Partager via


Configurer les paramètres de pare-feu dans DPM

Une question courante qui se pose lors du déploiement du serveur System Center Data Protection Manager (DPM) et du déploiement de l’agent DPM concerne les ports à ouvrir sur le pare-feu. Cet article présente les ports de pare-feu et les protocoles que DPM utilise pour le trafic réseau. Pour plus d’informations sur les exceptions de pare-feu pour les clients DPM, consultez : Configurer des exceptions de pare-feu pour l’agent.

Protocole Port Détails
DCOM 135/TCP dynamique DCOM est utilisé par le serveur DPM et l'agent de protection DPM pour émettre des commandes et des réponses. DPM émet des commandes à destination de l'agent de protection via des appels DCOM sur l'agent. L'agent de protection répond en effectuant des appels DCOM sur le serveur DPM.

Le port TCP 135 est le point de résolution de point de terminaison DCE utilisé par DCOM. Par défaut, DCOM assigne dynamiquement des ports à partir de la plage de ports TCP de 1024 à 65535. Toutefois, vous pouvez utiliser les services de composants pour ajuster la plage de ports TCP. Pour ce faire, procédez comme suit :

1. Dans le Gestionnaire IIS 7.0, dans le volet Connexions , sélectionnez le nœud au niveau du serveur dans l’arborescence.
2. Dans la liste des fonctionnalités, double-cliquez sur l’icône Prise en charge du pare-feu FTP.
3. Entrez une plage de valeurs pour la Plage de ports du canal de données de votre service FTP.
4. Dans le volet Actions , sélectionnez Appliquer pour enregistrer vos paramètres de configuration.
TCP 5718/TCP

5719/TCP
Le canal de données DPM est basé sur TCP. DPM et l’ordinateur protégé lancent des connexions pour activer les opérations DPM, telles que la synchronisation et la récupération. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719.
TCP 6075/TCP Activé quand vous créez un groupe de protection pour protéger des ordinateurs clients. Obligatoire pour la récupération des utilisateurs finaux.

Une exception dans le Pare-feu Windows (DPMAM_WCF_Service) est créée pour le programme Amscvhost.exe quand vous activez la console centrale pour DPM dans Operations Manager.
DNS 53/UDP Utilisé pour la résolution de nom d’hôte entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine.
Kerberos 88/UDP

88/TCP
Utilisé pour l’authentification du point de terminaison de connexion entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine.
LDAP 389/TCP

389/TCP
Utilisé pour les requêtes entre DPM et le contrôleur de domaine.
NetBios ; 137/UDP

138/UDP

139/TCP

445/TCP
Utilisé pour des opérations diverses entre DPM et l’ordinateur protégé, entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine. Utilisé pour les fonctions DPM pour le bloc de messages serveur (SMB) lorsqu’il est directement hébergé sur TCP/IP.

Paramètres du Pare-feu Windows

Si le Pare-feu Windows est activé lorsque vous installez DPM, le programme d’installation de DPM configure les paramètres du Pare-feu Windows selon les besoins, ainsi que les règles et exceptions. Les paramètres sont résumés dans le tableau suivant.

Remarque

Nom de la règle Détails Protocole Port
Paramètre DCOM microsoft System Center Data Protection Manager Nécessaire pour les communications DCOM entre le serveur DPM et les ordinateurs protégés. DCOM 135/TCP dynamique
Microsoft System Center Data Protection Manager Exception pour Msdpm.exe (service DPM). S'exécute sur le serveur DPM. Tous les protocoles Tous les ports
Microsoft System Center Data Protection Manager Replication Agent Exception pour Dpmra.exe (service d’agent de protection utilisé pour sauvegarder et restaurer les données). S'exécute sur le serveur DPM et les ordinateurs protégés. Tous les protocoles Tous les ports

Comment configurer manuellement le Pare-feu Windows

  1. Dans le Gestionnaire de serveur, sélectionnez Serveur local>Outils>Pare-feu Windows avec fonctions avancées de sécurité.

  2. Dans le Pare-feu Windows avec la console Advanced Security , vérifiez que le Pare-feu Windows est activé pour tous les profils, puis sélectionnez Règles de trafic entrant.

  3. Pour créer une exception, dans le volet Actions, sélectionnez Nouvelle règle pour ouvrir l’Assistant Nouvelle règle de trafic entrant.

    Dans la page Type de règle, vérifiez que le programme est sélectionné, puis sélectionnez Suivant.

  4. Configurez des exceptions qui correspondent aux règles par défaut que le programme d’installation de DPM aurait créées si le Pare-feu Windows avait été activé pendant l’installation de DPM.

    1. Pour créer manuellement l’exception qui correspond à la règle Microsoft System Center 2012 R2 Data Protection Manager par défaut sur la page Programme, sélectionnez Rechercher le chemin d’accès de ce programme, puis accédez à la <lettre> de lecteur système :\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Ouvrir>suivant.

      Dans la page Action, conservez le paramètre par défaut Autoriser la connexion ou modifiez les paramètres en fonction des instructions >de votre organisation Suivant.

      Dans la page Profil , conservez les paramètres par défaut de Domaine, Privé et Public ou modifiez les paramètres en fonction des instructions >de votre organisation Suivant.

      Dans la page Nom, tapez un nom pour la règle et éventuellement une description >Terminer.

    2. Suivez maintenant les mêmes étapes pour créer manuellement l’exception qui correspond à la règle de l’Agent de réplication de protection des données Microsoft System Center 2012 R2 par défaut en accédant à la <lettre> du lecteur système :\Program Files\Microsoft DPM\DPM\bin et en sélectionnant Dpmra.exe.

      Si vous exécutez System Center 2012 R2 avec SP1, les règles par défaut sont nommées à l’aide de Microsoft System Center 2012 Service Pack 1 Data Protection Manager.

Configurer le Pare-feu Windows sur l’instance distante de SQL Server

  • Si vous utilisez une instance distante de SQL Server pour votre base de données DPM, dans le cadre du processus, vous devez configurer le Pare-feu Windows sur cette instance distante de SQL Server.

  • Une fois l’installation de SQL Server terminée, le protocole TCP/IP doit être activé pour l’instance DPM de SQL Server avec les paramètres suivants :

    • audit des échecs par défaut ;

    • vérification de la stratégie de mot de passe activée.

  • Configurez une exception entrante pour sqlservr.exe pour l’instance DPM de SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80.

  • L'instance par défaut du moteur de base de données écoute sur le port TCP 1443. Ce paramètre peut être modifié. Pour utiliser le service SQL Server Browser pour vous connecter aux instances qui n'écoutent pas sur le port 1433 par défaut, vous avez besoin du port UDP 1434.

  • Par défaut, une instance nommée de SQL Server utilise des ports dynamiques. Ce paramètre peut être modifié.

  • Vous pouvez identifier le numéro de port actuellement utilisé par le moteur de base de données dans le journal des erreurs SQL Server. Vous pouvez consulter les journaux des erreurs à l’aide de SQL Server Management Studio et en vous connectant à l’instance nommée. Vous pouvez consulter le journal actuel sous Administration – Journaux SQL Server dans l’entrée « Le serveur écoute sur [numéro_port <ipv4> « quelconque »] ».

    Vous devez activer l’appel de procédure distante (RPC) sur l’instance distante de SQL Server.