Wie können wir Ihnen heute helfen?
Firewall-Einstellungen für MyWorkDrive Server
Überblick
Administratoren meinen Wunsch, die MyWorkDrive-Server-Client-Site zu sperren, damit sie nur von eingeschränkten Netzwerken zugänglich ist, oder die Site nicht zu veröffentlichen und den Zugriff nur von internen LAN-Segmenten zuzulassen. Dies wird normalerweise verwendet, wenn der Administrator Zugriff auf die Website des Webdatei-Managers zum Anzeigen und Bearbeiten von Dokumenten in Office 365 gewähren möchte, aber den externen Zugriff einschränken möchte. Ansicht typisch Diagramme für Netzwerkbereitstellungsszenarien finden Sie hier.
Eine Firewall-Sperre ist möglich und MyWorkDrive funktioniert und ermöglicht die Online-Bearbeitung von Office-Dokumenten, selbst wenn es nur auf WAN-IPs oder LAN-Segmente des Unternehmens beschränkt ist, mit den folgenden Einschränkungen:
- Die externe OneDrive-Dateifreigabe funktioniert nicht (eine öffentlich zugängliche Webdatei-Manager-URL ist erforderlich, damit Microsoft Dateien auf OneDrive kopieren kann), es sei denn, der Server kann auf https://*.live.com zugreifen und https://wp-onedrive-api.wanpath.net für die externe OneDrive-Freigabe.
- Ein interner Hostname muss verwendet werden, um auf die Site für die interne Dateifreigabe zu verweisen – zum Beispiel: https://share.mycompany.local wenn nur auf das interne LAN verwiesen wird.
- Die Office 365-Bearbeitung muss im MyWorkDrive-Server-Admin-Panel aktiviert sein.
Bitte beachten Sie, dass die Office-Online-Bearbeitung auch dann funktioniert, wenn die Web File Manager-Client-Site gesperrt ist, da sie während der Office-Online-Bearbeitungstransaktionen auf Sitzungsbasis über unseren MyWorkDrive-Reverse-Proxy in Azure verfügbar gemacht wird, der nur für Microsoft Office-Online-Hosts gesperrt ist. Alle Details sind in diesem Artikel. Zusätzlich zur Firewall-Sperre empfehlen wir auch, nicht benötigte Chiffren zu deaktivieren. Siehe unsere Schritte zum Sperren von IIS SSL für Compliance und Sicherheit für weitere Informationen.
Ausgehende Firewall-Anforderungen
Um korrekt zu funktionieren, benötigt der MyWorkDrive-Server ausgehenden Zugriff auf die folgenden Hosts und TCP-Ports:
- MyWorkDrive-Lizenzserver unter license.wanpath.net auf SSL-Port 443
- Port 443 zu *.live.com für die externe OneDrive-Freigabe zusammen mit Office 365-URLs und IP-Adressbereichen gemäß Microsoft-Artikel Hier.
Server-Version 5.4 und höhere Relay-Anforderungen:
Für Kunden, die CloudFlare Argo Relays (für *.myworkdrive.net und Office 365-Bearbeitung) verwenden, werden Verbindungen weitergeleitet Cloudflare Argo. Cloudflare Argo benötigt den ausgehenden TCP-Port 7844 von Ihrem Server zu Cloudflare-IPs. MyWorkDrive empfiehlt eine direkte Internetverbindung – ausgehende Proxy-Dienste (normalerweise Webfilterung) können die Online-Bearbeitungsfunktionen von Office 365 und die Nutzung von MyWorkDrive.net beeinträchtigen.
Beginnend mit Version 5.3 kann ein ausgehender Proxy-Server im MyWorkDrive-Adminbereich unter Einstellungen im Format http://Hostname oder IP-Adresse und optionaler Portnummer angegeben werden. Zum Beispiel http://10.10.10.10 oder http://10.10.10.10:8888.
Server-Version 5.3 und niedrigere Relay-Anforderungen:
Relays werden auf Server 5.3 oder niedriger nicht mehr unterstützt. Aktualisieren Sie auf 5.4 Server oder höher.
Virenschutz
Warnung: Auf dem Server installierte Antivirensoftware kann die Kommunikation Ihres MyWorkDrive mit Microsoft Azure für unsere Office 365- und Cloud Connectors beeinträchtigen, wenn Firewall-Funktionen aktiviert sind. Überprüfen Sie unsere Antivirus-Artikel für Einstellungen und Ausnahmen.
Fehlerbehebung bei Problemen mit der Office 365- und Cloud Connector-Firewall
Wenn die grundlegende Fehlerbehebung des Cloud Connectors fehlschlägt, verwenden Sie Dieser Beitrag Beginnen Sie mit der zusätzlichen Fehlerbehebung, indem Sie sicherstellen, dass die Office 365-Bearbeitungsfunktion und/oder die Cloud-Konnektoren im MWD-Server-Administrationsbereich unter Einstellungen aktiviert sind. Wenn aktiviert, überprüfen Sie services.msc auf Ihrem Server auf „Argo Tunnel Agent“ . Es sollte laufen.
Wenn der Dienst ausgeführt wird und dies seit mindestens 15 Minuten der Fall ist, testen Sie als Nächstes den ausgehenden Firewall-Zugriff. Geben Sie an einer Eingabeaufforderung „Netstat -b“ ein. Beachten Sie alle Verbindungen für Portbridge. Ein fehlerfreier Dienst sollte so etwas wie unten mit geöffneten https- und 7844-Ports und im Status „ESTABLISHED“ anzeigen.
Wenn diese fehlen, überprüfen Sie unsere ausgehenden Firewall-Regeln, entfernen Sie jegliche Antivirus-Software vom MWD-Server und stellen Sie sicher, dass Ihr MWD-Server über eine vollständige Internetverbindung verfügt. Führen Sie dann netstat -b erneut aus, um zu sehen, ob ausgehende Verbindungen hergestellt werden.
Netstat -b gesunde ausgehende Verbindungen Cloudflare Argo:
[cloudflared.exe] TCP 192.168.41.111:56200 198.41.200.233:7844 HERGESTELLT
[cloudflared.exe] TCP 192.168.41.111:56201 198.41.192.107:7844 HERGESTELLT
[cloudflared.exe] TCP 192.168.41.111:56202 198.41.200.113:7844 HERGESTELLT
[cloudflared.exe] TCP 192.168.41.111:56208 52.230.222.68:https HERGESTELLT
Testen Sie die Kommunikation auf Port 7844 ausgehend zum Cloudflare Argo-Tunneldienst:
Starten Sie Powershell auf dem MyWorkDrive-Server und geben Sie den folgenden Befehl ein:
test-netconnection -computername 198.41.192.7 -port 7844
Die Ergebnisse sollten wie folgt zurückkommen:
TcpTestSucceded: True: Computername: 198.41.192.7 RemoteAddress: 198.41.192.7 RemotePort: 7844 InterfaceAlias: Lan SourceAddress: 10.10.200.20 TcpTestSucceded: True
Wenn TcPTestSucceded false zurückgibt, blockiert eine Firewall oder ein Antivirus den TCP-Port 7844 ausgehend vom MyWorkDrive-Server und muss untersucht werden.
Clustering
Wenn Sie Clustering aktiviert haben, muss TCP-Port 8353 auf allen Server- oder Netzwerk-Firewalls für das LAN geöffnet werden. Cluster-Mitglieder kommunizieren über TCP 8353.