Jak skonfigurować zaporę w Windows Server, aby zezwolić na ruch sieciowy dla klastrów Failover i systemów wysokiej dostępności
Jak skonfigurować zaporę w Windows Server, aby zezwolić na ruch sieciowy dla klastrów Failover i systemów wysokiej dostępności
W środowiskach IT, w których stosuje się Windows Server do zarządzania klastrami Failover i rozwiązaniami wysokiej dostępności (HA – High Availability), poprawna konfiguracja zapory sieciowej ma kluczowe znaczenie. Błędne ustawienia mogą prowadzić do problemów z komunikacją między węzłami klastra, co wpływa na stabilność i wydajność systemu.
W tym artykule omówimy, jak skonfigurować zapory Windows Defender oraz inne rozwiązania zabezpieczeń, aby umożliwić prawidłowe funkcjonowanie klastrów i systemów HA w Windows Server.
1. Rola zapory sieciowej w klastrach Windows Server
Zapora sieciowa w Windows Server pełni funkcję ochronną, ale musi jednocześnie umożliwiać poprawną komunikację między serwerami w klastrze. W szczególności, wymagane są otwarte porty dla:
- Komunikacji między węzłami klastra
- Zarządzania klastrem
- Replikacji danych
- Usług związanych z wysoką dostępnością
Bez odpowiednich reguł zapory Windows Defender Firewall, serwery nie będą w stanie wymieniać informacji, co może prowadzić do awarii klastra.
2. Wymagane porty dla klastra Failover w Windows Server
Aby zapewnić prawidłową komunikację klastra, należy otworzyć odpowiednie porty w zaporze. Oto lista wymaganych portów dla klastra Failover:
| Usługa | Port | Protokół |
|---|---|---|
| RPC (Remote Procedure Call) | 135 | TCP |
| SMB (Server Message Block) | 445 | TCP |
| Komunikacja klastra Failover | 3343 | UDP |
| WinRM (Zdalne zarządzanie) | 5985, 5986 | TCP |
| Replikacja pamięci masowej | 443, 7000-7020 | TCP/UDP |
| Synchronizacja czasu NTP | 123 | UDP |
Dodatkowo, w zależności od wykorzystywanych aplikacji HA, mogą być wymagane inne porty.
3. Konfiguracja zapory w Windows Server dla klastra Failover
3.1. Ręczna konfiguracja zapory przy użyciu interfejsu GUI
Jeśli chcesz ręcznie dodać reguły do zapory Windows Defender Firewall, wykonaj poniższe kroki:
- Otwórz Menedżera serwera i przejdź do Narzędzia → Zapora Windows Defender z zabezpieczeniami zaawansowanymi.
- Wybierz Reguły przychodzące i kliknij Nowa reguła.
- Wybierz Port, a następnie kliknij Dalej.
- Wybierz TCP lub UDP, wprowadź wymagane porty (np. 3343, 445, 5985) i kliknij Dalej.
- Wybierz Zezwól na połączenie i kliknij Dalej.
- Zaznacz odpowiednie profile sieciowe (Domenowy, Prywatny, Publiczny).
- Nazwij regułę np. „Cluster Failover Ports” i zakończ konfigurację.
Powtórz proces dla wszystkich wymaganych portów.
3.2. Automatyzacja konfiguracji zapory za pomocą PowerShell
Zamiast konfigurować zaporę ręcznie, można użyć PowerShell do dodania wymaganych reguł w sposób automatyczny. Poniższy skrypt utworzy reguły dla klastrów:
# Otwieranie portów dla klastra Failover
New-NetFirewallRule -DisplayName "Cluster RPC" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Allow
New-NetFirewallRule -DisplayName "Cluster SMB" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Allow
New-NetFirewallRule -DisplayName "Cluster Communication" -Direction Inbound -Protocol UDP -LocalPort 3343 -Action Allow
New-NetFirewallRule -DisplayName "Cluster Management" -Direction Inbound -Protocol TCP -LocalPort 5985 -Action Allow
New-NetFirewallRule -DisplayName "Cluster NTP" -Direction Inbound -Protocol UDP -LocalPort 123 -Action Allow
Aby sprawdzić, czy reguły zostały dodane poprawnie, użyj:
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Cluster*" }
4. Konfiguracja dostępu wychodzącego dla klastrów
Domyślnie, zapora w Windows Server blokuje niektóre rodzaje ruchu wychodzącego. Aby zapewnić poprawne działanie klastra, należy dodać wyjątki także dla reguł wychodzących.
4.1. Dodanie reguł wychodzących ręcznie
- W Zaporze Windows Defender przejdź do Reguły wychodzące.
- Kliknij Nowa reguła → Port → Dalej.
- Wybierz TCP lub UDP, wprowadź wymagane porty.
- Zezwól na połączenie, przypisz do odpowiednich profili sieciowych i nadaj nazwę regule.
4.2. Automatyzacja za pomocą PowerShell
New-NetFirewallRule -DisplayName "Cluster Outbound SMB" -Direction Outbound -Protocol TCP -LocalPort 445 -Action Allow
New-NetFirewallRule -DisplayName "Cluster Outbound RPC" -Direction Outbound -Protocol TCP -LocalPort 135 -Action Allow
5. Testowanie poprawności konfiguracji
Po skonfigurowaniu zapory warto zweryfikować, czy wszystkie wymagane porty są otwarte. Można to zrobić przy użyciu komendy PowerShell:
Test-NetConnection -ComputerName <Nazwa-Serwera> -Port 3343
Alternatywnie można użyć narzędzia telnet:
telnet <Adres-IP-Serwera> 3343
Jeśli połączenie nie powiedzie się, sprawdź reguły zapory i upewnij się, że ruch sieciowy nie jest blokowany.
6. Dodatkowe środki bezpieczeństwa
Oprócz otwarcia wymaganych portów, warto wdrożyć dodatkowe mechanizmy zabezpieczeń:
- Segmentacja sieci – Oddzielenie ruchu klastrowego od ruchu użytkowników.
- Zasady dostępu – Ograniczenie komunikacji tylko do zaufanych hostów.
- Monitorowanie logów zapory – Można to zrobić poprzez wbudowane funkcje Windows Event Viewer.
- Blokowanie nieautoryzowanego dostępu – Można użyć Microsoft Defender for Servers do analizy ruchu.
Podsumowanie
Skuteczna konfiguracja zapory sieciowej w Windows Server jest kluczowa dla prawidłowego działania klastrów Failover i systemów wysokiej dostępności. Odpowiednie otwarcie portów oraz zastosowanie reguł zarówno dla ruchu przychodzącego, jak i wychodzącego pozwala uniknąć problemów z komunikacją między serwerami. Automatyzacja procesu za pomocą PowerShell znacznie ułatwia zarządzanie konfiguracją w większych środowiskach IT.
Automatyzacja Zarządzania Poprawkami Bezpieczeństwa w Windows Server: WSUS vs. Chmurowe Rozwiązania Zarządzanie poprawkami bezpieczeństwa (patch management) to jeden z najważniejszych, Czytaj dalej
🔐 Zarządzanie kluczami odzyskiwania BitLocker w środowisku Windows Server Bezpieczeństwo danych w organizacji zaczyna się od odpowiedniego szyfrowania. BitLocker Drive Czytaj dalej
