Amtliche Schulverwaltung
Sie befinden sich hier: start » alle » technik » install » portfreigabe

Konfiguration der Firewall und Freigabe von Ports

Die Kommunikation des DSS mit seinen Clients, mit der zugrunde liegenden PostgreSQL-Datenbank sowie mit dem ZSS erfolgt – wie jede andere Kommunikation zwischen Rechnern auch – über Ports.

Da hierbei auch spezielle Ports benutzt werden, sind ggf. Eingriffe in die Firewall der beteiligten Rechner notwendig. Folgende Ports werden von der ASV verwendet:

  1. Port 443
    Über den Standard-Port 443 wird die Kommunikation vom DSS zum ZSS und vom Aktuallisierungsdienst zum Aktualisierungsserver aufgebaut. Da dieser Port standardmäßig nach außen offen ist, sind hier in der Regel keine Modifikationen nötig.
    • ZSS (asv-zss-extern.schulen.bayern.de bzw. steht in config.ini bzw. config.local.ini in der Zeile mit remote.server.url=)
    • Aktualisierungsserver (update.asv.bayern.de)
  2. Port 5432
    Dies ist der Standard-Port des PostgreSQL-Datenbanksystems. Über diesen Port kommuniziert der DSS mit der zugrunde liegenden ASV-Datenbank. Im Normalfall1), d.h. wenn DSS und PostgreSQL auf der gleichen Maschine installiert sind, sind hier ebenfalls keine Modifikationen an der Firewall nötig. Insbesondere ist es dann nicht nötig, diesen Port frei zu geben.
  3. Port 8765
    Über diesen Port kommunizieren die ASV-Clients mit ihrem DSS. Dieser Port muss im LAN bei allen Clients und dem DSS-Rechner ein- und ausgehend geöffnet sein.
    Hierfür gibt es zwei Möglichkeiten:
    1. Sie öffnen den Port 8765/TCP ein- und ausgehend
      Verwenden Sie dafür die erweiterten Einstellungen der Windows-Firewall. Dieses Variante ist problemlos
    2. Sie binden die Kommuniation via 8765 fest an ein Programm. Dabei müssen Sie jedoch angeben, welches Programm für den ASV-Prozess verantwortlich ist. Bei Version 1.12 ist dies die Datei javaw.exe. Bitte achten Sie darauf, dass Sie die „richtige“ javaw.exe freigeben! Java verwendet je nach Systemarchitektur unterschiedliche Installationspfade und auch bei Java-Updates kann sich der Installationspfad ändern. Auch können mehrere Versionen der javaw.exe im System vorliegen. Auskunft über die „richtige“ javaw.exe gibt der Taskmanager bei laufendem DSS bzw. ASV-Client.
  4. Für die Prüfung der Gültigkeit der verwendeten Zertifikate zur Kommunikation des DSS mit dem ZSS werden die Verzeichnisse der bayerischen Verwaltungs-PKI abgefragt:
    1. http://ocsp.pki.bayern.de:8080 IP: 195.200.70.71 (Port 8080)
    2. ldap://directory.bayern.de IP: 195.200.70.75 (Port 389)
    3. ldap://directory2.bayern.de IP: 195.200.70.76 (Port 389)

Die Pfeile verdeutlichen, wer die Kommunikation initiiert.

1)
Der Normallfall liegt dann nicht vor, wenn z.B. ein dedizierte Datenbankserver zur Verfügung steht und man daher DSS und PostgreSQL auf verschiedene Maschinen verteilt. Dann sind jedoch weitere Modifikationen an der PostgreSQL-Konfiguration nötig, da PostgreSQL per Default keine Zugriffe von außen zulässt.