Cómo configurar un firewall para dominios y confianzas de Active Directory

Se aplica a: Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition (32-bit x86)

Resumen


En este artículo se describe cómo configurar un firewall para dominios y confianzas de Active Directory. 

 

Más información


Puertos de cliente Puerto de servidor Servicio
1024-65535/TCP 135/TCP Asignador de extremos de RPC
1024-65535/TCP 1024-65535/TCP RPC para LSA, SAM, Netlogon (*)
1024-65535/TCP/UDP 389/TCP/UDP LDAP
1024-65535/TCP 636/TCP LDAP SSL
1024-65535/TCP 3268/TCP GC DE LDAP
1024-65535/TCP 3269/TCP SSL DEL CATÁLOGO GLOBAL DE LDAP
53,1024-65535/TCP/UDP 53/TCP/UDP DNS
1024-65535/TCP/UDP 88/TCP/UDP  Kerberos
1024-65535/TCP 445/TCP  SMB
1024-65535/TCP 1024-65535/TCP RPC DE FRS (*)
Los puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se han configurado relaciones de confianza a dominios que admiten únicamente la comunicación basada en NETBIOS. Algunos ejemplos son sistemas operativos basados en Windows NT o controladores de dominio de terceros que se basan en Samba.(*) Para obtener información acerca de cómo definir los puertos de servidor RPC que usan los servicios LSA RPC, consulte los artículos siguientes de Microsoft Knowledge Base: 

Windows Server 2008 y versiones posteriores

Windows Server 2008 versiones más recientes de Windows Server han aumentado el intervalo de puertos de cliente dinámico para las conexiones salientes. El nuevo puerto de inicio predeterminado es 49152 y el puerto de finalización predeterminado es 65535. Por lo tanto, debe aumentar el intervalo de puertos RPC en sus firewalls. Este cambio se ha realizado para cumplir con las recomendaciones de la autoridad de números asignados de Internet (IANA). Esto difiere de un dominio de modo mixto que consta de controladores de dominio de Windows Server 2003, controladores de dominio basados en el servidor de Windows 2000 o clientes heredados, donde el intervalo de puertos dinámicos predeterminado es de 1025 a 5000.Para obtener más información sobre el cambio de intervalo de puertos dinámicos en Windows Server 2008, Windows Server 2012 y Windows Server 2012 R2, consulte los recursos siguientes: 
Puertos de cliente Puerto de servidor Servicio
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP Asignador de extremos de RPC
49152-65535/TCP 464/TCP/UDP Cambio de contraseña de Kerberos
49152-65535/TCP 49152-65535/TCP RPC para LSA, SAM, Netlogon (*)
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP GC DE LDAP
49152-65535/TCP 3269/TCP SSL DEL CATÁLOGO GLOBAL DE LDAP
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP RPC DE FRS (*)
49152-65535/TCP/UDP 88/TCP/UDP  Kerberos
49152-65535/TCP/UDP 445/TCP SMB (* *)
49152-65535/TCP 49152-65535/TCP RPC DE DFSR (*)
Los puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se han configurado relaciones de confianza a dominios que admiten únicamente la comunicación basada en NETBIOS. Algunos ejemplos son sistemas operativos basados en Windows NT o controladores de dominio de terceros que se basan en Samba.(*) Para obtener información acerca de cómo definir los puertos de servidor RPC que usan los servicios LSA RPC, consulte los artículos siguientes de Microsoft Knowledge Base:(**) Para el funcionamiento de la confianza, este puerto no es necesario, se usa solo para la creación de confianza. 

Active Directory

En Windows 2000 y Windows XP, el protocolo de mensajes de control de Internet (ICMP) debe permitirse a través del firewall de los clientes a los controladores de dominio para que el cliente de directiva de grupo de Active Directory pueda funcionar correctamente a través de un firewall. ICMP se usa para determinar si el vínculo es un vínculo lento o un vínculo rápido.En Windows Server 2008 y versiones posteriores, el servicio de reconocimiento de ubicación de red proporciona el cálculo de ancho de banda en función del tráfico con otras estaciones de la red. No se genera tráfico para la estimación.

El redirector de Windows también usa los mensajes de ping de ICMP para comprobar que el servicio DNS resuelve una IP del servidor antes de que se realice una conexión y cuando un servidor se encuentra con DFS.

Si desea minimizar el tráfico ICMP, puede usar la siguiente regla de Firewall de ejemplo:
<any> ICMP -> DC IP addr = allow 
A diferencia de la capa de protocolo TCP y el nivel de protocolo UDP, ICMP no tiene un número de puerto. Esto se debe a que ICMP se hospeda directamente en la capa IP.De forma predeterminada, los servidores DNS de Windows Server 2003 y Windows 2000 usan puertos de cliente efímeros cuando consultan otros servidores DNS. Sin embargo, este comportamiento puede cambiarse por una configuración específica del registro. Para obtener más información, consulte el artículo 260186 de Microsoft Knowledge base : la clave del registro DNS del puertoEnvío no funciona como se esperaba
O bien, puede establecer una confianza a través del túnel obligatorio protocolo de túnel punto a punto (PPTP). Esto limita el número de puertos que tiene que abrir el firewall. Para PPTP, los puertos siguientes deben estar habilitados.  
Puertos de cliente Puerto de servidor Protocolo
1024-65535/TCP 1723/TCP PPTP

Además, tendría que habilitar el protocolo IP 47 (GRE).

    Reference


    832017: la información general del servicio y los requisitos del puerto de red para Windows Server System es un valioso recurso que esquematiza los puertos de red, los protocolos y los servicios necesarios que usan los sistemas operativos de servidor y de cliente de Microsoft, los programas basados en servidor y sus subcomponentes en Microsoft Windows Server System. Los administradores y profesionales de soporte técnico pueden utilizar este artículo de Microsoft Knowledge Base como guía básica para determinar qué puertos y protocolos requieren los programas y sistemas operativos de Microsoft para la conectividad de red en una red segmentada.No debe usar la información de puerto en el artículo 832017 de KB para configurar Firewall de Windows. Para obtener más información sobre cómo configurar Firewall de Windows, visite el siguiente sitio web de Microsoft: 

    Tecnologías de redes y acceso: Firewall de Windows