Port yang mana untuk dibuka untuk Active Directory, RDP, DNS dan banyak lagi dalam Windows Server

Kemaskini terakhir: 15/04/2025
Pengarang Ishak
  • Senarai lengkap port TCP dan UDP untuk peranan dalam Windows Server
  • Konfigurasi dan amalan keselamatan yang disyorkan untuk RDP, DNS dan Active Directory
  • Bagaimana untuk melindungi rangkaian anda dengan mengehadkan port yang tidak diperlukan dan menggunakannya mengikut peranan
  • Butiran tentang protokol yang digunakan oleh setiap perkhidmatan dan cara membuka atau memantau port

Senarai port untuk perkhidmatan Windows Server

Pentadbiran rangkaian berdasarkan Windows Server memerlukan pengetahuan yang tepat tentang pelabuhan yang mesti dibuka agar perkhidmatan berfungsi dengan baik. Daripada mendayakan log masuk jauh kepada memastikan pengesahan pengguna dan resolusi nama domain yang betul, pelbagai protokol bergantung pada port tertentu untuk beroperasi. Untuk mengurus port ini dengan betul, adalah berguna untuk merujuk maklumat tentang jenis port rangkaian.

Sama ada anda sedang menyediakan a Pelayan Active Directory (AD)., yang Pelayan DNS, atau mendayakan akses oleh Desktop Jauh (RDP), membuka port adalah kunci. Kegagalan berbuat demikian dengan betul boleh menyebabkan kegagalan sambungan, isu pengesahan, atau malah menjejaskan keselamatan infrastruktur anda jika lebih banyak port daripada yang diperlukan dibiarkan terbuka.

Konsep umum tentang protokol dan port dalam Pelayan Windows

WINDOWS SERVER

Pelayan Windows menggunakan pelbagai jenis perkhidmatan yang memerlukan pembukaan Port TCP dan UDP. Port ini membenarkan komunikasi antara peranti dan perkhidmatan yang berbeza dalam rangkaian dan juga ke luar. Dua protokol utama yang digunakan pada port ini ialah TCP (Protokol Kawalan Penghantaran) y UDP (Protokol Datagram Pengguna).

TCP Ia dicirikan sebagai protokol yang berorientasikan sambungan dan boleh dipercayai yang menjamin bahawa semua paket tiba dalam susunan yang betul. Oleh itu, ia digunakan dalam perkhidmatan yang memerlukan kestabilan seperti HTTP, FTP atau RDP. Sebaliknya, UDP Ia lebih pantas tetapi kurang dipercayai, itulah sebabnya ia dipilih untuk perkhidmatan seperti DNS, streaming, permainan dalam talian, dsb.

Di samping itu, pelabuhan dikelaskan kepada:

  • Pelabuhan terkenal (0-1023): Digunakan oleh protokol standard seperti HTTP (80), DNS (53) atau SSH (22).
  • Port berdaftar (1024-49151): Dicipta untuk perkhidmatan atau aplikasi yang kurang biasa. Mereka boleh didaftarkan oleh syarikat.
  • Port dinamik atau fana (49152-65535): Digunakan oleh sistem apabila pelanggan memulakan sambungan. Juga dikenali sebagai pelabuhan rawak atau sementara.

Port yang digunakan oleh Active Directory (AD)

Active Directory ialah nadi bagi mana-mana rangkaian domain berasaskan Windows. Untuk perkhidmatan anda berfungsi dengan baik, adalah penting untuk dibuka beberapa port utama terutamanya berkaitan dengan protokol LDAP, Kerberos dan RPC. Anda boleh mendapatkan maklumat tambahan tentang cara berkomunikasi dengan perkhidmatan ini dalam pelbagai tetapan.

Antara yang paling penting yang kami ada:

  • TCP/UDP 389: Ia adalah port yang digunakan oleh LDAP (Lightweight Directory Access Protocol). Ia adalah keutamaan untuk pengesahan pengguna dan replikasi direktori.
  • TCP 636: Digunakan untuk LDAP melalui SSL (LDAPS).
  • TCP/UDP 88: Dikaitkan dengan protokol Kerberos, digunakan untuk pengesahan.
  • TCP 445: Digunakan oleh SMB untuk perkongsian fail dan pencetak.
  • TCP 135: Pemeta titik akhir RPC.
  • TCP 3268 / 3269: Katalog Global (GC). 3268 untuk carian dan 3269 apabila sambungan selamat (SSL) diperlukan.
  • TCP 9389: Perkhidmatan Web Direktori Aktif (ADWS).
  • TCP/UDP 53: Port untuk resolusi DNS.
  • TCP 49152–65535: Julat port dinamik RPC.
  Ketahui cara menjawab panggilan dengan mesej teks pada telefon Android

Port ini mesti tersedia pada semua pengawal domain dan sistem yang berinteraksi dengan AD. Selain itu, jika anda bekerja dengan pengawal domain di tapak atau rangkaian yang berbeza, pastikan anda membenarkan port ini antara lokasi.

Port diperlukan untuk Desktop Jauh (RDP)

Desktop Jauh (RDP) ialah salah satu ciri yang paling banyak digunakan dalam persekitaran Pelayan Windows. Port lalainya ialah 3389TCP, walaupun ia boleh diubah suai atas sebab keselamatan. Adalah penting untuk mengetahui bahawa mengekalkan keselamatan dalam pusat akses ini adalah penting untuk melindungi rangkaian anda.

Bergantung pada infrastruktur dan bilangan peranan yang digunakan (seperti RD Gateway, RD Licensing, RD Session Host, dll.), port yang diperlukan berbeza-beza. Di sini kami menunjukkan kepada anda perkara penting:

  • TCP/UDP 3389: Port RDP lalai.
  • TCP 443: Jika Desktop Jauh melalui Web (RDWeb) atau Gateway digunakan, ia dikapsulkan dalam HTTPS.
  • UDP 3391: Trafik RDP melalui UDP, lebih cekap jika digunakan dengan Gateway.
  • TCP 5504: Komunikasi antara Akses Web dan Broker Sambungan.
  • TCP 5985: Untuk pentadbiran melalui PowerShell dan WMI.
  • TCP 445: Komunikasi SMB antara pelayan lesen dan hos.
  • TCP 139 / UDP 137-138: Perkhidmatan NetBIOS yang digunakan dalam persekitaran lama.
  • TCP 49152–65535: Penggunaan dinamik oleh RPC.

Port ini mesti dibuka bergantung pada peranan tertentu yang dilaksanakan dalam pelayan RDS. Jika anda menggunakan sambungan berasaskan Internet atau pengimbang beban, RD Gateway ialah pilihan ideal untuk merangkum RDP dalam HTTPS dan mengelakkan isu dengan tembok api atau NAT.

Port untuk pelayan DNS

DNS (Sistem Nama Domain) membenarkan komputer di dalam atau di luar rangkaian menyelesaikan nama domain seperti "server.contoso.local" ke dalam alamat IP. Pastikan ia dikonfigurasikan dengan betul, untuk melakukan ini, anda boleh merujuk lebih lanjut tentang pengendalian Pelayan DNS.

Port utama untuk perkhidmatan ini ialah:

  • UDP 53: Untuk kebanyakan pertanyaan DNS.
  • TCP 53: Ia digunakan apabila respons melebihi saiz paket UDP atau untuk pemindahan zon-ke-zon antara pelayan DNS.

Seperti semua perkhidmatan, adalah idea yang baik untuk memastikan port dibuka hanya pada komputer yang bertindak sebagai pelayan DNS dan menggunakan peraturan tembok api untuk menapis akses daripada rangkaian yang tidak dibenarkan.

Port untuk DHCP dan WINS

Dalam rangkaian di mana alamat IP dihantar secara dinamik melalui DHCP, adalah perlu untuk membenarkan port tertentu:

  • UDP 67: Didengari oleh pelayan DHCP.
  • UDP 68: Digunakan oleh pelanggan untuk menerima konfigurasi.
  Cara mengaktifkan Penterjemah Google Chrome untuk Terjemahan Android mudah

WINS, walaupun ditamatkan, masih boleh hadir dalam persekitaran lama dengan aplikasi lama:

  • UDP 137: Resolusi nama NetBIOS.
  • UDP 138: Perkhidmatan datagram NetBIOS.
  • TCP 139: sesi NetBIOS.

Jika perkhidmatan ini tidak digunakan, sangat disyorkan untuk melumpuhkannya dan menutup port yang sepadan untuk mengelakkan kelemahan. Anda juga boleh berunding tentang caranya mengurus peranti USB dengan betul sebagai sebahagian daripada keseluruhan keselamatan sistem anda.

Port diperlukan untuk pelayan cetakan

Pelayan cetakan juga boleh mewakili titik pendedahan jika port yang tidak digunakan dibiarkan terbuka. Oleh itu, jika anda menguruskan baris gilir cetakan melalui Pelayan Windows, pastikan port ini aktif:

  • TCP 135: RPC.
  • UDP 137-138: NetBIOS diperlukan untuk perkongsian pencetak pada rangkaian lama.
  • TCP 139: NetBIOS melalui komunikasi TCP.
  • TCP 445: Protokol SMB untuk berkongsi fail dan pencetak.

Ia juga merupakan idea yang baik untuk membuka port tinggi dinamik yang digunakan oleh protokol RPC (49152–65535) jika pelayan cetakan akan diuruskan dari jauh. Memanipulasi pelabuhan ini boleh menjadi penting untuk operasi yang lancar dan selamat.

Port Perkhidmatan Masa (NTP/SNTP)

Pelayan Windows termasuk secara lalai perkhidmatan Windows Time (W32Time), yang menyegerakkan jam sistem dengan sumber luaran atau pengawal domain. Mengekalkan masa yang tepat adalah penting untuk keselamatan dan kefungsian sistem.

Port untuk perkhidmatan ini ialah:

  • UDP 123: Port yang digunakan oleh NTP dan SNTP.

Port ini mesti dibuka jika pelayan menyegerak dengan sumber masa luaran, atau jika komputer lain dalam rangkaian menggunakannya sebagai rujukan masa.

Port untuk perkhidmatan e-mel (SMTP, POP3, IMAP)

Jika anda mempunyai pelayan mel, seperti Microsoft Exchange atau pelayan berasaskan Windows Server yang lain, anda perlu membuka:

  • TCP 25: SMTP (penghantaran mel).
  • TCP 465 / 587: SMTP dengan SSL atau TLS.
  • TCP 110: POP3.
  • TCP 995: POP3 dengan SSL.
  • TCP 143: IMAP.
  • TCP 993: IMAP dengan SSL.

Cadangannya adalah untuk memilih port yang disulitkan dan mengalih keluar atau menyekat port yang dikaitkan dengan protokol tidak selamat untuk mengekalkan integriti komunikasi anda. Anda boleh meneroka lebih lanjut tentang pengurusan OS en Windows 11.

Pelabuhan untuk perkhidmatan web dalam IIS

Jika pelayan anda mengehos halaman web melalui Perkhidmatan Maklumat Internet (IIS), maka anda perlu membuka port berikut dalam tembok api anda:

  • TCP 80: HTTP (tiada penyulitan).
  • TCP 443: HTTPS (penyulitan SSL/TLS).
  • TCP 8080: Port alternatif untuk HTTP, biasanya digunakan dalam pembangunan atau pentadbiran.

Adalah penting untuk mempunyai sijil yang sah untuk memastikan trafik HTTPS berjalan lancar dan mengelakkan amaran keselamatan dalam penyemak imbas anda. Ingat bahawa semasa menguruskan pelayan anda, adalah penting untuk mempunyai pemahaman yang menyeluruh tentang port terbuka untuk mengelakkan kelemahan.

  Panduan lengkap untuk menukar RAW dan JPEG (dan nota pada JPEG XS)

Bagaimana untuk melihat dan menyemak port mana yang dibuka dalam Pelayan Windows

Dari sistem itu sendiri anda boleh menggunakan beberapa kaedah:

  • netstat -an: Memaparkan semua sambungan aktif dan port mendengar.
  • Dapatkan-NetTCPConnection (PowerShell): Sangat berguna untuk menyenaraikan sambungan TCP aktif.
  • telnet : Semak sama ada port boleh diakses dari komputer lain.
  • Test-NetConnection: Perintah PowerShell yang lebih moden untuk menguji ketersambungan.

Contoh:

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

Anda juga boleh menggunakan nmap daripada mesin lain untuk mengimbas rangkaian penuh port, sesuai untuk audit. Untuk pengimbasan dan pemantauan yang baik, pertimbangkan untuk membaca tentang perisian pemantauan yang boleh membantu anda mengurus sumber anda dengan lebih baik.

Pelabuhan berbahaya atau biasa dieksploitasi

Terdapat pelabuhan yang secara sejarah menjadi sasaran serangan besar-besaran. Beberapa contoh:

  • TCP 3389: RDP telah diserang secara kasar dalam banyak kempen perisian tebusan.
  • TCP 445: Dieksploitasi oleh malware macam WannaCry.
  • TCP 23: Telnet, tanpa penyulitan, tidak boleh didedahkan.
  • UDP 161: SNMP, jika tidak digunakan, lebih baik untuk menutupnya.

Memastikan port ini terbuka tanpa perlu adalah salah satu kesilapan yang paling biasa cybersecurity. Lakukan imbasan yang kerap pada rangkaian anda untuk mengesan kes ini. Pengurusan pelabuhan adalah tugas yang mesti berterusan untuk menjamin rangkaian, jadi anda mesti tahu menangani kesilapan biasa yang mungkin timbul.

Amalan baik untuk membuka pelabuhan

  • Buka hanya port yang diperlukan: Kurang lebih dari segi keselamatan.
  • Gunakan tembok api setempat dan perimeter: Konfigurasikan tembok api pada setiap pelayan dan di pinggir rangkaian.
  • Tukar port lalai jika anda boleh: Terutamanya dalam RDP, menukar port 3389 mengurangkan serangan automatik.
  • Hadkan akses melalui IP: Gunakan senarai putih untuk mengehadkan asal yang boleh mengakses pelayan anda.
  • Audit secara berkala: Gunakan alat pengimbasan untuk mengesan port terbuka yang tidak perlu.

Mengurus port terbuka dengan betul dalam Windows Server adalah penting bukan sahaja untuk memastikan perkhidmatan beroperasi dengan betul, tetapi juga untuk meminimumkan permukaan serangan. Mengetahui setiap peranan, port yang anda perlukan, dan cara mengamankannya akan membantu anda mempunyai infrastruktur yang lebih teguh terhadap ancaman dalaman atau luaran.

PC Mini Windows 365 Link-9
Artikel berkaitan:
Pautan Windows 365: PC mini yang menjalankan Windows 11 dari awan