Qué puertos abrir para Active Directory, RDP, DNS y más en Windows Server

Última actualización:
Autor:
  • Listado completo de puertos TCP y UDP para roles en Windows Server
  • Configuraciones recomendadas y prácticas de seguridad para RDP, DNS y Active Directory
  • Cómo proteger tu red limitando puertos innecesarios y aplicando según rol
  • Detalles sobre el protocolo que usa cada servicio y cómo abrir o monitorear puertos

Listado de puertos para servicios Windows Server

La administración de una red basada en Windows Server requiere un conocimiento preciso de los puertos que deben estar abiertos para que los servicios funcionen correctamente. Desde permitir el inicio de sesión remoto, pasando por garantizar la autenticación de usuarios hasta la correcta resolución de nombres de dominio, diversos protocolos se apoyan en puertos concretos para operar. Para poder gestionar correctamente estos puertos, es útil consultar información sobre tipos de puertos de red.

Ya sea que estés configurando un servidor de Active Directory (AD), un servidor DNS, o habilitando acceso por Escritorio Remoto (RDP), la apertura de puertos es clave. No hacerlo adecuadamente puede ocasionar fallos de conexión, problemas de autenticación o hasta comprometer la seguridad de tu infraestructura si se dejan abiertos más puertos de los necesarios.

Conceptos generales sobre protocolos y puertos en Windows Server

WINDOWS SERVER

Windows Server utiliza una variedad muy amplia de servicios que requieren la apertura de puertos TCP y UDP. Estos puertos permiten la comunicación entre los distintos dispositivos y servicios dentro de la red e incluso hacia el exterior. Los dos protocolos principales que se utilizan en estos puertos son TCP (Transmission Control Protocol) y UDP (User Datagram Protocol).

TCP se caracteriza por ser un protocolo orientado a la conexión, fiable y que garantiza que todos los paquetes lleguen en el orden correcto. Por tanto, se usa en servicios que requieren estabilidad como HTTP, FTP, o RDP. Por otro lado, UDP es más rápido pero menos fiable, por eso es elegido para servicios como DNS, streaming, juegos en línea, etc.

Además, los puertos se clasifican en:

  • Puertos conocidos (0-1023): Utilizados por protocolos estándar como HTTP (80), DNS (53) o SSH (22).
  • Puertos registrados (1024-49151): Creados para servicios o aplicaciones menos comunes. Pueden estar registrados por empresas.
  • Puertos dinámicos o efímeros (49152-65535): Utilizados por el sistema cuando un cliente inicia una conexión. También conocidos como puertos aleatorios o temporales.

Puertos que utiliza Active Directory (AD)

Active Directory es el corazón de cualquier red de dominio basada en Windows. Para que sus servicios funcionen correctamente, es imprescindible abrir varios puertos clave relacionados principalmente con los protocolos LDAP, Kerberos y RPC. Puedes encontrar información adicional sobre cómo comunicarte con estos servicios en diversas configuraciones.

Entre los más importantes tenemos:

  • TCP/UDP 389: Es el puerto utilizado por LDAP (Lightweight Directory Access Protocol). Es prioritario para la autenticación de usuarios y la replicación del directorio.
  • TCP 636: Usado para LDAP sobre SSL (LDAPS).
  • TCP/UDP 88: Asociado al protocolo Kerberos, utilizado para la autenticación.
  • TCP 445: Utilizado por SMB para compartir archivos e impresoras.
  • TCP 135: Asignador de puntos de conexión RPC.
  • TCP 3268 / 3269: Catálogo global (GC). El 3268 para búsquedas, y el 3269 cuando se requiere conexión segura (SSL).
  • TCP 9389: Active Directory Web Services (ADWS).
  • TCP/UDP 53: Puerto para la resolución DNS.
  • TCP 49152–65535: Intervalo de puertos dinámicos RPC.
  ¿Cómo puedo cambiar mi contraseña de Dazn? Cómo recuperar tu cuenta

Estos puertos deberán estar disponibles en todos los controladores de dominio y sistemas que interactúen con AD. Además, si trabajas con controladores de dominio en diferentes sitios o redes, asegúrate de permitir estos puertos entre las ubicaciones.

Puertos requeridos para Escritorio Remoto (RDP)

El Escritorio Remoto (RDP) es una de las funciones más utilizadas en entornos Windows Server. Su puerto predeterminado es 3389 TCP, aunque puede ser modificado por razones de seguridad. Es importante saber que mantener seguridad en estos accesos es fundamental para la protección de tu red.

Dependiendo de la infraestructura y el número de roles implementados (como RD Gateway, RD Licensing, RD Session Host, etc.), los puertos necesarios se extienden. Aquí te mostramos los esenciales:

  • TCP/UDP 3389: Puerto por defecto de RDP.
  • TCP 443: Si se usa Escritorio Remoto vía Web (RDWeb) o Gateway, se encapsula en HTTPS.
  • UDP 3391: Tráfico RDP sobre UDP, más eficiente si se usa con un Gateway.
  • TCP 5504: Comunicación entre Web Access y Connection Broker.
  • TCP 5985: Para administración vía PowerShell y WMI.
  • TCP 445: Comunicación SMB entre servidor de licencias y host.
  • TCP 139 / UDP 137-138: Servicios NetBIOS usados en ambientes heredados.
  • TCP 49152–65535: Uso dinámico por RPC.

Estos puertos deben abrirse dependiendo del rol específico implementado dentro del servidor RDS. Si estás usando conexiones vía Internet o balanceadores, RD Gateway se convierte en una opción ideal para encapsular RDP en HTTPS y evitar problemas con firewalls o NATs.

Puertos para servidores DNS

DNS (Domain Name System) permite que los equipos dentro de la red, o fuera de ella, puedan resolver nombres de dominio como «servidor.contoso.local» en direcciones IP. Asegúrate de que está correctamente configurado, para ello, puedes consultar más sobre el funcionamiento de los servidores DNS.

Los puertos clave para este servicio son:

  • UDP 53: Para la mayoría de las consultas DNS.
  • TCP 53: Se utiliza cuando la respuesta excede el tamaño de un paquete UDP o para transferencias zona a zona entre servidores DNS.

Al igual que sucede con todos los servicios, conviene tener los puertos abiertos exclusivamente en los equipos que funcionen como servidores DNS, y aplicar reglas de firewall para filtrar el acceso desde redes no autorizadas.

Puertos para DHCP y WINS

En redes donde se entregan direcciones IP dinámicamente mediante DHCP, es necesario permitir determinados puertos:

  • UDP 67: Escuchado por el servidor DHCP.
  • UDP 68: Utilizado por los clientes para recibir configuración.
  The right way to Flip Off YouTube Autoplay on Mac and PC

Por su parte, WINS, aunque en desuso, puede seguir presente en entornos heredados con aplicaciones legacy:

  • UDP 137: Resolución de nombres NetBIOS.
  • UDP 138: Servicios de datagramas NetBIOS.
  • TCP 139: Sesiones NetBIOS.

Si no se utilizan estos servicios, es altamente recomendable desactivarlos y cerrar los puertos correspondientes para evitar vulnerabilidades. Puedes también consultar sobre cómo gestionar adecuadamente los dispositivos USB como parte de la seguridad general de tu sistema.

Puertos necesarios para servidores de impresión

Los servidores de impresión también pueden representar un punto de exposición si se dejan puertos sin uso abiertos. Por ello, si gestionas colas de impresión a través de Windows Server, asegúrate de que estos puertos estén activos:

  • TCP 135: RPC.
  • UDP 137-138: NetBIOS necesario para compartir impresoras en redes antiguas.
  • TCP 139: Comunicación NetBIOS sobre TCP.
  • TCP 445: Protocolo SMB para compartir archivos e impresoras.

Conviene también abrir puertos altos dinámicos utilizados por el protocolo RPC (49152–65535) si se va a administrar remotamente el servidor de impresión. La manipulación de estos puertos puede ser crucial para un funcionamiento fluido y seguro.

Puertos del servicio de hora (NTP/SNTP)

Windows Server incluye por defecto el servicio de hora de Windows (W32Time), que sincroniza el reloj del sistema con fuentes externas o controladores de dominio. Mantener la hora exacta es esencial para la seguridad y funcionalidad del sistema.

Los puertos para este servicio son:

  • UDP 123: Puerto utilizado por NTP y SNTP.

Este puerto debe estar abierto si el servidor sincroniza contra una fuente de tiempo externa, o si otros equipos en la red lo usan como referencia horaria.

Puertos para servicios de correo electrónico (SMTP, POP3, IMAP)

Si tienes un servidor de correo, como Microsoft Exchange u otro basado en Windows Server, es necesario abrir:

  • TCP 25: SMTP (envío de correo).
  • TCP 465 / 587: SMTP con SSL o TLS.
  • TCP 110: POP3.
  • TCP 995: POP3 con SSL.
  • TCP 143: IMAP.
  • TCP 993: IMAP con SSL.

La recomendación es preferir los puertos con cifrado y eliminar o bloquear los puertos asociados a protocolos sin seguridad, para mantener la integridad de tus comunicaciones. Puedes explorar más sobre la gestión de sistemas operativos en Windows 11.

Puertos para servicios web en IIS

Si tu servidor aloja páginas web mediante Internet Information Services (IIS), entonces tendrás que abrir los siguientes puertos en tu firewall:

  • TCP 80: HTTP (sin cifrado).
  • TCP 443: HTTPS (cifrado SSL/TLS).
  • TCP 8080: Puerto alternativo para HTTP, usado comúnmente en desarrollos o administración.

Es importante contar con certificados válidos para que el tráfico HTTPS funcione sin errores y evitar advertencias de seguridad en el navegador. Recuerda que, al gestionar tus servidores, es fundamental tener un conocimiento amplio sobre los puertos abiertos para evitar vulnerabilidades.

  Windows 10: ¿Cómo puedo solucionar el elevado uso de la CPU de IAStorDataSvc?

Cómo ver y comprobar qué puertos están abiertos en Windows Server

Desde el propio sistema puedes utilizar varios métodos:

  • netstat -an: Muestra todas las conexiones activas y puertos escuchando.
  • Get-NetTCPConnection (PowerShell): Muy útil para listar conexiones TCP activas.
  • telnet : Verifica si un puerto está accesible desde otro equipo.
  • Test-NetConnection: Comando más moderno de PowerShell para probar conectividad.

Ejemplo:

Test-NetConnection -ComputerName servidor.contoso.local -Port 3389

También puedes hacer uso de nmap desde otra máquina para escanear todo un rango de puertos, ideal para auditorías. Para un buen escaneo y supervisión, considera leer sobre software de monitoreo que pueda ayudarte a gestionar mejor tus recursos.

Puertos peligrosos o comúnmente explotados

Existen puertos que históricamente han sido blanco de ataques masivos. Algunos ejemplos:

  • TCP 3389: RDP ha sido atacado con fuerza bruta en muchas campañas de ransomware.
  • TCP 445: Explotado por malware como WannaCry.
  • TCP 23: Telnet, sin cifrado, nunca debe estar expuesto.
  • UDP 161: SNMP, si no se usa, mejor cerrarlo.

Mantener abiertos estos puertos sin necesidad es uno de los errores más comunes en ciberseguridad. Haz escaneos frecuentes en tu red para detectar estos casos. La gestión de puertos es una tarea que debe ser continua para asegurar la red, por lo que debes saber hacer frente a errores comunes que puedan surgir.

Buenas prácticas para apertura de puertos

  • Abre solo los puertos necesarios: Menos es más en términos de seguridad.
  • Usa firewalls locales y perimetrales: Configura cortafuegos tanto en cada servidor como en el borde de la red.
  • Cambia puertos por defecto si puedes: Especialmente en RDP, cambiar el puerto 3389 reduce ataques automatizados.
  • Limita accesos por IP: Usa listas blancas para restringir qué origenes pueden acceder a tu servidor.
  • Audita periódicamente: Usa herramientas de escaneo para detectar puertos abiertos innecesariamente.

Gestionar correctamente los puertos abiertos en Windows Server es fundamental no solo para garantizar que los servicios funcionen correctamente, sino también para reducir al máximo la superficie de ataque. Conocer cada rol, qué puertos necesitas y cómo asegurarlos te ayudará a tener una infraestructura mucho más robusta frente a amenazas internas o externas.

Mini PC Windows 365 Link-9
Artículo relacionado:
Windows 365 Link: El mini PC que ejecuta Windows 11 desde la nube

Deja un comentario