• No results found

CARD M5 Klient får inte kontakt med CARD M5 Server

In document R-CARD M5 Installera R-CARD M5 (Page 98-137)

BILAGA 8: Felsökning

R- CARD M5 Klient får inte kontakt med CARD M5 Server

R-CARD M5 Klient R-CARD M5 Klient

!

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Sammanställning av åtgärder

Om… Åtgärd

R-CARD M5 ska köras i ett distribuerat system.

Eller

R-CONTROL, Planritningsverktyget, AdminBin eller ODM ska köras (även om alla programdelar installerats på samma dator).

Sätta DCOM-rättigheter i nätverk mha

programmet Administrera M5-databaser – se sidan 100. (Sköts normalt av installations-programmet.)

Tjänsten RaServiceHost körs via port 8090, och det är i konflikt med andra program på datorn.

Ändra port för R-CARD M5 Service Host och R-CARD M5 Klient – se sidan 103.

Inställningarna för DCOM-säkerhet behöver ändras manuellt

serverdatorn.

Aktivera manuella inställningar på serverdatorn – se sidan 105.

Ge DCOM åtkomstbehörigheter (access permissions) – sidan 105.

Ge DCOM behörighet att starta och aktivera (launch and activation permissions) – sidan 107.

Ange verifieringsnivå (authentication level) för RaServer – sidan 109.

Inställningarna för DCOM-säkerhet behöver ändras manuellt i

klientdatorerna.

Ange manuella inställningar för DCOM-säkerhet i klientdatorer – se sidan 109.

Windows brandvägg är aktiv och inställningarna behöver ändras manuellt påserverdatorn, t.ex. för att installationsprogrammet inte lyckades (eller inte fick) ställa in dem.

Öppna för R-CARD M5 Server och R-CARD M5 Service Host – se sidan 112.

Öppna port 135 (DCOM) – sidan 113.

Öppna port 8090 (R-CARD M5 Service Host) – sidan 115.

Windows brandvägg är aktiv och inställningarna behöver ändras manuellt i klientdatorerna.

Öppna för R-CARD M5 Arbetsstation och dess tilläggsmoduler – sidan 116.

Öppna port 135 (DCOM) – sidan 116

Grupp policy ska användas till

Windows-brandvägg med avancerad säkerhet.

Kontrollera att regeln för inkommande trafik COM+-nätverksåtkomst (DCOM-In) finns med – se sidan 119.

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Om… Åtgärd

Datorerna är åtskilda av en extern brandvägg.

Konfigurera den externa brandväggen – sidan 120.

Ange TCP-portintervall för COM Internet Services – sidan 120.

Anpassa regler för inkommande trafik i Windows-brandväggen – sidan 123.

Sätta DCOM-rättigheter i nätverk mha programmet Administrera M5-databaser

Oavsett om du administrerar DCOM med inbyggda verktyget Säkerhet i programmet Administrera M5-databaser eller med hjälp av Windows-programmet dcomcnfg (eller motsvarande beroende på operativsystem) väljer du tillåtelse på likartat sätt.

Det inbyggda verktyget klarar inte av att hämta från platser som komplexare Active Directory-kataloger eller visa konton från andra datorer än sig själv. Med manuella

inställningarna har du flera möjligheter, t.ex. när det gäller externa brandväggar och routrar – se ”BILAGA 3: Vid inblandning av extern brandvägg” på sidan 120.

Vid manuell DCOM-administration finns risk att inställningarna inte utförs som man tror. Kontrollera att önskade inställningar ligger kvar.

Man tar uppgifter från:

Platser: Egna datorn (Datornamnet) och/eller ”Hela katalogen” dvs. AD (Active Directory) från domänen.

Objekttyper: Välja enskilda konton / grupper, ses på symbol lista innan namngivning alt. sorterbart vid manuella inställningar DCOM.

o Grupp eller inbyggda säkerhetsobjekt, som t.ex. ”Alla”, ”Anonymous logon”,

”Tjänst” osv.

o Användare: Enskilt konto, enskild individ i AD. Innebär en del extra administration. Det är bättre att lägga upp en grupp avsedd för

säkerhetsadministration och tilldela denna. Se till att användarkonton som ska användas för administration i R-CARD M5 tillhör denna grupp.

DCOM-rättigheter finns i tre varianter som kan kombineras:

a) Enskild dator: Rättigheter hämtas från platsen ”Egna datorn”. Rättighetens inbyggda säkerhetsgruppen Tjänst måste finnas (eller läggas till) för att ge

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

arbetsstationer ges gruppen "Alla" för att vara okänsliga mot inloggningskonto – alternativt en egen grupp som du skapat på datorn, eller enskilda

användarkonton.

b) Domän: Datorer i samma domän. Rättigheter hämtas från platsen Domänen AD katalogen för att ge R-CARD M5 Arbetsstationer anslutningsrätt mot

R-CARD M5 Server. Välj grupper som är skapade för ändamålet, alternativt Användare (enskilda konton).

c) Nätverk utan domän: Rättigheter hämtas från platsen ”Egna datorn” grupp

”Anonym inloggning” för att R-CARD M5 Arbetsstationer ska få anslutningsrätt mot R-CARD M5-servern.

Exempel:

• Har du en dator som agerar som R-CARD M5-server i domännätverk, och datorn och alla andra R-CARD M5 Arbetsstationer ligger i samma domän, så är det alternativ b + a som gäller. Underdomäner kommer från ett gemensamt AD.

• Handlar det om en blandning av datorer som ingår i domänen och datorer som inte ingår, måste alla tre alternativen kombineras.

Gör så här:

1. Starta programmet Administrera M5-databaser. (Välj Start > Alla program >

R-CARD M5 > Administrera M5-databaser.)

2. Klicka på Klientsäkerhet i nätverk. Dialogrutan Säkerhet visas. Här finns tre alternativ:

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

3. Nyare programmoduler som t.ex. Planritningsverktyget20 använder sig av webbtjänst mellan klient och server. Denna kommunikation går via TCP och portnummer. När det gäller DCOM ska du tilldela rätt för lokalt tjänstekonto. Markera Välj

grupper/användare (enkel användning av DCOMCNFG).

4. Välj i fältet Lista namn från den dator som R-CARD M5 Server är installerad på.

5. Välj Tjänst och klicka på Tillåt. Då får tjänsten RaServiceHost rätt att ansluta sig till R-CARD M5 Server.

Om datorn endast körs lokalt, välj förslagsvis Alla21 i stället. Detta val är gångbart även vid nätverk också och innebär att alla konton lokalt på datorn har möjlighet att använda sig av R-CARD M5-klienten mot R-CARD M5-servernervern i datorn.

6. Välj IIS_IUSRS och klicka på Tillåt.

7. Om klient via nätverk inte ingår i samma domän som serverdatorn: Välj Anonym inloggning och klicka på Tillåt.

8. Klicka på Spara.

20 ODM och R-CONTROL har egna konfigurationsfiler på motsvarande sätt.

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Ändra port för R-CARD M5 Service Host och R-CARD M5 Klient

Tjänsten R-CARD M5 Service Host (RaServiceHost) installeras tillsammans med R-CARD M5 Server (RaServer) och körs i delar med Microsoft .NET Framework 4 och webbtjänst.

Normalt startas R-CARD M5 Service Host av tjänsten R-CARD M5 Server. Som standard körs RaServiceHost via port 8090. Vid konflikt med andra program kan porten ändras i lokala konfigurationsfiler på R-CARD M5-serverdatorn och samtliga klientdatorerna.

Normalt behöver du inte manuellt redigera konfigurationsfilerna enl. nedan, utan i inloggningsfönstret finns verktyg för att söka upp servern. Verktyget skriver värden i konfigurationsfilen. Men i vissa fall med externa brandväggar fungerar inte sökfunktionen.

Då krävs manuella ändringar.

RaServiceHost ansluter sig med DCOM till RaServer. Därför krävs att DCOM har rättighet till lokala datorns inbyggda säkerhetsobjekt Tjänst. Det beskrivs på sidan 101.

Så byter du portnumret:

1. Först ändrar du R-CARD M5-serverns port för RaServiceHost för klientanrop.22 Öppna konfigurationsfilen RcardServiceHost.exe.config i Anteckningar eller annan

textredigerare. Filens sökväg i en standardinstallation är C:\Program (x86)\RCO Security AB\R-CARD M5\RcardService.

2. Ändra value-värdet (som vid installation satts till 8090) till önskat portnummer:

3. Spara och stäng filen.

4. Starta om RaServiceHost för att den ska köra med den nya porten.

22 Kommunikation med R-CARD M5 Service Host (RaServiceHost) använder krypteringsalgoritmen AES-256.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

5. Gör nu motsvarande ändring i filen RcardClient.exe.config på alla arbetsstationer.

Filens sökväg i en standardinstallation är C:\Program (x86)\RCO Security AB\R-CARD M5\RcardClient.

6. Kontrollera om du behöver ändra undantagen i brandväggsinställningarna också.

Installationsprogrammet för R-CARD M5 lägger in undantag genom att ange

programfil.23 På klientsidan går det normalt bra att fråga ut på valfri port. Om man har lagt till egna begränsningar i klientbrandväggar måste man ev. öppna upp eller

redigera vald port eller program.

Använder man sig av sökning av system i nätverk från klienten så görs första anrop på port UDP 3702. Görs undantag i brandväggen med portnummer måste man ha med denna port också. Annars får man manuellt redigera värdena.

På sidan 11 finns information om vad som automatisk görs vid installation.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Manuella inställningar för DCOM-säkerhet på serverdatorn

Manuella inställningar krävs exempelvis i följande fall:

• I system med en Active Directory-struktur i flera nivåer.

• Vid användning av en extern brandvägg (se även ”BILAGA 3: Vid inblandning av extern brandvägg” på sidan 120).

Aktivera manuella inställningar på serverdatorn

1. Starta programmet Administrera M5-databaser. (Välj Start > Alla program >

R-CARD M5 > Administrera M5-databaser.)

2. Klicka på Klientsäkerhet i nätverk. Dialogrutan Säkerhet visas.

3. Markera Använd mina manuella inställningar (DCOMCNFG).

4. Klicka på Spara.

Om du kör R-CARD M5-webbapplikationer (WEBADMIN, Electrolux WEB och/eller WEB NÄRVARO), se även ”DCOM-rättigheter för IIS” på sidan 96.

Ge DCOM åtkomstbehörigheter (access permissions)

Detta behövs bara när R-CARD M5 Server inte befinner sig inom samma domän som klientdatorerna.

1. Välj Administrationsverktyg > Komponenttjänster (Administrative Tools >

Component Services).

2. Under Konsolrot (Console Root), expandera mappen Komponenttjänster

(Component Services) > Datorer (Computers) > Den här datorn (My Computer) >

DCOM-konfiguration (DCOM configuration).

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Svara Nej på ev. meddelanden om ”Varningar vid DCOM-konfiguration”. Exempel:

3. Högerklicka på RaServer (under DCOM-konfiguration) och välj Egenskaper (Properties).

Varning: Rör inte RAServer (som är från Microsoft) utan ändra endast RaServer!

4. Välj fliken Säkerhet (Security).

5. Under Åtkomstbehörigheter (Access Permissions – kan vara Behörigheter att använda i vissa operativsystem), välj Anpassa och klicka på Redigera (Edit).

6. Klicka på Lägg till (Add).

7. I rutan Ange de objektnamn som ska väljas (Enter the object names… ): Skriv in

”anonym” och klicka på Kontrollera namn (Check Names). Programmet väljer ut ett gruppnamn som svarar mot de inmatade bokstäverna, i detta fall Anonym

inloggning. Klicka på OK.

Varning: Valet Anonym inloggning öppnar för alla kommunikationsprogram utan kontroll. Därför ska Anonym inloggning inte användas i egenskaperna för Den här datorn utan endast—som här—för enskilda applikationer som

RaServer.

!

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

8. Nu visas dialogen Åtkomstbehörighet igen. Välj Anonym inloggning och markera Lokal åtkomst (Local Access) och Fjärråtkomst (Remote Access):

9. Spara med OK.

Ligg kvar under fliken Säkerhet (Security) och fortsätt med nästa avsnitt.

Ge DCOM behörighet att starta och aktivera (launch and activation permissions) Instruktionerna fortsätter från föregående avsnitt.

1. Under Behörighet att starta och aktivera (Launch and Activation Permissions), klicka på Redigera (Edit).

2. Klicka på knappen Lägg till (Add).

3. I rutan Ange de objektnamn som ska väljas (Enter the object names...): Skriv in

”anonym”, klicka på knappen Kontrollera namn (Check Names).

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

4. Programmet väljer ut ett gruppnamn som svarar mot de inmatade bokstäverna, i detta fall Anonym Inloggning. Klicka på OK.

Varning: Valet Anonym inloggning öppnar för alla kommunikationsprogram utan kontroll. Därför ska Anonym inloggning inte användas i egenskaperna för Den här datorn utan endast—som här—för enskilda applikationer som

RaServer.

5. Nu visas dialogen Behörigheter att starta och aktivera igen. Välj Anonym

inloggning och markera Lokal start (Local launch), Lokal aktivering (Local activate) samt Fjärraktivering (Remote activate):

6. Spara med OK.

Ligg kvar i egenskaperna för RaServer och fortsätt med nästa avsnitt.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Ange verifieringsnivå (authentication level) för RaServer Instruktionerna fortsätter från föregående avsnitt.

1. På fliken Allmänt (General), välj Autentiseringsnivå (Authentication Level) = Inga (None).

Kör man med domännätverk och har tillgång till gemensamt Active Directory så kan man välja annan Autentiseringsnivå. Observera att det blir lite trögare

kommunikationen mellan klient- och serverdator då beroende på vilken nivå man väljer.

2. Spara med OK.

Ange manuella inställningar för DCOM-säkerhet i klientdatorer

Inga manuella inställningar behöver normalt göras i R-CARD M5-klientdatorerna.

(Undantagen är programvarorna R-CARD M5 ODM och R-CONTROL. Då måste du

manuellt söka upp systemanslutning vid första körning.) Inställningarna görs automatiskt av klienten vid första start efter installationen om du/användaren är inloggad i Windows som en användare med administratörsrättigheter.

Alltså: Är UAC satt till default eller högre säkerhet så är det lämpligt att starta klienten med Kör som administratör. Ibland krävs att du gör om det flera gånger, tills frågan om att redigera DCOM-rättigheter (se exempel på sidan 109) inte längre visas, plus ytterligare en gång.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Om inställningar för DCOM-säkerhet ändå behöver ändras manuellt i klientdatorerna, gör det på samma sätt som på serverdatorn:

• Åtkomstbehörigheter (access permission): Ge säkerhetsobjektet Anonym inloggning rättigheterna Lokal åtkomst (Local Access) och Fjärråtkomst (Remote Access).

Instruktioner finns under ”Ge DCOM åtkomstbehörigheter (access permissions)” på sidan 105.

• Behörighet att starta och aktivera (launch and activation permissions): Ge

säkerhetsobjektet Anonym inloggning rättigheterna Lokal start (Local launch), Lokal aktivering (Local activate) samt Fjärraktivering (Remote activate).

Instruktioner finns under ”Ge DCOM behörighet att starta och aktivera (launch and activation permissions)” på sidan 107.

Varning: Valet Anonym inloggning öppnar för alla kommunikationsprogram utan kontroll. Därför ska Anonym inloggning inte användas i egenskaperna för Den här datorn utan endast—som i instruktionerna—för enskilda applikationer som RaServer.

Tips: Vid ev. svårlösta problem se ”R-CARD M5 Klient får inte kontakt med R-CARD M5 Server” på sidan 137.

!

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Konfigurera datorernas Windows-brandvägg

Du behöver de här instruktionerna om Windows brandvägg är aktiv och inställningarna behöver ändras manuellt, t.ex. för att installationsprogrammet inte lyckades (eller inte fick) ställa in dem.

I följande avsnitt beskrivs hur du ändrar inställningarna i Windows-brandväggen.

Översikt:

Instruktionerna avser Windows 7. Andra Windows-versioner kan ha annat utseende och upplägg.

Viktigt: Gör inte enl. nedan i ett integrerat larmsystem. Säkerheten blir inte tillräckligt hög.

Viktigt: Vid användning av en extern brandvägg krävs andra inställningar. Se BILAGA 3: Vid inblandning av extern brandvägg på sidan 120.

Lägg till R-CARD M5 Server och R-CARD Service Host som tillåtna program

Öppna TCP port 135 för trafik (behövs för DCOM)

Öppna TCP port 8090 för trafik.

Rekommenderas vid Windows-brandvägg i domännätverk: Ta bort Internetåtkomst till TCP-portar (om det inte redan gjorts)

Lägg till R-CARD M5

Arbetsstation m.m. som tillåtna program

Öppna TCP port 135 för trafik (behövs för DCOM)

Rekommenderas vid Windows-brandvägg i domännätverk: Ta bort Internetåtkomst till TCP-portar (om det inte redan gjorts)

!

!

R-CARD M5 Server R-CARD M5 Klient

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

På serverdatorn

1. Klicka på Windows’ Start-knapp och välj Kontrollpanelen > Windows brandväggen (Control Panel > Windows Firewall).

2. Kontrollera om brandväggen är aktiverad. Exempel:

Återstående steg förutsätter att brandväggen är aktiverad.

Öppna för R-CARD M5 Server och R-CARD M5 Service Host

3. Klicka på Tillåt att ett program eller en funktion passerar Windows-brandväggen i vänster ruta. En ny dialogruta visas.

4. Klicka på Tillåt ett annat program. Ännu en ny dialogruta visas.

5. Välj R-CARD M5 Server i programlistan och klicka på Lägg till.

6. Klicka på Tillåt ett annat program igen.

7. Klicka på Bläddra och bläddra fram till RcardServiceHost.exe (programfilen till R-CARD M5 Service Host). Den finns vanligen under mappen Program Files\RCO Security AB\R-CARD M5\RcardService). Markera filen och klicka på Öppna.

8. Klicka på Lägg till. Nu visas R-CARD M5 Server och R-CARD M5 ServiceHost i förteckningen över tillåtna program och funktioner:

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

9. Bekräfta med OK längst ner till höger. (Samma dialogruta som vid steg 2 visas igen.) Öppna port 135 (DCOM)

10. Klicka på Avancerade inställningar.

11. Klicka på Regler för inkommande trafik.

12. Klicka på Ny regel i höger panel.

13. Välj alternativet Port och klicka på Nästa.

14. Låt TCP vara markerat. Markera Specifika lokala portar och skriv 135 i fältet. Klicka på Nästa.

15. Låt standardinställningen Tillåt anslutningen gälla och klicka på Nästa.

16. Ange när regeln ska gälla.

Starkt rekommenderat: Avmarkera Offentlig! Även Privat rekommenderas att avmarkera.

Klicka på Nästa.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

17. Ange ett namn på porten, t.ex. "R-CARD M5 port", och klicka på Slutför. Regeln visas nu i högerpanelen:

18. Rekommendation: Tillåt inte portarna över Internet:24

a) Klicka på Egenskaper i höger panel. (Om Egenskaper inte syns i höger panel, markera regeln i mittrutan.)

b) Välj fliken Omfång.

c) Under Fjärr-IP-adress, markera Följande IP-adresser.

d) Viktigt: Klicka på Lägg till och ange IP-adresser. Det görs oftast och lättast genom att välja Lokalt undernät under Fördefinierade datorer. Man kan också ange individuella IP-adresser. Undvik inställningen Alla IP-adresser!

Att tänka på om klienten använder DHCP: DHCP ska normalt endast dela ut till sitt undernät. Servern ligger dock inte alltid inom DHCP-intervallet eller inom samma undernät. I så fall kan du t.ex. ange ett IP-intervall som

motsvarar DHCP-tilldelningen och servrarnas nät. Klicka gärna på länken

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

”Läs mer om de här inställningarna i dialogrutan” och rådgör med organisationens IT-ansvarig!

Omfånget ska vara lika för alla regler specifika för R-CARD M5, såväl för programvaror som för portar. Har du begränsat porten på detta sätt, gå tillbaka och ange samma begränsning för de i steg 5 och 7 valda program.

e) Klicka på OK, Verkställ, OK.

Öppna port 8090 (R-CARD M5 Service Host)

19. Utför steg 10–18 igen, men välj portnummer 8090 och ange ett namn som t.ex.

”R-CARD Service Host port”.25 På klientdatorer

1. Klicka på Windows’ Start-knapp och välj Kontrollpanelen > Windows brandväggen (Control Panel > Windows Firewall).

2. Kontrollera om brandväggen är aktiverad. Exempel:

Återstående steg förutsätter att brandväggen är aktiverad.

25 Har du ändrat portnumret enl. ”Ändra port för R-CARD M5 Service Host och R-CARD M5 Klient” på sidan 76 öppnar du i stället den angivna porten.

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

Öppna för R-CARD M5 Arbetsstation och dess tilläggsmoduler

3. Klicka på Tillåt att ett program eller en funktion passerar Windows-brandväggen i vänster ruta. En ny dialogruta visas.

4. Klicka på Tillåt ett annat program. Ännu en ny dialogruta visas.

5. Välj R-CARD M5 Arbetsstation i programlistan och klicka på Lägg till.26 6. Gör samma sak för ev. tilläggsmoduler som ska användas, t.ex. R-CARD M5

INDIGRAF och R-CONTROL.

R-CARD M5-program som inte finns i programlistan kan du bläddra till.

Programfilerna befinner sig vanligtvis i följande mappar:

Program Files\RCO Security AB\R-CARD M5

Program Files\RCO Security AB\R-CARD M5\RcardClient Program Files\RCO Security AB\R-CARD M5\RcardService

7. Nu visas de valda program i förteckningen över tillåtna program och funktioner.

Bekräfta med OK längst ner i dialogrutan.

Samma dialogruta som vid steg 2 visas nu igen.

Öppna port 135 (DCOM)

8. Klicka på Avancerade inställningar.

9. Klicka på Regler för inkommande trafik.

10. Klicka på Ny regel i höger panel.

11. Välj alternativet Port och klicka på Nästa.

12. Låt TCP vara markerat. Markera Specifika lokala portar och skriv 135 i fältet. Klicka på Nästa.

13. Välj Tillåt anslutningen och klicka på Nästa.

26 Normalt behövs inget undantag för anslutning mot tjänsten RaServiceHost på klientdators

Windows-!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

14. Ange när regeln ska gälla.

Starkt rekommenderat: Avmarkera Offentlig! Även Privat rekommenderas att avmarkera.

Klicka på Nästa.

15. Ange ett namn på porten, t.ex. "R-CARD M5 port", och klicka på Slutför. Regeln visas nu i högerpanelen:

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

16. Rekommendation: Tillåt inte portarna över Internet:27

a) Klicka på Egenskaper i höger panel. (Om Egenskaper inte syns i höger panel, markera regeln i mittrutan.)

b) Välj fliken Omfång.

c) Under Fjärr-IP-adress, markera Följande IP-adresser.

d) Viktigt: Klicka på Lägg till och ange IP-adresser. Det görs oftast och lättast genom att välja Lokalt undernät under Fördefinierade datorer. Man kan också ange individuella IP-adresser. Undvik inställningen Alla IP-adresser!

e) Klicka på OK, Verkställ, OK.

Att tänka på om klienten använder DHCP: DHCP ska normalt endast dela ut till sitt undernät. Servern ligger dock inte alltid inom DHCP-intervallet eller inom samma undernät. I så fall kan du t.ex. ange ett IP-intervall som

motsvarar DHCP-tilldelningen och servrarnas nät. Klicka gärna på länken

!

R-CARD M5 – INSTALLERA BILAGA 2: R-CARD M5 I ETT DISTRIBUERAT SYSTEM

”Läs mer om de här inställningarna i dialogrutan” och rådgör med organisationens IT-ansvarig!

Omfånget ska vara lika för alla regler specifika för R-CARD M5, såväl för programvaror som för portar. Har du begränsat porten på detta sätt, gå tillbaka och ange samma begränsning för de i steg 5 och 6 valda program.

Vid inblandning av grupp policy i Windows-brandvägg med avancerad säkerhet

Detta gäller den avancerade brandväggen i Windows-operativsystemet.

Om grupp policy används till Windows-brandväggen i domännätverk, kontrollera att regeln för inkommande trafik COM+-nätverksåtkomst (DCOM-In) finns med:

Det måste försäkras att den inte tappats bort och att den är aktiverad för rätt nätverksprofil. Annars stängs all DCOM-trafik ner.

!

R-CARD M5 – INSTALLERA BILAGA 3: VID INBLANDNING AV EXTERN BRANDVÄGG

BILAGA 3: Vid inblandning av extern brandvägg

När datorerna är åtskilda av en extern brandvägg krävs konfiguration av serverdatorn, klientdatorerna samt själva brandväggen för att kommunikationen ska fungera.

Externa brandväggar som använder adresstransformering (NAT) kan inte användas.

Orsaken är att DCOM använder ”råa” IP-adresser när paketen distribueras. Om en klient inte kan ansluta till den adress som finns i paketet fungerar inte förbindelsen, utan det ger felkod 0x800706BA: RPC_S_SERVER_UNAVAILABLE.

Konfigurera den externa brandväggen

Följande inställningar krävs i den externa brandväggen:

• Öppna de valda TCP-portarna i båda riktningarna. Portintervall 50000-50100 rekommenderas.

Eftersom ”callbacks” används, tillåt även inkommande trafik på alla portar där TCP-anslutningen initieras av den egna datorn.

• DCOM:s Service Control Manager (SCM) anropas alltid via portnummer 135. Öppna därför även denna port för trafik.

• Öppna porten för R-CARD M5 Service Host (RaServiceHost). Vid installation används TCP-portnummer 8090. Behöver du ändra, se ”Ändra port för R-CARD M5 Service Host och R-CARD M5 Klient” på sidan 103.

Tips: Om kommunikationen inte fungerar när alla inställningar (inkl. nedanstående)

Tips: Om kommunikationen inte fungerar när alla inställningar (inkl. nedanstående)

In document R-CARD M5 Installera R-CARD M5 (Page 98-137)

Related documents