Konfiguration der Firewall

Die Kommunikation des DSS mit seinen Clients, mit der PostgreSQL-Datenbank sowie mit dem ZSS erfolgt – wie jede andere Kommunikation zwischen Rechnern auch – über Ports.

Da hierbei auch spezielle Ports benutzt werden, sind ggf. Eingriffe in die Firewall der beteiligten Rechner notwendig. Folgende Ports werden von ASV verwendet:

  1. Port 443
    Über den Standard-Port 443 wird die Kommunikation vom DSS zum ZSS und ggf. zum FEO-Server und vom Aktuallisierungsdienst zum Aktualisierungsserver aufgebaut. Da dieser Port standardmäßig nach außen offen ist, sind hier in der Regel keine Modifikationen nötig.
    • ZSS (asv-zss-extern.schulen.bayern.de bzw. steht in config.ini bzw. config.local.ini in der Zeile mit remote.server.url=…)
    • Aktualisierungsserver (update.asv.bayern.de)
    • ggf. Fachwahl-Erfassung Online (FEO). Die Namen der Server sind auf der FEO-Seite aufgeführt.
    • Wenn IP-Adressen verwendet werden müssen, dann schalten Sie bitte die Bereiche 195.200.71.0/24 und 193.34.207.0/24 frei.
  2. Port 5432
    Dies ist der Standard-Port des PostgreSQL-Datenbanksystems. Über diesen Port kommuniziert der DSS mit der ASV-Datenbank. Im Normalfall1), d.h. wenn DSS und PostgreSQL auf der gleichen Maschine installiert sind, sind hier ebenfalls keine Modifikationen an der Firewall nötig. Insbesondere ist es dann nicht nötig, diesen Port zu öffnen.
  3. Port 8765
    Über diesen Port kommunizieren die ASV-Clients mit ihrem DSS. Dieser Port muss im LAN bei allen Clients und dem DSS-Rechner ein- und ausgehend geöffnet sein.
    Hierfür gibt es zwei Möglichkeiten:
    1. Sie öffnen den Port 8765/TCP ein- und ausgehend
      Verwenden Sie dafür die erweiterten Einstellungen der Windows-Firewall.
    2. Sie binden die Kommuniation via 8765 fest an ein Programm. Dabei müssen Sie jedoch angeben, welches Programm für den ASV-Prozess verantwortlich ist. Bei Version 1.12 ist dies die Datei javaw.exe. Bitte achten Sie darauf, dass Sie die „richtige“ javaw.exe freigeben! Java verwendet je nach Systemarchitektur unterschiedliche Installationspfade und auch bei Java-Updates kann sich der Installationspfad ändern. Auch können mehrere Versionen der javaw.exe im System vorliegen. Auskunft über die „richtige“ javaw.exe gibt der Taskmanager bei laufendem DSS bzw. ASV-Client.
  4. Für die Prüfung der Gültigkeit der verwendeten Zertifikate zur Kommunikation des DSS mit dem ZSS werden die Verzeichnisse der bayerischen Verwaltungs-PKI abgefragt:
    1. http://ocsp.pki.bayern.de:8080 IP: 195.200.70.71 (Port 8080)
    2. ldap://directory.bayern.de IP: 195.200.70.75 (Port 389)
    3. ldap://directory2.bayern.de IP: 195.200.70.76 (Port 389)

Die Pfeile verdeutlichen, wer die Kommunikation initiiert.

1)
Der Normalfall liegt dann nicht vor, wenn z.B. ein dedizierter Datenbankserver zur Verfügung steht und man daher DSS und PostgreSQL auf verschiedene Maschinen verteilt. Dann sind jedoch weitere Modifikationen an der PostgreSQL-Konfiguration nötig, da PostgreSQL per Default keine Zugriffe von anderen Maschinen als localhost zulässt.