Windows-brandväggen är ett värdbaserat brandväggsprogram som installeras och aktiveras som standard i Windows Server 2008 R2. Om du vill använda funktionerna i Windows-brandväggen i Active Directory Rights Management Services (AD RMS)-infrastrukturen måste du skapa ett par brandväggsundantag.
OBS | |
Det här avsnittet diskuterar endast de brandväggsundantag som gäller AD RMS. Ibland behöver det göras ytterligare undantag för andra program. |
Följande tabell visar de portundantag som ska göras på varje AD RMS-server i klustret. Det är inte nödvändigt att öppna båda portar samtidigt. För HTTP-överföring ska du endast öppna TCP-port 80. Om din AD RMS-miljö använder SSL (Secure Sockets Layer) eller HTTPS, bör du endast öppna TCP-port 443. Standardporten för SSL är TCP-port 443. Om din organisation använder ett annat portnummer för SSL än standardvärdet bör du använda den porten istället.
OBS | |
När AD RMS installerats kommer lämpligt undantag som beskrivs i följande tabell att skapas och aktiveras automatiskt. |
Portundantag | Beskrivning |
---|---|
TCP 80 |
HTTP |
TCP 443 |
HTTPS- eller SSL-kommunikation |
Om det finns mer än en server i AD RMS-klustret, eller om AD RMS-databasservern inte finns på AD RMS i en miljö med en enda server, ska följande portundantag skapas på den databasserver som är värd för AD RMS-databaser. Den här tabellen förutsätter att du använder Microsoft SQL Server 2005 eller senare.
Portundantag | Beskrivning |
---|---|
TCP 1433 |
Standard lyssningsport i Microsoft SQL Server |
TCP 445 |
SQL Server Named Pipes (används för att konfigurera AD RMS-servern) |
I tillägg till att skapa dessa portundantag bör det tas speciella hänsyn när du konfigurerar brandväggens omfång. Om inte din AD RMS-miljö används i ett extranätsscenario bör du begränsa all trafik till organisationens nätverk. Om AD RMS-miljön måste vara tillgänglig för klientdatorer utanför organisationens nätverk ska du bara låta valfri dator på Internet ansluta till TCP-port 443 eller TCP-port 80.
Varning | |
I en AD RMS-miljö används TCP-port 445 för att konfigurera en AD RMS-server. Den här porten är dock också fildelningsport för alla datorer som kör Microsoft Windows 2000 eller senare. Såvida du inte har ett specifikt behov av att andra datorer i ditt nätverk har åtkomst till den här porten ska du begränsa omfattningen så att bara AD RMS-klustret har åtkomst till TCP-port 445 på AD RMS-databasservern. |