windows域控服务器全部端口列表和说明|江阴雨辰互联

2023年6月24日发(作者：)

Windows2012R2 企业域环境安装和配置

域控制器防火域配置说明

本文适用于企业级多域控环境中对硬件防火墙的配置

概要：

详细的域控需要开放的防火墙端口说明，如需要查阅端口清单，请下载本人百度文库中中一表格文件《域控防火墙端口清单》

本文所推荐的端口是复杂域环境下，会涉及多种服务。

客户端（PC）到域控的端口清单 ........................................................................................... 3

域控的端口清单 ....................................................................................................................... 4

Active Directory（本地安全机构） ......................................................................................... 5

计算机浏览器 ........................................................................................................................... 5

DHCP 服务器 ........................................................................................................................... 6

分布式文件系统 ....................................................................................................................... 6

分布式文件系统复制 ............................................................................................................... 6

分布式链接跟踪服务器 ........................................................................................................... 7

分布式事务处理协调器 ........................................................................................................... 7

DNS 服务器 .............................................................................................................................. 7

事件日志 ................................................................................................................................... 8

文件复制 ................................................................................................................................... 8

组策略....................................................................................................................................... 8

HTTP SSL .................................................................................................................................... 9

Kerberos 密钥发行中心 .......................................................................................................... 9

网络登录 ................................................................................................................................... 9

NetMeeting 远程桌面共享 ................................................................................................... 10

远程过程调用 (RPC) .............................................................................................................. 10

远程过程调用 (RPC) 定位器 ................................................................................................ 11

服务器..................................................................................................................................... 11

简单邮件传输协议 (SMTP) ................................................................................................... 11

Systems Management Server 2.0 ........................................................................................... 12

终端服务 ................................................................................................................................. 12

Windows Internet 名称服务 (WINS) .................................................................................... 12

Windows 时间 ....................................................................................................................... 13

万维网发布服务 ..................................................................................................................... 13

客户端（PC）到域控的端口清单

应用程序协议

ICMP (ping)

DNS

HTTP

Kerberos

RPC

NetBIOS 名称解析

NetBIOS 数据报服务

NetBIOS 会话服务

DC 定位器

SMB

Kerberos 密码 V5

LDAP SSL

RPC 随机分配的高 TCP 端口

RPC 随机分配的高 UDP 端口

DNS

DHCP 服务器

Kerberos

NTP

RPC

NetBIOS 名称解析

NetBIOS 数据报服务

NetBIOS 会话服务

DC 定位器

SMB

Kerberos 密码 V5

RPC 随机分配的高 UDP 端口

协议

ICMP

TCP

UDP

端口

135

137

138

139

389

445

464

636

1024 - 65535

49152 - 65535

1024 - 65535

123

135

137

138

139

389

445

464

49152 - 65535 域控的端口清单

应用程序协议

ICMP (ping)

SMTP

WINS 复制

DNS

HTTP

Kerberos

RPC

NetBIOS 名称解析

NetBIOS 数据报服务

NetBIOS 会话服务

DC 定位器

HTTPS

SMB

Kerberos 密码 V5

RPC over HTTPS

LDAP SSL

终端服务

RPC

AD DS Web Services

RPC 随机分配的高 TCP 端口

全局编录服务器

RPC 随机分配的高 TCP 端口

WINS 复制

DNS

DHCP 服务器

Kerberos

NTP

RPC

NetBIOS 名称解析

NetBIOS 数据报服务

NetBIOS 会话服务

DC 定位器

SMB

Kerberos 密码 V5

IPsec ISAKMP

MADCAP

协议

ICMP

TCP

UDP

端口

135

137

138

139

389

443

445

464

593

636

3389

5722

9389

1024 - 65535

3269

3268

49152 - 65535

123

135

137

138

139

389

445

464

500

2535 NAT-T

RPC 随机分配的高 UDP 端口

UDP

4500

49152 - 65535

1024 - 65535

Active Directory（本地安全机构）

Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 Windows Server 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65535 之间的某一范围的临时 TCP 端口外，域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此通信。封装的解决方案可能在同时使用第 2 层隧道协议 (L2TP) 和 IPsec 的筛选路由器后面包含一个 VPN 网关。在此封装方案中，您必须允许 IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口 4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按知识库中的以下文章中所述，对用于 Active Directory 复制的端口进行硬编码：

224196 将 Active Directory 复制流量限制在特定端口

注意：L2TP 流量不需要数据包筛选器，因为 L2TP 受 IPSec ESP 保护。

系统服务名称：LSASS

应用程序协议

全局编录服务器

LDAP 服务器

LDAP SSL

IPsec ISAKMP

NAT-T

RPC

RPC 随机分配的高 TCP 端口

协议

TCP

UDP

TCP

UDP

TCP

端口

3269

3268

389

636

500

4500

135

1024 - 65535

49152 - 65535

计算机浏览器

“计算机浏览器”系统服务维护网络上的最新计算机列表，并为需要此列表的程序提供此列表。基于 Windows 的计算机使用“计算机浏览器”服务来查看网络域和资源。被指定为浏览器的计算机维护浏览列表，这些列表中包含网络上使用的所有共享资源。Windows 程序的早期版本（如网上邻居、net view 命令以及 Windows 资源管理器）都需要浏览功能。例如，当您在一台运行 Windows 95 的计算机上打开“网上邻居”时，就会出现域和计算机的列表。为了显示此列表，计算机从被指定为浏览器的计算机上获取浏览列表的副本。

系统服务名称：Browser

应用程序协议

NetBIOS 数据报服务

NetBIOS 名称解析

NetBIOS 会话服务

协议

UDP

TCP

端口

138

137

139

DHCP 服务器

“DHCP 服务器”服务使用动态主机配置协议 (DHCP) 自动分配 IP 地址。使用此服务，可以调整 DHCP 客户端的高级网络设置。例如，可以配置诸如域名系统 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器之类的网络设置。可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息并向客户端计算机提供此信息。

系统服务名称：DHCPServer

应用程序协议

DHCP 服务器

MADCAP

协议

UDP

端口

2535

分布式文件系统

分布式文件系统 (DFS) 将位于局域网 (LAN) 或广域网 (WAN) 上的不同文件共享集成到一个逻辑命名空间中。DFS 服务是 Active Directory 域控制器公布 SYSVOL 共享文件夹所必需的。

系统服务名称：Dfs

应用程序协议

NetBIOS 数据报服务

NetBIOS 会话服务

LDAP 服务器

SMB

RPC

随机分配的高 TCP 端口¹

协议

UDP

TCP

UDP

TCP

端口

138

139

389

445

135

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围。

分布式文件系统复制

分布式文件系统复制 (DFSR) 服务是基于状态的多主机文件复制引擎，它可以在参与公共复制组的计算机之间将更新自动复制到文件和文件夹中。DFSR 已添加到 Windows Server 2003 R2 中。可以通过使用命令行工具来配置

DFSR，以便在特定端口上复制文件，而不考虑这些计算机是否参与分布式文件系统命名空间 (DFSN)。

系统服务名称：DFSR 应用程序协议

RPC

随机分配的高 TCP 端口¹

协议

TCP

端口

135

5722³

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式文件复制服务”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围

³ 端口 5722 仅用于 2008 域控制器或 2008R2 域控制器上。

分布式链接跟踪服务器

“分布式链接跟踪服务器”系统服务存储信息，使得在卷之间移动的文件可以跟踪到域中的每个卷。“分布式链接跟踪服务器”服务运行在一个域中的所有域控制器上。此服务启用“分布式链接跟踪客户端”服务，以跟踪已移动到同一个域的另一个 NTFS 文件系统卷中的某个位置的链接文档。

系统服务名称：TrkSvr

应用程序协议

RPC

随机分配的高 TCP 端口¹

协议端口

TCP 135

TCP

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围

分布式事务处理协调器

“分布式事务处理协调器 (DTC)”系统服务负责协调跨多个计算机系统和资源管理器（如数据库、消息队列、文件系统和其他事务保护资源管理器）分布的事务。如果事务性组件是通过 COM+ 配置的，则需要 DTC 系统服务。消息队列（也称为 MSMQ）中的事务性队列和 SQL Server 跨多个系统运行也需要 DTC 系统服务。

系统服务名称：MSDTC

应用程序协议

RPC

随机分配的高 TCP 端口¹

协议端口

TCP 135

TCP

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式事务处理协调器”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围。

DNS 服务器

“DNS 服务器”服务通过应答有关 DNS 名称的查询和更新请求来启用 DNS 名称解析。查找使用 DNS 名称标识的设备和服务以及在 Active Directory 中查找域控制器都需要 DNS 服务器。

系统服务名称：DNS

应用程序协议

DNS

协议

UDP

TCP

端口

事件日志

“事件日志”系统服务记录由程序和 Windows 操作系统生成的事件消息。事件日志报告中包含对诊断问题有用的信息。在事件查看器中查看报告。“事件日志”服务将程序、服务以及操作系统发送的事件写入日志文件。这些事件中不仅包含特定于源程序、服务或组件的错误，还包含诊断信息。日志可以通过事件日志 API 或通过 MMC 管理单元中的事件查看器以编程方式查看。

系统服务名称：Eventlog

应用程序协议

RPC/命名管道 (NP)

RPC/NP

协议

TCP

UDP

端口

139

445

137

138

注意：事件日志服务通过命名管道使用 RPC。此服务的防火墙要求与“文件和打印机共享”功能相同。

文件复制

“文件复制”服务 (FRS) 是一个基于文件的复制引擎，它可以在参与公共 FRS 副本集的计算机之间将更新自动复制到文件和文件夹中。FRS 是用于在位于公共域中基于 Windows 2000 和基于 Windows Server 2003 的域控制器之间复制

SYSVOL 文件夹内容的默认复制引擎。可将 FRS 配置为通过使用 DFS 管理工具在 DFS 根或链接的目标之间复制文件和文件夹。

系统服务名称：NtFrs

应用程序协议

RPC

随机分配的高 TCP 端口¹

协议端口

TCP 135

TCP

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“文件复制服务”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围

组策略

为成功应用组策略，客户端必须能够通过 DCOM、ICMP、LDAP、SMB 和 RPC 协议与域控制器联系。如果上述任一协议不可用或者在客户端和相关域控制器之间被阻止，策略将不会应用或刷新。对于跨域登录（其中计算机在一个域中，而用户帐户在另一个域中），客户端、资源域和帐户域可能需要这些协议进行通信。ICMP 用来检测慢速链接。有关慢速链接检测的更多信息，请单击下面的文章编号，以查看知识库中相应的文章：

227260 如何检测慢速链接来处理用户配置文件和组策略系统服务名称：组策略

应用程序协议

DCOM¹

ICMP (ping)

LDAP

SMB

RPC

协议

TCP + UDP

ICMP

TCP

端口

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

389

445

135,

1024 - 65535 之间的随机端口号*

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 Active Directory”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围。

注意：当组策略管理控制台 (MMC) 管理单元创建组策略结果报告和组策略建模报告时，将使用 DCOM 和 RPC 发送和接收客户端或域控制器中策略结果集 (RSoP) 提供程序的信息。构成组策略管理控制台 (MMC) 管理单元功能的各种二进制文件主要使用 COM 调用发送或接收信息。

HTTP SSL

HTTP SSL 系统服务允许 IIS 执行 SSL 功能。SSL 是一个开放式标准，用于建立加密的通信通道以帮助防止拦截重要信息（如信用卡号码）。尽管此服务旨在处理其他 Internet 服务，但它主要用于启用万维网 (WWW) 上的加密电子金融交易。通过 Internet Information Services (IIS) 管理器管理单元可以配置用于此服务的端口。

系统服务名称：HTTPFilter

应用程序协议

HTTPS

协议

TCP

端口

443

Kerberos 密钥发行中心

当您使用 Kerberos 密钥发行中心 (KDC) 系统服务时，用户可以使用 Kerberos 版本 5 身份验证协议登录到网络。与在

Kerberos 协议的其他实现中一样，KDC 是一个提供两个服务的进程：身份验证服务和票证授予服务。身份验证服务颁发票证授予票证，票证授予服务颁发用于连接到自己的域中的计算机的票证。

系统服务名称：kdc

应用程序协议

Kerberos

Kerberos 密码 V5

DC 定位器

协议

TCP

UDP

TCP

UDP

端口

464

389

网络登录

“网络登录”系统服务维护计算机和域控制器之间的安全通道，对用户和服务进行身份验证。它将用户的凭据传递给域控制器，然后返回用户的域安全标识符和用户权限。这通常称为 pass-through 身份验证。“网络登录”被配置为仅在成员计算机或域控制器加入域时自动启动。在 Windows 2000 Server 系列和 Windows Server 2003 系列中，“网络登录”发布 DNS

中的服务资源定位器记录。当此服务运行时，它依赖“工作站”服务和“本地安全机构”服务来侦听传入的请求。在域成员计算机上，“网络登录”使用命名管道上的 RPC。在域控制器上，它使用命名管道上的 RPC、RPC over TCP/IP、邮筒以及轻型目录访问协议 (LDAP)。

系统服务名称：Netlogon

应用程序协议

NetBIOS 数据报服务

NetBIOS 名称解析

NetBIOS 会话服务

SMB

LDAP

RPC¹

协议

UDP

TCP

UDP

TCP

端口

138

137

139

445

389

135,

1024 – 65535 之间的随机端口号

135,

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 Active Directory”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围。

注意：网络登录服务通过下级客户端的命名管道使用 RPC。此服务具有的防火墙要求与“文件和打印机共享”功能的要求相同。

NetMeeting 远程桌面共享

“NetMeeting 远程桌面共享”系统服务允许经过授权的用户使用 Windows NetMeeting 通过公司的内部网，从其他个人计算机远程访问您的 Windows 桌面。您必须在 NetMeeting 中显式启用此服务。也可以在 Windows 通知区域中使用一个图标来禁用或关闭此功能。

系统服务名称：mnmsrvc

应用程序协议

终端服务

协议

TCP

端口

3389

远程过程调用 (RPC)

“远程过程调用 (RPC)”系统服务是一种进程间通信 (IPC) 机制，它启用驻留在另一个进程中的数据交换和功能调用。不同的进程可以位于同一台计算机上、LAN 上或位于远程位置，并且可以通过 WAN 连接或 VPN 连接进行访问。RPC 服务充当 RPC 终结点映射器和组件对象模型 (COM) 服务控制管理程序。许多服务的成功启动都依赖于 RPC 服务。

系统服务名称：RpcSs

应用程序协议

RPC

RPC over HTTPS

NetBIOS 数据报服务

NetBIOS 名称解析

协议

TCP

UDP

端口

135

593

138

137 NetBIOS 会话服务

SMB

求相同。

TCP

139

445

注意：RPC 终结点映射器也通过使用命名管道提供它的服务。此服务具有的防火墙要求与“文件和打印机共享”功能的要远程过程调用 (RPC) 定位器

“远程过程调用 (RPC) 定位器”系统服务管理 RPC 名称服务数据库。此服务打开后，RPC 客户端可以定位 RPC 服务器。默认情况下此服务处于关闭状态。

系统服务名称：RpcLocator

应用程序协议

NetBIOS 数据报服务

NetBIOS 名称解析

NetBIOS 会话服务

SMB

求相同。

协议

UDP

TCP

端口

138

137

139

445

注意：RPC 服务定位器通过命名管道使用 RPC 来提供服务。此服务具有的防火墙要求与“文件和打印机共享”功能的要服务器

“服务器”系统服务提供 RPC 支持和文件、打印以及通过网络的命名管道共享。“服务器”服务允许共享本地资源（如磁盘和打印机），以使网络上的其他用户可以访问这些资源。它还允许本地计算机和其他计算机上运行的程序之间的命名管道通信。命名管道通信是保留的内存，以便将一个进程的输出用作另一个进程的输入。接受输入的进程不必在本地计算机上。

注意：如果某个计算机名称使用 WINS 解析为多个 IP 地址或者 WINS 失败并使用 DNS 解析该名称，则 NetBIOS over

TCP/IP (NetBT) 将尝试 ping 文件服务器的 IP 地址。端口 139 通信取决于 Internet 控制消息协议 (ICMP) 回显消息。如果未安装 Internet 协议版本 6 (IPv6)，则端口 445 通信也将依靠 ICMP 进行名称解析。预加载的 Lmhosts 条目将绕过 DNS 解析程序。如果 IPv6 安装在基于 Windows Server 2003 或 Windows XP 的系统上，则端口 445 通信将不会触发任何 ICMP 请求。

系统服务名称：lanmanserver

应用程序协议

NetBIOS 数据报服务

NetBIOS 名称解析

NetBIOS 会话服务

SMB

协议

UDP

TCP

端口

138

137

139

445

简单邮件传输协议 (SMTP)

“简单邮件传输协议”(SMTP) 系统服务是电子邮件提交和中继代理。它接受发往远程目标的电子邮件并将它们排队，并按指定的时间间隔重试发送。Windows 域控制器将 SMTP 服务用于站点间基于电子邮件的复制。Windows Server 2003 COM

组件的协作数据对象 (CDO) 可以使用 SMTP 服务提交出站电子邮件并将它们排队。

系统服务名称：SMTPSVC

应用程序协议

SMTP

协议

TCP

端口

Systems Management Server 2.0

Systems Management Server (SMS) 2003 为操作系统的更改和配置管理提供了一个全面的解决方案。使用此解决方案，组织可以快速经济地为用户提供相关的软件和更新。

应用程序协议

NetBIOS 数据报服务

NetBIOS 名称解析

NetBIOS 会话服务

RPC

SMB

随机分配的高 TCP 端口¹

协议

UDP

TCP

端口

138

137

139

135

445

1024 – 65535 之间的随机端口号

49152 - 65535 之间的随机端口号²

¹ 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和 DCOM”部分。

² 这是 Windows Server 2008 和 Windows Vista 中的范围

终端服务

“终端服务”提供了一个多会话环境，允许客户端设备访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。终端服务允许多个用户以交互方式连接到一台计算机。

系统服务名称：TermService

应用程序协议

终端服务

协议

TCP

端口

3389

Windows Internet 名称服务 (WINS)

“Windows Internet 名称服务 (WINS)”启用 NetBIOS 名称解析。此服务使用 NetBIOS 名称帮助您定位网络资源。除非已将所有域都升级到 Active Directory 目录服务并且网络上的所有计算机都运行 Windows 2000 或更高版本，否则必须使用 WINS 服务器。WINS 服务器使用 NetBIOS 名称解析与网络客户端进行通信。只有 WINS 服务器之间才需要 WINS 复制。

系统服务名称：WINS

应用程序协议

NetBIOS 名称解析

WINS 复制

协议

UDP

TCP

端口

137

42 WINS 复制 UDP 42

Windows 时间

“Windows 时间”系统服务维护网络上所有基于 Windows XP 和 Windows Server 2003 的计算机上的日期和时间同步。此服务使用网络时间协议 (NTP) 使计算机时钟同步，以便为网络验证和资源访问请求分配准确的时钟值或时间戳。NTP 的实现和时间提供程序的集成帮助“Windows 时间”成为您企业的可靠、灵活的时间服务。对于没有加入域的计算机，可以配置“Windows 时间”以使时间与外部时间源同步。如果关闭此服务，则本地计算机的时间设置将不能与 Windows 域中的时间服务或外部配置的时间服务同步。Windows Server 2003 使用 NTP。NTP 运行于 UDP 端口 123 上。此服务的

Windows 2000 版本使用简单网络时间协议 (SNTP)。SNTP 也运行于 UDP 端口 123 上。

当 Windows 时间服务使用 Windows 域配置时，此服务需要域控制器位置和身份验证服务。因此，需要 Kerberos 和

DNS 的端口。

系统服务名称：W32Time

应用程序协议

NTP

SNTP

协议

UDP

端口

123

万维网发布服务

“万维网发布服务”提供了注册、管理、监视向 IIS 注册的网站和程序以及为它们提供服务所需的基础结构。此系统服务包含一个进程管理器和一个配置管理器。进程管理器控制自定义应用程序和网站驻留的进程。配置管理器读取已存储的万维网发布服务的系统配置，并确保被配置为将 HTTP 请求路由到相应的应用程序池或操作系统进程。通过

Internet Information Services (IIS) 管理器管理单元，可以对此服务所使用的端口进行配置。如果启用了管理网站，则将创建一个在 TCP 端口 8098 上使用 HTTP 通信的虚拟网站。

系统服务名称：W3SVC

应用程序协议

HTTP

HTTPS

协议

TCP

端口

443

发布者：admin，转转请注明出处：http://www.yc00.com/xiaochengxu/1687575583a21437.html