Configuración de las opciones de firewall en DPM

  • Artículo

Importante

Esta versión de Data Protection Manager (DPM) ha llegado al final del soporte técnico. Se recomienda actualizar a DPM 2022.

Una pregunta común que surge durante la implementación del servidor de System Center Data Protection Manager (DPM) y la implementación del agente DPM se refiere a qué puertos se deben abrir en el firewall. En este artículo se detallan los puertos y protocolos de firewall que DPM usa para el tráfico de red. Para obtener más información sobre las excepciones de firewall para los clientes DPM, consulte: Configuración de excepciones de firewall para el agente.

Protocolo Puerto Detalles
DCOM 135/TCP dinámico El servidor DPM y el agente de protección DPM usan DCOM para emitir comandos y respuestas. DPM emite comandos para el agente de protección, para lo cual invoca llamadas DCOM en el agente. El agente de protección responde invocando llamadas DCOM en el servidor DPM.

El puerto TCP 135 es el punto de resolución del punto de conexión DCE que usa DCOM. De manera predeterminada, DCOM asigna puertos de manera dinámica desde el intervalo de puertos TCP de 1024 a 65535, inclusive. Sin embargo, puede usar servicios de componentes para ajustar el intervalo de puertos TCP. Para ello, siga estos pasos.

1. En el Administrador de IIS 7.0, en el panel Connections, seleccione el nodo de nivel de servidor en el árbol.
2. En la lista de las características, haga doble clic en el icono Compatibilidad con el firewall de FTP.
3. Especifique un intervalo de valores para el Intervalo de puerto del canal de datos de su servicio FTP.
4. En el panel Acciones , seleccione Aplicar para guardar las opciones de configuración.
TCP 5718/TCP

5719/TCP		 El canal de datos CPM se basa en TCP. Tanto DPM como el equipo protegido inician conexiones para habilitar las operaciones DPM, como la sincronización y la recuperación. DPM se comunica con el coordinador de agentes en el puerto 5718 y con el agente de protección en el puerto 5719.
TCP 6075/TCP Se habilita al crear un grupo de protección para proteger los equipos cliente. Necesario para la recuperación del usuario final.

Cuando habilite la Consola central de DPM en Operations Manager, se creará una excepción en el Firewall de Windows (DPMAM_WCF_Service) para el programa Amscvhost.exe.
DNS 53/UDP Se usa para la resolución del nombres de host entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio.
Kerberos 88/UDP

88/TCP		 Se usa para la autenticación del punto de conexión entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio.
LDAP 389/TCP

389/TCP		 Se usa para las consultas entre DPM y el controlador de dominio.
NetBios; 137/UDP

138/UDP

139/TCP

445/TCP		 Se usa para realizar varias operaciones entre DPM y el equipo protegido, entre DPM y el controlador de dominio y entre el equipo protegido y el controlador de dominio. Se usa para las funciones DPM para el bloque de mensajes del servidor (SMB) cuando se hospeda directamente en TCP/IP.

Configuración de Windows Firewall

Si el Firewall de Windows se ha habilitado al instalar DPM, la instalación de DPM configurará el Firewall de Windows como sea necesario, junto a las reglas y las excepciones. La configuración se resume en la tabla siguiente.

Nota

Nombre de la regla Detalles Protocolo Port
Configuración DCOM de Microsoft System Center 2012 Data Protection Manager Es necesaria para las comunicaciones DCOM entre el servidor DPM y los equipos protegidos. DCOM 135/TCP dinámico
Microsoft System Center 2012 Data Protection Manager Excepción de Msdpm.exe (servicio DPM). Se ejecuta en el servidor DPM. Todos los protocolos Todos los puertos
Agente de replicación de Microsoft System Center 2012 Data Protection Manager Excepción de Dpmra.exe (servicio de agente de protección que se usa para copias de seguridad y restauración de datos). Se ejecuta en el servidor DPM y los equipos protegidos. Todos los protocolos Todos los puertos

Cómo configurar manualmente el Firewall de Windows

  1. En Administrador del servidor, seleccione Servidor LocalHerramientasFirewall de Windows con seguridad avanzada.

  2. En la consola firewall de Windows con seguridad avanzada , compruebe que Firewall de Windows está activado para todos los perfiles y, a continuación, seleccione Reglas de entrada.

  3. Para crear una excepción, en el panel Acciones , seleccione Nueva regla para abrir el Asistente para nueva regla de entrada .

    En la página Tipo de regla , compruebe que programa está seleccionado y, a continuación, seleccione Siguiente.

  4. Configure las excepciones que coincidan con las reglas predeterminadas que se hubieran creado con el programa de instalación DPM si el Firewall de Windows hubiese estado habilitado al instalar DPM.

    1. Para crear manualmente la excepción que coincida con la regla predeterminada de Microsoft System Center 2012 R2 Data Protection Manager en la página Programa , seleccione Examinar el cuadro Esta ruta de acceso del programa y, a continuación, vaya a la <letra> de unidad del sistema:\Archivos de programa\Microsoft DPM\DPM\bin>Msdpm.exe>Abrir>siguiente.

      En la página Acción, deje la configuración predeterminada de Permitir la conexión o cambie la configuración según las directrices > de la organización Siguiente.

      En la página Perfil, deje la configuración predeterminada de Dominio, Privado y Público o cambie la configuración según las directrices > de su organización Siguiente.

      En la página Nombre, especifique un nombre para la regla y, si quiere, una descripción; luego, haga clic en Finalizar.

    2. Ahora siga los mismos pasos para crear manualmente la excepción que coincida con la regla predeterminada del Agente de replicación de protección de datos de Microsoft System Center 2012 R2; para ello, vaya a la <letra> de unidad del sistema:\Archivos de programa\Microsoft DPM\DPM\bin y seleccione Dpmra.exe.

      Si ejecuta System Center 2012 R2 con SP1, las reglas predeterminadas se denominarán mediante Microsoft System Center 2012 Service Pack 1 Data Protection Manager.

Configuración del Firewall de Windows en la instancia remota del SQL Server

  • Si usa una instancia remota del SQL Server para la base de datos DPM, como parte del proceso, tendrá que configurar Firewall de Windows en esa instancia remota del SQL Server.

  • Una vez completada la instalación de SQL Server, el protocolo TCP/IP debe habilitarse para la instancia DPM del SQL Server junto con la siguiente configuración:

    • Auditoría de errores predeterminada

    • La comprobación de directiva de contraseñas está habilitada

  • Configure una excepción entrante para sqlservr.exe para la instancia DPM del SQL Server para permitir TCP en el puerto 80. El servidor de informes escucha las solicitudes HTTP en el puerto 80.

  • La instancia predeterminada del motor de base de datos escucha en el puerto TCP 1443. Puede modificar esta configuración. Para utilizar el servicio SQL Server Browser para establecer la conexión con instancias que no escuchen en el puerto 1433 predeterminado, se necesita el puerto UDP 1434.

  • De forma predeterminada, una instancia con nombre del SQL Server usa puertos dinámicos. Puede modificar esta configuración.

  • Puede ver el número de puerto actual que el motor de base de datos está usando en el registro de errores de SQL Server. Puede ver los registros de errores mediante SQL Server Management Studio y conectarse a la instancia con nombre. Puede ver el registro actual en Administración: registros de SQL Server, en la entrada "El servidor escucha en ['any' ipv4> número_puerto]".

    Tendrá que habilitar la llamada a procedimiento remoto (RPC) en la instancia remota del SQL Server.