Port 137 за что отвечает

Порты TCP и UDP, используемые программными продуктами Apple

Узнайте больше о портах TCP и UDP, используемых продуктами Apple, такими как macOS и iCloud. Многие из этих портов являются распространенными стандартными портами.

Порты, используемые продуктами Apple

Здесь приведен не полный перечень портов, а краткое справочное руководство с самыми распространенными примерами. Это руководство периодически обновляется информацией, доступной на момент публикации. Если хосты и порты предназначены для корпоративных сетей, узнайте об использовании продуктов Apple в корпоративных сетях.

Некоторое ПО может использовать другие порты и службы, поэтому при настройке брандмауэра и похожих систем управления доступом может понадобиться ПО для наблюдения за портами.

Некоторые службы могут использовать более одного из этих портов. Например, служба VPN может использовать до четырех различных портов. После нахождения продукта в списке выполните поиск (Command-F) в браузере по этому имени, а затем повторите поиск (Command-G), чтобы найти все упоминания данного продукта.

Некоторые брандмауэры позволяют выборочно настраивать порты UDP или TCP с одинаковым номером, поэтому важно знать тип настраиваемого порта. Если в брандмауэре не предусмотрено указание типа порта, вероятнее всего, изменение одного порта может повлиять на другой.

«Почта» (отправка почты); «Почта iCloud» (отправка почты)

1. Служба зарегистрирована организацией Internet Assigned Numbers Authority, за исключением случаев с пометкой «использование не зарегистрировано».

2. Количество документов RFC (Request For Comment), описывающих службу или протокол. Документы RFC утверждаются компанией RFC Editor.

FaceTime доступен не во всех странах и регионах.

Дополнительная информация

Брандмауэр для программ в macOS не является брандмауэром на основе портов. Он управляет доступом отдельных программ, а не доступом к портам.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Порты Active Directory

Настройка серверов windows и linux

список портов Active Directory

Добрый день! Уважаемые читатели, подписчики и юные падаваны, познающие компьютерные хитрости. Хочу сегодня поделиться очень полезной и жизненной информацией, которую просто обязан знать любой системный администратор, особенно тот кто хочет устроиться на работу. В сегодняшней статье я хочу вам рассказать, по каким портам работает служба каталогов Active Directory. Данную информацию спрашивают практически на любом собеседовании на должность админа, сетевого инженера или представителя технической поддержки, так как это основа основ на большинстве современных предприятий, которую вы должны знать как отче наш.

По каким портам работает Active Directory

Если вы только знакомитесь с активным каталогом Active Directory, то я вам советую почитать, о ней подробнее по ссылке слева. Самый правильный метод получения списка портов и служб, это не гугление или яндексение, а на практике все проверить самому. Для таких вещей у вас под рукой должен быть сканер портов, в задачи которого входит просмотр открытых и активных портов, по которым слушает тот или иной сервис или сервер. Я вам ранее рассказывал подробно, про то, как проверить доступность портов на сервере, поэтому останавливаться на этом не буду, кому интересно переходите по ссылке и читайте.

Данное знание, окажется вам необходимым, когда вы будите настраивать доверительные отношения между лесами, когда вам будет необходимо сетевым инженерам сообщить, какие порты потребуется открыть на их сетевом оборудовании для корректной работы Active Directory.

Открываю свой порт-сканер и натравливаю его на свой свежеустановленный домен на Windows Server 2019 (/install-active-directory-windows-server-2019/). По результатам я вижу два контроллера домена dc01.root.pyatilistnik.org и dc02.root.pyatilistnik.org. Справа от них в соответствующем поле я вижу полный список портов, используемых Active Directory. Давайте подробнее остановимся на каждом из них.

Перед описанием я вам советую посмотреть и проверять порты по таблице список портов TCP и UDP на википедии, так как у номера порта может быть несколько значений, будет полезно для развития кругозора https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP

Список портов Active Directory-01

53 порт — на нем работает DNS-сервер. Используется как TCP так и UDP, по UDP передаются зоны. Так же порт участвует в трастовых отношениях между доменами.
88 TCP и UDP порт — это краеугольная служба Kerberos, про ее алгоритм я подробно писал. Это протокол аутентификации.Используется в доверительных отношениях между лесами. Тип трафика Kerberos.
135 TCP и UDP — для операций взаимодействия контроллер-контроллер и контроллер-клиент, если сказать проще, то копирование. Тип трафика RPC или EPMAP
137 UDP — аутентификация пользователя и компьютера. Тип трафика NetLogon, разрешение имен NetBIOS.
138 TCP и UDP — DFS, групповая политика. Тип трафика DFSN, NetLogon, служба дейтаграмм NetBIOS
139 TCP и UDP — Аутентификация пользователя и компьютера, репликация. Тип трафика DFSN, служба сеансов NetBIOS, NetLogon.
389 порт — LDAP запросы от клиентов к контроллеру домена. Тип трафика LDAP
445 порт — MICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS. Типы трафика SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc.
464 порты UDP и TCP — через данный порт идет смена пароля пользователя. Тип трафика Kerberos (изменить / установить пароль)
593 порт — Тип трафика HTTP-RPC-EPMAP, может быть использован в DCOM и MS Exchange службах
636 TCP и UDP — LDAPS с шифрованием SSL или TLS. Тип трафика LDAP SSL
3268 — для доступа к Global Catalog от клиента к контроллеру, через LDAP. Тип трафика LDAP GC.
3269 — для доступа к Global Catalog от клиента к контроллеру, через LDAPS. Тип трафика LDAP GC SSL
5722 TCP — Репликация файлов. Тип трафика RPC, DFSR (SYSVOL).
9389 TCP — Веб-службы AD DS. Тип трафика SOAP
TCP 49667-49668 (RPC для LSA, SAM, NetLogon) — начинается с запроса к порту 135
TCP 53248 — FRsRPc, используется в RODC
49152–65535 TCP/UDP — Это динамические порты необходимые при репликации контроллеров. Когда мне нужно было развернуть сервер RODC в облаке Яндекса, я столкнулся с тем, что при выполнении команды repadmin /replsummary, я получал ошибку » Experienced the following operational errors trying to retrieve replication information: 1722″. Вызвана она была тем, что на фаэрволе не были открыты входящие порты 49667-49668 из данного диапазона.

TCP-UDP 49152–65535 Динамические порты RPC

Вот пример такого правила в Яндекс облаке. Динамическое распределение портов RPC предписывает программе RPC использовать определенный случайный порт в диапазоне, настроенном для TCP и UDP, в зависимости от реализации используемой операционной системы. Сопоставитель RPC (порт 135) используется для подключения клиентов к службам, работающим на этих динамических портах.

Правило входящих портов AD

Так же вы можете обнаружить дополнительные порты которые можно встретить на контроллерах домена:

3389 — это порт подключения по RDP протоколу к контроллеру домена
67 TCP и 2535 UDP — эти порты относятся к DHCP службе, которую очень часто ставят вместе с Active Directory на одном контроллере домена.
123 UDP — NTP сервер в Active Directory

Уверен, что вы будите знать все сетевое взаимодействие в Active Directory и всегда сможете применить эту информацию, например при проблемах с репликацией и сможете быстро диагностировать есть ли проблема на сетевом уровне. С вами был Иван Семин, автор и создатель популярного блога про системное администрирования Pyatilistnik.org.

Дополнительные ссылки

https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/config-firewall-for-ad-domains-and-trusts

4 Responses to Порты Active Directory

«53 порт — на нем работает DNS-сервер. Используется как TCP так и UDP, по UDP передаются зоны. Так же порт участвует в трастовых отношениях между доменами.» — разве зоны не по tcp передаются, а на запросы отвечает по udp

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

NetBIOS: что это, как работает и как проверить

При этом не требуется какая-либо настройка DNS или файла hosts, поскольку такое распознавание имён обеспечивается NetBIOS. Мы уже сталкивались с NetBIOS, а точнее с одной из трёх его служб — NBT-NS — в статье «Взлом сетевой аутентификации Windows». Это одна из служб, которая эксплуатировалась для выполнения атаки.

То есть, NetBIOS имеет важное значение для Windows, а также для изучения устройства Windows, анализа сетевой активности Windows и в вопросах безопасности локальных сетей и компьютеров с Windows.

Естественно, в лучших в традициях HackWare.ru, в статье будет только необходимая теория и максимум практики — мы будем «щупать» протокол NetBIOS в Wireshark, встроенной утилите Windows и в специализированных инструментах для аудита безопасности. Но начнём всё-таки с теории.

Что такое NetBIOS

NetBIOS (Network Basic Input/Output System) — протокол для работы в локальных сетях на персональных ЭВМ типа IBM/PC, разработан в виде интерфейса, который не зависит от фирмы-производителя. Был разработан фирмой Sytek Corporation по заказу IBM в 1983 году. Он включает в себя интерфейс сеансового уровня (англ. NetBIOS interface), в качестве транспортных протоколов использует TCP и UDP.

Приложения могут найти через NETBIOS нужные им ресурсы, установить связь и послать или получить информацию. NETBIOS использует для службы имён порт 137, для службы дейтаграмм — порт 138, а для сессий — порт 139. Любая сессия начинается с NETBIOS-запроса, задания IP-адреса и определения TCP-порта удаленного объекта, далее следует обмен NETBIOS-сообщениями, после чего сессия закрывается. Сессия осуществляет обмен информацией между двумя NETBIOS-приложениями. Длина сообщения лежит в пределах от 0 до 131071 байт. Допустимо одновременное установление нескольких сессий между двумя объектами. При организации IP-транспорта через NETBIOS IP-дейтаграмма вкладывается в NETBIOS-пакет. Информационный обмен происходит в этом случае без установления связи между объектами. Имена NETBIOS должны содержать в себе IP-адреса. Так, часть NETBIOS-адреса может иметь вид IP.**.**.**.**, где IP указывает на тип операции (IP через Netbios), а **.**.**.** — IP-адрес. Система NETBIOS имеет собственную систему команд (call, listen, hang up, send, receive, session status, reset, cancel, adapter status, unlink, remote program load) и примитивов для работы с дейтаграммами (send datagram, send broadcast datagram, receive datagram, receive broadcast datagram). Все оконечные узлы NETBIOS делятся на три типа:

широковещательные («b») узлы;
узлы точка-точка («p»);
узлы смешанного типа («m»).

IP-адрес может ассоциироваться с одним из указанных типов. B-узлы устанавливают связь со своим партнёром посредством широковещательных запросов. P- и M-узлы для этой цели используют netbios сервер имён (NBNS) и сервер распределения дейтаграмм (NBDD).

регистрацию и проверку сетевых имён;
установление и разрыв соединений;
связь с подтверждением доставки информации;
связь без подтверждения доставки информации;
поддержку управления и мониторинга драйвера и сетевой карты.

Службы NetBIOS

NetBIOS предоставляет три разных службы:

Служба имён (NetBIOS-NS) для регистрации и разрешения имён.
Служба рассылки дейтаграмм (NetBIOS-DGM) для связи без установления соединения.
Служба сеанса (NetBIOS-SSN) для связи с установлением соединения.

(Примечание: SMB, верхний уровень, является службой, которая выполняется поверх службы сеансов и службы дейтаграмм, и её не следует считать необходимой и неотъемлемой частью самого NetBIOS. Теперь она может работать поверх TCP с небольшим уровнем адаптации, который добавляет длину пакета к каждому сообщению SMB; это необходимо, потому что TCP предоставляет только услугу потока байтов без понятия «границы пакета».)

Служба имён (NetBIOS-NS)

Чтобы начать сеансы или распространять дейтаграммы, приложение должно зарегистрировать своё имя NetBIOS, используя службу имён. Имена NetBIOS имеют длину 16 октетов и различаются в зависимости от конкретной реализации. Часто 16-й октет, называемый суффиксом NetBIOS, обозначает тип ресурса и может использоваться для сообщения другим приложениям, какой тип услуг предлагает система. В NBT служба имён работает на UDP-порту 137 (TCP-порт 137 также может применяться, но используется редко).

Примитивы службы имён, предлагаемые NetBIOS:

Add name — регистрирует имя NetBIOS.
Add group name — регистрирует NetBIOS-имя группы.
Delete name — отменяет регистрацию имени NetBIOS или имени группы.
Find name — поиск имени NetBIOS в сети.

Разрешение имён NetBIOS не поддерживается Microsoft для Интернет-протокола версии 6 (IPv6).

Служба рассылки дейтаграмм (NetBIOS-DGM)

Режим датаграммы без установления соединения; Приложение отвечает за обнаружение и восстановление ошибок. В NBT служба дейтаграмм работает на UDP-порту 138.

Примитивы службы дейтаграмм, предлагаемые NetBIOS:

Send Datagram — отправить датаграмму на удалённое имя NetBIOS.
Send Broadcast Datagram — отправить дейтаграмму всем именам NetBIOS в сети.
Receive Datagram — дождаться прибытия пакета из операции отправки датаграммы.
Receive Broadcast Datagram — дождаться прибытия пакета из операции отправки широковещательной дейтаграммы.

Служба сеанса (NetBIOS-SSN)

Режим сеанса позволяет двум компьютерам устанавливать соединение, позволяет сообщениям охватывать несколько пакетов и обеспечивает обнаружение и восстановление ошибок. В NBT служба сеанса работает через порт TCP 139.

Примитивы службы сеанса, предлагаемые NetBIOS:

Call — открывает сеанс для удалённого имени NetBIOS.
Listen — прослушивание попыток открыть сеанс с именем NetBIOS.
Hang Up — закрыть сеанс.
Send — отправляет пакет на компьютер на другом конце сеанса.
Send No Ack — как Send, но не требует подтверждения.
Receive — ожидание поступления пакета от отправки на другом конце сеанса.

В исходном протоколе, используемом для реализации сервисов NetworkBIOS в сети PC-Network, для установления сеанса инициирующий компьютер отправляет запрос Open, на который отвечает подтверждение Open. Компьютер, запустивший сеанс, затем отправит пакет запроса сеанса, который запросит либо пакет подтверждения сеанса, либо пакет отклонения сеанса.

В течение установленного сеанса на каждый передаваемый пакет отвечает либо ответ с положительным подтверждением (ACK), либо ответ с отрицательным подтверждением (NAK). NAK предложит повторную передачу данных. Сессии закрываются не инициирующим компьютером, отправляя запрос на закрытие. Компьютер, запустивший сеанс, ответит пакетом закрытия, который запрашивает окончательный пакета закрытия сеанса.

Как соотносится Имя NetBIOS с именем хоста в Интернете

Когда NetBIOS работает в сочетании с интернет-протоколами (например, NBT), каждый компьютер может иметь несколько имён: одно или несколько имён службы имен NetBIOS и одно или несколько имён хостов Интернета.

Имя NetBIOS

Имя NetBIOS состоит из 16 символов ASCII, однако Microsoft ограничивает имя хоста 15 символами и резервирует 16-й символ как суффикс NetBIOS. Этот суффикс описывает тип записи службы или имени, такой как запись узла, основная запись браузера или запись контроллера домена или другие службы. Имя хоста (или короткое имя хоста) указывается при установке/настройке сети Windows, зарегистрированные суффиксы определяются отдельными сервисами, предоставляемыми хостом. Чтобы подключиться к компьютеру под управлением TCP/IP через его имя NetBIOS, имя должно быть преобразовано в сетевой адрес. Сегодня это обычно IP-адрес (преобразование имени NetBIOS в IP-адрес часто выполняется с помощью широковещательной рассылки или сервера WINS — сервера имён NetBIOS). NetBIOS-имя компьютера часто совпадает с именем хоста этого компьютера, хотя оно усекается до 15 символов, но оно также может быть и совершенно другим.

Имена NetBIOS представляют собой последовательность буквенно-цифровых символов. Следующие символы явно недопустимы: \/:*?»<>|. Начиная с Windows 2000, имена NetBIOS также должны соответствовать ограничениям на DNS-имена: они не могут состоять исключительно из цифр и дефиса («-«), а символ точка («.») не могут отображаться в качестве первого или последнего символа. Начиная с Windows 2000, Microsoft не рекомендует включать любые символы точка («.») в имена NetBIOS, так что приложения могут использовать присутствие точки, чтобы отличить доменные имена от имён NetBIOS.

Файл Windows LMHOSTS предоставляет метод разрешения имён NetBIOS, который можно использовать в небольших сетях, в которых не используется сервер WINS. О файле LMHOSTS далее.

Интернет имя хоста

NetBIOS-имя Windows-машины не следует путать с именем хоста компьютера в Интернете (при условии, что компьютер также является хостом Интернета, а не узлом NetBIOS, что не обязательно должно иметь место). Как правило, компьютер, на котором запущены интернет-протоколы (будь то компьютер с Windows или нет), обычно имеет имя хоста (также иногда называемое именем компьютера). Первоначально эти имена хранились в файле hosts и предоставлялись им, но сегодня большинство таких имён являются частью иерархической системы доменных имен (DNS) (смотрите Введение в DNS терминологию, компоненты и концепции).

Обычно имя хоста компьютера Windows основывается на имени NetBIOS плюс первичный DNS-суффикс, которые оба задаются в диалоговом окне «Свойства системы». Также могут существовать суффиксы для конкретного соединения, которые можно просмотреть или изменить на вкладке DNS в Панели управления → Сеть → TCP / IP → Дополнительные свойства. Имена хостов используются такими приложениями, как telnet, ftp, веб-браузеры и т. д. Чтобы подключиться к компьютеру, использующему протокол TCP/IP, используя его имя, имя хоста должно быть преобразовано в IP-адрес, обычно DNS-сервером. (Также возможно работать со многими приложениями на основе TCP/IP, включая три, перечисленные выше, используя только IP-адреса, но это не норма.)

Как обнаружить NetBIOS

Можно запустить обычное сканирование TCP портов в локальной сети с помощью nmap:

sudo nmap _gateway/24

И среди результатов можно обнаружить открытый TCP порт 139:

139/tcp open netbios-ssn

Если нас интересует только службы NetBIOS, то достаточно искать UDP порты 137 и 138 и TCP порты 137 и 139, воспользуемся Рецептами nmap и составим такую команду:

sudo nmap -p U:137,138,T:137,139 -sU -sS _gateway/24

Плюс такого подхода в том, что сканирование происходит намного быстрее и дополнительно найдены открытые порты UDP.

Можно воспользоваться ещё одним рецептом Nmap для сбора банеров служб, для этого добавим опции -sV —script=banner:

sudo nmap -p U:137,138,T:137,139 -sU -sS -sV --script=banner _gateway/24

Благодаря последней команде мы дополнительно узнали:

используемую рабочую группу (WORKGROUP)
операционную систему для некоторых устройств (Windows 10)
некоторые открытые порты связаны с Samba smbd 3.X — 4.X

Дополнительно можно воспользоваться скриптами Nmap (NSE) — я нашёл 4 скрипта, которые связаны с NetBIOS:

nbd-info

Отображает информацию о протоколах и блочных устройствах с серверов NBD.

nbstat

Пытается получить имена NetBIOS и MAC-адрес цели.

broadcast-netbios-master-browser

Пытается обнаружить главные браузеры и домены, которыми они управляют.

nbns-interfaces

Получает IP-адреса целевых сетевых интерфейсов через NetBIOS NS. Дополнительные сетевые интерфейсы могут раскрывать больше информации о цели, включая поиск путей к скрытым немаршрутизируемым сетям через многосетевые системы.

Для их использования во время сканирования команда примерно следующая:

sudo nmap -p U:137,138,T:137,139 -sU -sS --script nbstat,nbd-info,broadcast-netbios-master-browser,nbns-interfaces _gateway/24

nbtstat

Программа nbtstat предназначена для отображения статистики протокола NetBIOS и текущих подключений TCP/IP с помощью NBT (NetBIOS через TCP/IP). Программа nbtstat предустановлена в Windows, то есть её не нужно скачивать и устанавливать, но нужно запускать в командной строке. Смотрите «Настройка рабочего окружения PowerShell в Windows и Linux».

NBTSTAT [-a Узел] [-A IP-адрес] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [интервал] ]

-a (adapter status) Вывод таблицы имён узла, указанного по имени. -A (Adapter status) Вывод таблицы имён узла, указанного по IP-адресу. -c (cache) Вывод буфера имён удалённых узлов, включая адреса IP. -n (names) Вывод локальных имён NetBIOS. -r (resolved) Вывод имён, определённых с помощью рассылки и WINS. -R (Reload) Очистка и перезагрузка таблицы удалённого буфера имён. -S (Sessions) Вывод таблицы сеансов с IP-адресами. -s (sessions) Вывод таблицы сеансов с преобразованием IP-адресов в имена NETBIOS. -RR (ReleaseRefresh) Отсылка пакетов освобождения имени (Name Release)на WINS-сервер, а затем запуск обновления (Refresh) Узел Имя удалённого компьютера. IP-адрес IP-адрес удалённого компьютера. интервал Повторный вывод статистических данных через указанный интервал в секундах. Для прекращения вывода нажмите клавиши +.

Рассмотрим примеры использования nbtstat.

Чтобы по IP адресу узнать имя хоста используйте опцию -A:

nbtstat -A 192.168.0.53

Чтобы просмотреть имена компьютеров и их IP, сохранённые в кэше укажите опцию -c:

nbtstat -c

Чтобы узнать имя текущего компьютера используйте nbtstat с опцией -n:

nbtstat -n

Для вывода имён, определённых с помощью рассылки и WINS запустите такую команду:

nbtstat -r

Фильтры Wireshark для выделения NetBIOS трафика

Wireshark поддерживает практически все сетевые протоколы (смотрите «Фильтры Wireshark»), в том числе и протоколы NetBIOS.

Фильтр Wireshark для службы имён (NetBIOS-NS):

nbns

Широковещательный запрос, чтобы определить IP адрес по имени компьютера:

Запрос к определённому узлу для получения его имени хоста:

Фильтр Wireshark для службы рассылки дейтаграмм (NetBIOS-DGM):

nbdgm

Фильтр Wireshark для службы сеанса (NetBIOS-SSN):

nbss

Для фильтрации всего трафика NetBIOS:

nbns or nbdgm or nbss

Файл LMHOSTS

Файл LMHOSTS (LAN Manager Hosts) используется для разрешения (преобразования) доменных имён в Windows, когда другие методы, такие как WINS, не работают. Используется совместно с рабочими группами и доменами. Если вы ищете простой, общий механизм для локальной спецификации IP-адресов для определённых имён хостов (имён серверов), используйте файл HOSTS, а не файл LMHOSTS.

Файл, если он существует, читается как файл настроек LMHOSTS. Пример файла (lmhosts.sam) предоставляется. Он содержит документацию для ручной настройки файла.

В Windows NT 4.0, Windows 2000, Windows XP, Vista, 7, 8, 10, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2016+ файл находится в %windir%\system32\drivers\etc\, и там же размещён пример файла (lmhosts.sam). Обратите внимание, что %windir% является переменной окружения, указывающей на папку, куда установлена Windows, обычно это C:\Windows.

Синтаксис файла LMHOSTS такой же, как и у HOSTS, то есть:

IP_АДРЕС ИМЯ_ХОСТА

Эксплуатация NetBIOS

Программа для аудита безопасности NetBIOS можно разделить на 2 группы:

спуфинг NetBIOS для выполнения атак человек-посередине
сканирование NetBIOS для сбора информации

Программы для сканирования NetBIOS в большей части заброшены, поскольку практически всю информацию (имя, IP, MAC адрес) можно узнать либо стандартной утилитой Windows, либо сканером Nmap.

Что касается инструментов для спуфинга NetBIOS, то среди них достаточно актуальных программ, обычно включающих в себя спуфинг служб NetBIOS как часть комплексной атаки.

Далее совсем краткий обзор инструментов, поскольку инструменты для сканирования слишком просты, чтобы говорить о них много, а инструменты для спуфинга слишком сложные, чтобы рассматривать их в этой статье — каждый из них заслуживает собственной статьи или даже нескольких инструкций — по различных их функциям.

Invoke-Inveigh

Inveigh — это спуфер PowerShell ADIDNS/LLMNR/NBNS/mDNS/DNS и инструмент для атаки «человек посередине», предназначенный для помощи тестировщикам на проникновения/красным тимерам, которые ограничены системой Windows.

Для этой программы готовится перевод документации и статьи на HackWare.ru.

Пример запуска наблюдения без атаки:

Import-Module ./Inveigh.psd1 Invoke-Inveigh -Inspect -ConsoleOutput Y

Responder

Responder это инструмент для выполнения атаки человек-посередине в отношении методов аутентификации в Windows. Эта программа включает в себя травитель LLMNR, NBT-NS и MDNS благодаря которому перенаправляется трафик с запросами и хешами аутентификации. Также в программу встроены жульнические серверы аутентификации HTTP/SMB/MSSQL/FTP/LDAP, которые поддерживают такие методы аутентификации как NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP и базовую HTTP аутентификацию, для которых Responder выполняет роль ретранслятора.

Подробная инструкция по использованию Responder «Взлом сетевой аутентификации Windows».

NMBscan

NMBscan сканирует сетевые папки SMB/NetBIOS, используя протоколы NMB/SMB/NetBIOS. Это полезно для получения информации о локальной сети для таких целей, как аудит безопасности.

Он может получать такую информацию, как имя хоста NMB/SMB/NetBIOS/Windows, IP-адрес, имя хоста IP, MAC-адрес Ethernet, имя пользователя Windows, имя домена NMB/SMB/NetBIOS/Windows и главный браузер.

Он может обнаружить все узлы NMB/SMB/NetBIOS/Windows в локальной сети, используя списки узлов, поддерживаемые основными браузерами.

nmbscan -h 192.168.0.101 -h 192.168.0.1 -h 192.168.0.53

Для сканирования подсети (очень медленно):

nmbscan -h 192.168.0.

NetBIOS Share Scanner

NetBIOS Share Scanner можно использовать для проверки рабочих станций Windows и серверов, если они имеют доступные общие ресурсы.

netbios-share-scanner 192.168.0.1

Инструкция по установке, а также дополнительные примеры использования: https://kali.tools/?p=6979

NBTscan

NBTscan — это программа для сканирования IP для получения информации об имени NetBIOS.

Сканирование всей подсети 192.168.1.0/24:

nbtscan 192.168.1.0/24

Инструкция по установке, а также дополнительные примеры использования: https://kali.tools/?p=6967

nbtscan-unixwiz

nbtscan-unixwiz инструмент командной строки, который сканирует NETBIOS в локальной или удалённой TCP/IP сети, это первый шаг по поиску открытых совместных ресурсов. Также утилита определяет имя компьютера и имя рабочей группы (или домена) и собирает информацию о запущенных на компьютере службах. Инструмент основывается на функциональности стандартного инструмента Windows nbtstat, но он может работать не только с одним адресом, но и по диапазону адресов.

Просканировать диапазон IP адресов (192.168.0.100-110) без совершения обратных преобразований имён (-n):

nbtscan-unixwiz -n 192.168.0.100-110

Просканировать указанные IP адреса (192.168.1.36 192.168.1.60 192.168.1.61 192.168.1.63), вывести всю полученную информацию (-f), делать по 3 попытки на каждый IP адрес (-t 3):

 -f -t 3 192.168.1.36 192.168.1.60 192.168.1.61 192.168.1.63

Инструкция по установке, а также дополнительные примеры использования: https://kali.tools/?p=2855

fakenetbios

Семейство инструментов, предназначенное для симуляции хостов Windows (NetBIOS) в LAN (локальной сети).

nbnspoof

Спуфер имён служб NetBIOS.

nbtenum

Утилита для Windows, которая может использоваться для перечисления информации NetBIOS с одного хоста или диапазона хостов. Для запуска на Windows.

nbtool

Несколько инструментов для изучения, атак и связи с NetBIOS и DNS.

nbname

Декодирует и отображает все имена NetBIOS пакетов, полученные на UDP порту 137 и другое! Для запуска на Windows.

Эта программа у меня не заработала.

Онлайн сканеры на SuIP.biz

Онлайн сканер NetBIOS, SMB (NetBIOS) и Samba (Linux) использует ряд описанных выше инструментов для сбора первичной информации по NetBIOS и SMB (Samba). Достаточно указать IP адрес цели и будет запущено сканирование сразу несколькими инструментами, которые покажут версию запущенных служб, имя компьютера и рабочей группы (домена), попробуют выполнить анонимный вход и покажут совместные папки, если они доступны.

Связанные статьи:

VNC в Windows и Linux: настройка и аудит безопасности (83.4%)
Аудит безопасности SMB и Samba (79.9%)
Аудит безопасности VNC (76.8%)
Введение в IPv6 адреса: как пользоваться и как исследовать сеть (часть 2) (69.3%)
Транспортные протоколы TCP и UDP (69.3%)
Как сбросить пароль Windows (RANDOM — 0.8%)

факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!

Обзор служб и требования к сетевым портам в Windows

В этой статье рассмотрены необходимые сетевые порты, протоколы и службы, которые используются клиентскими и серверными операционными системами Майкрософт, серверными программами и их компонентами в системах Microsoft Windows Server. Представленные в этой статье сведения предназначены для помощи администраторам и специалистам службы поддержки при определении портов и протоколов, необходимых операционным системам и программам Майкрософт для сетевого подключения в сегментированной сети.

Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 версии 2004, Windows 10 версии 1909, Windows 10 версии 1903, Windows 7 с пакетом обновления 1 (SP1)
Оригинальный номер базы знаний: 832017

Эта статья содержит несколько ссылок на динамический диапазон портов по умолчанию. В Windows Server 2008 и последующих версиях, а также в Windows Vista и последующих версиях рамки динамического диапазона портов по умолчанию изменяются в указанных ниже пределах.

Начальный порт: 49152
Конечный порт: 65535

В Windows 2000, Windows XP и Windows Server 2003 используется следующий динамический диапазон портов.

Начальный порт: 1025
Конечный порт: 5000

Если в сетевом окружении вашего компьютера используются только операционные системы Windows Server 2012 или более поздние версии Windows, необходимо разрешить подключение через более высокий диапазон портов от 49152 до 65535.
Если в сетевом окружении вашего компьютера помимо Windows Server 2012 используются более ранние версии Windows, чем Windows Server 2008 и Windows Vista, необходимо разрешить подключение через оба нижеприведенных диапазона портов:
высокий диапазон портов (49152-65535);
низкий диапазон портов (1025-5000).
Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.

Дополнительные сведения о динамическом диапазоне портов по умолчанию см. в разделе Динамический диапазон портов по умолчанию для TCP/IP изменился.

Сведения о портах, которые приводятся в данной статье, не следует использовать для настройки брандмауэра Windows. Сведения о настройке брандмауэра Windows см. в разделе Брандмауэр Windows в режиме повышенной безопасности.

Система Windows Server располагает всесторонней и интегрированной комплексной инфраструктурой, которая предназначена для удовлетворения потребностей разработчиков программного обеспечения и специалистов в области информационных технологий (ИТ). Запущенные в такой системе программы и решения позволяют сотрудникам быстро и без дополнительных осложнений получать, анализировать и совместно использовать информацию. Серверы, клиентские компьютеры и серверные приложения Майкрософт используют разные сетевые порты и протоколы для обмена данными по сети с клиентскими компьютерами и другими серверными системами. Выделенные брандмауэры, брандмауэры в составе узла, а также фильтры безопасности протокола Интернета (IPSec) являются другими важными компонентами, которые необходимо использовать для обеспечения безопасности сети. Но, с другой стороны, если с их помощью блокируются порты и протоколы, которые используются определенным сервером, то сервер не сможет отвечать на запросы клиентских компьютеров.

Обзор

Ниже представлен краткий обзор содержания этой статьи:

Раздел Порты системных служб:

Содержит краткое описание каждой службы.
Отображает логическое имя каждой службы.
Указывает порты и протоколы, необходимые каждой службе для правильной работы.

Обращайтесь к этому разделу для получения сведений об используемых определенной службой портах и протоколах.

Чтобы предупредить возможное возникновение недоразумений, внимательно ознакомьтесь с представленным ниже описанием используемых терминов.

Системные службы — это программы, которые загружаются автоматически в рамках процесса запуска приложения или процесса загрузки операционной системы. Системные службы поддерживают разные задачи, которые должна выполнять операционная система. Так, к числу системных служб на компьютере под управлением Windows Server 2003 Enterprise Edition относятся служба сервера, служба очереди печати и служба веб-публикаций. Каждой системной службе сопоставлено понятное имя и обычное имя. Понятное имя службы — это имя, которое отображается в графических средствах управления, таких как оснастка консоли управления (MMC). Имя службы — это имя, которое используется с помощью программы командной строки и со многими языками сценариев. Каждая системная служба может включать в себя одну или несколько сетевых служб.
Протокол приложений. В контексте этой статьи протокол приложений — это сетевой протокол верхнего уровня, который использует один или несколько протоколов и портов TCP/IP. например HTTP, блоки сообщений сервера (SMB) и протокол SMTP (Simple Mail Transfer Protocol).
Протокол. Протоколы TCP/IP — это стандартные форматы взаимодействия между устройствами в сети. Протоколы TCP/IP функционируют на более низком уровне, чем протоколы приложений. К протоколам TCP/IP относятся TCP, UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol).
Порт — сетевой порт, на котором системная служба прослушивает входящий сетевой трафик.

Эта статья не содержит сведений о том, какие службы зависят от других служб при осуществлении сетевого взаимодействия. Например, для назначения динамических портов TCP многие службы в Microsoft Windows используют удаленный вызов процедур (RPC) или компоненты DCOM. Служба удаленного вызова процедур координирует запросы других системных служб, которым для взаимодействия с клиентскими компьютерами необходимы функции RPC или DCOM. Другие службы используют NetBIOS и SMB (протоколы, которые предоставляются службой сервера) либо HTTP или HTTPS (Hypertext Transfer Protocol Secure). Эти протоколы предоставляются службами IIS. Полное описание архитектуры операционных систем Windows выходит за рамки рассматриваемых в данной статье вопросов. Подробную документацию по этой теме можно найти на веб-сайтах Microsoft TechNet и MSDN (Microsoft Developer Network). Хотя один и тот же порт TCP или UDP часто используется многими службами, прослушивать этот порт в каждый момент времени может только одна служба или процесс.

Когда в качестве транспортного протокола для удаленного вызова процедур используется протокол TCP/IP или UDP/IP, входящие порты часто назначаются системным службам динамически по мере необходимости. Используются порты TCP/IP и UDP/IP с номером выше 1024. Эти порты также неофициально называются случайными портами RPC. В таких случаях клиенты RPC для определения назначенных серверу динамических портов используют сопоставитель конечных точек RPC. Для некоторых служб, которые используют удаленный вызов процедур, можно настроить определенный порт, чтобы не полагаться на динамическое назначение. Кроме того, для любой службы можно ограничить диапазон портов, динамически назначаемых службой RPC. Дополнительные сведения по этой теме см. в разделе Ссылки.

Данная статья содержит сведения о ролях системных служб и ролях сервера для продуктов корпорации Майкрософт, которые перечислены в разделе «Применяется к». Эти сведения часто применимы и к Microsoft Windows XP или Microsoft Windows 2000 Professional, однако в основном статья ориентирована на операционные системы серверного типа. По этой причине здесь описаны порты, которые прослушиваются службами, а не портами, используемыми клиентскими программами для подключения к удаленной системе.

Порты системных служб

В данном разделе содержится описание каждой системной службы с указанием логического имени, а также используемых портов и протоколов.

Active Directory (локальная система безопасности)

Active Directory выполняется как процесс Lsass.exe и содержит модули проверки подлинности и репликации для контроллеров домена Windows. Контроллерам домена, клиентским компьютерам и серверам приложений требуется сетевое подключение к службе Active Directory через определенные жестко заданные порты. Кроме того, если для инкапсуляции трафика в Active Directory не используется туннельный протокол, необходимы диапазоны временных портов TCP от 1024 до 5000 и от 49152 до 65535.

Если ваша компьютерная сетевая среда использует только Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista или более поздних версий, необходимо включить подключение через большой диапазон портов от 49152 до 65535.
Если ваша сетевая среда компьютера использует Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista или более поздних версий вместе с версиями Windows, предшествующими Windows Server 2008 и Windows Vista, необходимо включить подключение через оба диапазона портов:
более высокий диапазон портов от 49152 до 65535;
более низкий диапазон портов от 1025 до 5000.
Если в сетевом окружении вашего компьютера используются только версии Windows до Windows Server 2008 и Windows Vista, необходимо разрешить подключение через более низкий диапазон портов от 1025 до 5000.

Инкапсулированное решение может заключаться в применении VPN-шлюза, расположенного за фильтрующим маршрутизатором, который использует протокол L2TP (Layer 2 Tunneling Protocol) с IPSec. В этом случае необходимо вместо открытия всех портов и протоколов, перечисленных в этой статье, разрешить проходить через маршрутизатор следующим элементам:

протоколу ESP (IPsec Encapsulating Security Protocol) (50, протокол IP);
протоколу NAT-T (IPsec Network Address Translator Traversal) (порт 4500 UDP);
протоколу ISAKMP (IPsec Internet Security Association and Key Management Protocol) (порт 500 UDP).

Также можно жестко задать порт, используемый для репликации Active Directory, выполнив действия, приведенные в статье Ограничение RPC-трафика Active Directory в определенный порт. Имя системной службы: LSASS.

Фильтры пакетов для трафика L2TP не требуются, поскольку протокол L2TP защищен протоколом IPsec ESP.

Протокол приложений	Протокол	Порты
Веб-службы Active Directory (ADWS)	TCP	9389
Служба Active Directory Management Gateway Service	TCP	9389
Глобальный каталог	TCP	3269
Глобальный каталог	TCP	3268
ICMP	Номер порта отсутствует
Сервер LDAP (Lightweight Directory Access Protocol)	TCP	389
Сервер LDAP	UDP	389
LDAP SSL	TCP	636
IPsec ISAKMP	UDP	500
NAT-T	UDP	4500
RPC	TCP	135
Порты ТСР с большими номерами, произвольно назначенные службой RPC¹	TCP	49152 — 65535
SMB	TCP	445

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки. В этом разделе также рассматриваются удаленные взаимодействия посредством WMI и DCOM, которые сначала использовались в рамках повышения роли контроллера домена Windows Server 2012 во время проверки выполнения предварительных требований и в программе Server Manager.

Кроме того, клиент Microsoft LDAP выполняет проверку связи по протоколу ICMP для подтверждения того, что LDAP-сервер, на который отправлен ожидающий запрос, все еще присутствует в сети. Ниже приведены параметры, которые представляют собой дополнительные возможности сеанса LDAP:

PingKeepAliveTimeout = 120 секунд (время ожидания после последнего ответа от сервера перед отправкой пакетов для проверки связи)
PingLimit = 4 (количество отправленных пакетов для проверки связи до закрытия подключения)
PingWaitTimeout = 2000 мс (длительность ожидания ответа ICMP)
Ссылка: класс LdapSessionOptions

Служба шлюза уровня приложения

Этот подкомпонент службы общего доступа к подключению Интернета (ICS) / брандмауэра подключения к Интернету (ICF) предназначен для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета. Подключаемые модули шлюза уровня приложения (Application Layer Gateway, ALG) могут открывать порты и изменять данные (например, порты и IP-адреса) в составе сетевых пакетов. FTP — это единственный сетевой протокол с подключаемым модулем, который входит в состав Windows Server. Подключаемый модуль ALG FTP поддерживает активные сеансы по протоколу FTP через механизм преобразования сетевых адресов (NAT). Подключаемый модуль ALG FTP поддерживает эти сеансы путем перенаправления в частный прослушиваемый порт с номером в диапазоне от 3000 до 5000 в адаптере замыкания на себя всего трафика, соответствующего следующим критериям:

проходящего через механизм преобразования сетевых адресов (NAT);
направленного в порт 21.

Подключаемый модуль контролирует и обновляет трафик управляющего канала FTP так, чтобы подключаемый модуль FTP мог пересылать сопоставление портов через механизм NAT для каналов данных FTP. Модуль FTP также обновляет порты в потоке управляющего канала FTP.

Имя системной службы: ALG

Протокол приложений	Протокол	Порты
Управление FTP	TCP	21

Служба состояния ASP.NET

Служба состояния ASP.NET предназначена для поддержки внепроцессных состояний сеанса ASP.NET. Эта служба хранит данные сеанса вне процесса и использует сокеты для взаимодействия с запущенной на веб-сервере средой ASP.NET.

Имя системной службы: aspnet_state

Протокол приложений	Протокол	Порты
Состояние сеанса ASP.NET	TCP	42424

Службы сертификации

Службы сертификации являются частью ядра операционной системы. Они позволяют предприятию выступать в роли самостоятельного центра сертификации, Позволяет организации выпускать цифровые сертификаты и управлять ими для программ и протоколов, таких как:

Secure/Multipurpose Internet Mail Extensions (S/MIME)
Secure Sockets Layer (SSL)
Шифрованная файловая система (EFS)
IPSec
Вход со смарт-картой

Взаимодействие с клиентами служба сертификации осуществляет с помощью технологий RPC и DCOM через произвольные порты TCP с номерами больше 1024.

Имя системной службы: CertSvc

Протокол приложений	Протокол	Порты
RPC	TCP	135
SMB	TCP	445, 139
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

Служба кластеров

Служба кластеров контролирует операции кластера серверов и управляет базой данных кластера. Кластер представляет собой набор отдельных компьютеров, которые действуют как одна система. Руководителям, программистам и пользователям кластер виден в качестве единой системы. Программное обеспечение распределяет данные между узлами кластера. В случае сбоя одного из таких узлов находящиеся в его ведении службы и данные предоставляются другими узлами. Когда восстанавливается или добавляется новый узел, программное обеспечение кластера перемещает на него часть данных.

Имя системной службы: ClusSvc

Для приложений	Протокол	Порты
Служба кластеров	UDP и DTLS¹	3343
Служба кластеров	TCP	3343 (этот порт не требуется во время операции объединения узлов)
Служба кластеров	ICMP	Порт Echo (этот порт требуется во время операции присоединения к узлам из мастера добавления узла.)
Служба кластеров	TCP	445 (Этот порт требуется во время операции присоединения к узлам из мастера добавления узлов.)
RPC	TCP	135
Администратор кластера	UDP	137
Случайно выделенные высокие порты 2	TCP	Произвольный номер порта в диапазоне от 49152 до 65535

Кроме того, для успешной проверки на отказоустойчивых кластерах Windows 2008 года и более поздних версий следует разрешить входящий и исходящий трафик для протоколов ICMP4, ICMP6 и порт 445/TCP для SMB.

¹ Трафик UDP для службы кластеров через порт 3343 требует использования протокола датаграмм безопасности транспортного уровня (DTLS) версии 1.0 или 1.2. По умолчанию протокол DTLS включен. Дополнительные сведения см. в разделе Протоколы в TLS/SSL (Schannel SSP).

² Дополнительные сведения о настройке этих портов см. в подразделе «Удаленные вызовы процедур и DCOM» раздела Ссылки.

Браузер компьютеров

Системная служба браузера компьютеров отвечает за составление текущего списка компьютеров сети и предоставляет его запрашивающим программам. Браузер компьютеров используется на компьютерах под управлением операционных систем Windows для просмотра сетевых доменов и ресурсов. Компьютеры, которые выступают в роли браузеров, составляют списки просмотра, содержащие все общие ресурсы сети. Функции просмотра требуются таким Windows-программам более ранних версий, как «Сетевое окружение», команда net view и проводник Windows. Так, если открыть «Сетевое окружение» на компьютере под управлением Windows 95, появится список доменов и компьютеров. Для его составления компьютер получает копию списка просмотра у компьютера, который исполняет роль браузера.

Если используется только Windows Vista и последующие версии Windows, то служба браузера больше не требуется.

Имя системной службы: браузер

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139

Служба браузера использует RPC по именованным каналам для компиляции.

DHCP-сервер

Служба DHCP-сервера использует DHCP для автоматического распределения IP-адресов. С ее помощью можно настроить дополнительные сетевые параметры клиентов DHCP, например серверы служб DNS (Domain Name System) и WINS (Windows Internet Name Service). Для хранения и передачи на клиентские компьютеры сведений о конфигурации TCP/IP можно настроить один или несколько серверов DHCP.

Имя системной службы: DHCPServer

Протокол приложений	Протокол	Порты
DHCP-сервер	UDP	67
MADCAP	UDP	2535
Отработка отказа DHCP	TCP	647

Пространства имен распределенной файловой системы

Пространства имен распределенной файловой системы (DFSN) объединяют разные файловые ресурсы, которые расположены в локальной (LAN) или глобальной (WAN) сети, в одном логическом пространстве имен. Служба DFSN необходима контроллерам домена Active Directory для объявления общей папки SYSVOL.

Имя системной службы: Dfs

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138 2
Служба сеансов NetBIOS	TCP	139 2
Сервер LDAP	TCP	389
Сервер LDAP	UDP	389
SMB	TCP	445
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

2 Порты NETBIOS являются необязательными и не требуются, если DFSN использует полные имена серверов.

Репликация распределенной файловой системы

Служба репликации распределенной файловой системы (DFSR) является средством репликации, выполняющим репликацию с несколькими хозяевами, которое автоматически копирует обновления файлов и папок между компьютерами, входящими в общую группу репликации. Служба DFSR была добавлена в систему Windows Server 2003 R2. С помощью средства командной строки Dfsrdiag.exe эту службу можно настроить для репликации файлов на определенных портах независимо от того, входят ли они в пространства имен распределенной файловой системы.

Имя системной службы: DFSR

Протокол приложений	Протокол	Порты
RPC	TCP	135
RPC	TCP	5722 2
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации распределенных файлов» раздела Ссылки.

2 Порт 5722 используется только на контроллере домена Windows Server 2008 или на контроллере домена Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012.

Сервер отслеживания изменившихся связей

Служба сервера отслеживания изменившихся связей хранит сведения о перемещении файлов между томами в домене. Эта служба запущена на каждом контроллере домена и позволяет службе клиента отслеживания изменившихся связей отслеживать связанные документы, перемещенные на другой том с файловой системой NTFS в том же домене.

Имя системной службы: TrkSvr

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

Координатор распределенных транзакций

Системная служба координатора распределенных транзакций (DTC) отвечает за координацию транзакций, распределенных в нескольких системах и диспетчерах ресурсов, например базах данных, очередях сообщений, файловых системах и других диспетчерах ресурсов с защитой транзакций. Системная служба DTC используется в том случае, если транзакционные компоненты настраиваются через СОМ+. Она также требуется для транзактных очередей в очередях сообщений (MSMQ) и в операциях SQL Server, которые охватывают несколько систем.

Имя системной службы: MSDTC

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

¹ Дополнительные сведения о настройке этого порта см. в разделе «Координатор распределенных транзакций» раздела Ссылки.

DNS-сервер

Служба DNS-сервера предназначена для разрешения имен DNS путем ответа на запросы на предоставление и обновление имен DNS. DNS-серверы необходимы для обнаружения устройств и служб, идентификация которых происходит по доменным именам, а также контроллеров домена в Active Directory.

Имя системной службы: DNS

Протокол приложений	Протокол	Порты
DNS	UDP	53
DNS	TCP	53

Журнал событий

Системная служба «Журнал событий» регистрирует сообщения о событиях, полученные от программ и операционной системы Windows. Отчеты журнала событий содержат сведения, которые используются в процессе диагностики возникающих неполадок. Для просмотра отчетов служит компонент «Просмотр событий». Сообщения, полученные журналами от программ, других служб и операционной системы, регистрируются службой журнала событий. Такие сообщения содержат диагностические сведения, а также ошибки, которые различаются в зависимости от программы, службы или компонента, являющегося источником возникновения события. Просмотреть журналы можно средствами программирования через соответствующие интерфейсы API, а также с помощью компонента «Просмотр событий» из оснастки консоли управления ММС.

Имя системной службы: журнал событий

Протокол приложений	Протокол	Порты
RPC/NP (именованные каналы)	TCP	139
RPC/NP	TCP	445
RPC/NP	UDP	137
RPC/NP	UDP	138

Служба журнала событий использует RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Служба факсов

Служба факсов (системная служба, совместимая с интерфейсом Telephony API (TAPI)) предназначена для поддержки функций приема факсов. Служба факсов предоставляет пользователям возможность отправлять и принимать факсы из прикладных программ с помощью локальных или общих сетевых устройств.

Имя системной службы: факс

Протокол приложений	Протокол	Порты
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

Репликация файлов

Служба репликации файлов (FRS) автоматически копирует обновления файлов и папок между компьютерами, участвующими в одном наборе репликации FRS. FRS — это механизм репликации по умолчанию, задачей которого является репликация содержимого папки SYSVOL между контроллерами домена под управлением Windows 2000 и Windows Server 2003 в составе одного домена. Для настройки репликации файлов и папок между целевыми объектами корня или ссылки DFS можно использовать средство администрирования DFS.

Имя системной службы: NtFrs

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Служба репликации файлов» раздела Ссылки.

Служба публикации FTP

Служба публикации FTP используется для установки подключений к серверам FTP. По умолчанию, порт управления FTP — 21. Тем не менее, системную службу можно настроить с помощью оснастки диспетчера служб IIS. Порту данных по умолчанию (используемому для FTP-сервера в активном режиме) автоматически назначается на один порт меньше, чем порту управления. Таким образом, если 4131 – это порт управления, то 4130 будет портом данных по умолчанию. Большинство FTP-клиентов используют пассивный режим FTP. Это означает, что клиент сначала подключается к серверу FTP через порт управления, после этого FTP-сервер назначает TCP-порт с большим номером между портами 1025 и 5000. Затем клиент открывает второе соединение к FTP-серверу для передачи данных. Диапазон портов с большими номерами можно настроить с помощью метабазы IIS.

Имя системной службы: MSFTPSVC

Протокол приложений	Протокол	Порты
Управление FTP	TCP	21
FTP-данные по умолчанию	TCP	20
Произвольно назначенные порты TCP с большими номерами	TCP	случайный номер порта в диапазоне от 49152 до 65535

Групповая политика

Для успешного применения групповой политики клиент должен иметь возможность подключения к контроллеру домена по протоколам Kerberos, LDAP, SMB и RPC. Для Windows XP и Windows Server 2003 дополнительно требуется протокол ICMP.

Если любой из этих протоколов недоступен или заблокирован для подключения клиента к соответствующему контроллеру домена, то групповая политика не будет применяться или обновляться. В случае междоменного входа в систему (когда компьютер и учетная запись пользователя принадлежат разным доменам) эти протоколы могут потребоваться для обмена данными между клиентом, доменом ресурсов и доменом учетной записи пользователя. С помощью протокола ICMP определяется медленный канал.

Имя системной службы: групповая политика

Протокол приложений	Протокол	Порты
DCOM¹	TCP + UDP	произвольный номер порта в диапазоне от 49152 до 65535
ICMP (ping) 2	ICMP
LDAP	TCP	389
SMB	TCP	445
RPC¹	TCP	135 случайный номер порта в диапазоне от 49152 до 65535

¹ Дополнительные сведения о настройке этого порта см. в подразделе «Контроллеры домена и служба Active Directory» раздела Ссылки.

2 Этот протокол требуется только для Windows XP и Windows Server 2003, выступающих в качестве клиентов.

С помощью оснастки консоли управления групповой политикой создаются отчеты о результатах групповой политики и отчеты о моделировании групповой политики. При этом используются DCOM и RPC для отправки и получения сведений о клиенте или контроллере домена от поставщика результирующей политики (RSoP). Различные двоичные файлы компонентов оснастки групповой политики консоли управления (MMC) используют вызовы COM для отправки и получения сведений. При инициации удаленных отчетов результатов групповой политики с компьютера под управлением Windows Server 2012 требуется доступ к журналу событий конечного компьютера. (Требования к портам см. в разделе Журнал событий данной статьи).

Windows Server 2012 поддерживает инициирование удаленного обновления групповой политики компьютеров под управлением Windows Server 2012. Для этого требуется доступ RPC/WMI через порт 135 и входящие порты в диапазоне 49152–65535 на компьютере, на котором обновляется политика.

HTTP SSL

Системная служба HTTP SSL позволяет службам IIS выполнять функции SSL. SSL — это открытый стандарт, который служит для установки каналов обмена зашифрованными данными с целью предотвращения перехвата исключительно важной информации, например номеров кредитных карточек. Несмотря на то что служба работает с другими службами Интернета, в основном она используется для проведения электронных транзакций в Интернете в зашифрованном виде. Прослушиваемые порты для службы можно настроить с помощью диспетчера служб IIS.

Имя системной службы: HTTPFilter

Протокол приложений	Протокол	Порты
HTTPS	TCP	443

Служба Hyper-V

Протокол приложений	Протокол	Порт
WMI	TCP	135
Произвольно назначенные порты TCP с большими номерами	TCP	Произвольный номер порта в диапазоне от 49152 до 65535
Проверка подлинности Kerberos (HTTP)	TCP	80
Проверка подлинности на основе сертификата (HTTPS)	TCP	443

Динамическая миграция Hyper-V

Протокол приложений	Протокол	Порт
Динамическая миграция	TCP	6600
SMB	TCP	445
Трафик службы кластеров	UDP	3343

Служба проверки подлинности в Интернете

Служба проверки подлинности в Интернете (IAS) централизованно осуществляет проверку подлинности, авторизацию, аудит и учет пользователей, которые подключаются к сети (по локальной сети или с помощью удаленных подключений). Служба IAS реализована на основе стандартного протокола RADIUS (Remote Authentication Dial-In User Service) проблемной группы IETF.

Имя системной службы: IAS

Протокол приложений	Протокол	Порты
Традиционный RADIUS	UDP	1645
Традиционный RADIUS	UDP	1646
Учетные данные RADIUS	UDP	1813
Проверка подлинности RADIUS	UDP	1812

Общий доступ к подключению Интернета / брандмауэр подключения к Интернету (ICF)

Эта служба осуществляет преобразование сетевых адресов, адресацию и разрешение имен для всех компьютеров домашней или небольшой офисной сети. Когда включена функция общего доступа к подключению к Интернету, компьютер становится шлюзом Интернета в сети. а другие клиентские компьютеры могут совместно использовать одно подключение к Интернету (например, подключение удаленного доступа или широкополосное подключение). Эта служба предоставляет базовые службы DHCP и DNS, а также поддерживает полнофункциональные службы DHCP и DNS из состава Windows. Если компьютер с включенным брандмауэром ICF и общим доступом к подключению Интернета выступает в роли шлюза для остальных компьютеров сети, то он предоставляет службы DHCP и DNS для частной сети на внутреннем сетевом интерфейсе (но не на внешнем сетевом интерфейсе).

Имя системной службы: общий доступ

Протокол приложений	Протокол	Порты
DHCP-сервер	UDP	67
DNS	UDP	53
DNS	TCP	53

Сервер управления IP-адресами (IPAM)

Интерфейс IPAM-клиента связывается с IPAM-сервером для выполнения удаленного управления. Это осуществляется с помощью платформы Windows Communications Framework (WCF), в которой используется TCP в качестве транспортного протокола. По умолчанию, привязка TCP осуществляется через порт 48885 на сервере IPAM.

Сведения о BranchCache

Порт 3702 (UDP) используется для обнаружения доступности кэшированного контента на клиенте.
Порт 80 (TCP) используется для передачи контента клиентам по запросу.
Порт 443 (TCP) — это порт по умолчанию, используемый размещаемым кэшем для приема входящих предложений контента от клиентов.

Сервер ISA/TMG

Протокол приложений	Протокол	Порты
Хранилище настроек (домен)	TCP	2171 (примечание 1)
Хранилище настроек (репликация)	TCP	2173 (примечание 1)
Хранилище настроек (рабочая группа)	TCP	2172 (примечание 1)
Клиентское приложение брандмауэра	TCP/UDP	1025-65535 (примечание 2)
Управляющий канал клиента брандмауэра	TCP/UDP	1745 (примечание 3)
Управляющий канал брандмауэра	TCP	3847 (примечание 1)
RPC	TCP	135 (примечание 6)
Произвольно назначенные порты TCP с большими номерами (примечание 6)	TCP	произвольный номер порта в диапазоне от 1024 до 65535 произвольный номер порта в диапазоне от 10000 до 65535 (примечание 7)
Веб-управление	TCP	2175 (примечание 1, 4)
Клиент веб-прокси	TCP	8080 (примечание 5)

Этот порт не используется ISA 2000.
Транспорт и протоколы приложения клиента межсетевого экрана согласуются в рамках управляющего канала клиента межсетевого экрана.
Элемент управления клиента межсетевого экрана 2000 использует UDP. ISA 2004 и 2006 использует TCP.
Веб-управление брандмауэром используется изготовителями оборудования в качестве механизма управления сервером ISA, альтернативного консоли управления (MMC).
Этот порт используется также для трафика внутри массива.
Этот порт используется только оснасткой ISA консоли управления (MMC) при мониторинге удаленного сервера и статуса службы.
Это диапазон в TMG. Обратите внимание, что TMG расширяет динамические диапазоны портов по умолчанию в Windows Server 2008 R2, Windows 7, Windows Server 2008 и Windows Vista.

Центр распространения ключей Kerberos

Если применяется системная служба центра распространения ключей Kerberos (KDC), пользователи могут выполнить вход в сеть с помощью протокола проверки подлинности Kerberos версии 5. Как и в других версиях протокола Kerberos, KDC — это один процесс, обеспечивающий две службы: службу проверки подлинности и службу предоставления билетов. Служба проверки подлинности выпускает билеты на предоставление билета, а служба предоставления билетов — билеты для подключения к компьютерам в своем домене.

Имя системной службы: kdc

Протокол приложений	Протокол	Порты
Kerberos;	TCP	88
Kerberos;	UDP	88
Пароль Kerberos версии 5	UDP	464
Пароль Kerberos версии 5	TCP	464
Локатор контроллеров домена	UDP	389

Учет лицензий

Системная служба учета лицензий первоначально предназначалась для управления лицензиями серверных продуктов Майкрософт, которые лицензируются по модели Server CAL (Client Access License, клиентская лицензия на доступ). Учет лицензий был введен в Microsoft Windows NT Server 3.51. В Windows Server 2003 служба учета лицензий отключена по умолчанию. Из-за изменяющихся условий лицензирования, а также ограничений в исходной архитектуре служба учета лицензий не всегда составляет точную картину общего числа приобретенных клиентских лицензий в сравнении с общим числом клиентских лицензий, которые используются на определенном сервере или предприятии. Лицензии CAL, сообщенные службой учета лицензий, могут противоречить условиям лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и правам на использование продукта. Учет лицензий не включается в Windows Server 2008 и последующие операционные системы. Корпорация Майкрософт рекомендует включать эту службу на своих серверах только пользователям операционных систем семейства Microsoft Small Business Server.

Имя системной службы: LicenseService

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

В службе учета лицензий используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Очереди сообщений

Системная служба очереди сообщений представляет собой инфраструктуру и средство разработки распределенных программ для обмена сообщениями в Windows. Такие программы способны осуществлять обмен данными между неоднородными сетями и отправлять сообщения между компьютерами, которые временно не могут установить подключение друг к другу. Служба очереди сообщений обеспечивает безопасность, эффективную маршрутизацию, поддержку отправки сообщений внутри транзакций, приоритетную отправку, а также гарантированную доставку сообщений.

Имя системной службы: MSMQ

Протокол приложений	Протокол	Порты
MSMQ	TCP	1801
MSMQ	UDP	1801
MSMQ-DCs	TCP	2101
MSMQ-Mgmt	TCP	2107
MSMQ-Ping	UDP	3527
MSMQ-RPC	TCP	2105
MSMQ-RPC	TCP	2103
RPC	TCP	135

Стеки агента передачи сообщений Microsoft Exchange

В Microsoft Exchange 2000 Server и Microsoft Exchange Server 2003 агент MTA часто используется для обеспечения обратно совместимых служб передачи сообщений между серверами Exchange 2000 Server и Exchange Server 5.5 в смешанной среде.

Имя системной службы: MSExchangeMTA

Протокол приложений	Протокол	Порты
X.400	TCP	102

Служба POP3 (Microsoft)

Служба POP3 Microsoft предназначена для передачи и извлечения сообщений электронной почты. Администраторы могут использовать эту службу для хранения учетных записей электронной почты на почтовом сервере и управления ими. Если на почтовом сервере установлена служба POP3 (Microsoft), пользователи могут подключаться к этому почтовому серверу и загружать сообщения электронной почты с помощью почтового клиента с поддержкой протокола РОР3, например Microsoft Outlook.

Имя системной службы: POP3SVC

Протокол приложений	Протокол	Порты
POP3	TCP	110

Сетевой вход в систему

Системная служба сетевого входа в систему поддерживает безопасный канал между компьютером и контроллером домена для проверки подлинности пользователей и служб. Посредством этой службы учетные данные пользователя передаются на контроллер домена, а возвращаются доменные идентификаторы безопасности и назначенные пользователю права. Обычно этот процесс называется сквозной проверкой подлинности. Служба сетевого входа в систему автоматически запускается, только когда к домену подключается рядовой компьютер или контроллер домена. В операционных системах семейств Windows 2000 Server и Windows Server 2003 служба сетевого входа в систему публикует записи ресурсов в базе данных DNS. В процессе ожидания входящих запросов служба зависит от служб рабочей станции и локального администратора безопасности. На компьютерах в составе домена служба сетевого входа в систему использует удаленный вызов процедур по именованным каналам. В контроллерах домена она использует RPC по именованным каналам, RPC по протоколу TCP/IP, почтовые ячейки и протокол LDAP.

Имя системной службы: Netlogon

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138 2
Разрешение имен NetBIOS	UDP	137 2
Служба сеансов NetBIOS	TCP	139 2
SMB	TCP	445
LDAP	UDP	389
RPC¹	TCP	135 случайный номер порта в диапазоне от 49152 до 65535

2 Порты NETBIOS являются необязательными. Netlogon использует их только для отношений доверия, в которых не поддерживается DNS, или в тех случаях, когда во время предпринятого отката происходит сбой DNS. Если отсутствует инфраструктура WINS, и широковещательный показ не может работать, необходимо либо отключить NetBt, либо установить для компьютеров и серверов NodeType=2.

В службе сетевого входа в систему используется RPC по именованным каналам для клиентов Windows более ранних версий. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Протокол NNTP

Системная служба протокола NNTP позволяет компьютерам под управлением Windows Server 2003 выступать в роли сервера новостей. Для загрузки групп новостей с сервера, просмотра заголовков и чтения статей в каждой группе используется программа новостей, например Microsoft Outlook Express.

Имя системной службы: NNTPSVC

Протокол приложений	Протокол	Порты
NNTP	TCP	119
NNTP по SSL	TCP	563

Автономные файлы, служба профилей пользователей, перенаправление папок и основной компьютер

Службы автономных файлов и перемещаемых профилей пользователей кэшируют пользовательские данные на компьютерах для автономного использования. Такие возможности существуют во всех поддерживаемых операционных системах корпорации Майкрософт. В Windows XP кэширование перемещаемых профилей пользователей реализовано как часть процесса Winlogon , а в Windows Vista, Windows Server 2008 и операционных системах более поздних версий используется служба профилей пользователей. Все эти системы используют SMB.

Служба перенаправления папок перенаправляет пользовательские данные с локального компьютера в удаленный файловый ресурс с использованием SMB.

Система основного компьютера для Windows является частью служб перемещаемых профилей пользователей и автономных файлов. Система основного компьютера предоставляет возможность запретить кэширование данных на компьютерах, не авторизованных администраторами для определенных пользователей. Система основного компьютера определяет конфигурацию с помощью LDAP и не выполняет передачу данных с использованием SMB; она меняет поведение служб автономных файлов и перемещаемых профилей пользователей, установленное по умолчанию. Эта система была добавлена в Windows Server 2012.

Имена системных служб: ProfSvc, CscService

Протокол приложений	Протокол	Порты
SMB	TCP	445
Глобальный каталог	TCP	3269
Глобальный каталог	TCP	3268
Сервер LDAP	TCP	389
Сервер LDAP	UDP	389
LDAP SSL	TCP	636

Журналы и оповещения производительности

Системная служба журналов и оповещений производительности по заранее определенному графику собирает данные о производительности на локальном и удаленных компьютерах, а затем заносит их в журнал или использует для создания сообщения. В зависимости от значения параметра сбора именованных журналов служба журналов и оповещений производительности запускает или останавливает каждый сбор именованных данных о производительности. Эта служба запускается только в том случае, если запланирован хотя бы один сбор данных о производительности.

Имя системной службы: SysmonLog

Протокол приложений	Протокол	Порты
Служба сеансов NetBIOS	TCP	139

Очередь печати принтера

Системная служба очереди печати принтера управляет всеми локальными и сетевыми очередями печати, а также контролирует все задания печати. Очередь печати принтера является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например портами USB и протоколами семейства TCP/IP.

Имя системной службы: очередь печати

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

Примечание. В службе очереди печати принтера используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Удаленная установка

Системная служба удаленной установки используется для установки Windows 2000, Windows XP и Windows Server 2003 на клиентских компьютерах с PXE (Pre-Boot Execution Environment), которые поддерживают удаленную загрузку. Основной компонент сервера удаленной установки (RIS) — служба уровня согласования информации загрузки (Boot Information Negotiation Layer, BINL) — отвечает на запросы клиентов РХЕ, проверяет по Active Directory подлинность клиентов, а также осуществляет обмен данными между клиентом и сервером. Служба BINL устанавливается, когда с помощью средства «Установка компонентов Windows» добавляется сервер RIS, а также может быть выбрана в процессе исходной установки операционной системы.

Имя системной службы: BINLSVC

Протокол приложений	Протокол	Порты
BINL	UDP	4011

Удаленный вызов процедур (RPC)

Системная служба удаленного вызова процедур (RPC) представляет собой механизм взаимодействия между процессами (IPC), который позволяет осуществлять обмен данными и вызывать функции из других процессов. Другой процесс может быть запущен на локальном компьютере, в локальной сети или на удаленном компьютере; для получения доступа к нему используется подключение по глобальной (WAN) или виртуальной частной (VPN) сети. Служба RPC выступает в роли сопоставителя конечных точек RPC и диспетчера служб модели СОМ. Служба удаленного вызова процедур необходима для запуска многих других служб.

Имя системной службы: RpcSs

Протокол приложений	Протокол	Порты
RPC	TCP	135
RPC по HTTPS	TCP	593
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

RPC использует не только жестко закодированные порты, приведенные в таблице. Порты временного диапазона, используемые Active Directory и другими компонентами, возникают через RPC во временном диапазоне портов. Этот временный диапазон портов зависит от операционной системы сервера, к которому подключается операционная система клиента.
В службах сопоставителя конечных точек RPC также используются именованные каналы. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Локатор удаленного вызова процедур (RPC)

Системная служба локатора удаленного вызова процедур (RPC) управляет базой данных службы RPC-имен. Служба должна быть включена, чтобы клиенты RPC могли находить серверы RPC. По умолчанию эта служба отключена.

Имя системной службы: RpcLocator

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

В службе локатора RPC используется RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Уведомления удаленного хранилища

Системная служба уведомлений удаленного хранилища отправляет уведомление пользователю, когда он осуществляет чтение или запись файла, который доступен только на дополнительном накопителе. Если служба остановлена, отправка уведомлений прекращается.

Имя системной службы: Remote_Storage_User_Link

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

Удаленное хранилище

С помощью системной службы удаленного хранилища редко используемые файлы сохраняются на дополнительном накопителе. Если служба остановлена, переместить или извлечь файлы, которые расположены на дополнительном накопителе, невозможно.

Имя системной службы: Remote_Storage_Server

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

Маршрутизация и удаленный доступ

Служба маршрутизации и удаленного доступа обеспечивает многопротокольные функции маршрутизации типа «локальная сеть – локальная сеть», «локальная сеть – глобальная сеть», VPN и NAT, а также функции подключения удаленного доступа и удаленного доступа по сети VPN. Эта служба может использовать все перечисленные ниже протоколы, однако часто ограничивается только некоторыми из них. Например, если под защитой осуществляющего фильтрацию маршрутизатора настроен шлюз виртуальной частной сети, то, как правило, применяется только один протокол. Если используется протокол L2TP с безопасностью IPSec, необходимо разрешить протоколам IPSec ESP (50, протокол IP), NAT-T (UDP на порте 4500) и IPSec ISAKMP (UDP на порте 500) проходить через маршрутизатор.

Несмотря на то, что протоколы NAT-T и IPSec ISAKMP требуются для L2TP, эти порты контролируются локальной системой безопасности. Дополнительные сведения по этой теме см. в разделе Ссылки.

Имя системной службы: удаленный доступ

Протокол приложений	Протокол	Порты
GRE (47, протокол IP)	GRE	н/д
IPSec AH (51, протокол IP)	AH	н/д
IPSec ESP (50, протокол IP)	ESP	н/д
L2TP	UDP	1701
PPTP	TCP	1723

Сервер

Системная служба сервера обеспечивает поддержку удаленного вызова процедур, а также совместное использование файлов, принтеров и именованных каналов в сети. Служба сервера позволяет организовать совместное использование локальных ресурсов, например дисков и принтеров, чтобы к ним могли получать доступ другие пользователи сети, а также обмен данными по именованным каналам между программами на локальном и удаленных компьютерах. Обмен данными по именованному каналу представляет собой память, зарезервированную для результатов выполнения одного процесса, которые будут использованы в качестве входных данных для другого процесса. Принимающий данные процесс не обязательно должен быть запущен на локальном компьютере.

Если имя компьютера разрешается в несколько IP-адресов с помощью службы WINS или в случае ее сбоя с помощью DNS, то служба NetBIOS через TCP/IP (NetBT) будет проверять IP-адреса или адреса файлового сервера. Обмен данными через порт 139 зависит от эхо-сообщений протокола управляющих сообщений Интернета (ICMP). Если протокол IPv6 не установлен, то разрешение имен для обмена данными через порт 445 также будет зависеть от ICMP. Предварительно загруженные записи Lmhosts будут обходить механизм разрешения DNS. Если на компьютере под управлением Windows Server 2003 или Windows XP протокол IPv6 установлен, то обмен данными через порт 445 не вызовет запросов ICMP.

Порты NetBIOS, которые перечислены здесь, являются необязательными. Windows 2000 и более новые клиенты могут работать через порт 445.

Имя системной службы: lanmanserver

Протокол приложений	Протокол	Порты
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

SharePoint Portal Server

Системная служба SharePoint Portal Server позволяет разработать портал со встроенной логикой для объединения пользователей, групп и знаний, Это позволяет обмениваться релевантной информацией между различными бизнес-процессами. Microsoft SharePoint Portal Server 2003 представляет собой приложение, которое объединяет данные из разных систем в одном решении путем применения функций единого входа в систему и интеграции приложений предприятия.

Протокол приложений	Протокол	Порты
HTTP	TCP	80
HTTPS	TCP	443

Протокол SMTP

Системная служба протокола SMTP — это агент отправки и пересылки электронной почты. Она принимает и ставит в очередь почтовые сообщения для удаленных получателей, а также через определенные интервалы времени повторяет попытки отправки. Контроллеры домена Windows используют службу SMTP для межузловой репликации с помощью электронной почты. Объекты совместной работы (Collaboration Data Object, CDO) для компонента СОМ из состава Windows Server 2003 с помощью службы SMTP передают и ставят в очередь исходящие почтовые сообщения.

Имя системной службы: SMTPSVC

Протокол приложений	Протокол	Порты
SMTP	TCP	25

Простые службы TCP/IP

Простые службы TCP/IP реализуют поддержку для следующих протоколов:

Echo, порт 7, спецификация RFC 862
Discard, порт 9, спецификация RFC 863
Character Generator, порт 19, спецификация RFC 864
Daytime, порт 13, спецификация RFC 867
Quote of the Day, порт 17, спецификация RFC 865

Имя системной службы: SimpTcp

Протокол приложений	Протокол	Порты
Chargen	TCP	19
Chargen	UDP	19
Daytime	TCP	13
Daytime	UDP	13
Discard	TCP	9
Discard	UDP	9
Эхо	TCP	7
Эхо	UDP	7
Quotd	TCP	17
Quoted	UDP	17

Служба SNMP

Служба SNMP позволяет службе локального компьютера обслуживать входящие запросы протокола SNMP. Она включает в себя агенты, осуществляющие мониторинг работы сетевых устройств и сообщающих результаты на рабочую станцию сетевой консоли. Служба SNMP предоставляет метод управления узлами сети (например, рабочими станциями, компьютерами-серверами, маршрутизаторами, мостами и концентраторами) с центрального компьютера, на котором запущено соответствующее программное обеспечение для управления сетями. Для выполнения своих функций служба SNMP использует распределенную модель агентов и систем управления.

Имя системной службы: SNMP

Протокол приложений	Протокол	Порты
SNMP	UDP	161

Служба ловушек SNMP

Служба ловушек SNMP принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP, и пересылает их программам управления SNMP, запущенным на этом компьютере. Если эта служба настроена для агента, она создает сообщения перехвата, когда происходят определенные события. Такие сообщения отправляются по адресу назначения ловушки. Например, агент может инициировать ловушку проверки подлинности, если нераспознанная система управления отправляет запрос на получение данных. Адресом назначения ловушки может быть имя компьютера, IP-адрес или адрес IPX (Internetwork Packet Exchange) системы управления; на таком узле должна быть запущена программа управления SNMP и обеспечена поддержка работы в сети.

Имя системной службы: SNMPTRAP

Протокол приложений	Протокол	Порты
Исходящие ловушки SNMP	UDP	162

Служба обнаружения SSDP

Служба обнаружения SSDP реализует протокол SSDP в качестве службы Windows. Эта служба управляет приемом извещений о присутствии устройств, обновляет свой кэш и передает эти извещения клиентам с невыполненными запросами поиска. Кроме того, она регистрирует обратные вызовы событий от клиентов. Затем зарегистрированные обратные вызовы событий преобразуются в запросы подписки. Далее служба обнаружения SSDP наблюдает за уведомлениями о событиях и отправляет эти запросы в зарегистрированные обратные вызовы. Эта системная служба также обеспечивает устройства периодическими объявлениями. В настоящее время служба уведомления о событиях SSDP использует TCP-порт 5000.

Начиная с Windows XP с пакетом обновления 2 (SP2), служба уведомления о событиях SSDP использует TCP-порт 2869.

Имя системной службы: SSDPRSR

Протокол приложений	Протокол	Порты
SSDP	UDP	1900
Уведомление о событиях SSDP	TCP	2869
Уведомление о событиях SSDP (традиционный)	TCP	5000

Сервер печати TCP/IP

Системная служба сервера печати TCP/IP позволяет производить печать TCP/IP путем использования протокола LPD (Line Printer Daemon). Служба LPD на сервере получает документы от программ LPR (Line Printer Remote), запущенных на компьютерах под управлением операционных систем UNIX.

Имя системной службы: LPDSVC

Протокол приложений	Протокол	Порты
LPD	TCP	515

Telnet

Системная служба Telnet для Windows используется клиентами Telnet для проведения сеансов терминального доступа в формате ASCII. Сервер Telnet поддерживает два вида проверки подлинности, а также следующие типы терминалов:

American National Standards Institute (ANSI)
VT-100
VT-52
VTNT

Имя системной службы: TlntSvr

Протокол приложений	Протокол	Порты
Telnet	TCP	23

Службы удаленных рабочих столов (RDS)

RDS предоставляет многосеансовую среду, которая позволяет клиентским устройствам получать доступ к сеансу виртуального рабочего стола Windows и программам под управлением Windows, работающим на сервере. RDS позволяет нескольким пользователям подключаться к компьютеру в интерактивном режиме.

Имя системной службы: службы терминалов

Протокол приложений	Протокол	Порты
RDS	TCP	3389
RDS	UDP	3389

Лицензирование RDS (RDSL)

Системная служба RDSL устанавливает сервер лицензирования и предоставляет лицензии зарегистрированным клиентам, когда клиенты подключаются к серверу RDS (серверу с включенным RDS). RDSL — это служба с низким уровнем влияния, которая хранит клиентские лицензии, выданные для сервера RDS, и отслеживает лицензии, выданные клиентским компьютерам или серверам.

Имя системной службы: TermServLicensing

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535
Служба датаграмм NetBIOS	UDP	138
Разрешение имен NetBIOS	UDP	137
Служба сеансов NetBIOS	TCP	139
SMB	TCP	445

RDSL предлагает свои службы с помощью RPC по именованным каналам. Эта служба предъявляет те же требования к брандмауэру, что и компонент «Общий доступ к файлам и принтерам».

Брокер подключений к удаленному рабочему столу

Системная служба посредника подключений к удаленному рабочему столу позволяет кластерам серверов RDS с балансировкой нагрузки правильно направлять запрос на подключение пользователя к серверу, где у пользователя уже запущен сеанс. Пользователи направляются на первый доступный сервер RDS независимо от того, выполняется ли еще один сеанс в кластере серверов. С помощью сетевого протокола TCP/IP балансировка сетевой нагрузки производит объединение в общем пуле вычислительных мощностей нескольких серверов. Эту службу можно использовать вместе с кластером серверов RDS для повышения производительности одного сервера RDS путем распределения сеансов между несколькими серверами. Брокер подключений к удаленному рабочему столу отслеживает отключенные сеансы в кластере и обеспечивает повторное подключение пользователей к этим сеансам.

Имя системной службы: Tssdis

Протокол приложений	Протокол	Порты
RPC	TCP	135
Произвольно назначенные порты TCP с большими номерами¹	TCP	случайный номер порта в диапазоне от 49152 до 65535

Управляющая программа элементарного протокола FTP

Системная служба управляющей программы элементарного протокола FTP не требует имени пользователя и пароля и является неотъемлемой частью служб удаленной установки (RIS). Служба обеспечивает поддержку протокола TFTP (Trivial FTP Protocol), который определен в следующих спецификациях RFC:

RFC 1350 – TFTP
RFC 2347 – Option extension
RFC 2348 – Block size option
RFC 2349 – интервал времени ожидания и варианты размеров передачи

Элементарный протокол передачи файлов (Trivial File Transfer Protocol, TFTP) — это FTP-протокол, который поддерживает среды бездискового запуска. Служба TFTP прослушивает порт 69 UDP, но отвечает с произвольно назначенного порта с большим номером. Таким образом, когда порт включен, служба TFTP принимает входящие TFTP-запросы, но не позволяет выбранному серверу отвечать на них. Эта служба может ответить на любой из таких запросов с произвольного порта источника, а удаленный клиент затем использует этот порт на протяжении сеанса передачи данных. Обмен данными носит двунаправленный характер. Чтобы протокол мог функционировать через брандмауэр, необходимо открыть UDP-порт 69 для приема входящего трафика. После этого настройте брандмауэр таким образом, чтобы он динамически разрешал службе отвечать на запросы, временно открывая любой другой порт.

Имя системной службы: tftpd

Протокол приложений	Протокол	Порты
TFTP	UDP	69

Узел универсальных PNP-устройств

Системная служба обнаружения узла универсальных PNP-устройств содержит все компоненты, необходимые для регистрации и управления устройствами, а также ответа на события, связанные с обслуживаемыми устройствами. Зарегистрированные сведения об устройстве (такие как описание, время жизни, контейнеры) могут быть сохранены на диске и объявляются в сети после регистрации или перезагрузки операционной системы. В дополнение к описаниям служб и странице представления служба содержит веб-сервер, который обслуживает устройство.

Имя системной службы: UPNPHost

Протокол приложений	Протокол	Порты
UPNP	TCP	2869

Служба WINS

Служба WINS (Windows Internet Name Service) обеспечивает разрешение имен NetBIOS. Она позволяет обнаруживать сетевые ресурсы по именам NetBIOS. Использование серверов WINS обязательно, кроме случаев, когда во всех доменах установлена служба каталогов Active Directory, и все компьютеры сети находятся под управлением Windows 2000 или более поздней версии. Серверы WINS обмениваются данными с клиентами сети с помощью разрешения имен NetBIOS. Репликация WINS требуется только между серверами WINS.

Имя системной службы: WINS

Протокол приложений	Протокол	Порты
Разрешение имен NetBIOS	UDP	137
Репликация WINS	TCP	42
Репликация WINS	UDP	42

Службы Windows Media

В Windows Server 2003 и в более поздних версиях службы Windows Media заменяют следующие компоненты служб Windows Media версий 4.0 и 4.1:

Windows Media Monitor Service
Windows Media Program Service
Windows Media Station Service
Служба Windows Media Unicast

На данный момент службы Windows Media являются единой службой, работающей на Windows Server. Основные компоненты этой службы были разработаны с помощью модели СОМ. Гибкая архитектура службы позволяет настраивать ее для отдельных программ. Службы Windows Media поддерживают большое количество управляющих протоколов, включая RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server) и НТТР.

Имя системной службы: WMServer

Протокол приложений	Протокол	Порты
HTTP	TCP	80
MMS	TCP	1755
MMS	UDP	1755
MS Theater	UDP	2460
RTCP	UDP	5005
RTP	UDP	5004
RTSP	TCP	554

Удаленное управление Windows (WinRM)

Имя системной службы: WinRM

Протокол приложений	Протокол	Порты
WinRM 1.1 и более ранние версии	TP	Порт HTTP по умолчанию — TCP 80, а порт HTTPS по умолчанию — TCP 443.
WinRM 2.0	TP	Порт HTTP по умолчанию — TCP 5985, а порт HTTPS по умолчанию — TCP 5986.

Служба времени Windows

Системная служба времени Windows поддерживает синхронизацию даты и времени на всех компьютерах в сети, работающих под управлением Windows XP или последующих версий и Windows Server 2003 или последующих версий. Эта служба использует протокол NTP (Network Time Protocol) для синхронизации часов компьютера, что позволяет назначать запросам на проверку подлинности в сети и на получение доступа к ресурсам точное значение (метку) времени. Реализация протокола NTP и интеграция поставщиков времени делают службу времени Windows надежной и масштабируемой. На компьютере, который не входит в состав домена, службу времени можно настроить на проведение синхронизации с внешним источником времени. Если служба отключена, время на локальном компьютере не синхронизируется со службой времени в домене Windows или внешней службой времени. В Windows Server 2003 используется протокол NTP (работает на порте 123 UDP), а в Windows 2000 — протокол SNTP (Simple Network Time Protocol) (также работает на порте 123 UDP).

Если в службе времени Windows используется конфигурация домена Windows, для работы службы требуются локатор контроллера домена и службы проверки подлинности. Таким образом, требуются порты для протоколов Kerberos и DNS.

Имя системной службы: W32Time

Протокол приложений	Протокол	Порты
NTP	UDP	123
SNTP	UDP	123

служба веб-публикации;

Служба веб-публикаций обеспечивает инфраструктуру, которая необходима для регистрации, управления, мониторинга и обслуживания веб-сайтов и программ, зарегистрированных на сервере IIS. В состав службы входит диспетчер процессов и диспетчер конфигурации. Диспетчер процессов управляет процессами пользовательских приложений и веб-сайтов. Диспетчер конфигурации считывает сохраненную системную конфигурацию службы веб-публикации и обеспечивает маршрутизацию НТТР-запросов соответствующему пулу приложений или процессу операционной системы с помощью параметров файла Http.sys. Порты, которые используются службой, можно настраивать с помощью оснастки диспетчера IIS. Если включен административный веб-сайт, то создается виртуальный веб-сайт, который использует трафик HTTP в TCP-порте 8098.

Имя системной службы: W3SVC

Протокол приложений	Протокол	Порты
HTTP	TCP	80
HTTPS	TCP	443

Порты и протоколы

В приведенной ниже таблице обобщаются сведения раздела Порты системных служб. Таблица отсортирована по номерам портов, а не по названиям служб.

Порт	Протокол	Протокол приложений	Имя системной службы
н/д	GRE	GRE (47, протокол IP)	Маршрутизация и удаленный доступ
н/д	ESP	IPSec ESP (50, протокол IP)	Маршрутизация и удаленный доступ
н/д	AH	IPSec AH (51, протокол IP)	Маршрутизация и удаленный доступ
7	TCP	Эхо	Простые службы TCP/IP
7	UDP	Эхо	Простые службы TCP/IP
9	TCP	Discard	Простые службы TCP/IP
9	UDP	Discard	Простые службы TCP/IP
13	TCP	Daytime	Простые службы TCP/IP
13	UDP	Daytime	Простые службы TCP/IP
17	TCP	Quotd	Простые службы TCP/IP
17	UDP	Quotd	Простые службы TCP/IP
19	TCP	Chargen	Простые службы TCP/IP
19	UDP	Chargen	Простые службы TCP/IP
20	TCP	FTP-данные по умолчанию	Служба публикации FTP
21	TCP	Управление FTP	Служба публикации FTP
21	TCP	Управление FTP	Служба шлюза уровня приложения
23	TCP	Telnet	Telnet
25	TCP	SMTP	Протокол SMTP
25	TCP	SMTP	Exchange Server
42	TCP	Репликация WINS	Служба WINS
42	UDP	Репликация WINS	Служба WINS
53	TCP	DNS	DNS-сервер
53	UDP	DNS	DNS-сервер
53	TCP	DNS	Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
53	UDP	DNS	Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
67	UDP	DHCP-сервер	DHCP-сервер
67	UDP	DHCP-сервер	Общий доступ к подключению Интернета / брандмауэр подключения к Интернету
69	UDP	TFTP	Служба управляющей программы элементарного протокола FTP
80	TCP	HTTP	Службы Windows Media
80	TCP	HTTP	WinRM 1.1 и более ранние версии
80	TCP	HTTP	служба веб-публикации;
80	TCP	HTTP	SharePoint Portal Server
88	TCP	Kerberos;	Центр распространения ключей Kerberos
88	UDP	Kerberos;	Центр распространения ключей Kerberos
102	TCP	X.400	Стеки агента передачи сообщений Microsoft Exchange
110	TCP	POP3	Служба Microsoft POP3
110	TCP	POP3	Exchange Server
119	TCP	NNTP	Протокол NNTP
123	UDP	NTP	Служба времени Windows
123	UDP	SNTP	Служба времени Windows
135	TCP	RPC	Очереди сообщений
135	TCP	RPC	Удаленный вызов процедур
135	TCP	RPC	Exchange Server
135	TCP	RPC	Службы сертификации
135	TCP	RPC	Служба кластеров
135	TCP	RPC	Пространства имен распределенной файловой системы
135	TCP	RPC	Отслеживание изменившихся связей
135	TCP	RPC	Координатор распределенных транзакций
135	TCP	RPC	Служба репликации распределенной файловой системы
135	TCP	RPC	Служба факсов
135	TCP	RPC	Microsoft Exchange Server
135	TCP	RPC	Служба репликации файлов
135	TCP	RPC	Групповая политика
135	TCP	RPC	Локальная система безопасности
135	TCP	RPC	Уведомления удаленного хранилища
135	TCP	RPC	Удаленное хранилище
135	TCP	RPC	Systems Management Server 2.0
135	TCP	RPC	RDSL
135	TCP	RPC	Брокер подключений к удаленному рабочему столу
137	UDP	Разрешение имен NetBIOS	Браузер компьютеров
137	UDP	Разрешение имен NetBIOS	Сервер
137	UDP	Разрешение имен NetBIOS	Служба WINS
137	UDP	Разрешение имен NetBIOS	Сетевой вход в систему
137	UDP	Разрешение имен NetBIOS	Systems Management Server 2.0
138	UDP	Служба датаграмм NetBIOS	Браузер компьютеров
138	UDP	Служба датаграмм NetBIOS	Сервер
138	UDP	Служба датаграмм NetBIOS	Сетевой вход в систему
138	UDP	Служба датаграмм NetBIOS	Распределенная файловая система
138	UDP	Служба датаграмм NetBIOS	Systems Management Server 2.0
138	UDP	Служба датаграмм NetBIOS	Служба учета лицензий
139	TCP	Служба сеансов NetBIOS	Браузер компьютеров
139	TCP	Служба сеансов NetBIOS	Служба факсов
139	TCP	Служба сеансов NetBIOS	Журналы и оповещения производительности
139	TCP	Служба сеансов NetBIOS	Очередь печати принтера
139	TCP	Служба сеансов NetBIOS	Сервер
139	TCP	Служба сеансов NetBIOS	Сетевой вход в систему
139	TCP	Служба сеансов NetBIOS	Локатор удаленного вызова процедур
139	TCP	Служба сеансов NetBIOS	Пространства имен распределенной файловой системы
139	TCP	Служба сеансов NetBIOS	Systems Management Server 2.0
139	TCP	Служба сеансов NetBIOS	Служба учета лицензий
143	TCP	IMAP	Exchange Server
161	UDP	SNMP	Служба SNMP
162	UDP	Исходящие ловушки SNMP	Служба ловушек SNMP
389	TCP	Сервер LDAP	Локальная система безопасности
389	UDP	Локатор контроллеров домена	Локальная система безопасности
389	TCP	Сервер LDAP	Пространства имен распределенной файловой системы
389	UDP	Локатор контроллеров домена	Пространства имен распределенной файловой системы
389	UDP	Локатор контроллеров домена	Netlogon
389	UDP	Локатор контроллеров домена	Центр распространения ключей Kerberos
389	TCP	Сервер LDAP	Репликация распределенной файловой системы
389	UDP	Локатор контроллеров домена	Репликация распределенной файловой системы
443	TCP	HTTPS	HTTP SSL
443	TCP	HTTPS	служба веб-публикации;
443	TCP	HTTPS	SharePoint Portal Server
443	TCP	RPC по HTTPS	Exchange Server 2003
443	TCP	HTTPS	WinRM 1.1 и более ранние версии
445	TCP	SMB	Служба факсов
445	TCP	SMB	Очередь печати принтера
445	TCP	SMB	Сервер
445	TCP	SMB	Локатор удаленного вызова процедур
445	TCP	SMB	Пространства имен распределенной файловой системы
445	TCP	SMB	Репликация распределенной файловой системы
445	TCP	SMB	Служба учета лицензий
445	TCP	SMB	Сетевой вход в систему
464	UDP	Пароль Kerberos версии 5	Центр распространения ключей Kerberos
464	TCP	Пароль Kerberos версии 5	Центр распространения ключей Kerberos
500	UDP	IPsec ISAKMP	Локальная система безопасности
515	TCP	LPD	Сервер печати TCP/IP
554	TCP	RTSP	Службы Windows Media
563	TCP	NNTP по SSL	Протокол NNTP
593	TCP	Сопоставитель конечных точек RPC по HTTPS	Удаленный вызов процедур
593	TCP	RPC по HTTPS	Exchange Server
636	TCP	LDAP SSL	Локальная система безопасности
636	UDP	LDAP SSL	Локальная система безопасности
647	TCP	Отработка отказа DHCP	Отработка отказа DHCP
9389	TCP	Веб-службы Active Directory (ADWS)	Веб-службы Active Directory (ADWS)
9389	TCP	Веб-службы Active Directory (ADWS)	Служба Active Directory Management Gateway Service
993	TCP	IMAP по SSL	Exchange Server
995	TCP	POP3 по SSL	Exchange Server
1067	TCP	Служба Installation Bootstrap Service	Сервер протокола Installation Bootstrap
1068	TCP	Служба Installation Bootstrap Service	Клиент протокола Installation Bootstrap
1270	TCP	MOM-Encrypted	Microsoft Operations Manager 2000
1433	TCP	SQL по TCP	Microsoft SQL Server
1433	TCP	SQL по TCP	MSSQL$UDDI
1434	UDP	SQL Probe	Microsoft SQL Server
1434	UDP	SQL Probe	MSSQL$UDDI
1645	UDP	Традиционный RADIUS	Служба проверки подлинности в Интернете
1646	UDP	Традиционный RADIUS	Служба проверки подлинности в Интернете
1701	UDP	L2TP	Маршрутизация и удаленный доступ
1723	TCP	PPTP	Маршрутизация и удаленный доступ
1755	TCP	MMS	Службы Windows Media
1755	UDP	MMS	Службы Windows Media
1801	TCP	MSMQ	Очереди сообщений
1801	UDP	MSMQ	Очереди сообщений
1812	UDP	Проверка подлинности RADIUS	Служба проверки подлинности в Интернете
1813	UDP	Учетные данные RADIUS	Служба проверки подлинности в Интернете
1900	UDP	SSDP	Служба обнаружения SSDP
2101	TCP	MSMQ-DCs	Очереди сообщений
2103	TCP	MSMQ-RPC	Очереди сообщений
2105	TCP	MSMQ-RPC	Очереди сообщений
2107	TCP	MSMQ-Mgmt	Очереди сообщений
2393	TCP	OLAP Services 7.0	SQL Server: поддержка клиентов OLAP нижнего уровня
2394	TCP	OLAP Services 7.0	SQL Server: поддержка клиентов OLAP нижнего уровня
2460	UDP	MS Theater	Службы Windows Media
2535	UDP	MADCAP	DHCP-сервер
2701	TCP	SMS Remote Control (управление)	Агент удаленного управления SMS
2701	UDP	SMS Remote Control (управление)	Агент удаленного управления SMS
2702	TCP	SMS Remote Control (данные)	Агент удаленного управления SMS
2702	UDP	SMS Remote Control (данные)	Агент удаленного управления SMS
2703	TCP	SMS Remote Chat	Агент удаленного управления SMS
2703	UPD	SMS Remote Chat	Агент удаленного управления SMS
2704	TCP	SMS Remote File Transfer	Агент удаленного управления SMS
2704	UDP	SMS Remote File Transfer	Агент удаленного управления SMS
2725	TCP	Службы SQL Analysis Services	Службы SQL Server Analysis Services
2869	TCP	UPNP	Узел универсальных PNP-устройств
2869	TCP	Уведомление о событиях SSDP	Служба обнаружения SSDP
3268	TCP	Глобальный каталог	Локальная система безопасности
3269	TCP	Глобальный каталог	Локальная система безопасности
3343	UDP	Службы кластеров	Служба кластеров
3389	TCP	RDS	RDS
3389	UDP	RDS	RDS
3527	UDP	MSMQ-Ping	Очереди сообщений
4011	UDP	BINL	Удаленная установка
4500	UDP	NAT-T	Локальная система безопасности
5000	TCP	Уведомление о событиях SSDP (традиционный)	Служба обнаружения SSDP
5004	UDP	RTP	Службы Windows Media
5005	UDP	RTCP	Службы Windows Media
5722	TCP	RPC	Репликация распределенной файловой системы
6001	TCP	Банк данных	Exchange Server 2003
6002	TCP	Directory Referral	Exchange Server 2003
6004	TCP	DSProxy/NSPI	Exchange Server 2003
42424	TCP	Состояние сеанса ASP.NET	Служба состояния ASP.NET
51515	TCP	MOM-Clear	Microsoft Operations Manager 2000
5985	TCP	HTTP	WinRM 2.0
5986	TCP	HTTPS	WinRM 2.0
1024–65535	TCP	RPC	Произвольно назначенные порты TCP с большими номерами
135	TCP	WMI	Служба Hyper-V
произвольный номер порта в диапазоне от 49152 до 65535	TCP	Произвольно назначенные порты TCP с большими номерами	Служба Hyper-V
80	TCP	Проверка подлинности Kerberos (HTTP)	Служба Hyper-V
443	TCP	Проверка подлинности на основе сертификата (HTTPS)	Служба Hyper-V
6600	TCP	Динамическая миграция	Динамическая миграция Hyper-V
445	TCP	SMB	Динамическая миграция Hyper-V
3343	UDP	Трафик службы кластеров	Динамическая миграция Hyper-V

Порт 5722 использовался только в контроллерах доменов Windows Server 2008 или Windows Server 2008 R2. Он не используется в контроллере домена Windows Server 2012. Порт 445 используется DFSR только при создании новой пустой реплицированной папки.

Часть этих сведений в формате книги Microsoft Excel можно загрузить с веб-сайта Центра загрузки Майкрософт.

Требования к портам и протоколам Active Directory

Серверам приложений, клиентским компьютерам и контроллерам домена, которые расположены в одном лесу или во внешних лесах, для правильного выполнения инициированных пользователями или компьютерами операций, таких как присоединение к домену, проверка подлинности входа в систему, удаленное администрирование и репликация Active Directory, необходимы соответствующие зависимости служб. Эти службы и операции используют сетевые подключения по определенным портам и сетевым протоколам.

Ниже представлен обобщенный список служб, портов и протоколов, необходимых рядовым компьютерам и контроллерам домена для взаимодействия друг с другом, а серверам приложений — для получения доступа к Active Directory.

Список служб, от которых зависит Active Directory:

Active Directory/LSA
Браузер компьютеров
Пространства имен распределенной файловой системы
Репликация распределенной файловой системы (если не используется FRS для репликации SYSVOL)
Служба репликации файлов (если не используется DFSR для репликации SYSVOL)
Центр распространения ключей Kerberos
Сетевой вход в систему
Удаленный вызов процедур (RPC)
Сервер
Протокол SMTP
WINS (в Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версиях для резервных репликаций Active Directory, если служба DNS не работает)
Служба времени Windows
служба веб-публикации;

Список служб, для которых требуются службы Active Directory:

Службы сертификации (нужны в системах с определенной конфигурацией)
DHCP-сервер
Пространства имен распределенной файловой системы (при использовании доменных пространств имен)
Репликация распределенной файловой системы
Сервер отслеживания изменившихся связей
Координатор распределенных транзакций
DNS-сервер
Служба факсов
Служба репликации файлов
Служба проверки подлинности в Интернете
Учет лицензий
Сетевой вход в систему
Очередь печати принтера
Удаленная установка
Локатор удаленного вызова процедур (RPC)
Уведомления удаленного хранилища
Удаленное хранилище
Маршрутизация и удаленный доступ
Сервер
Протокол SMTP
RDS
RDSL
Брокер подключений к удаленному рабочему столу

Ссылки

Файлы справки для описанных в этой статье продуктов Майкрософт содержат дополнительные сведения по настройке программ.

Сведения о брандмауэрах и портах доменных служб Active Directory см. в разделе Настройка брандмауэра для доменов Active Directory и отношений доверия.

Общие сведения

Дополнительные сведения об обеспечении безопасности Windows Server и примеры фильтров IPSec для отдельных ролей сервера см. в разделе Microsoft Security Compliance Manager. Это средство объединяет все предыдущие рекомендации по обеспечению безопасности и документацию по безопасности в единую служебную программу для всех поддерживаемых операционных систем Майкрософт.

Базовые настройки безопасности Windows
Базовый план безопасности Windows Server 2008 R2
Базовый план безопасности Windows Server 2008
Базовый план безопасности Windows Server 2003
Базовый план безопасности Windows 7
Базовый план безопасности Windows Vista
Базовый план безопасности Windows XP

Дополнительные сведения о службах, параметрах безопасности и фильтрах IPsec операционной системы см. в одном из следующих руководств по угрозам и мерам противодействия.

Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2008 R2 и Windows 7
Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2008 и Windows Vista
Руководство по угрозам и защитным мерам: параметры безопасности в Windows Server 2003 и Windows XP

Дополнительные сведения см. в статьях:

Сетевые порты, используемые ключевыми продуктами Microsoft Server
Active Directory и требования к порту доменных служб Active Directory.

Использование стандартных портов координируется агентством IANA (Internet Assigned Numbers Authority). Список назначений портов TCP/IP этой организации представлен в реестре наименований служб и портов транспортных протоколов.

Удаленный вызов процедур и модель DCOM

Подробное описание RPC см. в разделе Удаленный вызов процедур (RPC).

Дополнительные сведения о настройке RPC для работы с брандмауэром см. в разделе Настройка динамического выделения портов RPC для работы с брандмауэрами.

Дополнительные сведения о протоколе RPC и инициализации компьютеров под управлением Windows 2000 см. в разделе Анализ трафика во время загрузки и входа в систему Windows 2000.

Контроллеры домена и служба Active Directory

Дополнительные сведения о том, как ограничить репликацию Active Directory и трафик для входа клиента, см. в разделе Ограничение трафика репликации Active Directory и клиентского трафика RPC в определенный порт.

Описание того, как связаны системный агент каталога, LDAP и администратор локальной системы см. в разделе Системный агент каталога.

Дополнительные сведения о работе LDAP и глобального каталога см. в разделе Как работает глобальный каталог.

Exchange Server

Сведения о портах, проверке подлинности и шифровании для всех путей к данным, используемых Microsoft Exchange Server, см. в разделе Сетевые порты для клиентов и поток обработки почты в Exchange.

В зависимости от среды может потребоваться принять во внимание дополнительные компоненты. Более подробные сведения и справку о планировании реализации сервера Exchange см. на следующих веб-сайтах корпорации Майкрософт.

Exchange Server 2013
Exchange Server 2007
Exchange Server 2003

Служба репликации распределенной файловой системы

Служба репликации распределенной файловой системы включает запускаемое из командной строки средство Dfsrdiag.exe. С помощью Dfsrdiag.exe можно устанавливать порт сервера RPC, используемый для администрирования и репликации. Процедура использования Dfsrdiag.exe для настройки RPC порта сервера приведена в следующем примере:

dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso.com

В этом примере nnnnn представляет один статический RPC-порт, который будет использоваться DFSR для репликации. Branch01.sales.contoso.com — DNS- или NetBIOS-имя конечного компьютера члена. Если компьютер не указан, Dfsrdiag.exe использует локальный компьютер.

Службы IIS

Дополнительные сведения о портах в IIS 6.0 см. в разделе Фильтрация портов TCP/IP.

Дополнительные сведения о протоколе FTP см. в следующих источниках:

Веб-страница службы FTP-публикации
Настройка поддержки брандмауэра FTP

Протокол MADCAP (Multicast Address Dynamic Client Allocation Protocol)

Дополнительные сведения о планировании серверов MADCAP см. в разделе Контрольный список: установка сервера MADCAP.

Очереди сообщений

Дополнительные сведения о портах, используемых в очереди сообщений (Майкрософт), см. в разделе Порты TCP, порты UDP и порты RPC, используемые в очереди сообщений.

Запускается из Microsoft Operations Manager

Дополнительные сведения о планировании и развертывании MOM см. в разделе Библиотека документации разработчика System Center.

RDS

Дополнительные сведения о настройке порта, используемого службой удаленных рабочих столов, см. в статье Изменение порта прослушивания для удаленного рабочего стола на компьютере.

Управление обменом данными через Интернет в Windows

Службы Windows Media

Сведения о портах, используемых службами Windows Media, см. в разделе Выделение портов для служб Windows Media.

Обратная связь

Были ли сведения на этой странице полезными?

Обратная связь

Отправить и просмотреть отзыв по

Port 137 за что отвечает

Порты TCP и UDP, используемые программными продуктами Apple

Порты, используемые продуктами Apple

Дополнительная информация

Порты Active Directory

По каким портам работает Active Directory

Дополнительные ссылки

Популярные Похожие записи:

4 Responses to Порты Active Directory

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

NetBIOS: что это, как работает и как проверить

Оглавление

Что такое NetBIOS

Службы NetBIOS

Служба имён (NetBIOS-NS)

Служба рассылки дейтаграмм (NetBIOS-DGM)

Служба сеанса (NetBIOS-SSN)

Как соотносится Имя NetBIOS с именем хоста в Интернете

Имя NetBIOS

Интернет имя хоста

Как обнаружить NetBIOS

nbtstat

Фильтры Wireshark для выделения NetBIOS трафика

Файл LMHOSTS

Эксплуатация NetBIOS

Invoke-Inveigh

Responder

NMBscan

NetBIOS Share Scanner

NBTscan

nbtscan-unixwiz

fakenetbios

nbnspoof

nbtenum

nbtool

nbname

Онлайн сканеры на SuIP.biz

Связанные статьи:

Обзор служб и требования к сетевым портам в Windows

Обзор

Порты системных служб

Active Directory (локальная система безопасности)

Служба шлюза уровня приложения

Служба состояния ASP.NET

Службы сертификации

Служба кластеров

Браузер компьютеров

DHCP-сервер

Пространства имен распределенной файловой системы

Репликация распределенной файловой системы

Сервер отслеживания изменившихся связей

Координатор распределенных транзакций

DNS-сервер

Журнал событий

Служба факсов

Репликация файлов

Служба публикации FTP

Групповая политика

HTTP SSL

Служба Hyper-V

Служба проверки подлинности в Интернете

Общий доступ к подключению Интернета / брандмауэр подключения к Интернету (ICF)

Сервер управления IP-адресами (IPAM)

Сведения о BranchCache

Сервер ISA/TMG

Центр распространения ключей Kerberos

Учет лицензий

Очереди сообщений

Стеки агента передачи сообщений Microsoft Exchange

Служба POP3 (Microsoft)

Сетевой вход в систему

Протокол NNTP

Автономные файлы, служба профилей пользователей, перенаправление папок и основной компьютер

Журналы и оповещения производительности

Очередь печати принтера

Удаленная установка

Удаленный вызов процедур (RPC)

Локатор удаленного вызова процедур (RPC)

Уведомления удаленного хранилища