Comment faire pour configurer un pare-feu pour l'accès MSMQ

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 183293
Résumé
Cet article décrit comment faire pour configurer un pare-feu pour autoriser l'accès Internet à Microsoft Message Queue Server (MSMQ). Cet article décrit les effets des restrictions de port différent.

Pour la sécurité, utilisation de la messagerie HTTP/HTTPS qui est disponible dans MSMQ 3.0 en tant que solution pour la messagerie avec MSMQ à travers des pare-feu, plutôt que de façon statique en ouvrant les ports qui sont détaillées dans cet article.
Plus d'informations
Pour plus d'informations sur les ports utilisés par MSMQ, consultez l'article suivant dans la Base de connaissances Microsoft :
178517 INFO : TCP, UDP et Ports RPC utilisés par MSMQ
Terminologie utilisée dans les exemples suivants :
DC = client dépendant
IDC = client indépendant
Serveur = tous les installations de serveur MSMQ
MQIS = banque d'informations de file d'attente
RPC = appel de procédure distante

Exemple 1: Envoyer seulement un accès Minimal pour IDC et le serveur

Au minimum, vous devez autoriser le trafic entrant à destination du port TCP 1801. Il s'agit du port via lequel IDCs et les serveurs envoient des messages. IDCs et serveurs également envoient des paquets internes MSMQ pour établir des sessions et ainsi de suite. Contrôleurs de domaine n'utilisent pas ce port.

Si le trafic est limité à ce port, à l'extérieur de clients peuvent uniquement envoyer des messages et peuvent uniquement le faire à l'aide d'un nom de format direct. Le MQIS n'est pas disponible sur ce port, donc les appels consulter le MQIS échouera. Cela inclut des recherches, file d'attente ouverte avec un nom de format non direct et ainsi de suite. Notez que le routage MSMQ ne sert pas dans ce cas. Le client doit être en mesure de contacter le Gestionnaire de file d'attente distante directement sur ce port.

Exemple 2: Envoyer complet accès d'IDC, les opérations de MQIS

Si vous autorisez également le trafic entrant sur les ports TCP 135, 2101 et le port UDP 3527, les paquets qui demande des opérations impliquant le MQIS (par exemple, file d'attente de créer, ouvrir (pour send) de la file d'attente) avec un nom de format direct non autorisés. Le port 135 est le port RPC découverte, permettant de découvrir les ports pour les interfaces de gestionnaire de file d'attente différente. Port 2101 transporte le trafic MQIS. En autorisant le trafic TCP port 3527 est nécessaire pour un fonctionnement complet et efficace entre les responsables de la file d'attente. Gestionnaires de file d'attente tentent de ping mutuellement sur ce port avant d'ouvrir une session. Notez que le Gestionnaire de file d'attente n'est pas un contrôleur de domaine. Cette fonctionnalité est effectuée par le serveur au nom du contrôleur de domaine.

Un des avantages est que les messages peuvent être envoyés aux files d'attente qui sont recherchées et ouverts avec direct non noms de forme et par conséquent sont routés à travers l'entreprise MSMQ vers leur file d'attente de destination.

Exemple 3: Envoi-réception plein accès

Le trafic sur les ports 2103 et 2105 permet les IDCs en dehors de lire à partir de files d'attente sur le serveur et à partir des ordinateurs de son réseau connecté. Cela permet également d'envoyer recevoir de contrôleurs de domaine. N'envoyer ou de recevoir à partir d'un contrôleur de domaine n'est possible que si ces ports sont ouverts.

Ports supplémentaires

En supposant que les paquets réseau de multidiffusion peuvent atteindre le pare-feu, le trafic vers le port de protocole UDP (User Datagram) 1801 permet des clients indépendants à trouver et/ou à confirmer leur contrôleur de site au démarrage, mais aussi de détecter un contrôleur de site interrompu et prendre des mesures pour découvrir une nouvelle.

Remarque : 2xxx de Ports ne sont pas forcément résolus. Pour plus d'informations sur ce problème, reportez-vous à l'article de la Base de connaissances cité plus haut.

Avertissement : Cet article a été traduit automatiquement.

Propiedades

Id. de artículo: 183293 - Última revisión: 06/21/2015 01:23:00 - Revisión: 3.0

  • kbproductlink kbhowto kbmt KB183293 KbMtfr
Comentarios