Ситуация, когда пользователи не могут подключиться к базе данных 1С:Предприятие по сети, является одной из самых распространенных проблем в администрировании корпоративных систем. Часто причиной блокировки становится встроенный защитный механизм операционной системы, который по умолчанию закрывает входящие соединения на специфических портах. Порт 9099 часто используется веб-сервером 1С или службой кластера серверов для публикации данных и организации взаимодействия между клиентскими машинами и серверной частью.
Если вы столкнулись с ошибкой соединения или таймаутом при попытке запустить тонкий клиент, первое, что необходимо проверить — это настройки брандмауэра Windows. Неправильная конфигурация правил фильтрации трафика может полностью изолировать сервер 1С от локальной сети, делая работу с базой данных невозможной для удаленных сотрудников. В данной статье мы подробно разберем процесс создания разрешающего правила для TCP-порта 9099, стабильную работу вашего программного комплекса.
Процедура настройки не требует глубоких знаний программирования, но требует внимательности при вводе числовых значений и выборе типов протоколов. Ошибка в одной цифре или выбор неверного профиля сети (частная вместо публичной) приведет к тому, что правило будет создано, но работать не станет. Ниже приведена детальная инструкция, охватывающая все этапы от открытия консоли управления до финальной проверки доступности сервиса.
Подготовка к настройке сетевых правил в Windows 10
Перед тем как вносить изменения в системные настройки безопасности, необходимо убедиться, что у вас есть соответствующие права доступа. Для управления брандмауэром требуются права администратора системы. Если вы работаете под учетной записью обычного пользователя, система запросит подтверждение действия или пароль администратора при попытке открытия консоли управления. Игнорирование этого требования приведет к невозможности сохранения новых правил.
Также важно определить, какой именно тип трафика использует ваша конфигурация 1С на порту 9099. В большинстве случаев это протокол TCP, обеспечивающий надежную доставку пакетов данных, однако в некоторых специфических сценариях может потребоваться и UDP. Если вы не уверены в требованиях вашего сервера приложений, безопаснее создать правила для обоих типов протоколов, чтобы исключить вероятность блокировки служебных пакетов.
Рекомендуется перед началом работ зафиксировать текущее состояние сети. Это поможет в случае непредвиденных сбоев быстро откатить изменения. Вы можете сделать скриншот текущего списка правил или просто запомнить, какие порты были открыты ранее. Хотя создание нового правила редко влияет на существующие соединения, перестраховка в вопросах сетевой безопасности никогда не бывает лишней.
⚠️ Внимание: Открытие портов снижает уровень защищенности сервера от внешних атак. Убедитесь, что порт 9099 открыт только для доверенной локальной сети, а не для глобального интернета, если у сервера есть прямой выход во внешнюю среду.
Перед изменением настроек брандмауэра убедитесь, что на сервере 1С установлен статический IP-адрес. Если адрес изменится после перезагрузки маршрутизатора, настройки сети могут стать некорректными.
Запуск оснастки брандмауэра Windows в режиме повышенной безопасности
Стандартный интерфейс настроек Windows 10 часто скрывает расширенные возможности управления сетевым экраном. Для профессиональной настройки правил нам потребуется классическая оснастка MMC. Запустить её можно несколькими способами, но самый быстрый — использование диалогового окна выполнения команд. Нажмите комбинацию клавиш Win + R на клавиатуре, чтобы вызвать окно «Выполнить».
В появившемся текстовом поле необходимо ввести системную команду для вызова консоли управления брандмауэром. Введите следующую команду: wf.msc. После ввода нажмите клавишу Enter или кнопку «ОК». Если контроль учетных записей (UAC) запросит разрешение на внесение изменений, подтвердите действие. Откроется окно «Монитор брандмауэра Защитника Windows в режиме повышенной безопасности».
Интерфейс программы разделен на несколько логических блоков. Слева находится дерево навигации, где нас интересует раздел «Правила для входящих подключений». Именно здесь хранятся все настройки, определяющие, какой трафик разрешено пропускать внутрь компьютера. Центральная часть окна отображает список уже существующих правил, которые могут конфликтовать с новыми настройками или дублировать их.
Обратите внимание на нижнюю панель окна, где отображаются свойства выбранного правила или общая информация о состоянии брандмауэра для различных профилей сети: домен, частная и публичная. Убедитесь, что брандмауэр активен хотя бы в одном из профилей, который соответствует вашей текущей сетевой среде. Если брандмауэр полностью отключен, создание правил не имеет смысла, однако такая конфигурация крайне не рекомендуется для серверов 1С.
☑️ Проверка перед настройкой
Создание нового правила для входящего подключения
Процесс создания правила начинается с правой панели инструментов окна монитора брандмауэра. Найдите ссылку «Создать правило» и кликните по ней левой кнопкой мыши. Запустится мастер создания правила, который проведет вас через несколько этапов конфигурации. На самом первом шаге «Тип правила» необходимо выбрать пункт Для порта. Этот вариант позволяет настроить фильтрацию трафика на основе номера порта, что является наиболее точным методом для настройки 1С.
На следующем этапе «Протокол и порты» требуется указать детали соединения. Выберите переключатель TCP, так как веб-сервисы и основные службы 1С используют именно этот протокол для гарантированной доставки данных. В разделе «Локальные порты» выберите опцию «Определенные локальные порты» и введите в текстовое поле значение 9099. Если ваша инфраструктура требует также поддержки UDP, позже можно будет создать второе правило аналогичным образом.
Далее мастер предложит выбрать действие. Критически важно выбрать опцию Разрешить подключение. По умолчанию брандмауэр блокирует все входящие запросы, не подпадающие под существующие правила. Выбор пункта «Блокировать подключение» создаст явный запрет, что приведет к обратному эффекту. Опция «Разрешить подключение, если оно защищено» используется для IPSec-туннелей и в стандартных сценариях работы 1С обычно не требуется.
На этапе «Профиль» необходимо указать, к каким типам сетей применяется данное правило. Для сервера 1С, находящегося в офисе, обычно актуальны профили «Частная» и «Домен». Профиль «Публичная» следует выбирать с осторожностью, так как он применяется при подключении к незащищенным сетям (например, в кафе или аэропортах), где открытие портов базы данных недопустимо. Рекомендуется оставить галочки на «Частная» и «Домен», если сервер не имеет прямого выхода в интернет.
⚠️ Внимание: Никогда не открывайте порт 9099 для профиля «Публичная сеть», если сервер 1С имеет прямой доступ в интернет. Это может сделать вашу базу данных уязвимой для сканирования и атак злоумышленников.
Настройка имени и описания правила для удобного управления
Финальный этап мастера создания правила посвящен идентификации созданной записи. В поле «Имя» введите понятное описание, например, 1C Web Server Port 9099. Хорошее именование правил — залог легкого администрирования в будущем. Через полгода, когда вам или другому системному администратору потребуется проверить настройки, название «Правило 3» или «Новое правило» ни о чем не скажет, тогда как конкретное имя сразу укажет на назначение.
Поле «Описание» является необязательным, но крайне полезным инструментом документирования. Сюда можно внести дополнительную информацию: дату создания правила, имя ответственного администратора, ссылку на внутренний регламент или номер заявки в службу поддержки. Например: «Открыто для доступа веб-клиентов к базе Бухгалтерия, заявка №452». Это помогает поддерживать порядок в списке правил, который со временем может стать очень большим.
После заполнения всех полей нажмите кнопку «Готово». Новое правило немедленно появится в списке правил для входящих подключений в центральной части окна монитора брандмауэра. Оно будет активировано автоматически, и значок зеленой галочки рядом с названием подтвердит, что правило работает. Никакой перезагрузки сервера или перезапуска службы 1С для вступления изменений в силу обычно не требуется.
Если в списке уже существовало правило с таким же портом, но с действием «Блокировать», убедитесь, что ваше новое правило имеет более высокий приоритет или удалите старое блокирующее правило. Брандмауэр Windows обрабатывает правила последовательно, и первое совпадение (особенно блокирующее) может перебить ваше разрешение. Визуально проверьте список на наличие дублей или конфликтов.
Правило вступает в силу мгновенно после нажатия кнопки «Готово». Перезагрузка сервера не требуется, но может потребоваться переподключение клиентов 1С.
Проверка доступности порта и диагностика соединений
После настройки необходимо убедиться, что порт действительно открыт и принимает соединения. Самый простой способ проверки — использование утилиты командной строки telnet. Однако в современных версиях Windows 10 клиент Telnet по умолчанию отключен. Его можно активировать через панель управления в разделе «Компоненты Windows» или использовать альтернативные средства, такие как PowerShell.
Для проверки через PowerShell запустите консоль от имени администратора и введите команду: Test-NetConnection -ComputerName localhost -Port 9099. Если порт открыт, вы увидите результат TcpTestSucceeded: True. Если проверка выполняется с другого компьютера в сети, замените localhost на IP-адрес сервера 1С. Успешный тест подтверждает, что брандмауэр пропускает трафик.
Также можно воспользоваться утилитой netstat для просмотра активных прослушивающих портов на самом сервере. Введите команду netstat -an | find"9099". В выводе вы должны увидеть строку со статусом LISTENING для адреса 0.0.0.0:9099 или конкретного IP-адреса сервера. Отсутствие строки в списке может означать, что служба 1С не запущена или настроена на другой порт.
Если проверка не проходит, несмотря на созданное правило, проверьте наличие сторонних антивирусов. Сторонние решения безопасности (Kaspersky, ESET, Dr.Web) часто имеют собственные встроенные брандмауэры, которые игнорируют настройки Windows. В таком случае аналогичное правило необходимо создать в интерфейсе антивирусной программы.
| Параметр проверки | Команда / Действие | Ожидаемый результат |
|---|---|---|
| Статус порта (PowerShell) | Test-NetConnection -Port 9099 |
TcpTestSucceeded: True |
| Прослушивание порта | netstat -an | find"9099" |
Состояние LISTENING |
| Проверка извне | Подключение через 1С:Предприятие | Успешный запуск базы |
| Статус правила | Монитор брандмауэра | Зеленая галочка (Включено) |
Что делать, если Telnet не установлен?
В Windows 10 нажмите Пуск, введите"Включение компонентов Windows", найдите в списке"Клиент Telnet", поставьте галочку и нажмите ОК. После установки утилита будет доступна в командной строке.
Типичные ошибки и методы их устранения
Одной из частых проблем является ситуация, когда правило создано, но connection все равно сбрасывается. Часто причина кроется в профиле сети. Windows может классифицировать вашу локальную сеть как «Публичную», особенно при первом подключении кабеля или Wi-Fi. В этом случае правило, созданное только для «Частной» сети, работать не будет. Проверьте тип сети в параметрах Windows и при необходимости смените его на «Частная».
Другая распространенная ошибка — опечатка в номере порта. Ввод 9909 вместо 9099 визуально трудно заметить, но это полностью блокирует работу. Внимательно перепроверьте свойства созданного правила, дважды кликнув по нему в списке. Убедитесь, что в поле локального порта указано именно 9099, а не диапазон или другое число.
Также стоит учитывать, что некоторые конфигурации 1С используют динамические порты для дополнительных служб или кластера серверов. Если основной порт 9099 открыт, но клиенты жалуются на медленную работу или вылеты при определенных операциях, возможно, требуется открыть диапазон портов или конкретные порты для службы ragent (обычно 1540-1560).
Если вы используете виртуализацию (Hyper-V, VMware), убедитесь, что настройки сетевого адаптера виртуальной машины позволяют передавать трафик корректно. Режим сети NAT может скрывать порты виртуальной машины от физической сети, требуя дополнительной настройки проброса портов на уровне гипервизора, даже если внутри гостевой ОС брандмауэр настроен верно.
⚠️ Внимание: Интерфейсы и названия пунктов меню могут незначительно отличаться в разных сборках Windows 10 (Home, Pro, Enterprise) и после крупных обновлений системы. Всегда ориентируйтесь на суть действия, а не только на точное совпадение названий кнопок.
Используйте команду Get-NetFirewallRule в PowerShell для экспорта всех правил в текстовый файл. Это удобно для аудита настроек безопасности и поиска дубликатов.
Дополнительные вопросы по настройке сети для 1С
Нужно ли открывать порт 9099 для UDP протокола?
В большинстве стандартных конфигураций 1С:Предприятие для работы веб-клиента и основных сервисов достаточно только TCP. Однако, если вы используете специфические механизмы обнаружения серверов в локальной сети или службу лицензирования в определенном режиме, может потребоваться UDP. Рекомендуется сначала открыть только TCP, и если возникнут проблемы с видимостью сервера, добавить правило для UDP на тот же порт.
Как удалить созданное правило, если оно больше не нужно?
Откройте монитор брандмауэра (wf.msc), перейдите в раздел «Правила для входящих подключений». Найдите в списке правило с именем, которое вы задали (например,"1C Web Server Port 9099"). Кликните по нему правой кнопкой мыши и выберите пункт «Удалить». Подтвердите удаление. Изменения вступят в силу немедленно.
Почему 1С не подключается, даже если порт открыт?
Открытый порт гарантирует лишь возможность установления сетевого соединения. Если 1С не подключается, проблема может быть на уровне службы 1С:Предприятие (служба не запущена), неверного адреса сервера в списке баз, проблем с лицензированием или блокировки на уровне сетевого оборудования (роутера/свича). Проверьте логи сервера 1С для более детальной диагностики.
Можно ли открыть порт 9099 через командную строку?
Да, это можно сделать с помощью утилиты netsh. Команда выглядит так: netsh advfirewall firewall add rule name="1C Port 9099" dir=in action=allow protocol=TCP localport=9099. Этот способ удобен для скриптов автоматической развертки серверов, но требует запуска консоли от имени администратора.