Freigeben über

Konfigurieren der Firewalleinstellungen in DPM

  • Artikel

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.

Eine häufige Frage, die sich während der Serverbereitstellung von System Center Data Protection Manager (DPM) und der DPM-Agent-Bereitstellung stellt, betrifft, welche Ports in der Firewall geöffnet werden müssen. In diesem Artikel werden die Firewallports und -protokolle eingeführt, die DPM für den Netzwerkverkehr verwendet. Weitere Informationen zu Firewallausnahmen für DPM-Clients finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.

Protocol Port Details
DCOM 135/TCP Dynamic DCOM wird vom DPM-Server und dem DPM-Schutz-Agent verwendet, um Befehle und Antworten auszugeben. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server.

TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 1024 bis 65535 von DCOM dynamisch zugewiesen. Sie können den TCP-Portbereich jedoch mit den Komponentendiensten anpassen. Gehen Sie hierzu folgendermaßen vor:

1. Wählen Sie im IIS 7.0-Manager im Bereich Connections den Knoten auf Serverebene in der Struktur aus.
2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung.
3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich Ihres FTP-Diensts ein.
4. Wählen Sie im Bereich Aktionen die Option Anwenden aus, um Ihre Konfigurationseinstellungen zu speichern.
TCP 5718/TCP

5719/TCP		 Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu aktivieren. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719.
TCP 6075/TCP Aktiviert, wenn Sie eine Schutzgruppe für den Schutz von Clientcomputern erstellen. Erforderlich für die Endbenutzerwiederherstellung.

Eine Ausnahme in der Windows-Firewall (DPMAM_WCF_Service) wird für das Programm (Amscvhost.exe) erstellt, wenn Sie die zentrale Konsole für DPM in Operations Manager aktivieren.
DNS 53/UDP Wird für die Hostnamensauflösung zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet.
Kerberos 88/UDP

88/TCP		 Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet.
LDAP 389/TCP

389/UDP		 Wird für Abfragen zwischen DPM und dem Domänencontroller verwendet.
NetBios 137/UDP

138/UDP

139/TCP

445/TCP		 Wird für sonstige Operationen zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller verwendet. Wird für DPM-Funktionen für Server Message Block (SMB) verwendet, wenn er direkt in TCP/IP gehostet wird.

Windows-Firewall-Einstellungen

Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, konfiguriert das DPM-Setup die Windows-Firewall-Einstellungen nach Bedarf zusammen mit den Regeln und Ausnahmen. Die Einstellungen sind in der folgenden Tabelle zusammengefasst.

Hinweis

Regelname Details Protocol Port
Microsoft System Center 2012 Data Protection Manager DCOM-Einstellung Erforderlich für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. DCOM 135/TCP Dynamic
Microsoft System Center 2012 Data Protection Manager Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. Alle Protokolle Alle Ports
Microsoft System Center 2012 Data Protection Manager Replikations-Agent Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst, der für das Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. Alle Protokolle Alle Ports

Manuelles Konfigurieren der Windows-Firewall

  1. Wählen Sie im Server Manager Lokaler Server>Tools>Windows-Firewall mit erweiterter Sicherheit.

  2. Überprüfen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit , ob die Windows-Firewall für alle Profile aktiviert ist, und wählen Sie dann Eingehende Regeln aus.

  3. Um eine Ausnahme zu erstellen, wählen Sie im Bereich Aktionendie Option Neue Regel aus, um den Assistenten für neue eingehende Regeln zu öffnen.

    Vergewissern Sie sich auf der Seite Regeltyp, dass Programm ausgewählt ist, und wählen Sie dann Weiter aus.

  4. Konfigurieren Sie Ausnahmen, die den Standardregeln entsprechen und durch das DPM-Setup erstellt worden wären, wenn die Windows-Firewall während der Installation von DPM aktiviert gewesen wäre.

    1. Um die Ausnahme manuell zu erstellen, die der Microsoft System Center 2012 R2 Data Protection Manager-Standardregel auf der Seite Programm entspricht, wählen Sie Nachdiesem Programmpfad suchen aus, und navigieren Sie dann zum <Systemlaufwerkbuchstaben>:\Programme\Microsoft DPM\DPM\bin>Msdpm.exe>Weiter öffnen>.

      Behalten Sie auf der Seite Aktion die Standardeinstellung Verbindung zulassen oder ändern Sie die Einstellungen gemäß den Richtlinien > Ihres organization Weiter.

      Behalten Sie auf der Seite Profil die Standardeinstellungen Domäne, Privat und Öffentlich bei, oder ändern Sie die Einstellungen gemäß den Richtlinien > Ihres organization Weiter.

      Geben Sie auf der Seite Name einen Namen und optional eine Beschreibung für die Regel ein, und klicken Sie auf Fertig stellen.

    2. Führen Sie nun die gleichen Schritte aus, um die Ausnahme manuell zu erstellen, die der Standardregel des Microsoft System Center 2012 R2 Data Protection-Replikations-Agents entspricht, indem Sie zum <Systemlaufwerkbuchstaben> navigieren:\Programme\Microsoft DPM\DPM\bin und Dpmra.exeauswählen.

      Wenn Sie System Center 2012 R2 mit SP1 ausführen, werden die Standardregeln mithilfe von Microsoft System Center 2012 Service Pack 1 Data Protection Manager benannt.

Einrichten der Windows-Firewall auf dem Remote-instance des SQL Server

  • Wenn Sie eine Remote-instance des SQL Server für Ihre DPM-Datenbank verwenden, müssen Sie im Rahmen des Prozesses die Windows-Firewall auf diesem Remote-instance des SQL Server konfigurieren.

  • Nach Abschluss der SQL Server Installation sollte das TCP/IP-Protokoll zusammen mit den folgenden Einstellungen für die DPM-instance des SQL Server aktiviert werden:

    • Standardeinstellung für Fehlerüberwachung

    • Aktivierte Kennwortrichtlinienprüfung

  • Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-instance des SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.

  • Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Diese Einstellung kann geändert werden. Um den SQL Server-Browserdienst zum Herstellen von Verbindungen zu Instanzen zu verwenden, die nicht an Standardport 1433 lauschen, benötigen Sie UDP-Port 1434.

  • Standardmäßig verwendet eine benannte instance des SQL Server dynamische Ports. Diese Einstellung kann geändert werden.

  • Welche Portnummer aktuell von der Datenbank-Engine verwendet wird, können Sie dem Fehlerprotokoll von SQL Server entnehmen. Zum Anzeigen von Fehlerprotokollen stellen Sie mit SQL Server Management Studio eine Verbindung mit der benannten Instanz her. Sie können sich das aktuelle Protokoll unter Verwaltung – SQL Server-Protokolle im Eintrag „Der Server lauscht auf [beliebige <ipv4>-Portnummer].“ ansehen.

    Sie müssen remote procedure call (RPC) auf dem Remote-instance des SQL Server aktivieren.