windows域控服务器全部端口列表和说明

1、Windows2012R2 企业域环境安装和配置域控制器防火域配置说明 本文适用于企业级多域控环境中对硬件防火墙的配置概要：详细的域控需要开放的防火墙端口说明，如需要查阅端口清单，请下载本人百度文库中中一表格文件域控防火墙端口清单本文所推荐的端口是复杂域环境下，会涉及多种服务。 目录客户端（PC）到域控的端口清单3域控的端口清单4Active Directory（本地安全机构）5计算机浏览器5DHCP 服务器6分布式文件系统6分布式文件系统复制6分布式链接跟踪服务器7分布式事务处理协调器7DNS 服务器7事件日志8文件复制8组策略8HTTP SSL9Kerberos 密钥发行中心9网络登录10

2、NetMeeting 远程桌面共享10远程过程调用 (RPC)10远程过程调用 (RPC) 定位器11服务器11简单邮件传输协议 (SMTP)12Systems Management Server 2.012终端服务12Windows Internet 名称服务 (WINS)12Windows 时间13万维网发布服务13客户端（PC）到域控的端口清单应用程序协议协议端口ICMP (ping)ICMPDNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS 名称解析TCP137NetBIOS 数据报服务TCP138NetBIOS 会话服务TCP139DC 定位

3、器TCP389SMBTCP445Kerberos 密码 V5TCP464LDAP SSLTCP636RPC 随机分配的高 TCP 端口TCP1024 - 65535RPC 随机分配的高 TCP 端口TCP49152 - 65535RPC 随机分配的高 UDP 端口UDP1024 - 65535DNSUDP53DHCP 服务器UDP67KerberosUDP88NTPUDP123RPCUDP135NetBIOS 名称解析UDP137NetBIOS 数据报服务UDP138NetBIOS 会话服务UDP139DC 定位器UDP389SMBUDP445Kerberos 密码 V5UDP464RPC 随

4、机分配的高 UDP 端口UDP49152 - 65535域控的端口清单应用程序协议协议端口ICMP (ping)ICMPSMTPTCP25WINS 复制TCP42DNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS 名称解析TCP137NetBIOS 数据报服务TCP138NetBIOS 会话服务TCP139DC 定位器TCP389HTTPSTCP443SMBTCP445Kerberos 密码 V5TCP464RPC over HTTPSTCP593LDAP SSLTCP636终端服务TCP3389RPCTCP5722AD DS Web Services

5、TCP9389RPC 随机分配的高 TCP 端口TCP1024 - 65535全局编录服务器TCP32693268RPC 随机分配的高 TCP 端口TCP49152 - 65535WINS 复制UDP42DNSUDP53DHCP 服务器UDP67KerberosUDP88NTPUDP123RPCUDP135NetBIOS 名称解析UDP137NetBIOS 数据报服务UDP138NetBIOS 会话服务UDP139DC 定位器UDP389SMBUDP445Kerberos 密码 V5UDP464IPsec ISAKMPUDP500MADCAPUDP2535NAT-TUDP4500RPC 随机分

6、配的高 UDP 端口UDP49152 - 65535RPC 随机分配的高 UDP 端口UDP1024 - 65535Active Directory（本地安全机构）Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 Windows Server 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65535 之间的某一范围的临时 TCP 端口外，域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此通信。封装的解决方案可能在同时使用第 2 层隧道协议

7、 (L2TP) 和 IPsec 的筛选路由器后面包含一个 VPN 网关。在此封装方案中，您必须允许 IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口 4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按 知识库中的以下文章中所述，对用于 Active Directory 复制的端口进行硬编码：224196 将 Active Directory 复制流量限制在特定端口注意：L2TP 流量不需要数据包筛选

8、器，因为 L2TP 受 IPSec ESP 保护。系统服务名称：LSASS应用程序协议协议端口全局编录服务器TCP3269全局编录服务器TCP3268LDAP 服务器TCP389LDAP 服务器UDP389LDAP SSLTCP636LDAP SSLUDP636IPsec ISAKMPUDP500NAT-TUDP4500RPCTCP135RPC 随机分配的高 TCP 端口TCP1024 - 6553549152 - 65535计算机浏览器“计算机浏览器”系统服务维护网络上的最新计算机列表，并为需要此列表的程序提供此列表。基于 Windows 的计算机使用“计算机浏览器”服务来查看网络域和资源。

9、被指定为浏览器的计算机维护浏览列表，这些列表中包含网络上使用的所有共享资源。Windows 程序的早期版本（如网上邻居、net view 命令以及 Windows 资源管理器）都需要浏览功能。例如，当您在一台运行 Windows 95 的计算机上打开“网上邻居”时，就会出现域和计算机的列表。为了显示此列表，计算机从被指定为浏览器的计算机上获取浏览列表的副本。系统服务名称：Browser应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139DHCP 服务器“DHCP 服务器”服务使用动态主机配置协议 (DHCP

10、) 自动分配 IP 地址。使用此服务，可以调整 DHCP 客户端的高级网络设置。例如，可以配置诸如域名系统 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器之类的网络设置。可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息并向客户端计算机提供此信息。系统服务名称：DHCPServer应用程序协议协议端口DHCP 服务器UDP67MADCAPUDP2535分布式文件系统分布式文件系统 (DFS) 将位于局域网 (LAN) 或广域网 (WAN) 上的不同文件共享集成到一个逻辑命名空间中。DFS 服务是 Active Directory 域控制器

11、公布 SYSVOL 共享文件夹所必需的。系统服务名称：Dfs应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 会话服务TCP139LDAP 服务器TCP389LDAP 服务器UDP389SMBTCP445RPCTCP135随机分配的高 TCP 端口¹TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围。分布式文件系

12、统复制分布式文件系统复制 (DFSR) 服务是基于状态的多主机文件复制引擎，它可以在参与公共复制组的计算机之间将更新自动复制到文件和文件夹中。DFSR 已添加到 Windows Server 2003 R2 中。可以通过使用 Dfsrdiag.exe 命令行工具来配置 DFSR，以便在特定端口上复制文件，而不考虑这些计算机是否参与分布式文件系统命名空间 (DFSN)。系统服务名称：DFSR应用程序协议协议端口RPCTCP135RPCTCP5722³随机分配的高 TCP 端口¹TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²

13、¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式文件复制服务”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围³ 端口 5722 仅用于 2008 域控制器或 2008R2 域控制器上。分布式链接跟踪服务器“分布式链接跟踪服务器”系统服务存储信息，使得在卷之间移动的文件可以跟踪到域中的每个卷。“分布式链接跟踪服务器”服务运行在一个域中的所有域控制器上。此服务启用“分布式链接跟踪客户端”服务，以跟踪已移动到同一个域的另一个 NTFS 文件系统卷中的某个位置的链接文档。 系统服务名称：TrkS

14、vr应用程序协议协议端口RPCTCP135随机分配的高 TCP 端口¹TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围分布式事务处理协调器“分布式事务处理协调器 (DTC)”系统服务负责协调跨多个计算机系统和资源管理器（如数据库、消息队列、文件系统和其他事务保护资源管理器）分布的事务。如果事务性组件是通过 COM+ 配置的，则需要 D

15、TC 系统服务。消息队列（也称为 MSMQ）中的事务性队列和 SQL Server 跨多个系统运行也需要 DTC 系统服务。系统服务名称：MSDTC应用程序协议协议端口RPCTCP135随机分配的高 TCP 端口¹TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式事务处理协调器”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围。DNS 服务器“DNS 服务器”服务通过应答有关 DNS 名称的查询和更新请

16、求来启用 DNS 名称解析。查找使用 DNS 名称标识的设备和服务以及在 Active Directory 中查找域控制器都需要 DNS 服务器。系统服务名称：DNS应用程序协议协议端口DNSUDP53DNSTCP53事件日志“事件日志”系统服务记录由程序和 Windows 操作系统生成的事件消息。事件日志报告中包含对诊断问题有用的信息。在事件查看器中查看报告。“事件日志”服务将程序、服务以及操作系统发送的事件写入日志文件。这些事件中不仅包含特定于源程序、服务或组件的错误，还包含诊断信息。日志可以通过事件日志 API 或通过 MMC 管理单元中的事件查看器以编程方式查看。系统服务名称：Even

17、tlog应用程序协议协议端口RPC/命名管道 (NP)TCP139RPC/NPTCP445RPC/NPUDP137RPC/NPUDP138注意：事件日志服务通过命名管道使用 RPC。此服务的防火墙要求与“文件和打印机共享”功能相同。文件复制“文件复制”服务 (FRS) 是一个基于文件的复制引擎，它可以在参与公共 FRS 副本集的计算机之间将更新自动复制到文件和文件夹中。FRS 是用于在位于公共域中基于 Windows 2000 和基于 Windows Server 2003 的域控制器之间复制 SYSVOL 文件夹内容的默认复制引擎。可将 FRS 配置为通过使用 DFS 管理工具在 DFS 根

18、或链接的目标之间复制文件和文件夹。系统服务名称：NtFrs应用程序协议协议端口RPCTCP135随机分配的高 TCP 端口¹TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“文件复制服务”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围组策略为成功应用组策略，客户端必须能够通过 DCOM、ICMP、LDAP、SMB 和 RPC 协议与域控制器联系。如果上述任一协议不可用或者在客户端和相关域控制器之间被阻止，策

19、略将不会应用或刷新。对于跨域登录（其中计算机在一个域中，而用户帐户在另一个域中），客户端、资源域和帐户域可能需要这些协议进行通信。ICMP 用来检测慢速链接。 有关慢速链接检测的更多信息，请单击下面的文章编号，以查看 知识库中相应的文章：227260 如何检测慢速链接来处理用户配置文件和组策略系统服务名称：组策略应用程序协议协议端口DCOM¹TCP + UDP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号²ICMP (ping)ICMPLDAPTCP389SMBTCP445RPCTCP135, 1024 - 65535

20、 之间的随机端口号*¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 Active Directory”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围。注意：当组策略 管理控制台 (MMC) 管理单元创建组策略结果报告和组策略建模报告时，将使用 DCOM 和 RPC 发送和接收客户端或域控制器中策略结果集 (RSoP) 提供程序的信息。构成组策略 管理控制台 (MMC) 管理单元功能的各种二进制文件主要使用 COM 调用发送或接收信息。HTTP SSLHTTP SSL 系统服务允许 IIS 执行 SSL

21、 功能。SSL 是一个开放式标准，用于建立加密的通信通道以帮助防止拦截重要信息（如信用卡号码）。尽管此服务旨在处理其他 Internet 服务，但它主要用于启用万维网 (WWW) 上的加密电子金融交易。通过 Internet Information Services (IIS) 管理器管理单元可以配置用于此服务的端口。系统服务名称：HTTPFilter应用程序协议协议端口HTTPSTCP443Kerberos 密钥发行中心当您使用 Kerberos 密钥发行中心 (KDC) 系统服务时，用户可以使用 Kerberos 版本 5 身份验证协议登录到网络。与在 Kerberos 协议的其他实现中一

22、样，KDC 是一个提供两个服务的进程：身份验证服务和票证授予服务。身份验证服务颁发票证授予票证，票证授予服务颁发用于连接到自己的域中的计算机的票证。系统服务名称：kdc应用程序协议协议端口KerberosTCP88KerberosUDP88Kerberos 密码 V5UDP464Kerberos 密码 V5TCP464DC 定位器UDP389网络登录“网络登录”系统服务维护计算机和域控制器之间的安全通道，对用户和服务进行身份验证。它将用户的凭据传递给域控制器，然后返回用户的域安全标识符和用户权限。这通常称为 pass-through 身份验证。“网络登录”被配置为仅在成员计算机或域控制器加入域

23、时自动启动。在 Windows 2000 Server 系列和 Windows Server 2003 系列中，“网络登录”发布 DNS 中的服务资源定位器记录。当此服务运行时，它依赖“工作站”服务和“本地安全机构”服务来侦听传入的请求。在域成员计算机上，“网络登录”使用命名管道上的 RPC。在域控制器上，它使用命名管道上的 RPC、RPC over TCP/IP、邮筒以及轻型目录访问协议 (LDAP)。 系统服务名称：Netlogon应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139SMBTCP445L

24、DAPUDP389RPC¹TCP135, 1024 65535 之间的随机端口号135, 49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 Active Directory”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围。注意：网络登录服务通过下级客户端的命名管道使用 RPC。此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。NetMeeting 远程桌面共享“NetMeeting 远程桌面共享”系统服务允许

25、经过授权的用户使用 Windows NetMeeting 通过公司的内部网，从其他个人计算机远程访问您的 Windows 桌面。您必须在 NetMeeting 中显式启用此服务。也可以在 Windows 通知区域中使用一个图标来禁用或关闭此功能。系统服务名称：mnmsrvc应用程序协议协议端口终端服务TCP3389远程过程调用 (RPC)“远程过程调用 (RPC)”系统服务是一种进程间通信 (IPC) 机制，它启用驻留在另一个进程中的数据交换和功能调用。不同的进程可以位于同一台计算机上、LAN 上或位于远程位置，并且可以通过 WAN 连接或 VPN 连接进行访问。RPC 服务充当 RPC 终结

26、点映射器和组件对象模型 (COM) 服务控制管理程序。许多服务的成功启动都依赖于 RPC 服务。 系统服务名称：RpcSs应用程序协议协议端口RPCTCP135RPC over HTTPSTCP593NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139SMBTCP445注意：RPC 终结点映射器也通过使用命名管道提供它的服务。此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。远程过程调用 (RPC) 定位器“远程过程调用 (RPC) 定位器”系统服务管理 RPC 名称服务数据库。此服务打开后，RPC 客户端可以定位

27、RPC 服务器。默认情况下此服务处于关闭状态。系统服务名称：RpcLocator应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139SMBTCP445注意：RPC 服务定位器通过命名管道使用 RPC 来提供服务。此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。服务器“服务器”系统服务提供 RPC 支持和文件、打印以及通过网络的命名管道共享。“服务器”服务允许共享本地资源（如磁盘和打印机），以使网络上的其他用户可以访问这些资源。它还允许本地计算机和其他计算机上运行的程序之间的命名管道通信。命名管道通信是保留

28、的内存，以便将一个进程的输出用作另一个进程的输入。接受输入的进程不必在本地计算机上。注意：如果某个计算机名称使用 WINS 解析为多个 IP 地址或者 WINS 失败并使用 DNS 解析该名称，则 NetBIOS over TCP/IP (NetBT) 将尝试 ping 文件服务器的 IP 地址。端口 139 通信取决于 Internet 控制消息协议 (ICMP) 回显消息。如果未安装 Internet 协议版本 6 (IPv6)，则端口 445 通信也将依靠 ICMP 进行名称解析。预加载的 Lmhosts 条目将绕过 DNS 解析程序。如果 IPv6 安装在基于 Windows Serv

29、er 2003 或 Windows XP 的系统上，则端口 445 通信将不会触发任何 ICMP 请求。系统服务名称：lanmanserver应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139SMBTCP445简单邮件传输协议 (SMTP)“简单邮件传输协议”(SMTP) 系统服务是电子邮件提交和中继代理。它接受发往远程目标的电子邮件并将它们排队，并按指定的时间间隔重试发送。Windows 域控制器将 SMTP 服务用于站点间基于电子邮件的复制。Windows Server 2003 COM 组件的协作数据对象 (

30、CDO) 可以使用 SMTP 服务提交出站电子邮件并将它们排队。系统服务名称：SMTPSVC应用程序协议协议端口SMTPTCP25Systems Management Server 2.0 Systems Management Server (SMS) 2003 为 操作系统的更改和配置管理提供了一个全面的解决方案。使用此解决方案，组织可以快速经济地为用户提供相关的软件和更新。应用程序协议协议端口NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139RPCTCP135SMBTCP445随机分配的高 TCP 端口¹TCP1024

31、65535 之间的随机端口号49152 - 65535 之间的随机端口号²¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。² 这是 Windows Server 2008 和 Windows Vista 中的范围终端服务“终端服务”提供了一个多会话环境，允许客户端设备访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。终端服务允许多个用户以交互方式连接到一台计算机。系统服务名称：TermService应用程序协议协议端口终端服务TCP3389Windows Internet 名称服务 (WINS)“Windows Internet 名称服务 (WINS)”启用 NetBIOS 名称解析。此服务使用 NetBIOS 名称帮助您定位