Konfigurera brandväggsinställningar i DPM
Viktigt
Den här versionen av Data Protection Manager (DPM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till DPM 2022.
En vanlig fråga som uppstår under distributionen av System Center Data Protection Manager-servern (DPM) och DPM-agentdistributionen gäller vilka portar som måste öppnas i brandväggen. I den här artikeln introduceras de brandväggsportar och protokoll som används av DPM för nätverkstrafik. Mer information om brandväggsfel för DPM-klienter finns i: Konfigurera brandväggsfel för agenten.
| Protokoll | Port | Information |
|---|---|---|
| DCOM | 135/TCP Dynamisk | DCOM används av DPM-servern och DPM-skyddsagenten för att utfärda kommandon och svar. DCOM utfärdar kommandon till skyddsagenten genom att aktivera DCOM-anrop på agenten. Skyddsagenten svarar genom att aktivera DCOM-anrop på DPM-servern. TCP-port 135 är den upplösningspunkt för DCE-slutpunkt som används av DCOM. Som standard tilldelar DCOM portar dynamiskt från TCP-portsintervallet 1 024 till 65 535. Du kan dock använda Component Services för att justera TCP-portintervallet. Det gör du genom att följa dessa steg: 1. I IIS 7.0 Manager i fönstret Connections väljer du noden på servernivå i trädet. 2. Dubbelklicka på ftp-brandväggssupportikonen i listan över funktioner. 3. Ange ett värdeintervall för portintervallet för datakanalen för FTP-tjänsten. 4. I fönstret Åtgärder väljer du Använd för att spara konfigurationsinställningarna. |
| TCP | 5718/TCP 5719/TCP |
DPM-datakanalen baseras på TCP. Både DPM och den skyddade datorn initierar anslutningar för att aktivera DPM-åtgärder, till exempel synkronisering och återställning. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719. |
| TCP | 6075/TCP | Aktiverad då du skapar en skyddsgrupp för att skydda klientdatorer. Krävs för slutanvändaråterställning. Ett undantag i Windows-brandväggen (DPMAM_WCF_Service) kommer att skapas för programmet Amscvhost.exe när du aktiverar den centrala konsolen för DPM i Operations Manager. |
| DNS | 53/UDP | Används för värdnamnsmatchning mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten. |
| Kerberos | 53/UDP 88/TCP |
Används för autentisering av anslutningens slutpunkt mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten. |
| LDAP | 389/TCP 389/UDP |
Används för frågor mellan DPM och domänkontrollanten. |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Används för olika åtgärder mellan DPM och den skyddade datorn, mellan DPM och domänkontrollanten samt mellan den skyddade datorn och domänkontrollanten. Används för DPM-funktioner för SMB (Server Message Block) när det finns direkt på TCP/IP. |
Inställningar för Windows-brandväggen
Om Windows-brandväggen är aktiverad när du installerar DPM konfigurerar DPM-konfigurationen inställningarna för Windows-brandväggen efter behov tillsammans med regler och undantag. Inställningarna sammanfattas i följande tabell.
Anteckning
- Mer information om hur du konfigurerar brandväggsundantag för datorer som skyddas av DPM finns i Configure firewall exceptions for the agent.
- Om Windows-brandväggen inte var tillgänglig när du installerade DPM, se Konfigurera Windows-brandväggen manuellt.
- Om du kör DPM-databasen på en fjärrinstans av SQL Server måste du konfigurera flera brandväggsfel på fjärrinstansen av SQL Server. Se Konfigurera Windows-brandväggen på en fjärrinstans av SQL Server.
| Regelnamn | Information | Protokoll | Port |
|---|---|---|---|
| Inställning av System Center 2012 Data Protection Manager DCOM | Krävs för DCOM-kommunikationen mellan DPM-servern och skyddade datorer. | DCOM | 135/TCP Dynamisk |
| Microsoft System Center 2012 Data Protection Manager | Undantag för msdpm.exe (DPM-tjänsten). Körs på DPM-servern. | Alla protokoll | Alla portar |
| Replikeringsagent för System Center 2012 Data Protection Manager | Undantag för Dpmra.exe (skyddsagenttjänst som används för att säkerhetskopiera och återställa data). Körs på DPM-servern och skyddade datorer. | Alla protokoll | Alla portar |
Konfigurera Windows-brandväggen manuellt
I Serverhanteraren väljer du Lokala serververktyg>>Windows-brandvägg med avancerad säkerhet.
I Windows-brandväggen med advanced security-konsolen kontrollerar du att Windows-brandväggen är aktiverad för alla profiler och väljer sedan Inkommande regler.
Om du vill skapa ett undantag går du till fönstret Åtgärder och väljer Ny regel för att öppna guiden Ny inkommande regel .
På sidan Regeltyp kontrollerar du att Programmet är markerat och väljer sedan Nästa.
Konfigurera undantag som matchar de standardregler som skulle ha skapats vid DPM-installationen om Windows-brandväggen hade aktiverats när DPM installerades.
Om du vill skapa undantaget manuellt som matchar standardregeln för Microsoft System Center 2012 R2 Data Protection Manager på sidan Program väljer du Bläddra efter rutan Den här programsökvägen och bläddrar sedan till <systemenhetsbeteckningen>:\Program\Microsoft DPM\DPM\bin>Msdpm.exe>Öppna>nästa.
På sidan Åtgärd lämnar du standardinställningen Tillåt anslutningen eller ändrar inställningarna enligt organisationens riktlinjer >Nästa.
På sidan Profil lämnar du standardinställningarna för Domän, Privat och Offentlig eller ändrar inställningarna enligt organisationens riktlinjer >Nästa.
På sidan Namn skriver du ett namn för regeln och kan också ange en beskrivning >Slutför.
Följ nu samma steg för att manuellt skapa undantaget som matchar standardregeln för Microsoft System Center 2012 R2 Data Protection Replication Agent genom att bläddra till <systemenhetsbeteckningen>:\Program Files\Microsoft DPM\DPM\bin och välja Dpmra.exe.
Om du kör System Center 2012 R2 med SP1 namnges standardreglerna med hjälp av Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Konfigurera Windows-brandväggen på fjärrinstansen av SQL Server
Om du använder en fjärrinstans av SQL Server för din DPM-databas måste du som en del av processen konfigurera Windows-brandväggen på den fjärrinstansen av SQL Server.
När SQL Server installationen är klar ska TCP/IP-protokollet aktiveras för DPM-instansen av SQL Server tillsammans med följande inställningar:
Standardgranskning vid fel
Aktiverade lösenordsprincipskontroll
Konfigurera ett inkommande undantag för sqlservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-förfrågningar på port 80.
Standardinstansen av databasmotorn lyssnar på TCP-port 1443. Den här inställningen kan ändras. Om du vill använda tjänsten SQL Server Browser för att ansluta till instanser som inte lyssnar på standardporten 1433 behöver du UDP-port 1434.
Som standard använder en namngiven instans av SQL Server dynamiska portar. Den här inställningen kan ändras.
Du kan se det aktuella portnumret som används av databasmotorn i felloggen för SQL Server. Du kan visa felloggarna genom att använda SQL Server Management Studio och ansluta till den namngivna instansen. Du kan visa den aktuella loggen under Hantering – SQL Server loggar i posten "Servern lyssnar på ['any' <ipv4> port_number]."
Du måste aktivera RPC (Remote Procedure Call) på fjärrinstansen av SQL Server.