Брандмауэр Windows - это индивидуальный брандмауэр, который устанавливается и включается по умолчанию в Windows Server 2008 R2. Чтоб использовать функциональные возможности брандмауэра Windows в инфраструктуре Служба управления правами Active Directory (AD RMS), необходимо создать несколько исключений брандмауэра.
Примечание |
---|
В этом разделе рассматриваются исключения брандмауэра, относящиеся только к службе AD RMS. Для других приложений могут понадобиться дополнительные исключения. |
В указанной ниже таблице приведены исключения портов, которые нужно задать на каждом сервере AD RMS в кластере. Нет необходимости одновременно открывать два порта. Для передачи по протоколу HTTP необходимо открыть только TCP-порт 80. Если в среде AD RMS используется протокол SSL или HTTPS, нужно открыть только TCP-порт 443. По умолчанию для SSL используется TCP-порт 443. Если в организации используется другой номер порта для передачи по протоколу SSL, укажите его.
Примечание |
---|
После установки AD RMS автоматически создается и включается соответствующее исключение, описанное в таблице ниже. |
Исключение порта | Описание |
---|---|
TCP 80 |
HTTP |
TCP 443 |
Соединение по протоколу HTTPS или SSL. |
Если в кластере AD RMS находится несколько серверов или сервер базы данных AD RMS не размещен на сервере AD RMS в среде с одним сервером, необходимо создать указанные ниже исключения портов на сервере базы данных, на котором размещаются базы данных AD RMS. Сведения, указанные в этой таблице, предполагают использование Microsoft SQL Server 2005 или более поздней версии.
Исключение порта | Описание |
---|---|
TCP 1433 |
Прослушивающий порт Microsoft SQL Server, используемый по умолчанию. |
TCP 445 |
Именованные каналы сервера SQL Server (используются для подготовки к работе сервера AD RMS). |
Кроме создания исключений этих портов, нужно учесть некоторые особенности настройки области применения брандмауэра. Необходимо ограничить весь трафик в сети организации, за исключением случаев, когда среда AD RMS используется в экстрасети. Если среда AD RMS должна быть доступна для клиентских компьютеров, находящихся за пределами сети организации, разрешите подключение любого компьютера из Интернета только к TCP-порту 443 или 80.
Внимание! |
---|
В среде AD RMS TCP-порт 445 используется для подготовки к работе сервера AD RMS, но он также служит для совместного использования файлов компьютерами, работающими под управлением Microsoft Windows 2000 или более поздних версий. Если нет особой необходимости предоставлять доступ к этому порту для других компьютеров в сети, необходимо ограничить эту область, чтобы доступ к TCP-порту 445 на сервере базы данных AD RMS имел только кластер AD RMS. |