none
Puertos de Active directory RRS feed

  • Pregunta

  • Buenos dias:

    Despues de mirar varios articulos de la technet y varios post en estos foros, aun no tengo claro los puertos necesarios para el correcto funcionamiento de active directory. Mi principal duda es con respecto al servicio de RPC. Se que es necesario para una correcta comunicacion entre controladores (por ejemplo, para el frs) pero ¿es necesario que los usuarios tengan acceso al rpc del controlador?. Segun el siguiente link:

    http://technet.microsoft.com/es-es/library/dd772723(v=ws.10).aspx

    Los puertos necesarios para que los usuarios se loguen correctamente y se les apliquen las politicas son los siguientes:

    445/ CIFS

    88/ Kerberos

    389/ LDAP

    53/ DNS

    TCP Dinamico/ RPC

    Me parece bastante peligroso abrir del 1025 al 65535. Se que se pueden limitar estos puertos pero hay que reiniciar los controladores (tenemos bastantes y habria que hacerlo en todos).

    En resumen, mi pregunta es  ¿para que necesitan los usuarios el RPC?¿Me podeis poner algun ejemplo?

    Muchas gracias


    Solo se que no se nada

    viernes, 27 de julio de 2012 10:31

Respuestas

  • Hola,

    Yo soy partidario que los puertos default no tienen que ser limitados.. pero cada empresa puede aplicar sus "limitaciones de puertos" mientras no salga de lo soportado..

    RPC es un mecanismo de comunicacion indispensable y que se tiene que realizar correctamente desde cliente hacia un Domain Controller y como digo Domain Controller, tambien con servidores que provean servicios, ejemplo de recursos, aplicaciones, etc.

    Que un usuario se pueda autenticar correctamente, valide, reconozca sus permisos, que luego pueda "utilizar" esos accesos para acceder a recursos, aplique politicas, actualice password de maquina, acceder en si al dominio, entre otros servicios/ puertos del Domain Controller, tambien depende que se comunique correctamente el cliente mediante RPC. Sumando tambien la comunicacion entre los DCs, depende sustancialmente de que la comunicacion mediante RPC en los mismos, sea correcta.-

    Lamentablemente los puertos que se manejan como bien indicas son dinamicos, no se bien a que te refieres como "Peligroso" ya que esto tendria que estar habilitado en una red interna y tu seguridad aplicaria a nivel Frontera hacia afuera de dicha red, pero te recomiendo si por algun motivo no puedes mantener dicha cantidad de puertos dinamicos, limitarlos como comentas: http://support.microsoft.com/kb/224196 Obviamente, hasta tanto no lo apliques en todos los Domain Controllers, no limites nada en la red para no tener inconvenientes, igualmente, por otro lado, te dejo tambien un articulo sobre inconvenientes presentados en fallas de RPC, como te daras cuenta leyendo el mismo, no estamos hablando de un tema menor: http://support.microsoft.com/kb/839880/en-us / http://support.microsoft.com/kb/310456/en-us

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta PlatonBJS viernes, 27 de julio de 2012 12:57
    viernes, 27 de julio de 2012 12:48
    Moderador

Todas las respuestas

  • Hola,

    Yo soy partidario que los puertos default no tienen que ser limitados.. pero cada empresa puede aplicar sus "limitaciones de puertos" mientras no salga de lo soportado..

    RPC es un mecanismo de comunicacion indispensable y que se tiene que realizar correctamente desde cliente hacia un Domain Controller y como digo Domain Controller, tambien con servidores que provean servicios, ejemplo de recursos, aplicaciones, etc.

    Que un usuario se pueda autenticar correctamente, valide, reconozca sus permisos, que luego pueda "utilizar" esos accesos para acceder a recursos, aplique politicas, actualice password de maquina, acceder en si al dominio, entre otros servicios/ puertos del Domain Controller, tambien depende que se comunique correctamente el cliente mediante RPC. Sumando tambien la comunicacion entre los DCs, depende sustancialmente de que la comunicacion mediante RPC en los mismos, sea correcta.-

    Lamentablemente los puertos que se manejan como bien indicas son dinamicos, no se bien a que te refieres como "Peligroso" ya que esto tendria que estar habilitado en una red interna y tu seguridad aplicaria a nivel Frontera hacia afuera de dicha red, pero te recomiendo si por algun motivo no puedes mantener dicha cantidad de puertos dinamicos, limitarlos como comentas: http://support.microsoft.com/kb/224196 Obviamente, hasta tanto no lo apliques en todos los Domain Controllers, no limites nada en la red para no tener inconvenientes, igualmente, por otro lado, te dejo tambien un articulo sobre inconvenientes presentados en fallas de RPC, como te daras cuenta leyendo el mismo, no estamos hablando de un tema menor: http://support.microsoft.com/kb/839880/en-us / http://support.microsoft.com/kb/310456/en-us

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta PlatonBJS viernes, 27 de julio de 2012 12:57
    viernes, 27 de julio de 2012 12:48
    Moderador
  • Ante todo, muchas gracias por tu respuesta Leo. Con pelidroso me refiero a que, si abro del 1025 al 65535 estoy abriendo a los usuarios, por ejemplo, terminal server, vnc (puerto 5900) u cualquier otro servicio que pudiera estar corriendo en el servidor y que, ante un bug podrian hacerso con el control de la maquina. Pero ya veo que es indispensable por lo que la mejor opcion sera limitar los puertos de RPC dinamicos en los controladores de dominio

    Solo se que no se nada

    viernes, 27 de julio de 2012 12:57