MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Cómo habilitar el acceso remoto a un servidor de archivos Windows Server 2003 a través de Palo Alto GlobalProtect

Cómo habilitar el acceso remoto a un servidor de archivos Windows Server 2003 a través de Palo Alto GlobalProtect

Windows Server

Acceder a un servidor de archivos Windows Server 2003 desde casa mediante Palo Alto GlobalProtect suele fallar porque el sistema sólo ofrece SMB v1, protocolo que la mayoría de firewalls bloquean por defecto. A continuación encontrarás un análisis exhaustivo del problema y un plan completo de mitigación.

Índice

Resumen del problema

En la LAN todo funciona; a través de la VPN, las carpetas compartidas no abren. Los registros del firewall confirman que el propio servidor rechaza las conexiones SMB procedentes del pool de direcciones de GlobalProtect.

  • Entorno: Windows Server 2003 con rol de servidor de archivos, clientes Windows 10/11, firewall Palo Alto con GlobalProtect.
  • Síntomas: doble clic sobre el recurso compartido → espera prolongada → error “La ruta de red no se encuentra”“Acceso denegado”.
  • Observación en PAN‑OS: el flujo entra por la interfaz VPN, pero el servidor responde con RST/ACK indicando rechazo.

Causas probables

  1. Uso exclusivo de SMB v1: Windows Server 2003 no soporta SMB v2/v3. Muchos NGFW, incluido Palo Alto, traen inspecciones que bloquean EternalBlue y vulnerabilidades derivadas de SMB v1, cortando el tráfico por seguridad.
  2. Límites de licencia o recursos: las ediciones Standard de 2003 limitan a 10 o 20 conexiones simultáneas de cliente, y las conexiones VPN cuentan como una IP distinta, agotando más rápido los identificadores de sesión (eventos 2017, 2019, 2021).

Por qué SMB v1 es un riesgo real

SMB v1 lleva más de 30 años. Carece de cifrado, firma obligatoria y negociación segura. Fue el vector principal del ransomware WannaCry, Petya y NotPetya. Microsoft lo deshabilitó en sistemas modernos a partir de 2017, y la mayoría de fabricantes de seguridad lo califican como “protocolo inseguro crítico”.

Diagnóstico paso a paso

  1. Verificar puertos en PAN‑OS
    Security Policy → add filter destination port eq 445. Confirma que la regla que atiende al tráfico de GlobalProtect permita Application=smb o App‑ID “ms‑rpc‑tcp”.
  2. Probar conectividad básica
    Desde un equipo externo conectado a la VPN:
    ping 10.10.10.5
    telnet 10.10.10.5 445
    Respuesta negativa en telnet indica filtrado o rechazo en capa 4.
  3. Revisar Visor de eventos
    System → Source: Srv. Eventos
    • 2017 (Table Nonpaged Pool Exhaustion)
    • 2019 (Paged Pool Exhaustion)
    • 2021 (Work items exceeded).
    Si aparecen, hay agotamiento de recursos.
  4. Capturar tráfico
    Wireshark en el cliente: observa que el Negotiate Protocol Request contiene sólo dialectos NT LAN MANAGER 1.0 → el servidor responde con RST si no puede procesar la sesión.

Soluciones y medidas recomendadas

EnfoqueDescripciónVentajasInconvenientes
Actualizar el sistema operativo (recomendado)Migrar el servidor a Windows Server 2008 o superior (idealmente 2016/2019/2022) para obtener SMB v2/v3.• Resuelve la compatibilidad.
• SMB v3 con cifrado AES‑128‑GCM.
• Parcheado y soporte oficial.		• Requiere licencias y posible hardware nuevo.
• Plan de pruebas/migración.
Trasladar los datosImplementar un NAS o servidor moderno, copiar datos y actualizar map‑drive.• Permite apagar el 2003.
• Migración por fases minimiza interrupciones.		• Requiere replicar permisos NTFS y compartir.
Habilitar SMB v1 en la ruta VPN (medida temporal)Abrir TCP 445/139 y desactivar firmas SMB en PAN‑OS, instalar componente SMBv1 en los clientes.• Solución inmediata.• Riesgo extremo de ransomware.
• Política en contra de las guías CIS/MISA.
• Sin soporte Microsoft desde 2017.
Usar un protocolo alternativoPublicar SFTP, WebDAV‑HTTPS o portal SSL para descargas puntuales.• Evita SMBv1.
• Menor superficie de ataque.		• No ofrece la experiencia “Explorador”.
• Requiere cambios de scripts.
Revisar límites de conexionesComprobar CAL, edición Standard vs Enterprise, contador MaxMpxCt.• Útil cuando el bloqueo es por saturación.• No repara las vulnerabilidades de SMBv1.

Detalle de cada enfoque

Actualización a Windows Server 2016/2019/2022

La alternativa con mejor relación seguridad‑mantenimiento. Pasos sugeridos:

  1. Inventariar shares y permisos
    net share > shares.txt y icacls D:\Datos /T /C /Q > permisos.txt.
  2. Preparar la máquina de destino
    Crear VM con disco VHDX rápido, unir a dominio, aplicar GPO básicas (desactivar LM, forzar SMB firm).
  3. Migrar datos con Robocopy
    robocopy \\srv2003\D$\Datos D:\Datos /E /SEC /R:2 /W:5 /LOG:robolog.txt
  4. Recrear shares con net share y permisos heredados.
  5. Validar accesos vía SMB v3 desde la VPN; observar paquetes Session Setup firmados y cifrados.

Traslado a NAS o appliance

Si no se dispone de licencias Windows, un NAS con soporte SMB v3 (Synology, QNAP o TrueNAS) ofrece ACL NTFS, snapshots y compresión. Copia de datos vía Rsync o Robocopy, exporta los shares con nombres equivalentes y crea un DNS alias para evitar modificar scripts antiguos.

Habilitar SMB v1 temporalmente

Solo si el negocio no puede esperar. Procedimiento mínimo:

  1. En PAN‑OS: Objects → Applications, busca “smb” y elimina la aplicación de la regla EternalBlue Protection.
  2. Crear Security Profile con Threat ID 64846 → alert (not block) y asignarlo a la regla de la VPN.
  3. Deshabilitar DMZ o exposición pública del 2003; restringir a IP VPN.
  4. Programar ventana de migración antes de 30 días.

Protocolo alternativo: SFTP/WebDAV

Instalar OpenSSH‑Win32 dentro de un contenedor aislado o VM y publícalo en el puerto 22 dentro del túnel GlobalProtect. Para WebDAV, habilita Role: IIS WebDAV y fuerza SSL/TLS 1.2. Los usuarios podrán mapear una “unidad de red” con \\servidor@SSL@443\DavWWWRoot\Carpeta.

Revisión de límites de conexión

La pila SMB de 2003 usa contadores IRPStackSize y MaxMpxCt. Ajustes recomendados:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  "MaxMpxCt"=dword:00000fff
  "InitWorkItems"=dword:00000040
  "MaxWorkItems"=dword:00001000

Reiniciar el servicio Server tras cambiar valores. Aun así, no soluciona la obsolescencia del protocolo.

Procedimiento de migración sugerido

  1. Planificación
    • Definir ventana de corte.
    • Notificar a usuarios y documentar scripts que acceden a \\SRV2003.
    • Programar respaldo completo.
  2. Ejecución en paralelo
    Copiar datos y permisos con Robocopy; probar accesos con grupo piloto a través de GlobalProtect.
  3. Switchover
    Cambiar registro DNS: SRV‑FILES → 192.168.1.210 (nuevo servidor).
    Deshabilitar comparticiones en 2003 para evitar escritura divergente.
  4. Validación post‑migración
    Revisar logs de seguridad para accesos fallidos, medir rendimiento SMB con Get-SmbSession | ft ClientComputerName, Dialect.
  5. Retirada
    Apagar el 2003, retirar del dominio conservando copia offline durante 30 días.

Reconfiguración de GlobalProtect

  • Seguridad: crear perfil de Vulnerability Protection nivel “Strict” y aplicar sólo al nuevo servidor; ahora soporta SMBv3 con firma.
  • QoS: asignar tráfico SMB a una clase de prioridad media (garantizar ancho de banda de copia sin saturar el túnel).
  • Logging: activar Log at Session Start y Log at Session End para trazar intentos no autorizados.

Buenas prácticas posteriores

  1. Desinstalar SMB v1 de todo equipo cliente: dism /online /Disable-Feature /FeatureName:SMB1Protocol.
  2. Aplicar GPO de endurecimiento: forzar SMB signing requerido y NTLM v2 only.
  3. Backups periódicos con VSS + off‑site; encriptar repositorios.
  4. Supervisión: integrar eventos Microsoft‑Windows‑SMBServer/Audit en SIEM.

Preguntas frecuentes

¿Puedo instalar SMB v2 en Windows Server 2003? No. El kernel carece de la pila necesaria; sólo mediante actualización de SO. ¿Rendirá más lento SMB v3 sobre VPN que SMB v1? Normalmente es más rápido gracias a Credit‑Based Flow Control; además, comprime encabezados y evita retransmisiones inútiles. ¿Existen parches de seguridad para Windows Server 2003? Microsoft cesó soporte en 2015. Sólo existen custom support agreements costosos; lo mejor es migrar. ¿Qué pasa con las impresoras compartidas? Rehospeda colas de impresión en un servidor moderno con rol Print and Document Services. Los controladores x64 actuales deben firmarse digitalmente. ¿GlobalProtect necesita configuración adicional tras la migración? Sólo ajustes de Security Profile; la asignación de túnel y split‑tunneling no cambiará.

Conclusión

El fallo de acceso remoto se origina casi siempre en la dependencia de SMB v1 que arrastra Windows Server 2003. Abrir temporalmente el protocolo es un riesgo que ningún equipo de seguridad moderno recomienda asumir. La estrategia ganadora pasa por migrar el servidor o, al menos, sus datos a una plataforma que hable SMB v2/v3. Así se recupera la funcionalidad vía GlobalProtect, se cumple con los estándares de ciberseguridad y se allana el camino a futuras mejoras, como habilitar cifrado SMB AES‑256 y búsqueda por Spotlight SSD.

Windows Server
solución de problemas VPN SMBv1 servidor de archivos Windows Server 2003 GlobalProtect
Índice