Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cómo configurar un servidor de seguridad para dominios y confianzas

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 179442
Si eres un cliente de Small Business, encontrar una solución de problemas y los recursos de aprendizaje adicionales el Soporte para pequeñas empresas sitio.
Resumen
Este artículo describe cómo configurar un servidor de seguridad para dominios y confianzas.

Nota: No todos los puertos que se enumeran en las tablas aquí son necesarias en todos los escenarios. Por ejemplo, si el servidor de seguridad separa los miembros y controladores de dominio, no debe abrir los puertos de FRS o DFSR. Además, si sabe que ningún cliente utiliza LDAP con SSL/TLS, no debe abrir los puertos 636 y 3269.
Más información
Para establecer una confianza de dominio o un canal de seguridad a través de un servidor de seguridad, deben abrirse los puertos siguientes. Tenga en cuenta que puede haber hosts funcionando en el rol de cliente y servidor en ambos lados del servidor de seguridad. Por lo tanto, las reglas de puertos deben reflejarse.

Windows NT

En este entorno, un lado de la confianza es una relación de confianza de Windows NT 4.0 o la confianza se creó con los nombres NetBIOS.
Puertos de clientePuerto del servidorServicio
137/UDP137/UDPNombre de NetBIOS
138/UDP138/UDPNetBIOS inicio de sesión y Exploración
1024-65535/TCP139/UDPSesión NetBIOS
1024-65535/TCP42/TCPReplicación WINS

Windows Server 2003 y Windows 2000 Server

Para un dominio de modo mixto que utiliza los controladores de dominio de Windows NT o clientes heredados, las relaciones entre los controladores de dominio basado en Windows Server 2003 y un dominio basado en Windows 2000 Server pueden requerir controladores que se puede abrir todos los puertos para Windows NT que se enumeran en la tabla anterior además de los siguientes puertos de confianza.

Nota Los dos controladores de dominio están en el mismo bosque o los dos controladores de dominio están en un bosque independiente. Además, son las relaciones de confianza del bosque Confianzas de Windows Server 2003 o posterior versión de confianzas.
Puertos de clientePuerto del servidorServicio
1024-65535/TCPTCP 135Asignador de extremos RPC
1024-65535/TCP1024-65535/TCPRPC para la LSA, SAM, Netlogon (**)
1024-65535/TCP/UDP389/TCP/UDPLDAP
1024-65535/TCP636/TCPLDAP SSL
1024-65535/TCP3268/TCPLDAP GC
1024-65535/TCP3269/TCPLDAP SSL DE GC
53,1024-65535/TCP/UDP53, TCP/UDPDNS
1024-65535/TCP/UDP88, TCP/UDPKerberos
1024-65535/TCPTCP/445SMB
1024-65535/TCP1024-65535/TCPFRS RPC (**)
Puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se configuran relaciones de confianza a dominios que admiten una única comunicación basados en NETBIOS. Algunos ejemplos son los controladores de dominio de terceros que se basan en Samba o sistemas operativos basados en Windows NT.

(*) Para obtener información sobre cómo definir los puertos de servidor RPC que utilizan los servicios LSA RPC, consulte los siguientes artículos de Microsoft Knowledge Base:

Windows Server 2008 y Windows Server 2008 R2

Windows Server 2008 y Windows Server 2008 R2 han aumentado el intervalo de puertos dinámica de clientes para las conexiones salientes. El nuevo puerto de inicio predeterminada es 49152 y el puerto de extremo predeterminado es 65535. Por lo tanto, debe aumentar el intervalo de puertos RPC en los servidores de seguridad. Este cambio se realizó para cumplir con las recomendaciones de la autoridad de números asignados de Internet (IANA). Esto difiere de un dominio de modo mixto que consta de los controladores de dominio de Windows Server 2003, los controladores de dominio basado en Windows 2000 Server o los clientes antiguos, donde el intervalo predeterminado es el 1025 y 5000.

Para obtener más información acerca del cambio de intervalo de puertos dinámicos en Windows Server 2008 y Windows Server 2008 R2, consulte los siguientes recursos:
Puertos de clientePuerto del servidorServicio
-49152 65535/UDP123/UDPW32Time
-49152 65535/TCPTCP 135Asignador de extremos RPC
-49152 65535/TCP464/TCP/UDPCambio de contraseña Kerberos
-49152 65535/TCP49152 Y 65535/TCPRPC para la LSA, SAM, Netlogon (**)
-49152 65535/TCP/UDP389/TCP/UDPLDAP
-49152 65535/TCP636/TCPLDAP SSL
-49152 65535/TCP3268/TCPLDAP GC
-49152 65535/TCP3269/TCPLDAP SSL DE GC
53, -49152 65535/TCP/UDP53, TCP/UDPDNS
-49152 65535/TCP-49152 65535/TCPFRS RPC (**)
-49152 65535/TCP/UDP88, TCP/UDPKerberos
-49152 65535/TCP/UDPTCP/445SMB
-49152 65535/TCP49152 Y 65535/TCPRPC DE DFSR (**)
Puertos NETBIOS enumerados para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se configuran relaciones de confianza a dominios que admiten una única comunicación basados en NETBIOS. Algunos ejemplos son los controladores de dominio de terceros que se basan en Samba o sistemas operativos basados en Windows NT.

(*) Para obtener información sobre cómo definir los puertos de servidor RPC que utilizan los servicios LSA RPC, consulte los siguientes artículos de Microsoft Knowledge Base:
Nota: Confianza externa 123/UDP sólo es necesario si ha configurado manualmente el servicio de hora de Windows para sincronizar con un servidor a través de la confianza externa.

Active Directory

En Windows 2000 y Windows XP, el protocolo de mensajes de Control de Internet (ICMP) debe poder a través del firewall de los clientes de los controladores de dominio para que el cliente de directiva de grupo de Active Directory pueda funcionar correctamente a través de un servidor de seguridad. ICMP se utiliza para determinar si el vínculo es un vínculo lento o rápido.

En Windows Server 2008 y versiones posteriores, el servicio Network Location Awareness proporciona la estimación del ancho de banda según el tráfico con otras estaciones de la red. No hay ningún tráfico generado para la estimación.

El Redirector de Windows también utiliza ICMP para comprobar que un servidor IP se resuelve el servicio DNS antes de establecer una conexión, y cuando se encuentra un servidor mediante el uso de DFS. Esto se aplica al acceso SYSVOL por parte de los miembros del dominio.

Si desea minimizar el tráfico ICMP, puede utilizar lo siguiente regla de firewall de ejemplo:
<any> ICMP -> DC IP addr = allow

A diferencia de la capa del protocolo TCP y UDP capa de protocolo, ICMP no tiene un número de puerto. Esto es porque es de ICMP la capa IP aloja directamente.

De forma predeterminada, los servidores de Windows Server 2003 y Windows 2000 Server DNS utilizan los puertos de cliente efímeros cuando consultan con otros servidores DNS. Sin embargo, este comportamiento puede cambiarse mediante una configuración específica del registro. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 260186: Clave de registro de DNS de puertosEnvío no funciona como se esperaba

Para obtener más información acerca de Active Directory y la configuración del firewall, consulte la Active Directory en redes segmentadas por FirewallsNotas del producto de Microsoft.O bien, puede establecer una confianza mediante el túnel obligatorio del protocolo de túnel punto a punto (PPTP). Esto limita el número de puertos que el servidor de seguridad tiene que abrir. Para PPTP, deben habilitarse los puertos siguientes.
Puertos de clientePuerto del servidorProtocolo
1024-65535/TCP1723/TCPPPTP
Además, tendría que habilitar el protocolo IP 47 (GRE).

Nota Al agregar permisos a un recurso en un dominio de confianza para los usuarios de un dominio de confianza, existen algunas diferencias entre el Windows 2000 y el comportamiento de Windows NT 4.0. Si el equipo no puede mostrar una lista de usuarios del dominio remoto, considere el siguiente comportamiento:
  • Windows NT 4.0 intenta resolver los nombres escritos manualmente por ponerse en contacto con el PDC para el dominio del usuario remoto (UDP 138). Si ese contactos de un equipo basado en Windows NT 4.0 se produce un error de comunicación, su propio PDC, y a continuación, pide la resolución del nombre.
  • Windows 2000 y Windows Server 2003 también intentan ponerse en contacto con PDC del usuario remoto para la resolución en UDP 138. Sin embargo, no confíe en con su propio PDC. Asegúrese de que todos los servidores miembro basados en Windows 2000 y servidores miembro basados en Windows Server 2003 que concederán acceso a los recursos tengan conectividad UDP 138 al PDC remoto.
Recursos adicionales
Tcpip

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 179442 - Última revisión: 08/10/2012 17:34:00 - Revisión: 4.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows NT Server 4.0 Standard Edition, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Foundation, Windows Web Server 2008 R2

  • kbenv kbhowto kbnetwork kbmt KB179442 KbMtes
Comentarios