Порты сервера 1С: полный список и настройка брандмауэра

Сервер 1С:Предприятие использует несколько десятков TCP-портов для обмена данными между компонентами. Клиенты подключаются к рабочим процессам, менеджер кластера управляет распределением нагрузки, веб-сервисы принимают HTTP-запросы. Неправильная настройка портов блокирует работу пользователей, вызывает ошибки подключения и тормозит систему.

Системный администратор должен знать, какой порт за что отвечает, как открыть его в брандмауэре и как проверить доступность. В этой статье разбираем все порты 1С сервера, показываем команды для диагностики и даём готовые правила для Windows Firewall.

Основные порты сервера 1С: таблица и назначение

Платформа 1С:Предприятие 8.3 использует диапазоны портов для разных задач. Порты делятся на три категории: служебные для управления кластером, рабочие для клиентских подключений и порты веб-сервисов.

Порт	Протокол	Назначение	Обязательно открывать
1540	TCP	Центральный сервер кластера (главный агент)	Да
1541	TCP	Менеджер кластера (ragent)	Да
1560-1591	TCP	Рабочие процессы (rphost) — клиентские подключения	Да
1538	TCP	Агент сервера (альтернативный порт)	Редко
1545	TCP	Защищённое соединение с менеджером кластера	При использовании SSL
1550-1559	TCP	Резервные рабочие процессы	При масштабировании
1580-1589	TCP	Веб-сервисы и HTTP-соединения	Для веб-клиента и REST API
1543	TCP	Служба администрирования кластера	Для консоли кластера

По умолчанию сервер 1С резервирует 32 порта для рабочих процессов в диапазоне 1560-1591. Каждый рабочий процесс занимает один порт. Если в кластере запущено 8 процессов, заняты порты с 1560 по 1567. Оставшие 24 порта остаются свободными для будущего расширения.

TCP-порты для клиент-серверного варианта

Когда пользователь запускает толстый или тонкий клиент 1С, программа подключается к серверу по протоколу TCP/IP. Клиент сначала обращается к менеджеру кластера на порту 1541, получает список доступных рабочих процессов, затем устанавливает соединение с одним из них.

Менеджер кластера (ragent) слушает порт 1541 и управляет распределением нагрузки. Он отвечает за аутентификацию пользователей, запуск новых рабочих процессов при нехватке ресурсов и завершение простаивающих процессов. Если порт 1541 закрыт брандмауэром, клиенты не смогут подключиться к серверу — в логах появится ошибка «Не удалось соединиться с сервером 1С:Предприятия».

Рабочие процессы (rphost.exe) слушают порты в диапазоне 1560-1591. Количество процессов зависит от настроек кластера и лицензии. Типовая конфигурация использует 4-8 процессов на сервер. Каждый процесс обслуживает несколько пользовательских сессий — от 10 до 50 в зависимости от нагрузки и объёма данных.

Проверить список запущенных рабочих процессов можно командой netstat в PowerShell:

netstat -ano | Select-String ":156"

Команда показывает все TCP-соединения на портах, начинающихся с 156. В выводе видны номера портов (1560, 1561 и так далее) и идентификаторы процессов (PID). По PID можно найти процесс rphost.exe в диспетчере задач.

Порты для веб-сервисов и HTTP

Веб-клиент 1С и REST API используют HTTP-протокол для обмена данными. Запросы от браузера приходят на веб-сервер (IIS или Apache), веб-сервер передаёт их расширению 1С (wsap), расширение обращается к рабочим процессам через внутренние порты.

Если веб-клиент опубликован через IIS, внешние пользователи подключаются по стандартным портам 80 (HTTP) или 443 (HTTPS). Внутри сервера IIS общается с модулем wsap, который перенаправляет запросы на порты диапазона 1560-1591. Дополнительно для веб-сервисов могут использоваться порты 1580-1589 — они назначаются при публикации веб-сервисов через конфигуратор.

Настройка портов для веб-публикации выполняется в консоли администрирования сервера 1С. В разделе «Веб-серверы» указывается базовый адрес (например, http://server:1580/base) и диапазон портов для обработки запросов. Если порты не открыты в брандмауэре, браузер выдаст ошибку «ERR_CONNECTION_TIMED_OUT».

Кластер серверов и менеджер кластера

В больших организациях 1С разворачивается в виде кластера из нескольких серверов. Один сервер выполняет роль центрального (координатор), остальные работают как рабочие узлы. Центральный сервер управляет распределением пользователей между узлами и синхронизирует настройки кластера.

Центральный агент кластера слушает порт 1540. Этот порт используется только в многосерверных конфигурациях. На одиночном сервере порт 1540 не задействован. Когда вы добавляете второй сервер в кластер, нужно открыть порт 1540 на центральном узле, чтобы рабочие серверы могли зарегистрироваться в кластере.

Каждый сервер в кластере запускает собственный менеджер кластера на порту 1541. Менеджеры обмениваются данными между собой для синхронизации состояния рабочих процессов и балансировки нагрузки. Если связь между менеджерами теряется (например, порт 1541 закрыт на одном из узлов), кластер продолжает работать, но пользователи распределяются неравномерно.

Для диагностики кластера используйте утилиту rac (консоль администрирования кластера):

rac cluster list --cluster=server:1541

Команда выводит список кластеров, доступных на сервере. Если кластер не отображается, проверьте доступность порта 1541 командой Test-NetConnection.

Как проверить открытые порты на сервере 1С

Диагностика портов помогает найти причину проблем с подключением. Проверка выполняется в три этапа: локальная проверка на сервере, проверка с клиентской машины, анализ брандмауэра.

Локальная проверка на сервере

Подключитесь к серверу 1С по RDP и откройте PowerShell от администратора. Выполните команду netstat для просмотра всех слушающих портов:

netstat -an | Select-String "LISTENING"

В выводе найдите строки с адресами 0.0.0.0:1540, 0.0.0.0:1541 и 0.0.0.0:1560-1591. Адрес 0.0.0.0 означает, что служба слушает на всех сетевых интерфейсах сервера. Если вместо 0.0.0.0 указан 127.0.0.1, служба доступна только локально — к ней нельзя подключиться из сети.

Альтернативный способ проверки — команда Get-NetTCPConnection в PowerShell:

Get-NetTCPConnection -State Listen | Where-Object {$_.LocalPort -ge 1540 -and $_.LocalPort -le 1591}

Команда фильтрует TCP-соединения в состоянии LISTENING и показывает только порты в диапазоне 1540-1591. Результат содержит номер порта, адрес привязки и идентификатор процесса.

Проверка с клиентской машины

С компьютера пользователя запустите PowerShell и выполните команду Test-NetConnection для проверки доступности порта:

Test-NetConnection -ComputerName server.domain.local -Port 1541

Замените server.domain.local на имя или IP-адрес вашего сервера 1С. Команда пытается установить TCP-соединение с портом 1541. Успешный результат выглядит так:

ComputerName     : server.domain.local
RemoteAddress    : 192.168.1.50
RemotePort       : 1541
InterfaceAlias   : Ethernet
SourceAddress    : 192.168.1.100
TcpTestSucceeded : True

Если в строке TcpTestSucceeded стоит False, порт недоступен. Причины: брандмауэр блокирует соединение, служба 1С не запущена или сервер недоступен по сети.

Проверьте все критичные порты командами:

Test-NetConnection -ComputerName server.domain.local -Port 1540
Test-NetConnection -ComputerName server.domain.local -Port 1541
Test-NetConnection -ComputerName server.domain.local -Port 1560

Анализ брандмауэра Windows

Откройте оснастку Windows Defender Firewall with Advanced Security на сервере 1С. Перейдите в раздел «Inbound Rules» и найдите правила для портов 1540, 1541 и 1560-1591. Правила должны иметь статус «Enabled» с действием «Allow». Если правил нет, создайте их вручную.

Настройка брандмауэра Windows Server для 1С

Стандартная установка сервера 1С не создаёт правила брандмауэра автоматически. После установки платформы нужно вручную открыть порты для клиентских подключений.

Создание правила через PowerShell

Откройте PowerShell от администратора на сервере 1С и выполните команды для создания правил:

New-NetFirewallRule -DisplayName "1C Cluster Manager" -Direction Inbound -Protocol TCP -LocalPort 1541 -Action Allow

Команда создаёт правило для входящих TCP-соединений на порт 1541. Параметр -DisplayName задаёт имя правила в списке брандмауэра. Правило разрешает подключения от всех IP-адресов.

Для открытия диапазона портов рабочих процессов используйте команду:

New-NetFirewallRule -DisplayName "1C Working Processes" -Direction Inbound -Protocol TCP -LocalPort 1560-1591 -Action Allow

Параметр -LocalPort принимает диапазон в формате начало-конец. Брандмауэр откроет все 32 порта одним правилом.

Если ваша инфраструктура использует кластер из нескольких серверов, добавьте правило для центрального агента:

New-NetFirewallRule -DisplayName "1C Central Server Agent" -Direction Inbound -Protocol TCP -LocalPort 1540 -Action Allow

Ограничение доступа по IP-адресам

Для повышения безопасности разрешите подключения только с определённых подсетей. Добавьте параметр -RemoteAddress в команду создания правила:

New-NetFirewallRule -DisplayName "1C Cluster Manager (LAN only)" -Direction Inbound -Protocol TCP -LocalPort 1541 -Action Allow -RemoteAddress 192.168.1.0/24

Правило разрешает подключения только с адресов в диапазоне 192.168.1.1 — 192.168.1.254. Клиенты из других подсетей получат ошибку «Connection refused».

Для нескольких подсетей перечислите адреса через запятую:

New-NetFirewallRule -DisplayName "1C Cluster Manager (Multiple LANs)" -Direction Inbound -Protocol TCP -LocalPort 1541 -Action Allow -RemoteAddress 192.168.1.0/24,10.0.0.0/8

Проверка правил брандмауэра

Выведите список всех правил для портов 1С командой Get-NetFirewallRule:

Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*1C*"}

Команда фильтрует правила по имени и показывает только те, в названии которых есть «1C». Проверьте, что все правила имеют статус Enabled: True и действие Action: Allow.

Типичные проблемы с портами и их решения

Ошибка «Не удалось соединиться с сервером 1С:Предприятия»

Клиент не может подключиться к менеджеру кластера. Проверьте доступность порта 1541 командой Test-NetConnection с клиентской машины. Если порт недоступен, убедитесь, что служба «Агент сервера 1С:Предприятия 8.3» запущена на сервере. Откройте services.msc, найдите службу и проверьте статус. Если служба остановлена, запустите её вручную.

Вторая причина — брандмауэр блокирует порт 1541. Проверьте правила Windows Firewall на сервере. Если правила нет, создайте его командой New-NetFirewallRule из предыдущего раздела.

Клиенты подключаются, но часть пользователей получает ошибку «Превышено количество сеансов»

Все рабочие процессы заняты, свободных портов не осталось. Проверьте количество запущенных процессов rphost.exe в диспетчере задач. Если процессов меньше, чем настроено в консоли кластера, причина в лицензии — не хватает клиентских подключений для запуска новых процессов.

Решение: увеличьте количество рабочих процессов в настройках кластера (если лицензия позволяет) или оптимизируйте работу пользователей — настройте автоматическое завершение простаивающих сеансов в параметрах информационной базы.

Веб-клиент не открывается, ошибка 502 Bad Gateway

IIS не может подключиться к рабочим процессам 1С. Проверьте, что расширение wsap правильно настроено в конфигурационном файле default.vrd. Файл находится в папке C:\inetpub\wwwroot\base (путь зависит от настроек публикации).

Откройте файл блокнотом и найдите строку с адресом сервера 1С:

<point ws="server:1540">

Убедитесь, что указан правильный адрес сервера и порт центрального агента (1540) или менеджера кластера (1541). Сохраните файл и перезапустите пул приложений в IIS.

Порты 1560-1591 заняты другим приложением

Иногда сторонние программы резервируют порты из диапазона 1С. Определите, какой процесс занял порт, командой netstat:

netstat -ano | Select-String ":1560"

В выводе найдите строку с нужным портом и запомните номер в последнем столбце (PID). Откройте диспетчер задач, перейдите на вкладку «Подробности» и найдите процесс по PID. Если процесс не относится к 1С, завершите его или измените настройки приложения для использования других портов.

Производительность и масштабирование

Количество доступных портов влияет на масштабируемость инфраструктуры 1С. Стандартный диапазон 1560-1591 предоставляет 32 порта для рабочих процессов. Каждый процесс обслуживает от 10 до 50 пользовательских сессий в зависимости от нагрузки.

При расчёте производительности учитывайте три фактора: количество одновременно работающих пользователей, тип клиента (толстый или тонкий) и сложность выполняемых операций. Толстый клиент создаёт одну постоянную сессию на весь рабочий день. Тонкий клиент открывает сессию при входе и закрывает при выходе, но может держать несколько сессий открытыми при работе с несколькими информационными базами.

Для компании с 200 пользователями типовая конфигурация выглядит так: 8 рабочих процессов rphost, каждый обслуживает до 25 сессий. Итого 200 одновременных подключений. Если пользователей больше, добавьте второй сервер в кластер. Серверы для 1С из линейки Dell PowerEdge обеспечивают надёжную работу инфраструктуры благодаря избыточным блокам питания, RAID-контроллерам и возможности горячей замены компонентов.

Для мониторинга загрузки рабочих процессов используйте счётчики производительности Windows. Откройте Performance Monitor (perfmon.msc) и добавьте счётчики Process\% Processor Time для всех процессов rphost.exe. Если процессор рабочих процессов загружен на 80-100% постоянно, увеличьте количество процессов или перенесите часть нагрузки на отдельный сервер.

Безопасность сетевых подключений

Открытие портов 1С в брандмауэре создаёт потенциальную уязвимость. Злоумышленники могут сканировать порты 1540-1541 для поиска серверов 1С, затем пытаться подобрать пароль администратора кластера.

Для защиты применяйте три меры: ограничение доступа по IP-адресам, использование сложных паролей для администраторов кластера и шифрование трафика через SSL.

Ограничение по IP

Настройте правила брандмауэра с параметром -RemoteAddress, чтобы разрешить подключения только из внутренней сети. Если пользователи работают удалённо через VPN, добавьте подсеть VPN в список разрешённых адресов.

Парольная защита кластера

В консоли администрирования кластера установите пароль для пользователя «admin». По умолчанию администратор кластера не имеет пароля — любой может подключиться и изменить настройки. Откройте консоль кластера (comcntr.exe), подключитесь к серверу, найдите раздел «Администраторы кластера» и установите пароль длиной не менее 12 символов.

SSL-шифрование

Включите защищённое соединение между клиентами и сервером. В консоли кластера активируйте параметр «Защищённое соединение» для информационной базы. После активации клиенты будут подключаться через порт 1545 вместо 1541, а трафик шифруется по протоколу TLS 1.2.

Для работы SSL требуется сертификат на сервере 1С. Установите сертификат через оснастку MMC (mmc.exe → Добавить оснастку → Сертификаты → Компьютер). Сертификат должен быть выпущен для DNS-имени сервера или его IP-адреса.

Сетевая инфраструктура для распределённых кластеров

При развёртывании кластера из нескольких серверов 1С обмен между узлами идёт через те же порты: 1540 для центрального агента, 1541 для менеджеров кластера на каждом сервере. Дополнительно нужно открыть порты для взаимодействия серверов баз данных (SQL Server или PostgreSQL) с серверами 1С.

Типовая архитектура кластера для 500+ пользователей включает три сервера 1С и один сервер баз данных. Серверы 1С общаются друг с другом через порты 1540-1541, а с базой данных — через порт 1433 (SQL Server) или 5432 (PostgreSQL).

Пример схемы портов в трёхсерверном кластере:

Сервер 1 (центральный): порты 1540, 1541, 1560-1591 открыты для клиентов
Сервер 2 (рабочий): порт 1541 для связи с центральным сервером, 1560-1591 для клиентов
Сервер 3 (рабочий): порт 1541 для связи с центральным сервером, 1560-1591 для клиентов
Сервер БД: порт 1433 открыт для серверов 1, 2, 3

Между серверами 1С рекомендуется использовать выделенную сеть 10 Гбит/с для снижения задержек при обмене данными. Сетевые адаптеры Dell стандарта 10GbE обеспечивают низкую латентность и поддержку RDMA для ускорения передачи больших объёмов данных между узлами кластера.

Мониторинг и диагностика портов в production

Регулярная проверка доступности портов помогает обнаружить проблемы до того, как пользователи начнут жаловаться. Настройте автоматический мониторинг через скрипты PowerShell или специализированные системы мониторинга (Zabbix, PRTG, Nagios).

Скрипт проверки портов PowerShell

Создайте скрипт check-1c-ports.ps1 со следующим содержимым:

$server = "server.domain.local"
$ports = @(1540, 1541, 1560, 1561, 1562)

foreach ($port in $ports) {
    $result = Test-NetConnection -ComputerName $server -Port $port -WarningAction SilentlyContinue
    if ($result.TcpTestSucceeded) {
        Write-Host "Port $port: OK" -ForegroundColor Green
    } else {
        Write-Host "Port $port: FAILED" -ForegroundColor Red
    }
}

Скрипт проверяет доступность портов 1540, 1541 и первых трёх рабочих процессов. Запускайте его по расписанию через Task Scheduler. Если какой-то порт недоступен, скрипт выводит сообщение красным цветом — настройте отправку уведомления по email или в систему мониторинга.

Мониторинг через Zabbix

В Zabbix создайте шаблон для мониторинга сервера 1С с проверкой TCP-портов. Добавьте элементы данных типа «Simple check» с ключом net.tcp.service[tcp,IP,port]. Настройте триггеры, которые срабатывают при недоступности порта более 2 минут подряд.

Пример триггера для порта 1541:

{1C Server:net.tcp.service[tcp,192.168.1.50,1541].last()}=0

Триггер активируется, если последняя проверка порта вернула 0 (порт недоступен). Настройте отправку уведомлений администраторам через email, SMS или Telegram.

Частые вопросы о портах сервера 1С

Какой порт использует клиент 1С при подключении к серверу?

Клиент сначала подключается к менеджеру кластера на порту 1541, получает адрес свободного рабочего процесса, затем устанавливает соединение с рабочим процессом на порту из диапазона 1560-1591. В брандмауэре нужно открыть порт 1541 и весь диапазон 1560-1591 для корректной работы клиентов.

Можно ли изменить стандартные порты сервера 1С?

Да, порты настраиваются в конфигурационном файле srvrib.lst на сервере 1С. Файл находится в папке установки платформы (обычно C:\Program Files\1cv8\srvinfo\reg_1541\). В файле указываются номера портов для менеджера кластера и рабочих процессов. После изменения нужно перезапустить службу «Агент сервера 1С:Предприятия».

Как проверить, какие порты сейчас использует сервер 1С?

Откройте PowerShell на сервере и выполните команду: netstat -ano | Select-String "ragent|rphost". Команда покажет все TCP-соединения процессов ragent.exe (менеджер кластера) и rphost.exe (рабочие процессы) с номерами портов и идентификаторами процессов.

Нужно ли открывать порты 1С в брандмауэре на клиентских машинах?

Нет, на клиентских компьютерах открывать порты не требуется. Клиент инициирует исходящее соединение с сервером, а исходящие подключения разрешены по умолчанию в Windows Firewall. Порты открываются только на сервере 1С для приёма входящих подключений от клиентов.

Сколько портов нужно для работы кластера из трёх серверов?

На центральном сервере откройте порты 1540, 1541 и 1560-1591. На каждом рабочем сервере — порты 1541 и 1560-1591. Дополнительно откройте порты для взаимодействия между серверами в кластере (1541 на всех узлах должен быть доступен для других серверов). Всего около 35 портов на каждый сервер.

Порты сервера 1С: какие используются и зачем