Konfigurace nastavení brány firewall v DPM
Běžnou otázkou, která nastane při nasazení serveru System Center Data Protection Manager (DPM) a nasazení agenta DPM, se týká portů, které je potřeba otevřít v bráně firewall. Tento článek představuje porty a protokoly brány firewall, které DPM používá pro síťový provoz. Další informace o výjimkách brány firewall pro klienty DPM najdete v tématu: Konfigurace výjimek brány firewall pro agenta.
| Protokol | Port | Detaily |
|---|---|---|
| DCOM | Dynamická 135/TCP | Nástroj DCOM používá server DPM a agent ochrany APLIKACE DPM k vydávání příkazů a odpovědí. APLIKACE DPM vydává příkazy agentovi ochrany vyvoláním volání modelu DCOM pro agenta. Agent ochrany reaguje vyvoláním volání modelu DCOM na serveru DPM. Port TCP 135 je bod rozlišení koncového bodu DCE, který používá DCOM. Ve výchozím nastavení nástroj DCOM přiřazuje porty dynamicky z rozsahu portů TCP 1024 až 65535. Pomocí služeb komponent však můžete upravit rozsah portů TCP. Postup je následující: 1. Ve Správci služby IIS 7.0 vyberte v podokně Připojení uzel na úrovni serveru ve stromu. 2. V seznamu funkcí poklikejte na ikonu podpory brány firewall FTP. 3. Zadejte rozsah hodnot rozsahu portů datového kanálu pro vaši službu FTP. 4. V podokně Akce vyberte Použít a uložte nastavení konfigurace. |
| TCP | 5718/TCP 5719/TCP |
Datový kanál DPM je založený na protokolu TCP. Dpm i chráněný počítač inicializuje připojení k povolení operací DPM, jako je synchronizace a obnovení. DPM komunikuje s koordinátorem agenta na portu 5718 a s agentem ochrany na portu 5719. |
| TCP | 6075/TCP | Povoleno při vytváření skupiny ochrany, která pomáhá chránit klientské počítače. Vyžaduje se pro obnovení koncového uživatele. V bráně Windows Firewall (DPMAM_WCF_Service) se vytvoří výjimka pro program Amscvhost.exe při povolení centrální konzoly pro APLIKACI DPM v Operations Manageru. |
| DNS | 53/UDP | Používá se pro překlad názvů hostitelů mezi APLIKACÍ DPM a řadičem domény a mezi chráněným počítačem a řadičem domény. |
| Kerberos | 88/UDP 88/TCP |
Používá se k ověřování koncového bodu připojení mezi APLIKACÍ DPM a řadičem domény a mezi chráněným počítačem a řadičem domény. |
| LDAP | 389/TCP 389/UDP |
Používá se pro dotazy mezi DPM a řadičem domény. |
| NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Používá se pro různé operace mezi aplikací DPM a chráněným počítačem, mezi aplikací DPM a řadičem domény a mezi chráněným počítačem a řadičem domény. Používá se pro funkce DPM pro protokol SMB (Server Message Block), když je přímo hostovaný na protokolu TCP/IP. |
Nastavení brány Windows Firewall
Pokud je při instalaci aplikace DPM povolená brána Windows Firewall, instalační program APLIKACE DPM nakonfiguruje nastavení brány Windows Firewall podle potřeby společně s pravidly a výjimkami. Nastavení jsou shrnutá v následující tabulce.
Poznámka:
- Pokud hledáte informace o tom, jak nastavit výjimky brány firewall pro počítače, které dpm chrání, přečtěte si téma Konfigurace výjimek brány firewall pro agenta.
- Pokud brána Windows Firewall nebyla při instalaci aplikace DPM dostupná, přečtěte si téma Postup ruční konfigurace brány Windows Firewall.
- Pokud spouštíte databázi DPM ve vzdálené instanci SQL Serveru, budete muset ve vzdálené instanci SQL Serveru nastavit několik výjimek brány firewall. Viz Nastavení brány Windows Firewall ve vzdálené instanci SQL Serveru.
| Název pravidla | Detaily | Protokol | Port |
|---|---|---|---|
| Nastavení modelu DCOM nástroje Microsoft System Center Data Protection Manager | Vyžaduje se pro komunikaci modelu DCOM mezi serverem DPM a chráněnými počítači. | DCOM | Dynamická 135/TCP |
| Microsoft System Center Data Protection Manager | Výjimka pro Msdpm.exe (služba DPM). Běží na serveru DPM. | Všechny protokoly | Všechny porty |
| Agent replikace microsoft System Center Data Protection Manageru | Výjimka pro Dpmra.exe (služba agenta ochrany, která se používá k zálohování a obnovení dat). Běží na serveru DPM a chráněných počítačích. | Všechny protokoly | Všechny porty |
Ruční konfigurace brány Windows Firewall
V Správce serveru vyberte Brány Windows Firewall nástrojů>místního serveru>s pokročilým zabezpečením.
V konzole Brána Windows Firewall s pokročilým zabezpečením ověřte, že je brána Windows Firewall zapnutá pro všechny profily, a pak vyberte Příchozí pravidla.
Pokud chcete vytvořit výjimku, v podokně Akce vyberte Nové pravidlo a otevřete Průvodce vytvořením nového příchozího pravidla .
Na stránce Typ pravidla ověřte, zda je vybrán program, a pak vyberte Další.
Nakonfigurujte výjimky tak, aby odpovídaly výchozím pravidlům vytvořeným instalačním programem APLIKACE DPM, pokud byla při instalaci aplikace DPM povolená brána Windows Firewall.
Chcete-li ručně vytvořit výjimku, která odpovídá výchozímu pravidlu Aplikace Microsoft System Center 2012 R2 Data Protection Manager na stránce Program, vyberte vyhledat pole Cesta k programu a přejděte na< písmeno> systémové jednotky:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Otevřít další.>
Na stránce Akce ponechte výchozí nastavení Povolit připojení nebo změňte nastavení podle pokynů >vaší organizace Další.
Na stránce Profil ponechte výchozí nastavení Domény, Soukromé a Veřejné nebo změňte nastavení podle pokynů >vaší organizace Další.
Na stránce Název zadejte název pravidla a volitelně také popis >Dokončení.
Teď pomocí stejných kroků ručně vytvořte výjimku, která odpovídá výchozímu pravidlu agenta replikace ochrany dat microsoft System Center 2012 R2 tak, že přejdete na <písmeno> systémové jednotky:\Program Files\Microsoft DPM\DPM\bin a vyberete Dpmra.exe.
Pokud používáte System Center 2012 R2 s aktualizací SP1, budou výchozí pravidla pojmenována pomocí nástroje Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Nastavení brány Windows Firewall ve vzdálené instanci SQL Serveru
Pokud jako součást tohoto procesu použijete vzdálenou instanci SQL Serveru pro vaši databázi DPM, budete muset na této vzdálené instanci SQL Serveru nakonfigurovat bránu Windows Firewall.
Po dokončení instalace SQL Serveru by měl být pro instanci APLIKACE DPM SYSTÉMU SQL Server povolený protokol TCP/IP společně s následujícími nastaveními:
Výchozí audit selhání
Povolená kontrola zásad hesel
Nakonfigurujte příchozí výjimku pro sqlservr.exe pro instanci DPM SQL Serveru tak, aby umožňovala tcp na portu 80. Server sestav naslouchá požadavkům HTTP na portu 80.
Výchozí instance databázového stroje naslouchá na portu TCP 1443. Toto nastavení lze změnit. Pokud chcete použít službu SQL Server Browser pro připojení k instancím, které na výchozím portu 1433 neposlouchají, budete potřebovat port UDP 1434.
Pojmenovaná instance SQL Serveru ve výchozím nastavení používá dynamické porty. Toto nastavení lze změnit.
Aktuální číslo portu používané databázovým strojem můžete zobrazit v protokolu chyb SQL Serveru. Protokoly chyb můžete zobrazit pomocí aplikace SQL Server Management Studio a připojením k pojmenované instanci. Aktuální protokol můžete zobrazit v části Správa – protokoly SQL Serveru v položce Server naslouchá na adrese ['any' <ipv4> port_number]."
Ve vzdálené instanci SQL Serveru budete muset povolit vzdálené volání procedur (RPC).