Configuración del firewall en DPM
Una pregunta común que surge durante la implementación del servidor de System Center Administrador de protección de datos (DPM) y la implementación del agente DPM se refiere a qué puertos se deben abrir en el firewall. En este artículo se presentan los puertos y protocolos de firewall que DPM usa para el tráfico de red. Para obtener más información sobre las excepciones de firewall para los clientes DPM, consulte: Configuración de excepciones de firewall para el agente.
| Protocolo | Puerto | Detalles |
|---|---|---|
| DCOM | 135/TCP dinámico | El servidor DPM y el agente de protección DPM usan DCOM para emitir comandos y respuestas. DPM emite comandos al agente de protección invocando llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM. El puerto TCP 135 es el punto de resolución de punto de conexión DCE que usa DCOM. De forma predeterminada, DCOM asigna puertos dinámicamente desde el intervalo de puertos TCP de 1024 a 65535. Sin embargo, puede usar Servicios de componentes para ajustar el intervalo de puertos TCP. Para ello, siga estos pasos: 1. En el Administrador de IIS 7.0, en el panel Conexiones , seleccione el nodo de nivel de servidor en el árbol. 2. En la lista de las características, haga doble clic en el icono Compatibilidad con el firewall de FTP. 3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos de su servicio FTP. 4. En el panel Acciones , seleccione Aplicar para guardar las opciones de configuración. |
| TCP | 5718/TCP 5719/TCP |
El canal de datos DPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación. DPM se comunica con el coordinador del agente en el puerto 5718 y con el agente de protección en el puerto 5719. |
| TCP | 6075/TCP | Se habilita al crear un grupo de protección para ayudar a proteger los equipos cliente. Necesario para la recuperación del usuario final. Se crea una excepción en firewall de Windows (DPMAM_WCF_Service) para el programa Amscvhost.exe al habilitar la consola central para DPM en Operations Manager. |
| DNS | 53/UDP | Se usa para la resolución de nombres de host entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. |
| Kerberos | 88/UDP 88/TCP |
Se usa para la autenticación del punto de conexión entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. |
| LDAP | 389/TCP 389/UDP |
Se usa para las consultas entre DPM y el controlador de dominio. |
| NetBios; | 137/UDP 138/UDP 139/TCP 445/TCP |
Se usa para varias operaciones entre DPM y el equipo protegido, entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. Se usa para las funciones DPM para el bloque de mensajes del servidor (SMB) cuando se hospeda directamente en TCP/IP. |
Configuración de Windows Firewall
Si firewall de Windows está habilitado al instalar DPM, el programa de instalación de DPM configura la configuración de Firewall de Windows según sea necesario junto con las reglas y excepciones. La configuración se resume en la tabla siguiente.
Nota:
- Si busca información sobre cómo configurar excepciones de firewall para equipos que DPM ayuda a proteger, consulte Configuración de excepciones de firewall para el agente.
- Si Firewall de Windows no estaba disponible al instalar DPM, consulte Configuración manual de Firewall de Windows.
- Si ejecuta la base de datos DPM en una instancia remota de SQL Server, tendrá que configurar varias excepciones de firewall en la instancia remota de SQL Server. Consulte Configurar Firewall de Windows en la instancia remota de SQL Server.
| Nombre de la regla | Detalles | Protocolo | Puerto |
|---|---|---|---|
| Configuración de DCOM de Microsoft System Center Administrador de protección de datos | Necesario para las comunicaciones DCOM entre el servidor DPM y los equipos protegidos. | DCOM | 135/TCP dinámico |
| Microsoft System Center Data Protection Manager | Excepción para Msdpm.exe (el servicio DPM). Se ejecuta en el servidor DPM. | Todos los protocolos | Todos los puertos |
| Microsoft System Center Administrador de protección de datos Replication Agent | Excepción de Dpmra.exe (servicio de agente de protección que se usa para realizar copias de seguridad y restaurar datos). Se ejecuta en el servidor DPM y en los equipos protegidos. | Todos los protocolos | Todos los puertos |
Configuración manual del Firewall de Windows
En Administrador del servidor, seleccione Herramientas>de servidor>local Firewall de Windows con seguridad avanzada.
En la consola firewall de Windows con seguridad avanzada, compruebe que Firewall de Windows está activado para todos los perfiles y, a continuación, seleccione Reglas de entrada.
Para crear una excepción, en el panel Acciones , seleccione Nueva regla para abrir el Asistente para nueva regla de entrada.
En la página Tipo de regla, compruebe que el programa está seleccionado y, a continuación, seleccione Siguiente.
Configure excepciones para que coincidan con las reglas predeterminadas creadas por el programa de instalación de DPM si el Firewall de Windows se hubiera habilitado cuando se instaló DPM.
Para crear manualmente la excepción que coincida con la regla predeterminada de Microsoft System Center 2012 R2 Administrador de protección de datos en la página Programa, seleccione Examinar para el cuadro Esta ruta de acceso del programa y, a continuación, vaya a <la letra> de unidad del sistema:\Archivos de programa\Microsoft DPM\DPM\bin>Msdpm.exe>Abrir>siguiente.
En la página Acción, deje la configuración predeterminada de Permitir la conexión o cambie la configuración según las directrices >de la organización Siguiente.
En la página Perfil , deje la configuración predeterminada de Dominio, Privado y Público o cambie la configuración según las directrices >de su organización Siguiente.
En la página Nombre, especifique un nombre para la regla y, si quiere, una descripción; luego, haga clic en >Finalizar.
Ahora siga los mismos pasos para crear manualmente la excepción que coincida con la regla predeterminada del Agente de replicación de protección de datos de Microsoft System Center 2012 R2; para ello, vaya a <la letra> de unidad del sistema:\Archivos de programa\Microsoft DPM\DPM\bin y seleccione Dpmra.exe.
Si ejecuta System Center 2012 R2 con SP1, las reglas predeterminadas se denominarán mediante el Administrador de protección de datos de Microsoft System Center 2012 Service Pack 1.
Configuración del Firewall de Windows en la instancia remota de SQL Server
Si usa una instancia remota de SQL Server para la base de datos DPM, como parte del proceso, tendrá que configurar Firewall de Windows en esa instancia remota de SQL Server.
Una vez completada la instalación de SQL Server, el protocolo TCP/IP debe estar habilitado para la instancia DPM de SQL Server junto con la siguiente configuración:
Auditoría de errores predeterminada
Comprobación de directivas de contraseña habilitada
Configure una excepción entrante para sqlservr.exe para la instancia DPM de SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80.
La instancia predeterminada del motor de base de datos escucha en el puerto TCP 1443. Esta configuración se puede cambiar. Para usar el servicio SQL Server Browser para conectarse a instancias que no escuchan en el puerto predeterminado 1433, necesitará el puerto UDP 1434.
De forma predeterminada, una instancia con nombre de SQL Server usa puertos dinámicos. Esta configuración se puede cambiar.
Puede ver el número de puerto actual que usa el motor de base de datos en el registro de errores de SQL Server. Puede ver los registros de errores mediante SQL Server Management Studio y conectarse a la instancia con nombre. Puede ver el registro actual en Administración: registros de SQL Server, en la entrada "El servidor escucha en ['any' <ipv4> número_puerto]".
Tendrá que habilitar la llamada a procedimiento remoto (RPC) en la instancia remota de SQL Server.