC 与 TCP/IP 或 UDP/IP 一起用于传输时，入站端口常常按照需要动态分配给系统服务；使用高于端口 1024 的 TCP/IP 端口和 UDP/IP 端口。这些端口常常被非正式地称为“随机 RPC 端口”。在这些情况下，RPC 客户端依赖 RPC 终结点映射器通知它们哪个（些）动态端口分配给了服务器。对于某些基于 RPC 的服务，您可以配置一个特定的端口而不是让 RPC 动态分配端口。另外，无论对于什么服务，都可以将 RPC 动态分配的端口范围限制为一个小范围。

本文包含有关本文结尾的“适用于”一节中所列出的 Microsoft 产品的系统服务角色和服务器角色的信息。虽然此信息可能同样适用于 Microsoft Windows XP 和 Microsoft Windows 2000 Professional，但本文主要集中讨论服务器类操作系统。因此，本文介绍了服务侦听的端口，而没有介绍客户端程序用来连接到远程系统的端口。


系统服务端口
本部分提供对每个系统服务的说明，包括与系统服务相对应的逻辑名称，还显示了每个服务所需的端口和协议。

Active Directory（本地安全机构）
Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 Windows Server 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65536 之间的某一范围的临时 TCP 端口外，域控制器、客户机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此流量。封装的解决方案可能在同时使用第 2 层隧道协议 (L2TP) 和 IPsec 的筛选路由器后面包含一个 VPN 网关。在此封装方案中，您必须允许 IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口 4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按 224196 中所述对用于 Active Directory 复制的端口进行硬编码：将 Active Directory 复制流量限制在特定端口。

注意：L2TP 流量不需要数据包筛选器，因为 L2TP 受 IPSec ESP 保护。

系统服务名称：LSASS应用程序协议 协议 端口
全局编录服务器 TCP 3269
全局编录服务器 TCP 3268
LDAP 服务器 TCP 389
LDAP 服务器 UDP 389
LDAP SSL TCP 636
LDAP SSL UDP 636
IPsec ISAKMP UDP 500
NAT-T UDP 4500
RPC TCP 135
RPC 随机分配的高 TCP 端口 TCP 1024 - 65536

应用程序层网关服务
Internet 连接共享 (ICS)/Internet 连接防火墙 (ICF) 服务的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据（如端口和 IP 地址）。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP 插件随后监视并更新 FTP 控制通道流量，以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。

系统服务名称：ALG应用程序协议 协议 端口
FTP 控制 TCP 21

ASP.NET 状态服务
ASP.NET 状态服务支持 ASP.NET 进程外会话状态。ASP.NET 状态服务在进程外存储会话数据。此服务使用套接字与在 Web 服务器上运行的 ASP.NET 进行通信。

系统服务名称：aspnet_state应用程序协议 协议 端口
ASP.NET 会话状态 TCP 42424

证书服务
证书服务是核心操作系统的一部分。使用证书服务，企业可以充当它自己的证书颁发机构 (CA)。通过这种方法，企业可以颁发和管理程序及协议（如安全/多用途 Internet 邮件扩展 (S/MIME)、安全套接字层 (SSL)、加密文件系统 (EFS)、IPsec 以及智能卡登录）的数字证书。证书服务使用高于端口 1024 的随机 TCP 端口，依赖 RPC 和 DCOM 与客户机进行通信。

系统服务名称：CertSvc应用程序协议 协议 端口
RPC TCP 135
随机分配的高 TCP 端口 TCP 1024 – 65534 之间的随机端口号

Active Directory 端口和协议要求
位于公共或外部林中的应用程序服务器、客户机和域控制器都具有服务依赖性，以使用户和计算机启动的操作（如域加入、登录身份验证、远程管理和 Active Directory 复制）可以正常工作。此类服务和操作要求通过特定端口和网络协议建立网络连接。

成员计算机和域控制器进行互操作或应用程序服务器访问 Active Directory 所需的服务、端口和协议的概括列表包括但不限于以下内容： 1. Active Directory / LSA
2. 证书服务（特定配置所要求）
3. 计算机浏览器
4. DHCP 服务器（如果配置）
5. 分布式文件系统
6. 分布式链接跟踪服务器（可选项，但在 Windows 2000 计算机中将默认选择此项）
7. 分布式事务处理协调器
8. DNS 服务器（如果配置）
9. 事件日志
10. 传真服务（如果配置）
11. 文件复制
12. Macintosh 文件服务器（如果配置）
13. HTTP SSL
14. Internet 验证服务（如果配置）
15. Kerberos 密钥发行中心
16. 许可证记录（默认情况下使用）
17. 信使服务
18. 网络登录
19. 性能日志和警报
20. 后台打印程序
21. 远程安装（如果配置）
22. 远程过程调用 (RPC)
23. 远程过程调用 (RPC) 定位器
24. 远程存储通知
25. 远程存储服务器
26. 路由和远程访问
27. 服务器
28. 简单邮件传输协议 (SMTP)（如果配置）
29. SNMP 服务
30. SNMP 陷阱服务
31. TCP/IP 打印服务器
32. Telnet
33. 终端服务
34. 终端服务授权
35. 终端服务会话目录
36. WINS
37. Windows 时间
38. 万维网发布服务

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=5605&categ_code=10041003