Cómo configurar servidor de seguridad de Windows Server 2003 SP1 para un controlador de dominio

Los síntomas podrían incluir:
Los equipos 1 de cliente no pueden establecer conexión segura con el controlador de dominio
2 usuarios no pueden iniciar sesión en equipos de cliente con cuenta de usuario de dominio
3 usuarios no pueden tener acceso a recursos de dominio (por ejemplo, se comparten el archivo o impresora) en equipos de miembros de dominio
4 Un equipo promocionado para ser un controlador de dominio deja de funcionar como un controlador de dominio
5 En el File Replication Service Event Log identificador de Sucesos 13.508 " un un . " el Servicio de replicación de archivos tiene que el problema habilita replicación de "aparece sin un identificador posterior de Sucesos 13.509," el Servicio de replicación de archivos ha habilitado replicación, o 13.516," ya no es el Servicio de replicación de archivos evita el equipo de convertirse en un controlador de dominio
6 En un equipo promocionado para ser un controlador de dominio, los recursos SYSVOL y NETLOGON no están presentes
7 En un equipo promocionado para ser un controlador de dominio, la carpeta %systemroot%\SYSVOL\domain\Policies no se vuelve a rellenar desde otro controlador de dominio

El Windows Server 2003 SP1 Firewall cualquiera en este equipo o en los otros controlador de dominio impide al Active Directory acceso de clientes o impide replicación de Active Directory.

Configura el Replication & File Replication Service (FRS) Active Directory (AD) para utilizar puerto TCP/IP específicos para replicación (consulta Referencias a continuación para obtener artículos relevantes Knowledgebase) y configura la seguridad para permitir conexiones entrantes con los programas y los puertos necesarios.
 
1 Configura AD y FRS para utilizar un puerto específico
 
    Dos números a. de selección TCP que hay utilizaron (por ejemplo 53.211 y 53.212) aquéllos no son utilizados por nada en el ningún controlador de dominio. Puede utilizar cualquier número entre 49.152 y 65.535. El netstat -a -o -n de comando mostrará todos los puertos actualmente abiertos pero no podrá iniciar puertos de lista que podrían ser utilizados por aplicaciones o servicios que no se ejecutan actualmente (consulte artículo de puertos utilizados por Servidor de Ventana 832.017 Knowledgebase). Vea Referencias para la dirección URL para la fuente definitiva de información numérica de puerto.
 
    b. en todos los controladores de dominio en el bosque agrega los valores siguientes de dos Registros con regedit, utiliza un archivo .reg- ve Referencias siguientes
         Puerto i. HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP/IP
             - DWORD que contiene el número TCP seleccionado para replicación de AD (por ejemplo 53.211 cfdb (hexadecimal))
         Ii. HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\RPC TCP/IP asignación de puerto
             - DWORD que contiene el número TCP seleccionado para FRS (por ejemplo 53.212 cfdc (hexadecimal))
 
2 Configure el Windows Server 2003 SP1 Windows Firewall si usa un controlador de dominio. Puede agregar las configuraciones requeridas al Objeto de directiva de grupo Default Domain Controller, puede crear un GPO nuevo y lo puede vincular al contenedor Controladores de dominio. La Consola de administración de Directivas de grupo es la herramienta recomendada para este see http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=en).
 
Note: el Perfil Dominio del Firewall de Windows, reinicio después de promoción al ser un controlador de dominio del equipo; después de que primero se reinicia esto, el equipo utilizará. Cuando la primera replicación finaliza correctamente y se reinicia el equipo, el controlador de dominio usará el perfil Estándar del Firewall de Windows. Por tanto, para evitar problemas, cree idéntico los perfiles Dominio y Estándar para controladores de dominio. 
 
Salvo que están mostrados; no cotizado los elementos específicamente relacionados correctamente con el funcionamiento de un controlador de dominio, en el elemento siguiente, se pueden establecer elementos en cualquier valor deseado. Por ejemplo, puede ser útil que la excepción Permitir Escritorio remoto esté establecida en Habilitado conque el controlador de dominio se puede administrar de forma remota de ser común en instalaciones grandes dónde se encuentra controladores de dominio de forma remota.
 
    A Firewall de Windows: Protege todas las conexiones de red Habilitado
    B. Firewall de Windows : permite excepción Habilitado de administración remota (se requirió el puerto enable 135 y 445 que son ambas para controladores de dominio)
    B. Firewall de Windows : : permite archivo e impresora que comparte excepción- Habilitado
    C. Firewall de Windows : : ( * . ) define excepciones de puerto- Habilitado indica que se aceptarán solicitudes entrantes de cualquier dirección IP en la lista de excepciones siguientes de puerto Otros valores son posibles- ve el texto en la ficha Configuración en Editor de directivas de grupo para detalles. Por ejemplo, localsubnet puede ser aplicable en algunas circunstancias ). Las cadenas siguientes deben estar exactamente en la lista de excepciones de puerto.
         123:udp : * : : NTP habilitado
         3268:tcp : * : : habilitado Catálogo global LDAP
         389:tcp : * : : LDAP habilitado
         389:udp : * : : LDAP habilitado
         53:tcp : * : : DNS habilitado
         53:udp : * : : DNS habilitado
         53211:tcp : * : : ( Nota : ) habilitado Duplicación de AD utiliza el número de puerto seleccionado en 1.b.i anterior
         53212:tcp : * : : Servicio de replicación de archivos ( Nota : ) habilitado utiliza el número de puerto seleccionado en 1.b.ii anterior
         88:tcp : * : : Kerberos habilitado
         88:udp : * : : Kerberos habilitado
 

Tal y como se explican en artículo 832.017 de KB, replicación de Active Directory y el Servicio de replicación de archivos de forma predeterminada utilizan un puerto aleatoriamente seleccionado para utilizar para llamadas a procedimientos remotos RPC (RPC). Conexiones entrantes en un dicho número de puerto aleatorio serán bloqueadas por el firewall. La solución más sencilla a este problema es configurar estas funciones para utilizar un puerto específico como se describen en artículos de KB 224.196 y 319.553.
 
Referencias:
 
 
http://support.microsoft.com/default.aspx/kb/832017 Documenta los servicios y los puertos (UDP y TCP) utilizados por Windows Server para varios propósitos
 
http://support.microsoft.com/default.aspx/kb/224196 Restringir tráfico de replicación de Active Directory a un puerto específico
 
http://support.microsoft.com/kb/319553 Cómo restringir tráfico de replicación FRS a un puerto estático específico
 
http://www.iana.org/assignments/port-numbers El origen definitivo asignó números de puerto. Incluye esta instrucción:
                                   La Dinámica y/o Puerto Private son aquéllos de 49.152 entre 65.535