Configurer les paramètres du pare-feu dans DPM

  • Article

Important

Cette version de Data Protection Manager (DPM) a atteint la fin du support. Nous vous recommandons de mettre à niveau vers DPM 2022.

Une question courante qui se pose lors du déploiement du serveur System Center Data Protection Manager (DPM) et du déploiement de l’agent DPM concerne les ports à ouvrir sur le pare-feu. Cet article présente les ports de pare-feu et les protocoles que DPM utilise pour le trafic réseau. Pour plus d’informations sur les exceptions de pare-feu pour les clients DPM, consultez Configurer les exceptions de pare-feu pour l’agent.

Protocol Port Détails
DCOM 135/TCP dynamique DCOM est utilisé par le serveur DPM et l'agent de protection DPM pour émettre des commandes et des réponses. DPM émet des commandes à destination de l'agent de protection via des appels DCOM sur l'agent. L'agent de protection répond en effectuant des appels DCOM sur le serveur DPM.

Le port TCP 135 est le point de résolution de point de terminaison DCE utilisé par DCOM. Par défaut, DCOM assigne dynamiquement des ports à partir de la plage de ports TCP de 1024 à 65535. Toutefois, vous pouvez utiliser les services de composants pour ajuster la plage de ports TCP. Pour cela, procédez comme suit :

1. Dans le Gestionnaire IIS 7.0, dans le volet Connections, sélectionnez le nœud au niveau du serveur dans l’arborescence.
2. Dans la liste des fonctionnalités, double-cliquez sur l’icône Prise en charge du pare-feu FTP.
3. Entrez une plage de valeurs pour la Plage de ports du canal de données de votre service FTP.
4. Dans le volet Actions , sélectionnez Appliquer pour enregistrer vos paramètres de configuration.
TCP 5718/TCP

5719/TCP		 Le canal de données DPM est basé sur TCP. DPM et l’ordinateur protégé initient des connexions pour activer les opérations DPM, telles que la synchronisation et la récupération. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719.
TCP 6075/TCP Activé quand vous créez un groupe de protection pour protéger des ordinateurs clients. Requis pour la récupération de l’utilisateur final.

Une exception dans le Pare-feu Windows (DPMAM_WCF_Service) est créée pour le programme Amscvhost.exe quand vous activez la console centrale pour DPM dans Operations Manager.
DNS 53/UDP Utilisé pour la résolution de nom d’hôte entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine.
Kerberos 88/UDP

88/TCP		 Utilisé pour l’authentification du point de terminaison de connexion entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine.
LDAP 389/TCP

389/UDP		 Utilisé pour les requêtes entre DPM et le contrôleur de domaine.
NetBios ; 137/UDP

138/UDP

139/TCP

445/TCP		 Utilisé pour des opérations diverses entre DPM et l’ordinateur protégé, entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine. Utilisé pour les fonctions DPM pour server Message Block (SMB) lorsqu’il est directement hébergé sur TCP/IP.

Paramètres du Pare-feu Windows

Si le Pare-feu Windows est activé pendant l’installation de DPM, le programme d’installation de DPM configure si nécessaire les paramètres du Pare-feu Windows en même temps que les règles et les exceptions. Les paramètres sont récapitulés dans le tableau suivant.

Notes

Nom de la règle Détails Protocole Port
Paramètre DCOM de Microsoft System Center 2012 Data Protection Manager Nécessaire pour les communications DCOM entre le serveur DPM et les ordinateurs protégés. DCOM 135/TCP dynamique
Microsoft System Center 2012 Data Protection Manager Exception pour Msdpm.exe (service DPM). S'exécute sur le serveur DPM. Tous les protocoles Tous les ports
Agent de réplication Microsoft System Center 2012 Data Protection Manager Exception pour Dpmra.exe (service d’agent de protection utilisé pour sauvegarder et restaurer les données). S'exécute sur le serveur DPM et les ordinateurs protégés. Tous les protocoles Tous les ports

Comment configurer manuellement le Pare-feu Windows

  1. Dans le Gestionnaire de serveur, sélectionnez Serveur local>Outils>Pare-feu Windows avec fonctions avancées de sécurité.

  2. Dans la console Pare-feu Windows avec sécurité avancée , vérifiez que le Pare-feu Windows est activé pour tous les profils, puis sélectionnez Règles de trafic entrant.

  3. Pour créer une exception, dans le volet Actions , sélectionnez Nouvelle règle pour ouvrir l’Assistant Nouvelle règle entrante .

    Dans la page Type de règle , vérifiez que Programme est sélectionné, puis sélectionnez Suivant.

  4. Configurez des exceptions qui correspondent aux règles par défaut que le programme d’installation de DPM aurait créées si le Pare-feu Windows avait été activé pendant l’installation de DPM.

    1. Pour créer manuellement l’exception qui correspond à la règle Microsoft System Center 2012 R2 Data Protection Manager par défaut sur la page Programme , sélectionnez Parcourir la zone Ce chemin d’accès du programme , puis accédez à <la lettre> de lecteur système :\Program Files\Microsoft DPM\DPM\bin>Msdpm.exe>Ouvrir>suivant.

      Dans la page Action, conservez le paramètre par défaut Autoriser la connexion ou modifiez les paramètres en fonction des instructions > de votre organization Suivant.

      Dans la page Profil, conservez les paramètres par défaut Domaine, Privé et Public ou modifiez les paramètres en fonction des instructions> suivantes de votre organization.

      Dans la page Nom, tapez un nom pour la règle et éventuellement une description >Terminer.

    2. Suivez maintenant les mêmes étapes pour créer manuellement l’exception qui correspond à la règle de l’agent de réplication de protection des données Microsoft System Center 2012 R2 par défaut en accédant à <la lettre> de lecteur système :\Program Files\Microsoft DPM\DPM\bin et en sélectionnant Dpmra.exe.

      Si vous exécutez System Center 2012 R2 avec SP1, les règles par défaut seront nommées à l’aide de Microsoft System Center 2012 Service Pack 1 Data Protection Manager.

Configurer le Pare-feu Windows sur le instance distant du SQL Server

  • Si vous utilisez une instance distante du SQL Server pour votre base de données DPM, dans le cadre du processus, vous devez configurer le Pare-feu Windows sur cette instance distante du SQL Server.

  • Une fois l’installation SQL Server terminée, le protocole TCP/IP doit être activé pour le instance DPM du SQL Server avec les paramètres suivants :

    • audit des échecs par défaut ;

    • vérification de la stratégie de mot de passe activée.

  • Configurez une exception entrante pour sqlservr.exe pour le instance DPM du SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80.

  • L'instance par défaut du moteur de base de données écoute sur le port TCP 1443. Ce paramètre peut être modifié. Pour utiliser le service SQL Server Browser pour vous connecter aux instances qui n'écoutent pas sur le port 1433 par défaut, vous avez besoin du port UDP 1434.

  • Par défaut, une instance nommée du SQL Server utilise des ports dynamiques. Ce paramètre peut être modifié.

  • Vous pouvez identifier le numéro de port actuellement utilisé par le moteur de base de données dans le journal des erreurs SQL Server. Vous pouvez consulter les journaux des erreurs à l’aide de SQL Server Management Studio et en vous connectant à l’instance nommée. Vous pouvez consulter le journal actuel sous Administration – Journaux SQL Server dans l’entrée « Le serveur écoute sur [numéro_port <ipv4> « quelconque »] ».

    Vous devez activer l’appel de procédure distante (RPC) sur le instance distant du SQL Server.