Настройка параметров брандмауэра в DPM
Распространенный вопрос, возникающий во время развертывания сервера System Center Data Protection Manager (DPM) и развертывания агента DPM, которые должны быть открыты на брандмауэре. В этой статье описаны порты брандмауэра и протоколы, используемые DPM для обработки сетевого трафика. Дополнительные сведения об исключениях брандмауэра для клиентов DPM см. в статье "Настройка исключений брандмауэра для агента".
| Протокол | Порт | Сведения |
|---|---|---|
| DCOM | 135/TCP, динамический | Сервер DPM и агент защиты DPM используют DCOM для отправки команд и откликов. DPM дает команды агенту защиты, создавая для него вызовы DCOM. Агент защиты отвечает, создавая вызовы DCOM на сервере DPM. TCP-порт 135 — это точка разрешения конечных точек DCE, используемая DCOM. По умолчанию DCOM динамически назначает порты из диапазона TCP-портов от 1024 до 65 535. Однако для настройки диапазона TCP-портов можно использовать службы компонентов. Для этого выполните следующие шаги. 1. В диспетчере IIS 7.0 в области "Подключения " выберите узел уровня сервера в дереве. 2. Дважды щелкните значок Поддержка брандмауэра FTP в списке компонентов. 3. Укажите диапазон значений в поле Диапазон портов канала данных для своей службы FTP. 4. В области действий нажмите кнопку "Применить ", чтобы сохранить параметры конфигурации. |
| TCP | 5718/TCP 5719/TCP |
Канал данных DPM основан на протоколе TCP. DPM и защищенный компьютер инициируют подключения для включения операций DPM, таких как синхронизация и восстановление. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. |
| TCP | 6075/TCP | Включен, когда вы создаете группу защиты для защиты клиентских компьютеров. Требуется для восстановления конечных пользователей. Если в Operations Manager включить центральную консоль DPM, то в брандмауэре Windows для программы Amscvhost.exe создается исключение DPMAM_WCF_Service. |
| DNS | 53/UDP | Используется для разрешения имен узлов при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. |
| Kerberos | 88/UDP 88/TCP |
Используются для проверки подлинности конечной точки подключения при обмене данными между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. |
| LDAP | 389/TCP 389/UDP |
Используются для передачи запросов между DPM и контроллером домена. |
| NetBios; | 137/UDP 138/UDP 139/TCP 445/TCP |
Используются для выполнения прочих операций при обмене данными между DPM и защищенным компьютером, между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена. Используется для функций DPM для блока сообщений сервера (SMB) при непосредственном размещении на TCP/IP. |
Параметры брандмауэра Windows
Если брандмауэр Windows включен при установке DPM, программа установки DPM настраивает параметры брандмауэра Windows в соответствии с правилами и исключениями. Параметры приведены в следующей таблице.
Примечание.
- Сведения о настройке исключений брандмауэра для компьютеров, защищенных DPM, см. в статье Configure firewall exceptions for the agent.
- Если при установке DPM брандмауэр Windows был недоступен, см. статью Настройка брандмауэра Windows вручную.
- При запуске базы данных DPM на удаленном экземпляре SQL Server необходимо настроить несколько исключений брандмауэра на удаленном экземпляре SQL Server. См. раздел Настройка брандмауэра Windows на удаленном экземпляре SQL Server.
| Имя правила | Сведения | Протокол | Порт |
|---|---|---|---|
| Параметр DCOM Microsoft System Center Data Protection Manager | Необходимо для обмена данными между сервером DPM и защищенными компьютерами по протоколу DCOM. | DCOM | 135/TCP, динамический |
| Microsoft System Center Data Protection Manager | Исключение для файла Msdpm.exe (служба DPM). Работает на сервере DPM. | Все протоколы | Все порты |
| Агент репликации Microsoft System Center Data Protection Manager | Исключение для файла Dpmra.exe (служба агента защиты, используемая для архивации и восстановления данных). Работает на сервере DPM и защищенных компьютерах. | Все протоколы | Все порты |
Настройка брандмауэра Windows вручную
В диспетчере серверов последовательно выберите пункты Локальный сервер>Инструменты>Брандмауэр Windows в режиме повышенной безопасности.
В брандмауэре Windows с расширенной безопасностью убедитесь, что брандмауэр Windows включен для всех профилей, а затем выберите "Правила для входящего трафика".
Чтобы создать исключение, в области "Действия " выберите "Создать правило ", чтобы открыть мастер создания правила для входящего трафика .
На странице "Тип правила" убедитесь, что выбрана программа, а затем нажмите кнопку "Далее".
Если при установке DPM был включен брандмауэр Windows, то настройте исключения согласно правилам по умолчанию, созданным программой установки DPM.
Чтобы вручную создать исключение, соответствующее правилу Microsoft System Center 2012 R2 Data Protection Manager на странице программы, выберите "Обзор пути к этой программе", а затем перейдите к <букве> диска системы:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Открыть>далее.
На странице "Действие" оставьте параметр по умолчанию разрешить подключение или измените параметры в соответствии с рекомендациями >вашей организации Далее.
На странице профиля оставьте параметры домена, частного и общедоступного или измените параметры в соответствии с рекомендациями >вашей организации далее.
На странице Имя введите имя правила и (при необходимости) его описание, а затем нажмите кнопку Готово.
Теперь выполните те же действия, чтобы вручную создать исключение, соответствующее правилу агента репликации защиты данных Microsoft System Center 2012 R2, перейдя к <системному букве> диска:\Program Files\Microsoft DPM\DPM\bin и выбрав Dpmra.exe.
Если вы используете System Center 2012 R2 с пакетом обновления 1 (SP1), правила по умолчанию будут называться с помощью Microsoft System Center 2012 с пакетом обновления 1 (SP1).
Настройка брандмауэра Windows на удаленном экземпляре SQL Server
Если вы используете удаленный экземпляр SQL Server для базы данных DPM в рамках процесса, необходимо настроить брандмауэр Windows на этом удаленном экземпляре SQL Server.
После завершения установки SQL Server протокол TCP/IP должен быть включен для экземпляра DPM SQL Server вместе со следующими параметрами:
Аудит отказов по умолчанию
Включенная проверка политики паролей
Настройте входящее исключение для sqlservr.exe для экземпляра DPM SQL Server, чтобы разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80.
Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443. Этот параметр можно изменить. Чтобы использовать службу браузера SQL Server для подключения к экземплярам, которые не прослушивают заданный по умолчанию порт 1433, потребуется UDP-порт 1434.
По умолчанию именованный экземпляр SQL Server использует динамические порты. Этот параметр можно изменить.
Просмотреть текущий номер порта, используемый ядром СУБД, можно в журнале ошибок SQL Server. Журналы ошибок можно просмотреть с помощью SQL Server Management Studio и при подключении к именованному экземпляру. Вы можете просмотреть текущий журнал в разделе Управление — Журналы SQL Server в записи "Сервер прослушивает ["любой" <ipv4> номер_порта]".
Необходимо включить удаленный вызов процедуры (RPC) на удаленном экземпляре SQL Server.