Konfigurera brandväggsinställningar i DPM
En vanlig fråga som uppstår under distributionen av System Center Data Protection Manager -servern (DPM) och DPM-agentdistributionen gäller vilka portar som måste öppnas i brandväggen. I den här artikeln beskrivs de brandväggsportar och protokoll som DPM använder för nätverkstrafik. Mer information om brandväggsfel för DPM-klienter finns i: Konfigurera brandväggsfel för agenten.
| Protokoll | Hamn | Detaljer |
|---|---|---|
| DCOM | 135/TCP Dynamisk | DCOM används av DPM-servern och DPM-skyddsagenten för att utfärda kommandon och svar. DPM utfärdar kommandon till skyddsagenten genom att anropa DCOM-anrop på agenten. Skyddsagenten svarar genom att anropa DCOM-anrop på DPM-servern. TCP-port 135 är DCE-slutpunktsupplösningspunkten som används av DCOM. Som standard tilldelar DCOM portar dynamiskt från TCP-portintervallet 1024 till 65535. Du kan dock använda Komponenttjänster för att justera TCP-portintervallet. Gör detta genom att följa dessa steg: 1. I IIS 7.0 Manager i fönstret Anslutningar väljer du noden på servernivå i trädet. 2. Dubbelklicka på ikonen FTP-brandväggsstöd i listan över funktioner. 3. Ange ett värdeintervall för Data Channel-portintervallet för FTP-tjänsten. 4. I fönstret Åtgärder väljer du Använd för att spara konfigurationsinställningarna. |
| TCP | 5718/TCP 5719/TCP |
DPM-datakanalen baseras på TCP. Både DPM och den skyddade datorn initierar anslutningar för att aktivera DPM-åtgärder, till exempel synkronisering och återställning. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719. |
| TCP | 6075/TCP | Aktiverad när du skapar en skyddsgrupp för att skydda klientdatorer. Krävs för slutanvändaråterställning. Ett undantag i Windows-brandväggen (DPMAM_WCF_Service) skapas för programmet Amscvhost.exe när du aktiverar central konsol för DPM i Operations Manager. |
| DNS | 53/UDP | Används för värdnamnsmatchning mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten. |
| Kerberos | 88/UDP 88/TCP |
Används för autentisering av anslutningsslutpunkten mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten. |
| LDAP | 389/TCP 389/UDP |
Används för frågor mellan DPM och domänkontrollanten. |
| Netbios | 137/UDP 138/UDP 139/TCP 445/TCP |
Används för diverse åtgärder mellan DPM och den skyddade datorn, mellan DPM och domänkontrollanten, och mellan den skyddade datorn och domänkontrollanten. Används för DPM-funktioner för SMB (Server Message Block) när det är direkt hostat på TCP/IP. |
Inställningar för Windows-brandväggen
Om Windows-brandväggen är aktiverad när du installerar DPM konfigurerar DPM-installationen inställningarna för Windows-brandväggen efter behov tillsammans med reglerna och undantagen. Inställningarna sammanfattas i följande tabell.
Anteckning
- Om du letar efter information om hur du konfigurerar brandväggsundantag för datorer som DPM hjälper till att skydda, se Konfigurera brandväggsundantag för agenten.
- Om Windows-brandväggen inte var tillgänglig när du installerade DPM läser du Så här konfigurerar du Windows-brandväggen manuellt.
- Om du kör DPM-databasen på en fjärrinstans av SQL Server måste du ställa in flera brandväggsundantag på SQL Server-fjärrinstansen. Se Konfigurera Windows-brandväggen på fjärrinstansen av SQL Server.
| Regelnamn | Detaljer | Protokoll | Hamn |
|---|---|---|---|
| DCOM-inställning för Microsoft System Center Data Protection Manager | Krävs för DCOM-kommunikation mellan DPM-servern och skyddade datorer. | DCOM | 135/TCP Dynamisk |
| Microsoft System Center Data Protection Manager | Undantag för Msdpm.exe (DPM-tjänsten). Körs på DPM-servern. | Alla protokoll | Alla portar |
| Replikeringsagent för Microsoft System Center Data Protection Manager | Undantag för Dpmra.exe (skyddsagenttjänst som används för att säkerhetskopiera och återställa data). Körs på DPM-servern och skyddade datorer. | Alla protokoll | Alla portar |
Så här konfigurerar du Windows-brandväggen manuellt
I Serverhanteraren väljer du Local Server>Tools>Windows Firewall med Advanced Security.
I Windows-brandväggen med advanced security-konsolen kontrollerar du att Windows-brandväggen är aktiverad för alla profiler och väljer sedan Inkommande regler.
Om du vill skapa ett undantag i fönstret Åtgärder väljer du Ny regel för att öppna guiden ny inkommande regel.
På sidan regeltyp kontrollerar du att Program är markerat och sedan väljer du Nästa.
Konfigurera undantag så att de matchar standardreglerna som skulle ha skapats av DPM-installationen om Windows-brandväggen hade aktiverats när DPM installerades.
För att manuellt skapa undantaget som matchar standardregeln i Microsoft System Center 2012 R2 Data Protection Manager på sidan Program, väljer du Bläddra i rutan Den här programsökvägen och navigerar sedan till <enhetsbeteckning för systemet>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Öppna>Nästa.
På sidan Åtgärd lämnar du standardinställningen Tillåt anslutningen eller ändrar inställningarna enligt organisationens riktlinjer >Nästa.
På sidan Profil lämnar du standardinställningarna för Domain, Privateoch Public eller ändrar inställningarna enligt organisationens riktlinjer >Nästa.
På sidan Namn anger du ett namn för regeln och en beskrivning >Slutför.
Följ nu samma steg för att manuellt skapa undantaget som matchar standardregeln för Microsoft System Center 2012 R2 Data Protection Replication Agent genom att bläddra till <systemenhetsbeteckning>:\Program Files\Microsoft DPM\DPM\bin och välja Dpmra.exe.
Om du kör System Center 2012 R2 med SP1 namnges standardreglerna med hjälp av Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Konfigurera Windows-brandväggen på fjärrinstansen av SQL Server
Om du använder en fjärrinstans av SQL Server för din DPM-databas måste du som en del av processen konfigurera Windows-brandväggen på den fjärrinstansen av SQL Server.
När SQL Server-installationen är klar ska TCP/IP-protokollet aktiveras för DPM-instansen av SQL Server tillsammans med följande inställningar:
Standardfelgranskning
Aktiverad policykontroll för lösenord
Konfigurera ett inkommande undantag för sqlservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-begäranden på port 80.
Standardinstansen av databasmotorn lyssnar på TCP-port 1443. Den här inställningen kan ändras. Om du vill använda SQL Server Browser-tjänsten för att ansluta till instanser som inte lyssnar på standardporten 1433 behöver du UDP-port 1434.
Som standard använder en namngiven instans av SQL Server dynamiska portar. Den här inställningen kan ändras.
Du kan se det aktuella portnumret som används av databasmotorn i SQL Server-felloggen. Du kan visa felloggar med hjälp av SQL Server Management Studio och ansluta till den namngivna instansen. Du kan visa den aktuella loggen under Management – SQL Server-loggar i posten "Servern lyssnar på ['any' <ipv4> port_number]."
Du måste aktivera fjärrproceduranrop (RPC) på fjärrinstansen av SQL Server.