Службы и сетевые порты в серверных системах Microsoft Windows

В данной статье рассмотрены основные сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в серверных системах Microsoft Windows. Представленные сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых приложениям и операционным системам Майкрософт для функционирования в сегментированной сети.

Содержащиеся в этой статье сведения о портах не следует применять при настройке брандмауэра Windows. Сведения о настройке брандмауэра Windows см. на следующих веб-сайтах корпорации Майкрософт:

http://technet.microsoft.com/ru-ru/library/cc779199(WS.10).aspx
http://technet.microsoft.com/ru-ru/network/bb545423.aspx

Серверная система Windows включает интегрированную комплексную инфраструктуру, отвечающей потребностям разработчиков и ИТ-специалистов. Запущенные в такой системе программы и решения позволяют сотрудникам быстро, без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют большое количество сетевых портов и протоколов для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) служат для обеспечения безопасности сети, но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Обзор

Ниже представлен краткий обзор содержания этой статьи.

• Раздел Порты системных служб содержит краткое описание каждой службы с указанием логического имени, а также портов и протоколов, которые необходимы ей для правильного функционирования. Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.
• В разделе Порты и протоколы сведения предыдущего раздела обобщены в форме таблицы (таблица отсортирована по номерам портов, а не названиям служб). Обращайтесь к этому разделу для получения сведений о том, какие службы ожидают на определенном порте.

Важно! Эта статья содержит несколько ссылок на динамический диапазон портов по умолчанию. В системах Windows Server 2008 и Windows Vista рамки динамического диапазона портов по умолчанию изменяются в указанных ниже пределах.

• Начальный порт: 49152
• Конечный порт: 65535

Дополнительные сведения об изменениях в Windows Vista и Windows Server 2008 см. в следующей статье базы знаний Майкрософт:

929851 Изменение динамического диапазона портов для стека протоколов TCP/IP в операционных системах Windows Vista и Windows Server 2008 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых в статье терминов.

• Системная служба. Серверная система Windows включает большое число программных продуктов, например операционные системы семейств Microsoft Windows 2000 и Microsoft Windows Server 2003, приложения Microsoft Exchange 2000 Server и Microsoft SQL Server 2000. Каждый из этих продуктов состоит из отдельных компонентов, одним из которых и являются системные службы. Системные службы запускаются операционной системой автоматически в процессе загрузки компьютера или по мере необходимости при выполнении стандартных операций. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition, помимо прочего, относят службу сервера, службу диспетчера печати и службу веб-публикации. Каждой системной службе сопоставлено обычное имя и понятное имя. Понятное имя службы отображается в средствах управления с графическим интерфейсом, например оснастке "Службы" из состава консоли ММС. Обычное имя службы используется в программах с интерфейсом командной строки, а также во многих языках написания сценариев. Системная служба может включать в себя одну или несколько сетевых служб.
• Прикладной протокол. В контексте этой статьи прикладной протокол — это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP, например HTTP (Hypertext Transfer Protocol), SMB (Server Message Block) и SMTP (Simple Mail Transfer Protocol).
• Протокол. Протоколы TCP/IP функционируют на более низком уровне, чем прикладные протоколы, и являются стандартным форматом взаимодействия между устройствами в сети. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
• Порт. Сетевой порт, на котором системная служба ожидает входящий сетевой трафик.

Данная статья не содержит сведений о том, какие службы зависят от других служб при осуществлении обмена данными в сети. Например, для назначения динамических портов TCP многие службы Windows используют удаленный вызов процедур (RPC) или модель DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые в действительности предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure) (предоставляются службами IIS). Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Документация по этой теме имеется на веб-узлах Microsoft TechNet и MSDN (Microsoft Developer Network). Хотя один и тот же порт TCP или UDP часто используется многими службами, одновременно только одна служба или процесс может активно прослушивать этот порт.

Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости (порты TCP/IP и UDP/IP с номерами выше 1024). Неофициально они называются произвольными портами RPC. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют службу отображения конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, чтобы не полагаться на динамическое назначение, можно настроить определенный порт. Кроме того, для любой службы можно ограничить диапазон портов, динамически назначаемых службой RPC. Для получения дополнительных сведения см. раздел "Ссылки" этой статьи.

Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе "Информация в данной статье относится к следующим продуктам". Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине в статье описаны порты, которые прослушиваются службами, а не порты, используемые клиентскими программами для подключения к удаленной системе.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.

Active Directory (локальный администратор безопасности)

Служба Active Directory выполняется как процесс LSASS и содержит модули проверки подлинности и репликации для контроллеров домена под управлением Windows 2000 и Windows Server 2003. Контроллерам домена, клиентским компьютерам и серверам приложений требуется сетевое подключение к службе Active Directory по определенным, жестко заданным портам (в дополнение к диапазону временных TCP-портов от 1024 до 65535), если для инкапсуляции трафика не применяется туннельный протокол. Инкапсулированное решение может состоять из VPN-шлюза, расположенного за фильтрующим маршрутизатором, который использует протоколы L2TP и IPSec. В этом случае необходимо разрешить протоколам ESP (IPSec Encapsulating Security Protocol) (50, протокол IP), IPSec Network Address Translator Traversal NAT-T (порт 4500 UDP) и ISAKMP (IPSec Internet Security Association and Key Management Protocol) (порт 500 UDP) проходить через маршрутизатор, вместо того чтобы открывать все перечисленные ниже порты и протоколы. Кроме того, порт, используемый для репликации Active Directory, можно жестко запрограммировать в соответствии с указаниями, приведенными в следующей статье базы знаний Майкрософт:

224196 Назначение порта для трафика репликации Active Directory и клиентского трафика RPC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Примечание. Фильтрация пакетов трафика L2TP не нужна, поскольку протокол L2TP защищен протоколом IPsec ESP.

Имя системной службы: LSASS

Прикладной протокол	Протокол	Порты
Сервер глобального каталога	TCP	3269
Сервер глобального каталога	TCP	3268
Сервер LDAP	TCP	389
Сервер LDAP	UDP	389
LDAP SSL	TCP	636
LDAP SSL	UDP	636
IPsec ISAKMP	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
Порты ТСР с большими номерами, произвольно назначенные службой RPC¹	TCP	1024 - 65535 49152 - 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки".
² Этот диапазон используется в Windows Server 2008 и Windows Vista.

Служба шлюза уровня приложения

Этот подкомпонент службы общего доступа к подключению Интернета и брандмауэра подключения к Интернету предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP (File Transfer Protocol) – это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Подключаемый модуль ALG FTP предназначен для поддержки активных сеансов по протоколу FTP через механизм преобразования сетевых адресов (NAT) путем перенаправления всего трафика, который проходит через механизм NAT на порт 21, на частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 на адаптере замыкания на себя. Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP, а также обновляет порты в потоке управляющего канала FTP.

Имя системной службы: ALG

Прикладной протокол	Протокол	Порты
Управление FTP	TCP	21

Служба состояния сеанса ASP.NET

Служба состояния сеанса ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на сервере средой ASP.NET.

Имя системной службы: aspnet_state

Прикладной протокол	Протокол	Порты
Состояние сеанса ASP.NET	TCP	42424

Службы сертификации

Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации, что дает ему возможность выпускать и управлять цифровыми сертификатами для программ и протоколов, например расширений S/MIME (Secure/Multipurpose Internet Mail Extensions), протокола SSL (Secure Sockets Layer), файловой системы EFS (Encrypting File System), системы безопасности IPSec, а также входа в систему с помощью смарт-карты. Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные порты TCP с номерами больше 1024.

Имя системной службы: CertSvc

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Служба кластеров

Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

Имя системной службы: ClusSvc

Прикладной протокол	Протокол	Порты
Служба кластера	UDP	3343
RPC	TCP	135
Администратор кластеров	UDP	137
Произвольно назначенные порты UDP с большими номерами¹	UDP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Браузер компьютеров

Системная служба браузера компьютеров составляет актуальный список компьютеров в сети и предоставляет его программам, которые его запрашивают. Обозреватель компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли обозревателей, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра необходимы таким средствам ОС Windows более ранних версий, как "Сетевое окружение", команда net view и проводник Windows. Так, если открыть "Сетевое окружение" на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль обозревателя.

Имя системной службы: Обозреватель

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139

Служба сервера DHCP

Служба сервера DHCP использует протокол DHCP (Dynamic Host Configuration Protocol) для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.

Имя системной службы: DHCPServer

Прикладной протокол	Протокол	Порты
Сервер DHCP	UDP	67
MADCAP	UDP	2535

Распределенная файловая система

Служба распределенной файловой системы (DFS) объединяет неравноправные общие файловые ресурсы, которые распределены на серверах локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.

Имя системной службы: Dfs

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Служба сеансов NetBIOS	TCP	139
Сервер LDAP	TCP	389
Сервер LDAP	UDP	389
SMB	TCP	445
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista

Репликация распределенной файловой системы

Служба репликации распределенной файловой системы (DFRS) является средством репликации, выполняющим репликацию с несколькими хозяевами, которое автоматически копирует обновления файлов и папок между компьютерами, входящими в общую группу репликации. Служба DFSR была добавлена в систему Windows Server 2003 R2. С помощью средства командной строки Dfsrdiag.exe эту службу можно настроить для репликации файлов на определенных портах независимо от того, входят ли они в пространства имен распределенной файловой системы.

Имя системной службы: DFSR

Прикладной протокол	Протокол	Порты
RPC	TCP	135
RPC	TCP	5722³
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Репликация распределенной файловой системы" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista
³ Порт 5722 используется только на контроллере домена 2008 или 2008R2.

Сервер отслеживания изменившихся связей

Системная служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.

Имя системной службы: TrkSvr

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista

Координатор распределенных транзакций

Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Служба DTC используется, если компоненты транзакций настраиваются через СОМ+, а также очередями сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.

Имя системной службы: MSDTC

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Координатор распределенных транзакций" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista

DNS-сервер

Служба DNS-сервера позволяет разрешать DNS-имя за счет ответа на запросы и обновления запросов DNS-имен. Серверы DNS необходимы для обнаружения устройств и служб, идентификация которых происходит по доменным именам, а также контроллеров домена в Active Directory.

Имя системной службы: DNS

Прикладной протокол	Протокол	Порты
DNS	UDP	53
DNS	TCP	53

Журнал событий

Системная служба журнала событий регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты службы содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит программа "Просмотр событий". Сообщения, полученные от программ, других служб и операционной системы, регистрируются в файлах журналов событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью программы "Просмотр событий" из состава консоли управления ММС.

Имя системной службы: Eventlog

Прикладной протокол	Протокол	Порты
RPC/NP (именованные каналы)	TCP	139
RPC/NP	TCP	445
RPC/NP	UDP	137
RPC/NP	UDP	138

Примечание. В службе журнала событий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Exchange Server и клиенты Outlook

Используемые порты и протоколы зависят от версии установленного сервера Microsoft Exchange или клиента Exchange.

Клиенты Outlook подключаются к серверам Exchange более ранних версий, чем Exchange 2003, напрямую через службу RPC. Вначале происходит обращение к службе отображения конечных точек RPC (порт 135 ТСР) для получения сведений о сопоставлении портов для необходимых конечных точек. Затем клиент Outlook пытается подключиться к серверу Exchange непосредственно через эти конечные точки.

В процессе обмена данными с клиентскими компьютерами сервером Exchange 5.5 используется два порта: один — для службы банка сообщений, а второй — для каталога. Exchange 2000 Server и Exchange Server 2003 используют три порта: один — для службы банка сообщений, второй — для Directory Referral (RFR), а третий — для DSProxy/NSPI.

В большинстве случаев для этих двух или трех портов номера сопоставляются произвольно в диапазоне от 1024 до 65534, но при необходимости можно настроить для них статическое сопоставление номеров.

Для получения дополнительных сведений о настройке статических портов TCP/IP в Exchange Server щелкните следующий номер статьи базы знаний Майкрософт:

270836 Статическое сопоставление портов для Exchange Server

Клиенты Outlook 2003 поддерживают прямое подключение к серверам Exchange с помощью удаленного вызова процедур. Кроме того, такие клиенты могут взаимодействовать с серверами Exchange 2003 на компьютерах под управлением Windows Server 2003 в Интернете. Обмен данными между клиентом Outlook и сервером Exchange с помощью RPC по протоколу HTTP позволяет избежать необходимости открытой пересылки непроверенного трафика RPC через Интернет. Вместо этого трафик между клиентом Outlook 2003 и компьютером Exchange Server 2003 заключается в пакеты HTTPS и передается через порт 443 TCP(HTTPS).

В случае применения удаленного вызова процедур по протоколу HTTPS необходимо, чтобы был доступен порт 443 TCP (HTTPS) между клиентом Outlook 2003 и сервером, который выступает в качестве устройства прокси-сервера RPC. Пакеты HTTPS поступают на прокси-сервер RPC, а затем пакеты RPC в развернутом виде передаются на три порта сервера Exchange подобно тому, как это происходит при прямом подключении по протоколу RPC (см. выше). Протоколу RPC по HTTPS на сервере Exchange статически назначены порты 6001 (служба банка сообщений), 6002 (Directory Referral) и 6004 (DSProxy/NSPI) протокола TCP. При обмене данными между Outlook 2003 и сервером Exchange 2003 с помощью RPC по протоколу HTTPS служба отображения конечных точек не нужна, поскольку Outlook 2003 известны статически назначенные порты конечных точек. Кроме того, клиенту Outlook 2003 не требуется и доступ к глобальному каталогу, его функции выполняет интерфейс DSProxy/NSPI на сервере Exchange 2003.

Exchange Server поддерживает и другие протоколы, например SMTP, POP3 (Post Office Protocol 3) и IMAP.

Прикладной протокол	Протокол	Порты
IMAP	TCP	143
IMAP по SSL	TCP	993
POP3	TCP	110
POP3 по SSL	TCP	995
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 — 65535 произвольный номер порта в диапазоне 49152 — 65535²
RPC	TCP	135
RPC по HTTPS	TCP	443 или 80
SMTP	TCP	25
SMTP	UDP	25
Служба банка сообщений	TCP	6001
Directory Referral	TCP	6002
DSProxy/NSPI	TCP	6004

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

ISA Server

Прикладной протокол	Протокол	Порты
Хранилище настроек (домен)	TCP	2171 (примечание 1)
Хранилище настроек (репликация)	TCP	2173 (примечание 1)
Хранилище настроек (рабочая группа)	TCP	2172 (примечание 1)
Клиентское приложение брандмауэра	TCP/UDP	1025-65535 (примечание 2)
Управляющий канал клиента брандмауэра	TCP/UDP	1745 (примечание 3)
Управляющий канал брандмауэра	TCP	3847 (примечание 1)
RPC	TCP	135 (примечание 6)
Произвольно назначенные порты TCP с большими номерами (примечание 6)	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535 (примечание 7)
Веб-управление	TCP	2175 (примечание 1, 4)
Клиент веб-прокси	TCP	8080 (примечание 5)

Примечания.

1. Не используется с ISA 2000
2. Транспорт и протоколы приложения клиента межсетевого экрана согласуются в рамках управляющего канала клиента межсетевого экрана
3. Контроль клиента межсетевого экрана в ISA 2000 по умолчанию осуществляется посредством UDP, в ISA 2004 и 2006 – посредством TCP.
4. Веб-управление брандмауэром используется изготовителями оборудования в качестве механизма управления сервером ISA, альтернативного консоли управления (MMC).
5. Также используется для трафика внутри массива.
6. Используется только оснасткой ISA management MMC при мониторинге удаленного сервера и статуса службы.
7. Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Служба факсов

Служба факсов (совместимая с интерфейсом TAPI системная служба) предназначена для поддержки функций факсов. С ее помощью пользователи могут принимать и отправлять факсы из прикладных программ, используя локальные или общие сетевые устройства.

Имя системной службы: Fax

Прикладной протокол	Протокол	Порты
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Репликация файлов

Служба репликации файлов (FRS, File Replication service) — это модуль, позволяющий осуществлять репликацию на основе файлов. Посредством этого модуля обновления файлов и папок автоматически копируются на компьютеры, участвующие в одной наборе точных копий службы репликации файлов. FRS — это стандартный механизм репликации, задачей которого является репликация общей папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Кроме того, службу можно настроить на выполнение репликации файлов и папок между целевыми объектами корня или ссылки DFS с помощью средства администрирования DFS.

Имя системной службы: NtFrs

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Служба репликации файлов" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Файловый сервер для Macintosh

Системная служба файлового сервера для Macintosh позволяет пользователям компьютеров Macintosh хранить и получать доступ к файлам на компьютерах под управлением Windows Server 2003. Если служба выключена или заблокирована, клиенты Macintosh не могут хранить и получить доступ к файлам на таком компьютере.

Имя системной службы: MacFile

Прикладной протокол	Протокол	Порты
Файловый сервер для Macintosh	TCP	548

Служба публикации FTP

Служба публикации FTP используется для установки подключений к серверам FTP. Порт управления FTP по умолчанию – 21, однако эту службу можно настроить с помощью оснастки диспетчера служб IIS. Порт данных по умолчанию (используется для FTP активного режима) автоматически устанавливается на единицу меньшим, чем порт управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство клиентов FTP используют FTP пассивного режима. Это значит, что клиент подключается к серверу FTP через порт управления, сервер FTP назначает порт ТСР с большим номером в диапазоне от 1025 до 5000, а затем клиент открывает второе подключение к серверу FTP для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

Имя системной службы: MSFTPSVC

Прикладной протокол	Протокол	Порты
Управление FTP	TCP	21
Данные по умолчанию FTP	TCP	20
Произвольно назначенные порты TCP с большими номерами	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 — 65535¹

¹ Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Групповая политика

Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам DCOM, ICMP, LDAP, SMB и RPC. Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал. Для получения дополнительных сведений об определении медленного канала щелкните следующий номер статьи базы знаний Майкрософт:

227260 Определение медленного канала для обработки профилей пользователей и групповой политики (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Имя системной службы: Групповая политика

Прикладной протокол	Протокол	Порты
DCOM¹	TCP + UDP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²
ICMP (ping)	ICMP
LDAP	TCP	389
SMB	TCP	445
RPC	TCP	135, произвольный номер порта в диапазоне от 1024 до 65535*

¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Примечание. С помощью оснастки групповой политики консоли управления (MMC) создаются отчеты о результатах групповой политики и отчеты о моделировании групповой политики. При этом используется DCOM и RPC для отправки и получения сведений о клиенте или контроллере домена от поставщика результирующей политики (RSoP). Различные двоичные файлы компонентов оснастки групповой политики консоли управления (MMC) используют вызовы COM для отправки и получения сведений.

HTTP SSL

Системная служба HTTP SSL позволяет службам IIS выполнять функции SSL (SSL – это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата важной информации, например номеров кредитных карточек). Несмотря на то что служба предназначена для применения с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Прослушиваемые порты для службы можно настроить с помощью диспетчера служб IIS.

Имя системной службы: HTTPFilter

Прикладной протокол	Протокол	Порты
HTTPS	TCP	443

Служба проверки подлинности в Интернете

Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.

Имя системной службы: IAS

Прикладной протокол	Протокол	Порты
Традиционный RADIUS	UDP	1645
Традиционный RADIUS	UDP	1646
Учет RADIUS	UDP	1813
Проверка подлинности RADIUS	UDP	1812

Общий доступ к подключению Интернета (ICS)/брандмауэр подключения к Интернету (ICF)

Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда установлен общий доступ к подключению Интернета, компьютер становится "шлюзом", а другие клиентские компьютеры сети могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное подключение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем интерфейсе).

Имя системной службы: SharedAccess

Прикладной протокол	Протокол	Порты
Сервер DHCP	UDP	67
DNS	UDP	53
DNS	TCP	53

Центр распространения ключей Kerberos

Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут входить в сеть с помощью протокола проверки подлинности Kerberos 5. Как и в других версиях протокола Kerberos, KDC — это один процесс, обеспечивающий службы проверки подлинности и выдачи билетов. Служба проверки подлинности выпускает билеты на выдачу билета, а служба выдачи билетов — билеты для подключения к компьютерам в своем домене.

Имя системной службы: kdc

Прикладной протокол	Протокол	Порты
Kerberos;	TCP	88
Kerberos;	UDP	88
Пароль Kerberos версии 5	UDP	464
Пароль Kerberos версии 5	TCP	464
Локатор контроллеров домена	UDP	389

Учет лицензий

Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. По умолчанию служба учета лицензий в Windows Server 2003 отключена. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных клиентских лицензий в сравнении с общим числом клиентских лицензий, которые используются на определенном сервере или предприятии. Отчет службы учета лицензий может противоречить условиям лицензионных соглашений и правам на использование продукта. Служба учета лицензий будет исключена из будущих версий операционных систем Windows. Корпорация Майкрософт рекомендует включать эту службу только пользователям операционных систем семейства Microsoft Small Business Server.

Имя системной службы: LicenseService

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

Примечание. В службе учета лицензий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Очередь сообщений

Системная служба очереди сообщений представляет собой разработки и обеспечения инфраструктуры распределенных программ обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.

Имя системной службы: MSMQ

Прикладной протокол	Протокол	Порты
MSMQ	TCP	1801
MSMQ	UDP	1801
MSMQ-DCs	TCP	2101
MSMQ-Mgmt	TCP	2107
MSMQ-Ping	UDP	3527
MSMQ-RPC	TCP	2105
MSMQ-RPC	TCP	2103
RPC	TCP	135

Служба сообщений

Системная служба сообщений принимает и отправляет сообщения пользователей, компьютеров, администраторов и службы оповещения. Эта служба не имеет отношения к программе Windows Messenger. Если отключить службу сообщений, зарегистрировавшиеся на данный момент времени в сети компьютеры и пользователи не будут получать отправленных им уведомлений. Кроме того, перестают функционировать команды net send и net name.

Имя системной службы: Messenger

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138

Стеки пересылки сообщений Microsoft Exchange

В Exchange 2000 Server и Exchange Server 2003 агент пересылки сообщений (MTA) часто используется для обеспечения обратно-совместимых служб пересылки сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.

Имя системной службы: MSExchangeMTA

Прикладной протокол	Протокол	Порты
X.400	TCP	102

Microsoft Operations Manager 2000

Приложение Microsoft Operations Manager (MOM) 2000 позволяет управлять операциями на уровне предприятия, включая всестороннее управление событиями, профилактическое наблюдение, отправку оповещений, составление отчетов и анализ тенденций развития. После установки пакета обновления 1 (SP1) приложение MOM 2000 прекращает обмен данными в формате обычного текста, а весь трафик между агентом и сервером MOM шифруется через порт 1270 TCP. Для подключения к серверу консоль администратора MOM использует модель DCOM, то есть администратор, осуществляющий управление сервером МОМ по сети, должен иметь доступ к произвольно назначенным портам ТСР с большими номерами.

Имя системной службы: one point

Прикладной протокол	Протокол	Порты
MOM-Clear	TCP	51515
MOM-Encrypted	TCP	1270

Служба POP3 Microsoft

Служба POP3 Microsoft предназначена для обмена сообщениями электронной почты, а также их поиска. Служба может использоваться для хранения и управления учетными записями электронной почты на почтовом сервере. Когда на почтовом сервере установлена служба POP3 Microsoft, пользователи создают подключение, а затем производят поиск сообщений с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.

Имя системной службы: POP3SVC

Прикладной протокол	Протокол	Порты
POP3	TCP	110

MSSQLSERVER

MSSQLSERVER — это системная служба из состава Microsoft SQL Server 2000. Сервер SQL Server представляет собой мощную и многостороннюю платформу управления данными. Порты, которые используются каждым экземпляром SQL Server, настраиваются с помощью средства Server Network Utility.

Имя системной службы: MSSQLSERVER

Прикладной протокол	Протокол	Порты
SQL по TCP	TCP	1433
SQL Probe	UDP	1434

MSSQL$UDDI

Системная служба MSSQL$UDDI устанавливается одновременно с функцией UDDI (Universal Description, Discovery and Integration) операционных систем семейства Windows Server 2003 и служит для поддержки этой функции в рамках предприятия. Ключевым компонентом службы MSSQL$UDDI является механизм базы данных SQL Server.

Имя системной службы: MSSQLSERVER

Прикладной протокол	Протокол	Порты
SQL по TCP	TCP	1433
SQL Probe	UDP	1434

Net Logon

Для проверки подлинности пользователей и служб системная служба Net Logon поддерживает безопасный канал между компьютером и контроллером домена. Посредством этой службы учетные данные пользователя передаются на контроллер домена, а возвращаются доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба Net Logon автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба Net Logon публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб рабочей станции и локального администратора безопасности. На компьютерах в составе домена служба Net Logon использует удаленный вызов процедур по именованным каналам. На контроллерах домена используются удаленный вызов процедур по именованным каналам, удаленный вызов процедур по протоколу TCP/IP, почтовые ячейки и облегченный протокол доступа к каталогам (LDAP).

Имя системной службы: Netlogon

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445
LDAP	UDP	389
RPC¹	TCP	135, произвольный номер порта в диапазоне 1024 – 65535 135, произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Контроллеры домена и служба Active Directory" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.
Примечание. В службе сетевого входа в систему используется RPC по именованным каналам для клиентов предыдущей версии. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Общий доступ к рабочему столу через NetMeeting

Системная служба общего доступа к рабочему столу через NetMeeting позволяет полномочным пользователям получать с другого компьютера удаленный доступ к рабочему столу Windows по корпоративной интрасети, используя программу Windows NetMeeting. Службу необходимо явно включить в NetMeeting, а для отключения или закрытия предназначен значок в области уведомлений Windows.

Имя системной службы: mnmsrvc

Прикладной протокол	Протокол	Порты
Службы терминалов	TCP	3389

Протокол NNTP (Network News Transfer Protocol)

Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.

Имя системной службы: NNTPSVC

Прикладной протокол	Протокол	Порты
NNTP	TCP	119
NNTP по SSL	TCP	563

Журналы и оповещения производительности

Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба запускает или останавливает каждый именованный сбор данных о производительности. Служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.

Имя системной службы: SysmonLog

Прикладной протокол	Протокол	Порты
Служба сеансов NetBIOS	TCP	139

Диспетчер печати

Системная служба диспетчера печати управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Диспетчер печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например портами USB и протоколами семейства TCP/IP.

Имя системной службы: Spooler

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение NetBIOS-имен	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

Примечание. В службе диспетчера очереди печати используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Удаленная установка

Системная служба удаленной установки предназначена для установки Windows 2000, Windows XP и Windows Server 2003 на удаленные клиентские компьютеры с поддержкой протокола удаленной загрузки PXE. Основной компонент сервера удаленной установки (RIS) — служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) — отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства "Установка компонентов Windows" добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.

Имя системной службы: BINLSVC

Прикладной протокол	Протокол	Порты
BINL	UDP	4011

Удаленный вызов процедур (RPC)

Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли службы отображения конечных точек RPC и диспетчера служб СОМ (компонентная объектна модель). Служба удаленного вызова процедур необходима для запуска многих других служб.

Имя системной службы: RpcSs

Прикладной протокол	Протокол	Порты
RPC	TCP	135
RPC по HTTPS	TCP	593
Служба датаграмм NetBIOS	UDP	138
Разрешение NetBIOS-имен	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

Примечание. В службах системы отображения конечных точек RPC также используются именованные каналы. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Локатор удаленного вызова процедур (RPC)

Системная служба локатора удаленного вызова процедур (RPC) управляет базой данных службы RPC-имен. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию служба выключена.

Имя системной службы: RpcLocator

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение NetBIOS-имен	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

Примечание. В службах локатора удаленного вызова процедур (RPC) используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Уведомления внешнего хранилища

Системная служба уведомлений внешнего хранилища уведомляет пользователей, если файл, чтение или запись которого выполняется, доступен только на вспомогательном носителе. Если служба остановлена, отправка уведомлений прекращается.

Имя системной службы: Remote_Storage_User_Link

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Сервер внешнего хранилища

С помощью системной службы сервера внешнего хранилища редко используемые файлы хранятся на дополнительном носителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.

Имя системной службы: Remote_Storage_Server

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Маршрутизация и удаленный доступ

Служба маршрутизации и удаленного доступа обеспечивает многопротокольные функции маршрутизации типа "локальная сеть — локальная сеть", "локальная сеть — глобальная сеть", VPN и трансляция сетевых адресов (NAT). а также функции подключения удаленного доступа и удаленного доступа по сети VPN. Служба может использовать все перечисленные ниже протоколы, однако часто ограничивается только некоторыми из них. Например, если под защитой осуществляющего фильтрацию маршрутизатора настроен шлюз виртуальной частной сети, то, как правило, применяется только одна технология. Если используется протокол L2TP с безопасностью IPSec, необходимо разрешить протоколам IPSec ESP (50, протокол IP), NAT-T (UDP на порте 4500) и IPSec ISAKMP (UDP на порте 500) проходить через маршрутизатор.

Примечание. Протоколы NAT-T и IPSec ISAKMP необходимы L2TP, но, как правило, контролируются локальным администратором безопасности. Для получения дополнительных сведений см. раздел "Ссылки" данной статьи.

Имя системной службы: RemoteAccess

Прикладной протокол	Протокол	Порты
GRE (47, протокол IP)	GRE	Н/Д
IPSec AH (51, протокол IP)	AH	Н/Д
IPSec ESP (50, протокол IP)	ESP	Н/Д
L2TP	UDP	1701
PPTP	TCP	1723

Сервер

Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.

Примечание. Если имя компьютера разрешается в несколько IP-адресов при использовании службы WINS или в результате сбоя этой службы имя компьютера разрешается при помощи DNS, то NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 130 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 (протокол Интернета версии 6) не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.

Имя системной службы: lanmanserver

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

SharePoint Portal Server

Системная служба SharePoint Portal Server позволяет разработать портал со встроенной логикой для объединения пользователей, групп и знаний с целью использования важных данных в разных бизнес-процессах. Microsoft SharePoint Portal Server 2003 представляет собой приложение, которое объединяет данные из разных систем в одном решении путем применения функций единого входа в систему и интеграции приложений предприятия.

Прикладной протокол	Протокол	Порты
HTTP	TCP	80
HTTPS	TCP	443

Протокол SMTP (Simple Mail Transfer Protocol)

Системная служба протокола SMTP — это агент отправки и пересылки электронной почты. Она принимает и ставит в очередь почтовые сообщения для удаленных получателей, а также через определенные интервалы времени повторяет попытки отправки. Контроллеры домена Windows используют службу SMTP для межузловой репликации с помощью электронной почты. Объекты совместной работы (Collaboration Data Object, CDO) для компонента СОМ из состава Windows Server 2003 с помощью службы SMTP передают и ставят в очередь исходящие почтовые сообщения.

Имя системной службы: SMTPSVC

Прикладной протокол	Протокол	Порты
SMTP	TCP	25

Простые службы TCP/IP

Простые службы TCP/IP обеспечивают поддержку следующих протоколов:

• Echo, порт 7, спецификация RFC 862
• Discard, порт 9, спецификация RFC 863
• Character Generator, порт 19, спецификация RFC 864
• Daytime, порт 13, спецификация RFC 867
• Quote of the Day, порт 17, спецификация RFC 865

Имя системной службы: SimpTcp

Прикладной протокол	Протокол	Порты
Chargen	TCP	19
Chargen	UDP	19
Daytime	TCP	13
Daytime	UDP	13
Discard	TCP	9
Discard	UDP	9
Echo	TCP	7
Echo	UDP	7
Quotd	TCP	17
Quoted	UDP	17

Агент удаленного управления SMS

Агент удаленного управления SMS — это системная служба из состава Microsoft Systems Management Server (SMS) 2003, которая обеспечивает комплексный подход к изменению и управлению конфигурацией операционных систем корпорации Майкрософт. Это позволяет организациям распространять среди пользователей необходимые обновления и программное обеспечение.

Имя системной службы: Wuser32

Прикладной протокол	Протокол	Порты
SMS Remote Chat	TCP	2703
SMS Remote Chat	UDP	2703
SMS Remote Control (управление)	TCP	2701
SMS Remote Control (управление)	UDP	2701
SMS Remote Control (данные)	TCP	2702
SMS Remote Control (данные)	UDP	2702
SMS Remote File Transfer	TCP	2704
SMS Remote File Transfer	UDP	2704

Служба SNMP

Служба SNMP позволяет локальному компьютеру обрабатывать входящие запросы по протоколу SNMP (Simple Network Management Protocol). Включает в себя агенты, осуществляющие мониторинг работы сетевых устройств и сообщающих результаты на рабочую станцию сетевой консоли. Служба SNMP предназначена для управления узлами сети (например, рабочими станциями, серверами, маршрутизаторами, мостами и концентраторами) с компьютера, на котором запущено соответствующее программное обеспечение. Для выполнения своих функций служба SNMP использует распределенную модель агентов и систем управления.

Имя системной службы: SNMP

Прикладной протокол	Протокол	Порты
SNMP	UDP	161

Служба ловушек SNMP

Служба ловушек SNMP принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP, и пересылает их программам управления SNMP, запущенным на этом компьютере. Если служба настроена для агента, она создает сообщения перехвата, когда происходит определенное событие. Такие сообщения отправляются по адресу назначения ловушки. Например, агент может инициировать ловушку проверки подлинности, если нераспознанная система управления отправляет запрос на получение данных. Адресом назначения ловушки может быть имя компьютера, IP-адрес или адрес IPX (Internetwork Packet Exchange) системы управления; на таком узле должна быть запущена программа управления SNMP и обеспечена поддержка работы в сети.

Имя системной службы: SNMPTRAP

Прикладной протокол	Протокол	Порты
SNMP Traps Outbound	UDP	162

Сервер анализа SQL

Системная служба сервера анализа SQL является компонентом SQL Server 2000, с помощью которого производится создание и управление кубами OLAP и моделями проходки данных. При создании и сохранении кубов или моделей проходки данных сервер анализа может получать доступ к локальным и удаленным источникам данных.

Прикладной протокол	Протокол	Порты
SQL Analysis Services	TCP	2725

SQL Server: поддержка клиентов OLAP нижнего уровня

Эта системная служба применяется SQL Server 2000 в том случае, если серверу анализа SQL необходимо поддерживать подключения от клиентов нижнего уровня (OLAP Services 7.0). Это стандартные порты для служб OLAP, которые используются SQL 7.0.

Прикладной протокол	Протокол	Порты
OLAP Services 7.0	TCP	2393
OLAP Services 7.0	TCP	2394

Служба обнаружения SSDP

Служба обнаружения SSDP реализует протокол SSDP (Simple Service Discovery Protocol) в качестве службы Windows. Служба принимает извещения о присутствии устройств, обновляет свой кэш и передает эти извещения клиентам с невыполненными запросами поиска. Кроме того, она регистрирует обратные вызовы событий от клиентов, преобразует их в запросы подписки и осуществляет мониторинг уведомлений о событиях, а затем пересылает эти запросы зарегистрированным обратным вызовам. Служба обеспечивает устройства периодическими объявлениями. На данный момент служба уведомления о событиях SSDP использует порт 5000 TCP, начиная со следующего пакета обновления для Windows XP планируется заменить его портом 2869 TCP.

Примечание. На момент написания статьи последним является пакет обновления 1 (SP1).

Имя системной службы: SSDPRSR

Прикладной протокол	Протокол	Порты
SSDP	UDP	1900
Уведомление о событиях SSDP	TCP	2869
Уведомление о событиях SSDP (традиционный)	TCP	5000

Systems Management Server 2.0

Сервер Microsoft Systems Management Server (SMS) 2003 обеспечивает комплексный подход к изменению и управлению конфигурацией операционных систем корпорации Майкрософт. Это позволяет организациям быстро и эффективно распространять обновления и программное обеспечение среди пользователей.

Прикладной протокол	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
RPC	TCP	135
SMB	TCP	445
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Сервер печати TCP/IP

Системная служба сервера печати TCP/IP позволяет производить печать TCP/IP путем использования протокола LPD (Line Printer Daemon). Служба LPD на сервере получает документы от программ LPR (Line Printer Remote), запущенных на компьютерах под управлением операционных систем UNIX.

Имя системной службы: LPDSVC

Прикладной протокол	Протокол	Порты
LPD	TCP	515

Telnet

Системная служба Telnet для Windows используется клиентами для проведения сеансов терминального доступа в формате ASCII. Сервер Telnet поддерживает два вида проверки подлинности, а также следующие типы терминалов:

American National Standards Institute (ANSI)
VT-100
VT-52
VTNT

Имя системной службы: TlntSvr

Прикладной протокол	Протокол	Порты
Telnet	TCP	23

Службы терминалов

Службы терминалов обеспечивают многосеансовую среду для доступа клиентов к сеансам виртуального рабочего стола Windows и программам Windows, запущенным на сервере. Службы терминалов позволяют интерактивно подключиться к компьютеру нескольким пользователям.

Имя системной службы: TermService

Прикладной протокол	Протокол	Порты
Службы терминалов	TCP	3389

Лицензирование служб терминалов

Системная служба лицензирования служб терминалов производит установку сервера лицензий и предоставляет лицензии зарегистрированным пользователям, которые подключаются к серверу служб терминалов. Лицензирование служб терминалов — это не требующая больших затрат ресурсов служба, которая хранит выпущенные для сервера терминалов клиентские лицензии, а затем отслеживает лицензии, выданные клиентским компьютерам или терминалам.

Имя системной службы: TermServLicensing

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²
Служба датаграмм NetBIOS	UDP	138
Разрешение NetBIOS-имен	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Примечание. В службе лицензирования служб терминалов используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент "Общий доступ к файлам и принтерам".

Каталог сеанса служб терминалов

Системная служба каталога сеанса служб терминалов позволяет кластерам серверов терминалов с балансировкой нагрузки правильно направлять пользовательский запрос на подключение серверу, на котором уже выполняется пользовательский сеанс. Пользователь направляется на первый доступный сервер терминалов независимо от того, запустил ли он уже другой сеанс в кластере серверов. С помощью сетевого протокола TCP/IP балансировка сетевой нагрузки производит объединение в общем пуле вычислительных мощностей нескольких серверов. Служба может быть использована в кластере серверов терминалов для повышения производительности отдельного сервера путем распределения сеанса между несколькими серверами. Служба каталога сеанса служб терминалов отслеживает отключенные сеансы в кластере и обеспечивает повторное подключение пользователей к этим сеансам.

Имя системной службы: Tssdis

Прикладной протокол	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	произвольный номер порта в диапазоне 1024 – 65535 произвольный номер порта в диапазоне 49152 – 65535²

¹ Дополнительные сведения о настройке этого порта см. в разделе "Удаленный вызов процедур и модель DCOM" раздела "Ссылки".
² Этот диапазон используется в системах Windows Server 2008 и Windows Vista.

Упрощенный FTP-демон

Системная служба упрощенного FTP-демона не требует имени пользователя и пароля и является неотъемлемой частью служб удаленной установки (RIS). Служба обеспечивает поддержку протокола TFTP (Trivial FTP Protocol), который определен в следующих спецификациях RFC:

RFC 1350 — TFTP
RFC 2347 – Option extension
RFC 2348 – Block size option
RFC 2349 – Timeout interval, and transfer size options

TFTP представляет собой протокол передачи файлов, предназначенный для поддержки бездисковой среды загрузки. Служба TFTP прослушивает порт 69 UDP, но отвечает с произвольно назначенного порта с большим номером. Таким образом, когда порт включен, служба TFTP может принимать входящие TFTP-запросы, но не отвечать на них. Служба может ответить на любой из таких запросов с произвольного порта источника, а удаленный клиент затем использует этот порт на протяжении сеанса передачи данных. Обмен данными носит двунаправленный характер. Чтобы протокол смог функционировать через брандмауэр, необходимо открыть порт 69 UDP для приема входящего трафика. После этого настройте брандмауэр таким образом, чтобы он динамически разрешал службе отвечать на запросы, временно открывая любой другой порт.

Имя системной службы: tftpd

Прикладной протокол	Протокол	Порты
TFTP	UDP	69

Узел универсальных устройств Plug and Play

Системная служба узла универсальных устройств Plug and Play содержит все компоненты, необходимые для регистрации и управления устройствами, а также ответа на события, связанные с обслуживаемыми устройствами. Зарегистрированные сведения об устройстве (описание, время жизни, контейнеры) могут быть сохранены на диске и объявляются в сети (после регистрации или перезагрузки операционной системы). В дополнение к описаниям служб и странице представления служба содержит веб-сервер, который обслуживает устройство.

Имя системной службы: UPNPHost

Прикладной протокол	Протокол	Порты
UPNP	TCP	2869

Windows Internet Name Service (WINS)

Служба WINS предназначена для разрешения имен NetBIOS. Она позволяет обнаруживать сетевые ресурсы по именам NetBIOS. Использование серверов WINS обязательно, кроме случаев, когда во всех доменах установлена служба каталогов Active Directory и все компьютеры сети находятся под управлением Windows 2000 или более поздней версии. Серверы WINS обмениваются данными с клиентами сети с помощью разрешения имен NetBIOS. Репликация WINS требуется только между серверами WINS.

Имя системной службы: Служба WINS

Прикладной протокол	Протокол	Порты
Разрешение имен NetBIOS	UDP	137
Репликация WINS	TCP	42
Репликация WINS	UDP	42

Службы Windows Media

В Windows Server 2003 службы Windows Media заменяют следующие компоненты служб Windows Media версий 4.0 и 4.1:

Windows Media Monitor Service
Windows Media Program Service
Windows Media Station Service
Windows Media Unicast Service

На данный момент в составе Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition и Windows Server 2003 Datacenter Edition службы Windows Media являются единой службой. Ее основные компоненты были разработаны с помощью модели СОМ. Гибкая архитектура службы позволяет настраивать ее для отдельных программ. Служба поддерживает большое количество протоколов, включая RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) и НТТР.

Имя системной службы: WMServer

Прикладной протокол	Протокол	Порты
HTTP	TCP	80
MMS	TCP	1755
MMS	UDP	1755
MS Theater	UDP	2460
RTCP	UDP	5005
RTP	UDP	5004
RTSP	TCP	554

Служба времени Windows

Системная служба времени Windows обеспечивает синхронизацию времени и даты на компьютерах под управлением Windows XP и Windows Server 2003 в составе сети. Синхронизация часов компьютеров с помощью протокола NTP (Network Time Protocol) позволяет назначать запросам на проверку подлинности в сети и получение доступа к ресурсам точное значение (штамп) времени. Протокол NTP и интеграция поставщиков времени делают службу времени Windows надежной и масштабируемой. На компьютере, который не входит в состав домена, службу времени можно настроить на проведение синхронизации с внешним источником времени. Если служба отключена, время на локальном компьютере не синхронизируется со службой времени в домене Windows или внешней службой времени. В Windows Server 2003 используется протокол NTP (порт 123 UDP), а в Windows 2000 — протокол SNTP (Simple Network Time Protocol) (также на порте 123 UDP).

Если в службе времени Windows используется конфигурация домена Windows, для работы службы требуются локатор контроллера домена и службы проверки подлинности. Таким образом, требуются порты для протоколов Kerberos и DNS.

Имя системной службы: W32Time

Прикладной протокол	Протокол	Порты
NTP	UDP	123
SNTP	UDP	123

Служба веб-публикации

Служба веб-публикации обеспечивает инфраструктуру, которая необходима для регистрации, управления, мониторинга и обслуживания веб-узлов и программ, зарегистрированных на сервере IIS. В состав службы входит диспетчер процессов и диспетчер конфигурации. Диспетчер процессов управляет процессами пользовательских приложений и веб-узлов. Диспетчер конфигурации считывает сохраненную системную конфигурацию службы веб-публикации и обеспечивает маршрутизацию НТТР-запросов соответствующему пулу приложений или процессу операционной системы с помощью параметров файла Http.sys. Порты ожидания для службы можно настроить с помощью диспетчера служб IIS. Если включен административный веб-узел, то создается виртуальный веб-узел, который использует трафик НТТР на порте 8098 ТСР.

Имя системной службы: W3SVC

Прикладной протокол	Протокол	Порты
HTTP	TCP	80
HTTPS	TCP	443

Порты и протоколы

В приведенной ниже таблице обобщаются сведения раздела Порты системных служб. Таблица отсортирована по номерам портов, а не названиям служб.

Порт	Протокол	Прикладной протокол	Имя системной службы
Н/Д	GRE	GRE (47, протокол IP)	Маршрутизация и удаленный доступ
Н/Д	ESP	IPSec ESP (50, протокол IP)	Маршрутизация и удаленный доступ
Н/Д	AH	IPSec AH (51, протокол IP)	Маршрутизация и удаленный доступ
7	TCP	Echo	Простые службы TCP/IP
7	UDP	Echo	Простые службы TCP/IP
9	TCP	Discard	Простые службы TCP/IP
9	UDP	Discard	Простые службы TCP/IP
13	TCP	Daytime	Простые службы TCP/IP
13	UDP	Daytime	Простые службы TCP/IP
17	TCP	Quotd	Простые службы TCP/IP
17	UDP	Quotd	Простые службы TCP/IP
19	TCP	Chargen	Простые службы TCP/IP
19	UDP	Chargen	Простые службы TCP/IP
20	TCP	Данные по умолчанию FTP	Служба публикации FTP
21	TCP	Управление FTP	Служба публикации FTP
21	TCP	Управление FTP	Служба шлюза уровня приложения
23	TCP	Telnet	Telnet
25	TCP	SMTP	Протокол Simple Mail Transfer Protocol
25	TCP	SMTP	Exchange Server
42	TCP	Репликация WINS	Служба Windows Internet Name Service
42	UDP	Репликация WINS	Служба Windows Internet Name Service
53	TCP	DNS	DNS-сервер
53	UDP	DNS	DNS-сервер
53	TCP	DNS	Общий доступ к подключению Интернета/брандмауэр подключения к Интернету
53	UDP	DNS	Общий доступ к подключению Интернета/брандмауэр подключения к Интернету
67	UDP	DHCP-сервер	DHCP-сервер
67	UDP	DHCP-сервер	Общий доступ к подключению Интернета/брандмауэр подключения к Интернету
69	UDP	TFTP	Служба упрощенного FTP-демона
80	TCP	HTTP	Службы Windows Media
80	TCP	HTTP	Служба веб-публикации
80	TCP	HTTP	SharePoint Portal Server
88	TCP	Kerberos;	Центр распространения ключей Kerberos
88	UDP	Kerberos;	Центр распространения ключей Kerberos
102	TCP	X.400	Стеки пересылки сообщений Microsoft Exchange
110	TCP	POP3	Служба Microsoft POP3
110	TCP	POP3	Exchange Server
119	TCP	NNTP	Протокол Network News Transfer Protocol
123	UDP	NTP	Служба времени Windows
123	UDP	SNTP	Служба времени Windows
135	TCP	RPC	Очередь сообщений
135	TCP	RPC	Удаленный вызов процедур
135	TCP	RPC	Exchange Server
135	TCP	RPC	Службы сертификации
135	TCP	RPC	Служба кластера
135	TCP	RPC	Распределенная файловая система
135	TCP	RPC	Отслеживание изменившихся связей
135	TCP	RPC	Координатор распределенных транзакций
135	TCP	RPC	Служба репликации распределенных файлов
135	TCP	RPC	Служба факсов
135	TCP	RPC	Microsoft Exchange Server
135	TCP	RPC	Служба репликации файлов
135	TCP	RPC	Групповая политика
135	TCP	RPC	Локальный администратор безопасности
135	TCP	RPC	Уведомления внешнего хранилища
135	TCP	RPC	Сервер внешнего хранилища
135	TCP	RPC	Systems Management Server 2.0
135	TCP	RPC	Лицензирование служб терминалов
135	TCP	RPC	Каталог сеанса служб терминалов
137	UDP	Разрешение имен NetBIOS	Обозреватель компьютеров
137	UDP	Разрешение имен NetBIOS	имя_сервера
137	UDP	Разрешение имен NetBIOS	Служба Windows Internet Name Service
137	UDP	Разрешение имен NetBIOS	Net Logon
137	UDP	Разрешение имен NetBIOS	Systems Management Server 2.0
138	UDP	Служба датаграмм NetBIOS	Обозреватель компьютеров
138	UDP	Служба датаграмм NetBIOS	Messenger
138	UDP	Служба датаграмм NetBIOS	имя_сервера
138	UDP	Служба датаграмм NetBIOS	Net Logon
138	UDP	Служба датаграмм NetBIOS	Распределенная файловая система
138	UDP	Служба датаграмм NetBIOS	Systems Management Server 2.0
138	UDP	Служба датаграмм NetBIOS	Служба учета лицензий
139	TCP	Служба сеансов NetBIOS	Обозреватель компьютеров
139	TCP	Служба сеансов NetBIOS	Служба факсов
139	TCP	Служба сеансов NetBIOS	Журналы и оповещения производительности
139	TCP	Служба сеансов NetBIOS	Диспетчер очереди печати
139	TCP	Служба сеансов NetBIOS	имя_сервера
139	TCP	Служба сеансов NetBIOS	Net Logon
139	TCP	Служба сеансов NetBIOS	Локатор удаленного вызова процедур
139	TCP	Служба сеансов NetBIOS	Распределенная файловая система
139	TCP	Служба сеансов NetBIOS	Systems Management Server 2.0
139	TCP	Служба сеансов NetBIOS	Служба учета лицензий
143	TCP	IMAP	Exchange Server
161	UDP	SNMP	Служба SNMP
162	UDP	SNMP Traps Outbound	Служба ловушек SNMP
389	TCP	Сервер LDAP	Локальный администратор безопасности
389	UDP	Локатор контроллеров домена	Локальный администратор безопасности
389	TCP	Сервер LDAP	Распределенная файловая система
389	UDP	Локатор контроллеров домена	Распределенная файловая система
389	UDP	Локатор контроллеров домена	Netlogon
389	UDP	Локатор контроллеров домена	Центр распространения ключей Kerberos
443	TCP	HTTPS	HTTP SSL
443	TCP	HTTPS	Служба веб-публикации
443	TCP	HTTPS	SharePoint Portal Server
443	TCP	RPC по HTTPS	Exchange Server 2003
445	TCP	SMB	Служба факсов
445	TCP	SMB	Диспетчер очереди печати
445	TCP	SMB	имя_сервера
445	TCP	SMB	Локатор удаленного вызова процедур
445	TCP	SMB	Распределенная файловая система
445	TCP	SMB	Служба учета лицензий
445	TCP	SMB	Net Logon
464	UDP	Пароль Kerberos версии 5	Центр распространения ключей Kerberos
464	TCP	Пароль Kerberos версии 5	Центр распространения ключей Kerberos
500	UDP	IPsec ISAKMP	Локальный администратор безопасности
515	TCP	LPD	Сервер печати TCP/IP
548	TCP	Файловый сервер для Macintosh	Файловый сервер для Macintosh
554	TCP	RTSP	Службы Windows Media
563	TCP	NNTP по SSL	Протокол Network News Transfer Protocol
593	TCP	Служба отображения конечных точек RPC по HTTPS	Удаленный вызов процедур
593	TCP	RPC по HTTPS	Exchange Server
636	TCP	LDAP SSL	Локальный администратор безопасности
636	UDP	LDAP SSL	Локальный администратор безопасности
993	TCP	IMAP по SSL	Exchange Server
995	TCP	POP3 по SSL	Exchange Server
1067	TCP	Служба Installation Bootstrap Service	Сервер протокола Installation Bootstrap
1068	TCP	Служба Installation Bootstrap Service	Клиент протокола Installation Bootstrap
1270	TCP	MOM-Encrypted	Microsoft Operations Manager 2000
1433	TCP	SQL по TCP	Microsoft SQL Server
1433	TCP	SQL по TCP	MSSQL$UDDI
1434	UDP	SQL Probe	Microsoft SQL Server
1434	UDP	SQL Probe	MSSQL$UDDI
1645	UDP	Традиционный RADIUS	Служба проверки подлинности в Интернете
1646	UDP	Традиционный RADIUS	Служба проверки подлинности в Интернете
1701	UDP	L2TP	Маршрутизация и удаленный доступ
1723	TCP	PPTP	Маршрутизация и удаленный доступ
1755	TCP	MMS	Службы Windows Media
1755	UDP	MMS	Службы Windows Media
1801	TCP	MSMQ	Очередь сообщений
1801	UDP	MSMQ	Очередь сообщений
1812	UDP	Проверка подлинности RADIUS	Служба проверки подлинности в Интернете
1813	UDP	Учет RADIUS	Служба проверки подлинности в Интернете
1900	UDP	SSDP	Служба обнаружения SSDP
2101	TCP	MSMQ-DCs	Очередь сообщений
2103	TCP	MSMQ-RPC	Очередь сообщений
2105	TCP	MSMQ-RPC	Очередь сообщений
2107	TCP	MSMQ-Mgmt	Очередь сообщений
2393	TCP	OLAP Services 7.0	SQL Server: поддержка клиентов OLAP нижнего уровня
2394	TCP	OLAP Services 7.0	SQL Server: поддержка клиентов OLAP нижнего уровня
2460	UDP	MS Theater	Службы Windows Media
2535	UDP	MADCAP	DHCP-сервер
2701	TCP	SMS Remote Control (управление)	Агент удаленного управления SMS
2701	UDP	SMS Remote Control (управление)	Агент удаленного управления SMS
2702	TCP	SMS Remote Control (данные)	Агент удаленного управления SMS
2702	UDP	SMS Remote Control (данные)	Агент удаленного управления SMS
2703	TCP	SMS Remote Chat	Агент удаленного управления SMS
2703	UPD	SMS Remote Chat	Агент удаленного управления SMS
2704	TCP	SMS Remote File Transfer	Агент удаленного управления SMS
2704	UDP	SMS Remote File Transfer	Агент удаленного управления SMS
2725	TCP	SQL Analysis Services	Сервер анализа SQL
2869	TCP	UPNP	Узел универсальных устройств Plug and Play
2869	TCP	Уведомление о событиях SSDP	Служба обнаружения SSDP
3268	TCP	Сервер глобального каталога	Локальный администратор безопасности
3269	TCP	Сервер глобального каталога	Локальный администратор безопасности
3343	UDP	Служба кластера	Служба кластера
3389	TCP	Службы терминалов	Средство управления удаленным рабочим столом NetMeeting
3389	TCP	Службы терминалов	Службы терминалов
3527	UDP	MSMQ-Ping	Очередь сообщений
4011	UDP	BINL	Удаленная установка
4500	UDP	NAT-T	Локальный администратор безопасности
5000	TCP	Уведомление о событиях SSDP (традиционный)	Служба обнаружения SSDP
5004	UDP	RTP	Службы Windows Media
5005	UDP	RTCP	Службы Windows Media
5722	TCP	RPC	Репликация распределенной файловой системы
6001	TCP	Служба банка сообщений	Exchange Server 2003
6002	TCP	Directory Referral	Exchange Server 2003
6004	TCP	DSProxy/NSPI	Exchange Server 2003
42424	TCP	Состояние сеанса ASP.NET	Служба состояния сеанса ASP.NET
51515	TCP	MOM-Clear	Microsoft Operations Manager 2000
1024-65535	TCP	RPC	Произвольно назначенные порты TCP с большими номерами

Примечание. Порт 5722 используется только на контроллере домена 2008 или 2008R2.

Часть этих сведений в формате книги Microsoft Excel можно загрузить с веб-сайта Центра загрузки Майкрософт:

Порты и протоколы, необходимые для функционирования Active Directory

Серверам приложений, клиентским компьютерам и контроллерам домена, которые расположены в одном лесу или во внешних лесах, для правильного выполнения начатых пользователями или компьютерами операций (например, подключение к домену, проверка подлинности на входе, удаленное администрирование и репликация Active Directory) необходимы соответствующие службы. Эти службы и операции используют сетевые подключения по определенным портам и сетевым протоколам.

Представленный ниже список обобщает, но этим не исчерпывается, службы, порты и протоколы, которые позволяют локальным компьютерам и контроллерам домена взаимодействовать друг с другом и серверам приложений — получать доступ к Active Directory.

Службы, которые требуются для служб Active Directory

• Active Directory/LSA
• Обозреватель компьютеров
• Распределенная файловая система
• Служба репликации файлов
• Центр распространения ключей Kerberos
• Net Logon
• Удаленный вызов процедур (RPC)
• Сервер
• Протокол SMTP (в случае соответствующей настройки)
• WINS (в Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версиях для резервных репликаций Active Directory, если служба DNS не работает)
• Служба времени Windows
• Служба веб-публикации

Службы, для которых требуются службы Active Directory

• Службы сертификации (нужны в системах с определенной конфигурацией)
• DHCP-сервер (в случае соответствующей настройки)
• Распределенная файловая система
• Сервер отслеживания изменившихся связей (необязательно; на компьютерах под управлением Windows 2000 включен по умолчанию)
• Координатор распределенных транзакций
• DNS-сервер (в случае соответствующей настройки)
• Служба факсов (в случае соответствующей настройки)
• Служба репликации файлов
• Файловый сервер для Macintosh (в случае соответствующей настройки)
• Служба проверки подлинности в Интернете (в случае соответствующей настройки)
• Учет лицензий (включен по умолчанию)
• Сетевой вход в систему
• Диспетчер очереди печати
• Удаленная установка (в случае соответствующей настройки)
• Локатор удаленного вызова процедур (RPC)
• Уведомления внешнего хранилища
• Сервер внешнего хранилища
• Маршрутизация и удаленный доступ
• имя_сервера
• Протокол Simple Mail Transfer Protocol (SMTP) (в случае соответствующей настройки)
• Службы терминалов
• Лицензирование служб терминалов
• Каталог сеанса служб терминалов

Общие сведения

Для получения дополнительных сведений об обеспечении безопасности Windows Server, а также для ознакомления с примерами фильтров IPSec для отдельных ролей сервера см. соответствующий документ "Руководство по безопасности". Просмотреть или загрузить эти руководства можно на следующем веб-сайте Майкрософт:

http://technet.microsoft.com/ru-ru/library/cc163140.aspx

Для получения дополнительных сведений о службах операционной системы, параметрах безопасности и фильтрации IPSec см. документ "Руководство по угрозам безопасности и методы противодействия". Чтобы просмотреть это руководство для Windows Server 2008 или Windows Vista, посетите веб-сайт корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/dd349791(WS.10).aspx

Чтобы просмотреть это руководство для Windows Server 2003 или Windows XP, посетите веб-сайт корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/dd162275.aspx

Для получения дополнительных сведений о назначении основных портов щелкните следующий номер статьи базы знаний Майкрософт:

174904 Сведения о назначении портов TCP/IP

Кроме того, см. "Appendix B – Port Reference for MS TCP/IP" (Приложение В. Справочник портов MS TCP/IP) из состава Microsoft Windows NT 4.0 Resource Kit на веб-сайте корпорации Майкрософт по адресу:

http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/net/port_nts.mspx

См. документ "TCP and UDP Port Assignments" (Назначение портов TCP и UDP) из состава Windows 2000 Server Resource Kit на следующем веб-сайте корпорации Майкрософт:

http://technet.microsoft.com/ru-ru/library/cc977599.aspx

См. документ "Назначения портов и номера протоколов" из наборов ресурсов Windows 2000. Для этого посетите веб-сайт корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/cc959834.aspx

Использование основных портов координируется агентством IANA (Internet Assigned Numbers Authority). Схему назначения портов TCP/IP см. на веб-узле агентства по следующему адресу:

http://www.iana.org/assignments/port-numbers

Удаленный вызов процедур и модель DCOM

Для получения дополнительных сведений о DCOM см. документ "Using Distributed COM with Firewalls" (Использование модели DCOM с брандмауэром) Для этого посетите веб-сайт корпорации Майкрософт по адресу:

http://msdn.microsoft.com/ru-ru/library/ms809327.aspx

Для ознакомления с подробным описанием RPC посетите веб-сайт корпорации Майкрософт по адресу:

http://msdn.microsoft.com/ru-ru/library/ms950395.aspx

Для получения дополнительных сведений о настройке удаленного вызова процедур для взаимодействия с брандмауэром щелкните следующий номер статьи базы знаний Майкрософт:

154596 Настройка динамического назначения портов удаленного вызова процедур для взаимодействия с брандмауэром.

Дополнительные сведения о протоколе RPC и инициализации компьютеров под управлением Windows 2000 см. в техническом документе "Анализ трафика во время загрузки и входа в систему Windows 2000". Для этого посетите веб-узел корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/bb742590.aspx

Контроллеры доменов и Active Directory

Для получения дополнительных сведений об ограничении трафика репликации Active Directory и входа клиентов в систему щелкните следующий номер статьи базы знаний Майкрософт:

224196 Назначение порта для трафика репликации Active Directory и клиентского трафика RPC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Описание взаимосвязи между агентом системного каталога LDAP и локальной системой см. на веб-узле Майкрософт по следующему адресу:

http://msdn.microsoft.com/ru-ru/library/ms675902(VS.85).aspx .

Дополнительные сведения о работе LDAP и глобального каталога в Windows 2000 см. на веб-узле Майкрософт по следующему адресу:

http://technet.microsoft.com/ru-ru/library/cc737410(WS.10).aspx .

Сервер Exchange Server

Для получения дополнительных сведений об ограничении трафика MAPI в Exchange 2000 Server и Exchange Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:

270836 Статическое сопоставление портов для Exchange Server

Для получения дополнительных сведений о сетевых портах и протоколах, поддержка которых реализована в Exchange 2000 Server, щелкните следующий номер статьи базы знаний Майкрософт:

278339 XGEN: Порты TCP/UDP, которые используются сервером Exchange 2000 Server

Для получения дополнительных сведений о портах, которые используются Exchange Server 5.5 и серверами Exchange более ранних версий, щелкните следующий номер статьи базы знаний Майкрософт:

176466 Подробное описание портов TCP и Microsoft Exchange (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

В зависимости от среды может потребоваться принять во внимание дополнительные компоненты. Чтобы получить более подробные сведения и справку о планировании развертывания сервера Exchange, посетите указанные ниже веб-сайты корпорации Майкрософт.

Дополнительные сведения о сервере Exchange Server 2007 см. на веб-сайте корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/bb124558.aspx

Дополнительные сведения о сервере Exchange Server 2003, см. на веб-сайте корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/bb123872(EXCHG.65).aspx

Для получения дополнительных сведений щелкните следующие номера статьей базы знаний Майкрософт:

280132 Как настроить параметры сети для обмена данными между компьютерами под управлением Windows 2000 и серверами Exchange 2000 при наличии межсетевого экрана

282446 Настройка DSProxy с учетом использования статических портов на кластере Exchange (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

827330 Устранение неполадок, возникающих в Office Outlook 2003 при использовании подключений RPC по протоколу HTTP

831051 Использование программы RPC Ping для устранения неполадок, связанных с установкой подключений компонентом «Exchange через Интернет» в Outlook 2007 и Outlook 2003

833401 Настройка удаленного вызова процедур (RPC) для работы по протоколу HTTP при использовании одного сервера Exchange Server 2003

Кроме того, посетите веб-сайт Microsoft TechNet:

http://technet.microsoft.com/ru-ru/library/cc179036.aspx

Служба репликации файлов

Для получения дополнительных сведений о настройке службы FRS для взаимодействия с брандмауэром щелкните следующий номер статьи базы знаний Майкрософт:

319553 Назначение статического порта для передачи трафика FRS

Служба репликации распределенных файлов

Служба репликации распределенных файлов включает запускаемое из командной строки средство Dfsrdiag.exe. С помощью Dfsrdiag.exe можно устанавливать порт сервера RPC, используемый для администрирования и репликации. Пример использования Dfsrdiag.exe для установки порта сервера RPC:

dfsrdiag StaticRPC /port:nnnnn /Member:Branch01.sales.contoso.com

В этом примере nnnnn — один статический порт RPC, используемый DFSR для репликации.Branch01.sales.contoso.com — DNS-имя или NetBIOS-имя компьютера назначения. Если компьютер не указан, Dfsrdiag.exe использует локальный компьютер.

службы IIS

Для получения дополнительных сведений о портах, которые используются службами IIS 4.0, IIS 5.0 и IIS 5.1, щелкните следующий номер статьи базы знаний Майкрософт:

327859 Службы, запущенные процессом Inetinfo, используют дополнительные порты (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Дополнительные сведения о протоколе FTP см. на веб-узле корпорации Майкрософт по следующему адресу:

http://technet.microsoft.com/ru-ru/library/cc771040(WS.10).aspx

Безопасность IPSec и виртуальные частные сети (VPN)

Для получения дополнительных сведений о настройке стандартных исключений IPSec в Windows щелкните следующий номер статьи базы знаний Майкрософт:

811832 В некоторых случаях стандартные исключения IPSec позволяют обойти защиту IPSec (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о портах и протоколах, которые используются безопасностью IPSec, щелкните следующий номер статьи базы знаний Майкрософт:

233256 Как разрешить пропускание трафика IPSec через брандмауэр (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о новых и обновленных функциях протокола L2TP и безопасности IPSec щелкните следующий номер статьи базы знаний Майкрософт:

818043 Обновление для функции NAT-T протоколов L2TP и IPSec в Windows XP и Windows 2000

Протокол динамического назначения группового адреса клиента (MADCAP)

Дополнительные сведения о планировании серверов MADCAP см. на следующем веб-узле корпорации Майкрософт:

http://technet.microsoft.com/ru-ru/library/cc776980(WS.10).aspx

Очередь сообщений

Для получения дополнительных сведений о портах, которые используются очередью сообщений (MSMQ), щелкните следующий номер статьи базы знаний Майкрософт:

178517 Порты TCP, UDP и RPC, которые используются очередью сообщений (MSMQ) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Mobile Information Server

Для получения дополнительных сведений о портах, которые используются Microsoft Mobile Information Server 2001, щелкните следующий номер статьи базы знаний Майкрософт:

294297 Порты TCP/IP, которые используются Microsoft Mobile Information Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Microsoft Operations Manager

Дополнительные сведения о планировании и развертывании приложения МОМ см. на веб-узле Майкрософт по следующему адресу:

http://technet.microsoft.com/ru-ru/opsmgr/default.aspx

Cервер Systems Management Server

Для получения дополнительных сведений о портах, которые используются SMS 2003, щелкните следующий номер статьи базы знаний Майкрософт:

826852 Порты, которые используются сервером Systems Management Server 2003 для обмена данными через брандмауэр или прокси-сервер (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о портах, которые используются SMS 2.0, щелкните следующий номер статьи базы знаний Майкрософт:

167128 Сетевые порты, которые используются службой удаленной справки (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о настройке сервера SMS для взаимодействия с брандмауэром щелкните следующий номер статьи базы знаний Майкрософт:

200898 Использование сервера Systems Management Server 2.0 через брандмауэр (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о портах, которые используются средствами удаленного управления из состава SMS 2.0, щелкните следующий номер статьи базы знаний Майкрософт:

256884 В пакете обновления 2 (SP2) для SMS 2.0 изменены TCP- и UDP-порты, используемые для удаленного управления (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

SQL Server

Для получения дополнительных сведений о том, как SQL Server 2000 динамически определяет порты для дополнительных экземпляров, щелкните следующий номер статьи базы знаний Майкрософт:

286303 Поведение сетевых библиотек SQL Server 2000 в процессе динамического определения портов (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для получения дополнительных сведений о портах, которые используются SQL Server 7.0 и SQL Server 2000 для технологии OLAP, щелкните следующий номер статьи базы знаний Майкрософт:

301901 порты TCP, которые используются службами OLAP при установке подключения через брандмауэр (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Службы терминалов

Для получения дополнительных сведений о настройке порта ожидания для служб терминалов щелкните следующий номер статьи базы знаний Майкрософт:

187623 Как переназначить ожидающий порт сервера терминалов

Контроль обмена данными через Интернет в Windows

Для получения дополнительных сведений о том, как Windows XP с пакетом обновления 1 (SP1) осуществляет обмен данными через Интернет, см. документ "Using Windows XP Professional with Service Pack 1 in a Managed Environment" (Использование Windows XP Professional с пакетом обновления 1 (SP1) в управляемой среде) Для этого посетите веб-узел корпорации Майкрософт по адресу:

http://technet.microsoft.com/ru-ru/library/bb490817.aspx

Дополнительные сведения о том, как Windows 2000 с пакетом обновления 4 (SP4) осуществляет обмен данными через Интернет, см. в документе "Использование Windows 2000 с пакетом обновления 4 (SP4) в управляемой среде". Для этого посетите веб-сайт корпорации Майкрософт по адресу:

http://www.microsoft.com/downloads/details.aspx?familyid=b27e5699-d9c9-4573-ae5b-5904d51a523a

Для получения дополнительных сведений о том, как Windows Server 2003 осуществляет обмен данными через Интернет, см. технический документ "Использование Windows Server 2003 в управляемой среде". Для этого посетите веб-сайт корпорации Майкрософт по адресу:

http://www.microsoft.com/downloads/details.aspx?FamilyID=D217E2FF-6871-404D-9931-C13AB669766F

Для получения дополнительных сведений о том, как Windows Server 2008 осуществляет обмен данными через Интернет, см. технический документ "Использование Windows Server 2008: управление защищенными подключением к Интернету". Для этого посетите веб-сайт корпорации Майкрософт по адресу:

http://www.microsoft.com/downloadS/details.aspx?familyid=89DDFD58-C6DB-4BE8-A7F4-9C326F967D45&displaylang=en