Ace aquí de nuevo. He pensado en limpiar y volver a publicar mi blog sobre los requisitos de los puertos de AD. Sí, son extensos, para consternación del grupo de red en su organización. Pero es lo que es, y es lo que tenemos que seguir para que AD funcione.
¿El servidor RPC no está disponible? Errores de replicación en el visor de eventos? ¿Te suena?
Si es así, has sucumbido al hecho y a la constatación de que posiblemente haya puertos necesarios bloqueados causando estos conocidos errores de comunicación de AD. Ya sea entre ubicaciones con bloqueos de puertos de cortafuegos/túnel VPN, Firewall de Windows (que normalmente no es el culpable porque se autoconfigurarán para el papel de la máquina y su ubicación de red actual), o incluso software de seguridad o aplicaciones antivirus con algún tipo de función de «protección de tráfico de red» habilitada que está causando el problema.
Simplemente, si hay replicación u otros problemas de comunicación con AD, y tiene un software antivirus instalado en los puntos finales o instalado en todos sus DCs, desactívelo, o mejor aún, desinstálelo. Desinstalarlo es la mejor opción, así sabrá que no hay rastros de otros subcomponentes activos que puedan seguir causando el bloqueo. Si después de desinstalarlo, y encuentras que la replicación ahora funciona, pues ahí lo tienes. En ese momento, tendrás que ponerte en contacto con tu proveedor de antivirus para preguntarle cuál es la mejor manera de configurarlo para que permita las comunicaciones y la replicación de AD.
Si no es tu antivirus o aplicación de seguridad, y desactivar el firewall de Windows no funciona, entonces es obvio que es un factor externo: tus firewalls de borde/perímetro.
También hay que señalar que, al probar los bloqueos de puertos, herramientas como telnet no es una buena herramienta para probar la conectividad AD/DC a DC, ni tampoco lo es ningún tipo de escaneo de puertos estándar, como el uso de nmap, o un simple ping, resolviendo con nslookup (aunque la resolución de los registros requeridos es un requisito previo), u otras herramientas. La única prueba fiable es el uso de PortQry de Microsoft, que prueba los puertos específicos de AD y los puertos efímeros, y las respuestas requeridas de los servicios en los puertos requeridos de AD que escanea específicamente.
AD a través de un NAT? No. Punto.
Oh, y no esperes que esto funcione a través de un NAT. NATs no puede traducir el tráfico RPC encriptado por lo tanto bonking comunicaciones LDAP.
Descripción de los límites de apoyo para Active Directory sobre NAT
http://support.microsoft.com/kb/978772
Cómo configurar la asignación de puertos dinámicos RPC para trabajar con cortafuegos»
Las comunicaciones de AD no funcionará a través de una traducción de puertos NAT, como no se puede utilizar DCOM a través de un firewall NAT que realiza la traducción de direcciones (e.Por ejemplo, cuando un cliente se conecta a la dirección virtual 198.252.145.1, que el cortafuegos asigna de forma transparente a la dirección IP interna real del servidor de, por ejemplo, 192.100.81.101). Esto se debe a que DCOM almacena las direcciones IP crudas en los paquetes de marshaling de la interfaz y si el cliente no puede conectarse a la dirección especificada en el paquete, no funcionará.»
Citado de: http://support.microsoft.com/kb/154596/en-us
Windows 2000 NAT no traduce el tráfico de Netlogon (esto se aplica a todos los DCs)
Citado: «Windows 2000 NAT no soporta Netlogon y traduce Kerberos. Si tiene clientes que se encuentran detrás de un servidor NAT basado en Windows 2000 y necesitan acceder a los recursos del dominio, considere la posibilidad de crear un túnel de red privada virtual (VPN) de enrutamiento y acceso remoto para el tráfico de Netlogon, o actualice los clientes a Windows 2000.»
Citado de: http://support.microsoft.com/kb/263293
*
Ok, averigüemos si los puertos están siendo bloqueados
Ahora estás pensando que los ingenieros de tu infraestructura de red saben lo que hacen y abrieron los puertos necesarios, así que estás pensando, esta no puede ser la razón… ¿o sí? Bueno, vamos a averiguarlo. Podemos usar PortQry para probarlo. Y no, no quieres usar ping, nslookup, nmap o cualquier otro escáner de puertos, porque no están diseñados para consultar los puertos necesarios de AD para ver si están respondiendo o no.
Así que vamos a ejecutar PortQry:
Primero, descárgalo:
PortQryUI – GUI – Version 2.0 8/2/2004
http://www.microsoft.com/download/en/details.aspx?id=24009
A continuación, ejecute la opción «Dominios & Confía» entre los DCs, o entre los DCs y cualquier máquina (otros servidores que desea promover, o incluso de una máquina cliente), o de las cabezas de puente en cada sitio a la otra cabeza de puente en el otro sitio., prácticamente cualquier lugar en el que quieras probar si hay algún puerto AD bloqueado.
La cuestión es que querrá ejecutarlo en cualquier escenario en el que un DC deba comunicarse con otro DC o con un cliente.
Si obtiene algún error con «NOTLISTENING», 0x00000001 y 0x00000002, significa que hay un bloqueo de puertos. Tome nota de qué puertos son.
Puede ignorar los mensajes UDP 389 y UDP 88. Si ves errores TCP 42, eso sólo significa que WINS no se está ejecutando en el servidor de destino.
Referencias de PortQry
Knock Knock Is That Port Open?
Por Mark Morowczynski 18 Abr 2011, Tutorial rápido sobre la versión GUI de PortQry.
http://blogs.technet.com/b/markmoro/archive/2011/04/18/knock-knock-is-that-port-open.aspx
«A veces puede ver errores como El servidor RPC no está disponible o No hay más puntos finales disponibles desde el mapeador de puntos finales…»
http://blogs.technet.com/b/askds/archive/2009/01/22/using-portqry-for-troubleshooting.aspx
Cómo utilizar Portqry para solucionar problemas de conectividad de Active Directory
http://support.microsoft.com/kb/816103
Si desea utilizar la versión de sólo línea de comandos:
Descargue los detalles: PortQry Command Line Only Port Scanner Version 2.0
http://www.microsoft.com/downloads/en/details.aspx?familyid=89811747-c74b-4638-a2d5-ac828bdc6983&displaylang=en
Entendiendo portqry y la salida del comando: Nuevas características y funcionalidades en PortQry versión 2.0
http://support.microsoft.com/kb/832919
Descripción de la utilidad de línea de comandos Portqry.exe
http://support.microsoft.com/kb/310099
Observaciones de Portqry
http://technet.microsoft.com/en-us/library/cc759580(WS.10).aspx
*
Las comunicaciones de DC a DC y de DC a cliente requieren numerosos puertos
No hay ningún secreto en esto. Es lo más sencillo que puedo decir.
Y, la lista de puertos requeridos es larga, para consternación de los equipos de ingeniería de infraestructura de red que deben legar puertos para permitir que AD se comunique, replique, etc., estos puertos deben ser abiertos. Realmente no hay mucho que se pueda hacer de otra manera.
Aquí está la lista con una explicación de cada puerto:
|
Protocolo y puerto
|
Uso de AD y AD DS | Tipo de tráfico |
| TCP 25 | Replicación | SMTP |
| TCP 42 | Si se utiliza WINS en un escenario de confianza de dominio que ofrece resolución NetBIOS | WINS |
| TCP 135 | Replicación | RPC, EPM |
| TCP 137 | Resolución de nombres NetBIOS | Resolución de nombres NetBIOS |
| TCP 139 | Autenticación de usuarios y ordenadores, Replicación | DFSN, Servicio de sesión NetBIOS, NetLogon |
| TCP y UDP 389 | Directorio, Replicación, Autenticación de usuarios y ordenadores, Política de grupo, Confianza | LDAP |
| TCP 636 | Directorio, Replicación, Autenticación de usuarios y ordenadores, Política de grupo, confía | LDAP SSL |
| TCP 3268 | Directorio, replicación, autenticación de usuarios y ordenadores, política de grupo, confía | LDAP GC |
| TCP 3269 | Directorio, replicación, autenticación de usuarios y ordenadores, política de grupo, Fideicomisos | LDAP GC SSL |
| TCP y UDP 88 | Autenticación de usuarios y ordenadores, Confianza a nivel de bosque | Kerberos |
| TCP y UDP 53 | Autenticación de usuarios y ordenadores, resolución de nombres, confianza | DNS |
| TCP y UDP 445 | Replicación, Autenticación de usuarios y equipos, política de grupo, fideicomisos | SMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| TCP 9389 | AD DS Web Services | SOAP |
| TCP 5722 | Replicación de archivos | RPC, DFSR (SYSVOL) |
| TCP y UDP 464 | Replicación, autenticación de usuarios y ordenadores, Confía | Kerberos cambiar/establecer contraseña |
| UDP 123 | Hora de Windows, Confianza | Hora de Windows |
| UDP 137 | Autenticación de usuarios y equipos | NetLogon, Resolución de nombres NetBIOS |
| UDP 138 | DFS, Group Policy, NetBIOS Netlogon, Browsing | DFSN, NetLogon, NetBIOS Datagram Service |
| UDP 67 y UDP 2535 | DHCP (Nota: DHCP no es un servicio central de AD DS, pero estos puertos pueden ser necesarios para otras funciones además de DHCP, como WDS) | DHCP, MADCAP, PXE |
¡Y nunca debemos olvidar los puertos efímeros!
Y sobre todo, los puertos efímeros, o también conocidos como «puertos de respuesta de servicio», que son necesarios para las comunicaciones. Estos puertos son creados dinámicamente para las respuestas de sesión para cada cliente que establece una sesión, (no importa cuál sea el «cliente»), y no sólo para Windows, sino también para Linux y Unix.
Ver más abajo en la sección de referencias para saber más sobre lo que significa ‘efímero’.se utilizan sólo para esa sesión. Una vez que la sesión se ha disuelto, los puertos se vuelven a poner en el pool para su reutilización. Esto se aplica no sólo a Windows, sino también a Linux, Unix y otros sistemas operativos. Vea más abajo en la sección de referencias para saber más sobre lo que significa ‘efímero’.
La siguiente tabla muestra cuáles son los puertos efímeros dependiendo de la versión del sistema operativo, y para qué se utilizan.
| Window 2003, Windows XP, y Windows 2000 |
TCP & UDP |
1024-5000 | Puertos de respuesta del servicio dinámico efímero |
| Windows 2008/Vista y posteriores | TCP & UDP 49152-65535 | Puertos de respuesta del servicio dinámico efímero | |
| TCP dinámico efímero | Replicación, Autenticación de usuarios y equipos, política de grupo, fideicomisos | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS | |
| UDP dinámico efímero | Política de grupo | DCOM, RPC, EPM |
Si el escenario es un escenario de modo mixto NT4 & Active Directory con NT4 BDCs, entonces se debe abrir lo siguiente:
| TCP & UDP 1024 – 65535 | Comunicaciones NT4 BDC a controlador de dominio Windows 2000 o más reciente PDC-E | RPC, LSA RPC, LDAP, LDAP SSL, LDAP GC, LDAP GC SSL, DNS, Kerberos, SMB |
¿No era tan sencillo?
La lista corta sin explicaciones de los puertos:
| Protocolo | Puerto |
| TCP | 25 |
| TCP | 42 |
| TCP | 135 |
| TCP | 137 |
| TCP | 139 |
| TCP y UDP | 389 |
| TCP | 636 |
| TCP | 3268 |
| TCP | 3269 |
| TCP y UDP | 88 |
| TCP y UDP | 53 |
| TCP y UDP | 445 |
| TCP | 9389 |
| TCP | 5722 |
| TCP y UDP | 464 |
| UDP | 123 |
| UDP | 137 |
| UDP | 138 |
| UDP | 67 |
| UDP | 2535 |
| TCP & UDP | 1024-5000 |
| TCP & UDP | 49152-65535 |
Si el escenario es un escenario de modo mixto NT4 & Active Directory con NT4 BDC:
Se deben abrir los siguientes puertos efímeros (sí, es prácticamente todo el rango):
| TCP & UDP | 1024-65535 |
Restricción de Puertos a través de un Firewall
También tiene la posibilidad de restringir el tráfico de replicación de DC a DC, y las comunicaciones de DC a cliente, a unos puertos específicos. Tenga en cuenta que también depende de los puertos y servicios que quiera restringir. Al elegir esta opción, debe especificar los puertos correctos para el servicio correcto.
Depende de los puertos y servicios que desee restringir…
Método 1
Se utiliza para establecer el puerto específico de replicación de AD. Por defecto utiliza el puerto dinámico para replicar los datos desde el DC de un sitio a otro.
Esto es aplicable para restringir la replicación de AD a un rango de puertos específico.
Procedimiento: Modificar el registro para seleccionar un puerto estático.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Restringir el tráfico de replicación de Active Directory Directory replication traffic and client RPC traffic to a specific port
http://support.microsoft.com/kb/224196
Método 2
Esto es para configurar el rango(s) de puertos en el Firewall de Windows.
Netsh – utilice los siguientes ejemplos para establecer un rango de puertos inicial, y el número de puertos después de ella para usar
netsh int ipv4 set dynamicport tcp start=10000 num=1000
netsh int ipv4 set dynamicport udp start=10000 num=1000
El rango de puertos dinámicos por defecto para TCP/IP ha cambiado en Windows Vista y en Windows Server 2008
http://support.microsoft.com/kb/929851
Modificar el registro
Esto es para las comunicaciones de servicios de Windows. También afecta a las comunicaciones de AD.
HKEY_LOCAL_MACHINE\NSoftware\NMicrosoft\NRpc
Cómo configurar la asignación de puertos dinámicos RPC para que funcione con los firewalls
http://support.microsoft.com/kb/154596/en-us
Aquí hay algunos enlaces relacionados con la restricción de los puertos de replicación de AD.
Hilo de referencia:
http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/76e8654a-fbba-49af-b6d6-e8d9d127bf03/
Requisitos de los puertos del firewall de RPC
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
Replicación de Active Directory sobre cortafuegos
http://technet.microsoft.com/en-us/library/bb727063.aspx
RODC – Los «controladores de dominio de sólo lectura» tienen sus propios requisitos de puerto
|
Tráfico
|
Tipo de tráfico |
| UDP 53 DNS | DNS |
| TCP 53 DNS | DNS |
| TCP 135 | RPC, EPM |
| TCP Estático 53248 | FRsRpc |
| TCP 389 | LDAP |
| TCP y UDP Dinámico 1025 – 5000 |
Windows 2000, Windows 2003, Windows XP Puertos efímeros |
| TCP y UDP dinámicos 49152 – 65535 | Windows 2008, Windows Vista y todos los sistemas operativos más nuevos Puertos efímeros |
Diseño de RODCs en la red perimetral
http://technet.microsoft.com/en-us/library/dd728028(WS.10).aspx
Restringir el tráfico de replicación de Active Directory y el tráfico RPC del cliente a un puerto específico
http://support.microsoft.com/kb/224196
Se requiere una buena discusión sobre RODC y puertos de firewall:
http://forums.techarena.in/active-directory/1303925.htm
Más información sobre cómo funciona la autenticación RODC ayudará a entender los puertos:
Entendiendo la autenticación «Read Only Domain Controller»
http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx
Cómo configurar un firewall para dominios y fideicomisos
http://support.microsoft.com/kb/179442
Requerimientos de puertos de Active Directory y Servicios de Dominio de Active Directory, Actualizado: 18 de junio de 2009 (incluye los nuevos puertos efímeros actualizados para Windows Vista/2008 y posteriores). Aquí también se habla de los requisitos de los puertos del RODC. También debe asegurarse de que los puertos efímeros están abiertos. Son:
TCP & UDP 1025-5000
TCP & UDP 49152-65535
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx
El rango de puertos efímeros de Windows 2008, 2008 R2, Vista y Windows 7 ha cambiado respecto a los puertos utilizados por Windows 2003 Windows XP, y Windows 2000. Los puertos efímeros por defecto (puertos de respuesta dinámica de servicios aleatorios) son UDP 1024 – 65535 (Ver KB179442 abajo), pero para Vista y Windows 2008 es diferente. Su rango de puertos de inicio por defecto es UDP 49152 a UDP 65535 (ver KB929851 abajo).
Citado de KB929851 (enlace publicado abajo): «Para cumplir con las recomendaciones de la Autoridad de Números Asignados de Internet (IANA), Microsoft ha aumentado el rango de puertos dinámicos del cliente para las conexiones salientes en Windows Vista y en Windows Server 2008. El nuevo puerto inicial por defecto es el 49152, y el puerto final por defecto es el 65535. Este es un cambio de la configuración de las versiones anteriores de Microsoft Windows que utilizaba un rango de puertos por defecto de 1025 a 5000.»
Los puertos de respuesta de servicio de Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2 (puertos efímeros) han cambiado.
http://support.microsoft.com/?kbid=929851
Directorio Activo y Puertos de Firewall – Me resultó difícil encontrar una lista definitiva en Internet para saber qué puertos necesitaban abrirse para la replicación de Active Directory entre Firewalls. …
http://geekswithblogs.net/TSCustomiser/archive/2007/05/09/112357.aspx
Replicación de Active Directory sobre cortafuegos, 31 de enero de 2006. (incluye puertos efímeros más antiguos anteriores a Windows Vista/2008)
http://technet.microsoft.com/en-us/library/bb727063.aspx
Cómo funcionan los dominios y bosques
También muestra una lista de puertos necesarios.
http://technet.microsoft.com/en-us/library/cc783351(v=ws.10).aspx
Blog de Paul Bergson sobre la replicación de AD y los puertos del cortafuegos
http://www.pbbergs.com/windows/articles/FirewallReplication.html
Puertos de acceso a DS de Exchange
Configuración de un cortafuegos de intranet para Exchange 2003, 14 de abril de 2006.
Puertos de protocolo necesarios para el cortafuegos de la intranet y puertos necesarios para las comunicaciones de Active Directory y Kerberos
http://technet.microsoft.com/en-us/library/bb125069.aspx
Lectura adicional
Restricción del tráfico de replicación de Active Directory y del tráfico RPC del cliente …Restricción del tráfico de replicación de Active Directory y del tráfico RPC del cliente a un … puerto único, y se reinicia el servicio Netlogon en el controlador de dominio. …
http://support.microsoft.com/kb/224196
Cómo restringir el tráfico de replicación de FRS a un puerto estático específico – Cómo restringir el tráfico de replicación de FRS a un puerto estático específico …Los controladores de dominio y servidores basados en Windows 2000 utilizan FRS para replicar la política del sistema …
http://support.microsoft.com/kb/319553
Algunos cortafuegos pueden rechazar el tráfico de red que se origina en equipos basados en Windows Server 2003 Service Pack 1 o en Windows Vista
Este KB indica que los cortafuegos de Checkpoint tienen un problema con las comunicaciones de AD.
http://support.microsoft.com/?kbid=899148
El cortafuegos de Checkpoint y las comunicaciones AD, DNS y RPC y el tráfico de replicación
Los cortafuegos de Checkpoint tienen un problema conocido si se ejecuta la versión R55 o anterior. Tendrá que hacer una entrada en el registro para permitir que el tráfico fluya entre los 2 sitios a través de la vpn. La solución preferida es actualizar el firewall de Checkpoint.
Más información:
Algunos cortafuegos pueden rechazar el tráfico de red que se origina en equipos basados en Windows Server 2003 Service Pack 1 o en Windows Vista
(Este enlace está relacionado con el problema de Checkpoint y ayuda a resolverlo)
http://support.microsoft.com/?kbid=899148
Nota de un cartel en Internet con un cortafuegos de Checkpoint:
Para Windows 2003 R2 y el controlador de dominio remoto no R2 añadimos la entrada Server2003NegotiateDisable en
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc
Sé que has disfrutado leyendo esto.
Bueno, lo hayas hecho o no, al menos ahora sabes qué hacer para que funcione.
¡Son bienvenidos los comentarios, sugerencias y correcciones!
==================================================================
¡Resumen
Espero que esto ayude!
Fecha de publicación original: 1/11/2011
Actualizado el 4/11/2014
Ace Fekay
MVP, MCT, MCSE 2012, MCITP EA & MCTS Windows 2008/R2, Exchange 2013, 2010 EA & 2007, MCSE & MCSA 2003/2000, MCSA Messaging 2003
Microsoft Certified Trainer
Microsoft MVP – Directory Services
Lista completa de blogs técnicos: http://www.delawarecountycomputerconsulting.com/technicalblogs.php
Esta publicación se proporciona TAL CUAL, sin garantías y no confiere ningún derecho.