1. Active Directory (autorité de sécurité locale)
Active Directory s’exécute sous le processus Lsass.exe et inclut les moteurs d’authentification et de réplication pour les contrôleurs de domaine Windows. Les contrôleurs de domaine, les ordinateurs clients et les serveurs d’applications ont besoin de disposer d’une connectivité réseau à Active Directory sur certains ports codés en dur. En outre, à moins qu’un protocole de tunneling soit utilisé pour encapsuler le trafic à destination d’Active Directory, une plage de ports TCP éphémère est nécessaire, entre 1024 et 5000 et 49152 et 65535.
Remarque
- Si votre environnement utilise uniquement Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista, vous devez activer la connectivité sur la plage de ports haute allant de 49152 à 65535.
-
- Si votre environnement utilise Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista avec d’autres versions antérieures de Windows, avant Windows Server 2008 et Windows Vista, vous devez activer la connectivité sur les deux plages de ports :
- Plage de ports haute entre 49152 et 65535
- Si votre environnement utilise Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista avec d’autres versions antérieures de Windows, avant Windows Server 2008 et Windows Vista, vous devez activer la connectivité sur les deux plages de ports :
-
- Plage de ports basse entre 1025 et 5000
- Si votre environnement utilise uniquement des versions de Windows antérieures à Windows Server 2008 et Windows Vista, vous devez activer la connectivité sur la plage de ports basse allant de 1025 à 5000.
Une solution encapsulée peut comprendre une passerelle VPN derrière un routeur de filtrage qui utilise simultanément le protocole L2TP et IPSec. Dans ce scénario encapsulé, vous devez autoriser les éléments suivants à passer par le routeur plutôt que d’ouvrir tous les ports et les protocoles présentés dans cette rubrique :
- ESP IPSec (protocole IP 50)
- Traducteur d’adresses réseau IPsec transversal NAT-T (port UDP 4500)
- Protocole ISAKMP IPsec (port UDP 500)
Enfin, vous pouvez coder en dur le port utilisé pour la réplication Active Directory en suivant les étapes de la procédure décrite dans l’article 224196 de la Base de connaissances Microsoft : Restriction du trafic de réplication Active Directory et du trafic RPC client sur un port spécifique Nom du service système : LSASS
Remarque Les filtres de paquets pour le trafic L2TP ne sont pas requis, car L2TP est protégé par IPSec ESP.
| Protocole d’application | Protocole | Ports |
| Active Directory Web Services (ADWS) | TCP | 9389 |
| Service de passerelle de la gestion Active Directory | TCP | 9389 |
| Catalogue global | TCP | 3269 |
| Catalogue global | TCP | 3268 |
| ICMP | Pas de numéro de port | |
| Serveur LDAP | TCP | 389 |
| Serveur LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
| ISAKMP IPSec | UDP | 500 |
| NAT-T | UDP | 4500 |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés RPC¹ | TCP | 1024 – 5000
49152 – 65535² |
| SMB | TCP | 445 |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez la section « Contrôleurs de domaine et Active Directory » dans la section « Références ». Ceci inclut également les communications WMI et DCOM utilisées pour la première fois dans la promotion du contrôleur de domaine Windows Server 2012 lors de la validation des conditions préalables et avec l’outil Gestionnaire de serveur.
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
³ Le client Microsoft LDAP utilise des pings ICMP pour vérifier si le serveur LDAP auprès duquel une demande est encore en attente est toujours présent sur le réseau. Les paramètres suivants sont des options de session LDAP :
PingKeepAliveTimeout = 120 secondes (temps d’attente après la dernière réponse du serveur avant de commencer à envoyer le ping) PingLimit = 4 (nombre de pings envoyés avant la fermeture de la connexion)
PingWaitTimeout = 2 000 ms (temps d’attente de la réponse ICMP)
Référence : Classe LdapSessionOptions
2. Service de la passerelle de la couche Application
Ce sous-composant du service Partage de connexion Internet/Pare-feu de connexion Internet prend en charge les plug-ins qui permettent aux protocoles réseau de traverser le pare-feu et de fonctionner derrière le Partage de connexion Internet. Les plug-ins de la passerelle de la couche Application (ALG, Application Layer Gateway) peuvent ouvrir des ports et modifier des données (telles que les ports et adresses IP) incorporées dans des paquets. Le FTP est le seul protocole réseau qui comporte un plug-in inclus dans Windows Server. Le plug-in FTP de la passerelle de la couche Application prend en charge les sessions FTP actives par l’intermédiaire du moteur de traduction d’adresses réseau (NAT) utilisé par ces composants. Pour prendre en charge ces sessions, le plug-in redirige tout le trafic qui correspond aux critères suivants vers un port d’écoute privé dans la plage entre 3000 et 5000 sur la carte de bouclage :
- Passe par le moteur NAT
- Dirigé vers le port 21
Ensuite, il surveille et met à jour le trafic du canal de contrôle FTP de sorte que le plug-in FTP puisse transférer les mappages de ports par l’intermédiaire du moteur NAT pour les canaux de données FTP. Ce plug-in met également à jour les ports dans le flux du canal de contrôle FTP.
Nom du service système : ALG
| Protocole d’application | Protocole | Ports |
| Contrôle FTP | TCP | 21 |
Le service d’état ASP.NET assure la prise en charge des états de session out-of-process pour ASP.NET. Il stocke les données de session out-of-process. Le service utilise des sockets pour communiquer avec ASP.NET exécuté sur un serveur web.
Nom du service système : aspnet_state
| Protocole d’application | Protocole | Ports |
| État de session ASP.NET | TCP | 42424 |
Les Services de certificats font partie du système d’exploitation de base. Ils permettent à une entreprise d’agir comme sa propre Autorité de certification (CA). Ceci permet à l’entreprise d’émettre et de gérer des certificats numériques pour les programmes et les protocoles, comme ce qui suit :
- S/MIME (Secure/Multipurpose Internet Mail Extensions)
- SSL (Secure Sockets Layer)
- EFS (Encrypting File System)
- IPsec
- Ouverture de session par carte à puce
Les Services de certificats utilisent les protocoles RPC et DCOM pour communiquer avec les clients en utilisant des ports TCP aléatoires supérieurs au port 1024.
Nom du service système : CertSvc
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le Service de clusters contrôle les opérations de cluster du serveur et gère la base de données du cluster. Un cluster est un ensemble d’ordinateurs indépendants qui agissent en tant qu’ordinateur unique. Les gestionnaires, les programmeurs et les utilisateurs voient le cluster comme un système unique. Le logiciel distribue les données aux nœuds du cluster. En cas de défaillance d’un nœud, les autres nœuds fournissent les services et données correspondants à sa place. Lorsque qu’un nœud est ajouté ou réparé, le logiciel de cluster migre certaines données vers ce nœud.
Nom du service système : ClusSvc
| Application | Protocole | Ports |
| Service de clusters | UDP | 3343 |
| Service de clusters | TCP | 3343 (Ce port est obligatoire pendant les opérations de jonction de nœuds.) |
| RPC | TCP | 135 |
| Administrateur de cluster | UDP | 137 |
| Ports UDP élevés attribués de façon aléatoire¹ | UDP | Numéro de port aléatoire entre 1024 et 65535
Numéro de port aléatoire entre 49152 et 655352 |
Remarque :
En outre, pour une validation réussie sur les clusters de basculement Windows sur 2008 et versions ultérieures, autorisez le trafic entrant et sortant pour les protocoles ICMP4 et ICMP6 et le port 445/TCP pour SMB.
¹ Pour plus d’informations sur la procédure de personnalisation de ces ports, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le service système Explorateur d’ordinateurs maintient à jour la liste des ordinateurs sur votre réseau et la communique aux programmes qui la demandent. Les ordinateurs Windows utilisent ce service pour afficher les domaines et les ressources réseau. Les ordinateurs désignés comme explorateurs gèrent des listes de parcours contenant toutes les ressources partagées utilisées sur le réseau. Les versions antérieures des programmes Windows (par exemple les Favoris réseau), la commande net view et l’Explorateur Windows nécessitent tous des capacités de navigation. Par exemple, lorsque vous ouvrez les Favoris réseau sur un ordinateur Microsoft Windows 95, une liste des domaines et des ordinateurs s’affiche. Pour pouvoir afficher cette liste, l’ordinateur demande une copie de la liste de parcours à l’ordinateur désigné comme explorateur.
Si vous utilisez uniquement Windows Vista et des versions ultérieures de Windows, le service de navigateur n’est plus nécessaire.
Nom du service système : Navigateur
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
Le service Navigateur utilise RPC sur des canaux nommés pour la compilation
Le service Serveur DHCP utilise le protocole DHCP (Dynamic Host Configuration Protocol) pour attribuer automatiquement des adresses IP. Avec ce service, vous pouvez régler les paramètres réseau avancés des clients DHCP. Par exemple, vous pouvez configurer des paramètres réseau tels que les serveurs DNS (Domain Name System) ou WINS (Windows Internet Name Service). Vous pouvez désigner un ou plusieurs serveurs DHCP pour gérer les informations de configuration TCP/IP et les transmettre aux ordinateurs clients.
Nom du service système : DHCPServer
| Protocole d’application | Protocole | Ports |
| Serveur DHCP | UDP | 67 |
| MADCAP | UDP | 2535 |
| Basculement DHCP | TCP | 647 |
8. Espaces de noms de système de fichiers DFS
Le DFSN (espace de noms du système de fichiers DFS) intègre différents partages de fichiers qui sont situés sur un réseau local (LAN) ou un réseau étendu (WAN) dans un espace de noms logique unique. Le service DFSN est nécessaire pour les contrôleurs de domaine Active Directory pour la publication du dossier partagé SYSVOL.
Nom du service système : Dfs
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138³ |
| Service de session NetBIOS | TCP | 139³ |
| Serveur LDAP | TCP | 389 |
| Serveur LDAP | UDP | 389 |
| SMB | TCP | 445 |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
³ Les ports NETBIOS sont facultatifs et ne sont pas nécessaires lorsque DFSN utilise des noms de serveur FQDN.
9. Réplication du système de fichiers DFS
Le service de réplication de système de fichiers distribués (DFSR) est un moteur de réplication de fichiers maîtres multiples, basé sur l’état, qui copie automatiquement les mises à jour de fichiers et de dossiers entre des ordinateurs qui appartiennent à un groupe de réplication commun. DFSR a été ajouté à compter de Windows Server 2003 R2. Vous pouvez configurer DFSR à l’aide de l’outil de ligne de commande Dfsrdiag.exe pour répliquer des fichiers sur des ports spécifiques, que ceux-ci appartiennent ou non à des espaces de noms DFSN (Distributed File System Namespaces).
Nom du service système : DFSR
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| RPC | TCP | 5722³ |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Service de réplication de fichiers distribués » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
3 Le port 5722 est uniquement utilisé sur le contrôleur de domaine Windows Server 2008 ou sur le contrôleur de domaine Windows Server 2008 R2. Il n’est pas utilisé sur le contrôleur de domaine Windows Server 2012.
10. Serveur de suivi de lien distribué
Le service système Serveur de suivi de lien distribué stocke des informations qui permettent de suivre, sur chaque volume du domaine, les fichiers ayant été déplacés d’un volume à un autre. Il s’exécute sur chaque contrôleur de domaine. Il active le service Client de suivi de lien distribué afin de suivre les documents liés déplacés vers un emplacement situé sur un autre volume NTFS du même domaine.
Nom du service système : TrkSvr
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
11. Coordinateur de transactions distribuées
Le service système Coordinateur de transactions distribuées (DTC, Distributed Transaction Coordinator) assure la coordination des transactions distribuées sur plusieurs systèmes et gestionnaires de ressources, par exemple les bases de données, les files d’attente des messages, les systèmes de fichiers ou d’autres gestionnaires de ressources dont les transactions sont protégées. Le service système DTC est requis si les composants transactionnels sont configurés à l’aide de COM+. Il est également requis pour les files d’attente transactionnelles dans Message Queuing (également appelé MSMQ) et les opérations SQL Server qui s’étendent sur différents systèmes.
Nom du service système : MSDTC
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Coordinateur de transactions distribuées » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le service Serveur DNS active la résolution de noms DNS en répondant aux requêtes, et il met à jour les requêtes de noms DNS. Les serveurs DNS sont requis pour rechercher les périphériques et les services identifiés à l’aide des noms DNS, ainsi que les contrôleurs de domaine dans Active Directory.
Nom du service système :
DNS
| Protocole d’application | Protocole | Ports |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
Le service système Journal des événements consigne les messages d’événements générés par les programmes et par le système d’exploitation Windows. Les rapports du Journal des événements contiennent des informations utiles pour diagnostiquer les problèmes. Vous pouvez consulter les rapports dans l’observateur d’événements. Le service Journal des événements consigne dans des fichiers journaux les événements envoyés par les programmes, les services et le système d’exploitation. Outre les erreurs spécifiques au programme source, au service ou au composant, les événements comprennent des informations de diagnostic. Les journaux peuvent être affichés par programme par le biais des interfaces API des journaux d’événements ou de l’Observateur d’événements dans un composant logiciel enfichable MMC.
Nom du service système : Eventlog
| Protocole d’application | Protocole | Ports |
| RPC/Canaux nommés (NP) | TCP | 139 |
| RPC/NP | TCP | 445 |
| RPC/NP | UDP | 137 |
| RPC/NP | UDP | 138 |
Remarque Le service Journal des événements utilise RPC sur des canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
Le service de réplication de fichiers (FRS, File Replication Service) est un moteur de réplication de fichiers qui copie automatiquement les mises à jour de fichiers et de dossiers entre des ordinateurs qui appartiennent à un jeu de réplicas FRS commun. Il s’agit du moteur de réplication par défaut utilisé pour répliquer le contenu du dossier SYSVOL entre des contrôleurs de domaine Windows 2000 et Windows Server 2003 situés dans un domaine commun. Vous pouvez utiliser l’outil d’administration DFS pour configurer FRS afin de répliquer les fichiers et les dossiers entre les cibles d’une racine ou d’une liaison DFS.
Nom du service système : NtFrs
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Service de réplication de fichiers » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
15. Service de publication FTP
Le Service de publication FTP permet d’établir une connexion FTP. Par défaut, le port de contrôle FTP est le 21. Toutefois, vous pouvez configurer ce service système à l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS). Le port de données (utilisé pour le FTP en mode actif) par défaut est automatiquement celui juste en dessous du port de contrôle. Par conséquent, si le port de contrôle est configuré sur 4131, le port de données par défaut est 4130. La plupart des clients FTP utilisent le FTP en mode passif. Les clients se connectent donc d’abord au serveur FTP avec le port de contrôle. Ensuite, le serveur FTP affecte un port TCP élevé, entre 1025 et 5000. Puis le client ouvre une deuxième connexion au serveur FTP pour le transfert des données. Vous pouvez configurer la gamme des ports élevés à l’aide de la métabase IIS.
Nom du service système : MSFTPSVC
| Protocole d’application | Protocole | Ports |
| Contrôle FTP | TCP | 21 |
| Données FTP par défaut | TCP | 20 |
| Ports TCP aléatoires élevés | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535¹ |
1 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Pour appliquer correctement la Stratégie de groupe, l’ordinateur client doit être en mesure de contacter un contrôleur de domaine par le biais des protocoles Kerberos, LDAP, SMB et RPC. Windows XP et Windows Server 2003 nécessitent également le protocole ICMP.
Si l’un de ces protocoles n’est pas disponible ou est bloqué entre le client et un contrôleur de domaine concerné, la stratégie de groupe ne s’appliquera ou ne s’actualisera pas. Pour une ouverture de session inter-domaine, où un ordinateur est dans un domaine et le compte d’utilisateur dans un autre, ces protocoles peuvent être requis pour les communications du client, du domaine de ressources et du domaine de compte. ICMP est utilisé pour la détection des liaisons lentes. Pour plus d’informations sur la détection des liaisons lentes, consultez les articles suivants de la Base de connaissances Microsoft : 227260 : Détection de liaison lente pour traiter les profils d’utilisateur et stratégie de groupe 2008977 : Stratégie de groupe pour la détection de liaisons lentes avec Windows Vista et Windows Server 2008
Nom du service système : Stratégie de groupe
| Protocole d’application | Protocole | Ports |
| DCOM ¹ | TCP + UDP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
| ICMP (ping) ³ | ICMP | |
| LDAP | TCP | 389 |
| SMB | TCP | 445 |
| RPC ¹ | TCP | 135
numéro de port aléatoire entre 1024 et 65535 numéro de port aléatoire entre 49152 et 655352 |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez la section « Contrôleurs de domaine et Active Directory » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
3 Ce protocole est nécessaire uniquement avec comme clients Windows XP et Windows Server 2003.
Remarque Lorsque le composant logiciel enfichable Stratégie de groupe MMC (Microsoft Management Console) crée des rapports sur les résultats de la stratégie de groupe et des rapports sur la modélisation de stratégie de groupe, il utilise DCOM et RPC pour envoyer et recevoir des informations du fournisseur RSoP (Resultant Set of Policy) sur le client ou sur le contrôleur de domaine. Les différents fichiers binaires qui composent les fonctionnalités du composant logiciel enfichable Stratégie de groupe MMC (Microsoft Management Console) utilisent principalement des appels COM pour envoyer ou recevoir des informations. Lorsque vous lancez à distance un rapport sur les résultats de stratégie de groupe depuis un ordinateur Windows 8 et Windows Server 2012, l’accès au journal des événements de l’ordinateur de destination est nécessaire. (Consultez la section « Journal des événements » de cet article pour connaître les exigences relatives aux ports.)
Windows 8 et Windows Server 2012 prennent en charge le déclenchement de la mise à jour à distance de la stratégie de groupe sur les ordinateurs Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista. Cette opération nécessite un accès RPC/WMI via le port 135 et les ports entrants 49152 à 65535 sur l’ordinateur sur lequel la stratégie est actualisée.
Le service système HTTP SSL permet à IIS d’utiliser les fonctions SSL. SSL est une norme ouverte qui permet d’établir un canal de communication chiffré dans le but d’empêcher toute interception d’informations importantes comme les numéros de carte de crédit. Bien qu’il fonctionne avec d’autres services Internet, SSL est utilisé principalement pour les transactions financières sur le World Wide Web (WWW). Vous pouvez configurer les ports pour ce service à l’aide du composant logiciel enfichable Gestionnaire des services Internet (IIS).
Nom du service système : HTTPFilter
| Protocole d’application | Protocole | Ports |
| HTTPS | TCP | 443 |
Réplica Hyper-V
| Protocole d’application | Protocole | Port |
| WMI | TCP | 135 |
| Ports TCP aléatoires élevés | TCP | Numéro de port aléatoire entre 49152 et 65535 |
| Authentification Kerberos (HTTP) | TCP | 80 |
| Authentification basée sur les certificats (HTTPS) | TCP | 443 |
Migration dynamique Hyper-V
| Protocole d’application | Protocole | Port |
| Migration dynamique | TCP | 6600 |
| SMB | TCP | 445 |
| Trafic du service de clusters | UDP | 3343 |
19. Service d’authentification Internet
Le service d’authentification Internet (IAS, Internet Authentication Service) procède de façon centralisée à l’authentification, à l’autorisation, à la gestion et à l’audit des utilisateurs connectés à un réseau. Ces utilisateurs peuvent être sur une connexion réseau local ou une connexion à distance. IAS met en œuvre le protocole RADIUS (Remote Authentication Dial-In User Service) standard de l’IETF (Internet Engineering Task Force).
Nom du service système : IAS
| Protocole d’application | Protocole | Ports |
| RADIUS hérité | UDP | 1645 |
| RADIUS hérité | UDP | 1646 |
| Gestion RADIUS | UDP | 1813 |
| Authentification RADIUS | UDP | 1812 |
20. Pare-feu de connexion Internet (ICF)/Partage de connexion Internet
Ce service système fournit des services de traduction d’adresses réseau (NAT), d’adressage et de résolution de noms pour tous les ordinateurs de votre réseau domestique ou de votre réseau de petite entreprise. Lorsque la fonction Partage de connexion Internet est activée, votre ordinateur est transformé en « passerelle Internet » sur le réseau. Les autres ordinateurs clients peuvent ensuite partager une connexion Internet, par exemple une connexion d’accès à distance ou une connexion haut débit. Ce service fournit les services DHCP et DNS de base, mais il va fonctionner avec l’ensemble des services DHCP ou DNS de Windows. Lorsque les fonctions ICF et ICS agissent en tant que passerelle pour les autres ordinateurs de votre réseau, elles fournissent les services DHCP et DNS au réseau privé sur l’interface réseau interne, mais pas sur l’interface réseau externe.
Nom du service système :
SharedAccess
| Protocole d’application | Protocole | Ports |
| Serveur DHCP | UDP | 67 |
| DNS | UDP | 53 |
| DNS | TCP | 53 |
L’interface utilisateur du client IPAM (IP Address Management) communique avec le serveur IPAM pour la gestion à distance. Cette communication utilise le Windows Communications Framework (WCF), qui utilise le protocole de transfert TCP. Par défaut, la liaison TCP se fait sur le port 48885 sur le serveur IPAM.
Informations BranchCache
- Le port 3702 (UDP) permet de détecter la disponibilité du contenu caché sur un client.
- Le port 80 (TCP) permet de transmettre le contenu aux clients qui le demandent.
- Le port 443 (TCP) est le port par défaut utilisé par le cache hébergé pour accepter les offres de contenu entrant des clients.
22. Centre de distribution de clés Kerberos
Lorsque vous utilisez le service système Centre de distribution de clés Kerberos (KDC, Key Distribution Center), les utilisateurs peuvent se connecter au réseau par le biais du protocole d’authentification Kerberos version 5. Comme pour toutes les autres implémentations du protocole Kerberos, le KDC est un processus unique qui fournit deux services : le service d’authentification et le service d’accord de tickets (TGS). Le premier émet des tickets d’accord et le second émet des tickets pour la connexion vers des ordinateurs de son propre domaine.
Nom du service système :
kdc
| Protocole d’application | Protocole | Ports |
| Kerberos | TCP | 88 |
| Kerberos | UDP | 88 |
| Mot de passe Kerberos V5 | UDP | 464 |
| Mot de passe Kerberos V5 | TCP | 464 |
| Localisateur de contrôleurs de domaine | UDP | 389 |
23. Enregistrement de licences
Le service système Enregistrement de licences (LLS, License Logging Service) est un outil conçu pour aider les clients à gérer les licences des produits serveur Microsoft reposant sur des Licences d’accès client (CAL). L’enregistrement de licences a été introduit avec Microsoft Windows NT Server 3.51. Par défaut, le Service d’enregistrement de licences est désactivé dans Windows Server 2003. En raison des contraintes héritées liées à la conception et de l’évolution des termes des licences, l’enregistrement de licences peut ne pas indiquer de façon précise le nombre total de CAL achetées par rapport au nombre total de CAL utilisées sur un serveur particulier ou dans toute l’entreprise. Les CAL mentionnées par l’enregistrement de licences peuvent entrer en conflit avec l’interprétation des termes du contrat de licence logiciel Microsoft et avec les droits d’utilisation de logiciels. L’enregistrement de licences ne fait pas partie de Windows Server 2008 ou des versions ultérieures. Nous vous recommandons que seuls les utilisateurs des systèmes d’exploitation de la gamme Microsoft Small Business Server activent ce service sur leurs serveurs.
Nom du service système :
LicenseService
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Remarque Le service Enregistrement de licences utilise RPC sur des canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
Le service système Message Queuing est une infrastructure de messagerie et un outil de développement permettant de créer des applications de messagerie distribuée pour les systèmes d’exploitation Windows. Ces programmes peuvent communiquer entre des réseaux hétérogènes et envoyer des messages entre des ordinateurs qui peuvent ne pas parvenir temporairement à se connecter les uns aux autres. Message Queuing fournit une sécurité, un routage efficace, une prise en charge d’envoi de messages à l’intérieur des transactions, une messagerie basée sur la priorité et une livraison de message garantie.
Nom du service système : MSMQ
| Protocole d’application | Protocole | Ports |
| MSMQ | TCP | 1801 |
| MSMQ | UDP | 1801 |
| MSMQ-Contrôleurs de domaine | TCP | 2101 |
| MSMQ-Mgmt | TCP | 2107 |
| MSMQ-Ping | UDP | 3527 |
| MSMQ-RPC | TCP | 2105 |
| MSMQ-RPC | TCP | 2103 |
| RPC | TCP | 135 |
Le service système Affichage des messages permet d’échanger des messages instantanés entre des utilisateurs, des ordinateurs et des administrateurs, et d’envoyer ou de recevoir des alertes. Ce service n’est pas lié à Windows Messenger. Si vous désactivez le service Affichage des messages, les ordinateurs ou utilisateurs actuellement connectés sur le réseau ne reçoivent plus de notifications. En outre, les commandes net send et net name ne fonctionnent plus.
Dans de nombreux environnements client, ce service est désactivé. Vous n’avez donc pas besoin d’activer NETBIOS pour ce service.
Nom du service système :
Affichage des messages
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
26. Piles MTA Microsoft Exchange
Dans Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003, l’Agent de transfert des messages (MTA, Message Transfer Agent) est souvent utilisé pour fournir des services de transfert de messages à compatibilité descendante entre des serveurs Exchange 2000 Server et Exchange Server 5.5 dans un environnement en mode mixte.
Nom du service système : MSExchangeMTA
| Protocole d’application | Protocole | Ports |
| X.400 | TCP | 102 |
Le service POP3 Microsoft fournit des services de récupération et de transfert de messages électroniques. Les administrateurs peuvent l’utiliser pour stocker et gérer des comptes de messagerie électronique sur le serveur de messagerie. Lorsque vous installez ce service sur le serveur de messagerie, les utilisateurs peuvent se connecter à ce serveur et récupérer le courrier électronique par le biais du client de messagerie qui prend en charge le protocole POP3, par exemple Microsoft Outlook.
Nom du service système : POP3SVC
| Protocole d’application | Protocole | Ports |
| POP3 | TCP | 110 |
28. Ouverture de session réseau (NetLogon)
Le service système Ouverture de session réseau maintient un canal de sécurité entre votre ordinateur et le contrôleur de domaine pour authentifier les utilisateurs et les services. Il transmet les informations d’identification de l’utilisateur à un contrôleur de domaine, puis renvoie à l’utilisateur les identificateurs de sécurité du domaine et les droits utilisateur. Cette procédure est généralement appelée authentification directe. Net Logon est uniquement configuré pour démarrer automatiquement lorsqu’un ordinateur membre ou un contrôleur de domaine est joint à un domaine. Dans la gamme Windows 2000 Server et Windows Server 2003, l’Ouverture de session réseau publie des enregistrements de localisation de ressource de service dans le DNS. Lorsqu’il est exécuté, ce service repose sur les services STATION DE TRAVAIL et Autorité de sécurité locale pour surveiller les demandes entrantes. Sur les ordinateurs membres du domaine, l’Ouverture de session réseau utilise RPC sur des canaux nommés. Sur les contrôleurs de domaine, elle utilise RPC sur des canaux nommés, RPC sur TCP/IP, des emplacements de messagerie et le protocole LDAP (Lightweight Directory Access Protocol).
Nom du service système : Netlogon
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 ³ |
| Résolution de noms NetBIOS | UDP | 137 ³ |
| Service de session NetBIOS | TCP | 139 ³ |
| SMB | TCP | 445 |
| LDAP | UDP | 389 |
| RPC¹ | TCP | 135, numéro de port aléatoire entre 1024 et 65535
135, numéro de port aléatoire entre 49152 et 655352 |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez la section « Contrôleurs de domaine et Active Directory » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
³ Les ports NETBIOS sont facultatifs. Netlogon ne les utilise que pour les éléments de confiance qui ne prennent pas en charge le DNS ou lorsque le DNS échoue lors d’une tentative de rétablissement. S’il n’y a pas d’infrastructure WINS et que les diffusions ne peuvent pas fonctionner, vous devez désactiver NetBt ou définir les ordinateurs et les serveurs sur NodeType=2.
Remarque Le service Net Logon utilise RPC sur des canaux nommés pour les versions antérieures des clients Windows. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
29. Protocole NNTP (Network News Transfer Protocol)
Le service système NNTP permet aux ordinateurs Windows Server 2003 de faire office de serveurs de news. Les clients peuvent utiliser un client de News, tel que Microsoft Outlook Express, pour récupérer des groupes de discussion à partir du serveur et lire les en-têtes ou le contenu des articles dans chaque groupe de discussion.
Nom du service système :
NNTPSVC
| Protocole d’application | Protocole | Ports |
| NNTP | TCP | 119 |
| NNTP sur SSL | TCP | 563 |
Le service Fichiers hors connexion et les profils utilisateur itinérants mettent en cache les données utilisateur sur les ordinateurs pour pouvoir les utiliser hors connexion. Ces fonctionnalités existent dans tous les systèmes d’exploitation Microsoft pris en charge. Windows XP appliquait la mise en cache du profil utilisateur itinérant dans le cadre du processus Winlogon, tandis que Windows Vista, Windows Server 2008 et les systèmes d’exploitation ultérieurs utilisaient le Service Profil utilisateur. Tous ces systèmes utilisent SMB.
La Redirection de dossiers redirige les données utilisateur de l’ordinateur local vers un partage de fichiers distant avec SMB.
Le système Ordinateur principal pour Windows fait partie des services Profil utilisateur itinérant et Fichiers hors connexion. Le système Ordinateur principal permet d’empêcher la mise en cache des données sur les ordinateurs sur lesquels les administrateurs n’autorisent pas certains utilisateurs. Il utilise le LDAP pour déterminer la configuration et n’effectue aucun transfert de données avec SMB : il modifie le comportement par défaut de Fichiers hors connexion et Profil utilisateur itinérant. Ce système a été ajouté dans Windows 8 et Windows Server 2012.
Nom des services système : ProfSvc, CscService
| Protocole d’application | Protocole | Ports |
| SMB | TCP | 445 |
| Catalogue global | TCP | 3269 |
| Catalogue global | TCP | 3268 |
| Serveur LDAP | TCP | 389 |
| Serveur LDAP | UDP | 389 |
| LDAP SSL | TCP | 636 |
31. Journaux et alertes de performance
Le service système Journaux et alertes de performance collecte les données de performances des ordinateurs locaux ou distants en fonction de paramètres de planification préconfigurés et écrit ces données dans un journal ou déclenche l’envoi d’un message. En fonction des informations contenues dans le paramètre de collecte du journal, le service Journaux et alertes de performance démarre et arrête chaque collecte de données de performances nommée. Ce service ne s’exécute que si au moins une collecte de données de performances est planifiée.
Nom du service système :
SysmonLog
| Protocole d’application | Protocole | Ports |
| Service de session NetBIOS | TCP | 139 |
Le service système Spouleur d’impression gère toutes les files d’attente d’impression locale et réseau et contrôle tous les travaux d’impression. Le Spouleur d’impression est le centre du sous-système d’impression Windows. Il gère les files d’attente d’impression sur le système et communique avec les pilotes d’imprimantes et les composants d’entrée/sortie (E/S), comme le port USB et la suite de protocoles TCP/IP.
Nom du service système :
Spooler
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Remarque Le service Spouleur d’impression utilise RPC sur des canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
Vous pouvez utiliser le service système Installation à distance pour installer Windows 2000, Windows XP et Windows Server 2003 sur des ordinateurs clients compatibles avec le démarrage à distance dans un environnement d’exécution de prédémarrage (PXE, Pre-Boot eXecution Environment). Le service BINL (Boot Information Negotiation Layer), composant principal du serveur d’installation à distance (RIS, Remote Installation Server), répond aux demandes des clients PXE, vérifie Active Directory pour la validation client et transmet les informations client vers et depuis le serveur. Ce service est installé soit lorsque vous ajoutez le composant RIS en utilisant la fonctionnalité Ajout/Suppression de composants Windows, soit lorsque vous le sélectionnez lors de la première installation du système d’exploitation.
Nom du service système : BINLSVC
| Protocole d’application | Protocole | Ports |
| BINL | UDP | 4011 |
34. Appel de procédure distante (RPC)
Le service système Appel de procédure distante est un mécanisme IPC (Interprocess Communication) qui permet l’échange de données et l’appel de fonctionnalités qui se trouve dans un autre processus. Ce processus peut être sur le même ordinateur, sur le réseau local ou sur un emplacement distant ; il est accessible par le biais d’une connexion WAN ou VPN. Le service RPC sert de mappeur de point final RPC et de Gestionnaire de contrôle des services COM (Component Object Model). De nombreux services dépendent du service RPC pour démarrer correctement.
Nom du service système : RpcSs
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| RPC sur HTTPS | TCP | 593 |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Remarques
- RPC n’utilise pas uniquement les ports codés en dur répertoriés dans ce tableau. Les ports de la plage éphémère qui sont utilisés par Active Directory et par d’autres composants sont définis sur RPC dans la plage de ports éphémère. La plage de ports éphémère dépend du système d’exploitation du serveur auquel le système d’exploitation client est connecté.
- Le mappeur de point final RPC propose également ses services à l’aide de canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
35. Localisateur d’appels de procédure distante (RPC)
Le service système Localisateur d’appels de procédure distante (RPC, Remote Procedure Call) gère la base de données des services de noms RPC. Lorsqu’il est désactivé, les clients RPC peuvent rechercher des serveurs RPC. Ce service est désactivé par défaut.
Nom du service système : RpcLocator
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
Remarque Le service Localisateur d’appels de procédure distante propose également ses services à l’aide de RPC sur des canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité « Partage des fichiers et imprimantes ».
36. Notification du stockage étendu
Le service système Notification de stockage étendu (RSN, Remote Storage Notification) vous avertit lorsque vous effectuez des opérations de lecture ou d’écriture dans des fichiers accessibles uniquement sur un support de stockage secondaire. Si vous arrêtez ce service, vous ne recevez plus cette notification.
Nom du service système : Remote_Storage_User_Link
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le service système Stockage étendu enregistre les fichiers peu sollicités sur un support de stockage secondaire. Si vous arrêtez ce service, les utilisateurs ne peuvent plus déplacer ni récupérer des fichiers à partir de ce support.
Nom du service système : Remote_Storage_Server
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le service Routage et accès distant (RAS, Routing and Remote Access) fournit des services de routage multiprotocole réseau local à réseau local, réseau local à réseau étendu ou utilisant les réseaux privés virtuels (VPN) ou la traduction d’adresses réseau (NAT). Ce service fournit également des services d’accès à distance (connexion à distance ou VPN). Même s’il est possible que le service Routage et accès distant utilise tous les protocoles suivants, il n’en utilise généralement que quelques-uns. Par exemple, si vous configurez une passerelle VPN qui se situe derrière un routeur de filtrage, vous utiliserez probablement un seul de ces protocoles. Si vous utilisez simultanément L2TP et IPSec, vous devez autoriser ESP IPSec (protocole IP 50), NAT-T (UDP sur le port 4500) et ISAKMP IPSec (UDP sur le port 500) par l’intermédiaire du routeur.
Remarque Même si NAT-T et ISAKMP IPSec sont requis pour le protocole L2TP, ces ports sont en fait surveillés par l’autorité de sécurité locale. Pour plus d’informations à ce sujet, consultez la section « Références ».
Nom du service système : RemoteAccess
| Protocole d’application | Protocole | Ports |
| GRE (protocole IP 47) | GRE | n/d |
| AH IPSec (protocole IP 51) | AH | n/d |
| ESP IPSec (protocole IP 50) | ESP | n/d |
| L2TP | UDP | 1701 |
| PPTP | TCP | 1723 |
Le service système Serveur assure la prise en charge RPC ainsi que le partage de fichiers, d’impression et de canaux nommés sur le réseau. Il permet aux utilisateurs de partager des ressources locales, comme les disques et les imprimantes, pour que les autres utilisateurs sur le réseau puissent y accéder. Il permet également la communication des canaux nommés entre les programmes exécutés sur l’ordinateur local et sur les autres ordinateurs. La communication des canaux nommés correspond à la mémoire réservée à la sortie d’un processus qui doit être utilisé comme entrée pour un autre processus. Le processus d’acceptation d’entrée ne doit pas obligatoirement avoir lieu sur l’ordinateur local.
Remarque Si un nom d’ordinateur est résolu avec plusieurs adresses IP à l’aide de WINS, ou si le nom est résolu à l’aide de DNS après l’échec de WINS, le protocole NetBIOS sur TCP/IP (NetBT) essaie d’effectuer un test ping de l’adresse ou des adresses IP du serveur de fichiers. Les communications sur le port 139 dépendent des messages ICMP (Internet Control Message Protocol) Écho. Si le protocole IPv6 (Internet Protocol version 6) n’est pas installé, les communications sur le port 445 dépendront également d’ICMP pour la résolution de noms. Les entrées Lmhosts préchargées contourneront le programme de résolution DNS. Si IPv6 est installé sur des ordinateurs qui exécutent Windows Server 2003 ou Windows XP, les communications sur le port 445 ne déclencheront pas de demandes ICMP.
Les ports NetBIOS répertoriés ici sont facultatifs. Les clients Windows 2000 et versions ultérieures peuvent fonctionner sur le port 445.
Nom du service système :
lanmanserver
| Protocole d’application | Protocole | Ports |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
40. SMTP (Simple Mail Transfer Protocol)
Le service système SMTP est un agent de relais et de dépôt de messages électroniques. Il accepte et met dans des files d’attente les messages électroniques pour des destinations distantes et il réessaie à des intervalles définis. Les contrôleurs de domaine Windows utilisent le service SMTP pour la réplication du courrier électronique inter-sites. Les objets CDO (Collaboration Data Objects) pour le composant COM Windows Server 2003 peuvent utiliser ce service pour envoyer et placer en file d’attente les messages sortants.
Nom du service système :
SMTPSVC
| Protocole d’application | Protocole | Ports |
| SMTP | TCP | 25 |
Les Services TCP/IP simples implémentent la prise en charge des protocoles suivants :
- Port Echo 7, RFC 862
- Port Discard 9, RFC 863
- Port Character Generator 19, RFC 864
- Port Daytime 13, RFC 867
- Port Quote of the Day 17, RFC 865
Nom du service système : SimpTcp
| Protocole d’application | Protocole | Ports |
| Chargen | TCP | 19 |
| Chargen | UDP | 19 |
| Daytime | TCP | 13 |
| Daytime | UDP | 13 |
| Abandonner | TCP | 9 |
| Abandonner | UDP | 9 |
| Echo | TCP | 7 |
| Echo | UDP | 7 |
| Quotd | TCP | 17 |
| Quoted | UDP | 17 |
Le service permet à l’ordinateur local de répondre aux demandes SNMP(Simple Network Management Protocol). Il comprend des agents qui surveillent l’activité des périphériques réseau et en rendent compte à la station de travail de la console réseau. Ce service fournit une méthode pour gérer les hôtes réseau (tels que les stations de travail ou les serveurs, les routeurs, les ponts et les concentrateurs) à partir d’un ordinateur central qui exécute le logiciel de gestion réseau. SNMP utilise une architecture distribuée de systèmes et agents de gestion pour fournir ces services.
Nom du service système : SNMP
| Protocole d’application | Protocole | Ports |
| SNMP | UDP | 161 |
43. Service d’interruption SNMP
Le service d’interruption SNMP reçoit les messages d’interruption générés par des agents SNMP locaux ou distants. Le service d’interruption SNMP transfère ensuite ces messages aux programmes de gestion SNMP en cours d’exécution sur votre ordinateur. Ce service, lorsqu’il est configuré pour un agent, génère des messages d’interruption dès qu’un événement spécifique se produit. Ces messages sont envoyés vers une destination des interruptions. Par exemple, un agent peut être configuré pour lancer une interruption d’authentification si un système de gestion non reconnu envoie une demande d’information. Les destinations des interruptions comprennent le nom et l’adresse IP de l’ordinateur ou l’adresse IPX (Internetwork Packet Exchange) du système de gestion. Chaque destination des interruptions doit être un hôte réseau sur lequel est exécuté le logiciel de gestion SNMP.
Nom du service système :
SNMPTRAP
| Protocole d’application | Protocole | Ports |
| Interruptions SNMP sortantes | UDP | 162 |
Le Service Découverte SSDP implémente le protocole SSDP (Simple Service Discovery Protocol) en tant que service Windows. Ce service gère la réception des annonces de présence des périphériques, met à jour son cache et envoie ces notifications aux clients dont les demandes de recherche sont en attente. Le Service Découverte SSDP accepte également l’inscription de rappels d’événements de la part des clients. Ces rappels enregistrés sont ensuite transformés en demandes d’abonnement. Le Service Découverte SSDP surveille ensuite les notifications d’événements et envoie ces demandes aux rappels inscrits. Ce service système fournit également des annonces régulières aux périphériques hébergés. Actuellement, le service de notification d’événements SSDP utilise le port TCP 5000.
Remarque Depuis Windows XP Service Pack 2 (SP2), le service de notification d’événements SSDP utilise le port TCP 2869.
Nom du service système :
SSDPRSR
| Protocole d’application | Protocole | Ports |
| SSDP | UDP | 1900 |
| Notification d’événements SSDP | TCP | 2869 |
| Notification d’événements hérités SSDP | TCP | 5000 |
45. Serveur d’impression TCP/IP
Le service système Serveur d’impression TCP/IP active l’impression TCP/IP par le biais du protocole LPD (Line Printer Daemon). Le service LPD sur le serveur reçoit des documents des utilitaires LPR (Line Printer Remote) fonctionnant sur des ordinateurs UNIX.
Nom du service système :
LPDSVC
| Protocole d’application | Protocole | Ports |
| LPD | TCP | 515 |
Le service système Telnet pour Windows permet aux clients Telnet d’ouvrir des sessions sur des terminaux ASCII. Le serveur Telnet prend en charge deux types d’authentification et les types de terminaux suivants :
ANSI (American National Standards Institute)
VT-100
VT-52
VTNT
Nom du service système : TlntSvr
| Protocole d’application | Protocole | Ports |
| Telnet | TCP | 23 |
Les services Terminal Server fournissent un environnement de sessions multiples qui permet aux périphériques clients d’accéder à une session virtuelle du Bureau Windows et aux programmes Windows exécutés sur le serveur. Ces services assurent la connexion interactive de plusieurs utilisateurs à un ordinateur.
Nom du service système : TermService
| Protocole d’application | Protocole | Ports |
| Services Terminal Server | TCP | 3389 |
48. Gestion de licences Terminal Server
Le service système Gestion de licences Terminal Server installe un serveur de licences et donne les licences aux clients enregistrés lorsqu’ils se connectent à un serveur Terminal Server (c’est-à-dire un serveur sur lequel Terminal Server est activé). Ce service à faible impact stocke les licences client octroyées à un serveur Terminal Server, puis effectue le suivi des licences délivrées aux ordinateurs ou terminaux clients.
Nom du service système :
TermServLicensing
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
| Service de datagramme NetBIOS | UDP | 138 |
| Résolution de noms NetBIOS | UDP | 137 |
| Service de session NetBIOS | TCP | 139 |
| SMB | TCP | 445 |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Remarque Le Gestionnaire de licences TS propose également ses services à l’aide de RPC sur des canaux nommés. Ce service a les mêmes exigences de pare-feu que la fonctionnalité Partage des fichiers et imprimantes.
48. Annuaire de session des services Terminal Server
Avec le service Annuaire de session des services Terminal Server, les clusters des serveurs Terminal Server avec répartition de charge peuvent router correctement toute demande de connexion de l’utilisateur au serveur, sur lequel l’utilisateur a déjà ouvert une session. Les utilisateurs sont dirigés vers le premier serveur Terminal Server disponible, même s’ils ont une autre session en cours d’exécution dans le cluster de serveurs. La fonction de répartition de charge regroupe les ressources de traitement de plusieurs serveurs en utilisant le protocole réseau TCP/IP. Vous pouvez utiliser ce service avec un cluster de serveurs Terminal Server pour accroître les performances d’un seul serveur en répartissant les sessions sur plusieurs serveurs. L’annuaire de session des services Terminal Server effectue le suivi des sessions déconnectées sur le cluster et vérifie que les utilisateurs sont reconnectés à ces sessions.
Nom du service système :
Tssdis
| Protocole d’application | Protocole | Ports |
| RPC | TCP | 135 |
| Ports TCP aléatoires élevés¹ | TCP | numéro de port aléatoire entre 1024 et 65535
numéro de port aléatoire entre 49152 et 65535² |
¹ Pour plus d’informations sur la procédure de personnalisation de ce port, consultez « Appels de procédure distante et DCOM » dans la section « Références ».
2 Il s’agit de la plage dans Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista.
Le service système Trivial FTP ne nécessite aucun nom d’utilisateur ou mot de passe ; il fait partie intégrante des services d’installation à distance (RIS, Remote Installation Services). Il assure la prise en charge du protocole TFTP (Trivial FTP Protocol) défini dans les spécifications RFC suivantes :
RFC 1350 – TFTP
RFC 2347 – Extension d’options
RFC 2348 – Option de taille de bloc
RFC 2349 – Intervalle du délai d’expiration et options de taille de transfert
TFTP (Trivial File Transfer Protocol) est un protocole de transfert de fichiers pour les environnements de démarrage sans disque. Le service TFTP est à l’écoute sur le port UDP 69, mais il répond depuis un port aléatoire élevé. Par conséquent, lorsque vous activez ce port, le service TFTP reçoit les demandes TFTP entrantes, il ne laisse pas le serveur sélectionné répondre à ces demandes. Le service est libre de répondre à toute demande de ce type provenant d’un port source et le client distant utilise ensuite ce port pendant le transfert. La communication est bidirectionnelle. Si vous devez activer ce protocole derrière un pare-feu, il peut être utile d’ouvrir le port UDP 69 entrant. Vous pouvez vous reposer ensuite sur d’autres fonctionnalités de pare-feu, qui permettent au service de répondre de manière dynamique par le biais de trous temporaires sur tout autre port.
Nom du service système : tftpd
| Protocole d’application | Protocole | Ports |
| TFTP | UDP | 69 |
50. Administration à distance de Windows (WinRM)
Nom du service système : WinRM
| Protocole d’application | Protocole | Ports |
| WinRM 1.1 et versions antérieures | TP | Le port HTTP par défaut est TCP 80 et le port HTTPS par défaut est TCP 443. |
| WinRM 2.0 | TP | Le port HTTP par défaut est TCP 5985 et le port HTTPS par défaut est TCP 5986. |
Le service Horloge Windows assure la synchronisation de la date et de l’heure sur tous les ordinateurs d’un même réseau d’ordinateurs exécutant Windows XP ou versions ultérieures et Windows Server 2003 ou versions ultérieures. Il utilise le protocole NTP (Network Time Protocol) pour synchroniser les horloges des ordinateurs ; ainsi, l’heure et la date indiquées pour la validation réseau et sur les demandes d’accès aux ressources sont toujours précises. L’implémentation de NTP et l’intégration de fournisseurs de temps contribuent à faire du service Horloge Windows un outil fiable et modulable pour votre entreprise. Pour les ordinateurs n’appartenant pas à un domaine, vous pouvez configurer le service Horloge Windows pour qu’il synchronise l’heure avec une source externe. Si ce service est désactivé, le réglage de l’heure sur les ordinateurs locaux n’est pas synchronisé avec un service de temps dans le domaine Windows ni avec un service externe. Windows Server 2003 utilise NTP, qui s’exécute également sur le port UDP 123. La version Windows 2000 de ce service utilise le protocole SNTP (Simple Network Time Protocol), qui s’exécute également sur le port UDP 123.
Lorsque le service Horloge Windows utilise la configuration du domaine Windows, le service nécessite des services d’authentification et de localisation du contrôleur de domaine. Les ports pour Kerberos et DNS sont par conséquent requis.
Nom du service système : W32Time
| Protocole d’application | Protocole | Ports |
| NTP | UDP | 123 |
| SNTP | UDP | 123 |
52. Service de publication World Wide Web
Le Service de publication World Wide Web fournit l’infrastructure nécessaire pour enregistrer, gérer, surveiller et utiliser les sites et programmes Web enregistrés avec IIS. Ce service comprend un gestionnaire de processus et un gestionnaire de configuration. Le premier contrôle les processus où résident des applications personnalisées et des sites web. Le second lit la configuration système enregistrée pour le Service de publication World Wide Web et vérifie que le fichier Http.sys est configuré pour router les demandes HTTP vers les processus de pools d’application ou de systèmes d’exploitation appropriés. Vous pouvez utiliser le composant logiciel enfichable du gestionnaire IIS pour configurer les ports utilisés par ce service. Si le site web administratif est activé, un site web virtuel est créé pour utiliser le trafic HTTP sur le port TCP 8098.
Nom du service système : W3SVC
| Protocole d’application | Protocole | Ports |
| HTTP | TCP | 80 |
| HTTPS | TCP | 443 |