Firewallinstellingen configureren in DPM
Een veelgestelde vraag die zich voordoet tijdens de implementatie van System Center Data Protection Manager (DPM) servers en DPM-agenten betreft welke poorten op de firewall moeten worden geopend. In dit artikel worden de firewallpoorten en -protocollen geïntroduceerd die DPM gebruikt voor netwerkverkeer. Zie voor meer informatie over firewall-uitzonderingen voor DPM-clients: Firewall-uitzonderingen configureren voor de agent.
| Protocol | Haven | Bijzonderheden |
|---|---|---|
| DCOM | 135/TCP Dynamisch | DCOM wordt gebruikt door de DPM-server en de DPM-beveiligingsagent om opdrachten en antwoorden uit te geven. DPM geeft opdrachten aan de beveiligingsagent door DCOM-aanroepen van de agent aan te roepen. De beveiligingsagent reageert door DCOM-aanroepen op de DPM-server aan te roepen. TCP-poort 135 is het DCE-eindpuntomzettingspunt dat wordt gebruikt door DCOM. Standaard wijst DCOM dynamisch poorten toe vanuit het TCP-poortbereik van 1024 tot en met 65535. U kunt Component Services echter gebruiken om het TCP-poortbereik aan te passen. Voer hiervoor de volgende stappen uit: 1. Selecteer in IIS 7.0-beheer in het deelvenster Verbindingen het knooppunt op serverniveau in de structuur. 2. Dubbelklik in de lijst met functies op het pictogram FTP-firewallondersteuning. 3. Voer een waardenbereik in voor het gegevenskanaalpoortbereik voor uw FTP-service. 4. Selecteer in het deelvenster ActiesToepassen om uw configuratie-instellingen op te slaan. |
| TCP | 5718/TCP 5719/TCP |
Het DPM-gegevenskanaal is gebaseerd op TCP. Zowel DPM als de beveiligde computer initieert verbindingen om DPM-bewerkingen in te schakelen, zoals synchronisatie en herstel. DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719. |
| TCP | 6075/TCP | Ingeschakeld wanneer u een beveiligingsgroep maakt om clientcomputers te beveiligen. Vereist voor herstel door eindgebruikers. Er wordt een uitzondering gemaakt in Windows Firewall (DPMAM_WCF_Service) voor het programma Amscvhost.exe wanneer u Central Console inschakelt voor DPM in Operations Manager. |
| DNS | 53/UDP | Wordt gebruikt voor hostnaamomzetting tussen DPM en de domeincontroller, en tussen de beveiligde computer en de domeincontroller. |
| Kerberos | 88/UDP 88/TCP |
Wordt gebruikt voor verificatie van het verbindingseindpunt tussen DPM en de domeincontroller, en tussen de beveiligde computer en de domeincontroller. |
| LDAP | 389/TCP 389/UDP |
Wordt gebruikt voor query's tussen DPM en de domeincontroller. |
| NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Wordt gebruikt voor diverse bewerkingen tussen DPM en de beveiligde computer, tussen DPM en de domeincontroller, en tussen de beveiligde computer en de domeincontroller. Wordt gebruikt voor DPM-functies voor Server Message Block (SMB) wanneer deze rechtstreeks wordt gehost op TCP/IP. |
Windows Firewall-instellingen
Als Windows Firewall is ingeschakeld wanneer u DPM installeert, configureert de DPM-installatie de Windows Firewall-instellingen zoals vereist, samen met de regels en uitzonderingen. De instellingen worden samengevat in de volgende tabel.
Notitie
- Als u op zoek bent naar informatie over het instellen van firewall-uitzonderingen voor computers die DPM helpt beveiligen, raadpleegt u Firewall-uitzonderingen configureren voor de agent.
- Als Windows Firewall niet beschikbaar was toen u DPM installeerde, raadpleegt u Windows Firewall handmatigconfigureren.
- Als u de DPM-database uitvoert op een extern exemplaar van SQL Server, moet u verschillende firewall-uitzonderingen instellen op het externe exemplaar van de SQL Server. Zie Windows Firewall instellen op het externe exemplaar van SQL Server.
| Regelnaam | Bijzonderheden | Protocol | Haven |
|---|---|---|---|
| DCOM-instelling van Microsoft System Center Data Protection Manager | Vereist voor DCOM-communicatie tussen de DPM-server en beveiligde computers. | DCOM | 135/TCP Dynamisch |
| Microsoft System Center Data Protection Manager | Uitzondering voor Msdpm.exe (de DPM-service). Wordt uitgevoerd op de DPM-server. | Alle protocollen | Alle poorten |
| Microsoft System Center Data Protection Manager-replicatieagent | Uitzondering voor Dpmra.exe (beveiligingsagentservice die wordt gebruikt voor het maken van back-ups en het herstellen van gegevens). Wordt uitgevoerd op de DPM-server en beveiligde computers. | Alle protocollen | Alle poorten |
Windows Firewall handmatig configureren
Selecteer in Serverbeheer Lokale server>Tools>Windows Firewall met Geavanceerde beveiliging.
Controleer in de console Windows Firewall met Geavanceerde beveiliging of Windows Firewall is ingeschakeld voor alle profielen en selecteer vervolgens regels voor inkomend verkeer.
Als u een uitzondering wilt maken, selecteert u in het deelvenster ActiesNieuwe regel om de wizard Nieuwe binnenkomende regel te openen.
Controleer op de pagina Regeltype of het programma is geselecteerd en selecteer vervolgens Volgende.
Configureer uitzonderingen die overeenkomen met de standaardregels die door DPM Setup zouden zijn gemaakt als Windows Firewall was ingeschakeld toen DPM werd geïnstalleerd.
Als u handmatig de uitzondering wilt maken die overeenkomt met de standaardregel Microsoft System Center 2012 R2 Data Protection Manager op de pagina Program, selecteert u Bladeren voor het vak Dit programmapad en bladert u vervolgens naar <stationsletter>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Open>Volgende.
Laat op de pagina Actie de standaardinstelling van De verbinding toestaan of wijzig de instellingen volgens de richtlijnen van uw organisatie >Volgende.
Laat op de pagina Profiel de standaardinstellingen van Domein, Privaaten Openbaar staan, of wijzig de instellingen volgens de richtlijnen van uw organisatie en klik op >Volgende.
Typ op de pagina Naam een naam voor de regel en eventueel een beschrijving in. Klik vervolgens op >opVoltooien.
Volg nu dezelfde stappen om handmatig de uitzondering te maken die overeenkomt met de standaardregel microsoft System Center 2012 R2 Data Protection Replication Agent door te bladeren naar <stationsletter van het systeem>:\Program Files\Microsoft DPM\DPM\bin en Dpmra.exete selecteren.
Als u System Center 2012 R2 met SP1 uitvoert, worden de standaardregels benoemd met behulp van Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Windows Firewall instellen op het externe exemplaar van de SQL Server
Als u een extern exemplaar van de SQL Server voor uw DPM-database gebruikt als onderdeel van het proces, moet u Windows Firewall configureren op dat externe exemplaar van de SQL Server.
Nadat de INSTALLATIE van SQL Server is voltooid, moet het TCP/IP-protocol zijn ingeschakeld voor het DPM-exemplaar van de SQL Server, samen met de volgende instellingen:
Standaardfoutcontrole
Controle van wachtwoordbeleid ingeschakeld
Configureer een binnenkomende uitzondering voor sqlservr.exe voor het DPM-exemplaar van de SQL Server om TCP toe te staan op poort 80. De rapportserver luistert naar HTTP-aanvragen op poort 80.
Het standaardexemplaar van de database-engine luistert op TCP-poort 1443. Deze instelling kan worden gewijzigd. Als u de SQL Server Browser-service wilt gebruiken om verbinding te maken met exemplaren die niet luisteren op de standaardpoort van 1433, hebt u UDP-poort 1434 nodig.
Een benoemd exemplaar van de SQL Server maakt standaard gebruik van dynamische poorten. Deze instelling kan worden gewijzigd.
U kunt het huidige poortnummer zien dat wordt gebruikt door de database-engine in het foutenlogboek van SQL Server. U kunt foutenlogboeken weergeven met behulp van SQL Server Management Studio en verbinding maken met het benoemde exemplaar. U kunt het huidige logboek bekijken onder Beheer: SQL Server-logboeken in de vermelding 'Server luistert op ['any' <ipv4> port_number].
U moet externe procedure-aanroep (RPC) inschakelen op het externe exemplaar van de SQL Server.