windows域控服务器全部端口列表和说明

1、Windows2012R2企业域环境安装和配置域控制器防火域配置说明本文适用于企业级多域控环境中对硬件防火墙的配置概要：详细的域控需要开放的防火墙端口说明，如需要查阅端口清单，请下载本人百度文库中中一表格文件域控防火墙端口清单本文所推荐的端口是复杂域环境下，会涉及多种服务。目录 TOC o 1-5 h z HYPERLINK l bookmark6 o Current Document 客户端(PC)到域控的端口清单3 HYPERLINK l bookmark8 o Current Document 域控的端口清单4 HYPERLINK l bookmark10 o Current Docum

2、ent Active Directory (本地安全机构)5 HYPERLINK l bookmark12 o Current Document 计算机浏览器5DHCP服务器6 HYPERLINK l bookmark14 o Current Document 分布式文件系统6 HYPERLINK l bookmark16 o Current Document 分布式文件系统复制6 HYPERLINK l bookmark18 o Current Document 分布式链接跟踪服务器7 HYPERLINK l bookmark20 o Current Document 分布式事务处理协调器.

3、7 HYPERLINK l bookmark22 o Current Document DNS服务器7 HYPERLINK l bookmark24 o Current Document 事件日志8 HYPERLINK l bookmark26 o Current Document 文件复制8 HYPERLINK l bookmark28 o Current Document 组策略8 HYPERLINK l bookmark30 o Current Document HTTP SSL9 HYPERLINK l bookmark32 o Current Document Kerberos密钥发

4、行中心9 HYPERLINK l bookmark34 o Current Document 网络登录9 HYPERLINK l bookmark36 o Current Document NetMeeting远程桌面共享10 HYPERLINK l bookmark38 o Current Document 远程过程调用(RPC)10 HYPERLINK l bookmark40 o Current Document 远程过程调用(RPC)定位器11 HYPERLINK l bookmark42 o Current Document 服务器11 HYPERLINK l bookmark44

5、o Current Document 简单邮件传输协议(SMTP)11 HYPERLINK l bookmark46 o Current Document Systems Management Server 2.012 HYPERLINK l bookmark48 o Current Document 终端服务12 HYPERLINK l bookmark50 o Current Document Windows Internet 名称服务 (WINS)12 HYPERLINK l bookmark52 o Current Document Windows 时间13 HYPERLINK l b

6、ookmark54 o Current Document 万维网发布服务13客户端（PC）到域控的端口清单应用程序协议协议端口ICMP (ping)ICMPDNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS名称解析TCP137NetBIOS数据报服务TCP138NetBIOS会话服务TCP139DC定位器TCP389SMBTCP445Kerberos 密码 V5TCP464LDAP SSLTCP636RPC随机分配的高TCP端口TCP1024 - 65535RPC随机分配的高TCP端口TCP49152 - 65535RPC随机分配的高UDP端口UDP1

7、024 - 65535DNSUDP53DHCP服务器UDP67KerberosUDP88NTPUDP123RPCUDP135NetBIOS名称解析UDP137NetBIOS数据报服务UDP138NetBIOS会话服务UDP139DC定位器UDP389SMBUDP445Kerberos 密码 V5UDP464RPC随机分配的高UDP端口UDP49152 - 65535域控的端口清单应用程序协议协议端口ICMP (ping)ICMPSMTPTCP25WINS复制TCP42DNSTCP53HTTPTCP80KerberosTCP88RPCTCP135NetBIOS名称解析TCP137NetBIOS数

8、据报服务TCP138NetBIOS会话服务TCP139DC定位器TCP389HTTPSTCP443SMBTCP445Kerberos 密码 V5TCP464RPC over HTTPSTCP593LDAP SSLTCP636终端服务TCP3389RPCTCP5722AD DS Web ServicesTCP9389RPC随机分配的高TCP端口TCP1024 - 65535全局编录服务器TCP32693268RPC随机分配的高TCP端口TCP49152 - 65535WINS复制UDP42DNSUDP53DHCP服务器UDP67KerberosUDP88NTPUDP123RPCUDP135Net

9、BIOS名称解析UDP137NetBIOS数据报服务UDP138NetBIOS会话服务UDP139DC定位器UDP389SMBUDP445Kerberos 密码 V5UDP464IPsec ISAKMPUDP500MADCAPUDP2535NAT-TUDP4500RPC随机分配的高UDP端口UDP49152 - 65535RPC随机分配的高UDP端口UDP1024 - 65535ActiveDirectory （本地安全机构）Active Directory在LSASS进程下运行，它包括用于 Windows 2000和 Windows Server 2003域控制器的身份验证引擎和 复制引擎。

10、除了 1024和65535之间的某一范围的临时TCP端口外，域控制器、客户端计算机和应用程序服务器还需 要通过特定硬编码端口与Active Directory进行网络连接，除非使用隧道协议封装此通信。封装的解决方案可能在同时 使用第2层隧道协议（L2TP）和IPsec的筛选路由器后面包含一个VPN网关。在此封装方案中，您必须允许IPsec封 装式安全协议（ESP）（IP协议50）、IPsec网络地址转换器遍历NAT-T（UDP端口 4500）以及IPsec Internet安全关联 和密钥管理协议（ISAKMP）（UDP端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按

11、 知 识库中的以下文章中所述，对用于Active Directory复制的端口进行硬编码： 224196将Active Directory复制流量限制在特定端口注意：L2TP流量不需要数据包筛选器，因为L2TP受IPSec ESP保护。系统服务名称：LSASS应用程序协议协议端口全局编录服务器TCP3269全局编录服务器TCP3268LDAP服务器TCP389LDAP服务器UDP389LDAP SSLTCP636LDAP SSLUDP636IPsec ISAKMPUDP500NAT-TUDP4500RPCTCP135RPC随机分配的高TCP端口TCP1024 - 6553549152 - 65

12、535计算机浏览器计算机浏览器系统服务维护网络上的最新计算机列表，并为需要此列表的程序提供此列表。基于Windows的计算机 使用计算机浏览器”服务来查看网络域和资源。被指定为浏览器的计算机维护浏览列表，这些列表中包含网络上使用的 所有共享资源。Windows程序的早期版本（如网上邻居、net view命令以及Windows资源管理器）都需要浏览功能。 例如，当您在一台运行 Windows 95的计算机上打开“网上邻居时，就会出现域和计算机的列表。为了显示此列表，计 算机从被指定为浏览器的计算机上获取浏览列表的副本。系统服务名称：Browser应用程序协议协议端口NetBIOS数据报服务UDP

13、138NetBIOS名称解析UDP137NetBIOS会话服务TCP139DHCP服务器“DHCP服务器服务使用动态主机配置协议(DHCP)自动分配IP地址。使用此服务，可以调整DHCP客户端的高级网 络设置。例如，可以配置诸如域名系统(DNS)服务器和Windows Internet名称服务(WINS)服务器之类的网络设置。 可以建立一个或多个DHCP服务器来维护TCP/IP配置信息并向客户端计算机提供此信息。系统服务名称：DHCPServer应用程序协议协议端口DHCP服务器UDP67MADCAPUDP2535分布式文件系统分布式文件系统(DFS)将位于局域网(LAN)或广域网(WAN)上

14、的不同文件共享集成到一个逻辑命名空间中。DFS服务是Active Directory域控制器公布SYSVOL共享文件夹所必需的。系统服务名称：Dfs应用程序协议协议端口NetBIOS数据报服务UDP138NetBIOS会话服务TCP139LDAP服务器TCP389LDAP服务器UDP389SMBTCP445RPCTCP135随机分配的高TCP端口1TCP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅参考部分中的远程过程调用和DCOM”部分。2 这是 Windows Server 2008 和 Windows Vis

15、ta 中的范围。分布式文件系统复制分布式文件系统复制(DFSR)服务是基于状态的多主机文件复制引擎，它可以在参与公共复制组的计算机之间将更新自 动复制到文件和文件夹中。DFSR已添加到Windows Server 2003 R2中。可以通过使用Dfsrdiag.exe命令行工具来配置 DFSR，以便在特定端口上复制文件，而不考虑这些计算机是否参与分布式文件系统命名空间(DFSN)。系统服务名称：DFSR应用程序协议协议端口RPCTCP135RPCTCP57223随机分配的高TCP端口1TCP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此

16、端口的更多信息，请参阅参考部分中的“分布式文件复制服务部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围3端口 5722仅用于2008域控制器或2008R2域控制器上。分布式链接跟踪服务器分布式链接跟踪服务器”系统服务存储信息，使得在卷之间移动的文件可以跟踪到域中的每个卷。分布式链接跟踪服务 器服务运行在一个域中的所有域控制器上。此服务启用分布式链接跟踪客户端服务，以跟踪已移动到同一个域的另一 个NTFS文件系统卷中的某个位置的链接文档。系统服务名称：TrkSvr应用程序协议协议端口RPCTCP135随机分配的高TCP端口1TCP1024 - 65

17、535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅参考部分中的远程过程调用和DCOM”部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围分布式事务处理协调器分布式事务处理协调器（DTC）”系统服务负责协调跨多个计算机系统和资源管理器（如数据库、消息队列、文件系统和 其他事务保护资源管理器）分布的事务。如果事务性组件是通过COM+配置的，则需要DTC系统服务。消息队列（也 称为MSMQ）中的事务性队列和SQL Server跨多个系统运行也需要DTC系统服务。系统服务名称：MSDTC应用程序协议

18、协议端口RPCTCP135随机分配的高TCP端口1TCP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅参考部分中的分布式事务处理协调器”部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围。DNS服务器“DNS服务器”服务通过应答有关DNS名称的查询和更新请求来启用DNS名称解析。查找使用DNS名称标识的设备和 服务以及在Active Directory中查找域控制器都需要DNS服务器。系统服务名称：DNS应用程序协议协议端口DNSUDP53DNSTCP53事件日志事件日

19、志系统服务记录由程序和Windows操作系统生成的事件消息。事件日志报告中包含对诊断问题有用的信息。 在事件查看器中查看报告。事件日志”服务将程序、服务以及操作系统发送的事件写入日志文件。这些事件中不仅包含 特定于源程序、服务或组件的错误，还包含诊断信息。日志可以通过事件日志API或通过MMC管理单元中的事件查 看器以编程方式查看。系统服务名称：Eventlog应用程序协议协议端口RPC/命名管道（NP）TCP139RPC/NPTCP445RPC/NPUDP137RPC/NPUDP138注意：事件日志服务通过命名管道使用RPC。此服务的防火墙要求与文件和打印机共享功能相同。文件复制文件复制服务

20、（FRS）是一个基于文件的复制引擎，它可以在参与公共FRS副本集的计算机之间将更新自动复制到文件 和文件夹中。FRS是用于在位于公共域中基于 Windows 2000和基于 Windows Server 2003的域控制器之间复制 SYSVOL文件夹内容的默认复制引擎。可将FRS配置为通过使用DFS管理工具在DFS根或链接的目标之间复制文件和 文件夹。系统服务名称：NtFrs应用程序协议协议端口RPCTCP135随机分配的高TCP端口1TCP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅参考部分中的文件复制服务部分

21、。2 这是 Windows Server 2008 和 Windows Vista 中的范围组策略为成功应用组策略，客户端必须能够通过DCOM、ICMP、LDAP、SMB和RPC协议与域控制器联系。如果上述任一协议 不可用或者在客户端和相关域控制器之间被阻止，策略将不会应用或刷新。对于跨域登录（其中计算机在一个域中，而 用户帐户在另一个域中），客户端、资源域和帐户域可能需要这些协议进行通信。ICMP用来检测慢速链接。有关慢速 链接检测的更多信息，请单击下面的文章编号，以查看知识库中相应的文章：227260如何检测慢速链接来处理用户配置文件和组策略系统服务名称：组策略应用程序协议协议端口DCOM

22、1TCP + UDP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号2ICMP (ping)ICMPLDAPTCP389SMBTCP445RPCTCP135, 1024 - 65535之间的随机端口母1有关如何自定义此端口的更多信息，请参阅“参考部分中的域控制器和Active Directory”部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围。注意：当组策略管理控制台（MMC）管理单元创建组策略结果报告和组策略建模报告时，将使用DCOM和RPC发送 和接收客户端或域控制器中策略结果集（RSoP）提供程序的信息

23、。构成组策略 管理控制台（MMC）管理单元功能的各 种二进制文件主要使用COM调用发送或接收信息。HTTPSSLHTTP SSL系统服务允许IIS执行SSL功能。SSL是一个开放式标准，用于建立加密的通信通道以帮助防止拦截重要信息 （如信用卡号码）。尽管此服务旨在处理其他Internet服务，但它主要用于启用万维网（WWW）上的加密电子金融交易。通过Internet Information Services （IIS）管理器管理单元可以配置用于此服务的端口。系统服务名称：HTTPFilter应用程序协议协议端口HTTPSTCP443Kerberos密钥发行中心当您使用Kerberos密钥发行中

24、心（KDC）系统服务时，用户可以使用Kerberos版本5身份验证协议登录到网络。与在 Kerberos协议的其他实现中一样，KDC是一个提供两个服务的进程：身份验证服务和票证授予服务。身份验证服务颁发 票证授予票证，票证授予服务颁发用于连接到自己的域中的计算机的票证。系统服务名称：kdc应用程序协议协议端口KerberosTCP88KerberosUDP88Kerberos 密码 V5UDP464Kerberos 密码 V5TCP464DC定位器UDP389网络登录“网络登录”系统服务维护计算机和域控制器之间的安全通道，对用户和服务进行身份验证。它将用户的凭据传递给域控 制器，然后返回用户的

25、域安全标识符和用户权限。这通常称为pass-through身份验证。网络登录被配置为仅在成员计 算机或域控制器加入域时自动启动。在 Windows 2000 Server系列和 Windows Server 2003系列中，网络登录发布DNS 中的服务资源定位器记录。当此服务运行时，它依赖工作站服务和本地安全机构服务来侦听传入的请求。在域成员 计算机上，网络登录使用命名管道上的RPC。在域控制器上，它使用命名管道上的RPC、RPC over TCP/IP、邮筒以及 轻型目录访问协议（LDAP）。系统服务名称：Netlogon应用程序协议协议端口NetBIOS数据报服务UDP138NetBIOS

26、名称解析UDP137NetBIOS会话服务TCP139SMBTCP445LDAPUDP389RPC1TCP135, 1024 - 65535之间的随机端口号135, 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅“参考部分中的域控制器和Active Directory”部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围。注意：网络登录服务通过下级客户端的命名管道使用RPC。此服务具有的防火墙要求与文件和打印机共享”功能的要求 相同。NetMeeting远程桌面共享“NetMeeting远程桌面共享”系统服务允许

27、经过授权的用户使用Windows NetMeeting通过公司的内部网，从其他个人计 算机远程访问您的Windows桌面。您必须在NetMeeting中显式启用此服务。也可以在Windows通知区域中使用一 个图标来禁用或关闭此功能。系统服务名称：mnmsrvc应用程序协议协议端口终端服务TCP3389远程过程调用（RPC）远程过程调用（RPC）”系统服务是一种进程间通信（IPC）机制，它启用驻留在另一个进程中的数据交换和功能调用。不 同的进程可以位于同一台计算机上、LAN上或位于远程位置，并且可以通过WAN连接或VPN连接进行访问。RPC服 务充当RPC终结点映射器和组件对象模型（COM）服

28、务控制管理程序。许多服务的成功启动都依赖于RPC服务。系统服务名称：RpcSs应用程序协议协议端口RPCTCP135RPC over HTTPSTCP593NetBIOS数据报服务UDP138NetBIOS名称解析UDP137NetBIOS会话服务TCP139SMBTCP445注意：RPC终结点映射器也通过使用命名管道提供它的服务。此服务具有的防火墙要求与，文件和打印机共享功能的要 求相同。远程过程调用(RPC)定位器远程过程调用(RPC)定位器系统服务管理RPC名称服务数据库。此服务打开后，RPC客户端可以定位RPC服务器。 默认情况下此服务处于关闭状态。系统服务名称：RpcLocator应

29、用程序协议协议端口NetBIOS数据报服务UDP138NetBIOS名称解析UDP137NetBIOS会话服务TCP139SMBTCP445注意：RPC服务定位器通过命名管道使用RPC来提供服务。此服务具有的防火墙要求与文件和打印机共享功能的要 求相同。服务器“服务器系统服务提供RPC支持和文件、打印以及通过网络的命名管道共享。服务器服务允许共享本地资源(如磁盘 和打印机)，以使网络上的其他用户可以访问这些资源。它还允许本地计算机和其他计算机上运行的程序之间的命名管 道通信。命名管道通信是保留的内存，以便将一个进程的输出用作另一个进程的输入。接受输入的进程不必在本地计算 机上。注意：如果某个计

30、算机名称使用WINS解析为多个IP地址或者WINS失败并使用DNS解析该名称，则NetBIOS over TCP/IP (NetBT)将尝试ping文件服务器的IP地址。端口 139通信取决于Internet控制消息协议(ICMP)回显消息。 如果未安装Internet协议版本6 (IPv6)，则端口 445通信也将依靠ICMP进行名称解析。预加载的Lmhosts条目将绕 过DNS解析程序。如果IPv6安装在基于Windows Server 2003或Windows XP的系统上，则端口 445通信将不会触 发任何ICMP请求。系统服务名称：lanmanserver应用程序协议协议端口NetB

31、IOS数据报服务UDP138NetBIOS名称解析UDP137NetBIOS会话服务TCP139SMBTCP445简单邮件传输协议(SMTP)简单邮件传输协议(SMTP)系统服务是电子邮件提交和中继代理。它接受发往远程目标的电子邮件并将它们排队，并按指定的时间间隔重试发送。Windows域控制器将SMTP服务用于站点间基于电子邮件的复制。Windows Server 2003 COM 组件的协作数据对象(CDO)可以使用SMTP服务提交出站电子邮件并将它们排队。系统服务名称：SMTPSVC应用程序协议协议端口SMTPTCP25SystemsManagementServer2.0Systems

32、Management Server (SMS) 2003为 操作系统的更改和配置管理提供了一个全面的解决方案。使用此解决方案， 组织可以快速经济地为用户提供相关的软件和更新。应用程序协议协议端口NetBIOS数据报服务UDP138NetBIOS名称解析UDP137NetBIOS会话服务TCP139RPCTCP135SMBTCP445随机分配的高TCP端口1TCP1024 - 65535之间的随机端口号 49152 - 65535之间的随机端口号21有关如何自定义此端口的更多信息，请参阅参考部分中的远程过程调用和DCOM”部分。2 这是 Windows Server 2008 和 Windows Vista 中的范围终端服务“终端服务”提供了一个多会话环境，允许客户端设备访问虚拟Windows桌面会话和服务器上运行的基于Windows的 程序。终端服务允许多个用户以交互方式连接到一台计算机。系统服务名称：TermService应用程序协议协议端口终端服务TC