Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
En este artículo se describe cómo configurar un firewall para dominios y confianzas de Active Directory.
Número de KB original: 179442
Nota
No todos los puertos que aparecen en estas tablas son necesarios en todos los escenarios. Por ejemplo, si el firewall separa miembros y controladores de dominio, no es necesario abrir los puertos FRS o DFSR. Además, si sabe que ningún cliente usa LDAP con SSL/TLS, no tiene que abrir los puertos 636 y 3269.
Nota
Los dos controladores de dominio están en el mismo bosque o los dos controladores de dominio están en un bosque independiente. Además, las confianzas en el bosque son confianzas de Windows Server 2003 o confianzas de versiones posteriores.
| Puertos de cliente | Puerto de servidor | Service |
|---|---|---|
| 1024-65535/TCP | 135/TCP | Asignador de extremos de RPC |
| 1024-65535/TCP | 1024-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 1024-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 1024-65535/TCP | 636/TCP | SSL de LDAP |
| 1024-65535/TCP | 3268/TCP | GC DE LDAP |
| 1024-65535/TCP | 3269/TCP | SSL de GC de LDAP |
| 53.1024-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 1024-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 1024-65535/TCP | 445/TCP | SMB |
| 1024-65535/TCP | 1024-65535/TCP | FRS RPC (*) |
Los puertos NetBIOS que se enumeran para Windows NT también son necesarios para Windows 2000 y Windows Server 2003 cuando se configuran confianzas en dominios que solo admiten la comunicación basada en NetBIOS. Algunos ejemplos son sistemas operativos basados en Windows NT o controladores de dominio de terceros basados en Samba.
Para obtener más información sobre cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, consulte:
Windows Server 2008 y las versiones más recientes de Windows Server han aumentado el intervalo de puertos de cliente dinámico para las conexiones salientes. El nuevo puerto de inicio predeterminado es 49152 y el puerto final predeterminado es 65535. Por lo tanto, debe aumentar el intervalo de puertos RPC en los firewalls. Este cambio se efectuó para cumplir con las recomendaciones de la Internet Assigned Numbers Authority (IANA). Esto difiere de un dominio de modo mixto que consta de controladores de dominio de Windows Server 2003, controladores de dominio basados en servidor Windows 2000 o clientes heredados, donde el intervalo de puertos dinámico predeterminado es de 1025 a 5000.
Para obtener más información sobre el cambio de intervalo de puertos dinámicos en Windows Server 2012 y Windows Server 2012 R2, consulte lo siguiente:
| Puertos de cliente | Puerto de servidor | Service |
|---|---|---|
| 49152-65535/UDP | 123/UDP | W32Time |
| 49152-65535/TCP | 135/TCP | Asignador de extremos de RPC |
| 49152-65535/TCP | 464/TCP/UDP | Cambio de contraseña de Kerberos |
| 49152-65535/TCP | 49152-65535/TCP | RPC para LSA, SAM, NetLogon (*) |
| 49152-65535/TCP/UDP | 389/TCP/UDP | LDAP |
| 49152-65535/TCP | 636/TCP | SSL de LDAP |
| 49152-65535/TCP | 3268/TCP | GC DE LDAP |
| 49152-65535/TCP | 3269/TCP | SSL de GC de LDAP |
| 53, 49152-65535/TCP/UDP | 53/TCP/UDP | DNS |
| 49152-65535/TCP | 49152-65535/TCP | FRS RPC (*) |
| 49152-65535/TCP/UDP | 88/TCP/UDP | Kerberos |
| 49152-65535/TCP/UDP | 445/TCP | SMB (**) |
| 49152-65535/TCP | 49152-65535/TCP | DFSR RPC (*) |
Los puertos NetBIOS que se enumeran para Windows NT también son necesarios para Windows 2000 y Server 2003 cuando se configuran confianzas en dominios que solo admiten la comunicación basada en NetBIOS. Algunos ejemplos son sistemas operativos basados en Windows NT o controladores de dominio de terceros basados en Samba.
(*) Para obtener información sobre cómo definir puertos de servidor RPC que usan los servicios RPC de LSA, consulte lo siguiente:
(**) Para el funcionamiento de la confianza este puerto no es necesario, se usa solo para la creación de confianza.
Nota
La confianza externa 123/UDP solo es necesaria si ha configurado manualmente el Servicio de hora de Windows para sincronizarlo con un servidor a través de la confianza externa.
El cliente LDAP de Microsoft usa ping ICMP cuando una solicitud LDAP está pendiente durante mucho tiempo y espera una respuesta. Envía solicitudes de ping para comprobar que el servidor sigue en la red. Si no recibe respuestas de ping, la solicitud LDAP falla con el error LDAP_TIMEOUT.
El Windows Redirector también usa mensajes ping ICMP para comprobar que el servicio DNS resuelve una dirección IP del servidor antes de realizar una conexión y cuando se encuentra un servidor mediante DFS. Si desea minimizar el tráfico ICMP, puede usar la siguiente regla de firewall de ejemplo:
<any> ICMP-> DC IP addr = allow
A diferencia de la capa de protocolo TCP y la capa de protocolo UDP, ICMP no tiene un número de puerto. Esto se debe a que ICMP está hospedado directamente por la capa IP.
De forma predeterminada, los servidores DNS de Windows Server 2003 y Windows 2000 Server usan puertos de cliente efímeros cuando consultan otros servidores DNS. Sin embargo, este comportamiento puede cambiarse mediante una configuración específica del Registro. O bien, puede establecer una confianza a través del túnel obligatorio del Protocolo de tunelización punto a punto (PPTP). Esto limita el número de puertos que tiene que abrir el firewall. Para PPTP, se deben habilitar los siguientes puertos.
| Puertos de cliente | Puerto de servidor | Protocolo |
|---|---|---|
| 1024-65535/TCP | 1723/TCP | PPTP |
Además, tendría que habilitar IP PROTOCOL 47 (GRE).
Nota
Al añadir permisos a un recurso en un dominio de confianza para los usuarios de un dominio de confianza, hay algunas diferencias entre el comportamiento de Windows 2000 y Windows NT 4.0. Si el equipo no puede mostrar una lista de los usuarios del dominio remoto, tenga en cuenta el comportamiento siguiente:
La Información general y los requisitos de puerto de red para Windows es un recurso valioso que indica los puertos, protocolos y servicios de red necesarios que utilizan los sistemas operativos cliente y servidor de Microsoft, los programas basados en servidor y sus subcomponentes en el sistema de Microsoft Windows Server. Los administradores y profesionales de soporte técnico pueden utilizar este artículo como guía básica para determinar qué puertos y protocolos requieren los programas y sistemas operativos de Microsoft para la conectividad de red en una red segmentada.
No debe usar la información de puerto en Información general del servicio y Requisitos de puerto de red para Windows para configurar Windows Firewall. Para obtener información sobre cómo configurar el Firewall de Windows, consulte Firewall de Windows con seguridad avanzada.
Cursos
Módulo
Administración de características avanzadas de AD DS - Training
Administración de características avanzadas de AD DS
Certificación
Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications
Como administrador híbrido de Windows Server, integra los entornos de Windows Server con servicios de Azure y administra Windows Server en redes locales.
Documentación
Introducción a los servicios y requisitos de puerto de red para Windows - Windows Server
Una guía básica de los puertos, protocolos y servicios que, para funcionar en una red segmentada, necesitan los sistemas operativos cliente y servidor de Microsoft, así como las aplicaciones basadas en servidor y sus subcomponentes.
Restricción del tráfico RPC de Active Directory a un puerto específico - Windows Server
En este artículo se presenta cómo configurar el procedimiento remoto de replicación de Active Directory llama al tráfico a un puerto específico.
El puerto dinámico de llamada a procedimiento remoto (RPC) funciona con firewalls - Windows Server
En este artículo se describe cómo usar la solución junto con un firewall al configurar la asignación de puertos dinámicos RPC.
LDAP y servidor Kerberos no responden a solicitudes UDP ni restablecen sesiones TCP - Windows Server
Corrige un problema por el que se restablecen las sesiones TCP creadas en los puertos de servidor 88, 464, 389 y 3268. Las sesiones que usan la capa de sockets seguros o la seguridad de la capa de transporte en los puertos 636 y 3269 también se ven afectadas.