- 09/08/2020
- 5 minutos para leer
-
-
D -
s
-
Este artículo describe cómo configurar un firewall para dominios y fideicomisos de Active Directory.
Versión original del producto: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Número de KB original: 179442
Nota
No todos los puertos que aparecen en las tablas aquí son necesarios en todos los escenarios. Por ejemplo, si el cortafuegos separa a los miembros y a los DC, no es necesario abrir los puertos FRS o DFSR. Además, si sabe que ningún cliente utiliza LDAP con SSL/TLS, no tiene que abrir los puertos 636 y 3269.
Más información
Nota
Los dos controladores de dominio están ambos en el mismo bosque, o los dos controladores de dominio están ambos en un bosque separado. Además, los fideicomisos en el bosque son fideicomisos de Windows Server 2003 o de versiones posteriores.
| Puerto(s) del cliente | Puerto del servidor | Servicio |
|---|---|---|
| 1024-65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53,1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Los puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se configuran fideicomisos a dominios que sólo admiten comunicación basada en NETBIOS. Algunos ejemplos son los sistemas operativos basados en Windows NT o los controladores de dominio de terceros que se basan en Samba.
Para obtener más información sobre cómo definir los puertos del servidor RPC que utilizan los servicios RPC de LSA, consulte:
- Restricción del tráfico RPC de Active Directory a un puerto específico.
- La sección Controladores de dominio y Active Directory en Descripción general del servicio y requisitos de puerto de red para Windows.
Windows Server 2008 y versiones posteriores
Las nuevas versiones de Windows Server 2008 han aumentado el rango de puertos de cliente dinámico para las conexiones salientes. El nuevo puerto inicial por defecto es 49152, y el puerto final por defecto es 65535. Por lo tanto, debe aumentar el rango de puertos RPC en sus cortafuegos. Este cambio se realizó para cumplir con las recomendaciones de la Autoridad de Números Asignados de Internet (IANA). Esto difiere de un dominio de modo mixto que consta de controladores de dominio de Windows Server 2003, controladores de dominio basados en el servidor de Windows 2000 o clientes heredados, donde el rango de puertos dinámicos predeterminado es de 1025 a 5000.
Para obtener más información sobre el cambio de rango de puertos dinámicos en Windows Server 2012 y Windows Server 2012 R2, consulte:
- El rango de puertos dinámicos predeterminado para TCP/IP ha cambiado.
- Puertos dinámicos en Windows Server.
| Puerto(s) del cliente | Puerto del servidor | Servicio |
|---|---|---|
| 49152 -65535/UDP | 123/UDP | W32Time |
| 49152 -.65535/TCP | 135/TCP | RPC Endpoint Mapper |
| 49152 -65535/TCP | 464/TCP/UDP | Cambio de contraseña Kerberos |
| 49152 -65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 49152 -65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152 -65535/TCP | 636/TCP | LDAP SSL |
| 49152 -65535/TCP | 3268/TCP | LDAP GC |
| 49152 -65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152 -65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152 -65535/TCP | 49152 -65535/TCP | FRS RPC (*) |
| 49152 -65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152 -65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152 -65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Los puertos NETBIOS que aparecen en la lista para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se configuran fideicomisos a dominios que sólo admiten comunicación basada en NETBIOS. Algunos ejemplos son los sistemas operativos basados en Windows NT o los controladores de dominio de terceros que se basan en Samba.
(*) Para obtener información sobre cómo definir los puertos del servidor RPC que utilizan los servicios RPC de LSA, consulte:
- Restricción del tráfico RPC de Active Directory a un puerto específico.
- La sección Controladores de dominio y Active Directory en Resumen de servicios y requisitos de puertos de red para Windows.
(**) Para el funcionamiento del fideicomiso este puerto no es necesario, se utiliza sólo para la creación del fideicomiso.
Nota
El fideicomiso externo 123/UDP sólo es necesario si se ha configurado manualmente el Servicio de Hora de Windows para que se sincronice con un servidor a través del fideicomiso externo.
Directorio Activo
En Windows 2000 y Windows XP, el Protocolo de mensajes de control de Internet (ICMP) debe permitirse a través del cortafuegos desde los clientes hasta los controladores de dominio para que el cliente de la directiva de grupo de Active Directory pueda funcionar correctamente a través de un cortafuegos. ICMP se utiliza para determinar si el enlace es un enlace lento o un enlace rápido.
En Windows Server 2008 y versiones posteriores, el Servicio de Conocimiento de la Ubicación de la Red proporciona la estimación del ancho de banda basada en el tráfico con otras estaciones de la red. No se genera tráfico para la estimación.
El Redirector de Windows también utiliza mensajes ICMP Ping para verificar que la IP de un servidor está resuelta por el servicio DNS antes de realizar una conexión, y cuando se localiza un servidor mediante el uso de DFS. Si desea minimizar el tráfico ICMP, puede utilizar la siguiente regla de firewall de ejemplo:
<any> ICMP -> DC IP addr = allow
A diferencia de la capa de protocolo TCP y de la capa de protocolo UDP, ICMP no tiene un número de puerto. Esto se debe a que ICMP se aloja directamente en la capa IP.
Por defecto, los servidores DNS de Windows Server 2003 y Windows 2000 Server utilizan puertos efímeros del lado del cliente cuando consultan a otros servidores DNS. Sin embargo, este comportamiento puede cambiarse mediante una configuración específica del registro. O bien, se puede establecer una confianza a través del túnel obligatorio Point-to-Point Tunneling Protocol (PPTP). Esto limita el número de puertos que el cortafuegos tiene que abrir. Para PPTP, los siguientes puertos deben estar habilitados.
| Puertos del cliente | Puerto del servidor | Protocolo |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Además, tendría que habilitar el PROTOCOLO IP 47 (GRE).
Nota
Cuando se añaden permisos a un recurso en un dominio de confianza para los usuarios de un dominio de confianza, hay algunas diferencias entre el comportamiento de Windows 2000 y Windows NT 4.0. Si el equipo no puede mostrar una lista de los usuarios del dominio remoto, considere el siguiente comportamiento:
- Windows NT 4.0 intenta resolver los nombres escritos manualmente poniéndose en contacto con el PDC del dominio del usuario remoto (UDP 138). Si esa comunicación falla, un equipo basado en Windows NT 4.0 se pone en contacto con su propio CDP y, a continuación, solicita la resolución del nombre.
- Windows 2000 y Windows Server 2003 también intentan ponerse en contacto con el CDP del usuario remoto para la resolución a través de UDP 138. Sin embargo, no se basan en el uso de su propio CDP. Asegúrese de que todos los servidores miembros basados en Windows 2000 y los servidores miembros basados en Windows Server 2003 que concederán acceso a los recursos tienen conectividad UDP 138 con el CDP remoto.
Referencia
Resumen de servicios y requisitos de puertos de red para Windows es un valioso recurso que describe los puertos de red, protocolos y servicios necesarios que utilizan los sistemas operativos cliente y servidor de Microsoft, los programas basados en el servidor y sus subcomponentes en el sistema Microsoft Windows Server. Los administradores y los profesionales de soporte pueden utilizar el artículo como una hoja de ruta para determinar qué puertos y protocolos requieren los sistemas operativos y los programas de Microsoft para la conectividad de red en una red segmentada.
No debe utilizar la información de los puertos en Resumen de servicios y requisitos de puertos de red para Windows para configurar el Firewall de Windows. Para obtener información sobre cómo configurar el Firewall de Windows, consulte Firewall de Windows con seguridad avanzada.