Usamos cookies propias y de terceros para ayudarte en tu navegación. Si continuas navegando consideramos que aceptas el uso de cookies. OK

miércoles, 4 de noviembre de 2015

Requisitos de puerto de Active Directory y Servicios de dominio de Active Directory

Cuando montamos una red de Active Directory y debemos securizarla mediante firewall en cada servidor debemos tener en cuenta que servicios corren en cada uno para solo permitir el trafico que nos interesa dejar pasar.
Especificaremos que puertos abrir para cada servicio:






Intervalo de puertos dinámicos predeterminado

En un dominio de modo mixto que consta de controladores de dominio basados en Windows Server® 2003 y en Microsoft® Windows® 2000 Server o bien equipos cliente de versiones anteriores, el intervalo de puertos dinámicos predeterminado oscila entre 1025 y 5000.

Windows Server 2008 y Windows Vista® han aumentando el intervalo de puertos de cliente dinámicos en el caso de las conexiones salientes de 49152 y el de finalización, 65535.

En consecuencia, será necesario aumentar el intervalo de puertos de llamada a procedimiento remoto (RPC) en los firewalls. Si tiene un entorno de dominio mixto en el que hay un servidor de Windows Server 2008, permita el tráfico por los puertos 1025 a 5000 y 49152 a 65535. 

NOTA: Cuando vea “TCP dinámico” en las columnas relativas a los puertos de las siguientes tablas, hace referencia a los puertos 1025 a 5000 (intervalo de puertos predeterminado en Windows Server 2003 y versiones anteriores del sistema operativo cliente) y a los puertos 49152 a 65535 para Windows Server 2008 y Windows Vista.


 Replicación

 En la siguiente tabla se enumeran las asignaciones de puerto relativas a la replicación de AD DS y Active Directory.

Puerto                             Tipo de tráfico

TCP y UDP 389             LDAP

TCP 636                         LDAP SSL

TCP 3268                       GC

TCP y UDP 88              Kerberos

TCP y UDP 53              DNS

TCP y UDP 445            SMB sobre IP

TCP 25                          SMTP

TCP 135, dinámico       RPC, ECM


Confianzas

En las tablas que aparecen a continuación se enumeran los requisitos de puerto para establecer confianzas en los siguientes entornos:


Microsoft Windows NT

 Puerto de cliente     Puerto de servidor     Tipo de tráfico

UDP 137                   UDP 137                   Resolución de nombres NetBIOS

UDP 138                   UDP 138                   Servicio de datagramas de NetBIOS

TCP dinámico           TCP 139                    Servicio de sesión de NetBIOS


Windows 2000 Server y Windows Server 2003

Puerto de cliente                   Puerto de servidor     Tipo de tráfico

TCP dinámico                      TCP 135                     RPC, EPM

TCP dinámico                      TCP dinámico            Servicios RPC de autoridad de segu. local

TCP y UDP dinámicos        TCP 389                      LDAP

TCP dinámico                      TCP 636                     LDAP SSL

TCP dinámico                      TCP 3268                  GC

TCP dinámico                      TCP 3269                  GC SSL

TCP y UDP 53, dinámicos   TCP y UDP 53          DNS

TCP y UDP dinámicos         TCP y UDP 88          Kerberos

TCP dinámico                      TCP 445                     SMB, DFS, LsaRPC, Nbtss, NetLogonR,                                                                                        SamR, SrvSvc


Windows Server 2008

Puerto de cliente                  Puerto de servidor              Tipo de tráfico

TCP dinámico                     TCP 135, 49152–65535      RPC, EPM

TCP y UDP dinámicos        TCP y UDP 389                  LDAP

TCP dinámico                     TCP 636                              LDAP SSL

TCP dinámico                     TCP 3268                           GC

TCP dinámico                     TCP 3269                           GC SSL

TCP y UDP 53, dinámicos TCP y UDP 53                    DNS

TCP y UDP dinámicos       TCP y UDP 88                    Kerberos

TCP y UDP dinámicos       TCP-NP y UDP-NP 445     Admin. de cuentas de seguridad (SAM), LSA

TCP dinámico                    UDP 138                             Servicio de datagramas de NetBIOS


Catálogo global

Puerto              Tipo de tráfico

TCP 3268         GC

TCP 3269         GC SSL


Controladores de dominio de solo lectura

En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un controlador de dominio grabable en una red corporativa y un controlador de dominio de solo lectura (RODC) en una red perimetral.

Puerto                              Tipo de tráfico

TCP 135                          RPC, EPM

TCP 53248 estático         FRsRpc

TCP 389                          LDAP


En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre un RODC en una red perimetral y un controlador de dominio grabable en una red corporativa.

Puerto                               Tipo de tráfico

TCP 57344                       DRSUAPI, LsaRpc, NeLogonR

TCP 53248 estático           FRsRpc

TCP y UDP 389                LDAP

TCP 3268                          GC

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

TCP y UDP 53                  DNS

TCP 88                              Kerberos

UDP 123                           Servicio Hora de Windows (W32time)

TCP y UDP 464                Cambiar/establecer contraseña Kerberos


En la siguiente tabla se enumeran los puertos que se deben abrir en el firewall para permitir la comunicación entre los servidores miembro de una red perimetral y un RODC de la red perimetral. Estos puertos deben estar abiertos solo si existe un firewall interno que separe a los servidores miembro en la red perimetral del RODC en la misma red.

Puerto                                Tipo de tráfico

TCP 135                            RPC, EPM

TCP y UDP 389                LDAP

TCP 445                            DFS, LsaRpc, NbtSS, NetLogonR, SamR, SMB, SrvSvc

UDP 53                             DNS

TCP 88                              Kerberos
(En caso de tener un DC en Windows 2003 abrir también UDP 88)

TCP y UDP 464               Cambiar/establecer contraseña Kerberos

TCP dinámico                  DNS, DRSUAPI, NetLogonR, SamR


DNS

En la siguiente tabla se enumeran los requisitos de puerto relativos al Sistema de nombres de dominio (DNS).

Puerto                      Tipo de tráfico

TCP y UDP 53         DNS


DHCP

En la siguiente tabla se enumeran los requisitos de puerto relativos al Protocolo de configuración dinámica de host (DHCP).

Puerto               Tipo de tráfico

UDP 67             DHCP

UDP 2535         MADCAP
Servicio de nombres Internet de Windows

En la siguiente tabla se enumeran los requisitos de puerto relativos al Servicio de nombres Internet de Windows (WINS).

Puerto                      Tipo de tráfico

TCP y UDP 42        Replicación de WINS

UDP 137                 Resolución de nombres NetBIOS


Autenticación de usuarios y equipos

En la siguiente tabla se enumeran los requisitos de puerto para la autenticación de usuarios y equipos.

Puerto                         Tipo de tráfico

TCP y UDP 445         SMB/CIFS/SMB2

TCP y UDP 88           Kerberos

UDP 389                     LDAP

TCP y UDP 53           DNS

TCP dinámico            RPC



Directiva de grupo

En la siguiente tabla se enumeran los requisitos de puerto de la directiva de grupo. Además de los puertos incluidos en la tabla, un equipo cliente también debe ser capaz de ponerse en contacto con un controlador de dominio a través del Protocolo de mensajes de control de Internet (ICMP). ICMP se usa para detectar vínculos lentos.

Puerto                                 Tipo de tráfico

TCP y UDP dinámicos      DCOM, RPC, EPM

TCP 389                            LDAP

TCP 445                            SMB


Servicios web de Active Directory

En la siguiente tabla se enumeran los requisitos de puerto de Servicios web de Active Directory (ADWS).
noteNota
ADWS se usa únicamente en Windows Server 2008 R2.


Puerto             Tipo de tráfico

TCP 9389        SOAP



***Nota: Lo principal a tener cuenta es conocer que sistemas operativos estamos interactuando ya que como hemos visto algunas versiones usan un puerto u otro para el mismo servicio.



Fuente: Microsoft

No hay comentarios:

Publicar un comentario