Windows 服务器系统的服务概述和网络端口要求(kb832017.doc

微软帮助和支持/kb/832017文章编号: 832017 - 最后修改: 2011年5月13日 - 修订: 45.0Windows 服务器系统的服务概述和网络端口要求查看本文应用于的产品 系统提示 注意：本篇文章的内容适用于其他版本的 Windows (不包括您正在使用的版本) 。本篇文章的内容可能不适用您的电脑。 浏览 Windows 7 帮助和支持中心 (/ph/14019) 本页 * 概要 o 概述 o 系统服务端口 + Active Directory（本地安全机构） + 应用程序层网关服务 + ASP.NET 状态服务 + 证书服务 + 群集服务 + 计算机浏览器 + DHCP 服务器 + 分布式文件系统 + 分布式文件系统复制 + 分布式链接跟踪服务器 + 分布式事务处理协调器 o 端口和协议 + Active Directory 端口和协议要求 # Active Directory 依赖的服务 # 需要 Active Directory 服务的服务 * 参考 o 一般信息 o 远程过程调用和 DCOM o 域控制器和 Active Directory o Exchange Server o 文件复制服务 o 分布式文件复制服务 o Internet 信息服务管理器 o IPsec 和 VPN o 多播地址动态客户端分配协议 (MADCAP) o 消息队列 o Mobile Information Server o Microsoft Operations Manager o Systems Management Server o SQL Server o 终端服务 o 控制 Windows 中的 Internet 通信 概要 本文讨论 Microsoft Windows 服务器系统中的 Microsoft 客户端和服务器操 作系统、基于服务器的程序及其子组件所使用的基本网络端口、协议和.本文讨论 Microsoft Windows 服务器系统中的 Microsoft 客户端和服务器操作系统、基于服务器的程序及其子组件所使用的基本网络端口、协议和服务。管理员和支持专业人员可以使用这篇 Microsoft 知识库文章作为指导，以确定 Microsoft操作系统和程序在分段网络中进行网络连接所需的端口和协议。不应使用本文中的端口信息来配置 Windows 防火墙。有关配置 Windows 防火墙的信息，请访问下列 Microsoft 网站：/zh-cn/library/cc779199(WS.10).aspx/zh-cn/network/bb545423.aspxWindows 服务器系统包括一个全面、集成的基础结构，旨在满足开发人员和信息技术 (IT) 专业人员的要求。此系统设计用于运行特定的程序和解决方案，借助这些程序和解决方案，信息工作人员可以快速便捷地获取、分析和共享信息。这些Microsoft 客户端、服务器和服务器程序产品使用不同的网络端口和协议，通过网络与客户端系统和其他服务器系统进行通信。专用防火墙、基于主机的防火墙以及Internet 协议安全性 (IPSec) 筛选器都是帮助保证网络安全所需的其他重要组件。但是，如果将这些技术配置为阻止某个特定服务器所使用的端口和协议，则该服务器将不再响应客户端请求。 概述下面的列表概述了本文所包含的信息： * 本文的“系统服务端口”部分包含每个服务的简短说明，显示该服务的逻 辑名称，并指出每个服务正确运行所需的端口和协议。使用这一部分可帮助识 别特定的服务所使用的端口和协议。 * 本文的“端口与协议”部分包括一个表，其中总结了“系统服务端口”部分 中的信息。这个表按端口号排序，而不是按服务名称排序。使用这一部分可以 迅速确定哪些服务侦听特定的端口。*重要说明*本文包含多个对默认动态端口范围的参考。在 Windows Server 2008和 Windows Vista 中，已将默认动态端口范围更改为下列范围： * 起始端口：49152 * 结束端口：65535有关 Windows Vista 和 Windows Server 2008 中更改的更多信息，请单击下列文章编号，以查看 Microsoft 知识库中相应的文章：929851 (/kb/929851/ ) 在Windows Vista 和 Windows Server 2008 中 TCP/IP 的默认动态端口范围已经更改本文在某些术语的使用上采用了特定的方式。为了避免混淆，请确保对本文使用这些术语的方式有所了解。下面的列表对这些术语进行了说明： * *系统服务*：Windows 服务器系统包括许多产品，如 Microsoft Windows 2000 Server 系列、Microsoft Windows Server 2003 系列、Microsoft Exchange 2000 Server 和 Microsoft SQL Server 2000。所有这些产品都包 括许多组件，系统服务就是这些组件之一。特定计算机所需的系统服务或者由 操作系统在启动期间自动启动，或者根据需要在典型操作期间启动。例如，在 运行 Windows Server 2003 Enterprise Edition 的计算机上，一些可用的系 统服务包括服务器服务、后台打印程序服务以及万维网发布服务。每个系统服 务都有一个友好的服务名称和一个服务名称。友好的服务名称是图形管理工具 （如“服务”Microsoft 管理控制台 (MMC) 管理单元）中显示的名称。服务名 称是用于命令行工具以及许多脚本语言的名称。每个系统服务可以提供一项或 多项网络服务。 * *应用程序协议*：在本文中，应用程序协议是指使用一个或多个 TCP/IP 协议 和端口的高级网络协议。应用程序协议的示例包括超文本传输协议 (HTTP)、 服务器消息块 (SMB) 和简单邮件传输协议 (SMTP)。 * *协议*：TCP/IP 协议在低于应用程序协议的级别上运行，它是网络上的设备 之间进行通信的标准格式。TCP/IP 协议套件包括 TCP 协议、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP)。 * *端口*：这是系统服务侦听传入的网络流量的网络端口。本文没有指定哪些服务依赖于其他服务进行网络通信。例如，许多服务依赖Microsoft Windows 中的远程过程调用 (RPC) 功能或 DCOM 功能为它们分配动态TCP 端口。远程过程调用服务协调由其他使用 RPC 或 DCOM 与客户端计算机通信的系统服务发出的请求。许多其他服务依赖于网络基本输入/输出系统 (NetBIOS)或 SMB，而 NetBIOS 和 SMB 实际上是由服务器服务提供的两种协议。还有一些服务依赖于 HTTP 或安全超文本传输协议 (HTTPS)。这些协议由 InternetInformation Services (IIS) 提供。有关 Windows 操作系统基础结构的完整讨论已超出本文讨论的范围。不过，在 Microsoft TechNet 和 Microsoft DeveloperNetwork (MSDN) 上可以获得有关此主题的详细文档。虽然可能有许多服务依赖于某一特定的 TCP 端口或 UDP 端口，但在任一时间都只能有一个服务或进程侦听该端口。将 RPC 与 TCP/IP 或 UDP/IP 一起用于传输时，入站端口通常根据需要动态分配给系统服务；使用高于端口 1024 的 TCP/IP 端口和 UDP/IP 端口。这些端口通常被非正式地称为“随机 RPC 端口”。在这些情况下，RPC 客户端依赖 RPC 终结点映射器通知它们哪个（些）动态端口分配给了服务器。对于某些基于 RPC 的服务，您可以配置一个特定的端口而不是让 RPC 动态分配端口。另外，无论对于什么服务，都可以将 RPC 动态分配的端口范围限制为一个小范围。有关此主题的更多信息，请参见本文的“参考”部分。本文包含有关在本文末尾“这篇文章的信息适用于：”部分中列出的 Microsoft 产品的系统服务角色和服务器角色的信息。虽然此信息可能同样适用于 MicrosoftWindows XP 和 Microsoft Windows 2000 Professional，但本文主要集中讨论服务器类操作系统。因此，本文介绍了服务侦听的端口，而没有介绍客户端程序用来连接到远程系统的端口。 系统服务端口这一部分提供对每个系统服务的说明，包括与系统服务相对应的逻辑名称，还显示了每个服务所需的端口和协议。 Active Directory（本地安全机构）Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 WindowsServer 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65535 之间的某一范围的临时 TCP 端口外，域控制器、客户端计算机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此通信。封装的解决方案可能在同时使用第 2 层隧道协议 (L2TP) 和 IPsec 的筛选路由器后面包含一个 VPN 网关。在此封装方案中，您必须允许 IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按Microsoft 知识库中的以下文章中所述，对用于 Active Directory 复制的端口进行硬编码：224196 (/kb/224196/ ) 将Active Directory 复制流量限制在特定端口*注意*：L2TP 流量不需要数据包筛选器，因为 L2TP 受 IPSec ESP 保护。系统服务名称：*LSASS*收起该表格展开该表格*应用程序协议*协议*端口*全局编录服务器TCP3269全局编录服务器TCP3268LDAP 服务器TCP389LDAP 服务器UDP389LDAP SSLTCP636LDAP SSLUDP636IPsec ISAKMPUDP500NAT-TUDP4500RPCTCP135RPC 随机分配的高 TCP 端口TCP1024 - 6553549152 - 65535 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 ActiveDirectory”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。 应用程序层网关服务Internet 连接共享 (ICS)/Internet 连接防火墙 (ICF) 服务的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据（如端口和 IP 地址）。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 Standard Edition和 Windows Server 2003 Enterprise Edition 附带的一个插件的网络协议。ALGFTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP插件随后监视并更新 FTP 控制通道流量，以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。系统服务名称：*ALG*收起该表格展开该表格*应用程序协议*协议*端口*FTP 控制TCP21 ASP.NET 状态服务ASP.NET 状态服务提供对 ASP.NET 进程外会话状态的支持。ASP.NET 状态服务在进程外存储会话数据。此服务使用套接字与在 Web 服务器上运行的 ASP.NET 进行通信。系统服务名称：*aspnet_state*收起该表格展开该表格*应用程序协议*协议*端口*ASP.NET 会话状态TCP42424 证书服务“证书服务”是核心操作系统的一部分。使用证书服务，企业可以充当它自己的证书颁发机构 (CA)。通过这种方法，企业可以颁发和管理程序及协议（如安全/多用途Internet 邮件扩展 (S/MIME)、安全套接字层 (SSL)、加密文件系统 (EFS)、IPsec 以及智能卡登录）的数字证书。证书服务使用高于端口 1024 的随机 TCP端口，依赖 RPC 和 DCOM 与客户端计算机进行通信。系统服务名称：*CertSvc*收起该表格展开该表格*应用程序协议*协议*端口*RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。 群集服务“群集”服务控制服务器群集操作并管理群集数据库。群集是多个独立计算机的集合，充当单个计算机。管理员、程序员和用户将群集看作单个系统。此软件在群集节点之间分发数据。如果一个节点失败，其他节点将提供原来由丢失的节点提供的服务和数据。当添加或修复了某个节点后，群集软件将一些数据迁移到此节点。系统服务名称：*ClusSvc*收起该表格展开该表格*应用程序协议*协议*端口*群集服务UDP3343RPCTCP135群集管理器UDP137随机分配的高 UDP 端口UDP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。 计算机浏览器“计算机浏览器”系统服务维护网络上的最新计算机列表，并为需要此列表的程序提供此列表。基于 Windows 的计算机使用“计算机浏览器”服务来查看网络域和资源。被指定为浏览器的计算机维护浏览列表，这些列表中包含网络上使用的所有共享资源。Windows 程序的早期版本（如网上邻居、*net view* 命令以及 Windows资源管理器）都需要浏览功能。例如，当您在一台运行 Microsoft Windows 95 的计算机上打开“网上邻居”时，就会出现域和计算机的列表。为了显示此列表，计算机从被指定为浏览器的计算机上获取浏览列表的副本。系统服务名称：*Browser*收起该表格展开该表格*应用程序协议*协议*端口*NetBIOS 数据报服务UDP138NetBIOS 名称解析UDP137NetBIOS 会话服务TCP139 DHCP 服务器“DHCP 服务器”服务使用动态主机配置协议 (DHCP) 自动分配 IP 地址。使用此服务，可以调整 DHCP 客户端的高级网络设置。例如，可以配置诸如域名系统 (DNS)服务器和 Windows Internet 名称服务 (WINS) 服务器之类的网络设置。可以建立一个或多个 DHCP 服务器来维护 TCP/IP 配置信息并向客户端计算机提供此信息。系统服务名称：*DHCPServer*收起该表格展开该表格*应用程序协议*协议*端口*DHCP 服务器UDP67MADCAPUDP2535 分布式文件系统分布式文件系统 (DFS) 将位于局域网 (LAN) 或广域网 (WAN) 上的不同文件共享集成到一个逻辑命名空间中。DFS 服务是 Active Directory 域控制器公布SYSVOL 共享文件夹所必需的。系统服务名称：*Dfs*收起该表格展开该表格*应用程序协议*协议*端口*NetBIOS 数据报服务UDP138NetBIOS 会话服务TCP139LDAP 服务器TCP389LDAP 服务器UDP389SMBTCP445RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。 分布式文件系统复制分布式文件系统复制 (DFSR) 服务是基于状态的多主机文件复制引擎，它可以在参与公共复制组的计算机之间将更新自动复制到文件和文件夹中。DFSR 已添加到Windows Server 2003 R2 中。可以通过使用 Dfsrdiag.exe 命令行工具来配置DFSR，以便在特定端口上复制文件，而不考虑这些计算机是否参与分布式文件系统命名空间 (DFSN)。系统服务名称：*DFSR*收起该表格展开该表格*应用程序协议*协议*端口*RPCTCP135RPCTCP5722随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式文件复制服务”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围 端口 5722 仅用于 2008 域控制器或 2008R2 域控制器上。 分布式链接跟踪服务器“分布式链接跟踪服务器”系统服务存储信息，使得在卷之间移动的文件可以跟踪到域中的每个卷。“分布式链接跟踪服务器”服务运行在一个域中的所有域控制器上。此服务启用“分布式链接跟踪客户端”服务，以跟踪已移动到同一个域的另一个NTFS 文件系统卷中的某个位置的链接文档。系统服务名称：*TrkSvr*收起该表格展开该表格*应用程序协议*协议*端口*RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围 分布式事务处理协调器“分布式事务处理协调器 (DTC)”系统服务负责协调跨多个计算机系统和资源管理器（如数据库、消息队列、文件系统和其他事务保护资源管理器）分布的事务。如果事务性组件是通过 COM+ 配置的，则需要 DTC 系统服务。消息队列（也称为MSMQ）中的事务性队列和 SQL Server 跨多个系统运行也需要 DTC 系统服务。系统服务名称：*MSDTC*收起该表格展开该表格*应用程序协议*协议*端口*RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“分布式事务处理协调器”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。 DNS 服务器“DNS 服务器”服务通过应答有关 DNS 名称的查询和更新请求来启用 DNS 名称解析。查找使用 DNS 名称标识的设备和服务以及在 Active Directory 中查找域控制器都需要 DNS 服务器。系统服务名称：*DNS*收起该表格展开该表格*应用程序协议*协议*端口*DNSUDP53DNSTCP53 事件日志“事件日志”系统服务记录由程序和 Windows 操作系统生成的事件消息。事件日志报告中包含对诊断问题有用的信息。在事件查看器中查看报告。“事件日志”服务将程序、服务以及操作系统发送的事件写入日志文件。这些事件中不仅包含特定于源程序、服务或组件的错误，还包含诊断信息。日志可以通过事件日志 API 或通过MMC 管理单元中的事件查看器以编程方式查看。系统服务名称：*Eventlog*收起该表格展开该表格*应用程序协议*协议*端口*RPC/命名管道 (NP)TCP139RPC/NPTCP445RPC/NPUDP137RPC/NPUDP138*注意*：事件日志服务通过命名管道使用 RPC。此服务的防火墙要求与“文件和打印机共享”功能相同。 Microsoft Exchange Server 和 Outlook 客户端Microsoft Exchange Server 和 Exchange 客户端的不同版本具有不同的端口和协议要求。这些要求具体取决于正在使用的 Exchange Server 或 Exchange 客户端的版本。要将 Outlook 客户端连接到 Exchange 2003 之前的 Exchange 版本，需要将 RPC直接连接到 Exchange Server。在 Outlook 与 Exchange Server 之间进行的 RPC连接将首先与 RPC 终结点映射器（TCP 端口 135）联系，以请求所需的各终结点的端口映射信息。然后，Outlook 客户端尝试使用这些终结点端口直接与Exchange Server 进行连接。Exchange 5.5 使用两个端口进行客户端通信。一个端口用于信息存储，另一个端口用于目录。Exchange 2000 和 2003 使用三个端口进行客户端通信。一个端口用于信息存储，一个端口用于目录参照 (RFR)，另一个端口用于 DSProxy/NSPI。在大多数情况下，上述的两个或三个端口将随机映射到 TCP 1024-65535 范围中。如果需要，可将这些端口配置为始终绑定到静态端口映射，而不使用临时端口。有关如何在 Exchange Server 中配置静态 TCP/IP 端口的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：270836 (/kb/270836/ ) ExchangeServer 静态端口映射Outlook 2003 客户端支持通过使用 RPC 直接连接到 Exchange Server。但是，这些客户端也可以与 Internet 上承载于基于 Windows Server 2003 的计算机上的Exchange 2003 服务器进行通信。在 Outlook 和 Exchange Server 之间使用 RPCover HTTP 通信，消除了在 Internet 上公开未经身份验证的 RPC 流量的需要。相反，Outlook 2003 客户端和 Exchange Server 2003 计算机之间的流量将通过TCP 端口 443 (HTTPS) 在 HTTPS 数据包内通信。RPC over HTTPS 要求端口 TCP 443 (HTTPS) 可在 Outlook 2003 客户端和作为“RPCProxy”设备的服务器之间使用。HTTPS 数据包终止于 RPCProxy 服务器，而未包装的 RPC 数据包将通过三个端口传递给 Exchange Server，其使用方式与上述的直接 RPC 流量相似。Exchange Server 上的这些 RPC over HTTPS 端口静态映射到 TCP 6001（信息存储）、TCP 6002（目录参照）和 TCP 6004(DSProxy/NSPI)。在 Outlook 2003 和 Exchange 2003 之间使用 RPC over HTTPS进行通信时，由于 Outlook 2003 知道使用这些静态映射的终结点端口，因此无须公开任何终结点映射器。此外，无需向 Outlook 2003 客户端公开任何全局编录，原因是 Exchange 2003 服务器上的 DSProxy/NSPI 接口将提供此功能。Exchange Server 还支持其他协议，如 SMTP、邮局协议版本 3 (POP3) 以及 IMAP。收起该表格展开该表格*应用程序协议*协议*端口*IMAPTCP143IMAP over SSLTCP993POP3TCP110POP3 over SSLTCP995随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号RPCTCP135RPC over HTTPSTCP443 或 80SMTPTCP25SMTPUDP25信息存储TCP6001目录参照TCP6002DSProxy/NSPITCP6004 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围 ISA 服务器收起该表格展开该表格*应用程序协议*协议*端口*配置存储（域）TCP2171（节点 1）配置存储（复制）TCP2173（节点 1）配置存储（工作组）TCP2172（节点 1）防火墙客户端应用程序TCP/UDP1025-65535（节点 2）防火墙客户端控制通道TCP/UDP1745（节点 3）防火墙控制通道TCP3847（节点 1）RPCTCP135（节点 6）随机分配的高 TCP 端口（节点 6）TCP1024 65535 之间的随机端口号49152 65535 之间的随机端口号（节点 7）Web 管理TCP2175（节点 1、4）Web 代理客户端TCP8080（节点 5）*注意*： 1. 不与 ISA 2000 一起使用 2. 在 FWC 控制通道中协商 FWC 应用程序传输 / 协议 3. ISA 2000 FWC 控制默认为 UDP；ISA 2004 和 2006 默认为 TCP。 4. OEM 使用防火墙 Web 管理以提供 ISA 服务器的非 MMC 管理 5. 还用于数组内流量。 6. 仅由 ISA 管理 MMC 在远程服务器和服务状态监视期间使用。 7. 这是 Windows Server 2008 和 Windows Vista 中的范围。 传真服务“传真服务”是一种符合 Telephony API (TAPI) 标准的系统服务，可提供传真功能。通过使用传真服务，用户可以使用本地传真设备或共享的网络传真设备，从他们的桌面程序发送和接收传真。系统服务名称：*Fax*收起该表格展开该表格*应用程序协议*协议*端口*NetBIOS 会话服务TCP139SMBTCP445RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“远程过程调用和DCOM”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围 文件复制“文件复制”服务 (FRS) 是一个基于文件的复制引擎，它可以在参与公共 FRS 副本集的计算机之间将更新自动复制到文件和文件夹中。FRS 是用于在位于公共域中基于 Windows 2000 和基于 Windows Server 2003 的域控制器之间复制 SYSVOL 文件夹内容的默认复制引擎。可将 FRS 配置为通过使用 DFS 管理工具在 DFS 根或链接的目标之间复制文件和文件夹。系统服务名称：*NtFrs*收起该表格展开该表格*应用程序协议*协议*端口*RPCTCP135随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“文件复制服务”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围 Macintosh 的文件服务器使用“Macintosh 的文件服务器”系统服务，Macintosh 计算机用户可以在运行Windows Server 2003 的计算机上存储和访问文件。如果此服务被关闭或阻止，Macintosh 客户端将无法在该计算机上访问或存储文件。系统服务名称：*MacFile*收起该表格展开该表格*应用程序协议*协议*端口*Macintosh 文件服务器TCP548 FTP 发布服务“FTP 发布服务”提供 FTP 连接。默认情况下，FTP 控制端口为 21。不过，通过Internet Information Services (IIS) 管理器管理单元可以配置此系统服务。默认数据端口（即主动模式 FTP 使用的端口）自动设置为比控制端口低一个端口。因此，如果将控制端口配置为端口 4131，则默认数据端口为端口 4130。大多数FTP 客户端都使用被动模式 FTP。这表示客户端最初使用控制端口连接到 FTP 服务器，FTP 服务器分配一个介于端口 1025 和 5000 之间的高 TCP 端口，然后客户端打开另一个 FTP 服务器连接以传输数据。可以使用 IIS 元数据库配置高端口的范围。系统服务名称：*MSFTPSVC*收起该表格展开该表格*应用程序协议*协议*端口*FTP 控制TCP21FTP 默认数据TCP20随机分配的高 TCP 端口TCP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号 这是 Windows Server 2008 和 Windows Vista 中的范围 组策略为成功应用组策略，客户端必须能够通过 DCOM、ICMP、LDAP、SMB 和 RPC 协议与域控制器联系。如果上述任一协议不可用或者在客户端和相关域控制器之间被阻止，策略将不会应用或刷新。对于跨域登录（其中计算机在一个域中，而用户帐户在另一个域中），客户端、资源域和帐户域可能需要这些协议进行通信。ICMP 用来检测慢速链接。 有关慢速链接检测的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：227260 (/kb/227260/ ) 如何检测慢速链接来处理用户配置文件和组策略系统服务名称：*组策略*收起该表格展开该表格*应用程序协议*协议*端口*DCOMTCP + UDP1024 65535 之间的随机端口号49152 - 65535 之间的随机端口号ICMP (ping)ICMPLDAPTCP389SMBTCP445RPCTCP135, 1024 - 65535 之间的随机端口号* 有关如何自定义此端口的更多信息，请参阅“参考”部分中的“域控制器和 ActiveDirectory”部分。 这是 Windows Server 2008 和 Windows Vista 中的范围。*注意*：当组策略 Microsoft 管理控制台 (MMC) 管理单元创建组策略结果报告和组策略建模报告时，将使用 DCOM 和 RPC 发送和接收客户端或域控制器中策略结果集 (RSoP) 提供程序的信息。构成组策略 Microsoft 管理控制台 (MMC) 管理单元功能的各种二进制文件主要使用 COM 调用发送或接收信息。 HTTP SSLHTTP SSL 系统服务允许 IIS 执行 SSL 功能。SSL 是一个开放式标准，用于建立加密的通信通道以帮助防止拦截重要信息（如信用卡号码）。尽管此服务旨在处理其他 Internet 服务，但它主要用于启用万维网 (WWW) 上的加密电子金融交易。通过 Internet Information Services (IIS) 管理器管理单元可以配置用于此服务的端口。系统服务名称：*HTTPFilter*收起该表格展开该表格*应用程序协议*协议*端口*HTTPSTCP443 Internet 身份验证服务“Internet 身份验证服务 (IAS)”对正在连接到网络的用户执行集中身份验证、授权、审核以及记帐。这些用户可以在 LAN 连接上，也可以在远程连接上。IAS 实现 Internet 工程任务组 (IETF) 标准远程身份验证拨号用户服务 (RADIUS) 协议。系统服务名称：*IAS*收起该表格展开该表格*应用程序协议*协议*端口*旧式 RADIUSUDP1645旧式 RADIUSUDP1646RADIUS 记帐UDP1813RADIUS 身份验证UDP1812 Internet 连接防火墙 (ICF)/Internet 连接共享 (ICS)此系统服务为家庭网络或小型办公室网络上的所有计算机提供 NAT、寻址以及名称解析服务。当启用 Internet 连接共享功能时，您的计算机就变成网络上的“Internet 网关”，然后其他客户端计算机可以共享一个 Internet 连接，如拨号连接或宽带连接。此服务提供基本的 DHCP 服务和 DNS 服务，但它也适用于功能完备的 Windows DHCP 服务或 DNS 服务。当 ICF 和 Internet 连接共享充当网络上其他计算机的网关时，它们在内部网络接口上为专用网络提供 DHCP 服务和 DNS服务。它们不在面向外部的接口上提供这些服务。系统服务名称：*SharedAccess*收起该表格展开该表格*应用程序协议*协议*端口*DHCP 服务器UDP67DNSUDP53DNSTCP53 Kerberos 密钥发行中心当您使用 Kerberos 密钥发行中心 (KDC) 系统服务时，用户可以使用 Kerberos版本 5 身份验证协议登录到网络。与在 Kerberos 协议的其他实现中一样，KDC是一个提供两个服务的进程：身份验证服务和票证授予服务。身份验证服务颁发票证授予票证，票证授予服务颁发用于连接到自己的域中的计算机的票证。系统服务名称：*kdc*收起该表格展开该表格*应用程序协议*协议*端口*KerberosTCP88KerberosUDP88Kerberos 密码 V5UDP464Kerberos 密码 V5TCP464DC 定位器UDP389 许可证记录“许可证记录”系统服务是一个工具，当初设计它是为了帮助用户管理服务器客户端访问许可证 (CAL) 模型中授权的 Microsoft 服务器产品的许可证。许可证记录是随 Microsoft Windows NT Server 3.51 引入的。默认情况下，在 WindowsServer 2003 中“许可证记录”服务是禁用的。由于原始设计的限制和许可协议条款和条件发展的原因，许可证记录可能不会提供一个精确视图来对比显示购买的 CAL总数和在一个特定服务器上或在企业范围内使用的 CAL 总数。许可证记录报告的CAL 可能会与“最终用户许可协议”(EULA) 的解释和“产品使用权”(PUR) 相冲突。将来的 Windows 操作系统版本中将不包括许可证记录。Microsoft 仅建议Microsoft Small Business Server 系列操作系统的用户在服务器上启用此服务。系统服务名称：*LicenseService*收起该表格展开该表格*应用程序协议*协议*端口*NetBIOS 数据报服务UDP138NetBIOS 会话服务TCP139SMBTCP445*注意*：许可证记录服务通过命名管道使用 RPC。此服务的防火墙要求与“文件和打印机共享”功能相同。 消息队列“消息队列”系统服务是一个消息处理基础结构和开发工具，用于创建 Windows 分布式消息处理程序。这些程序可以跨异构网络进行通信，并且可以在可能暂时无法彼此连接的计算机之间发送消息。消息队列对提供安全性、提高路由效率、支持在事务内发送消息、基于优先级的消息处理以及有保障的消息传递都有帮助。系统服务名称：*MSMQ*收起该表格展开该表格*应用程序协议*协议*端口*MSMQTCP1801MSMQUDP1801MSMQ-DCsTCP2101MSMQ-MgmtTCP2107MSMQ-PingUDP3527MSMQ-RPCTCP2105MSMQ-RPCTCP2103RPCTCP135 信使“信使”系统服务向用户和计算机、管理员以及 Alerter 服务发送消息或接收来自它们的消息。此服务与 Windows Messenger 无关。如果禁用信使服务，发送给当前登录到网络上的计算机或用户的通知就无法收到。另外，*net send* 命令和*net name* 命令不再起作用。系统服务名称：*信使服务*收起该表格展开该表格*应用程序协议*协议*端口*NetBIOS 数据报服务UDP138 Microsoft Exchange MTA 堆栈在 Microsoft Exchange 2000 Server 和 Microsoft Exchange Server 2003 中，邮件传输代理 (MTA) 经常用于在