Configuración del firewall para DPM
Una pregunta común que surge durante la implementación del servidor de System Center Data Protection Manager (DPM) y la implementación del agente DPM se refiere a qué puertos se deben abrir en el firewall. En este artículo se presentan los puertos y protocolos de firewall que DPM usa para el tráfico de red. Para obtener más información sobre las excepciones de firewall para los clientes DPM, consulta: Configuración de excepciones de firewall para el agente.
| Protocolo | Puerto | Detalles |
|---|---|---|
| DCOM | 135/TCP Dinámico | El servidor DPM y el agente de protección DPM usan DCOM para emitir comandos y respuestas. DPM emite comandos al agente de protección invocando llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM. El puerto TCP 135 es el punto de resolución de punto de conexión DCE que usa DCOM. De forma predeterminada, DCOM asigna puertos dinámicamente desde el intervalo de puertos TCP de 1024 a 65535. Sin embargo, puedes usar Servicios de componentes para ajustar el intervalo de puertos TCP. Para ello, siga estos pasos: 1. En el Administrador de IIS 7.0, en el panel Conexiones, haz clic en el nodo de nivel de servidor en el árbol. 2. En la lista de las características, haga doble clic en el icono Compatibilidad con el firewall de FTP. 3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos de su servicio FTP. 4. En el panel Acciones, selecciona Aplicar para guardar los ajustes de configuración. |
| TCP | 5718/TCP 5719/TCP |
El canal de datos DPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación. DPM se comunica con el coordinador del agente en el puerto 5718 y con el agente de protección en el puerto 5719. |
| TCP | 6075/TCP | Se habilita al crear un grupo de protección para ayudar a proteger los equipos cliente. Necesario para la recuperación de usuario final. Se crea una excepción en firewall de Windows (DPMAM_WCF_Service) para el programa Amscvhost.exe al habilitar la consola central para DPM en Operations Manager. |
| DNS | 53/UDP | Se usa para la resolución de nombres de host entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. |
| Kerberos | 88/UDP 88/TCP |
Se usa para la autenticación del punto de conexión entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. |
| LDAP | 389/TCP 389/UDP |
Se usa para las consultas entre DPM y el controlador de dominio. |
| NetBios; | 137/UDP 138/UDP 139/TCP 445/TCP |
Se usa para varias operaciones entre DPM y el equipo protegido, entre DPM y el controlador de dominio, y entre el equipo protegido y el controlador de dominio. Se usa para las funciones DPM para el bloque de mensajes del servidor (SMB) cuando se hospeda directamente en TCP/IP. |
Configuración de Windows Firewall
Si firewall de Windows está habilitado al instalar DPM, el programa de instalación de DPM configura la configuración de Firewall de Windows según sea necesario junto con las reglas y excepciones. Las configuraciones se resumen en la tabla siguiente.
Nota:
- Si quieres obtener información sobre cómo configurar excepciones de firewall para equipos protegidos por DPM, consulta Configurar excepciones de firewall para el agente.
- Si Firewall de Windows no estaba disponible cuando se instaló DPM, consulta Cómo configurar manualmente Firewall de Windows.
- Si estás ejecutando la base de datos DPM en una instancia remota de SQL Server, tendrás que configurar varias excepciones de firewall en esa instancia remota de SQL Server. Consulta Configurar Firewall de Windows en la instancia remota de SQL Server.
| Nombre de la regla | Detalles | Protocolo | Puerto |
|---|---|---|---|
| Configuración DCOM de System Center Data Protection Manager | Necesario para las comunicaciones DCOM entre el servidor DPM y los equipos protegidos. | DCOM | 135/TCP Dinámico |
| Microsoft System Center Data Protection Manager | Excepción para Msdpm.exe (el servicio DPM). Se ejecuta en el servidor DPM. | Todos los protocolos | Todos los puertos |
| Agente de replicación de Microsoft System Center Data Protection Management | Excepción de Dpmra.exe (servicio de agente de protección que se usa para realizar copias de seguridad y restaurar datos). Se ejecuta en el servidor DPM y en los equipos protegidos. | Todos los protocolos | Todos los puertos |
Configuración manual del Firewall de Windows
En el Administrador de servidores, selecciona Servidor local>Herramientas>Firewall de Windows con seguridad avanzada.
En la consola Firewall de Windows con seguridad avanzada, comprueba que el Firewall de Windows está activado para todos los perfiles y, a continuación, selecciona Reglas de entrada.
Para crear una excepción, en el panel Acciones, selecciona Nueva regla para abrir el asistente Nueva regla de entrada.
En la página Tipo de regla, comprueba que está seleccionado Programa y, a continuación, selecciona Siguiente.
Configura excepciones para que coincidan con las reglas predeterminadas creadas por el programa de instalación de DPM si Firewall de Windows se hubiera habilitado cuando se instaló DPM.
Para crear manualmente la excepción que coincida con la regla predeterminada de Microsoft System Center 2012 R2 Data Protection Manager en la página Programa, selecciona Examinar en el cuadro Esta ruta de programa y luego busca <letra de unidad del sistema>:\Archivos de programa\Microsoft DPM\DPM\bin>Msdpm.exe>Abrir>Siguiente.
En la página Acción, deja la configuración por defecto de Permitir la conexión o cambia la configuración según las directrices de tu organización >Siguiente.
En la página Perfil, deja la configuración predeterminada de Dominio, Privado y Público o cambia la configuración según las directrices de tu organización >Siguiente.
En la página Nombre, especifique un nombre para la regla y, si quiere, una descripción; luego, haga clic en >Finalizar.
Después, sigue los mismos pasos para crear manualmente la excepción que coincida con la regla predeterminada del Agente de replicación de Microsoft System Center 2012 R2 Data Protection. Para ello, navega hasta <letra de unidad del sistema>:\Archivos de programa\Microsoft DPM\DPM\bin y selecciona Dpmra.exe.
Ten en cuenta que, si estás ejecutando System Center 2012 R2 con SP1, las reglas predeterminadas se denominarán con Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Configuración del Firewall de Windows en la instancia remota de SQL Server
Si usas una instancia remota de SQL Server para la base de datos DPM como parte del proceso, necesitarás configurar Firewall de Windows en esa instancia remota de SQL Server.
Una vez completada la instalación de SQL Server, el protocolo TCP/IP debe estar habilitado para la instancia DPM de SQL Server junto con la siguiente configuración:
Auditoría de errores predeterminada
Comprobación de directivas de contraseña habilitada
Configura una excepción entrante para sqlservr.exe para la instancia DPM de SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80.
De manera predeterminada, la instancia predeterminada del motor de base de datos escucha en el puerto TCP 1443. No se puede cambiar esta configuración. Para usar el servicio SQL Server Browser con el fin de establecer la conexión con instancias que no escuchan en el puerto 1433 predeterminado, se necesita el puerto UDP 1434.
De forma predeterminada, una instancia con nombre de SQL Server usa puertos dinámicos. No se puede cambiar esta configuración.
Puedes ver el número de puerto actual que usa el motor de base de datos en el registro de errores de SQL Server. Puedes ver los registros de errores mediante SQL Server Management Studio conectándote a la instancia con nombre. Puede ver el registro actual en Administración: registros de SQL Server, en la entrada "El servidor escucha en ['any' <ipv4> número_puerto]".
Tendrás que habilitar la llamada a procedimiento remoto (RPC) en la instancia remota de SQL Server.