Firewall-Konfiguration ab Windows Server 2008 R2 für Parallels RAS

Um Parallels RAS auf Windows Server 2008 R2 und neueren Versionen bis hin zu Windows Server 2019 mit aktivierter Windows-Firewall zu nutzen, muss eine Reihe von Ports geöffnet werden, damit die Parallels-RAS-Komponenten kommunizieren können.

Liste der TCP- und UDP-Ports, die von Parallels RAS verwendet werden

Die Abbildung unten zeigt die häufigsten Ports, die von der Parallels RAS-Komponente zur Kommunikation verwendet werden, wenn sie auf verschiedenen Rechnern ausgeführt wird:

Parallels RAS Diagram

Abbildung 1

Hinweis: In Abbildung 1 impliziert das „>>“ die Richtung. Wenn sich Server A mit Server B verbindet, zeigt er „A >> B“ an. Daher sollten Sie die folgenden Ports öffnen, damit die Parallels RAS-Komponenten funktionieren:

Gateway 

TCP Ports 80 und 443

UDP Port 20000

Publishing Agent 

TCP Ports 20001, 20002 und 20003

TS Agent 

TCP Port 30004

UDP Port 30004

VDS Agent 

TCP Port 30007

UDP Port 30007

Eine detaillierte und vollständige Liste aller Ports, die die Parallels-RAS-Komponenten zur Kommunikation verwenden, finden Sie im Abschnitt Port-Referenz im Parallels Remote Application Server Administrator’s Guide.

Starten Sie noch heute Ihre kostenlose 30-Tage-Testversion von Parallels RAS!

Standardkonfiguration der Windows-Server-Firewall

Die Windows-Firewall ist bei allen Profilen auf einem Windows-Server-Betriebssystem standardmäßig aktiviert. Die Standardkonfiguration hat folgende Regeln:

– Eingehende Verbindungen, die nicht einer Regel entsprechen, werden blockiert.
– Ausgehende Verbindungen, die nicht einer Regel entsprechen, sind zulässig.

Die Konfiguration der Windows-Firewall ist bereits so eingestellt, dass alle ausgehenden Verbindungen erlaubt sind, daher sollten nur Ports für eingehende Verbindungen geöffnet werden. Diese müssen in den „Eingehenden Regeln“ konfiguriert werden, wie unten erklärt wird.

Konfiguration der Windows-Firewall

Es gibt drei verschiedene Möglichkeiten, Ports in Windows Server 2008 und höher zu öffnen. Sie können dies mit einer der beiden Methoden tun:

Öffnen von Ports auf der Windows Server-Firewall über die GUI

Um einen Port in der Firewall mit Hilfe der GUI in Windows Server 2008 aufwärts zu öffnen, führen Sie die folgenden Schritte aus:

1.Melden Sie sich mit einem Administrator-Konto an.

2.Klicken Sie auf Start > Verwaltungswerkzeuge > Windows-Firewall mit erweiterter Sicherheit

Windows Firewall

Abbildung 2

3. Klicken Sie links von der MMC auf Inbound Rules (Abbildung 3) und dann auf New Rule rechts von der MMC (Abbildung 4).

Inbound Rules

Abbildung 3 und 4                                                   

Es gibt fünf Schritte, um einen Port zu öffnen und eingehende Verbindungen mit dem Assistenten zu akzeptieren:

In diesem Beispiel werden wir den TCP-Port 20002 auf Servern öffnen, auf denen die Rolle des Parallels RAS Publishing Agents ausgeführt wird:

4.Abschnitt „Regeltyp“ – wählen Sie „Port“ und klicken Sie auf „Weiter“.

Windows Server

5. Abschnitt Protokoll und Anschlüsse – wählen Sie „TCP“ als Protokolltyp und geben Sie „20002“ im Eingabefeld „Spezifische lokale Anschlüsse“ ein:
Windows Server

6. Abschnitt Aktion – wählen Sie „Verbindung zulassen“ und klicken Sie auf „Weiter“.
Windows Server 2008

7. Abschnitt Profil – wählen Sie alle drei Optionen und klicken Sie auf „Weiter“.  Wenn Sie die Verbindung auf ein bestimmtes Profil beschränken möchten, wählen Sie nur die Profile aus, die für Ihre Einrichtung geeignet sind. Für dieses Beispiel werden wir den Port auf allen Profilen öffnen.

Windows Server

8. Namensbereich – geben Sie einen „Namen“ für diese Regel ein. Es wird empfohlen, die Portnummer im Namen aufzuführen, damit die Regel leicht erkennbar ist. Die neue Regel könnte z.B. „Pub_Agent_20002_IN“ heißen. Klicken Sie auf „Fertigstellen“, wenn Sie fertig sind.
Windows Server

Wiederholen Sie das obige Verfahren für jeden weiteren Port und/oder jedes weitere Protokoll, das Sie in jedem Server öffnen möchten.

Öffnen von Ports an der Windows Server-Firewall über die Befehlszeile (netsh)

Um einen Port an der Windows-Firewall mit der netsh-Befehlszeile zu öffnen, gehen Sie wie folgt vor:

  1. Melden Sie sich mit einem Administratorkonto beim Server an.
  2. Führen Sie die Eingabeaufforderung als Administrator aus.
  3. Führen Sie den folgenden Befehl aus, um den TCP-Port 20002 auf den Servern zu öffnen, auf denen die Rolle des Publikationsagenten ausgeführt wird:

Command lineIm Folgenden wird das Format des netsh-Befehls erläutert:
Command line

Hinweis: Standardmäßig öffnet netsh den angegebenen Port auf allen Profilen. Wenn Sie ein bestimmtes Profil angeben möchten, verwenden Sie den Profilparameter: profile=public|private|domain

Um weitere Ports zu öffnen, wiederholen Sie das obige Verfahren für jeden weiteren Port und/oder jedes Protokoll, das Sie in jedem Server öffnen möchten.

Öffnen von Ports an der Windows-Firewall mit PowerShell

Um einen Port in der Windows-Firewall mit PowerShell-Befehlen zu öffnen, gehen Sie wie folgt vor (gilt nur für 2012 R2 und folgende):

  1. Melden Sie sich mit einem Administratorkonto an.
  2. Führen Sie die Windows PowerShell als Administrator aus.
  3. Führen Sie den folgenden Befehl aus, um den TCP-Port 20002 auf den Servern zu öffnen, auf denen die Rolle des Publikationsagenten ausgeführt wird:

Windows Server

Im Folgenden wird das Format des Befehls New-NetFirewallRule PowerShell erklärt:

Windows Server

Hinweis: Standardmäßig öffnet New-NetFirewallRule den angegebenen Port in allen Profilen. Um ein bestimmtes Profil anzugeben, fügen Sie den Parameter -Profile mit einer der folgenden Optionen zum Befehl hinzu:

-Profile=öffentlich|privat|domäne

Wiederholen Sie das obige Verfahren für jeden weiteren Port und/oder jedes weitere Protokoll, das Sie in jedem Server öffnen möchten.

So prüfen Sie, ob der Port offen ist

Um zu überprüfen, ob der Port offen ist oder nicht, müssen Sie Telnet aktivieren, das bei Windows Server 2008, Windows Server 2012, Windows Server 2016 und Windows Server 2019 standardmäßig nicht installiert ist. Die einfachste Art, den Telnet-Client zu installieren, ist über die Befehlszeile. Und zwar folgendermaßen:

  1. Starten Sie die Eingabeaufforderung als Administrator
  2. Führen Sie den nachstehenden Befehl aus:

dism /Online /Enable-feature /FeatureName:TelnetClient

Sie können Telnet auch über GUI aktivieren, wenn Sie den Schritten folgst, die unter diesem Link angeführt sind.

  1. Als nächstes prüfen Sie, ob ein Port offen ist, indem Sie den Befehl im unten angeführten Format eingeben:

telnet [IP-Adresse] [Port]

In der obigen Befehlsspezifikation ist die IP-Adresse die IP-Adresse des Servers, der Parallels RAS hostet. Gleichzeitig ist der Port die Portnummer, die in diesem Fall 20002 sein könnte. Sie können die IP-Adresse des lokalen Servers überprüfen, indem Sie den untenstehenden Befehl eingeben:

ipconfig

Wenn Sie zum Beispiel den obigen Befehl ausführen und feststellen, dass Ihre IP-Adresse 173.20.39.40 lautet, können Sie mit dem folgenden Befehl überprüfen, ob ein Port 20002 offen ist oder nicht:

telnet 173.20.39.40 20002

Wenn Sie einen leeren Bildschirm sehen, bedeutet das, dass der Port 20002 auf dem Server offen ist, also, dass der Test erfolgreich ist. Wenn jedoch „Verbindung wird hergestellt …“ oder eine Fehlermeldung erscheint, bedeutet das, dass Port 20002 auf dem Server nicht geöffnet ist.

Starten Sie noch heute Ihre kostenlose 30-Tage-Testversion von Parallels RAS!

Referenzen:

Windows Server 2012 Firewall | https://support.rackspace.com/how-to/managing-the-windows-server-2012-firewall/

Windows Server 2008 R2, 2012 Firewall | https://technet.microsoft.com/en-us/library/cc753558(v=ws.11).aspx

Opening ports in the Windows Server firewall | https://technet.microsoft.com/en-us/library/ms345310(v=sql.100).aspx

Fasthosts Windows Server Firewall | https://help.fasthosts.co.uk/app/answers/detail/a_id/2032/~/setup-a-windows-server-firewall

Rackspace | https://support.rackspace.com/how-to/managing-the-windows-server-2012-firewall/

ORIGINAL – Englische Version: https://www.parallels.com/blogs/ras/configuring-windows-server-firewall-for-parallels-ras/