Какие порты открыть для 1с сервера sql

Какие порты нужно открыть на брандмауэре для работы в 1С ?

Какие порты нужно открыть на брандмауэре Windows для работы в клиент-серверной 1С, используя MS SQL 2017 на отдельном сервере.

Конечно, данная тема также подымается и на курсе: Администратор 1С!

Бывают случаи когда “Сервер 1С” как и сервер MS SQL находятся не за “сетевыми экранами” в локальной сети и защитить их от внешних угроз может только обычный брандмауэр Windows.

(К слову брандмауэр Windows в локальной сети в большинстве не нужен, конечно при правильной организации работы). Но если он включен, и MS SQL на другом “хосте” (сервере) проблемы с подключением в клиент-серверной 1С – гарантированны!

Как исправить ситуацию?

1. Включить брандмауэр (“сетевой экран”) на “роутере”, на Kerio, pfSense, iptables, одним словом там, где используется программный “сетевой экран”. Задача – закрыть порты извне, чтоб защитить всю локальную сеть от внешних угроз! Затем уже можно отключить и брандмауэр Windows! Так как MS SQL и Сервер 1С уже будет защищен!
2. Если брандмауэр Windows единственный “сетевой экран” который защищает “Сервер 1С” и MS SQL, тогда остается только открыть порты, чтоб Сервер 1С видел MS SQL и наоборот.

Сперва откроем порт 1433 на том сервере, где работает MS SQL 2017.

Запускаем брандмауэр Windows

Затем на вкладке слева ищем “Дополнительные параметры”.

Затем слева “Правила для входящих подключений” и “Создать правило”.

Затем клик по кнопке “Далее>”

Укажем протокол к которому будет применяться правило “Протокол TCP”.

И сам порт 1433 укажем выбрав “Определенные локальные порты:”

TCP 1433 — порт, выбираемый для SQL Server по умолчанию. Это официальный номер сокета IANA (агентство по выделению имен и уникальных параметров протоколов Интернета) для SQL Server. Клиентские системы используют порт TCP 1433 для подключения к системе управления базами данных; в среде SQL Server Management Studio (SSMS) порт служит для управления экземплярами SQL Server через сеть. Можно настроить SQL Server для прослушивания другого порта, но в большинстве случаев используется порт 1433.

Еще раз “Далее” и “Разрешить подключение”.

Клик “Далее” обычно для всех профилей применяется правило “Доменный” – “Частный” – “Публичный”.

После того как мы кликнем по кнопке “Далее”, нам нужно задать имя для правила

На этом, та часть работы, которую нужно делать на сервере “MS SQL” завершена!

Идем на сервер, где работает “Сервер 1С” он же “Кластер серверов”:

Аналогично открываем порт 1541, для нашего “Менеджера кластера серверов”.

Затем откроем диапазон портов: 1560-1591 (просто указав через тире) для наших “Рабочих процессов”.

Если к примеру Вы используете утилиту администрирование серверов (“Рис. ниже”) на другом ПК или сервере, но подключится Вам нужно используя ее к “Серверу 1С” (что за брандмауэром Windows), тогда нужно еще дополнительно открыть порт TCP 1540.

Еще может понадобится и открытие TCP 1434 на сервере где работает MS SQL.

TCP 1434 — порт, выбираемый по умолчанию для выделенного административного соединения. Вы можете запустить выделенное административное соединение с помощью командной строки sqlcmd или введя «ADMIN:» с последующим именем сервера в диалоговом окне SSMS Connect to Database Engine.

Собственно это и вся работа которую нужно выполнить, чтоб пользователи смогли работать в клиент-серверной 1С, и благополучно администрировать сам сервер 1С и наш “Сиквел” )

Если Вы хотите больше узнать о технической стороне 1С, тогда регистрируйтесь на первый бесплатный модуль курса: Администратор 1С >>>

Какие порты открыть для 1с сервера sql

Добрый день! Уважаемые читатели и постоянные посетители IT блога Pyatilistnik.org. Сегодня хотел бы сделать небольшую заметку, в которой был я описал по каким портам работает программа 1С и, как эти порты открыть в брандмауэре Windows, чтобы все работало. Уверен, что начинающим 1сникам данная информация будет полезной при настройке данного сервиса. Ну, что поехали и сделаем все красиво.

Задача: настроить брандмауэр Windows для работы сервера 1С (связка из Сервера 1С: Предприятие и MS SQL 2008, например).

Решение: если сервер SQL принимает подключения на стандартный порт TCP 1433, то разрешаем его. Если порт SQL динамический, то необходимо разрешить подключения к приложению %ProgramFiles%\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe.

Сервер 1С работает на портах 1541 и диапазоне 1560-1591. По совершенно мистическим причинам иногда такой список открытых портов все равно не позволяет выполнять подключения к серверу. Чтобы заработало наверняка, разрешите диапазон 1540-1591.

Как правильно настроить Брандмауэр Windows Server 2012 для 1C + MS SQL?

Добавление правила в брандмауэр Windows Server 2012 R2 для 1С: Предприятие

В процессе работы различных служб и программного обеспечения по сетевым протоколам, данные рабочие элементы используют конкретные порты, через которые происходит обмен данными.

В конфигурации бранмауэра Windows Server 2008/2012 R2 по умолчанию предусмотрена блокировка сетевой активности. Чтобы дать возможность вашим клиентским программам работать через соответствующие порты с серверными компонентами, необходимо добавить в Windows Firewall правила, которые позволят производить обмен данными в сети с использованием определенных портов.

Аренда выделенного сервера

• Intel® Xeon® E3-1230 v2
  3.3 , 4 ядра
• 8Gb DDR3
• 2 x SSD: 240Gb, Ent

• Intel® Xeon® E3-1270 v2
  3.5 , 4 ядра
• 16Gb DDR3
• 2 x SSD: 240Gb, Ent
• 1 x SATA3: 1 TB

• Intel® Xeon® E3-1270 v6
  3.8 , 4 ядра
• 32Gb DDR4
• 2 x SSD: 480Gb, Ent
• 1 x SATA3: 2 TB

Зачастую пользователи сталкиваются с ситуациями, в которых клиентскому ПО не удается найти сервер «1С:Предприятие», запущенный в серверной среде, управляемой Win Server 2012. При этом могут вылетать ошибки следующего характера:

ошибка доступа к серверу по сети;

ошибка при выполнении операций с информационной базой;

безуспешная попытка установить соединение, не был получен нужный отклик от другого компьютера;

было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.

Данные ошибки указывают на то что клиентскому ПО не удалось по указанному адресу найти сервер для 1С. Нередко случается так, что на сервере требуемый для подключения порт просто закрыт. В случае с 1С-сервером это порт под номером 1541.

Чтобы открыть данный порт, необходимо зайти на сервер через RDP-подключение и запустить управление Windows Firewall. Эту операцию можно произвести двумя способами. Первый вариант – перейти в «Панель управления», далее в подраздел «Система и безопасность», гд е нужно запустить, собственно, брандмауэр.

Также для этого можно воспользоваться командной строкой, выполнив в ней команду firewall.cpl – для этого нажимаем горячие клавиши Win+R, после чего переходим в раздел «Открыть», вводим имя команды и жмем подтверждение действия.

После того, как мы получили доступ к брандмауэру Windows, в его активном окне нам нужно выбрать раздел дополнительных параметров, который расположен в левом меню. Дальше в левой части открывшегося нового окна необходимо перейти к разделу правил для входящих подключений и через меню «Действия» выбрать «Создать новое правило».

Перед нами откроется мастер создания правил для новых входящих подключений. На титульной странице необходимо выбрать тип выбираемого правила, помеченный названием «Для портов» и можно перейти дальше. Теперь укажем протокол передачи сетевых данных (в нашем случае указываем TCP), а также номер открываемого порта.

На следующей вкладке нам нужно будет указать непосредственно действие, которое будет связано с создаваемым нами правилом. Нас интересует действие «Разрешить подключения». Выбираем его и жмем «Далее». Теперь отмечаем требуемые профили Windows Firewall, на которые должно распространяться создаваемое нами действие. Последняя страница мастера предлагает нам ввести имя для нового правила, а также добавить для него описание по желанию. Жмем готово и завершаем работу с мастером.

После создания правила нужно снова попробовать подключиться к 1С-серверу. При подключении мы увидим ту же самую ошибку, но теперь в сообщении говорится уже о другом порте под номером 1560.

По аналогии с описанной выше схемой добавления портов добавляем еще одно правило, в котором указываем диапазон портов 1560-1591. Эти порты требуются для обеспечения различных рабочих процессов программы 1C. Порты, входящие в этот диапазон, указываем через дефис в разделе «Protocol and Ports».

После проделанных манипуляций переходим в оснастку «Windows Firewall with Advanced Security». Здесь, в разделе правил для входящего подключения мы сможем увидеть созданные нами правила. При этом теперь клиент 1С должен свободно подключаться к серверному окружению. Если требуется подключение к вашему серверу через консоль серверного администрирования 1C, вам потребуется создать отдельное правило, открывающее порт 1540.

При необходимости добавления правил к исходящим подключениям можно воспользоваться той же схемой создания правил для отдельных протоколов и программ.

Настройка Windows Firewall для Win Server 2012 на 1С-сервере + MS SQL

Теперь несколько слов о том, как произвести настройку брандмауэра под Windows Server 2012 в указанной конфигурации. Такая связка – не редкость для современных офисов, но иногда требуется дополнительное время, чтобы разобраться в принципе работы Windows Firewall относительно серверного окружения 1С.

При условии, что сервер осуществляет прием подключения на стандартный TCP-порт 1433, нужно просто разрешить этот порт, воспользовавшись созданием правил для брандмауэра, принцип которого мы рассмотрели выше. Чтобы проверить, действительно ли работа идет через этот порт, можно запустить оснастку «Диспетчер конфигурации SQL Server» в Server 2012 и перейти на вкладку сетевой конфигурации. Здесь нужно выбрать вкладку протоколов для MSSQLSERVER и в левом окне найти TCP/IP-протокол. Выбираем его и кликаем «Свойства», после чего ищем вкладку «IP-адреса» и раскрываем ветку «IPAII».

Если же SQL-порт динамический, потребуется разрешение подключения к следующему приложению %ProgramFiles%\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe.

Как уже было сказано выше, 1С-сервер работает с портом 1541 и портами в диапазоне 1560-1591. Однако нередко случается так, что по непонятным причинам данный список откртых портов все равно не дает выполнять подключение к серверу. Чтобы все работало на 100% нужно всего лишь расширить этот диапазон, указав в нем порты от 1540 до 1591.

Прячем 1С за огнеупорную стену

Многие системные администраторы, задумываясь о безопасности данных своей компании и, в частности, о безопасности базы данных 1С, пренебрегают простым, но эффективным решением – изолировать сервер от пользователей. В данной статье проанализированы угрозы безопасности, возникающие при размещении клиентской части 1С и серверов 1С в одном сегменте сети, и рассмотрен процесс перевода серверной части 1С в другой сегмент сети. Данная статья не содержит принципиально новых решений, но может служить справочным пособием, которое объединяет информацию из различных источников.

Исходные данные

• 1С Предприятие 8 клиент-серверный вариант;
• сервер 1С Предприятия развернут на базе операционной системы Windows Server 2003;
• 1С Предприятие использует выделенный сервер MS SQL, развернутый на базе операционной системы Windows Server 2003;
• доступ пользователей к 1С осуществляется через терминальные сервера, развернутые на базе Windows Server 2003;
• все сервера находятся в сегменте одной сети, развернутой на базе домена Active Directory.

Угрозы безопасности

Для выявления угроз безопасности составим схему движения трафика в имеющейся сети.

Рисунок 1. Исходные потоки трафика

Под «LDAP» подразумевается не один порт, а совокупность. Порты и протоколы, используемые в Active Directory, описаны в статье базы знаний Microsoft «Службы и сетевые порты в серверных системах Microsoft Windows». В зависимости от того, что терминальный сервер требует от контроллера домена, это могут быть разные наборы. В данной статье я буду использовать следующий набор портов и протоколов:

Порт	Протокол	Назначение
88	UDP	Kerberos. Этот порт прослушивает процесс lsass.exe (Local Security Authority Service).
135	TCP	RPC
139	TCP	Служба сеансов NetBIOS
389	TCP/UDP	Локатор контроллеров домена
445	TCP	SMB
1025	TCP	Используется процессом lsass.exe. Дополнительная информация здесь.
—	ICMP	ICMP используется для получения различной информации, поэтому пакеты данного протокола должны свободно проходить в направлении контроллеров домена.

• операционная система Windows Server 2003 обладает уязвимостями, не связанными с 1С и MS SQL, но атаки с использованием этих уязвимостей могут способствовать получению контроля над данными перечисленных приложений;
• пользователи могут передавать файлы из удаленного сеанса на компьютеры сети по протоколу SMB;
• различные вирусы, распространяющиеся по сети, также создают угрозы безопасности;
• так как пользователи находятся в одном сегменте сети с серверами, то особо умные могут пытаться соединиться с ними по портам MS SQL и 1C.

Задачи

1. Минимизировать риски реализации уязвимостей операционной системы.
2. Сделать невозможной передачу файлов по протоколу SMB с терминальных серверов на компьютеры пользователей.
3. Исключить возможность доступа пользователей к серверам 1С и MS SQL.
4. Минимизировать количество пользователей, которые могут передавать файлы на свои компьютеры по протоколу RDP.

Требования к реализации

Обеспечить простоту и удобство использования ресурсов 1С Предприятия.

Решение

1. «Сервер 1С» + «Сервер БД 1С»;
2. «Терминальные сервера»;
3. «Пользователи» + «AD DC».

1. RZ1C – в эту зону войдут «Сервер 1С» и «Сервер БД 1С».
2. RZTS – в эту зону войдут терминальные сервера.
3. OZ – в эту зону войдут контроллер домена «AD DC» и пользователи.

• на каждом терминальном сервере создадим новое подключение в дополнение к стандартному, оно будет функционировать на порту 3390;
• разрешим подключаться на порт 3389 всем пользователям, а на порт 3390 только пользователям группы TerminalDisk;
• в свойствах подключений на терминальных серверах отключим клиентам возможность подключать локальные диски на порту 3389 и разрешим подключать локальные диски на порту 3390.

Реализация

Маршрутизация

В качестве маршрутизатора в этой статье я буду использовать компьютер с тремя сетевыми картами с операционной системой семейства GNU/Linux. Программное обеспечение для маршрутизации – Iptables. Скрипт настройки Iptables приведен ниже.

Замечания к скрипту

Действие DROP просто «сбрасывает» пакет и iptables «забывает» о его существовании. «Сброшенные» пакеты прекращают свое движение полностью, т.е. они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые «мертвые» сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов (Iptables Tutorial).

Разрешить прохождение через маршрутизатор пакетов UDP и TCP по порту 475 в двустороннем направлении Сервер_лицензий<->Клиент_1С.

Сопоставление локальных дисков клиента

• экспортировать указанную ветвь реестра в файл с раширением *.reg;
• открыть этот файл с помощью текстового редактора;
• изменить в файле экспорта HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ИМЯ_ПОДКЛЮЧЕНИЯ на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ИМЯ_ПОДКЛЮЧЕНИЯ2
• найти в файле экспорта строку PortNumber и изменить числовое значение на 0xd3e (3390 в десятеричной системе, хотя можно использовать любой другой);
• импортировать получившийся файл в реестр.

Заключение

В дальнейшем можно усилить схему, внедрив систему обнаружения вторжений.
Вот и все. Надеюсь, кому-нибудь данный материал окажется полезным. С уважением и наилучшими пожеланиями.