在 DPM 中配置防火墙设置
System Center Data Protection Manager (DPM) 服务器部署和 DPM 代理部署过程中出现的常见问题涉及必须在防火墙上打开哪些端口。 本文介绍 DPM 用于网络流量的防火墙端口和协议。 有关 DPM 客户端的防火墙例外的详细信息,请参阅: 为代理配置防火墙例外。
| 协议 | 端口 | 详细信息 |
|---|---|---|
| DCOM | 135/TCP 动态 | DCOM 由 DPM 服务器和 DPM 保护代理使用以发出命令和响应。 DPM 通过在保护代理上引发 DCOM 调用向保护代理发出命令。 保护代理通过在 DPM 服务器上引发 DCOM 调用来响应。 TCP 端口 135 是 DCOM 使用的 DCE 终结点解析点。 默认情况下,DCOM 自动分配 TCP 端口范围 在 1024 到 65535 之间的端口。 但是,可以使用组件服务调整 TCP 端口范围。 为此,请按照下列步骤进行操作: 1. 在 IIS 7.0 管理器的 “连接 ”窗格中,选择树中的服务器级节点。 2. 在功能列表中,双击“FTP 防火墙支持”图标。 3. 为 FTP 服务的“数据通道端口范围”输入值范围 。 4.在“操作”窗格中,选择“应用”以保存配置设置。 |
| TCP | 5718/TCP 5719/TCP |
DPM 数据通道基于 TCP。 DPM 和受保护的计算机都启动连接以启用 DPM 操作,例如同步和恢复。 DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。 |
| TCP | 6075/TCP | 当创建用于保护客户端计算机的保护组时启用。 最终用户恢复需要。 当在 Operations Manager 中为 DPM 启用中央控制台时,将为程序 Amscvhost.exe 创建 Windows 防火墙 (DPMAM_WCF_Service) 例外。 |
| DNS | 53/UDP | 在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于解析主机名。 |
| Kerberos | 88/UDP 88/TCP |
在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于验证连接终结点。 |
| LDAP | 389/TCP 389/UDP |
在 DPM 与域控制器之间使用,用于执行查询。 |
| NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
在 DPM 与受保护的计算机之间、在 DPM 与域控制器之间以及在受保护的计算机与域控制器之间使用,用于执行其他操作。 用于直接托管在 TCP/IP 上的服务器消息块(SMB)的 DPM 函数。 |
Windows 防火墙设置
如果在安装 DPM 时启用了 Windows 防火墙,DPM 安装程序会根据需要配置 Windows 防火墙设置以及规则和例外。 下表汇总了这些设置。
注意
- 如果要查找有关如何为受 DPM 保护的计算机设置防火墙例外的信息,请参阅 Configure firewall exceptions for the agent。
- 如果安装 DPM 时 Windows 防火墙不可用,请参阅 如何手动配置 Windows 防火墙。
- 如果在 SQL Server 的远程实例上运行 DPM 数据库,则必须在 SQL Server 的远程实例上设置多个防火墙例外。 请参阅 在 SQL Server 的远程实例上设置 Windows 防火墙。
| 规则名称 | 详细信息 | 协议 | 端口 |
|---|---|---|---|
| Microsoft 系统中心数据保护管理器 DCOM 设置 | 在 DPM 服务器和受保护的计算机之间进行 DCOM 通信时需要。 | DCOM | 135/TCP 动态 |
| Microsoft System Center Data Protection Manager | Msdpm.exe 例外(DPM 服务)。 在 DPM 服务器上运行。 | 所有协议 | 所有端口 |
| Microsoft 系统中心数据保护管理器复制代理 | Dpmra.exe 例外(用于备份和还原数据的保护代理服务)。 在 DPM 服务器和受保护的计算机上运行。 | 所有协议 | 所有端口 |
如何手动配置 Windows 防火墙
在服务器管理器中,选择具有高级安全性的本地服务器>工具>Windows 防火墙。
在高级安全控制台的 Windows 防火墙中,验证 Windows 防火墙是否适用于所有配置文件,然后选择“入站规则”。
若要创建异常,请在 “操作 ”窗格中,选择“ 新建规则 ”以打开 “新建入站规则 向导”。
在 “规则类型 ”页上,验证 是否选择了“程序 ”,然后选择“ 下一步”。
如果安装 DPM 时启用了 Windows 防火墙,则配置例外以匹配由 DPM 安装程序创建的默认规则。
若要在“程序”页上手动创建与默认Microsoft System Center 2012 R2 Data Protection Manager 规则匹配的异常,请选择“浏览此程序路径”框,然后浏览到<系统驱动器号>:\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>“打开>下一步”。
在“操作”页上,保留“允许连接”默认设置,或根据组织的“下一步”>准则更改设置。
在“配置文件”页上,保留“域”、“专用”和“公共”的默认设置,或根据组织的“下一步”>指南更改设置。
在“名称”页上,为规则键入名称并根据需要键入描述 >“完成”。
现在,按照相同的步骤手动创建与默认 Microsoft System Center 2012 R2 数据保护复制代理规则匹配的异常,方法是浏览到 <系统驱动器号>:\Program Files\Microsoft DPM\DPM\bin 并选择 Dpmra.exe。
如果要使用 SP1 运行 System Center 2012 R2,将使用 Microsoft System Center 2012 Service Pack 1 Data Protection Manager 命名默认规则。
在 SQL Server 的远程实例上设置 Windows 防火墙
如果将 SQL Server 的远程实例用于 DPM 数据库的一部分,则必须在 SQL Server 的该远程实例上配置 Windows 防火墙。
SQL Server 安装完成后,应为 SQL Server 的 DPM 实例启用 TCP/IP 协议以及以下设置:
默认失败审核
启用密码策略检查
为 SQL Server 的 DPM 实例sqlservr.exe配置传入异常,以允许端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。
数据库引擎的默认实例侦听 TCP 端口 1443。 此设置可以更改。 若要使用 SQL Server Browser 服务连接到不在默认 1433 端口侦听的实例,需要 UDP 端口 1434。
默认情况下,SQL Server 的命名实例使用动态端口。 此设置可以更改。
可以在 SQL Server 错误日志中查看数据库引擎使用的当前端口号。 可以通过使用 SQL Server Management Studio 并连接到命名实例来查看错误日志。 可以在“管理 – SQL Server 日志”下的条目“服务器正在侦听 [‘any’ <ipv4> port_number]”中查看当前日志。
必须在 SQL Server 的远程实例上启用远程过程调用(RPC)。