Service-overzicht en netwerkpoortvereisten voor Windows
Dit artikel bespreekt de vereiste netwerkpoorten, protocollen en services die worden gebruikt door Microsoft-client- en serverbesturingssystemen, servergebaseerde programma's en bijbehorende subonderdelen in het Microsoft Windows Server-systeem. Beheerders en ondersteuningsprofessionals kunnen dit artikel gebruiken als richtlijn om te bepalen welke poorten en protocollen Microsoft-besturingssystemen en -programma's nodig hebben voor netwerkconnectiviteit in een gesegmenteerd netwerk.
Oorspronkelijk KB-nummer: 832017
Belangrijk
Dit artikel bevat meerdere verwijzingen naar het standaardbereik van dynamische poorten. In Windows Server 2008 en nieuwere versies, alsook in Windows Vista en nieuwere versies, is het standaardbereik van dynamische poorten veranderd naar het volgende bereik:
- Startpoort: 49152
- Eindpoort: 65535
Windows 2000, Windows XP en Windows Server 2003 gebruiken het volgende bereik van dynamische poorten:
- Poort starten: 1025
- Eindpoort: 5000
Wat dit voor u betekent:
- Als uw computernetwerkomgeving alleen Windows Server 2012 of een latere versie van Windows gebruikt, moet u connectiviteit inschakelen via het hoge poortbereik van 49152 tot en met 65535.
- Als uw computernetwerkomgeving Windows Server 2012 gebruikt in combinatie met eerdere versies van Windows dan Windows Server 2008 en Windows Vista, moet u connectiviteit inschakelen via beide volgende poortbereiken:
Hoge poortbereik 49152 tot en met 65535
Lage poortbereik 1025 tot en met 5000 - Als uw computernetwerkomgeving enkel versies van Windows ouder dan Windows Server 2008 en Windows Vista gebruikt, moet u connectiviteit over het lage poortbereik van 1025 tot en met 5000 inschakelen.
Voor meer informatie over het standaard dynamische poortbereik, raadpleeg Het standaard dynamische poortbereik voor TCP/IP is gewijzigd.
Gebruik de poortinformatie in dit artikel niet om Windows Firewall te configureren. Raadpleeg Windows Firewall met geavanceerde beveiliging voor informatie over het configureren van Windows Firewall.
Het Windows Server-systeem bevat een uitgebreide en geïntegreerde infrastructuur om te voldoen aan de vereisten van ontwikkelaars en IT-professionals. Dit systeem draait programma's en oplossingen die u kunt gebruiken om informatie snel en eenvoudig te verzamelen, te analyseren en te delen. Deze Microsoft client-, server- en serverprogrammaproducten gebruiken verschillende netwerkpoorten en -protocollen om te communiceren met clientsystemen en andere serversystemen via het netwerk. Dedicated firewalls, hostgebaseerde firewalls en Internet Protocol security-filters (IPsec) zijn andere belangrijke onderdelen die essentieel zijn om uw netwerk te beveiligen. Als deze technologieën echter geconfigureerd worden om poorten en protocollen die door een specifieke server worden gebruikt te blokkeren, zal deze server niet langer reageren op aanvragen van clients.
Overzicht
De volgende lijst geeft een overzicht van de informatie die in dit artikel is opgenomen:
De sectie Systeemservicepoorten:
- Bevat een korte beschrijving van elke service.
- Geeft de logische naam van elke service weer.
- Geeft de poorten en protocollen aan die elke service nodig heeft voor een correcte werking.
Gebruik deze sectie om te identificeren welke poorten en protocollen een specifieke service gebruikt.
De sectie Poorten en protocollen bevat een tabel die de informatie uit de sectie Systeemservicepoorten samenvat. De tabel is gesorteerd volgens poortnummer in plaats van de servicenaam. Gebruik deze sectie om snel te bepalen welke services op een bepaalde poort luisteren.
Dit artikel gebruikt bepaalde termen op specifieke manieren. Om verwarring te vermijden, zorg ervoor dat u begrijpt hoe het artikel deze termen gebruikt:
- Systeemservices: Systeemservices zijn programma's die automatisch worden geladen als onderdeel van het opstartproces van een toepassing of als onderdeel van het opstartproces van het besturingssysteem. Systeemservices ondersteunen de verschillende taken die het besturingssysteem moet uitvoeren. Sommige systeemservices die beschikbaar zijn op computers die Windows Server 2003 Enterprise Edition draaien, beschikken bijvoorbeeld over de Server-service, de Print Spooler-service, en de World Wide Web-publicatieservice. Elke systeemservice heeft een beschrijvende servicenaam en een servicenaam. De beschrijvende servicenaam is de naam die wordt weergegeven in grafische beheerhulpprogramma's, zoals de MMC-module (Services Microsoft Management Console). De servicenaam is de naam die wordt gebruikt bij opdrachtregelprogramma's en bij veel scripttalen. Elke systeemservice kan een of meerdere netwerkservices bieden.
- Toepassingsprotocol: in dit artikel verwijst toepassingsprotocol naar een netwerkprotocol op hoog niveau dat gebruikmaakt van een of meer TCP/IP-protocollen en poorten. Voorbeelden van toepassingsprotocollen zijn o.a. HTTP, serverberichtblokken (SMB's) en Simple Mail Transfer Protocol (SMTP).
- TCP/IP-protocollen zijn standaardformaten voor communicatie tussen apparaten op een netwerk. TCP/IP-protocollen werken op een lager niveau dan de toepassingsprotocollen. De TCP/IP-protocolsuite bevat o.a. TCP, User Datagram Protocol (UDP) en Internet Control Message Protocol (ICMP).
- Poort: dit is de netwerkpoort waarop de systeemservice luistert naar binnenkomend netwerkverkeer.
Dit artikel geeft niet aan welke services vertrouwen op andere services voor netwerkcommunicatie. Veel services vertrouwen bijvoorbeeld op de externe procedureaanroep (RPC) of DCOM-functies in Microsoft Windows om dynamische TCP-poorten toe te wijzen. De externe procedureaanroep-service coördineert aanvragen van andere systeemservices die gebruikmaken van RPC of DCOM voor communicatie met clientcomputers. Veel andere services vertrouwen op NetBIOS (Network Basic Input/Output System) of SMB's, protocollen die worden voorzien door de Server-service. Andere services vertrouwen dan weer op HTTP of Hypertext Transfer Protocol Secure (HTTPS). Deze protocollen worden voorzien door Internet Information Services (IIS). Een volledige discussie over de architectuur van Windows-besturingssystemen valt buiten het bestek van dit artikel. Gedetailleerde documentatie met betrekking tot dit onderwerp is beschikbaar op de websites van Microsoft TechNet en Microsoft Developer Network (MSDN). Hoewel veel services vertrouwen op een specifieke TCP- of UDP-poort, kan slechts één service of proces tegelijkertijd op die poort luisteren.
Gebruikt u RPC met TCP/IP of met UDP/IP als transport, dan worden binnenkomende poorten vaak dynamisch toegewezen aan systeemservices wanneer nodig. TCP/IP- en UDP/IP-poorten die hoger zijn dan poort 1024 worden gebruikt. Deze poorten worden ook informeel willekeurige RPC-poorten genoemd. In deze gevallen vertrouwen RPC-clients op de RPC-eindpunttoewijzer, die aangeeft welke dynamische poort(en) toegewezen zijn aan de server. Voor sommige RPC-gebaseerde services kunt u een specifieke poort configureren in plaats van RPC dynamisch een poort te laten toewijzen. U kunt het poortbereik dat RPC dynamisch toewijst ook beperken tot een klein bereik, ongeacht de service. Zie de sectie Verwijzingen voor meer informatie over dit onderwerp.
Dit artikel bevat informatie over de rollen van systeemservices en servers voor de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'. Hoewel deze informatie ook van toepassing kan zijn op Windows XP en Microsoft Windows 2000 Professional, is dit artikel gericht op besturingssystemen van serverklasse. Daarom beschrijft dit artikel dus de poorten waarop een service luistert in plaats van de poorten die clientprogramma's gebruiken om te verbinden met een extern systeem.
Poorten van systeemservices
Deze sectie geeft een beschrijving van elke systeemservice, met inbegrip van de logische naam die overeenkomt met de systeemservice, en geeft de poorten en protocollen weer die elke service vereist.
Active Directory (lokale certificeringsinstantie)
Active Directory draait onder het proces Lsass.exe en bevat de authenticatie- en replicatie-engines voor Windows-domeincontrollers. Domeincontrollers, clientcomputers en toepassingsservers moeten via het netwerk verbonden zijn met Active Directory via specifieke in code vastgelegde poorten. Tenzij een tunnelingprotocol wordt gebruikt om het verkeer naar de Active Directory in te kapselen, is bovendien een reeks kortstondige TCP-poorten tussen 1024 tot 5000 en 49152 tot 65535 vereist.
Notitie
Als uw computernetwerkomgeving alleen gebruikmaakt van Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista of latere versies, moet u connectiviteit inschakelen via het hoge poortbereik van 49152 tot en met 65535.
Als uw computernetwerkomgeving Gebruikmaakt van Windows Server 2008 R2, Windows Server 2008, Windows 7, Windows Vista of nieuwere versies samen met versies van Windows ouder dan Windows Server 2008 en Windows Vista, moet u connectiviteit via beide poortbereiken inschakelen:
Hoge poortbereik van 49152 tot en met 65535
Lage poortbereik van 1025 tot en met 5000Als uw computernetwerkomgeving enkel versies van Windows ouder dan Windows Server 2008 en Windows Vista gebruikt, moet u connectiviteit over het lage poortbereik van 1025 tot en met 5000 inschakelen.
Een ingekapselde oplossing kan bestaan uit een VPN-gateway achter een filterende router die gebruikmaakt van Layer 2 Tunneling Protocol (L2TP) in combinatie met IPsec. In dit ingekapselde scenario moet u de volgende items door de router toestaan in plaats van alle poorten en protocollen die vermeld worden in dit artikel te openen:
- IPsec Encapsulating Security Protocol (ESP) (IP-protocol 50)
- IPsec Network Address Translator Traversal NAT-T (UDP-poort 4500)
- IPsec Internet Security Association and Key Management Protocol (ISAKMP) (UDP-poort 500)
Ten slotte kunt u de poort die wordt gebruikt voor de Active Directory-replicatie in de code vastleggen door de stappen in Beperken van Active Directory RPC-verkeer naar een specifieke poort te volgen: Naam systeemservice: LSASS.
Notitie
Pakketfilters voor L2TP-verkeer zijn niet vereist, omdat L2TP beschermd wordt door IPsec ESP.
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| Active Directory Web Services (ADWS) | TCP | 9389 |
| Active Directory Management Gateway Service | TCP | 9389 |
| Globale catalogus | TCP | 3269 |
| Globale catalogus | TCP | 3268 |
| ICMP | Geen poortnummer | |
| LDAP-server (Lightweight Directory Access Protocol) | TCP | 389 |
| LDAP Server | UDP | 389 |
| LDAP SSL | TCP | 636 |
| IPsec ISAKMP | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| RPC willekeurig toegewezen hoge TCP-poorten¹ | TCP | 49152 - 65535 |
| MKB | TCP | 445 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Domeincontrollers en Active Directory' in de sectie Verwijzingen. Dit geldt ook voor externe WMI- en DCOM-communicatie die voor het eerst wordt gebruikt bij de promotie van de Windows Server 2012-domeincontroller tijdens de validatie van vereisten en met het hulpprogramma Server Manager.
De Microsoft LDAP-client gebruikt daarnaast ICMP-pings om te verifiëren dat een LDAP-server waarbij hij een aanvraag in behandeling heeft nog op het netwerk aanwezig is. De volgende instellingen zijn opties voor de LDAP-sessie:
- PingKeepAliveTimeout = 120 seconden (hoe lang de server na de laatste reactie wacht voordat de ping wordt verzonden)
- PingLimit = 4 (hoeveel pings worden verzonden voordat de verbinding wordt gesloten)
- PingWaitTimeout = 2000 ms (hoelang wordt gewacht op het antwoord van de ICMP)
- Verwijzing: LdapSessionOptions Class
Application Layer Gateway-service
Dit subonderdeel van de service Internetverbinding delen/Internet Connection Firewall (ICF) biedt ondersteuning voor plug-ins die het mogelijk maken om protocollen door de firewall te laten en te werken onder een gedeelde internetverbinding. ALG-plug-ins (Application Layer Gateway) kunnen poorten openen en gegevens uitwisselen (zoals poorten en IP-adressen) die in pakketten ingesloten zijn. FTP is het enige netwerkprotocol met een plug-in dat inbegrepen is bij Windows Server. De ALG FTP-plug-in ondersteunt actieve FTP-sessies via de NAT-engine (Network Address Translation) die deze onderdelen gebruiken. De ALG FTP-plug-in ondersteunt deze sessies door al het verkeer dat aan de volgende criteria voldoet door te verwijzen naar een particuliere controlepoort in het bereik van 3000 tot 5000 op de loopback-adapter:
- Gaat door de NAT-engine
- Wordt doorverwezen naar poort 21
De ALG FTP-plug-in bewaakt en updatet dan het verkeer op het FTP-besturingskanaal zodat de FTP-plug-in poorttoewijzingen kan doorsturen via de NAT voor de FTP-gegevenskanalen. De FTP-plug-in updatet ook poorten in de FTP-besturingskanaalstroom.
Naam systeemservice: ALG
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| FTP-controle | TCP | 21 |
ASP.NET State Service
ASP.NET State Service biedt ondersteuning voor ASP.NET-out-of-process-sessiestatussen. ASP.NET State Service slaat sessiegegevens out-of-process op. De service gebruikt sockets om te communiceren met ASP.NET, dat op een webserver draait.
Naam systeemservice: aspnet_state
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| ASP.NET-sessiestatus | TCP | 42424 |
Certificate Services
Certificate Services maken deel uit van het primaire besturingssysteem. Door Certificate Services te gebruiken, kan een bedrijf handelen als zijn eigen certificeringsinstantie (CA). Hiermee kunnen bedrijven digitale certificaten uitgeven en beheren voor programma's en protocollen zoals:
- Secure/Multipurpose Internet Mail Extensions (S/MIME)
- SSL (Secure Sockets Layer)
- Encrypting File System (EFS)
- IPsec
- Smartcardaanmelding
Certificate Services vertrouwen op RPC en DCOM om met clients te communiceren door willekeurige TCP-poorten te gebruiken die hoger zijn dan poort 1024.
Naam systeemservice: CertSvc
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| MKB | TCP | 445, 139 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Raadpleeg 3.2.2.6.2.1.4.5.9 msPKI-Certificate-Name-Flag voor meer informatie.
Clusterservice
De Clusterservice verwerkt serverclusterbewerkingen en beheert de clusterdatabase. Een cluster is een verzameling van onafhankelijke computers die handelen als enkele computer. Beheerders, programmeurs en gebruikers zien de cluster als een enkel systeem. De software verdeelt gegevens onder de knooppunten van de cluster. Bij een knooppuntfout leveren andere knooppunten de services en gegevens die voorheen werden geleverd door het ontbrekende knooppunt. Als een knooppunt wordt toegevoegd of hersteld, migreert de clustersoftware een deel van de gegevens naar dat knooppunt.
Naam systeemservice: ClusSvc
| Toepassing | Protocol | Poorten |
|---|---|---|
| Clusterservice | UDP en DTLS¹ | 3343 |
| Clusterservice | TCP | 3343 (Deze poort is vereist tijdens een JOIN-bewerking van een knooppunt.) |
| Clusterservice | ICMP | Echopoort (deze poort is vereist tijdens een knooppuntdeelnamebewerking vanuit de wizard Knooppunt toevoegen.) |
| Clusterservice | TCP | 445 (Deze poort is vereist tijdens een knooppuntdeelnamebewerking vanuit de wizard Knooppunt toevoegen.) |
| RPC | TCP | 135 |
| Clusterbeheer | UDP | 137 |
| Willekeurig toegewezen hoge poorten² | TCP | Willekeurig poortnummer tussen 49152 en 65535 |
| WinRM | TCP | 5985 (Deze poort is vereist bij het implementeren van cloudwitness.) |
Notitie
Voor succesvolle validatie op Windows-failoverclusters voor 2008 en nieuwer moet u ook binnenkomend en uitgaand verkeer voor ICMP4, ICMP6 en poort 445/TCP voor SMB toestaan.
¹ Clusterservice UDP-verkeer via poort 3343 vereist het DTLS-protocol (Datagram Transport Layer Security), versie 1.0 of versie 1.2. DTLS is standaard ingeschakeld. Raadpleeg Protocollen in TLS/SSL (Schannel SSP) voor meer informatie.
² Voor meer informatie over het aanpassen van deze poorten, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Computerbrowser
De systeemservice Computer Browser houdt een actuele lijst van computers op uw netwerk bij. Deze lijst wordt gedistribueerd naar programma's die ze aanvragen. De service Computer Browser wordt gebruikt door Windows-computers om netwerkdomeinen en -bronnen te bekijken. Computers die aangeduid zijn als browsers houden zoeklijsten bij met alle gedeelde bronnen die gebruikt worden op het netwerk. Oudere versies van Windows-programma's, zoals Mijn netwerklocaties, de opdracht net view en Windows Verkenner, vereisen allemaal browserfunctionaliteit. Wanneer u bijvoorbeeld Mijn netwerklocaties opent op een computer die Microsoft Windows 95 draait, zal er een lijst van domeinen en computers verschijnen. Om deze lijst weer te geven, verwerft de computer een kopie van de zoeklijst van een computer die aangeduid is als browser.
Als u enkel Windows Vista en nieuwere versies van Windows draait, is de Browserservice niet langer vereist.
Naam systeemservice: Browser
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
De Browserservice gebruikt RPC over Named pipes om te compileren
Dynamic Host Configuration Protocol (DHCP)-server
De DHCP-serverservice gebruikt de DHCP om automatisch IP-adressen toe te wijzen. U kunt deze service gebruiken om de geavanceerde netwerkinstellingen van DHCP-clients aan te passen. U kunt bijvoorbeeld netwerkinstellingen zoals DNS-servers (Domain Name System) en WINS-servers (Windows Internet Name Service) configureren. U kunt een of meer DHCP-servers tot stand brengen om TCP/IP-configuratiegegevens te onderhouden en door te geven aan clientcomputers.
Naam systeemservice: DHCPServer
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| DHCP-server | UDP | 67 |
| MADCAP | UDP | 2535 |
| DHCP-failover | TCP | 647 |
Distributed File System-naamruimten
De Distributed File System-naamruimten (DFSN) integreren verschillende bestandsshares die zich bevinden op een local area network (LAN) of wide area network (WAN) in een enkele logische naamruimte. De DFSN-service is vereist voor Active Directory-domeincontrollers om de gedeelde SYSVOL-map te adverteren.
Naam systeemservice: Dfs
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 1382 |
| NetBIOS-sessieservice | TCP | 1392 |
| LDAP Server | TCP | 389 |
| LDAP Server | UDP | 389 |
| MKB | TCP | 445 |
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
2 De NETBIOS-poorten zijn optioneel en zijn niet vereist wanneer DFSN FQDN-servernamen gebruikt.
Distributed File System-replicatie
De service Distributed File System-replicatie (DFSR) is een statusafhankelijke engine voor multimaster-bestandsreplicatie die automatisch updates van bestanden en mappen kopieert tussen computers die deelnemen aan een gemeenschappelijke replicatiegroep. DFSR werd toegevoegd in Windows Server 2003 R2. U kunt DFSR configureren met het opdrachtregelprogramma Dfsrdiag.exe om bestanden op specifieke poorten te repliceren, ongeacht of ze deelnemen aan Distributed File System-naamruimten (DFSN).
Naam systeemservice: DFSR
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| RPC | TCP | 57222 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Distributed File Replication-service' in de sectie Verwijzingen.
2 Poort 5722 wordt alleen gebruikt op een Windows Server 2008-domeincontroller of op een Windows Server 2008 R2-domeincontroller. Het wordt niet gebruikt op een Windows Server 2012-domeincontroller.
Distributed Link Tracking-server
De systeemservice Distributed Link Tracking-server slaat gegevens op zodat bestanden die verplaatst worden tussen volumes getraceerd kunnen worden naar elk volume in het domein. De service Distributed Link Tracking-server draait op elke domeincontroller in een domein. Met deze service kan de Distributed Link Tracking-client gekoppelde documenten traceren die verplaatst werden naar een locatie in een ander NTFS-bestandssysteem binnen hetzelfde domein.
Naam systeemservice: TrkSvr
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Distributed Transaction Coordinator
De systeemservice Distributed Transaction Coordinator (DTC) coördineert transacties die gedistribueerd zijn over meerdere computersystemen en bronbeheerders, zoals databases, berichtenwachtrijen, bestandssystemen of andere transactie-beschermde bronbeheerders. De DTC-systeemservice is vereist als transactiecomponenten worden geconfigureerd via Component Object Model Plus (COM+). Het is ook vereist voor transactionele wachtrijen in Message Queuing (ook bekend als MSMQ) en SQL Server-bewerkingen die meerdere systemen omvatten.
Naam systeemservice: MSDTC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Distributed Transaction Coordinator' in de sectie Verwijzingen.
DNS-server
The DNS-serverservice maakt DNS-naamomzetting mogelijk door query's en updateaanvragen voor DNS-namen te beantwoorden. DNS-servers moeten apparaten en services die geïdentificeerd zijn door middel van DNS-namen en domeincontrollers in Active Directory opsporen.
Naam systeemservice: DNS
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Gebeurtenislogboek
De Gebeurtenislogboek-systeemservice houdt logboeken bij van gebeurtenisberichten die worden gegenereerd door programma's en het Windows-besturingssysteem. Gebeurtenislograpporten bevatten informatie die u kunt gebruiken om problemen vast te stellen. Rapporten bekijkt u in de Logboeken. De Gebeurtenissenlogboekservice noteert gebeurtenissen die worden verzonden naar logbestanden door programma's, services en het besturingssysteem. De gebeurtenissen bevatten diagnostische gegevens en specifieke fouten voor het bronprogramma, de service of het onderdeel in kwestie. De logs kunnen programmatisch bekeken worden door de API's van de gebeurtenislogboeken of via de Logboeken in een MMC-module.
Naam systeemservice: Eventlog
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC/named pipes (NP) | TCP | 139 |
| RPC/NP | TCP | 445 |
| RPC/NP | UDP | 137 |
| RPC/NP | UDP | 138 |
Notitie
De Gebeurtenislogboekservice gebruikt RPC over named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Faxservice
Faxservice, een systeemservice die conform Telephony API (TAPI) is en faxfunctionaliteit biedt. Met de Faxservice kunnen gebruikers ofwel een lokaal faxapparaat of een faxapparaat op een gedeeld netwerk gebruiken voor het verzenden en ontvangen van faxen via programma's op hun eigen bureaublad.
Naam systeemservice: Fax
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
File Replication
De File Replication-service (FRS) is een bestandsafhankelijke replicatie-engine die automatisch updates van bestanden en mappen kopieert tussen computers die deelnemen aan een gemeenschappelijke FRS-replicaset. FRS is de standaardreplicatie-engine die wordt gebruikt voor het repliceren van de inhoud van de SYSVOL-map tussen Windows 2000-domeincontrollers en Windows Server 2003-domeincontrollers die zich bevinden in een gemeenschappelijk domein. U kunt het DFS-beheerprogramma gebruiken om FRS te configureren zodat het bestanden en mappen repliceert tussen doelen van een DFS-toegangspunt of -koppeling.
Naam systeemservice: NtFrs
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'File Replication-service' in de sectie Verwijzingen.
FTP Publishing-service
FTP Publishing-service biedt FTP-connectiviteit. Standaard is de FTP-controlepoort 21. U kunt deze systeemservice echter configureren via de module Internet Information Services (IIS)-beheer. De standaardgegevenspoort (die wordt gebruikt voor FTP in de actieve modus) wordt automatisch ingesteld op één poort minder dan de besturingspoort. Als u daarom de controlepoort configureert op poort 4131, is de standaardgegevenspoort 4130. De meeste FTP-clients gebruiken de passieve FTP-modus. Dit betekent dat de client eerst verbinding maakt met de FTP-server door middel van de controlepoort. Vervolgens wijst de FTP-server een hoge TCP-poort tussen 1025 en 5000 toe. Daarna maakt de client een tweede verbinding met de FTP-server om gegevens over te dragen. U kunt het hoge poortbereik configureren door de IIS-metabase te gebruiken.
Naam systeemservice: MSFTPSVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| FTP-controle | TCP | 21 |
| FTP standaardgegevens | TCP | 20 |
| Willekeurig toegewezen hoge TCP-poorten | TCP | willekeurig poortnummer tussen 49152 - 65535 |
Groepsbeleid
Om het Groepsbeleid succesvol toe te passen, moet een clientcomputer een domeincontroller kunnen contacteren via de Kerberos-, LDAP-, SMB- en RPC-protocollen. Windows XP en Windows Server 2003 vereisen ook het ICMP-protocol.
Als een van deze protocollen onbeschikbaar of geblokkeerd is tussen de client en een relevante domeincontroller, zal het Groepsbeleid niet toegepast of bijgewerkt worden. Voor aanmelding over meerdere domeinen heen, waarbij een computer zich in het ene domein en de gebruikersaccount zich in het andere bevindt, kunnen deze protocollen vereist zijn om de client, het brondomein en het accountdomein te laten communiceren. ICMP wordt gebruikt voor detectie van langzame verbindingen.
Naam systeemservice: Groepsbeleid
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| DCOM¹ | TCP + UDP | willekeurig poortnummer tussen 49152 - 65535 |
| ICMP (ping)2 | ICMP | |
| LDAP | TCP | 389 |
| MKB | TCP | 445 |
| RPC¹ | TCP | 135 willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Domeincontrollers en Active Directory' in de sectie Verwijzingen.
2 Dit protocol is alleen vereist door Windows XP en Windows Server 2003 fungeren als clients.
Notitie
Wanneer de Microsoft-beheerconsolemodule Groepsbeleidbeheer (MMC) rapporten voor Resultaten van groepsbeleid en Groepsbeleidsmodel maakt, gebruikt ze DCOM en RPC voor het verzenden en ontvangen van gegevens van de RSoP-provider (resulterende verzameling beleidsregels) op de client of de domeincontroller. De diverse binaire bestanden waaruit de functionaliteit van de Microsoft-beheerconsolemodule Groepsbeleidbeheer (MMC) bestaat, maken voornamelijk gebruik van COM-aanroepen voor het verzenden of ontvangen van gegevens. Wanneer u rapportage van externe groepsbeleidsresultaten start vanaf een Windows Server 2012-computer, is toegang tot het gebeurtenislogboek van de doelcomputer vereist. (Raadpleeg de sectie Gebeurtenislogboek in dit artikel voor vereisten betreffende poorten.)
Windows Server 2012 ondersteunt de initiatie van een update van het groepsbeleid op afstand tegen Windows Server 2012-computers. Hiervoor is binnenkomende RPC/WMI-toegang vereist tot de computer waarop het beleid wordt vernieuwd via poort 135 en poorten 49152-65535.
HTTP SSL
De HTTP SSL-systeemservice laat IIS SSL-functies uitvoeren. SSL is een open standaard voor het tot stand brengen van een versleuteld communicatiekanaal om onderschepping van extreem belangrijke gegevens, zoals creditcardnummers, te voorkomen. Hoewel deze service op andere internetservices werkt, wordt ze voornamelijk gebruikt om versleutelde elektronische financiële transacties op het World Wide Web (WWW) mogelijk te maken. U kunt de poorten voor deze service configureren met behulp van de IIS-beheermodule (Internet Information Services).
Naam systeemservice: HTTPFilter
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| HTTPS | TCP | 443 |
Hyper-V-service
Hyper-V-replica
| Toepassingsprotocol | Protocol | Port |
|---|---|---|
| WMI | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten | TCP | Willekeurig poortnummer tussen 49152 en 65535 |
| Kerberos-authenticatie (HTTP) | TCP | 80 |
| Authenticatie op basis van certificaten (HTTPS) | TCP | 443 |
Hyper-V live migration
| Toepassingsprotocol | Protocol | Port |
|---|---|---|
| Live migration | TCP | 6600 |
| MKB | TCP | 445 |
| Verkeer clusterservice | UDP | 3343 |
IAS (Internet Authentication Service)
Internet Authentication Service (IAS) voert gecentraliseerde authenticatie, autorisatie, controle en boekhouding van gebruikers die verbonden zijn met een netwerk uit. Deze gebruikers kunnen via LAN of extern verbonden zijn. IAS implementeert het RADIUS-standaardprotocol (Remote Authentication Dial-In User Service) van het IETF (Internet Engineering Task Force).
Naam systeemservice: IAS
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| Oude RADIUS | UDP | 1645 |
| Oude RADIUS | UDP | 1646 |
| RADIUS-accounting | UDP | 1813 |
| RADIUS-authenticatie | UDP | 1812 |
Internet Connection Firewall (ICF)/Internetverbinding delen
Deze systeemservice biedt NAT-, adresserings- en naamomzettingsservices voor alle computers op uw thuisnetwerk of klein bedrijfsnetwerk. Wanneer de functie Internetverbinding delen is ingeschakeld, wordt uw computer een internetgateway op het netwerk. Andere clientcomputers kunnen dan een verbinding met het internet delen, zoals een inbel- of breedbandverbinding. Deze service biedt DHCP- en DNS-basisservices, maar werkt ook met de volledige Windows DHCP- of DNS-services. Als ICF en Internetverbinding delen als gateway werken voor de rest van de computers op uw netwerk, bieden ze DHCP- en DNS-services aan het particuliere netwerk op de interface voor het interne netwerk. Ze bieden deze services niet op de interface voor het externe netwerk.
Naam systeemservice: SharedAccess
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| DHCP-server | UDP | 67 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
IP-adresbeheer (IPAM)
De gebruikersinterface van de IPAM-client communiceert met de IPAM-server om beheer op afstand uit te voeren. Dit wordt gedaan met behulp van het Windows Communications Framework (WCF), dat TCP als transportprotocol gebruikt. De TCP-binding wordt uitgevoerd op poort 48885 op de IPAM-server.
Informatie BranchCache
- Poort 3702 (UDP) wordt gebruikt om de beschikbaarheid van inhoud in cache op een client te ontdekken.
- Poort 80 (TCP) wordt gebruikt om inhoud te leveren aan vragende clients.
- Poort 443 (TCP) is de standaardpoort die wordt gebruikt door de gehoste cache om binnenkomende inhoudsaanbiedingen van clients te accepteren.
ISA/TMG-server
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| Configuratieopslag (domein) | TCP | 2171 (opmerking 1) |
| Configuratieopslag (replicatie) | TCP | 2173 (opmerking 1) |
| Configuratieopslag (werkgroep) | TCP | 2172 (opmerking 1) |
| Firewallclienttoepassing | TCP/UDP | 1025-65535 (opmerking 2) |
| Besturingskanaal firewallclient | TCP/UDP | 1745 (opmerking 3) |
| Besturingskanaal firewall | TCP | 3847 (opmerking 1) |
| RPC | TCP | 135 (opmerking 6) |
| Willekeurig toegewezen hoge TCP-poorten (opmerking 6) | TCP | willekeurig poortnummer tussen 1024 - 65535 willekeurig poortnummer tussen 10000 - 65535 (opmerking 7) |
| Webbeheer | TCP | 2175 (opmerking 1, 4) |
| Webproxyclient | TCP | 8080 (opmerking 5) |
Notitie
- Deze poort wordt niet gebruikt met ISA 2000.
- Transport en protocollen van de FWC-toepassing worden onderhandeld binnen het FWC-besturingskanaal.
- ISA 2000 FWC-besturing gebruikt UDP. ISA 2004 en 2006 gebruiken TCP.
- OEM gebruikt Firewallwebbeheer voor niet-MMC-beheer van de ISA-server.
- Deze poort wordt ook gebruikt voor verkeer tussen matrices.
- Deze poort wordt enkel gebruikt door de ISA-beheerconsole tijdens statusbewaking van externe servers en services.
- Dit is het bereik in TMG. Merk op dat TMG het standaard dynamische poortbereik in Windows Server 2008 R2, Windows 7, Windows Server 2008 en Windows Vista uitbreidt.
Kerberos Key Distribution Center
Als u de systeemservice Kerberos Key Distribution Center (KDC) gebruikt, kunnen gebruikers zich aanmelden op het netwerk met versie 5 van het Kerberos-verificatieprotocol. Net als in andere implementaties van het Kerberos-protocol, is het KDC een enkelvoudig proces dat twee services biedt: de Verificatieservice en de Ticket-Granting Service. De Verificatieservice geeft TGT's (Ticket-Granting Tickets) uit en de Ticket-Granting Service geeft tickets uit voor verbinding met andere computers binnen het eigen domein.
Naam systeemservice: kdc
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| Kerberos | TCP | 88 |
| Kerberos | UDP | 88 |
| Kerberos-wachtwoord V5 | UDP | 464 |
| Kerberos-wachtwoord V5 | TCP | 464 |
| DC-locator | UDP | 389 |
License Logging
De LL-systeemservice (License Logging) is een hulpprogramma dat oorspronkelijk is ontworpen om klanten te helpen bij het beheer van licenties voor clienttoegang tot Microsoft-serverproducten. Dergelijke licenties worden ook wel CAL's (Client Access Licenses) genoemd. License Logging is samen met Microsoft Windows NT Server 3.51 geïntroduceerd. De License Logging-service is standaard uitgeschakeld in Windows Server 2003. Door de beperkingen van het oude ontwerp en veranderende licentievoorwaarden kan License Logging mogelijk geen nauwkeurig beeld geven van het totale aantal CAL's dat is aangeschaft in vergelijking met het totale aantal CAL's dat wordt gebruikt voor een bepaalde server of in een hele onderneming. Het aantal CAL's dat wordt gemeld door License Logging kan in strijd zijn met de interpretatie van de Licentievoorwaarden voor Microsoft-software en de productgebruiksrechten (PUR, Product Usage Rights). License Logging is niet inbegrepen in Windows Server 2008 en nieuwere besturingssystemen. We raden aan dat enkel gebruikers van de Microsoft Small Business Server-familie van besturingssystemen deze service inschakelt op hun servers.
Naam systeemservice: LicenseService
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
Notitie
De License Logging-service gebruikt RPC over named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Message Queuing
De Message Queuing-systeemservice is een berichteninfrastructuur en ontwikkelingsprogramma voor het maken van gedistribueerde berichtentoepassingen voor Windows. Deze programma's kunnen communiceren over heterogene netwerken en kunnen berichten versturen tussen computers die mogelijk tijdelijk niet met elkaar kunnen communiceren. Message Queuing biedt beveiliging, efficiënte routering, ondersteuning voor het verzenden van berichten binnen transacties, verzending van berichten op basis van prioriteit en gegarandeerde aflevering van berichten.
Naam systeemservice: MSMQ
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| MSMQ | TCP | 1801 |
| MSMQ | UDP | 1801 |
| MSMQ-DCs | TCP | 2101 |
| MSMQ-Mgmt | TCP | 2107 |
| MSMQ-Ping | UDP | 3527 |
| MSMQ-RPC | TCP | 2105 |
| MSMQ-RPC | TCP | 2103 |
| RPC | TCP | 135 |
Microsoft Exchange MTA-stapels (Message Transfer Agent)
In Microsoft Exchange 2000 Server en Microsoft Exchange Server 2003 wordt de Message Transfer Agent (MTA) regelmatig gebruikt om achterwaarts compatibele Message Transfer-services tussen op Exchange 2000 Server gebaseerde servers en op Exchange Server 5.5 gebaseerde servers in een omgeving in de gemengde modus te bieden.
Naam systeemservice: MSExchangeMTA
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| X.400 | TCP | 102 |
Microsoft POP3-service
De Microsoft POP3-service biedt services voor het overdragen en ophalen van e-mails. Beheerders kunnen deze service gebruiken om e-mailaccounts op de mailserver op te slaan en te beheren. Wanneer u de POP3-service op de mailserver installeert, kunnen gebruikers verbinding maken met de mailserver en e-mailberichten ophalen met behulp van een e-mailclient die het POP3-protocol ondersteunt, zoals Microsoft Outlook.
Naam systeemservice: POP3SVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| POP3 | TCP | 110 |
Netwerkaanmelding
De Netwerkaanmeldingssysteemservice onderhoudt een beveiligingskanaal tussen uw computer en de domeincontroller om gebruikers en services te verifiëren. Het geeft de aanmeldingsgegevens van de gebruiker door aan een domeincontroller en geeft de beveiligings-id's van het domein en de gebruikersrechten voor de gebruiker terug. Dit wordt doorgaans overdrachtsverificatie genoemd. Netwerkaanmelding is geconfigureerd om enkel automatisch te starten wanneer een lidcomputer of -domeincontroller toegevoegd wordt aan een domein. In de Windows 2000 Server- en Windows Server 2003-families publiceert Netwerkaanmelding locatorrecords van servicebronnen in de DNS. Als deze service draait, vertrouwt ze op de WORKSTATION-service en de Lokale certificeringsinstantieservice om te luisteren naar binnenkomende aanvragen. Op computers van domeinleden gebruikt Netwerkaanmelding RPC over named pipes. Op domeincontrollers gebruikt deze RPC over named pipes, RPC over TCP/IP, mailslots en Lightweight Directory Access Protocol (LDAP).
Naam systeemservice: Netlogon
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 1382 |
| NetBIOS-naamomzetting | UDP | 1372 |
| NetBIOS-sessieservice | TCP | 1392 |
| MKB | TCP | 445 |
| LDAP | UDP | 389 |
| RPC¹ | TCP | 135 willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Domeincontrollers en Active Directory' in de sectie Verwijzingen.
2 De NETBIOS-poorten zijn optioneel. Netlogon gebruikt deze alleen voor vertrouwensrelaties die DNS niet ondersteunen of wanneer DNS faalt tijdens een poging tot terugval. Als er geen WINS-infrastructuur is en uitzendingen niet kunnen werken, moet u ofwel NetBt uitschakelen of de computers en servers instellen op NodeType=2.
Notitie
De Net Logon-service gebruikt RPC over named pipes voor eerdere versies van Windows-clients. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Network News Transfer Protocol (NNTP)
Met de systeemservice Network News Transfer Protocol (NNTP) kunnen computers die Windows Server 2003 draaien, werken als nieuwsservers. Clients kunnen een nieuwsclient zoals Microsoft Outlook Express gebruiken om nieuwsgroepen van de server op te halen en de nieuwskoppen of inhoud van de artikels in elke nieuwsgroep te lezen.
Naam systeemservice: NNTPSVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NNTP | TCP | 119 |
| NNTP over SSL | TCP | 563 |
Offlinebestanden, Gebruikersprofielservice, Mapomleiding en Primaire computer
Offlinebestanden en Zwervende gebruikersprofielen slaan gebruikersgegevens op in de cache van computers voor gebruik offline. Deze functies bestaan in alle ondersteunde Microsoft-besturingssystemen. Windows XP implementeerde de opslag van zwervende gebruikersprofielen in de cache als onderdeel van het Winlogon-proces, terwijl Windows Vista, Windows Server 2008 en nieuwere besturingssystemen de Gebruikersprofielservice gebruiken. Al deze systemen gebruiken SMB.
Mapomleiding leidt gebruikersgegevens om van de lokale computer naar een externe bestandsshare met behulp van SMB.
De Primaire computer voor Windows is onderdeel van de Zwervende gebruikersprofielen- en Offlinebestandenservice. Primaire computer biedt de mogelijkheid om het opslaan van gegevens in de cache op computers die niet goedgekeurd zijn door beheerders voor specifieke gebruikers te voorkomen. Primaire computer gebruikt LDAP om de configuratie te bepalen en draagt geen gegevens over via SMB, maar wijzigt in de plaats daarvan het standaardgedrag van Offlinebestanden en Zwervende gebruikersprofielen. Dit systeem is toegevoegd in Windows Server 2012.
Systeemservicenamen: ProfSvc, CscService
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| MKB | TCP | 445 |
| Globale catalogus | TCP | 3269 |
| Globale catalogus | TCP | 3268 |
| LDAP Server | TCP | 389 |
| LDAP Server | UDP | 389 |
| LDAP SSL | TCP | 636 |
Prestatielogboeken en signalen
De systeemservice Prestatielogboeken en signalen verzamelt prestatiegegevens van lokale of externe computers op basis van vooraf geconfigureerde schemaparameters en schrijft deze gegevens dan naar een log of activeert een bericht. Op basis van de informatie die is opgenomen in de instelling voor het verzamelen van benoemde logboeken, start en stopt de service Prestatielogboeken en waarschuwingen elke benoemde verzameling van prestatiegegevens. Deze service draait enkel als er minstens één verzameling van prestatiegegevens gepland is.
Naam systeemservice: SysmonLog
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-sessieservice | TCP | 139 |
Afdrukspooler
De systeemservice Afdrukspooler beheert alle lokale en op het netwerk aanwezige afdrukwachtrijen en bestuurt alle afdruktaken. De Afdrukspooler staat centraal in het Windows-afdruksubsysteem. Hij beheert de afdrukwachtrijen op het systeem en communiceert met de printerstuurprogramma's en de I/O-onderdelen (input/output), zoals de USB-poort en de TCP/IP-protocolsuite.
Naam systeemservice: Spooler
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Notitie
De Afdrukspooler-service gebruikt RPC over named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Externe installatie
U kunt de systeemservice Externe installatie gebruiken om Windows 2000, Windows XP en Windows Server 2003 te installeren op PXE-clientcomputers (Pre-Boot Execution Environment) waarop remoteboot is ingeschakeld. De BINL-service (Boot Information Negotiation Layer), het primaire onderdeel van de Server voor externe installaties (RIS), beantwoordt PXE-aanvragen van clients, controleer Active Directory voor clientvalidatie en geeft clientgegevens door van en naar de server. De BINL-service is geïnstalleerd wanneer u het RIS-onderdeel toevoegt via Windows-onderdelen toevoegen of verwijderen of het selecteert de eerste keer dat u het besturingssysteem installeert.
Naam systeemservice: BINLSVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| BINL | UDP | 4011 |
Externe procedureaanroep (RPC)
De systeemservice Externe procedureaanroep (Remote Procedure Call of RPC) is een IPC-mechanisme dat gegevensoverdracht en aanroepen van functionaliteit die zich in een ander proces bevindt, mogelijk maakt. Het andere proces kan zich op dezelfde computer bevinden, op het LAN of een externe locatie, en is toegankelijk via een WAN- of een VPN-verbinding. De RPC-service dient als RPC-eindpunttoewijzer en COM-servicebesturingsbeheer (Component Object Model). Veel services rekenen op de RPC-service om succesvol te kunnen starten.
Naam systeemservice: RpcSs
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| RPC over HTTPS | TCP | 593 |
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
Notitie
- RPC gebruikt niet enkel de in de code vastgelegde poorten die vermeld worden in de tabel. Poorten met kortstondig bereik die gebruikt worden door Active Directory en andere onderdelen zijn aanwezig over RPC in het bereik van kortstondige poorten. Het bereik van kortstondige poorten hangt af van het serverbesturingssysteem waarmee het besturingssysteem van de client verbonden is.
- De RPC-eindpunttoewijzer biedt zijn services ook door gebruik van named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
RPC-locator (Externe procedureaanroep of Remote Procedure Call)
De systeemservice RPC-locator (Externe procedureaanroep of Remote Procedure Call) beheert de database voor de RPC-naamservice. Als deze service ingeschakeld is, kunnen RPC-clients RPC-servers opsporen. Standaard is deze service uitgeschakeld.
Naam systeemservice: RpcLocator
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
Notitie
De RPC-locatorservice biedt haar diensten aan door gebruik te maken van RPC over named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Melding externe opslag
De systeemservice Melding externe opslag verwittigt gebruikers wanneer ze lezen uit of schrijven naar bestanden die enkel beschikbaar zijn via een secundair opslagmedium. Door deze service te stoppen, wordt deze melding voorkomen.
Naam systeemservice: Remote_Storage_User_Link
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Externe opslag
De systeemservice Externe opslag slaat onregelmatig gebruikte bestanden op een secundair opslagmedium op. Als u deze service stopt, kunnen gebruikers bestanden van het secundaire opslagmedium niet verplaatsen of ophalen.
Naam systeemservice: Remote_Storage_Server
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Routering en RAS
De service Routering en RAS biedt routeringsservices voor multi-protocol LAN-to-LAN, LAN-to-WAN, VPN en NAT. De service Routering en RAS biedt ook services voor externe toegang via inbel- en VPN-verbindingen. Hoewel de service Routering en RAS alle onderstaande protocollen kan gebruiken, gebruikt de service er doorgaans slechts een paar. Als u bijvoorbeeld een VPN-gateway achter een filterende router configureert, zult u waarschijnlijk slechts een protocol gebruiken. Als u L2TP met IPsec gebruikt, moet u IPsec ESP (IP-protocol 50), NAT-T (UDP op poort 4500) en IPsec ISAKMP (UDP op poort 500) via de router toestaan.
Notitie
Hoewel NAT-T en IPsec ISAKMP vereist zijn voor L2TP, worden deze poorten bewaakt door de lokale certificeringsinstantie. Raadpleeg de sectie Verwijzingen voor meer informatie hierover.
Naam systeemservice: RemoteAccess
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| GRE (IP-protocol 47) | GRE | n.v.t. |
| IPsec AH (IP-protocol 51) | AH | n.v.t. |
| IPsec ESP (IP-protocol 50) | ESP (Engelstalig) | n.v.t. |
| L2TP | UDP | 1701 |
| PPTP | TCP | 1723 |
Server
De Server-systeemservice biedt RPC-ondersteuning, bestand-, afdruk- en named pipe-deling over het netwerk. Met de Server-service kunnen gebruikers lokale bronnen delen, zoals schijven en printers, zodat andere gebruikers op het netwerk ertoe toegang krijgen. Ze maakt ook named pipe-communicatie mogelijk tussen programma's die draaien op de lokale computer en op andere computers. Named pipe-communicatie is geheugen dat gereserveerd is voor de uitvoer van een proces, die dan weer als invoer voor een ander proces wordt gebruikt. Het proces van invoeracceptatie moet niet lokaal op de computer plaatsvinden.
Notitie
Als een computernaam wordt omgezet in meerdere IP-adressen met behulp van WINS, of als WINS is mislukt en de naam wordt omgezet met behulp van DNS, probeert NetBIOS over TCP/IP (NetBT) het IP-adres of de adressen van de bestandsserver te pingen. De communicatie met poort 139 hangt af van de ICMP-echoberichten (Internet Control Message Protocol). Als IP Versie 6 (IPv6) niet geïnstalleerd is, zal de communicatie met poort 445 ook afhangen van ICMP voor de naamomzetting. Vooraf geladen Lmhosts-items zullen om de DNS-omzetter lopen. Als IPv6 geïnstalleerd is op computers die de besturingssystemen Windows Server 2003 of Windows XP draaien, zal de communicatie met poort 445 geen ICMP-aanvragen veroorzaken.
De NetBIOS-poorten die hier worden vermeld zijn optioneel. Windows 2000 en nieuwe clients kunnen werken over poort 445.
Naam systeemservice: lanmanserver
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
SharePoint Portal Server
Met de systeemservice SharePoint Portal Server kunt u een intelligent portaal ontwikkelen dat gebruikers, teams en kennis naadloos verbindt. Het helpt mensen om te profiteren van relevante informatie in bedrijfsprocessen. Microsoft SharePoint Portal Server 2003 biedt een zakelijke oplossing die informatie integreert van diverse systemen in een enkele oplossing via eenmalige aanmelding (SSO) en de mogelijkheid om bedrijfstoepassingen te integreren.
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
Simple Mail Transfer Protocol (SMTP)
De systeemservice Simple Mail Transfer Protocol (SMTP) is een e-mailindienings- en -relay-agent. Ze aanvaardt e-mailberichten en plaatst ze in wachtrijen voor externe bestemmingen, en probeert nogmaals op bepaalde intervallen. Windows-domeincontrollers gebruiken de SMTP-service voor op e-mail gebaseerde replicatie tussen sites. De Collaboration Data Objects (CDO) voor het Windows Server 2003 COM-onderdeel kan de SMTP-service gebruiken om uitgaande e-mailberichten te verzenden en in de wachtrij te plaatsen.
Naam systeemservice: SMTPSVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| SMTP | TCP | 25 |
Eenvoudige TCP/IP-services
De Eenvoudige TCP/IP-services implementeren ondersteuning voor de volgende protocollen:
- Echo, poort 7, RFC 862
- Discard, poort 9, RFC 863
- Character Generator, poort 19, RFC 864
- Daytime, poort 13, RFC 867
- Quote of the Day, poort 17, RFC 865
Naam systeemservice: SimpTcp
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
Chargen |
TCP | 19 |
Chargen |
UDP | 19 |
| Daytime | TCP | 13 |
| Daytime | UDP | 13 |
| Verwijderen | TCP | 9 |
| Verwijderen | UDP | 9 |
| Echo | TCP | 7 |
| Echo | UDP | 7 |
Quotd |
TCP | 17 |
| Quoted | UDP | 17 |
SNMP-service (Simple Network Management Protocol
Met SNMP-service kan de lokale computer inkomende SNMP-verzoeken bedienen. De SNMP-service bevat agenten die de activiteit van netwerkapparaten controleren en rapporteren aan het netwerkconsolewerkstation. SNMP-service biedt een methode voor het beheren van netwerkhosts (zoals werkstation- of servercomputers, routers, bruggen en hubs) vanaf een centraal geplaatste computer waarop netwerkbeheersoftware wordt uitgevoerd. SNMP voert beheerservices uit door gebruik te maken van een gedistribueerde architectuur van beheersystemen en -agenten.
Naam systeemservice: SNMP
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| SNMP | UDP | 161 |
SNMP Trap-service
De SNMP Trap-service ontvangt trap-berichten die zijn gemaakt door lokale of externe SNMP-agenten. Vervolgens stuurt de SNMP Trap-service deze berichten door naar SNMP-beheerprogramma's die op uw computer actief zijn. Als de SNMP Trap-service is geconfigureerd voor een agent, genereert de service trap-berichten als er zich specifieke gebeurtenissen voordoen. Deze berichten worden verzonden naar een trapdoel. Een agent kan bijvoorbeeld geconfigureerd worden om een verificatie-trap te starten als een niet-herkend beheersysteem een aanvraag voor informatie stuurt. Trapdoelen bevatten de naam van de computer, het IP-adres of het IPX-adres (Internetwork Packet Exchange) van het beheersysteem. Het trapdoel moet een host zijn die op het netwerk geactiveerd is en waarop SNMP-beheersoftware draait.
Naam systeemservice: SNMPTRAP
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| SNMP Traps uitgaand | UDP | 162 |
Simple Service Discovery Protocol (SSDP) Discovery-service
SSDP Discovery-service implementeert SSDP als een Windows-service. De SSDP Discovery-service beheert de ontvangst van meldingen van de aanwezigheid van apparaten, werkt zijn cache bij en verzendt deze meldingen naar clients met openstaande zoekaanvragen. De SSDP Discovery-service aanvaardt ook de registratie van callbacks van gebeurtenissen van clients. De geregistreerde callbacks van gebeurtenissen worden dan omgevormd tot abonnementsaanvragen. De SSDP Discovery-service controleert dan of er gebeurtenismeldingen verschijnen en verzendt deze aanvragen naar de geregistreerde callbacks. Deze systeemservice biedt ook periodieke meldingen voor gehoste apparaten. Momenteel gebruikt de SSDP Gebeurtenismeldingsservice TCP-poort 5000.
Notitie
Sinds Windows XP Service Pack 2 (SP2) gebruikt de SSDP-gebeurtenismeldingsservice TCP-poort 2869.
Naam systeemservice: SSDPRSR
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| SSDP | UDP | 1900 |
| Melding SSDP-gebeurtenis | TCP | 2869 |
| Melding oude SSDP-gebeurtenis | TCP | 5000 |
TCP/IP-afdrukserver
De systeemservice TCP/IP-afdrukserver maakt afdrukken op basis van TCP/IP mogelijk door middel van het LPD-protocol (Line Printer Daemon). De LPD-service op de server ontvangt documenten van LPR-hulpprogramma's (Line Printer Remote) die draaien op UNIX-computers.
Naam systeemservice: LPDSVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| LPD | TCP | 515 |
Telnet
De Telnet-systeemservice voor Windows biedt ASCII-terminalsessies voor Telnet-clients. Een Telnet-server ondersteunt twee soorten verificatie en de volgende soorten terminals:
- American National Standards Institute (ANSI)
- VT-100
- VT-52
- VTNT
Naam systeemservice: TlntSvr
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| Telnet | TCP | 23 |
Extern bureaublad-services (RDS)
RDS biedt een omgeving met meerdere sessies waarmee clientapparaten toegang hebben tot een virtuele Windows-bureaubladsessie en Windows-programma's die op de server worden uitgevoerd. Met RDS kunnen meerdere gebruikers interactief worden verbonden met een computer.
Naam systeemservice: TermService
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RDS | TCP | 3389 |
| RDS | UDP | 3389 |
RDS-licentieverlening (RDSL)
De RDSL-systeemservice installeert een licentieserver en biedt licenties aan geregistreerde clients wanneer de clients verbinding maken met een RDS-server (een server waarvoor RDS is ingeschakeld). RDSL is een service met weinig impact waarmee de clientlicenties worden opgeslagen die zijn uitgegeven voor een RDS-server en de licenties worden bijgehouden die worden uitgegeven aan clientcomputers of -servers.
Naam systeemservice: TermServLicensing
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
| NetBIOS-datagramservice | UDP | 138 |
| NetBIOS-naamomzetting | UDP | 137 |
| NetBIOS-sessieservice | TCP | 139 |
| MKB | TCP | 445 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Notitie
RDSL biedt haar services aan met behulp van RPC via named pipes. Deze service heeft dezelfde firewallvereisten als de functie Bestands- en printerdeling.
Remote Desktop Connection Broker
Met de Remote Desktop Connection Broker-systeemservice kunnen clusters met RDS-servers met gelijke taakverdeling de verbindingsaanvraag van een gebruiker correct routeren naar de server waarop de gebruiker al een sessie heeft uitgevoerd. Gebruikers worden doorgestuurd naar de eerste beschikbare RDS-server, ongeacht of ze een andere sessie in het servercluster uitvoeren. De gelijke taakverdeling verzamelt de verwerkende bronnen van diverse servers door het TCP/IP-netwerkprotocol te gebruiken. U kunt deze service samen met een cluster met RDS-servers gebruiken om de prestaties van één RDS-server te verbeteren door sessies over meerdere servers te distribueren. Remote Desktop Connection Broker houdt verbroken sessies in het cluster bij en zorgt ervoor dat gebruikers opnieuw verbinding maken met deze sessies.
Naam systeemservice: Tssdis
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| RPC | TCP | 135 |
| Willekeurig toegewezen hoge TCP-poorten¹ | TCP | willekeurig poortnummer tussen 49152 - 65535 |
¹ Voor meer informatie over het aanpassen van deze poort, raadpleeg 'Externe procedureaanroepen en DCOM' in de sectie Verwijzingen.
Trivial FTP Daemon
De systeemservice Trivial FTP Daemon vereist geen gebruikersnaam of wachtwoord en is een belangrijk onderdeel van de Remote Installation Services (RIS). De Trivial FTP Daemon-service implementeert ondersteuning voor het Trivial FTP-protocol (TFTP) dat gedefinieerd is door de volgende RFC's:
- RFC 1350 - TFTP
- RFC 2347 - Optie extensie
- RFC 2348 - Optie blokgrootte
- RFC 2349 - Opties time-outinterval en transfergrootte
Het Trivial FTP-protocol (TFTP) is een FTP dat schijfloze opstartomgevingen ondersteunt. De TFTP-service luistert op UDP-poort 69, maar antwoordt vanuit een willekeurig toegewezen hoge poort. Als u deze poort dus inschakelt, ontvangt de TFTP-service dus binnenkomende TFTP-aanvragen, maar laat ze de geselecteerde server deze aanvragen niet beantwoorden. De service is vrij om dergelijke aanvragen te beantwoorden vanuit eender welke bronpoort en de externe client gebruikt die poort dan tijdens de overdracht. De communicatie loopt in twee richtingen. Als u dit protocol door een firewall moet inschakelen, kunt u het beste de binnenkomende UDP-poort 69 openen. Vervolgens kunt u vertrouwen op andere firewallfuncties die de service dynamisch laten antwoorden via tijdelijke openingen op een andere poort.
Naam systeemservice: tftpd
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| TFTP | UDP | 69 |
UPnP-apparaathost
De systeemservice UPnP-apparaathost implementeert alle onderdelen die vereist zijn voor apparaatregistratie, -besturing en het beantwoorden van gebeurtenissen voor gehoste apparaten. De gegevens die worden geregistreerd met betrekking tot een apparaat, zoals de beschrijving, levensduur en containers, worden optioneel opgeslagen op een schijf en worden aangekondigd op het netwerk na de registratie of wanneer het besturingssysteem opnieuw opstart. Naast de beschrijving van de service en een presentatiepagina bevat de service ook de webserver die het apparaat bedient.
Naam systeemservice: UPNPHost
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| UPNP | TCP | 2869 |
Windows Internet Name Service (WINS)
De Windows Internet Name Service (WINS) maakt NetBIOS-naamomzetting mogelijk. Deze service helpt u netwerkbronnen op te sporen met behulp van NetBIOS-namen. WINS-servers zijn vereist tenzij alle domeinen geüpgraded zijn naar de Active Directory-directoryservice en tenzij alle computers op het netwerk Windows 2000 of nieuwere versies draaien. WINS-servers communiceren met netwerkclients door middel van NetBIOS-naamomzetting. WINS-replicatie is enkel vereist tussen WINS-servers.
Naam systeemservice: WINS
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NetBIOS-naamomzetting | UDP | 137 |
| WINS-replicatie | TCP | 42 |
| WINS-replicatie | UDP | 42 |
Windows Media Services
Windows Media Services in Windows Server 2003 en nieuwere versies vervangen de volgende services die inbegrepen zijn in Windows Media Services versies 4.0 en 4.1:
- Windows Media Monitor Service
- Windows Media Program Service
- Windows Media Station Service
- Windows Media Unicast Service
Windows Media Services is nu een enkele service die draait op Windows Server. De belangrijkste onderdelen werden ontwikkeld met behulp van COM en de service heeft een flexibele architectuur die u kunt aanpassen aan specifieke programma's. Windows Media Services ondersteunt een grotere hoeveelheid besturingsprotocollen. Hiertoe behoren o.a. Real Time Streaming Protocol (RTSP), Microsoft Media Server-protocol (MMS) en HTTP.
Naam systeemservice: WMServer
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| HTTP | TCP | 80 |
| MMS | TCP | 1755 |
| MMS | UDP | 1755 |
| MS Theater | UDP | 2460 |
| RTCP | UDP | 5005 |
| RTP | UDP | 5004 |
| RTSP | TCP | 554 |
WinRM (Windows Remote Management)
Naam systeemservice: WinRM
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| WinRM 1.1 en ouder | TCP | De standaard HTTP-poort is TCP 80 en de standaard HTTPS-poort is TCP 443. |
| WinRM 2.0 | TCP | De standaard-HTTP-poort is TCP 5985 en de standaard HTTPS-poort is TCP 5986. |
Raadpleeg Installatie en configuratie voor Windows Remote Management voor meer informatie.
Windows Time
De systeemservice Windows Time houdt de datum- en tijdsynchronisatie bij op alle computers op een netwerk die Windows XP of nieuwere versies en Windows Server 2003 of nieuwere versies draaien. Deze service gebruikt Network Time Protocol (NTP) om de klokken van de computers te synchroniseren, zodat een nauwkeurige klokwaarde of tijdstempel toegewezen wordt voor netwerkvalidatie en toegangsaanvragen voor bronnen. De implementatie van NTP en de integratie van tijdproviders maken van Windows Time een betrouwbare en schaalbare tijdservice voor uw bedrijf. Voor computers die geen lid zijn van een domein kunt u Windows Time configureren zodat de tijd gesynchroniseerd wordt met een externe tijdbron. Als deze service wordt uitgeschakeld, wordt de tijdinstelling voor lokale computers niet gesynchroniseerd met een tijdservice in het Windows-domein of met een extern geconfigureerde tijdservice. Windows Server 2003 gebruikt NTP. NTP is actief op UDP-poort 123. De Windows 2000-versie van deze service gebruikt het Simple Network Time Protocol (SNTP). SNTP is eveneens actief op UDP-poort 123.
Als de Windows Time-service een Windows-domeinconfiguratie gebruikt, vereist de service de domeincontrollerlocatie en verificatieservices. Om die reden zijn de poorten voor Kerberos en DNS dus vereist.
Naam systeemservice: W32Time
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| NTP | UDP | 123 |
| SNTP | UDP | 123 |
World Wide Web-publicatieservice
De World Wide Web-publicatieservice levert de vereiste infrastructuur voor het registreren, beheren, bewaken en leveren van websites en programma's die in IIS geregistreerd zijn. Deze systeemservice bevat een procesbeheerder en een configuratiebeheerder. De procesbeheerder bestuurt alle processen waarin aangepaste toepassingen en websites zich bevinden. De configuratiebeheerder leest de opgeslagen systeemconfiguratie voor de World Wide Web-publicatieservice en zorgt ervoor dat Http.sys geconfigureerd is om HTTP-aanvragen te routeren naar de geschikte groep van toepassingen of besturingssysteemprocessen. U kunt de IIS-beheermodule (Internet Information Services) gebruiken om de poorten die deze service gebruikt te configureren. Als de administratieve website ingeschakeld is, wordt een virtuele website gemaakt die HTTP-verkeer gebruikt op TCP-poort 8098.
Naam systeemservice: W3SVC
| Toepassingsprotocol | Protocol | Poorten |
|---|---|---|
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |
Poorten en protocollen
De volgende tabel geeft een samenvatting van de informatie uit de sectie Systeemservicepoorten. Deze tabel is gesorteerd volgens poortnummer in plaats van de naam van de service.
| Poort | Protocol | Toepassingsprotocol | Naam systeemservice |
|---|---|---|---|
| n.v.t. | GRE | GRE (IP-protocol 47) | Routering en RAS |
| n.v.t. | ESP (Engelstalig) | IPsec ESP (IP-protocol 50) | Routering en RAS |
| n.v.t. | AH | IPsec AH (IP-protocol 51) | Routering en RAS |
| 7 | TCP | Echo | Eenvoudige TCP/IP-services |
| 7 | UDP | Echo | Eenvoudige TCP/IP-services |
| 9 | TCP | Verwijderen | Eenvoudige TCP/IP-services |
| 9 | UDP | Verwijderen | Eenvoudige TCP/IP-services |
| 13 | TCP | Daytime | Eenvoudige TCP/IP-services |
| 13 | UDP | Daytime | Eenvoudige TCP/IP-services |
| 17 | TCP | Quotd |
Eenvoudige TCP/IP-services |
| 17 | UDP | Quotd |
Eenvoudige TCP/IP-services |
| 19 | TCP | Chargen |
Eenvoudige TCP/IP-services |
| 19 | UDP | Chargen |
Eenvoudige TCP/IP-services |
| 20 | TCP | FTP standaardgegevens | FTP Publishing-service |
| 21 | TCP | FTP-controle | FTP Publishing-service |
| 21 | TCP | FTP-controle | Application Layer Gateway Service |
| 23 | TCP | Telnet | Telnet |
| 25 | TCP | SMTP | Simple Mail Transfer Protocol |
| 25 | TCP | SMTP | Exchange Server |
| 42 | TCP | WINS-replicatie | Windows Internet Name Service |
| 42 | UDP | WINS-replicatie | Windows Internet Name Service |
| 53 | TCP | DNS | DNS-server |
| 53 | UDP | DNS | DNS-server |
| 53 | TCP | DNS | Internet Connection Firewall/Internetverbinding delen |
| 53 | UDP | DNS | Internet Connection Firewall/Internetverbinding delen |
| 67 | UDP | DHCP-server | DHCP-server |
| 67 | UDP | DHCP-server | Internet Connection Firewall/Internetverbinding delen |
| 69 | UDP | TFTP | Trivial FTP Daemon-service |
| 80 | TCP | HTTP | Windows Media Services |
| 80 | TCP | HTTP | WinRM 1.1 en ouder |
| 80 | TCP | HTTP | World Wide Web-publicatieservice |
| 80 | TCP | HTTP | SharePoint Portal Server |
| 88 | TCP | Kerberos | Kerberos Key Distribution Center |
| 88 | UDP | Kerberos | Kerberos Key Distribution Center |
| 102 | TCP | X.400 | Microsoft Exchange MTA Stacks |
| 110 | TCP | POP3 | Microsoft POP3-service |
| 110 | TCP | POP3 | Exchange Server |
| 119 | TCP | NNTP | Network News Transfer Protocol |
| 123 | UDP | NTP | Windows Time |
| 123 | UDP | SNTP | Windows Time |
| 135 | TCP | RPC | Message Queuing |
| 135 | TCP | RPC | Externe procedureaanroep |
| 135 | TCP | RPC | Exchange Server |
| 135 | TCP | RPC | Certificate Services |
| 135 | TCP | RPC | Clusterservice |
| 135 | TCP | RPC | Distributed File System-naamruimten |
| 135 | TCP | RPC | Distributed Link Tracking |
| 135 | TCP | RPC | Distributed Transaction Coordinator |
| 135 | TCP | RPC | Distributed File Replication-service |
| 135 | TCP | RPC | Faxservice |
| 135 | TCP | RPC | Microsoft Exchange Server |
| 135 | TCP | RPC | File Replication-service |
| 135 | TCP | RPC | Groepsbeleid |
| 135 | TCP | RPC | Lokale certificeringsinstantie |
| 135 | TCP | RPC | Melding externe opslag |
| 135 | TCP | RPC | Externe opslag |
| 135 | TCP | RPC | Systems Management Server 2.0 |
| 135 | TCP | RPC | RDSL |
| 135 | TCP | RPC | Remote Desktop Connection Broker |
| 137 | UDP | NetBIOS-naamomzetting | Computerbrowser |
| 137 | UDP | NetBIOS-naamomzetting | Server |
| 137 | UDP | NetBIOS-naamomzetting | Windows Internet Name Service |
| 137 | UDP | NetBIOS-naamomzetting | Netwerkaanmelding |
| 137 | UDP | NetBIOS-naamomzetting | Systems Management Server 2.0 |
| 138 | UDP | NetBIOS-datagramservice | Computerbrowser |
| 138 | UDP | NetBIOS-datagramservice | Server |
| 138 | UDP | NetBIOS-datagramservice | Netwerkaanmelding |
| 138 | UDP | NetBIOS-datagramservice | DFS (Distributed File System) |
| 138 | UDP | NetBIOS-datagramservice | Systems Management Server 2.0 |
| 138 | UDP | NetBIOS-datagramservice | License Logging-service |
| 139 | TCP | NetBIOS-sessieservice | Computerbrowser |
| 139 | TCP | NetBIOS-sessieservice | Faxservice |
| 139 | TCP | NetBIOS-sessieservice | Prestatielogboeken en signalen |
| 139 | TCP | NetBIOS-sessieservice | Afdrukspooler |
| 139 | TCP | NetBIOS-sessieservice | Server |
| 139 | TCP | NetBIOS-sessieservice | Netwerkaanmelding |
| 139 | TCP | NetBIOS-sessieservice | Locator voor externe procedureaanroep |
| 139 | TCP | NetBIOS-sessieservice | Distributed File System-naamruimten |
| 139 | TCP | NetBIOS-sessieservice | Systems Management Server 2.0 |
| 139 | TCP | NetBIOS-sessieservice | License Logging-service |
| 143 | TCP | IMAP | Exchange Server |
| 161 | UDP | SNMP | SNMP-service |
| 162 | UDP | SNMP Traps uitgaand | SNMP Trap-service |
| 389 | TCP | LDAP Server | Lokale certificeringsinstantie |
| 389 | UDP | DC-locator | Lokale certificeringsinstantie |
| 389 | TCP | LDAP Server | Distributed File System-naamruimten |
| 389 | UDP | DC-locator | Distributed File System-naamruimten |
| 389 | UDP | DC-locator | Netlogon |
| 389 | UDP | DC-locator | Kerberos Key Distribution Center |
| 389 | TCP | LDAP Server | Distributed File System-replicatie |
| 389 | UDP | DC-locator | Distributed File System-replicatie |
| 443 | TCP | HTTPS | HTTP SSL |
| 443 | TCP | HTTPS | World Wide Web-publicatieservice |
| 443 | TCP | HTTPS | SharePoint Portal Server |
| 443 | TCP | RPC over HTTPS | Exchange Server 2003 |
| 443 | TCP | HTTPS | WinRM 1.1 en ouder |
| 445 | TCP | MKB | Faxservice |
| 445 | TCP | MKB | Afdrukspooler |
| 445 | TCP | MKB | Server |
| 445 | TCP | MKB | Locator voor externe procedureaanroep |
| 445 | TCP | MKB | Distributed File System-naamruimten |
| 445 | TCP | MKB | Distributed File System-replicatie |
| 445 | TCP | MKB | License Logging-service |
| 445 | TCP | MKB | Netwerkaanmelding |
| 464 | UDP | Kerberos-wachtwoord V5 | Kerberos Key Distribution Center |
| 464 | TCP | Kerberos-wachtwoord V5 | Kerberos Key Distribution Center |
| 500 | UDP | IPsec ISAKMP | Lokale certificeringsinstantie |
| 515 | TCP | LPD | TCP/IP-afdrukserver |
| 554 | TCP | RTSP | Windows Media Services |
| 563 | TCP | NNTP over SSL | Network News Transfer Protocol |
| 593 | TCP | Eindpunttoewijzer RPC over HTTPS | Externe procedureaanroep |
| 593 | TCP | RPC over HTTPS | Exchange Server |
| 636 | TCP | LDAP SSL | Lokale certificeringsinstantie |
| 636 | UDP | LDAP SSL | Lokale certificeringsinstantie |
| 647 | TCP | DHCP-failover | DHCP-failover |
| 9389 | TCP | Active Directory Web Services (ADWS) | Active Directory Web Services (ADWS) |
| 9389 | TCP | Active Directory Web Services (ADWS) | Active Directory Management Gateway Service |
| 993 | TCP | IMAP over SSL | Exchange Server |
| 995 | TCP | POP3 over SSL | Exchange Server |
| 1067 | TCP | Installation Bootstrap-service | Installation Bootstrap-protocolserver |
| 1068 | TCP | Installation Bootstrap-service | Installation Bootstrap-protocolclient |
| 1270 | TCP | MOM-versleuteld | Microsoft Operations Manager 2000 |
| 1433 | TCP | SQL over TCP | Microsoft SQL Server |
| 1433 | TCP | SQL over TCP | MSSQL$UDDI |
| 1434 | UDP | SQL Probe | Microsoft SQL Server |
| 1434 | UDP | SQL Probe | MSSQL$UDDI |
| 1645 | UDP | Oude RADIUS | IAS (Internet Authentication Service) |
| 1646 | UDP | Oude RADIUS | IAS (Internet Authentication Service) |
| 1701 | UDP | L2TP | Routering en RAS |
| 1723 | TCP | PPTP | Routering en RAS |
| 1755 | TCP | MMS | Windows Media Services |
| 1755 | UDP | MMS | Windows Media Services |
| 1801 | TCP | MSMQ | Message Queuing |
| 1801 | UDP | MSMQ | Message Queuing |
| 1812 | UDP | RADIUS-authenticatie | IAS (Internet Authentication Service) |
| 1813 | UDP | RADIUS-accounting | IAS (Internet Authentication Service) |
| 1900 | UDP | SSDP | SSDP Discovery-service |
| 2101 | TCP | MSMQ-DCs | Message Queuing |
| 2103 | TCP | MSMQ-RPC | Message Queuing |
| 2105 | TCP | MSMQ-RPC | Message Queuing |
| 2107 | TCP | MSMQ-Mgmt | Message Queuing |
| 2393 | TCP | OLAP Services 7.0 | SQL Server: Downlevel OLAP-clientondersteuning |
| 2394 | TCP | OLAP Services 7.0 | SQL Server: Downlevel OLAP-clientondersteuning |
| 2460 | UDP | MS Theater | Windows Media Services |
| 2535 | UDP | MADCAP | DHCP-server |
| 2701 | TCP | SMS Remote Control (besturing) | SMS Remote Control Agent |
| 2701 | UDP | SMS Remote Control (besturing) | SMS Remote Control Agent |
| 2702 | TCP | SMS Remote Control (gegevens) | SMS Remote Control Agent |
| 2702 | UDP | SMS Remote Control (gegevens) | SMS Remote Control Agent |
| 2703 | TCP | SMS Remote Chat | SMS Remote Control Agent |
| 2703 | UPD | SMS Remote Chat | SMS Remote Control Agent |
| 2704 | TCP | SMS Remote File Transfer | SMS Remote Control Agent |
| 2704 | UDP | SMS Remote File Transfer | SMS Remote Control Agent |
| 2725 | TCP | SQL Analysis Services | SQL Server Analysis Services |
| 2869 | TCP | UPNP | UPnP-apparaathost |
| 2869 | TCP | Melding SSDP-gebeurtenis | SSDP Discovery-service |
| 3268 | TCP | Globale catalogus | Lokale certificeringsinstantie |
| 3269 | TCP | Globale catalogus | Lokale certificeringsinstantie |
| 3343 | UDP | Clusterservices | Clusterservice |
| 3389 | TCP | RDS | RDS |
| 3389 | UDP | RDS | RDS |
| 3527 | UDP | MSMQ-Ping | Message Queuing |
| 4011 | UDP | BINL | Externe installatie |
| 4500 | UDP | NAT-T | Lokale certificeringsinstantie |
| 5000 | TCP | Melding oude SSDP-gebeurtenis | SSDP Discovery-service |
| 5004 | UDP | RTP | Windows Media Services |
| 5005 | UDP | RTCP | Windows Media Services |
| 5722 | TCP | RPC | Distributed File System-replicatie |
| 6001 | TCP | Gegevensarchief | Exchange Server 2003 |
| 6002 | TCP | Directory Referral | Exchange Server 2003 |
| 6004 | TCP | DSProxy/NSPI | Exchange Server 2003 |
| 42424 | TCP | ASP.NET-sessiestatus | ASP.NET State Service |
| 51515 | TCP | MOM-Clear | Microsoft Operations Manager 2000 |
| 5985 | TCP | HTTP | WinRM 2.0 |
| 5986 | TCP | HTTPS | WinRM 2.0 |
| 1024-65535 | TCP | RPC | Willekeurig toegewezen hoge TCP-poorten |
| 135 | TCP | WMI | Hyper-V-service |
| willekeurig poortnummer tussen 49152 - 65535 | TCP | Willekeurig toegewezen hoge TCP-poorten | Hyper-V-service |
| 80 | TCP | Kerberos-authenticatie (HTTP) | Hyper-V-service |
| 443 | TCP | Authenticatie op basis van certificaten (HTTPS) | Hyper-V-service |
| 6600 | TCP | Live Migration | Hyper-V Live Migration |
| 445 | TCP | MKB | Hyper-V Live Migration |
| 3343 | UDP | Verkeer clusterservice | Hyper-V Live Migration |
Notitie
Poort 5722 wordt alleen gebruikt op een Windows Server 2008-domeincontroller of een Windows Server 2008 R2-domeincontroller. Het wordt niet gebruikt op een Windows Server 2012-domeincontroller. Poort 445 wordt enkel door DFSR gebruikt bij het maken van een nieuwe lege gerepliceerde folder.
Microsoft biedt een deel van de informatie uit deze tabel in een Microsoft Excel-werkblad. U kunt dit werkblad downloaden van het Microsoft Downloadcentrum.
Vereisten Active Directory-poort en -protocol
Toepassingsservers, clientcomputers en domeincontrollers die zich in gemeenschappelijke of externe forests bevinden, hebben serviceafhankelijkheden, zodat door de gebruiker en de computer geïnitieerde bewerkingen zoals domeintoetreding, aanmeldingsverificatie, extern beheer en Active Directory-replicatie correct werken. Dergelijke services en bewerkingen vereisen netwerkconnectiviteit over specifieke poort- en netwerkprotocollen.
Een samenvattende lijst van de vereiste services, poorten en protocollen voor lidcomputers en domeincontrollers om onderling samen te werken of voor toepassingsservers om toegang te krijgen tot Active Directory bevat, maar is niet beperkt tot de volgende punten.
De lijst met services waarvan Active Directory afhankelijk is:
- Active Directory / LSA
- Computerbrowser
- Distributed File System-naamruimten
- Distributed File System-replicatie (indien FRS niet gebruikt wordt voor SYSVOL-replicatie)
- File Replication-service (indien DFSR niet gebruikt wordt voor SYSVOL-replicatie)
- Kerberos Key Distribution Center
- Netwerkaanmelding
- Externe procedureaanroep (RPC)
- Server
- Simple Mail Transfer Protocol (SMTP)
- WINS (in Windows Server 2003 SP1 en nieuwere versies voor back-ups van Active Directory-replicatiebewerkingen als DNS niet werkt)
- Windows Time
- World Wide Web-publicatieservice
De lijst met services waarvoor Active Directory-services vereist zijn:
- Certificate Services (vereist voor specifieke configuraties)
- DHCP-server
- Distributed File System-naamruimten (bij gebruik van op een domein gebaseerde naamruimten)
- Distributed File System-replicatie
- Distributed Link Tracking-server
- Distributed Transaction Coordinator
- DNS-server
- Faxservice
- File Replication-service
- IAS (Internet Authentication Service)
- License Logging
- Netwerkaanmelding
- Afdrukspooler
- Externe installatie
- RPC-locator (Externe procedureaanroep of Remote Procedure Call)
- Melding externe opslag
- Externe opslag
- Routering en RAS
- Server
- Simple Mail Transfer Protocol (SMTP)
- RDS
- RDSL
- Remote Desktop Connection Broker
Verwijzingen
De Help-bestanden voor elk Microsoft-product dat wordt beschreven in dit artikel bevatten meer informatie die handig kan zijn voor het configureren van uw programma's.
Raadpleeg Een firewall configureren voor Active Directory-domeinen en -vertrouwensinstellingen voor informatie over firewalls en poorten van Active Directory Domain Services.
Algemene informatie
Raadpleeg Microsoft Security Compliance Manager voor meer informatie over hoe u Windows Server kunt beveiligen en voor voorbeelden van IPsec-filters voor specifieke serverrollen. Dit hulpprogramma voegt alle voorgaande beveiligingsaanbevelingen en -documentatie samen in een enkel hulpmiddel voor alle ondersteunde Microsoft-besturingssystemen:
- Windows-beveiligingsbasislijnen
- Beveiligingsbasislijn Windows Server 2008 R2
- Basisbeveiligingsrichtlijn Windows Server 2008
- Windows Server 2003-beveiligingsbasislijn
- Basisbeveiligingsrichtlijn Windows 7
- Basisbeveiligingsrichtlijn Windows Vista
- Basisbeveiligingsrichtlijn Windows XP
Voor meer informatie over besturingssysteemservices, beveiligingsinstellingen en IPsec-filters, zie een van de volgende Richtlijnen voor bedreigingen en tegenmaatregelen:
- Handleiding voor bedreigingen en tegenmaatregelen: beveiligingsinstellingen in Windows Server 2008 R2 en Windows 7
- Handleiding voor bedreigingen en tegenmaatregelen: beveiligingsinstellingen in Windows Server 2008 en Windows Vista
- Bedreigingen en tegenmaatregelen: beveiligingsinstellingen in Windows Server 2003 en Windows XP
Zie voor meer informatie:
- Netwerkpoorten die worden gebruikt door belangrijke Microsoft-serverproducten
- Poortvereisten voor Active Directory en Active Directory Domain Services.
De Internet Assigned Numbers Authority coördineert het gebruik van bekende poorten. Raadpleeg Poortnummerregister voor servicenamen en transportprotocollen om de lijst van TCP/IP-poorttoewijzingen van deze organisatie te bekijken.
Externe procedureaanroepen en DCOM
Voor een gedetailleerde beschrijving van RPC, raadpleeg Externe procedureaanroep (RPC).
Voor meer informatie over het configureren van RPC om te werken met een firewall, raadpleeg Hoe RPC dynamische poorttoewijzing configureren om te werken met firewalls.
Voor meer informatie over het RPC-protocol en over hoe computers met Windows 2000 worden geïnitialiseerd, raadpleeg Opstart- en aanmeldingsverkeersanalyse van Windows 2000.
Domeincontrollers en Active Directory
Voor meer informatie over het beperken van Active Directory-replicatie en clientaanmeldingsverkeer, raadpleeg Active Directory-replicatieverkeer en RPC-verkeer van clients beperken tot een specifieke poort.
Raadpleeg Directory System Agent voor een uitleg over de relatie tussen Directory System Agent, LDAP en de lokale systeemautoriteit.
Voor meer informatie over hoe LDAP en de globale catalogus werken, zie Hoe de globale catalogus werkt.
Exchange Server
Voor informatie over poorten, verificatie en codering voor alle gegevenspaden die worden gebruikt door Microsoft Exchange Server, raadpleeg Netwerkpoorten voor clients en e-mailstroom in Exchange.
Voor uw omgeving zijn er mogelijk nog bijzonderheden die in overweging genomen moeten worden. Bezoek de volgende Microsoft-websites voor meer informatie en hulp bij het plannen van een Exchange-implementatie:
Raadpleeg Outlook Anywhere configureren in Outlook 2013 voor meer informatie.
Distributed File Replication-service
De Distributed File Replication-service bevat het opdrachtregelprogramma Dfsrdiag.exe. Dfsrdiag.exe kan de RPC-poort van de server die wordt gebruikt voor administratie en replicatie instellen. Volg dit voorbeeld om Dfsrdiag.exe te gebruiken voor het instellen van de RPC-poort van de server:
dfsrdiag StaticRPC/port:nnnnn/Member:Branch01.sales.contoso.com
In dit voorbeeld stelt nnnnn een enkele, statische RPC-poort voor die DFSR zal gebruiken voor replicatie. Branch01.sales.contoso.com staat voor de DNS- of NetBIOS-naam van de doellidcomputer. Als er geen lid gespecificeerd is, gebruikt Dfsrdiag.exe de lokale computer.
Internet Information Services
Raadpleeg TCP/IP-poortfiltering voor informatie over poorten in IIS 6.0.
Raadpleeg de volgende bronnen voor informatie over FTP:
Multicast Address Dynamic Client Allocation Protocol (MADCAP)
Voor meer informatie over het plannen van MADCAP-servers, raadpleeg Checklist: Een MADCAP-server installeren.
Message Queuing
Raadpleeg TCP-poorten, UDP-poorten en RPC-poorten die worden gebruikt door Message Queuing voor meer informatie over de poorten die worden gebruikt door Microsoft Message Queuing.
Microsoft Operations Manager
Raadpleeg System Center Developer Documentation Library voor informatie over het plannen en implementeren van MOM.
RDS
Zie De luisterpoort voor Extern bureaublad op uw computer wijzigen voor meer informatie over het configureren van de poort die door RDS wordt gebruikt.
Communicatie over het internet in Windows besturen
Raadpleeg voor meer informatie de Windows Server 2003 gebruiken met Service Pack 1 in een beheerde omgeving: communicatie met internet besturen.
Windows Media Services
Raadpleeg Poorten toewijzen voor Windows Media Services voor informatie over de poorten die worden gebruikt door Windows Media Services.