Brána Windows Firewall je aplikace brány firewall na straně hostitele, která je v systému Windows Server 2008 R2 ve výchozím nastavení nainstalována a zapnuta. Pokud chcete použít funkce brány Windows Firewall v infrastruktuře služby Active Directory Rights Management Services (služba AD RMS), je nutné vytvořit několik výjimek brány firewall.
 | Poznámka |
|
Toto téma popisuje pouze výjimky brány firewall specifické pro službu AD RMS. Pro jiné aplikace může být nutné vytvořit další výjimky. |
V následující tabulce jsou uvedeny výjimky pro porty, které by měly být vytvořeny na jednotlivých serverech služby AD RMS v clusteru. Není nutné otevírat oba porty současně. Pro přenos pomocí protokolu HTTP byste měli otevřít pouze port TCP 80. Pokud se v prostředí služby AD RMS používá protokol SSL (Secure Sockets Layer) nebo HTTPS, měli byste otevřít pouze port TCP 443. Výchozí port pro protokol SSL je TCP 443. Pokud vaše organizace používá jiné než výchozí číslo portu pro protokol SSL, měli byste použít tento port.
| Poznámka |
|
Po instalaci služby AD RMS je automaticky vytvořena a zapnuta odpovídající výjimka popsaná v následující tabulce. |
| Výjimka portu | Popis |
|---|---|
|
TCP 80 |
HTTP |
|
TCP 443 |
Komunikace HTTPS nebo SSL |
Pokud je v clusteru služby AD RMS více než jeden server nebo databázový server služby AD RMS není pro službu AD RMS nasazen jako jediný server, měly by být na databázovém serveru, který hostuje databázi služby AD RMS, vytvořeny následující výjimky portů. V této tabulce se předpokládá, že používáte Microsoft SQL Server 2005 nebo vyšší.
| Výjimka portu | Popis |
|---|---|
|
TCP 1433 |
Výchozí naslouchací port Microsoft SQL Server |
|
TCP 445 |
Pojmenované kanály SQL Server (použité pro zřízení serveru služby AD RMS) |
Kromě vytvoření těchto výjimek portů byste měli pečlivě zvážit konfiguraci rozsahu brány firewall. Pokud se prostředí služby AD RMS nepoužívá ve scénáři extranetu, měli byste omezit přenos na síť organizace. Jestliže je nutné, aby prostředí služby AD RMS bylo k dispozici pro klientské počítače mimo siť organizace, měli byste pro všechny počítače v Internetu povolit připojení pouze k portu TCP 443 nebo TCP 80.
 | Upozornění |
|
V prostředí služby AD RMS se port TCP 445 používá ke zřízení serveru služby AD RMS, ale tento port je také portem pro sdílení souborů pro všechny počítače se systémem Microsoft Windows 2000. Pokud není nutné, aby ostatní počítače v síti měli přístup k tomuto portu, měli byste omezit rozsah tak, aby pouze cluster služby AD RMS měl přístup k portu TCP 445 databázového serveru služby AD RMS. |