Брандмауэр Windows - это индивидуальный брандмауэр, который устанавливается и включается по умолчанию в Windows Server 2008 R2. Чтоб использовать функциональные возможности брандмауэра Windows в инфраструктуре Служба управления правами Active Directory (AD RMS), необходимо создать несколько исключений брандмауэра.

Примечание
В этом разделе рассматриваются исключения брандмауэра, относящиеся только к службе AD RMS. Для других приложений могут понадобиться дополнительные исключения.

В указанной ниже таблице приведены исключения портов, которые нужно задать на каждом сервере AD RMS в кластере. Нет необходимости одновременно открывать два порта. Для передачи по протоколу HTTP необходимо открыть только TCP-порт 80. Если в среде AD RMS используется протокол SSL или HTTPS, нужно открыть только TCP-порт 443. По умолчанию для SSL используется TCP-порт 443. Если в организации используется другой номер порта для передачи по протоколу SSL, укажите его.

Примечание
После установки AD RMS автоматически создается и включается соответствующее исключение, описанное в таблице ниже.

Исключение порта Описание

TCP 80

HTTP

TCP 443

Соединение по протоколу HTTPS или SSL.

Если в кластере AD RMS находится несколько серверов или сервер базы данных AD RMS не размещен на сервере AD RMS в среде с одним сервером, необходимо создать указанные ниже исключения портов на сервере базы данных, на котором размещаются базы данных AD RMS. Сведения, указанные в этой таблице, предполагают использование Microsoft SQL Server 2005 или более поздней версии.

Исключение порта Описание

TCP 1433

Прослушивающий порт Microsoft SQL Server, используемый по умолчанию.

TCP 445

Именованные каналы сервера SQL Server (используются для подготовки к работе сервера AD RMS).

Кроме создания исключений этих портов, нужно учесть некоторые особенности настройки области применения брандмауэра. Необходимо ограничить весь трафик в сети организации, за исключением случаев, когда среда AD RMS используется в экстрасети. Если среда AD RMS должна быть доступна для клиентских компьютеров, находящихся за пределами сети организации, разрешите подключение любого компьютера из Интернета только к TCP-порту 443 или 80.

Внимание!
В среде AD RMS TCP-порт 445 используется для подготовки к работе сервера AD RMS, но он также служит для совместного использования файлов компьютерами, работающими под управлением Microsoft Windows 2000 или более поздних версий. Если нет особой необходимости предоставлять доступ к этому порту для других компьютеров в сети, необходимо ограничить эту область, чтобы доступ к TCP-порту 445 на сервере базы данных AD RMS имел только кластер AD RMS.