Configurare le impostazioni del firewall in DPM
Una domanda comune che si verifica durante la distribuzione del server System Center Data Protection Manager (DPM) e la distribuzione dell'agente DPM riguarda quali porte devono essere aperte sul firewall. Questo articolo descrive le porte del firewall e i protocolli usati da DPM per il traffico di rete. Per altre informazioni sulle eccezioni del firewall per i client DPM, vedere Configurare le eccezioni del firewall per l'agente.
| Protocollo | Porta | Dettagli |
|---|---|---|
| DCOM | 135/TCP dinamica | Il server DPM e l'agente protezione DPM usano il protocollo DCOM per emettere comandi e risposte. DPM genera i comandi per l'agente protezione eseguendo chiamate DCOM sull'agente. L'agente protezione risponde eseguendo chiamate DCOM sul server DPM. La porta TCP 135 è il punto di risoluzione endpoint DCE usato da DCOM. Per impostazione predefinita, DCOM assegna le porte dinamicamente dall'intervallo di porte TCP compreso tra 1024 e 65535. Tuttavia, è possibile usare Servizi componenti per regolare l'intervallo di porte TCP. A tale scopo, effettuare i passaggi seguenti: 1. In Gestione IIS 7.0, nel riquadro Connessioni selezionare il nodo a livello di server nell'albero. 2. Nell'elenco delle funzionalità fare doppio clic sull'icona Supporto firewall FTP. 3. Immettere un intervallo di valori per l'intervallo di porte del canale dati per il servizio FTP. 4. Nel riquadro Azioni selezionare Applica per salvare le impostazioni di configurazione. |
| TCP | 5718/TCP 5719/TCP |
Il canale dati di DPM è basato sul protocollo TCP. Sia DPM che il computer protetto avviano le connessioni per abilitare le operazioni DPM, ad esempio sincronizzazione e ripristino. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719. |
| TCP | 6075/TCP | Abilitato quando si crea un gruppo di protezione per consentire di proteggere i computer client. Obbligatorio per il ripristino dell'utente finale. Quando si abilita la console centrale per DPM in Operations Manager viene creata un'eccezione in Windows Firewall (DPMAM_WCF_Service) per il programma Amscvhost.exe. |
| DNS | 53/UDP | Usato per la risoluzione del nome host tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio. |
| Kerberos | 88/UDP 88/TCP |
Usato per l'autenticazione dell'endpoint di connessione tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio. |
| LDAP | 389/TCP 389/UDP |
Usato per le query tra DPM e il controller di dominio. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Usato per operazioni varie tra DPM e il computer protetto, tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio. Usato per le funzioni DPM per Server Message Block (SMB) quando è ospitato direttamente su TCP/IP. |
Impostazioni di Windows Firewall
Se Windows Firewall è abilitato quando si installa DPM, il programma di installazione di DPM configura le impostazioni di Windows Firewall in base alle esigenze insieme alle regole e alle eccezioni. Le impostazioni sono riepilogate nella tabella seguente.
Nota
- Per informazioni sulla configurazione di eccezioni firewall per computer protetti da DPM, vedere Configure firewall exceptions for the agent.
- Se Windows Firewall non era disponibile durante l'installazione di DPM, vedere Come configurare Windows Firewall manualmente.
- Se si esegue il database DPM in un'istanza remota di SQL Server, è necessario configurare diverse eccezioni del firewall nell'istanza remota di SQL Server. Vedi Configurare Windows Firewall nell'istanza remota di SQL Server.
| Nome regola | Dettagli | Protocollo | Porta |
|---|---|---|---|
| Impostazione DCOM di Microsoft System Center Data Protection Manager | Richiesta per le comunicazioni DCOM tra il server DPM e i computer protetti. | DCOM | 135/TCP dinamica |
| Microsoft System Center Data Protection Manager | Eccezione per Msdpm.exe (il servizio DPM). Eseguita nel server DPM. | Tutti i protocolli | Tutte le porte |
| Agente di replica di Microsoft System Center Data Protection Manager | Eccezione per Dpmra.exe (servizio agente protezione usato per eseguire il backup e il ripristino dei dati). Eseguita sul server DPM e sui computer protetti. | Tutti i protocolli | Tutte le porte |
Come configurare Windows Firewall manualmente
In Server Manager, selezionare Server locale>Strumenti>Windows Firewall con protezione avanzata.
Nella console di Windows Firewall con sicurezza avanzata verificare che Windows Firewall sia attivo per tutti i profili e quindi selezionare Regole in ingresso.
Per creare un'eccezione, nel riquadro Azioni selezionare Nuova regola per aprire la Creazione guidata nuova regola in ingresso.
Nella pagina Tipo di regola verificare che l'opzione Programma sia selezionata e quindi selezionare Avanti.
Configurare le eccezioni corrispondenti alle regole predefinite che sarebbero state create da DPM se Windows Firewall fosse stato abilitato durante l'installazione di DPM.
Per creare manualmente l'eccezione corrispondente alla regola predefinita di Microsoft System Center 2012 R2 Data Protection Manager nella pagina Programma, selezionare Sfoglia per il percorso del programma e quindi passare alla <lettera> di unità di sistema:\Programmi\Microsoft DPM\DPM\bin>Msdpm.exe>Apri>successivo.
Nella pagina Azione lasciare l'impostazione predefinita Consenti la connessione o modificare le impostazioni in base alle linee guida >dell'organizzazione Avanti.
Nella pagina Profilo lasciare le impostazioni predefinite di Dominio, Privato e Pubblico o modificare le impostazioni in base alle linee guida >dell'organizzazione Avanti.
Nella pagina Nome digitare un nome per la regola e facoltativamente una descrizione >Fine.
A questo punto, seguire la stessa procedura per creare manualmente l'eccezione corrispondente alla regola predefinita dell'agente di replica di Protezione dati di Microsoft System Center 2012 R2 passando alla <lettera> di unità di sistema:\Programmi\Microsoft DPM\DPM\bin e selezionando Dpmra.exe.
Se si esegue System Center 2012 R2 con SP1, le regole predefinite verranno denominate usando Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Configurare Windows Firewall nell'istanza remota di SQL Server
Se si usa un'istanza remota di SQL Server per il database DPM, come parte del processo, sarà necessario configurare Windows Firewall in tale istanza remota di SQL Server.
Al termine dell'installazione di SQL Server, il protocollo TCP/IP deve essere abilitato per l'istanza DPM di SQL Server insieme alle impostazioni seguenti:
Controllo errori predefinito
Controllo criteri password abilitato
Configurare un'eccezione in ingresso per sqlservr.exe per l'istanza DPM di SQL Server per consentire TCP sulla porta 80. Il server di report è in attesa delle richieste HTTP sulla porta 80.
L'istanza predefinita del motore di database è in ascolto sulla porta TCP 1443. Questa impostazione può essere modificata. Per usare il servizio SQL Server Browser per connettersi alle istanze che non sono in ascolto sulla porta predefinita 1433, servirà la porta UDP 1434.
Per impostazione predefinita, un'istanza denominata di SQL Server usa porte dinamiche. Questa impostazione può essere modificata.
È possibile vedere il numero di porta corrente usato dal motore di database nel log degli errori di SQL Server. È possibile visualizzare i log degli errori usando SQL Server Management Studio e connettendosi all'istanza denominata. È possibile visualizzare il log corrente in Gestione - Log di SQL Server nella voce "Server è in ascolto su ['any' <ipv4> port_number]."
Sarà necessario abilitare la chiamata di procedura remota (RPC) nell'istanza remota di SQL Server.