Корректная работа системы 1С:Предприятие в сетевом варианте напрямую зависит от грамотно настроенной инфраструктуры безопасности. Одним из самых частых препятствий при развертывании или модерсации системы становятся заблокированные сетевые порты. Когда администраторы сталкиваются с ошибкой «Не удалось соединиться с сервером» или процесс обновления конфигурации зависает на этапе загрузки файлов, первым делом необходимо проверить настройки межсетевого экрана.
Понимание того, какие порты использовать для обновления 1С, является критически важным навыком для системного администратора. Неправильная конфигурация правил фильтрации трафика может привести к тому, что клиентские рабочие места не увидят сервер обновлений, или сам сервер не сможет скачать дистрибутивы с сайта фирмы «1С». В этой статье мы детально разберем сетевые требования для различных сценариев обновления платформы и конфигураций.
Сетевое взаимодействие при обновлении платформы
Процесс обновления программного обеспечения 1С:Предприятие 8 может происходить по нескольким сценариям, каждый из которых предъявляет свои требования к сетевой инфраструктуре. Если вы используете автоматическое обновление через сервис 1С:ИТС, трафик идет напрямую с рабочих мест или выделенного сервера обновлений во внешнюю сеть. В этом случае критически важно обеспечить доступ к конкретным доменным именам и портам протокола HTTPS.
Для стандартного веб-протокола защищенной передачи данных обычно используется порт 443. Однако, в зависимости от настроек прокси-сервера вашей организации или специфики работы антивирусного шлюза, могут потребоваться дополнительные исключения. Брандмауэр Windows или сторонние решения вроде Kaspersky Endpoint Security часто блокируют исходящие соединения от исполняемых файлов 1cestart.exe или rmngr.exe, если они не добавлены в белый список.
Следует также учитывать, что обновление может инициироваться не только пользователем, но и фоновыми службами. Сервер 1С:Предприятия (сервер процессов ragent.exe) также может обращаться к внешним ресурсам для проверки лицензий или загрузки справочной информации, если это предусмотрено конфигурацией. Блокировка таких запросов может привести к нестабильной работе кластера серверов.
Перед изменением правил брандмауэра обязательно создайте точку восстановления системы или экспортируйте текущие правила фильтрации, чтобы быстро откатить изменения в случае сбоя сети.
⚠️ Внимание: Список доменов и IP-адресов, с которых загружаются обновления, может меняться фирмой «1С». Рекомендуется периодически сверять актуальные адреса в разделе технической поддержки на официальном портале ИТС.
Порты сервиса обновлений конфигураций
В крупных организациях обновление конфигураций часто централизовано через сервис обновлений конфигураций (СУК). Этот механизм позволяет администратору выкладывать новые версии обработок и конфигураций в общую папку или на специальный HTTP-сервер, откуда тонкие клиенты забирают их автоматически. Для работы этого механизма необходимо открыть доступ к файловой шаре или веб-серверу.
Если обновление распространяется через общую папку SMB, то используются стандартные порты файлового обмена. В современных версиях Windows, начиная с Vista и Server 2008, основной порт для SMB — 445. Ранее использовался порт 139, но сейчас он актуален только для очень старых систем или специфических сценариев совместимости. Убедитесь, что этот порт открыт между сервером обновлений и клиентскими машинами.
При использовании HTTP-сервера для распространения обновлений (механизм, описанный в документации как «Обновление через HTTP»), стандартным является порт 80 для незащищенного соединения и порт 443 для защищенного. Если вы настроили кастомный порт в свойствах веб-сервера (например, IIS или Apache), то именно этот номер необходимо указать в правилах исключения брандмауэра.
- 🔹 Порт
445(TCP) — необходим для доступа к общим папкам с дистрибутивами обновлений по протоколу SMB. - 🔹 Порт
80или443(TCP) — требуется, если клиенты скачивают обновления через встроенный веб-сервер 1С или внешний IIS/Apache. - 🔹 Порт
1540(TCP) — стандартный порт менеджера кластера, через который может передаваться информация о доступных версиях конфигураций. - 🔹 Динамический диапазон портов — для передачи самих файлов данных между клиентом и сервером 1С.
Порты сервера 1С:Предприятия и кластера
Серверная часть платформы 1С:Предприятие имеет сложную архитектуру взаимодействия процессов. Основным процессом является агент сервера (ragent), который слушает входящие соединения. По умолчанию этот процесс использует порт 1540 (TCP). Через этот порт клиенты и административные утилиты подключаются к кластеру серверов для получения списка информационных баз.
После подключения к агенту сервера, клиент перенаправляется на конкретный рабочий процесс (rphost), который обслуживает сессию пользователя. Порты для этих рабочих процессов выделяются динамически из диапазона, заданного в настройках кластера. По умолчанию диапазон может быть любым свободным, что создает проблемы для настройки брандмауэра. Администраторам рекомендуется жестко задать диапазон портов в свойствах кластера.
Для того чтобы обновление конфигурации, хранящейся на сервере, прошло успешно, клиентское приложение должно иметь полный доступ не только к порту менеджера, но и к портам рабочих процессов. Если в момент обновления (компиляции модулей, пересчета итогов) соединение с рабочим процессом будет разорвано из-за блокировки порта, операция завершится ошибкой.
| Процесс / Служба | Порт (по умолчанию) | Протокол | Назначение |
|---|---|---|---|
| Агент сервера (ragent) | 1540 | TCP | Управление кластером, вход в систему |
| Менеджер кластера | 1541 | TCP | Внутренняя репликация (в некоторых конфигурациях) |
| Рабочие процессы (rphost) | 1560-1590 | TCP | Обработка запросов пользователей и фоновых заданий |
| Веб-сервер 1С | 80 / 443 | TCP | Публикация баз в веб-среде и обновление через HTTP |
Жесткая привязка диапазона портов для рабочих процессов (rphost) в настройках кластера серверов значительно упрощает настройку правил брандмауэра и повышает стабильность сети.
Настройка брандмауэра Windows для 1С
В операционных системах семейства Windows настройки сетевой безопасности управляются через оснастку «Монитор брандмауэра Защитника Windows». Для добавления правил необходимо действовать от имени администратора. Сначала создаются правила для входящих подключений, разрешающие трафик на порты сервера 1С.
Затем необходимо настроить правила для исходящих подключений, если политика безопасности вашей организации запрещает свободный доступ в интернет по умолчанию. В этом случае нужно разрешить выполнение программ 1cestart.exe, 1cv8.exe и updater.exe (если используется отдельный сервис обновлений) устанавливать соединения на порт 443 с любыми удаленными адресами.
Не забывайте, что при обновлении самой платформы 1С:Предприятие установщик может пытаться скачать дополнительные компоненты или проверки лицензий. Если этот процесс блокируется, установка может пройти не полностью. В корпоративной среде для таких задач часто выделяют отдельный сервер-шлюз, который имеет открытый доступ в сеть, а остальные машины обновляются локально от него.
netsh advfirewall firewall add rule name="1C Server Agent" dir=in action=allow protocol=TCP localport=1540Эта команда, введенная в командной строке с правами администратора, быстро создаст правило для входа на порт агента сервера. Аналогичным образом можно добавить правила для диапазона рабочих процессов, указав параметр localport=1560-1590. Использование командной строки позволяет автоматизировать настройку безопасности на парке из сотен машин.
⚠️ Внимание: Открытие портов на уровне операционной системы не отменяет правил на сетевом оборудовании (маршрутизаторах, межсетевых экранах периметра). Проверьте настройки Cisco, Mikrotik или Fortinet, если сервер находится в отдельном сегменте сети.
Диагностика проблем с подключением
Если после настройки портов обновление 1С все равно не проходит, необходимо провести диагностику сетевого пути. Стандартной утилитой для проверки доступности порта является telnet или более современный Test-NetConnection в PowerShell. Попробуйте выполнить команду подключения к серверу обновлений или серверу 1С с клиентской машины.
Частой ошибкой является ситуация, когда порт открыт на сервере, но заблокирован на промежуточном сетевом устройстве или на самом клиенте антивирусом. В логах сервера 1С (файлы в каталоге logs папки установки сервера) можно найти записи об отклоненных соединениях, которые помогут локализовать проблему.
Также стоит проверить, не блокирует ли соединение функция «Защита от атак в сети» в антивирусном ПО. Иногда легитимный сетевой сканер 1С или процесс массовой рассылки обновлений интерпретируется защитным ПО как подозрительная активность из-за большого количества одновременных соединений.
Как проверить открыт ли порт без Telnet?
В PowerShell используйте команду: Test-NetConnection -ComputerName"имя_сервера" -Port 1540. Если результат"TcpTestSucceeded: True", значит порт доступен.
Безопасность и рекомендации по ограничению доступа
Открытие портов — это всегда компромисс между удобством работы и безопасностью. Никогда не используйте принцип «разрешить все» (Any/Any) для серверов 1С. Старайтесь максимально сузить круг адресов, которым разрешен доступ. Например, для порта 1540 укажите в правиле брандмауэра не «Любой IP», а конкретную подсеть отдела бухгалтерии или серверов приложений.
Для трафика обновлений через интернет используйте прокси-сервер с авторизацией. Это позволит вести журнал того, кто и когда скачивал обновления, а также кэшировать файлы, экономя интернет-канал. Настройка прокси выполняется в самом клиенте 1С или в настройках операционной системы, которые подхватываются приложением.
Регулярно проводите аудит открытых портов с помощью сканеров безопасности. Убедитесь, что порты, которые были открыты временно для миграции или тестирования, были закрыты после завершения работ. Забытые правила в брандмауэре — одна из самых распространенных причин уязвимостей в инфраструктуре 1С.
☑️ Аудит безопасности портов 1С
Какой порт используется для обновления через Интернет?
Для загрузки обновлений платформы и конфигураций с серверов фирмы «1С» используется стандартный защищенный порт 443 (TCP) протокола HTTPS. В редких случаях, при использовании устаревших схем или специфических зеркал, может потребоваться порт 80, но поддержка HTTP постепенно прекращается в пользу защищенных соединений.
Что делать, если порт 1540 занят другой программой?
Если порт 1540 занят, сервер 1С не запустится. Вы можете изменить порт агента сервера в реестре Windows или через утилиту настройки кластера, а затем обновить соответствующие правила в брандмауэре. Однако рекомендуется сначала выяснить, какое приложениеет порт (через netstat -ano), и корректно завершить его работу или перенастроить.
Нужно ли открывать порты для файлового варианта 1С?
При файловом варианте работы сервер 1С:Предприятие не используется. Тем не менее, для доступа к базе данных, лежащей в общей папке, необходим доступ по протоколу SMB. Это требует открытия порта 445 (TCP) между клиентскими машинами и файловым сервером. Для загрузки обновлений из интернета порты 80/443 также должны быть доступны.
Как узнать, какие порты использует мой кластер серверов?
Запустите утилиту «Администрирование серверов 1С:Предприятия» (mmc-оснастка). Раскройте ветку вашего кластера, перейдите в свойства рабочих процессов. Там будет указан диапазон портов, выделенный для rphost. Если там стоит «0» или диапазон слишком широк, рекомендуется задать конкретные значения, например, от 1560 до 1570.
Блокирует ли антивирус обновление 1С?
Да, некоторые антивирусные решения могут блокировать попытку исполняемых файлов 1С (1cv8.exe) модифицировать файлы конфигурации или скачивать данные из сети, считая это подозрительным поведением. Добавьте папку установки 1С и каталог с базами данных в исключения антивируса, а также разрешите сетевую активность для процессов платформы.