Configurare le impostazioni dei firewall per DPM
Si applica a: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
DPM usa le seguenti porte e protocolli:
Protocollo |
Porta |
Dettagli |
---|---|---|
DCOM |
135/TCP dinamica |
Il server DPM e l'agente protezione DPM usano il protocollo DCOM per emettere comandi e risposte. DPM genera i comandi per l'agente protezione eseguendo chiamate DCOM sull'agente. L'agente protezione risponde eseguendo chiamate DCOM sul server DPM. La porta TCP 135 è il punto di risoluzione endpoint DCE usato da DCOM. Per impostazione predefinita, DCOM assegna le porte dinamicamente dall'intervallo di porte TCP da 1024 a 65535. È tuttavia possibile configurare questo intervallo usando Servizi componenti. |
TCP |
5718/TCP 5719/TCP |
Il canale dati di DPM è basato sul protocollo TCP. Sia in DPM sia nel computer protetto vengono avviate le connessioni per abilitare le operazioni di DPM, come la sincronizzazione e il ripristino. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719. |
TCP |
6075/TCP |
Abilitati quando si crea un gruppo protezione dati per proteggere i computer client. Richiesti per il ripristino gestito dall'utente. Quando si abilita la Console centrale per DPM in Operations Manager verrà creata un'eccezione in Windows Firewall (DPMAM_WCF_Service) per il programma Amscvhost.exe. |
DNS |
53/UDP |
Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per la risoluzione dei nomi host. |
Kerberos |
88/UDP 88/TCP |
Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per l'autenticazione dell'endpoint di connessione. |
LDAP |
389/TCP 389/UDP |
Usato tra DPM e il controller di dominio per le query. |
NetBios |
137/UDP 138/UDP 139/TCP 445/TCP |
Usato tra DPM e il computer protetto, tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio, per operazioni varie. Usato per SMB ospitato direttamente su TCP/IP per le funzioni di DPM. |
Impostazioni di Windows Firewall
Se Windows Firewall è abilitato quando si installa DPM, le impostazioni di Windows Firewall saranno configurate come richiesto con le regole e l'eccezione riepilogate nella tabella seguente. Tenere presente quanto segue:
Per informazioni sulla configurazione di eccezioni firewall per computer protetti da DPM, vedere Configurare le eccezioni del firewall per l'agente.
Se Windows Firewall non era disponibile durante l'installazione di DPM, configurarlo manualmente con Configurare Windows Firewall manualmente.
Se si esegue il database DPM su un SQL Server remoto è necessario configurare alcune eccezioni del firewall. Vedi Configurare Windows Firewall nell'istanza remota di SQL Server.
Nome regola |
Dettagli |
Protocollo |
Porta |
---|---|---|---|
Impostazione DCOM di Microsoft System Center 2012 R2 Data Protection Manager |
Richiesta per le comunicazioni DCOM tra il server DPM e i computer protetti |
DCOM |
135/TCP dinamica |
Microsoft System Center 2012 R2 Data Protection Manager |
Eccezione per Msdpm.exe (il servizio DPM). Eseguita nel server DPM. |
Tutti i protocolli |
Tutte le porte |
Agente di replica di Microsoft System Center 2012 R2 Data Protection Manager |
Eccezione per Dpmra.exe (servizio agente protezione usato per eseguire il backup e ripristino dei dati). Eseguita sul server DPM e sui computer protetti. |
Tutti i protocolli |
Tutte le porte |
Configurare Windows Firewall manualmente
-
In Server Manager, selezionare Server locale > Strumenti > Windows Firewall con protezione avanzata.
-
Nella console Windows Firewall con protezione avanzata, verificare che Windows Firewall sia attivato in tutti i profili, quindi selezionare Regole connessioni in entrata.
-
Per creare un'eccezione, nel riquadro Azioni fai clic su Nuova regola per aprire la Creazione guidata nuova regola connessioni in entrata.
Nella pagina Tipo di regola, verificare che sia selezionata l'opzione Programma, quindi fare clic su Avanti.
-
Configurare le eccezioni corrispondenti alle regole predefinite che sarebbero state create da DPM se fosse stato abilitato Windows Firewall durante l'installazione di DPM.
Per creare manualmente l'eccezione corrispondente alla regola predefinita di Microsoft System Center 2012 R2 Data Protection Manager nella pagina Programma, fare clic su Sfoglia accanto alla casella Percorso programma, passare a <lettera di unità sistema>:\Programmi\Microsoft DPM\DPM\bin > Msdpm.exe > Apri> Avanti.
Nella pagina Azione, lasciare l'impostazione predefinita per Consenti la connessione oppure modificare le impostazioni in base alle linee guida della propria organizzazione > Avanti.
Nella pagina Profilo, lasciare l'impostazione predefinita di Dominio, Privato e Pubblico oppure modificare le impostazioni in base alle linee guida della propria organizzazione > Avanti.
Nella pagina Nome, digitare un nome per la regola ed eventualmente una descrizione > Fine.
Usare ora la stessa procedura per creare manualmente l'eccezione corrispondente alla regola predefinita di Microsoft System Center 2012 R2 Data Protection Manager passando a <lettera di unità sistema>:\Programmi\Microsoft DPM\DPM\bin e selezionando Dpmra.exe.
Se si esegue System Center 2012 R2 con SP1 le regole predefinite saranno denominate con Microsoft System Center 2012 Service Pack 1 Data Protection Manager.
Configurare Windows Firewall nell'istanza remota di SQL Server
Se usi un'istanza remota di SQL Server per il database DPM, durante il processo dovrai configurare Windows Firewall su quell'istanza remota di SQL Server.
Al termine dell'installazione di SQL Server, il protocollo TCP/IP dovrebbe essere abilitato per l'istanza DPM di SQL Server con le seguenti impostazioni: controllo con esito negativo predefinito e abilitazione del controllo dei criteri password.
Configurare un'eccezione in entrata per sqservr.exe per l'istanza DPM di SQL Server, in modo da consentire TCP sulla porta 80. Il server di report è in ascolto delle richieste HTTP sulla porta 80.
L'istanza predefinita del motore di database è in ascolto sulla porta TCP 1443. Questa impostazione può essere modificata. Per usare il servizio SQL Server Browser per connettersi alle istanze che non sono in ascolto sulla porta predefinita 1433, servirà la porta UDP 1434.
Per impostazione predefinita, un'istanza denominata di SQL Server usa le porte dinamiche. Questa impostazione può essere modificata.
Puoi vedere il numero di porta corrente usato dal motore di database nel log degli errori di SQL Server. Puoi visualizzare i log degli errori usando SQL Server Management Studio e connettendoti all'istanza denominata. È possibile visualizzare il log corrente sotto Gestione - Log di SQL Server. Il server è in ascolto su [‘any’ <ipv4> numero_porta].
Dovrai abilitare RPC sull'istanza remota di SQL Server.