Konfigurieren der Firewalleinstellungen in DPM
Wichtig
Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.
Eine häufige Frage, die sich während der Serverbereitstellung von System Center Data Protection Manager (DPM) und der DPM-Agent-Bereitstellung stellt, betrifft, welche Ports in der Firewall geöffnet werden müssen. In diesem Artikel werden die Firewallports und -protokolle eingeführt, die DPM für den Netzwerkverkehr verwendet. Weitere Informationen zu Firewallausnahmen für DPM-Clients finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.
Protocol | Port | Details |
---|---|---|
DCOM | 135/TCP Dynamic | DCOM wird vom DPM-Server und dem DPM-Schutz-Agent verwendet, um Befehle und Antworten auszugeben. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server. TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 1024 bis 65535 von DCOM dynamisch zugewiesen. Sie können den TCP-Portbereich jedoch mit den Komponentendiensten anpassen. Gehen Sie hierzu folgendermaßen vor: 1. Wählen Sie im IIS 7.0-Manager im Bereich Connections den Knoten auf Serverebene in der Struktur aus. 2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung. 3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein. 4. Wählen Sie im Bereich Aktionen die Option Anwenden aus, um Ihre Konfigurationseinstellungen zu speichern. |
TCP | 5718/TCP 5719/TCP |
Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu aktivieren. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. |
TCP | 6075/TCP | Aktiviert, wenn Sie eine Schutzgruppe für den Schutz von Clientcomputern erstellen. Erforderlich für die Endbenutzerwiederherstellung. Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm (Amscvhost.exe) erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren. |
DNS | 53/UDP | Wird für die Hostnamensauflösung zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
Kerberos | 88/UDP 88/TCP |
Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. |
LDAP | 389/TCP 389/UDP |
Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet. |
NetBios | 137/UDP 138/UDP 139/TCP 445/TCP |
Wird für sonstige Operationen zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für Server Message Block (SMB) verwendet, wenn er direkt in TCP/IP gehostet wird. |
Windows-Firewall-Einstellungen
Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewall-Einstellungen nach Bedarf zusammen mit den Regeln und Ausnahmen. Die Einstellungen sind in der folgenden Tabelle zusammengefasst.
Hinweis
- Informationen zum Einrichten von Firewallausnahmen für durch DPM geschützte Computer finden Sie unter Configure firewall exceptions for the agent.
- Informationen dazu, wenn die Windows-Firewall bei der Installation von DPM nicht verfügbar war, finden Sie unter Manuelles Konfigurieren der Windows-Firewall.
- Wenn Sie die DPM-Datenbank auf einem Remote-instance des SQL Server ausführen, müssen Sie mehrere Firewallausnahmen auf dem Remote-instance des SQL Server einrichten. Weitere Informationen finden Sie unter Einrichten der Windows-Firewall auf der Remoteinstanz von SQL Server.
Regelname | Details | Protocol | Port |
---|---|---|---|
Microsoft System Center 2012 Data Protection Manager DCOM-Einstellung | Erforderlich für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. | DCOM | 135/TCP Dynamic |
Microsoft System Center 2012 Data Protection Manager | Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
Microsoft System Center 2012 Data Protection Manager Replikations-Agent | Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst, der für das Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Manuelles Konfigurieren der Windows-Firewall
Wählen Sie im Server Manager Lokaler Server>Tools>Windows-Firewall mit erweiterter Sicherheit.
Überprüfen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit , ob die Windows-Firewall für alle Profile aktiviert ist, und wählen Sie dann Eingehende Regeln aus.
Um eine Ausnahme zu erstellen, wählen Sie im Bereich Aktionendie Option Neue Regel aus, um den Assistenten für neue eingehende Regeln zu öffnen.
Vergewissern Sie sich auf der Seite Regeltyp, dass Programm ausgewählt ist, und wählen Sie dann Weiter aus.
Konfigurieren Sie Ausnahmen, die den Standardregeln entsprechen und durch das DPM-Setup erstellt worden wären, wenn die Windows-Firewall während der Installation von DPM aktiviert gewesen wäre.
Um die Ausnahme manuell zu erstellen, die der Microsoft System Center 2012 R2 Data Protection Manager-Standardregel auf der Seite Programm entspricht, wählen Sie Nachdiesem Programmpfad suchen aus, und navigieren Sie dann zum <Systemlaufwerkbuchstaben>:\Programme\Microsoft DPM\DPM\bin>Msdpm.exe>Weiter öffnen>.
Behalten Sie auf der Seite Aktion die Standardeinstellung Verbindung zulassen oder ändern Sie die Einstellungen gemäß den Richtlinien > Ihres organization Weiter.
Behalten Sie auf der Seite Profil die Standardeinstellungen Domäne, Privat und Öffentlich bei, oder ändern Sie die Einstellungen gemäß den Richtlinien > Ihres organization Weiter.
Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.
Führen Sie nun die gleichen Schritte aus, um die Ausnahme manuell zu erstellen, die der Standardregel des Microsoft System Center 2012 R2 Data Protection-Replikations-Agents entspricht, indem Sie zum <Systemlaufwerkbuchstaben> navigieren:\Programme\Microsoft DPM\DPM\bin und Dpmra.exeauswählen.
Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mithilfe von Microsoft System Center 2012 Service Pack 1 Data Protection Manager benannt.
Einrichten der Windows-Firewall auf dem Remote-instance des SQL Server
Wenn Sie eine Remote-instance des SQL Server für Ihre DPM-Datenbank verwenden, müssen Sie im Rahmen des Prozesses die Windows-Firewall auf diesem Remote-instance des SQL Server konfigurieren.
Nach Abschluss der SQL Server Installation sollte das TCP/IP-Protokoll zusammen mit den folgenden Einstellungen für die DPM-instance des SQL Server aktiviert werden:
Standardeinstellung für Fehlerüberwachung
Aktivierte Kennwortrichtlinienprüfung
Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-instance des SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.
Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Diese Einstellung kann geändert werden. Um den SQL Server-Browserdienst zum Herstellen von Verbindungen zu Instanzen zu verwenden, die nicht an Standardport 1433 lauschen, benötigen Sie UDP-Port 1434.
Standardmäßig verwendet eine benannte instance des SQL Server dynamische Ports. Diese Einstellung kann geändert werden.
Welche Portnummer aktuell von der Datenbank-Engine verwendet wird, können Sie dem Fehlerprotokoll von SQL Server entnehmen. Zum Anzeigen von Fehlerprotokollen stellen Sie mit SQL Server Management Studio eine Verbindung mit der benannten Instanz her. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige <ipv4>-Portnummer].“ ansehen.
Sie müssen remote procedure call (RPC) auf dem Remote-instance des SQL Server aktivieren.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für