Cómo configurar un firewall para dominios y confianzas de Active Directory

En este artículo se describe cómo configurar un firewall para dominios y confianzas de Active Directory.

Versión original del producto:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Número KB original:   179442

Nota

No todos los puertos que aparecen en las tablas aquí son necesarios en todos los escenarios. Por ejemplo, si el firewall separa miembros y DCs, no tienes que abrir los puertos FRS o DFSR. Además, si sabe que ningún cliente usa LDAP con SSL/TLS, no tiene que abrir los puertos 636 y 3269.

Más información

Nota

Los dos controladores de dominio están en el mismo bosque o los dos controladores de dominio están en un bosque independiente. Además, las confianzas en el bosque son confianzas de Windows Server 2003 o versiones posteriores.

Puertos de cliente Puerto del servidor Servicio
1024-65535/TCP 135/TCP Asignador de extremo RPC
1024-65535/TCP 1024-65535/TCP RPC para LSA, SAM, NetLogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP LDAP GC
1024-65535/TCP 3269/TCP LDAP GC SSL
53.1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP Kerberos
1024-65535/TCP 445/TCP SMB
1024-65535/TCP 1024-65535/TCP RPC DE FRS (*)

Los puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se configuran confianzas a dominios que solo admiten la comunicación basada en NETBIOS. Algunos ejemplos son los sistemas operativos basados en Windows NT o controladores de dominio de terceros que se basan en Lar.

Para obtener más información acerca de cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, vea:

Windows Server 2008 y versiones posteriores

Las versiones más recientes de Windows Server 2008 han aumentado el intervalo de puertos de cliente dinámico para las conexiones salientes. El nuevo puerto de inicio predeterminado es 49152 y el puerto final predeterminado es 65535. Por lo tanto, debe aumentar el intervalo de puertos RPC en los firewalls. Este cambio se realizó para cumplir con las recomendaciones de la Autoridad de Números Asignados de Internet (IANA). Esto difiere de un dominio de modo mixto que consta de controladores de dominio de Windows Server 2003, controladores de dominio basados en servidor de Windows 2000 o clientes heredados, donde el intervalo de puertos dinámicos predeterminado es de 1025 a 5000.

Para obtener más información sobre el cambio del intervalo de puertos dinámicos en Windows Server 2012 y Windows Server 2012 R2, consulta:

Puertos de cliente Puerto del servidor Servicio
49152 -65535/UDP 123/UDP W32Time
49152 -65535/TCP 135/TCP Asignador de extremo RPC
49152 -65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
49152 -65535/TCP 49152-65535/TCP RPC para LSA, SAM, NetLogon (*)
49152 -65535/TCP/UDP 389/TCP/UDP LDAP
49152 -65535/TCP 636/TCP LDAP SSL
49152 -65535/TCP 3268/TCP LDAP GC
49152 -65535/TCP 3269/TCP LDAP GC SSL
53, 49152 -65535/TCP/UDP 53/TCP/UDP DNS
49152 -65535/TCP 49152 -65535/TCP RPC DE FRS (*)
49152 -65535/TCP/UDP 88/TCP/UDP Kerberos
49152 -65535/TCP/UDP 445/TCP SMB (**)
49152 -65535/TCP 49152-65535/TCP RPC DFSR (*)

Los puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se configuran confianzas a dominios que solo admiten la comunicación basada en NETBIOS. Algunos ejemplos son los sistemas operativos basados en Windows NT o controladores de dominio de terceros que se basan en Lar.

(*) Para obtener información acerca de cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, vea:

(**) Para el funcionamiento de la confianza, este puerto no es necesario, solo se usa para la creación de confianza.

Nota

La confianza externa 123/UDP solo es necesaria si ha configurado manualmente el servicio de hora de Windows para que se sincronice con un servidor en toda la confianza externa.

Active Directory

En Windows 2000 y Windows XP, el Protocolo de mensajes de control de Internet (ICMP) debe permitirse a través del firewall desde los clientes a los controladores de dominio para que el cliente de directiva de grupo de Active Directory pueda funcionar correctamente a través de un firewall. ICMP se usa para determinar si el vínculo es un vínculo lento o un vínculo rápido.

En Windows Server 2008 y versiones posteriores, el servicio de reconocimiento de ubicación de red proporciona la estimación de ancho de banda en función del tráfico con otras estaciones de la red. No se genera tráfico para la estimación.

El Redirector de Windows también usa mensajes de ping ICMP para comprobar que el servicio DNS resuelve una IP de servidor antes de realizar una conexión y cuando se encuentra un servidor mediante DFS. Si desea minimizar el tráfico ICMP, puede usar la siguiente regla de firewall de ejemplo:

<any> ICMP -> DC IP addr = allow

A diferencia de la capa de protocolo TCP y la capa de protocolo UDP, ICMP no tiene un número de puerto. Esto se debe a que ICMP está hospedado directamente por el nivel de IP.

De forma predeterminada, los servidores DNS de Windows Server 2003 y Windows 2000 Server usan puertos efímeros del lado cliente cuando consultan a otros servidores DNS. Sin embargo, este comportamiento se puede cambiar mediante una configuración específica del Registro. O bien, puede establecer una confianza a través del túnel obligatorio del Protocolo de túnel punto a punto (PPTP). Esto limita el número de puertos que el firewall tiene que abrir. Para PPTP, deben estar habilitados los siguientes puertos.

Puertos de cliente Puerto del servidor Protocolo
1024-65535/TCP 1723/TCP PPTP

Además, tendría que habilitar el PROTOCOLO IP 47 (GRE).

Nota

Al agregar permisos a un recurso en un dominio de confianza para los usuarios de un dominio de confianza, existen algunas diferencias entre el comportamiento de Windows 2000 y Windows NT 4.0. Si el equipo no puede mostrar una lista de los usuarios del dominio remoto, tenga en cuenta el siguiente comportamiento:

  • Windows NT 4.0 intenta resolver nombres con tipo manual ponerse en contacto con la PDC del dominio del usuario remoto (UDP 138). Si se produce un error en la comunicación, un equipo basado en Windows NT 4.0 se pone en contacto con su propia PDC y, a continuación, solicita la resolución del nombre.
  • Windows 2000 y Windows Server 2003 también intentan ponerse en contacto con la PDC del usuario remoto para la resolución a través de UDP 138. Sin embargo, no se basan en el uso de su propia PDC. Asegúrese de que todos los servidores miembro basados en Windows 2000 y los servidores miembros basados en Windows Server 2003 que concederán acceso a los recursos tengan conectividad UDP 138 a la PDC remota.

Referencia

La introducción al servicio y los requisitos de puerto de red para Windows es un recurso valioso que delinea los puertos de red, protocolos y servicios necesarios que usan los sistemas operativos cliente y servidor de Microsoft, los programas basados en servidor y sus subcomponentes en el sistema de Microsoft Windows Server. Los administradores y profesionales de soporte pueden usar el artículo como guía básica para determinar qué puertos y protocolos requieren los sistemas operativos y programas de Microsoft para la conectividad de red en una red segmentada.

No debe usar la información de puertos de información general del servicio y los requisitos de puerto de red de Windows para configurar Firewall de Windows. Para obtener información sobre cómo configurar Firewall de Windows, vea Firewall de Windows con seguridad avanzada.