Порты, протоколы и службы Windows

В этой статье рассмотрены необходимые сетевые порты, протоколы и службы, которые используются в клиентских и серверных операционных системах Microsoft, а также в серверных программах и их компонентах. Сведения пригодятся системным администраторам и специалистам службы поддержки для определения портов и протоколов, необходимых для полноценной работы сервисов и приложений в сетях Microsoft Windows Server.

Главная цель — помочь в анализе и настройке сетевого окружения, особенно если сеть сегментирована или имеет дополнительные средства защиты (например, выделенные брандмауэры, фильтрующие маршрутизаторы, IPSec-фильтры). Правильная конфигурация портов обеспечивает беспрепятственную работу служб, но при этом сохраняет высокий уровень безопасности.

Изменения в динамических диапазонах портов по умолчанию

При настройке сетевых фильтров и брандмауэров важно учесть особенности динамически назначаемых портов, которые операционные системы Windows могут использовать для RPC и других служб.

• Windows Server 2008 и более поздние версии, Windows Vista и более поздние версии:
  Диапазон: с 49152 по 65535.
• Windows 2000, Windows XP и Windows Server 2003:
  Диапазон: с 1025 по 5000.

Это означает, что в зависимости от набора операционных систем в вашей сети могут потребоваться различные настройки брандмауэра и маршрутизатора:

• Только Windows Server 2012 или более поздние версии: разрешаем диапазон портов 49152–65535.
• Windows Server 2012/Windows Vista и более новые системы вместе с более старыми системами (Windows XP, Windows Server 2003): необходимо разрешить оба диапазона: 49152–65535 и 1025–5000.
• Только более ранние версии Windows (до Windows Server 2008 и Windows Vista): достаточно открыть 1025–5000.

Сфера применения и назначение статьи

Операционная система Windows Server обладает комплексной инфраструктурой, удовлетворя потребности разработчиков ПО и ИТ-специалистов. Ее компоненты позволяют оперативно обрабатывать, анализировать и передавать информацию в распределенных сетях. При этом серверы, рабочие станции и серверные приложения Microsoft используют различные сетевые порты и протоколы для обмена данными. Но если какой-то порт или протокол заблокирован на уровне брандмауэра или IPSec, сервер не сможет отвечать на запросы.

Ниже приводятся:

1. Раздел «Порты системных служб»:
   • Кратко описывает каждую службу и ее назначение.
   • Приводит логическое имя службы.
   • Перечисляет порты и протоколы, необходимые для нормальной работы.
2. Раздел «Порты и протоколы»:
   • Обобщает сведения из «Портов системных служб» в виде таблицы, отсортированной по номеру порта.
   • Позволяет быстро определить, какие службы прослушивают определенный порт.

Также статья описывает базовые термины «системные службы», «протокол приложения», «протокол», «порт», а также описывает нюансы RPC, DCOM, SMB, HTTP и т. д.

Порты системных служб

Ниже перечислены наиболее важные системные службы Windows Server с описанием, логическим именем и соответствующими портами. Учтите, что многие службы могут автоматически использовать динамически назначенные порты из диапазонов, перечисленных выше.

Active Directory (локальная система безопасности)

Active Directory в Windows (процесс Lsass.exe) содержит модули аутентификации и репликации для контроллеров домена. При репликации или выполнении операций аутентификации с использованием RPC и DCOM могут задействоваться динамические порты. Важно открыть нужные диапазоны портов (1025–5000 или 49152–65535) в зависимости от версии ОС.

• Имя системной службы: LSASS
• Используемые порты:
  • TCP 389 (LDAP), UDP 389 (LDAP)
  • TCP 636 (LDAP SSL)
  • TCP 3268 (глобальный каталог), TCP 3269 (глобальный каталог SSL)
  • TCP 135 (RPC)
  • TCP 49152–65535 (RPC с динамическими портами)
  • UDP 500 (IPsec ISAKMP)
  • UDP 4500 (NAT-T)
  • ICMP (проверка связи)

Служба шлюза уровня приложения (ALG)

ALG поддерживает специальные подключаемые модули, которые позволяют определенным протоколам (например, FTP) корректно работать через брандмауэр и при использовании общего доступа к подключению Интернета (ICS).

• Имя системной службы: ALG
• Порты: TCP 21 (управление FTP) для перенаправления, а также задействуются динамические порты в диапазоне 3000–5000 при работе с NAT.

Служба состояния ASP.NET

Поддерживает хранение состояния сеанса вне процесса (out-of-process). Использует TCP-сокеты для взаимодействия с приложениями ASP.NET.

• Имя системной службы: aspnet_state
• Порты: TCP 42424

Службы сертификации (Certificate Services)

Управляют цифровыми сертификатами (S/MIME, SSL, EFS, IPsec, смарт-карты). Взаимодействуют с клиентами через RPC и DCOM (произвольные высокие порты).

• Имя системной службы: CertSvc
• Порты: TCP 135 (RPC), TCP 445/139 (SMB), динамические порты TCP 49152–65535.

Служба кластеров (Cluster Service)

Управляет серверными кластерами и отвечает за синхронизацию данных и работоспособность узлов в кластере.

• Имя системной службы: ClusSvc
• Порты:
  • UDP 3343 и DTLS 3343 (трафик между узлами кластера)
  • TCP 3343 (в некоторых сценариях, например при добавлении узлов в кластер)
  • ICMP (эхо-запросы)
  • TCP 445 (SMB, требуется при добавлении узлов)
  • TCP 135 (RPC)
  • TCP 5985 (WinRM, например для облачного свидетеля)
  • Высокие динамические порты (49152–65535) для DCOM

Браузер компьютеров (Computer Browser)

Поддерживает механизм просмотра сетевых ресурсов (списки доменов и компьютеров в сети). Используется в старых версиях Windows (Windows 9x/NT/2000/XP).

• Имя системной службы: Browser
• Порты: UDP 137–138 (NetBIOS), TCP 139 (NetBIOS), SMB при необходимости.

DHCP-сервер (Dynamic Host Configuration Protocol)

Автоматически назначает клиентам IP-адреса и параметры сети.

• Имя системной службы: DHCPServer
• Порты:
  • UDP 67 (сервер), 68 (клиент)
  • UDP 2535 (MADCAP)
  • TCP 647 (отработка отказа DHCP)

Пространства имен распределенной файловой системы (DFS Namespaces)

Объединяют разные файловые ресурсы LAN/WAN в одном логическом пространстве имен. Служба DFS может потребовать открытых портов LDAP, SMB и RPC.

• Имя системной службы: Dfs
• Порты:
  • TCP 389/UDP 389 (LDAP)
  • TCP 445 (SMB)
  • TCP 135 (RPC)
  • Высокие динамические порты (49152–65535)

Репликация распределенной файловой системы (DFSR)

Средство репликации, которое копирует обновления файлов и папок между узлами группы репликации. Устаревший аналог — «Служба репликации файлов» (FRS).

• Имя системной службы: DFSR
• Порты: TCP 135 (RPC), TCP 5722, а также динамические высокие порты (49152–65535).

Сервер отслеживания изменившихся связей (File Link Tracking Server)

Хранит информацию о перемещении файлов (NTFS) между томами в домене, чтобы клиенты могли отслеживать «связанные» документы, даже если те переместились.

• Имя системной службы: TrkSvr
• Порты: TCP 135 и динамические порты (49152–65535)

Координатор распределенных транзакций (MSDTC)

Управляет транзакциями, распределенными в нескольких системах и диспетчерах ресурсов (например, базах данных, очередях сообщений).

• Имя системной службы: MSDTC
• Порты: TCP 135 (RPC) и высокие динамические порты (49152–65535)

DNS-сервер

Разрешает имена в IP-адреса и обратно. Необходим в доменных структурах Active Directory.

• Имя системной службы: DNS
• Порты: TCP/UDP 53

Журнал событий (Event Log)

Регистрирует сообщения от программ и ОС. Записи можно просматривать с помощью «Просмотра событий» или средствами программирования (API).

• Имя системной службы: EventLog
• Порты: использует RPC по именованным каналам, то есть фактически требует доступ к TCP 139/445, UDP 137/138.

Служба факсов

Обеспечивает отправку и прием факсов с использованием локальных или сетевых устройств. Работает через RPC и SMB.

• Имя системной службы: Fax
• Порты: TCP 139/445 (SMB), TCP 135 (RPC), динамические порты 49152–65535.

Служба репликации файлов (File Replication Service, FRS)

Автоматически копирует обновленные файлы и папки между серверами, участвующими в наборе репликации FRS (в Windows 2000 и Windows Server 2003 — репликация папки SYSVOL).

• Имя системной службы: NtFrs
• Порты: TCP 135 (RPC), динамические 49152–65535.

Служба публикации FTP (FTP Publishing Service)

Предназначена для размещения FTP-серверов. Порт управления — TCP 21, порт данных — TCP 20 (активный режим). В пассивном режиме сервер использует динамические порты.

• Имя системной службы: MSFTPSVC
• Порты: TCP 21, TCP 20 и при необходимости диапазон 49152–65535 (пассивный режим).

Групповая политика (Group Policy)

Для применения групповой политики клиенту требуется доступ к контроллеру домена с использованием LDAP, Kerberos, SMB, RPC и (для более старых ОС) ICMP.

• Имя системной службы: нет отдельного, но механизмы задействуют DCOM, RPC и SMB
• Порты: LDAP (TCP/UDP 389), SMB (TCP 445), RPC (TCP 135 + динамические), ICMP при необходимости.

HTTP SSL (HTTPFilter)

Обеспечивает службы IIS функциями SSL (HTTPS). По умолчанию используется TCP 443.

• Имя системной службы: HTTPFilter
• Порты: TCP 443

Служба Hyper-V

В контексте сети могут потребоваться следующие порты:

• WMI: TCP 135, + динамические порты.
• Проверка подлинности Kerberos (HTTP): TCP 80.
• Проверка подлинности на основе сертификата (HTTPS): TCP 443.
• Динамическая миграция Hyper-V: TCP 6600, SMB (TCP 445) и UDP 3343 (служба кластеров).

Служба проверки подлинности в Интернете (IAS/RADIUS)

Реализует протокол RADIUS для центральной аутентификации и авторизации пользователей, в том числе при удаленном доступе.

• Имя системной службы: IAS
• Порты: UDP 1645, 1646 (традиционный RADIUS) и 1812, 1813 (современный RADIUS).

Общий доступ к подключению Интернета / брандмауэр подключения к Интернету

Предоставляет NAT, базовый DHCP и DNS, когда компьютер выступает в роли шлюза для внутренней сети.

• Имя системной службы: SharedAccess
• Порты: DHCP (UDP 67), DNS (TCP/UDP 53) на внутреннем интерфейсе.

Сервер управления IP-адресами (IPAM)

IPAM-клиент связывается с IPAM-сервером через WCF по TCP. По умолчанию используется порт TCP 48885 на сервере IPAM.

BranchCache

• Порт 3702 (UDP): обнаружение кэшированного контента.
• Порт 80 (TCP): передача контента по запросу.
• Порт 443 (TCP): используется размещаемым кэшем для приема предложений контента.

Сервер ISA/TMG

Для полнофункциональной работы сервер ISA/TMG может задействовать много разных портов. Например:

• Хранилище настроек (домен): TCP 2171
• RPC: TCP 135 и динамические порты
• Управляющий канал клиента брандмауэра: TCP/UDP 1745 (ISA 2000) или TCP 1745/3847
• Клиентский веб-прокси: TCP 8080

Центр распространения ключей Kerberos (KDC)

Предоставляет билеты Kerberos для аутентификации. Также задействует порты 464 (для смены/сброса паролей).

• Имя системной службы: kdc
• Порты: TCP/UDP 88, TCP/UDP 464

Учет лицензий (License Logging Service)

Исторически использовалась для отслеживания лицензий на серверных продуктах Microsoft. В более новых ОС отключена или не включена по умолчанию.

• Имя системной службы: LicenseService
• Порты: UDP 138, TCP 139, 445 (RPC по именованным каналам).

Очереди сообщений (Message Queuing, MSMQ)

Предоставляет распределенный обмен сообщениями и гарантированную доставку. Использует порты TCP/UDP 1801, а также дополнительные порты для RPC и Ping.

• Имя системной службы: MSMQ
• Порты:
  • TCP 1801, UDP 1801
  • TCP 2101 (MSMQ-DCs)
  • TCP 2103, 2105 (MSMQ-RPC)
  • UDP 3527 (MSMQ-Ping)
  • TCP 135 (RPC)

Протокол SMTP (Simple Mail Transfer Protocol)

Служба SMTP отправляет и пересылает электронную почту. Используется также для репликации Active Directory по электронной почте и СDO.

• Имя системной службы: SMTPSVC
• Порты: TCP 25

Простые службы TCP/IP

Включают Echo, Discard, Chargen, Daytime, Quote of the Day. Как правило, по умолчанию отключены.

• Имя системной службы: SimpTcp
• Порты: TCP/UDP 7, 9, 13, 17, 19

Служба SNMP и служба ловушек SNMP

SNMP — стандарт для управления сетевыми узлами. Служба ловушек принимает сообщения от агентов SNMP.

• SNMP: UDP 161
• SNMP Trap: UDP 162 (исходящие ловушки)

Служба обнаружения SSDP (Simple Service Discovery Protocol)

Реализует протокол SSDP, используется для обнаружения сетевых устройств и служб (UPnP). По умолчанию задействует UDP 1900 и TCP 2869.

Сервер печати TCP/IP (LPDSVC)

Реализует протокол LPD (Line Printer Daemon) для взаимодействия с системами UNIX.

• Имя системной службы: LPDSVC
• Порты: TCP 515

Telnet

Предоставляет удаленный сеанс терминала в текстовом режиме (ANSI, VT-100, VT-52). Не зашифрован; использовать с осторожностью.

• Имя системной службы: TlntSvr
• Порт: TCP 23

Службы удаленных рабочих столов (Remote Desktop Services)

Позволяют подключаться к рабочему столу сервера, поддерживают несколько сеансов. По умолчанию используется TCP 3389 и (в новейших версиях) UDP 3389.

Лицензирование служб удаленных рабочих столов (RDSL)

Предоставляет клиентские лицензии, когда пользователи подключаются к серверу RDS.

• Имя системной службы: TermServLicensing
• Порты: TCP 135 (RPC), NetBIOS 137–139, SMB (445), динамические высокие порты.

Посредник подключений к удаленному рабочему столу

Помогает распределять сеансы между серверами RDS в кластере с балансировкой нагрузки и подключать пользователей к уже запущенным сеансам.

• Имя системной службы: Tssdis
• Порты: TCP 135 и динамические порты (49152–65535)

Управляющая программа TFTP (Trivial File Transfer Protocol)

Применяется для упрощенной передачи файлов (например, при удаленной установке через PXE). По умолчанию прослушивает UDP 69, но отвечает с произвольного порта.

• Имя системной службы: tftpd
• Порт: UDP 69

Узел универсальных PnP-устройств (UPNPHost)

Предоставляет механизмы регистрации, управления и уведомлений UPnP. Задействует TCP 2869.

Служба WINS (Windows Internet Name Service)

Предназначена для разрешения имен NetBIOS; необходима в старых сетях, где не все машины поддерживают DNS.

• Имя системной службы: WINS
• Порты: UDP 137, TCP/UDP 42 (репликация WINS)

Службы Windows Media

Поддерживают потоковую передачу мультимедиа через протоколы RTSP, MMS, HTTP и т. д.

• Имя системной службы: WMServer
• Порты:
  • TCP 80 (HTTP), TCP/UDP 1755 (MMS), UDP 2460 (MS Theater), UDP 5004 (RTP), UDP 5005 (RTCP), TCP 554 (RTSP)

Удаленное управление Windows (WinRM)

Предоставляет механизм удаленного администрирования через веб-сервисы (WS-Management). В WinRM 2.0 используются порты TCP 5985 (HTTP) и 5986 (HTTPS).

Служба времени Windows (W32Time)

Синхронизирует системное время с помощью протокола NTP (UDP 123). Необходима для корректной работы Kerberos и доменных служб.

Служба веб-публикации (IIS)

Предоставляет инфраструктуру для веб-сайтов и приложений. Использует HTTP (TCP 80) и HTTPS (TCP 443).

• Имя системной службы: W3SVC
• Порты: TCP 80, 443 (можно изменить в диспетчере IIS)

Примечание: Множество служб (например, FRS, DFSR, Netlogon, печать, лицензирование, DTC) используют RPC по именованным каналам или динамическим портам, а также SMB (TCP 445/139). При конфигурировании брандмауэра и маршрутизаторов важно корректно разрешать либо отключать NetBIOS и соответствующие порты (UDP 137–138, TCP 139), если вся инфраструктура поддерживает только SMB через TCP 445.

Порты и протоколы: сводная таблица

Далее представлена обобщенная информация из предыдущего раздела: какие системные службы используют конкретные порты. Таблица обычно сортируется по номерам портов (от меньшего к большему). В рамках одной статьи она может быть очень обширной, поэтому чаще всего рекомендуется загружать файл Excel с сайта Microsoft или создавать собственную внутреннюю шпаргалку.

Ниже приведены лишь некоторые основные соответствия:

• TCP 20, 21: FTP (служба публикации FTP)
• TCP 23: Telnet
• TCP 25: SMTP (служба протокола SMTP)
• TCP/UDP 53: DNS-сервер
• TCP/UDP 67, 68: DHCP (сервер/клиент)
• TCP/UDP 88: Kerberos (KDC)
• TCP 135: RPC (сопоставитель конечных точек)
• TCP/UDP 137–139: NetBIOS (браузер, общий доступ к файлам, печать)
• TCP 445: SMB (общий доступ к файлам и принтерам без NetBIOS)
• TCP 389, 636: LDAP/LDAP SSL (Active Directory)
• TCP 3268, 3269: Глобальный каталог Active Directory
• UDP 123: W32Time (NTP)
• TCP 3389, UDP 3389: RDS (Удаленные рабочие столы)
• TCP 5985, 5986: WinRM 2.0 (HTTP/HTTPS)
• TCP 80, 443: HTTP, HTTPS (IIS, SharePoint, WSUS, и др.)
• UDP 69: TFTP
• UDP 161, 162: SNMP и ловушки SNMP

Требования к портам и протоколам Active Directory

Контроллеры домена, серверы приложений и клиентские компьютеры должны иметь доступ к базовым протоколам (Kerberos, LDAP, RPC, SMB) для выполнения операций входа в домен, репликации и удаленного администрирования. Если какие-то из перечисленных портов недоступны, работа Active Directory будет нарушена.

В частности, для:

• DCOM/LDAP/SMB (порты 135, 389, 445, + динамические) — чтобы клиент получал групповые политики и мог взаимодействовать с контроллером домена.
• ICMP — для определения скорости канала и доступности.

Множество служб полагаются на Active Directory (DNS, репликации DFS, сетевой вход в систему, служба времени Windows и т. д.). Важно, чтобы порты, связанные с RPC и LDAP, не были заблокированы.

Заключение

Правильная настройка портов и протоколов в среде Windows Server — важнейший аспект стабильной и безопасной работы всей инфраструктуры. Если в сети используются несколько версий операционных систем, необходимо учитывать различные диапазоны динамических портов. Кроме того, многие службы опираются на RPC, DCOM и SMB — эти механизмы задействуют как «фиксированные» порты, так и динамические (высокие) порты.

При планировании межсетевого экранирования, маршрутизации и применения IPSec-фильтров обязательно учитывайте:

• Какие версии Windows Server и Windows-клиентов функционируют в сети.
• Нужно ли использовать NetBIOS-порты (137–139) или достаточно SMB (445).
• Все ли службы, перечисленные выше, актуальны или часть можно отключить.

Имея под рукой полную информацию о портах и протоколах, администраторы могут:

• Точно настраивать брандмауэры и маршрутизаторы.
• Избегать конфликтов служб, которые прослушивают одинаковые порты.
• Предотвращать срывы репликации Active Directory, сбоев при удаленном доступе, проблем с DHCP, DNS и т. д.