Опубликовано:
16 июля 2015 в 09:32
11
Демилитаризованная зона (англ. Demilitarized Zone, DMZ) – это конфигурация сети, направленная на усиление безопасности сети организации, в которой открытые для общего доступа сервера находятся в отдельном изолированном сегменте сети. Данная концепция обеспечивает
отсутствие контактов между открытыми для общего доступа серверами и другими сегментами сети в случае взлома сервера.
Как правило, в изолированном сегменте сети располагается сервер-ретранслятор, обеспечивающий перенаправление запросов из внешней сети в сеть организации. Примерами таких серверов могут служить
ViPNet Coordinator и
обратный прокси-сервер (Reverse proxy).
Обратный прокси-сервер (Reverse proxy)
В качестве Reverse proxy может быть использован любой веб-сервер (NGINX, Apache, IIS). Как правило, для продуктов DIRECTUM используется Reverse proxy на базе IIS.
Для настройки потребуются
Application Request Routing и
URL Rewrite, которые можно установить при помощи
Web Platform Installer.
Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт). Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить
сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт. Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:
Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним
сервисам организации из сети Internet.
После включения Reverse proxy-функциональности необходимо задать правила перенаправления:
В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.
Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия,
поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).
Пример настройки:
Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.
Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.
Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра
веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:
- протокол TCP/IP;
- для связи с SQL сервером – по умолчанию порт 1433;
- для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
- для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
- для работы сервера веб-доступа по протоколу HTTPS – порт 443;
- протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.
Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть
порты 445 и 32320 по протоколу TCP.
Вместо заключения
В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить уровень безопасности сети организации. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за тегом
безопасность.
Управление
сервисными службами
Сервисные службы системы DIRECTUM
Используемые порты
Каждая сервисная служба в
процессе работы использует 1 порт TCP/IP, а клиентские процессы —
несколько портов в определенном диапазоне. Номера портов задаются
при установке системы и отражаются в установках системы:
·
SessionServerPort – порт
сервера сеансов. Значение по умолчанию — 32300;
·
WorkflowServicePort – порт
службы Workflow. Значение по умолчанию — 32310;
·
FileStorageServicePort –
порт службы файловых хранилищ. Значение по умолчанию –
32320;
·
ClientMinimalPort –
минимальный номер порта клиента. Значение по умолчанию –
32330;
·
ClientMaximalPort –
максимальный номер порта клиента. Значение по умолчанию –
32714.
Номера серверных портов
отражаются так же в файлах сервисных служб (см. разделы «Файл
SBSessionSrvSettings.xml», «Файл
SBWorkflowSrvSettings.xml» и «Файл
SBFileStorageSettings.xml» в главе «Файлы системы
DIRECTUM»).
Для корректной работы
сервисных служб на компьютерах с установленными сервисными службами
и на клиентских рабочих станциях должны быть открыты следующие
порты:
·
на компьютере с
установленным сервером сеансов и службой файловых хранилищ должны
быть открыты порты из установок SessionServerPort и
FileStorageServicePort соответственно;
·
на компьютере с
установленной службой Workflow должен быть открыт порт из установки
WorkflowServicePort и порты из диапазона [ClientMinimalPort,
ClientMaximalPort];
·
на клиентских
рабочих станциях — порты из диапазона [ClientMinimalPort,
ClientMaximalPort].
См. также:
·
Общие сведения о
сервисных службах;
·
Свойства
сервисных служб.
TCP-порт 32300 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP. TCP является протоколом с установлением соединения и требует квитирования для установки сквозной связи. Только после установления соединения пользовательские данные могут пересылаться в обоих направлениях.
Внимание! TCP гарантирует доставку пакетов данных через порт 32300 в том же порядке, в котором они были отправлены. Гарантированная связь через TCP-порт 32300 является основным отличием TCP от UDP.
Предоставляемые через UDP-порт 32300 UDP услуги не отличаются надежностью, так как датаграммы могут быть получены в сдублированном виде, с нарушенной очередностью или даже могут пропасть без какого-либо предупреждения. UDP на порт 32300 проверка и исправление ошибок не являются обязательными или должны выполняться в прикладной программе, что позволяет избежать накладных расходов на такую обработку на уровне сетевого интерфейса.
UDP (User Datagram Protocol) является минимальным ориентированным на работу с сообщениями протоколом транспортного уровня (протокол описан в IETF RFC 768). Примеры прикладных программ, часто использующих UDP: передача голоса по IP-протоколу (VoIP), передача мультимедийных потоков и многопользовательские игры в режиме реального времени. Множество веб-приложений используют UDP, к примеру, система доменных имен (DNS), информационный протокол маршрутизации (RIP), протокол динамической конфигурации хостов (DHCP), простой протокол управления сетью (SNMP).
TCP против UDP – TCP: надежный, упорядоченный, тяжеловесный, потоковый; UDP – ненадежный, неупорядоченный, легковесный, датаграммы.
Заметки по результатам обновления в Directum с версии 4.9.1 на 5.2.1
в мае 2016 года.
Общие сведения
Directum по сути не имеет центрального сервера.
Клиенты Directum самостоятельно обращаются к серверу MS SQL,
получают необходимые данные и обрабатывают их как считают нужным.
На сервере (или на серверах) запускаются только службы,
которые выполняют каждая свою узкую функцию:
Session Server (SBSessionServer)
Проверяет количество лицензий и открывает (или нет) пользователю полноценный
доступ к SQL-серверу.
Не имеет настроек, требует наличия корректно сгенерированного ключа системы.
Workflow Processing (SBWorkflowProcessingServer)
Фоновая обработка задач и заданий.
Если эта служба выключена, задачи будут создаваться,
но не дойдут до исполнителей.
Служба конфигурируется через файл
C:Program Files (x86)DIRECTUM CompanyDIRECTUM 5.2SBWorkflowSrvSettings.xml
где просто должны быть указаны все обслуживаемые ею базы данных.
Клиент Directum на сервер не ставится,
его функции становятся доступны после установки данной службы.
Storage Service (SBFileStorageService)
Применяется для того, чтобы хранить тексты документов не в базе данных SQL,
а в папке, что резко сокращает нагрузку на сервер MS SQL.
В момент корректного обращения пользователя к конкретному файлу,
служба меняет права доступа и документ становится доступным через
стандартный механизм общих папок Windows.
Если служба не работает, Directum выглядит полностью работоспособным,
но при попытке увидеть текст документа, возникает ошибка.
Служба настраивается через файл
C:Program Files (x86)DIRECTUM CompanyDIRECTUM 5.2Storage ServicesSBFileStorageSettings.xml
в нём также следует указать все БД, обслуживаемые службой.
В БД Directum также требуется указывать, что она обслуживается данной службой,
добавив её параметры в
Утилиты администратора / Администрирование хранилищ / Хранилища текстов документов
Развёртывание БД
Обычно запуск новой БД (если все службы уже запущены и работают)
требует следующих шагов:
- Восстановление БД из резервной копии
- Активация БД (настройка служебных пользователей) утилитой
SASystemActivator.exe - Регистрация системы, то есть получение ключа
(лицензии на кол-во пользователей) и внесение его в БД утилитой
SAKeyRegistration.exe - Подключение БД к службам Workflow и Storage по необходимости
Предварительная настройка
Версии Windows
Directum 5.2 не работает на Windows Server 2003,
а серверная часть к тому же на Windows XP.
Поэтому обновление производилось не «на месте», а на новый сервер
Windows Server 2008 R2.
MS SQL
До установки MS SQL нужно убедиться, что на сервере установлена русская локаль
(Russia).
Можно устанавливать MS SQL в минимальной конфигурации,
однако есть смысл сразу же добавить к нему компоненту Full Text Search.
Это можно сделать и позже в любое время.
Рекомендуется дать права администратора SQL (sysadmin)
группе OMZGLOBAL#modifyDIT
и право доступа на сервер (public) группе NT AUTHORITYAuthenticated Users.
Это позволит не создавать логины SQL-сервера для каждого пользователя.
Установка Directum зачастую требует переименования хоста с установленным MS SQL.
В этом случае после переименования требуется выполнить команду:
sp_dropserver <old_name>; GO sp_addserver <new_name>, local; GO
Directum требует настройки:
sp_configure 'show advanced options', 1; RECONFIGURE; sp_configure 'clr enabled', 1; RECONFIGURE;
Если планируется использовать (для администрирования) команду xp_cmdshell
(например xp_cmdshell 'net use z: hostfolder'), её требуется разрешить:
EXEC sp_configure 'show advanced options', 1 GO RECONFIGURE GO EXEC sp_configure 'xp_cmdshell', 1 RECONFIGURE
Firewall
Требуется вручную открыть порты (Windows Firewall with Advanced Security)
для служб Directum и для MS SQL:
- MS SQL: 1433
- Session: 32300
- Workflow: 32310
- Storage: 32320
IIS
Установку IIS следует делать по инструкции администратора Directum.
Суть: требуется установка компонент
- ASP.Net
- ASP
- Management Service
Требуется добавить в MIME Types строку
- mp4: video/mpeg
Патч для канцелярии
До начала обновления Directum (в случае тестового обновления — до backup)
требуется сбить параметр
Утилиты разработчика / Типы справочников / РКК / Представления / Главное / Иерархия
на: По журналам регистрации
После обновления можно его вернуть на По местам регистрации.
Ключи Directum
Убедитесь (на сайте https://support.directum.ru/) что имеется годное разрешение
на генерацию ключа.
Установка / Обновление
Выполняется согласно инструкции по обновлению Directum запуском STConverter.exe
и указанием пакета обновления Packagedirectum_to_521.dat
Параметры:
- Конвертировать только разработку платформы
- НЕ: Автоматически конвертировать,
Автоматически разрешать конфликты импорта разработки системы - НЕ: Повторное сравнение разработки
Настройка вариантов запуска компонент: SBLauncher.exe -CT=ComponentTokenDesigner
Запуск от имени Administrator, пакет PackageDIRECTUM52_tokens.xml
Настройка домена для пользователей (при помощи консоли MS SQL):
Update MBUser Set Domain='OMZGLOBAL' Where Domain is Null And NeedEncode = 'W' And UserStatus = 'П'
При помощи Проводника Directum:
- Импорт записей справочников Роли PackageStandardDataРОЛ
- Импорт типовых маршрутов PackageStandardDataТМТ
Внимание! Часть блоков может не заполниться (см. лог импорта),
требуется донастроить их вручную - Импорт обложек из PackageStandardDataОбложки
(Документы произвольной формы), в Установках WebFoldersAllowed = Y,
уже должна быть запущена служба Storage
Дополнительно для обновления с версии 4.9.1
Эти шаги тоже делаются согласно инструкции, вот они в краткой форме:
-
Шаг 1
- Импорт записей справочников PackageStandardDataCurrency
-
Шаг 2
- Утилиты разработчика / Типовые маршруты / Канцелярия / Исполнение поручений / Параметры
- Типовой маршрут для создания подчиненных поручений = Отправка подчиненного поручения на исполнение
- Типовой маршрут для контроля исполнения = Контроль исполнения поручения (уже)
- Утилиты разработчика / Типовые маршруты / Канцелярия / Контроль исполнения поручения / Параметры
- Типовой маршрут для создания подчиненных поручений = Отправка подчиненного поручения на исполнение
- Обложка Канцелярия
- Агент создания периодических поручений (???)
- Утилиты администратора / Администрирование хранилищ / Виды документов / * / Права по умолчанию
- Импорт пользовательских сценариев PackageStandardDataРСЧ
- Импорт записей справочников PackageStandardDataВДС
- Импорт пользовательских событий PackageStandardDataСОБ
- Импорт записей справочников PackageStandardDataReferenceAndDocumentAutotext
- Утилиты разработчика / Типовые маршруты / Канцелярия / Исполнение поручений / Параметры
-
Шаг 3
- Импорт записей справочника PackageStandardDataOTP
- Утилиты администратора / Общее администрирование / Мастера действий / * / Параметры
- Оформление заявления (отпуск/отгул/увольнение) ТМЗаявление = Утверждение заявления
- Оформление служебной записки. ТМ = Согласование служебных записок
- Поручения по РКК + Поручения по обращениям -> Поручения
- PackageAssignmentsAndTypicalAssignments
- Справочник Настройки дополнительных реквизитов справочников: Настройки: Поручения по РКК -> Поручения
- Спрятать ссылку на Поручения по РКК
- PackageAssignmentsAndTypicalAssignments
- Доступ к отчётам Канцелярия группам:
- Делопроизводители
- Руководство
- Руководители подразделения
- Делопроизводители Обращения граждан и организаций
- Справочник Соотношения полей карточки документа и записи справочника: Договорные документы Договоры Главное
- Тип карточки документа = Договорные документы (уже)
- Настройки системы / Обложка / Канцелярия
- Исполнение поручений по РКК = Исполнение поручений (???)
-
Шаг 4
- Справочник Правила вычисления ролей / ПомощникРуководителя для типовых маршрутов
- Ничего не делаем (переносим из Роли Секретарь руководителя)
- Справочник Правила вычисления ролей / ПомощникРуководителя для типовых маршрутов
Сервер ссылок Hyperlink
Устанавливается простым копированием в папку C:inetpubwwwroot.
Рекомендуется обращаться к ней через Default Web Site (привязанный к адресу *)
по ссылке вида http://directum.omzglobal.com/doc.asp?…
Настройка клиентов: Установки системы
- MB_AWebServerName = directum.omzglobal.com
Пока гиперссылки не работают, обложки папок тоже работать не будут!
Сервер веб-справки
Устанавливается по инструкции, для него создаётся отдельный Virtual site,
рекомендуется привязать его к хосту Directum.
Подключение клиентов выполняется через Установки системы
- HelpServerName = http://directum/DIRECTUM
Установка клиента Directum на пользовательские машины
Разработчик предлагает делать установку клиента при помощи msi пакета
(см. инструкцию администратора).
Однако в версии 5.2 в msi пакет не попал установщик SQL Native Client,
в результате чего свежеустановленный клиент Directum оказывается
неработоспособным на машинах с Windows XP.
Был разработан альтернативный вариант установки при помощи самописного скрипта
(конфигурируемого при помощи файла YAML),
запускающего стандартный установщик клиента Directum (Client.exe).
Для массового обновления клиентов в ночь обновления был дописан ещё
один самописный скрипт, который проверяет наличие на машине
стандартной папки Directum v4.9.1, запускает его удаление при помощи msiexec
и передаёт управление скрипту установки. Факт попытки обновления журналируется.
Скрипт может быть запущен на все клиентские машины при помощи SCCM.
Дополнительные клиентские компоненты
Дистрибутивы расположены в
DIRECTUM Enterprise 5 2 1 с инструментом разработчика.zip
(в папке DIRECTUMF$DirectumDistrib5.2.1):
- Конструктор документов — DocumentGeneratorDocumentGenerator-??bit.exe
- Интеграция с MS Office — OfficeIntOfficeIntegration-??bit.exe
Настройка после обновления
Резервное копирование
Directum самостоятельно настраивает резервное копирование БД
в процессе установки.
Рекомендуется его отключить (SQL Server Agent / Jobs) и настроить своё.
Почтовые настройки Directum
В ходе обновления был отключён механизм рассылки через Microsoft Outlook
и настроена рассылка по протоколу SMTP как кардинально более простая.
Настройки заданы в константе MailOutgoingSettings
(или через пункт Почта на обложке Настройки системы),
используется пользователь OMZGLOBALdirectummail,
созданный специально для этой цели.
Полнотекстовый поиск
Directum предлагает два вида полнотекстового поиска:
- По текстам документов.
Признан ненужным и не используется - По текстам задач и заданий
Второй тип поиска требует настройки (согласно инструкции):
- Однократного запуска сценария Индексирование текстов и слепков объектов
- Периодического регулярного запуска того же сценария
Периодические задания
Directum требует массы периодических заданий.
Для их настройки используется стандартный Task Scheduler, в котором
заведена отдельная папочка Directum.
На данный момент настроены задания:
- block — блокирование пользователей Directum, заблокированных в AD
- ca — импорт сертификатов ЭЦП
- fulltext — обновление полнотекстовых индексов
- mail — рассылка уведомлений о заданиях
(используется сценарий MailJobs, полученный правкой стандартного сценария
Агент рассылки входящих заданий) - Выгрузка в 1С
- Совещания
Тексты простых скриптов расположены в папке tasks.
Остальные скрипты — в папке dist.
Все скрипты можно запускать от имени любого пользователя Directum,
имеющего соответствующие права.
Однако, со всех сторон удобнее пользователь NT AUTHORITYSYSTEM,
которого необходимо корректно добавить в пользователи Directum
по обычной процедуре.
Скрипты для администрирования Directum
В ходе обновления был создан механизм написания сложных скриптов
для администрирования Directum.
Скрипты пишутся на языке CoffeeScript,
может быть также использован обычный JavaScript.
Исходные коды транслируются в JavaScript, собираются и дополнительно
сжимаются.
Написан и отлажен целый ряд утилит
(как командной строки, так и с графическим интерфейсом).
Возможно (и в большинстве случаев несложно) написание других под
возникающие задачи.
Исходные коды, готовые утилиты и краткие инструкции по сборке
расположены в репозитории
https://github.com/ukoloff/directum/
Известные ошибки
Directum 5.2 гораздо хуже относится к дублированию кода системы.
Все экземпляры системы должны иметь разный код, даже если они
установлены на разных серверах.
Служба File Storage Service бывает самопроизвольно останавливается
и не запускается. Лечится удалением файлов
C:Program Files (x86)DIRECTUM CompanyDIRECTUM 5.2Storage ServicesOpenedDocumentVersionInfoList*.cfg
Очистка метаданных
Некоторые странные ошибки на клиенте
(включая вызванные совпадение кодов системы, но не только)
лечатся очисткой метаданных.
На клиентском компьютере выполняется (универсальный) скрипт:
rd "%TEMP%IS-Builder" /s /q rd "%APPDATA%NPO ComputerIS-Builder" /s /q rd "%SystemDrive%Documents and SettingsDefault UserApplication DataNPO ComputerIS-Builder" /s /q rd "%SystemDrive%UsersDefaultAppDataRoamingNPO ComputerIS-Builder" /s /q
Очистка метададанных на стороне сервера (лучше выполнять в нерабочее время):
- Выполнить SQL:
Update SBMetadataLastUpdates Set LastUpdate = GETDATE(), Metadata = null - Перезапустить сервер сеансов
- Запустить сценарий «Обновление кэша метаданных»
#1 24 февраля 2012 11:41:44 (изменено: Антон Мороков, 27 марта 2012 12:00:50)
- Антон Мороков
- Партнеры
- Неактивен
- Откуда: Самара
- На форуме с 4 апреля 2011
- Сообщений: 209
Тема: Ошибка при подключении клиентов к SQL серверу
Ошибка возникает при подключении компьютера-клиента к SQL серверу (при попытке выбрать нужную базу в окне входа в TechnologiCS).
Текст ошибки:
SQL Server Error: [DBNETLIB][Connection Open (Connect()).] SQL сервер не существует, или доступ запрещен
Ошибка возникает на SQL серверах ExpressEdition т.к. по умолчанию сетевой режим работы у них отключен.
Проблема известна давно, даже была создана тема по этому поводу (https://forum.technologics.ru/topic973.html), но указанный там REG файл не помог, по крайней мере для SQL Server 2008 R2, поэтому для включения сетевых возможносетй необходимо провести следующие действия:
1) Из меню «Пуск» запустить «Диспетчер конфигурации SQL Server» (SQL Server Configuration Manager), перейти в ветку «Службы SQL Server» и выполнить настройку сервиса «Браузер SQL Server» вызвав его свойства.
2) На вкладке «Вход» в свойствах этого сервиса, установить опцию «Встроенная учетная запись» со значением «Локальная служба», в этом же окне на вкладке «Служба» установить тип запуска службы «Авто»
3) После сохранения установленных параметров необходимо произвести запуск(перезапуск) сервиса «Браузер SQL Server».
3) Далее в «Диспетчере конфигурации SQL Server» перейти на ветку «Сетевая конфигурация SQL Server» (SQL Server Network Configuration) -> «Протоколы для ….» (Protocols for …)
4) В левой части окна будет список протоколов, необходимо включить протокол TCP/IP.
5) После этих манипуляций необходимо произвести перезапуск службы SQL Server. Это можно сделать из диспетчера конфигураций SQL Server-а. (Делается это аналогичто запуску(перезапуску) службы «Браузер SQL Server»)
6) Также необходимо убедиться в том, что у вас стоит смешанная проверка подлинности (SQL Server и Windows)
Для этого необходимо запустить «Среду SQL Server Management Studio», авторизоваться и в свойствах своего SQL Servera, на закладке «Безопасность» убедиться в этом. См.скрин.
7) Если тип проверки подлиности менялся , то необходимо выполнить перезапуск SQL Servera. См. скрин.
Также проверьте, что установленный брадмауэр отключен (хотя бы на время манипуляций, дыбы исключить его из возможных виновников возникновения данной ошибки)
Если включенный брандмауэр будет мешать получить доступ к SQL Server, необходим добавить SQL Server в исключения. Исполняемый файл который необходимо добавить в исключения находиться по следующему пути: «C:Program FilesMicrosoft SQL ServerMSSQL10_50.MSSQLSERVERMSSQLBinnsqlservr.exe
(путь может видоизменяться, но исполняемый файл всегда sqlservr.exe)
Далее приведу серию скриншотов:
Служба «Браузер SQL Server»
Настройка службы «Браузер SQL Server»
Настройка запуска службы «Браузер SQL Server»
Запуск / перезапуск службы «Браузер SQL Server»
Вызов свойств SQL Server из Среды SQL Server Management Studio
Смешанный тип проверки подлинности включен
Перезапуск SQL Server из Среды SQL Server Management Studio
Спасибо сказали: Олег Зырянов, Денис Подмарев2
Post’s attachments
2.jpg 59.29 Кб, файл не был скачан.
3.jpg 68.72 Кб, файл не был скачан.
4.jpg 65.84 Кб, файл не был скачан.
5.jpg 62.55 Кб, файл не был скачан.
6.jpg 38.03 Кб, файл не был скачан.
7.jpg 75.62 Кб, файл не был скачан.
8.jpg 32.61 Кб, файл не был скачан.
You don’t have the permssions to download the attachments of this post.
#2 Ответ от Олег Зырянов 27 февраля 2012 11:03:16
- Олег Зырянов
- Технический руководитель
- Неактивен
- Откуда: Новосибирск
- На форуме с 10 декабря 2008
- Сообщений: 4,179
Re: Ошибка при подключении клиентов к SQL серверу
замечу только
… На вкладке «Вход» в свойствах этого сервиса, установить опцию «Встроенная учетная запись» со значением «Локальная служба»…
Без особой надобности данную настройку не меняйте ( по соображениям безопасности ).
ERROR: Через порт 1433 Подключиться к хосту localhost из TCP/IP Соединение не удалось. ошибка:“Connection refused: connect, Пожалуйста, проверьте свойства подключения и проверьте SQL Server Из экземпляров, запущенных на хосте и принятых на этом порту TCP/IP Соединение, также убедитесь, что брандмауэр не блокирует этот порт TCP Подключение.”。
Почти два дня Поиск в Интернете, добавить немного исследования, Наконец-то решена проблема! Но эти два дня депрессии Некуда выходить, так что просто запишите это, чтобы сделать себя счастливым! ! Любое сходство является чисто случайным!
Решения Следующим образом :
от“начать”в“Все программы” На открытом воздухе “microsoft sqlserver ”из SQL Server Configuration Manager,
Выпрыгнуть из этого окна
Потом я проверил SQL Server 2005 Конфигурация сети, Есть MSSQLSERVER Согласие, Я смотрю на право Один TCP/IP Оказалось, Отключить состояние ,Я думал Здесь должна быть проблема, Я включу это.
До активации:
После активации:
Тогда я пошел, чтобы увидеть это снова SQL Nativer Client Dongdong под конфигурацию, проверил
Таким образом, я гарантирую, что порт 1433 , И уже открыли……
Тогда я положил SQL Server(MSSQLSERVER) обслуживание Перезагрузка!
Тогда беги мойJAVAПрограммы, На этот раз результат, который я хочу Up! ! ! !
The error you quote has nothing to do with pg_hba.conf; it’s failing to connect, not failing to authorize the connection.
Do what the error message says:
Check that the hostname and port are correct and that the postmaster is accepting TCP/IP connections
You haven’t shown the command that produces the error. Assuming you’re connecting on localhost port 5432 (the defaults for a standard PostgreSQL install), then either:
-
PostgreSQL isn’t running
-
PostgreSQL isn’t listening for TCP/IP connections (
listen_addressesinpostgresql.conf) -
PostgreSQL is only listening on IPv4 (
0.0.0.0or127.0.0.1) and you’re connecting on IPv6 (::1) or vice versa. This seems to be an issue on some older Mac OS X versions that have weird IPv6 socket behaviour, and on some older Windows versions. -
PostgreSQL is listening on a different port to the one you’re connecting on
-
(unlikely) there’s an
iptablesrule blocking loopback connections
(If you are not connecting on localhost, it may also be a network firewall that’s blocking TCP/IP connections, but I’m guessing you’re using the defaults since you didn’t say).
So … check those:
-
ps -f -u postgresshould listpostgresprocesses -
sudo lsof -n -u postgres |grep LISTENorsudo netstat -ltnp | grep postgresshould show the TCP/IP addresses and ports PostgreSQL is listening on
BTW, I think you must be on an old version. On my 9.3 install, the error is rather more detailed:
$ psql -h localhost -p 12345
psql: could not connect to server: Connection refused
Is the server running on host "localhost" (::1) and accepting
TCP/IP connections on port 12345?
The error you quote has nothing to do with pg_hba.conf; it’s failing to connect, not failing to authorize the connection.
Do what the error message says:
Check that the hostname and port are correct and that the postmaster is accepting TCP/IP connections
You haven’t shown the command that produces the error. Assuming you’re connecting on localhost port 5432 (the defaults for a standard PostgreSQL install), then either:
-
PostgreSQL isn’t running
-
PostgreSQL isn’t listening for TCP/IP connections (
listen_addressesinpostgresql.conf) -
PostgreSQL is only listening on IPv4 (
0.0.0.0or127.0.0.1) and you’re connecting on IPv6 (::1) or vice versa. This seems to be an issue on some older Mac OS X versions that have weird IPv6 socket behaviour, and on some older Windows versions. -
PostgreSQL is listening on a different port to the one you’re connecting on
-
(unlikely) there’s an
iptablesrule blocking loopback connections
(If you are not connecting on localhost, it may also be a network firewall that’s blocking TCP/IP connections, but I’m guessing you’re using the defaults since you didn’t say).
So … check those:
-
ps -f -u postgresshould listpostgresprocesses -
sudo lsof -n -u postgres |grep LISTENorsudo netstat -ltnp | grep postgresshould show the TCP/IP addresses and ports PostgreSQL is listening on
BTW, I think you must be on an old version. On my 9.3 install, the error is rather more detailed:
$ psql -h localhost -p 12345
psql: could not connect to server: Connection refused
Is the server running on host "localhost" (::1) and accepting
TCP/IP connections on port 12345?
Loading
Управление
сервисными службами
Сервисные службы системы DIRECTUM
Используемые порты
Каждая сервисная служба в
процессе работы использует 1 порт TCP/IP, а клиентские процессы —
несколько портов в определенном диапазоне. Номера портов задаются
при установке системы и отражаются в установках системы:
·
SessionServerPort – порт
сервера сеансов. Значение по умолчанию — 32300;
·
WorkflowServicePort – порт
службы Workflow. Значение по умолчанию — 32310;
·
FileStorageServicePort –
порт службы файловых хранилищ. Значение по умолчанию –
32320;
·
ClientMinimalPort –
минимальный номер порта клиента. Значение по умолчанию –
32330;
·
ClientMaximalPort –
максимальный номер порта клиента. Значение по умолчанию –
32714.
Номера серверных портов
отражаются так же в файлах сервисных служб (см. разделы «Файл
SBSessionSrvSettings.xml», «Файл
SBWorkflowSrvSettings.xml» и «Файл
SBFileStorageSettings.xml» в главе «Файлы системы
DIRECTUM»).
Для корректной работы
сервисных служб на компьютерах с установленными сервисными службами
и на клиентских рабочих станциях должны быть открыты следующие
порты:
·
на компьютере с
установленным сервером сеансов и службой файловых хранилищ должны
быть открыты порты из установок SessionServerPort и
FileStorageServicePort соответственно;
·
на компьютере с
установленной службой Workflow должен быть открыт порт из установки
WorkflowServicePort и порты из диапазона [ClientMinimalPort,
ClientMaximalPort];
·
на клиентских
рабочих станциях — порты из диапазона [ClientMinimalPort,
ClientMaximalPort].
См. также:
·
Общие сведения о
сервисных службах;
·
Свойства
сервисных служб.
TCP-порт 32300 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP. TCP является протоколом с установлением соединения и требует квитирования для установки сквозной связи. Только после установления соединения пользовательские данные могут пересылаться в обоих направлениях.
Внимание! TCP гарантирует доставку пакетов данных через порт 32300 в том же порядке, в котором они были отправлены. Гарантированная связь через TCP-порт 32300 является основным отличием TCP от UDP.
Предоставляемые через UDP-порт 32300 UDP услуги не отличаются надежностью, так как датаграммы могут быть получены в сдублированном виде, с нарушенной очередностью или даже могут пропасть без какого-либо предупреждения. UDP на порт 32300 проверка и исправление ошибок не являются обязательными или должны выполняться в прикладной программе, что позволяет избежать накладных расходов на такую обработку на уровне сетевого интерфейса.
UDP (User Datagram Protocol) является минимальным ориентированным на работу с сообщениями протоколом транспортного уровня (протокол описан в IETF RFC 768). Примеры прикладных программ, часто использующих UDP: передача голоса по IP-протоколу (VoIP), передача мультимедийных потоков и многопользовательские игры в режиме реального времени. Множество веб-приложений используют UDP, к примеру, система доменных имен (DNS), информационный протокол маршрутизации (RIP), протокол динамической конфигурации хостов (DHCP), простой протокол управления сетью (SNMP).
TCP против UDP – TCP: надежный, упорядоченный, тяжеловесный, потоковый; UDP – ненадежный, неупорядоченный, легковесный, датаграммы.
Опубликовано:
16 июля 2015 в 09:32
24
11
Демилитаризованная зона (англ. Demilitarized Zone, DMZ) – это конфигурация сети, направленная на усиление безопасности сети организации, в которой открытые для общего доступа сервера находятся в отдельном изолированном сегменте сети. Данная концепция обеспечивает
отсутствие контактов между открытыми для общего доступа серверами и другими сегментами сети в случае взлома сервера.
Как правило, в изолированном сегменте сети располагается сервер-ретранслятор, обеспечивающий перенаправление запросов из внешней сети в сеть организации. Примерами таких серверов могут служить
ViPNet Coordinator и
обратный прокси-сервер (Reverse proxy).
Обратный прокси-сервер (Reverse proxy)
В качестве Reverse proxy может быть использован любой веб-сервер (NGINX, Apache, IIS). Как правило, для продуктов DIRECTUM используется Reverse proxy на базе IIS.
Для настройки потребуются
Application Request Routing и
URL Rewrite, которые можно установить при помощи
Web Platform Installer.
Для начала создаем веб-сайт, который будет принимать запросы из внешней сети. Для него необходимо указать соответствующие привязки (имя хоста и порт). Так как все веб-решения компании DIRECTUM предполагают работу с важной информацией, необходимо настроить
сайт на использование HTTPS-соединения. Обычно для HTTPS-соединения используется 443 порт. Соответственно, данный порт необходимо указать в настройках DMZ-брандмауэра.
Следующим шагом добавляем правило перенаправления при помощи модуля URL Rewrite:
Если настройка осуществляется впервые, IIS сообщит о необходимости включения Reverse proxy-функциональности и предупредит, что Reverse proxy может как усилить защиту периметра организации, так и, наоборот, снизить безопасность, предоставив доступ внутренним
сервисам организации из сети Internet.
После включения Reverse proxy-функциональности необходимо задать правила перенаправления:
В поле «Правила для входящего трафика» указывается адрес и порт сервиса для перенаправления, находящегося во внутренней сети организации. Напомню, что входящие адреса, запросы с которых будут перенаправлены, задаются выше в настройках привязок веб-сайта.
Для снижения нагрузки на DMZ-сервер можно включить SSL-разгрузку. В этом случае все внешние HTTPS-запросы будут перенаправлены по HTTP во внутреннюю сеть. Мы не рекомендуем применять такие подходы, чтобы не снижать общую безопасность схемы взаимодействия,
поэтому в настройках брандмауэра внутренней сети также потребуется открыть 443 порт (или иной, указанный в правилах URLRewrite).
Пример настройки:
Сервер веб-приложения DIRECTUM располагается во внутренней сети организации и имеет один интерфейс: 192.168.1.2/255.255.255.0.
Брандмауэры сети DMZ и внутренней сети настраиваются на разрешение входящих и исходящих соединений по порту 443 протокола HTTP.
Для обеспечения дополнительной защиты рекомендуется ограничить доступ к веб-серверу DIRECTUM из внутренней сети и разрешить сетевые соединения только с необходимыми службами (СУБД, сервер сеансов, Workflow и т.д.). Для этого следует настроить правила брандмауэра
веб-сервера DIRECTUM для входящих и исходящих соединений и разрешить соединения по следующим портам:
- протокол TCP/IP;
- для связи с SQL сервером – по умолчанию порт 1433;
- для связи с сервером с установленной службой Сервер сеансов – по умолчанию порт 32300;
- для связи с сервером с установленной службой WorkFlow – по умолчанию порт 32310;
- для работы сервера веб-доступа по протоколу HTTPS – порт 443;
- протокол UDP/IP: для разрешения имен NetBIOS – по умолчанию порты 137-139.
Указан минимальный набор портов и протоколов связи. При использовании в продуктивной среде возможно расширение разрешающих правил. К примеру, для работы служб файловых хранилищ понадобится дополнительно открыть
порты 445 и 32320 по протоколу TCP.
Вместо заключения
В этой небольшой статье были рассмотрены практические шаги, с помощью которых можно повысить уровень безопасности сети организации. Для того чтобы ознакомиться с другими средствами обеспечения безопасности следите за тегом
безопасность.