Cómo configurar un firewall para dominios y confianzas de Active Directory
En este artículo se describe cómo configurar un firewall para dominios y confianzas de Active Directory.
Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Standard, Windows Server 2012 Standard
Número KB original: 179442
Nota
No todos los puertos que se enumeran en las tablas aquí son necesarios en todos los escenarios. Por ejemplo, si el firewall separa miembros y DCs, no tiene que abrir los puertos FRS o DFSR. Además, si sabe que ningún cliente usa LDAP con SSL/TLS, no tiene que abrir los puertos 636 y 3269.
Más información
Nota
Los dos controladores de dominio están en el mismo bosque o los dos controladores de dominio están en un bosque independiente. Además, las confianzas en el bosque son Windows confianzas de Server 2003 o versiones posteriores.
| Puertos de cliente | Puerto de servidor | Servicio |
|---|---|---|
| 1024-65535/TCP | 135/TCP | Asignador de extremo RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | LDAP SSL |
| 1024-65535/TCP | 3268/TCP | LDAP GC |
| 1024-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53.1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Los puertos NetBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se configuran confianzas en dominios que solo admiten comunicaciones basadas en NetBIOS. Algunos ejemplos Windows sistemas operativos basados en NT o controladores de dominio de terceros basados en Samba.
Para obtener más información acerca de cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, vea:
- Restringir el tráfico RPC de Active Directory a un puerto específico.
- La sección Controladores de dominio y Active Directory en Información general del servicio y requisitos de puerto de red para Windows.
Windows Server 2008 y versiones posteriores
Windows Las versiones más recientes de Server 2008 de Windows Server han aumentado el intervalo de puertos de cliente dinámico para las conexiones salientes. El nuevo puerto de inicio predeterminado es 49152 y el puerto final predeterminado es 65535. Por lo tanto, debe aumentar el intervalo de puertos RPC en los firewalls. Este cambio se realizó para cumplir con las recomendaciones de la Autoridad de Números Asignados de Internet (IANA). Esto difiere de un dominio en modo mixto formado por controladores de dominio de Windows Server 2003, controladores de dominio basados en servidor 2000 Windows 2000 o clientes heredados, donde el intervalo de puertos dinámicos predeterminado es de 1025 a 5000.
Para obtener más información sobre el cambio de intervalo de puertos dinámico en Windows Server 2012 y Windows Server 2012 R2, vea:
- El intervalo de puertos dinámicos predeterminado para TCP/IP ha cambiado.
- Puertos dinámicos en Windows servidor.
| Puertos de cliente | Puerto de servidor | Servicio |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | Asignador de extremo RPC |
| 49152-65535/TCP | 464/TCP/UDP | Cambio de contraseña kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | LDAP SSL |
| 49152-65535/TCP | 3268/TCP | LDAP GC |
| 49152-65535/TCP | 3269/TCP | LDAP GC SSL |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | RPC DFSR (*) |
Los puertos NetBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se configuran confianzas en dominios que solo admiten comunicaciones basadas en NetBIOS. Algunos ejemplos Windows sistemas operativos basados en NT o controladores de dominio de terceros basados en Samba.
(*) Para obtener información sobre cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, vea:
- Restringir el tráfico RPC de Active Directory a un puerto específico.
- La sección Controladores de dominio y Active Directory en Información general del servicio y requisitos de puerto de red para Windows.
(**) Para el funcionamiento de la confianza este puerto no es necesario, se usa solo para la creación de confianza.
Nota
La confianza externa 123/UDP solo es necesaria si ha configurado manualmente el servicio de tiempo de Windows para que se sincronice con un servidor en toda la confianza externa.
Active Directory
El cliente LDAP de Microsoft usa ping ICMP cuando una solicitud LDAP está pendiente durante un tiempo prolongado y espera una respuesta. Envía solicitudes de ping para comprobar que el servidor sigue en la red. Si no recibe respuestas de ping, se produce un error en la solicitud LDAP con LDAP_TIMEOUT.
El Windows Redirector también usa mensajes ping ICMP para comprobar que el servicio DNS resuelve una IP de servidor antes de realizar una conexión y cuando se encuentra un servidor mediante DFS. Si desea minimizar el tráfico ICMP, puede usar la siguiente regla de firewall de ejemplo:
<any> ICMP -> DC IP addr = allow
A diferencia de la capa de protocolo TCP y la capa de protocolo UDP, ICMP no tiene un número de puerto. Esto se debe a que ICMP está hospedado directamente por la capa IP.
De forma predeterminada, Windows Server 2003 y Windows 2000 Server DNS usan puertos efímeros del lado cliente cuando consultan otros servidores DNS. Sin embargo, este comportamiento puede cambiarse mediante una configuración específica del Registro. O bien, puede establecer una confianza a través del túnel obligatorio del Protocolo de túnel de punto a punto (PPTP). Esto limita el número de puertos que el firewall tiene que abrir. Para PPTP, los siguientes puertos deben estar habilitados.
| Puertos de cliente | Puerto de servidor | Protocolo |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Además, tendría que habilitar IP PROTOCOL 47 (GRE).
Nota
Al agregar permisos a un recurso en un dominio de confianza para los usuarios de un dominio de confianza, existen algunas diferencias entre el comportamiento de Windows 2000 y Windows NT 4.0. Si el equipo no puede mostrar una lista de los usuarios del dominio remoto, tenga en cuenta el siguiente comportamiento:
- Windows NT 4.0 intenta resolver nombres con tipo manual ponerse en contacto con el PDC del dominio del usuario remoto (UDP 138). Si se produce un error en esa comunicación, Windows equipo basado en NT 4.0 se pone en contacto con su propia PDC y, a continuación, solicita la resolución del nombre.
- Windows 2000 y Windows Server 2003 también intentan ponerse en contacto con el PDC del usuario remoto para obtener una resolución a través de UDP 138. Sin embargo, no dependen del uso de su propia PDC. Asegúrese de que Windows servidores miembros basados en 2000 y servidores miembros basados en Windows Server 2003 que concederán acceso a recursos tengan conectividad UDP 138 con el PDC remoto.
Referencia
La introducción al servicio y los requisitos de puerto de red para Windows es un recurso valioso que delinea los puertos de red, protocolos y servicios necesarios que usan los sistemas operativos cliente y servidor de Microsoft, los programas basados en servidor y sus subcomponentes en el sistema de Microsoft Windows Server. Los administradores y profesionales de soporte técnico pueden usar el artículo como guía básica para determinar qué puertos y protocolos requieren los sistemas operativos y programas de Microsoft para la conectividad de red en una red segmentada.
No debe usar la información de puerto en Información general del servicio y requisitos de puertos de red para Windows configurar el firewall Windows red. Para obtener información acerca de cómo configurar Windows firewall, vea Windows Firewall with Advanced Security.