Корректная работа системы 1С:Предприятие в локальной сети или через удаленный доступ напрямую зависит от грамотной настройки сетевых экранов и межсетевых экранов. Неправильно настроенные правила фильтрации трафика часто становятся причиной нестабильной работы базы, невозможности подключения пользователей или критических ошибок при запуске приложения. Администраторам необходимо точно знать, какие именно сетевые порты используются для обмена данными между клиентом, сервером приложений и системой управления базами данных.
В этой статье мы детально разберем список необходимых портов для различных режимов работы 1С, включая файловый и клиент-серверный варианты. Особое внимание будет уделено нюансам работы с MS SQL Server и PostgreSQL, а также настройке кластера серверов 1С. Понимание этих параметров позволит вам избежать большинства проблем с сетевым подключением и обеспечить безопасный доступ к данным.
Для начала определим, что настройка портов требуется не только на сервере, но и на рабочих станциях пользователей, если между ними установлен активный брандмауэр. Игнорирование этого этапа часто приводит к тому, что программа запускается, но не может найти базу данных или зависает на этапе авторизации.
Базовые порты для клиент-серверного режима
В архитектуре клиент-сервер взаимодействие происходит через центральный компонент — сервер 1С:Предприятия. По умолчанию для связи клиентских приложений с сервером используется диапазон портов 1540-1541. Это критически важный диапазон, который должен быть открыт для входящих и исходящих соединений на всех узлах сети, участвующих в обмене данными.
Если вы используете стандартную установку, то сервер 1С (rmngr) слушает порт 1541, а рабочие процессы (rphost) выделяют порты из диапазона, начиная с 1540. В некоторых конфигурациях с большим количеством одновременных подключений диапазон может быть расширен, но базовые значения остаются неизменными. Блокировка этого трафика делает невозможным запуск тонкого или толстого клиента.
Также следует учитывать, что при использовании веб-сервера для публикации базы (через IIS или Apache) добавляется необходимость открытия стандартных веб-портов. Обычно это порт 80 для HTTP и порт 443 для защищенного протокола HTTPS. Без этих настроек доступ к базе через браузер или по HTTP-протоколу будет заблокирован.
При настройке правил брандмауэра создавайте отдельные правила для исполняемых файлов rmngr.exe и rphost.exe, а не только для портов. Это повысит безопасность системы.
Однако для стабильной работы в корпоративной сети лучше жестко зафиксировать диапазон в файле конфигурации сервера. Это упростит задачу сетевого администратора при настройке правил фильтрации.
Настройка портов для СУБД (SQL Server и PostgreSQL)
Сервер 1С:Предприятия не хранит данные самостоятельно, он выступает посредником между клиентом и системой управления базами данных (СУБД). Поэтому, помимо портов самой платформы 1С, необходимо обеспечить беспрепятственный доступ к портам СУБД. Для Microsoft SQL Server стандартным является порт 1433.
Однако, если на сервере развернут именованный экземпляр SQL Server, ситуация усложняется. В этом случае используется динамическое выделение портов, и для первичного подключения необходим сервис Browser, работающий на UDP порту 1434. Рекомендуется для производственных баз использовать статические порты, чтобы упростить настройку межсетевых экранов.
Для СУБД PostgreSQL стандартный порт подключения равен 5432. Этот порт должен быть открыт для входящих соединений со стороны сервера 1С:Предприятия. Если база данных расположена на отдельном физическом сервере, правило должно разрешать трафик между IP-адресом сервера 1С и IP-адресом сервера БД.
- 🔹 Порт 1433 (TCP) — стандартный порт для MS SQL Server.
- 🔹 Порт 1434 (UDP) — необходим для разрешения имен именованных экземпляров SQL.
- 🔹 Порт 5432 (TCP) — стандартный порт для PostgreSQL.
- 🔹 Порт 1540-1541 (TCP) — основной диапазон для сервера 1С:Предприятие.
⚠️ Внимание: При использовании кластеризации SQL Server или репликации список портов может существенно расшириться. Всегда сверяйтесь с документацией вашей конкретной версии СУБД перед применением правил в продуктивной среде.
Не забывайте, что требования к сетевой инфраструктуре могут меняться в зависимости от обновлений платформы 1С и версий используемых СУБД. Рекомендуется периодически проверять официальные источники информации или регламенты вашей ИТ-службы на предмет изменений в сетевых требованиях.
Порты для файлового варианта и сетевого доступа
В файловом варианте работы 1С:Предприятие отсутствие сервера приложений упрощает схему, но накладывает свои требования к сетевому протоколу. Здесь взаимодействие происходит напрямую между рабочей станцией пользователя и файловой базой, расположенной на сетевом ресурсе. Основным протоколом для доступа к общим папкам в среде Windows является SMB.
Для корректной работы файловой базы необходимо открыть порт 445 (TCP). Этот порт используется для прямого размещения SMB поверх TCP/IP. В старых версиях Windows могли использоваться порты 137-139 (NetBIOS), но в современных сетях приоритет отдается именно 445 порту. Блокировка этого порта приведет к ошибке "Не найдено сетевое имя" или невозможности монопольной блокировки базы.
Кроме того, при работе с файловыми базами критически важна скорость и стабильность канала. Даже если порт открыт, но пакет потерян или задержан, 1С может выдать ошибку монопольного режима или повредить файл данных. Поэтому настройки QoS (качества обслуживания) на сетевом оборудовании для трафика порта 445 также играют важную роль.
netstat -an | find "445"Эта команда поможет вам проверить, слушает ли ваш сервер порт 445 и есть ли активные подключения по нему. Если порт не отображается в списке, возможно, служба "Сервер" (Server) в Windows остановлена или заблокирована на уровне групповых политик.
☑️ Проверка сетевого доступа к файловой базе
Специфика работы кластера серверов 1С
В высоконагруженных системах используется кластер серверов 1С, где управление распределено между несколькими узлами. В такой конфигурации появляется центральный сервер кластера (manager), который координирует работу рабочих процессов. Для взаимодействия внутри кластера используются те же порты 1540-1541, но логика их распределения становится сложнее.
Каждый рабочий процесс (rphost) в кластере занимает свой порт из выделенного диапазона. Если у вас настроено, например, 10 рабочих процессов на одном узле, им потребуется 10 свободных портов. При масштабировании кластера на несколько физических серверов необходимо открыть эти порты для взаимного доступа между всеми узлами кластера.
Особое внимание следует уделить порту реестра кластера, если он вынесен в отдельную службу, хотя чаще всего эта информация хранится в той же СУБД. Главное — обеспечить связность между менеджером кластера и всеми рабочими серверами. Разрыв связи между ними приведет к тому, что пользователи не смогут получить сеанс, даже если сервер приложений технически исправен.
| Компонент | Порт | Протокол | Назначение |
|---|---|---|---|
| Сервер 1С (менеджер) | 1541 | TCP | Регистрация и управление кластером |
| Рабочие процессы | 1540+ | TCP | Обработка запросов пользователей |
| Веб-сервер | 80 / 443 | TCP | Публикация базы по HTTP/HTTPS |
| MS SQL Server | 1433 | TCP | Доступ к данным СУБД |
| SMB (Файловый режим) | 445 | TCP | Доступ к сетевой папке |
При настройке кластера также стоит учитывать возможность использования балансировщиков нагрузки. В таких случаях порты открываются не на конкретном сервере, а на виртуальном IP-адресе балансировщика, который перенаправляет трафик на backend-серверы.
Диагностика и проверка открытых портов
После внесения изменений в настройки брандмауэра необходимо убедиться, что правила применяются корректно. Самый простой способ проверки — использование утилиты telnet или Test-NetConnection в PowerShell. Это позволит эмулировать попытку подключения к конкретному порту с рабочей станции пользователя.
Если соединение не устанавливается, проблема может быть не только в брандмауэре Windows, но и в настройках сетевого оборудования (маршрутизаторов, коммутаторов) или антивирусного ПО с модулем сетевого экрана. Часто антивирусы имеют собственные правила, которые перекрывают системные настройки.
Для глубокой диагностики можно использовать утилиту netstat с ключами -ano. Она покажет все активные подключения и порты, на которых система ожидает входящие соединения. Сопоставление PID процесса с диспетчером задач поможет понять, какое именно приложение занимает нужный порт.
Команда для проверки доступности порта в PowerShell
Используйте команду Test-NetConnection -ComputerName "IP_адрес_сервера" -Port 1541. Если результат TcpTestSucceeded равен True, значит порт доступен.
⚠️ Внимание: Никогда не оставляйте порты СУБД (1433, 5432) открытыми для доступа из глобальной сети Интернет без необходимости. Это создает критическую уязвимость для атак типа brute-force и утечки данных.
В случае возникновения проблем с подключением, попробуйте временно отключить брандмауэр на сервере (только в тестовой среде!) для локализации проблемы. Если после отключения защита 1С заработала, значит, ошибка именно в правилах фильтрации, а не в настройках самой платформы.
Безопасность и рекомендации по ограничению доступа
Открытие портов — это всегда компромисс между функциональностью и безопасностью. Просто открыть порты для всех адресов (0.0.0.0/0) является плохой практикой. Правила брандмауэра должны быть максимально строгими и разрешать трафик только от доверенных IP-адресов или подсетей.
Используйте групповые политики (GPO) для централизованного управления правилами брандмауэра в домене Active Directory. Это гарантирует, что на всех рабочих станциях и серверах будут применены единые стандарты безопасности. Избегайте ручной настройки на каждом компьютере, так как это ведет к рассинхронизации и ошибкам.
Регулярно проводите аудит открытых портов с помощью сканеров безопасности. Убедитесь, что нет лишних сервисов, слушающих сеть, и что порты 1С не доступны извне периметра организации без использования VPN или шлюзов удаленного доступа.
Принцип наименьших привилегий: открывайте доступ к портам 1С только для конкретных IP-адресов подсети пользователей, а не для всей сети целиком.
Помните, что безопасность 1С не ограничивается только сетевыми портами. Необходимо также контролировать права доступа внутри самой конфигурации, использовать надежные пароли для пользователей базы данных и регулярно обновлять платформу 1С:Предприятие до актуальных версий, закрывающих известные уязвимости.
Часто задаваемые вопросы (FAQ)
Можно ли изменить стандартные порты 1540-1541 на другие?
Да, порты сервера 1С можно изменить через консоль администрирования кластера серверов или путем редактирования файла конфигурации. Однако это потребует перенастройки всех правил брандмауэра и обновления ярлыков подключения у пользователей, где явно указан порт.
Почему 1С не подключается, хотя порт 1541 открыт?
Возможно, блокируется диапазон портов рабочих процессов (rphost), который начинается со 1540. Также проблема может быть в недоступности порта СУБД (1433 или 5432) со стороны сервера 1С, либо в настройках DNS.
Нужно ли открывать порты для обновления платформы 1С?
Для автоматического обновления через интернет серверу 1С требуется доступ к ресурсам компании 1С (обычно по HTTPS, порт 443). Для внутреннего обновления по локальной сети достаточно доступа к общей папке с дистрибутивом (порт 445).
Как проверить, какой порт занимает конкретная база 1С?
В списке баз данных в окне запуска 1С порт обычно не отображается явно для клиент-серверного варианта, так как используется стандартный. Увидеть активные соединения и занимаемые порты можно через консоль администрирования кластера серверов 1С.
Безопасно ли открывать порт 1433 для SQL Server в интернет?
Категорически не рекомендуется. Прямой доступ к порту СУБД из интернета подвергает данные высокому риску. Для удаленной работы следует использовать VPN, Terminal Server (RDP) или публикацию 1С через веб-сервер с HTTPS.