Zapora systemu Windows to aplikacja zapory oparta na hoście, która jest domyślnie instalowana i włączana w systemie Windows Server 2008 R2. Aby używać funkcji Zapory systemu Windows w infrastrukturze aplikacji Usługi zarządzania prawami dostępu w usłudze Active Directory (AD RMS), należy utworzyć kilka wyjątków zapory.
Uwaga | |
W tym temacie omówiono tylko te wyjątki zapory, które są specyficzne dla aplikacji Usługi AD RMS. Czasami trzeba utworzyć dodatkowe wyjątki dla innych aplikacji. |
W poniższej tabeli przedstawiono wyjątki portów, które należy utworzyć na każdym serwerze aplikacji Usługi AD RMS w klastrze. Nie jest konieczne otwieranie obu portów jednocześnie. Dla potrzeb transmisji HTTP należy otworzyć tylko port TCP 80. Jeśli w środowisku aplikacji Usługi AD RMS jest używany protokół SSL lub HTTPS, należy otworzyć tylko port TCP 443. Port domyślny dla protokołu SSL to port TCP 443. Jeśli organizacja używa numeru portu innego niż domyślny dla protokołu SSL, należy zamiast tego użyć tego portu.
Uwaga | |
Po zainstalowaniu aplikacji Usługi AD RMS zostanie automatycznie utworzony i włączony odpowiedni wyjątek opisany w poniższej tabeli. |
Wyjątek portu | Opis |
---|---|
TCP 80 |
HTTP |
TCP 443 |
Komunikacja za pomocą protokołu HTTPS lub SSL |
Jeśli w klastrze aplikacji Usługi AD RMS jest więcej niż jeden serwer lub jeśli serwer bazy danych aplikacji Usługi AD RMS nie jest w aplikacji Usługi AD RMS we wdrożeniu składającym się z jednego serwera, na serwerze bazy danych obsługującym bazy danych aplikacji Usługi AD RMS należy utworzyć poniższe wyjątki portów. W tej tabeli przyjęto założenie, że użytkownik korzysta z programu Microsoft SQL Server 2005 lub nowszego.
Wyjątek portu | Opis |
---|---|
TCP 1433 |
Domyślny port nasłuchiwania programu Microsoft SQL Server |
TCP 445 |
Nazwane potoki programu SQL Server (używane do zastrzegania serwera aplikacji Usługi AD RMS) |
Oprócz utworzenia tych wyjątków portów podczas konfigurowania zakresu zapory należy pamiętać o poniższych szczególnych uwagach. Jeśli środowisko aplikacji Usługi AD RMS nie jest używane w scenariuszu ekstranetowym, należy ograniczyć cały ruch do sieci organizacji. Jeśli środowisko aplikacji Usługi AD RMS musi być dostępne dla komputerów klienckich znajdujących się poza siecią organizacji, należy zezwolić wszystkim komputerom w Internecie na łączenie się tylko z portem TCP 443 lub portem TCP 80.
Przestroga | |
W środowisku aplikacji Usługi AD RMS port TCP 445 służy do zastrzegania serwera aplikacji Usługi AD RMS, ale także do udostępniania plików wszystkim komputerom z systemem Microsoft Windows 2000 lub nowszym. Jeśli nie ma specjalnej potrzeby, aby inne komputery w sieci miały dostęp do tego portu, należy ograniczyć zakres, aby tylko klaster aplikacji Usługi AD RMS miał dostęp do portu TCP 445 na serwerze bazy danych aplikacji Usługi AD RMS. |